2008年5月20号,互联网安全中心宣布公开推出一套衡量互联网信息安全的标准。这个组织主要是致力于帮助企业降低业务风险和减少由于缺乏足够技术安全控制而导致的电子商务损失。本文着重介绍的就是互联网安全中心的安全标准。
简单来说,互联网安全中心主要是致力于建立安全基准,即以安全从业人员在真实世界中的实际贡献为测算目标。他们的具体流程描述如下:
互联网安全中心根据网络系统配置和操作的公认最佳实践方法来提供互联网安全基准。中心的安全加强型基准在互联网攻击和破坏方面共包含三个要素:技术(软件和硬件),流程(系统和网络管理)和人员(最终用户和管理行为)。这个基准是公开的,可以供每个人使用。
中心的互联网安全基准的用途是:
为管理者,商业合作伙伴和保险商提供安全标尺,每次标尺的增加都意味着一系列安全加强的行动。这种安全标尺能帮助互联网安全中心为企业选择出最适合他们的安全级别,执行与所选安全级别相关的特殊技术措施;
对之前执行的措施进行干预,在攻击发生期间和发生之后减少损失;
根据特殊行业和风险预测采取定制方案,比如1996年健康保险可携连带责任法案(HIPAA)要求卫生保健部门执行的隐私和安全保障措施。
不是强制执行的技术需求几乎很少能产生效果。为了确保基准能发挥作用,互联网安全中心将研发和展开以下行动:
法规遵从/审计措施,包括互联网安全中心认证的自动化厂商工具来确保基准执行的有效性和准确性;
针对系统管理员和审计员的授信指南能帮助他们在执行和审计基准时达到精通的高水准;
保持机密性的方法会激励互联网安全中心的成员和其他人员共享信息来支持基准的更新换代;
网络攻击仍将继续;因此安全基准将继续加强和更新来确保基准能对真实损失做出反馈。
互联网安全中心免费提供的技术标准范围广泛:在完成简单的注册流程后,来访者可以从以下的分类中下载任何或者全部指定的文档(PDF格式)和工具(可执行脚本):
应用软件
网络服务器
数据库
虚拟机
操作系统
Windows
*nix
Mac
Apple iPhone
路由器
防火墙
无线网络
长达90页的"统一标准解析v1.0.0"手册涵盖了以下领域:
事故管理
漏洞管理
补丁管理
应用软件安全
配置管理
金融
以这份手册举个例子,"事故管理"章节的讨论从"安全事故一览表"开始,每个安全事故要尽可能完整的提供数据,这份表格有以下几列:
姓名
类型
需求
描述
表格II包含以下的项目:
事故ID
发生的日期
发现的日期
由谁发现
内部控制的侦测
由谁校验
验证的日期
解决的日期
措施的级别
损失总额
业务系统宕机时间
事故范围
受到影响的系统
受到影响的企业
分类
根源
优先级
发源地
目的地
手册还继续深入定义了特殊标准;举例来说-事故发现的平均时间有以下的目标:
事故发现的平均时间通过测算从事故发生之初到最后被发现之间所需的平均使用时间来确定侦测事故的有效性。事故发现的平均时间测算标准也可以作为衡量企业防御能力灵活性的主要指标,因为它能测算来自已知矢量和未知矢量的攻击侦测能力。
其描述如下:
事故发现的平均时间测算的是企业在侦测安全事故方面的有效性。总的来说,企业发现事故的速度越快,可能引发的损失就越小。事故发现的平均时间是时间的平均取值,以小时为单位,计算了事故发生的日期与发现的日期之间的间隔。计算是根据时间周期,事故类型,业务单元或者激烈程度来进行平均。
基本问题是"在安全事故发生和被发现之间的平均时间是多少?"
目标描述如下:"事故发现的平均时间应该随着时间的流逝不断呈下降趋势。零小时的价值在于它是假设的立即侦测时间。显然测算结果可能是在周到月的时间区间内。由于缺乏现场的实验数据,对于事故发现的平均时间存在的可接受目标价值还缺乏一致性"。
笔者认为我们所有参与测算的人员都应该关注这份手册和互联网安全中心提供的特殊测算标准。共同合作来通过集体的智慧和经验来完善这份手册,我们都可以从中受益。
