2.2 标准的意义
2.1节探讨了从找到安全工作的着眼点开始,到进行第一项安全工作的基本过程。这种有很强针对性的工作对大家来说是比较熟悉的,但安全工作是一个很复杂的体系,如果采用逐个问题逐个解决的方式,很难从救火队员的身份中脱离出来。这时就需要一个更高层、更全面的指导思想,指导我们从宏观的视角审视企业的安全建设,这个指导思想就是标准。
事先声明一下,本节对标准的介绍不会非常全面,因为那样会很枯燥,本节的文字旨在激发兴趣,让大家在相对轻松的氛围下了解相关标准的作用和架构,对这些标准有一个基本的认识,从而不那么抵触阅读它们。
笔者曾经参与过一些标准的评审工作,这项工作让我受益良多。因为我发现作为标准,要考虑普适性和全面性的问题,遣词造句要高度精练和概括。但正是这种精练和概括,阻碍了大家阅读标准的热情。一份ISO27001文档才多少字,大家阅读起来却如此难受。但看看金庸先生的作品,《射雕英雄传》101万字、《神雕侠侣》118万字、《倚天屠龙记》117万字,大家阅读起来完全没觉得长,反而有点意犹未尽。笔者一直有个梦想,就是把标准的内容改写得通俗易懂。
言归正传,下面介绍几个最常使用的标准,以及该如何看待合规。
2.2.1 风险评估
风险的定义是:威胁利用脆弱性对资产造成损害的可能性。看着比较绕吧,那我们先提炼三个关键词:资产、脆弱性、威胁。
风险评估其实是一个很大的概念,本节讨论的是信息安全风险评估,属于企业IT风险评估的子类,所以本节定义的范围都是与网络安全相关的场景,其他方面不做讨论。
比如资产,在此先不讨论广义的资产概念,本节所指的资产的概念包括:最基本的软硬件资产、数据资产,以及人员、知识产权等。
那么脆弱性呢?百度百科的解释是这样的:“脆弱性又称弱点或漏洞,是资产或资产组中存在的可能被威胁利用造成损害的薄弱环节,脆弱性一旦被威胁成功利用就可能对资产造成损害。漏洞可能存在于物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。”下面进行一个简单的类比。
对于人来说,如果我很瘦弱,我的弱点就是体力,你可以用武力来控制我。如果我是头脑简单四肢发达的人,我最大的弱点是智商,你就可以用语言来控制我。一个体系的脆弱性往往是可以被外部威胁利用的关键点。
第三个词:威胁。百度百科对它的解释是:“威胁指用武力、权势胁迫;使遭遇危险。”这显然不是特指的网络安全的威胁,不过稍作改动可以将其解释成:网络安全中的威胁指用各类(合规或违规)技术手段、非技术手段胁迫;使遭遇危险。
所谓的威胁就是外部要利用脆弱性的因素,也就是说,虽然头脑简单四肢发达是我的脆弱性,但我生活在一个非常理想的社会中,没人想着利用我做坏事,那么我再傻也没关系,因为威胁不存在。
把上述场景替换到网络安全相关的场景中:如果你的系统无法实现人机识别,这就是系统的脆弱性,那威胁就是恶意爬虫、薅羊毛的程序或人。也就是说如果没有这样的程序或人,也就不存在威胁,那就算有脆弱性也没有风险了。什么情况下威胁不存在呢?答案是当你的资产没有价值的时候,当然这种情况基本上是不存在的。套用经济学中的需求原理,需求价格取决于物品对消费者的边际效益。也就是企业的资产对外部入侵者有效益的时候,入侵者就会付出一些成本(包括经济成本、时间成本、法律风险成本)去获取你的资产。而当获取资产的成本高于边际效益时,威胁行为就不会发生。
经济学的目标是不断降低交易成本,尽可能地促成交易,使市场繁荣。而安全工作的本质就是提高交易成本,尽可能地使入侵这种“交易”清零。
从上面的论述可以看到,安全工作既不是将脆弱性变成0,也不是将威胁变成0,而是动态的提高入侵成本(同样包括经济成本、时间成本、法律风险成本),使外界对系统内资产的感兴趣程度降为0。接下来将目光转回到风险管理上,在标准的体系中,对风险的应对有如下方式。
