在信息安全保障风险管理中最困难的方面之一是我们统计数据的匮乏。我们不知道有多少我们没有发现的安全缺口;我们无法对所有被中心收集点发现的缺口进行汇报;我们用来收集信息的方法如此贫乏,参与调研的受访者比例如此有限,也缺乏内部的确认和后续的跟踪调研。
从实践角度来说,问题的增多正说明了我们应该对了解和管理安全事宜的方法进行测量(诸如如何定义安全度量)。
Isect的工商管理硕士兼注册信息系统审计师Gary Hinson博士最近发表了一篇名为"信息安全度量的七种方法"的优秀论文,这篇文章最初是在2006年7月在首次发表在ISSA周刊上。Hinson博士对这七种常见的主张进行了条理清晰的阐述和挑战(以下引用的是标题):
1.度量必须目标明确并且切合实际
2.度量必须具备离散值
3.我们需要绝对量度
4.度量需要成本
5.你无法对你不能测算和不能改进的部分进行管理
6.有必要测算处理结果
7.我们需要数字!
Hinson博士在"信息安全测量系统的一些实用设计考虑"一章中探讨了关键问题(再次引用它的标题):
1.我们打算测算什么
2.我们该如何进行测算
3.我们将如何汇总?
4.我们该如何实施度量和汇总系统?
5.设定目标
Hinson博士的参考文献包括美国国家标准技术研究院特别出版物800-55,"信息技术系统的安全度量指南"。自从他的论文发表后,这份出版物也进行了相应的修改。
美国国家标准技术研究院特别出版物800-55修订版1名为"信息安全的性能测量指南‘出版于2008年7月。这份长达80页的文献是由Elizabeth Chew, Marianne Swanson, Kevin Stine, Nadya Bartol, Anthony Brown和Will Robinson共同完成的。
作者总结了使用测算的优势如下:
改进了可说明性
提高了信息安全的有效性
阐述了法规遵从
为资源分配决策提供了量化输入
这份文献提供了与研发和使用安全度量有关的发人深省的分析,包括美国联邦政府发行的诸如联邦信息安全管理法案中的观点。第五章节为研发适当的度量方式提供了有价值的计划,第六章节为这些度量执行数据手机提供了可行性建议。
对安全度量有兴趣的读者还有一个有用的参考文献是最近(2009年3月)出版的名为"安全度量研究的方向"的文献,作者是Wayne Jensen。这份长度为26页的文献令人感兴趣的摘要如下:
大约100多年以前,Lord Kelvin发现测量对于物理科学的深入研究和探索有着至关重要的作用。在过去的几十年中,研究学者们做着各种尝试来为计算机安全研发测量系统,并取得了不同程度的成功。这份文献提供了安全度量领域的观点,关注推动技术发展水平颈部的研究途径。
Jensen的文献比其他论文更加深入的探讨了安全度量:他对基础原理进行关注。举例来说,他的第三章和第五章有以下的议题:
3.1正确性和有效性
3.2领先指标与后续指标的对比
3.3有组织的安全目标
3.4定量和定性的方式
3.5大型测量与小型测量的对比
4.可能的研究领域
4.1 安全测算和度量的正式模型
4.2历史数据收集和分析
4.3人工智能评估技术
4.4可行的具体测算方式
4.5固有的测算组件
笔者鼓励读者投身这个令人着迷的研究领域,参与自己感兴趣的专业领域的讨论。笔者认为论文概述为这些讨论提供了卓越的基础。