1)直接把风险处理掉,这肯定是最直接的,但是这就要考虑边际收益了。也就是说某个风险的处理如果代价极大但收益有限,我们就要考虑接受或者转移。
2)接受风险代表着我们对风险所带来的损失有明确的认识后选择承担这个风险,问题发生了就发生了,意料之内。
3)而转移相对比较复杂,在风险既无法直接处理,又不能简单接受的情况下可以选择转移风险。转移风险一般有两种选择:找愿意承受风险的主体将风险转移,或者找控制风险能力更强的主体将风险转移。风险转移的一个非常有效的方式是保险,目前网络安全行业保险的最大市场在美国,随着《通用数据保护条例》(General Data Protection Regulation,GDPR)的颁布,欧洲的网络安全保险市场也开始壮大,但在中国目前还非常少见。
以上我们弄清楚了什么是风险,也弄清楚了风险的处置方式。这里还少了一个中间环节,就是风险的评估,没有评估工作,风险自然无从谈起,更不要说处置了。
其实2.1节提到的对于核心问题的识别也是一种不成体系的风险评估,因为有些风险就是很容易评估出来的,但如果想更全面地认清系统面临的风险,就必须按风险评估的标准执行。
2.2.2 ISO 27000
ISO 27000的整体内容是面向策略的,概述了安全规划所需要关注的方向,其标准体系关系如图2-1所示。ISO的标准是通用的,这意味着我们不能拿来就用,而是需要安全团队在考虑企业实际情况的基础上,将其应用到企业的具体需求上。ISO 27001的目标就是以风险评估为基础,以PDCA(Plan,Do,Check,Act)为方法论建立企业的信息安全管理体系。
2.2.1节简单介绍了风险评估,风险评估是ISO 27001的基础,而ISO 27001则是ISO 27000系列标准的主标准。ISO/IEC 27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年英国标准协会(British Standards Institution,BSI)重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则;BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(Information Security Management System,ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
●图2-1 ISO 27000标准体系关系
我们把定义放在一边,先看看ISO 27001有什么用。
(1)获取资质
通过ISO 27001认证意味着企业从技术到管理都具备了一定的高度,所以很多甲方招标的时候都需要企业通过该认证。直白点说,ISO 27001认证可以帮助企业在安全层面更具可信度。为了获取资质而需要通过该标准的企业,需要认真研读标准,并聘请专业的第三方公司来协助完成各类体系的建设,将通过认证作为最终目的。
(2)作为参考
在企业安全建设过程中总要有一些可以参考的标准作为基础,一方面告诉高层领导安全建设不是随便想出来的;另一方面也给安全体系设计者一个更全局的视角,让设计者不仅仅着眼于眼前的一些应急事件。把标准作为建设参考的情况下,需要对企业现状有更多的了解,也更有主见。因为企业安全建设的目的不是通过认证,所以可以舍弃那些我们认为并不重要的关注点。
既然ISO 27001是有用的,就要了解这个标准到底都讲了什么,因为笔者希望尽量让标准好读,所以下面的内容将略去一些术语定义、规范文件等章节,介绍ISO 27001主要章节的内容。
1)组织环境(ISO 27001第4章):这部分主要从内部和外部两个方面,介绍应该如何确定安全管理所需要确定的范围,以及确定这些范围的时候应该考虑的问题。
2)领导(ISO 27001第5章):这部分明确了安全组织应该得到领导层支持的承诺。并列举了承诺可能包含的内容;高层管理者制定安全方针可能涵盖的内容;还有很重要的,高层需要给安全管理者的职责和权限范围。
3)规划(ISO 27001第6章):从风险应对和安全目标规划两个层面对于安全风险识别、处置的目标和安全目标实现所需的关注点。
4)支持(ISO 27001第7章):从资源、能力(主要指信息安全专业能力)、意识和沟通几个方面做了宏观要求,同时给出了对上述信息的记录原则。
5)运行(ISO 27001第8章):明确要求了系统重大变更时要进行风险评估,同时对外包做出了宏观的要求。这部分内容原文很短,但却是整个安全落地的环节。
6)绩效评价(ISO 27001第9章):非常明确且简要地对监测的各个维度做出了要求,同时对内审所需要的材料做出了要求。
7)改进(ISO 27001第10章):在要求对不符合项做出纠正的同时,要求了不符合项不在其他时间或位置发生。笔者认为这是个非常重要的环节,我们在日常工作中经常会发现老生常谈的问题好像永远解决不了,这就是标准给我们带来的价值。
如果上面的简介能让你有兴趣去读一读ISO 27001原文,笔者将非常欣慰!但第一次读的感觉很可能是两个字——失望,你会感觉什么都说了,但也什么都没说。比如,组织和环境中关于“理解相关方的需求和期望”的描述只有两点:①与信息安全管理体系有关的相关方;②这些相关方与信息安全有关的要求。(注:相关方的要求可能包括法律法规要求和合同义务。)
是不是感觉什么都没说?是的,如前文所述,标准为求普适性和全面性而损失了可读性。我们在读这些标准的时候要有还原问题的能力。例如,“与信息安全管理体系有关的相关方”我们要还原的问题是:谁与安全管理体系相关?解答这个问题我们需要内部充分讨论,甚至头脑风暴,来列举这些相关方。内部列举得差不多了,再通过外脑来帮助我们审核所列内容的全面性,以及是否需要分阶段地将不同部门纳入这个范围。基本流程如图2-2所示。
●图2-2 标准落地基本流程
将标准落地意味着大量的工作,所以笔者认为对于ISO 27001这类的标准来说,仅仅停留在阅读层面是远远不够的。
PDCA是Plan(计划)、Do(执行)、Check(检查)和Act(处理)的缩写。由于是戴明最早对这个理论进行宣传才使得PDCA在行业内获得广泛认可,所以这个循环框架又称为“戴明环”,如图2-3所示。ISO 27001将这个方法论作为安全建设的基本方法论。
●图2-3 PDCA模型
P(Plan)计划:包括从方针制定、目标确立到预算执行、实施规划等大量内容。也就是说前期规划性工作都在这个层面完成。
D(Do)执行:落地前期规划的内容,但在Do这个阶段还涉及Plan的工作,这在后文会解释。
C(Check)检查:执行结束后要客观评估执行结果,客观是关键,如果仅仅是写个报告邀功,这不是Check。
A(Act)处理:处理(Act)和执行(Do)的区别是,处理(Act)的目标是检查结果,而执行(Do)的目标是计划(Plan)方案。
从图2-3可以发现,PDCA是一个循环,但并不是一个平面的循环,每一个循环都代表着整体能力的提升。在执行PDCA时,团队负责人要关注这一点,如果每次循环都回到上一次的起点,那说明整体过程的执行是失败的,如图2-4所示。
●图2-4 PDCA嵌套及阶梯模型
2.2.3 等级保护
近年来我国对等级保护的要求越来越严格,尤其在《中华人民共和国网络安全法》(以下简称《网络安全法》)出台之后,很多安全管理者都面临着很大的压力。以前出现问题是工作失职,现在是违法。但这也给安全部门一个很好的机会,等级保护在某些企业中算是强制措施,这让安全团队可以通过等级保护合规建设给企业一个基础的安全保障。
等级保护共分为5级:前两级是系统遭到破坏后损害公民利益,但不损害国家利益的情况下可以评定的级别;后三级是系统遭到破坏后在损害公民利益的同时,不同程度地损害国家利益的情况下可以评定的级别。
等级保护的定级要由有资质的机构对系统进行定级并备案,而非由企业自主决定。但对于企业信息系统的保护是由企业自行组织资源进行的(自主保护原则),同时在同一个企业中不同的系统可以根据重要性不同定义成不同级别(重点保护原则),而且在系统的各种调整中要同步投入一定比例的资金,同步调整安全保障措施(同步建设原则),最后要根据系统类型的变化随时调整等级保护的级别(动态调整原则)。
《信息安全技术网络安全等级保护基本要求》GB/T 22239—2019(以下简称等级保护2.0)于2019年5月13日正式发布。相比1.0,等级保护2.0增加了可信计算、通报预警、安全监测、态势感知和应急处置等方面的要求,同时增加了工控系统、云计算、物联网和移动系统的要求。另外,等级保护2.0归并了1.0中的部分要求。
与ISO 27001不同,等级保护更偏重于落地。它通过200余项要求(三级等保2.0共230项)规范企业的安全措施。但这些检查项都不一定用同一种解决方案来满足,比如其中一条:网络安全—网络设备防护—身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求,并定期更换。
满足这条检查项简单的方案可以通过管理制度来要求各系统的长度、复杂度及口令更换周期,当然也可以通过单点登录系统,并在系统中强制上述规定,甚至采用多因素认证来一站式解决多个问题(包括等级保护中对多身份鉴别的部分要求)。
由此可见,每条等级保护的检查项都可能通过不同手段满足,每种手段也可以同时满足多条检查项,所以在等级保护合规建设时,我们要根据企业实际情况选择最具性价比的解决方案。
从另一个维度来说,等级保护并不强制要求系统满足所有检查项,只需“基本满足”即可,这给企业留下了充分选择的余地。但笔者认为,等级保护的要求是企业安全保障的基本要求。如果只想通过等级保护的评测,可以有很多办法,但想做好企业安全可就没有那么简单了。笔者在前些年做等级保护的时候就思考过这个问题——如何面对合规。
2.2.4 如何面对合规?
无论是ISO 27001还是等级保护,如果仅仅是为了拿证书、为了符合要求而去套标准的话,这项工作就会变得相对简单。举个等级保护的例子,以下是一个检查项。
网络安全—访问控制—能够根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制颗粒度为端口级。
满足这个检查项只需要有防火墙就够了,但防火墙是不是空策略?策略是白名单还是黑名单?黑白名单有没有根据业务情况随时调整?防火墙所处的位置是否能控制安全域间的所有流量?
这些问题对一个外部检查者来说绝对是无法完全回答的,只要防火墙里有几十条策略,这个检查项就算过了,至于有没有真正将访问控制策略做到位则只有企业安全负责人,甚至是一线运维工程师才知道。
再深入一层,如果需要做到实时防御,还需要检测系统与防火墙进行联动,快速封堵恶意IP。这些都是简单的检查项无法要求的。
对于合规,企业安全团队自己要是想蒙混过关,谁也没办法检查得出来,只能由事件驱动整改。但这些事后补救措施给企业能带来多大价值?如果你的企业在一次恶性安全事件后一蹶不振呢?这个时候补救又有什么意义呢?
从另一个方面来说,安全团队要善于利用企业合规需求开展安全工作,基本上可以从如下四个方面开展。
1)查缺补漏:前文提到,标准虽然写得简略,但覆盖面还是很全的,用标准来检查安全系统建设的全面性是个非常有效的方法。
2)安全基线:标准是安全的基线,根据实际需求,安全建设上不封顶。
3)预算来源:对比单纯通过安全项目来申请预算,合规需求更能说服内部。
4)沟通的尚方宝剑:在推动安全建设的过程中,通过合规需求来推动平级部门支持是相对容易的方法。
这是笔者对于合规的一些看法,供参考。