Gartner：2021-2022年8大网络安全预测

第 1 页1

隐私法案、勒索软件攻击、信息物理系统和董事会级别审查，逐渐成为安全和风险负责人需要优先关注的事项。

作者：Kasey Panetta

“如何确保我们的消费者不会受到流氓代理造成的人身伤害？”这是安全和风险负责人在未来需要预测和规划的问题。
信息物理系统（如自动驾驶汽车、数字孪生）的激增引发了组织的另一个安全风险。而我们对未来几年首先要预测的内容之一，就是威胁行为者将如何针对这些系统发起攻击。

“我们正在养成吃老本的坏习惯，妄图一招鲜吃遍天，”Gartner主任分析师Sam Olyaei在Gartner IT Symposium/XPO™ 2021的演讲中说。”这其实难以为继，我们需要不断地让思维、理念、方案和架构都保持进步。”

安全与风险管理已经上升为企业董事会层面的议题。随着安全漏洞的数量和复杂程度不断攀升，为保护消费者权益，新的立法相继出台，企业也将安全置于商业决策的首要位置。

Gartner分析师预测，未来几年将出现更多的权利下放、监管措施和安全问题。您应当将这些战略规划设想纳入未来一年的路线规划。

1.到2023年底，现代隐私法案将涵盖全球75%人口的个人信息

GDPR是第一部针对消费者隐私的重要立法，但其他法律很快效仿，包括巴西的《通用个人数据保护法》（LGPD）和《加州消费者隐私法》（CCPA）。这些法律所辖的范围之广，表明您将在不同的司法管辖区内同时应对多项数据保护法律，客户会想知道你收集了什么样的数据以及将如何使用这些数据。这也意味着你需要专注于自动化你的隐私管理系统。您应当以GDPR为基础，实现安全运营的标准化，然后针对其他各个司法管辖区进行调整。

2.到2024年，采用网络安全网格（cybersecurity mesh）架构的组织，将把安全事件对财务造成的影响平均降低90%

时至今日，组织需要在不同的地方支持各种技术，因为他们需要灵活的安全解决方案。网络安全网格扩展并覆盖了传统安全边界之外的身份，并构建了组织的整体视图。它还有助于提高远程工作的安全性。这些需求将在未来两年内推动更多组织采用网格架构。

3.到2024年，30%的企业将采用来自同一供应商的云交付安全Web网关（SWG）、云访问安全代理（CASB）、零信任网络访问（ZTNA）和防火墙即服务（FWaaS）功能

企业正在倾向于优化和整合。安全负责人通常管理着数十种工具，但他们计划将其整合至十种以下。SaaS将成为首选的交付方式，而其与硬件的整合将影响选用时限。

4.到2025年，60%的组织将把网络安全风险作为进行第三方交易和业务往来的主要决定因素。

投资者，特别是风险投资人，正在将网络安全风险作为评估投资机会的关键因素。越来越多的组织在商业交易中关注网络安全风险，包括并购以及供应商合同。其结果是通过问卷调查或安全评级来获取合作伙伴更多的网络安全计划数据。

5.到2025年底，通过立法来规范勒索软件的赎金支付、罚款和谈判的民族国家比例将上升至30%，而2021年这一比例还不到1%。

虽然目前可能存在更广泛的法规适用于勒索软件赎金支付，但安全专家应当预测到未来将会针对赎金支付进行更严厉地打击。鉴于加密货币市场大多不受监管，支付赎金存在伦理、法律和道德方面的问题，因此必须将由此带来的影响考虑在内。支付（或不支付）的决定应该由一个能够解决所有这些问题的跨职能团队来承担。

6.到2025年，40%的董事会将会设立专门的网络安全委员会，并由一名具备资质的董事会成员监督

随着网络安全成为（并持续作为）董事会最关注的问题，我们有望看到一个董事会级别的网络安全委员会，以及更严格的监督和审查。这增加了组织对网络安全风险的可见性，并需要一个新的董事会报告方式，其细节可能取决于特定董事会成员的背景和经验。您应当将信息传递的重点放在在价值、风险和成本上。

7.到2025年，70%的首席执行官将要求建立组织弹性文化，以应对同时来自网络犯罪、恶劣天气事件、国内动乱和政治动荡的威胁

考虑到更广泛的安全环境，我们需要越过网络安全，走向组织弹性。数字化转型增加了威胁环境的复杂性，这将影响您生产产品和提供服务的方式。您应当开始制定组织弹性和目标，并建立一个影响它们的网络风险清单。

8.到2025年，威胁行为者会成功地将运营技术环境武器化，足以造成人员伤亡

随着恶意软件从IT（信息技术）领域扩散到OT（运营技术）领域，它将安全话题从业务中断转移到物理伤害，其责任最终可能由CEO来承担。您应当关注以资产为中·心的信息物理系统，并确保有团队来解决相应的管理问题。

来源：互联网安全内参

一、密码技术在《个人信息保护法》中的基石地位

《个人信息保护法》是个人信息领域的基本法律。其承继和细化了《民法典》和《网络安全法》中关于个人信息保护的规定，从个人主体的权利、个人信息处理者的义务和监管者职责等多方面塑造了中国个人信息保护规则的全貌。整体上，《个人信息保护法》是一部保护法，其对个人信息处理技术的规范是“内向”性的，而对于包括个人信息在内的数据开发、利用和资源化，则更多的是《数据安全法》的平衡考虑和立法目的。

从上述出发，便不难理解为何密码技术在《个人信息保护法》中具有基石性的重要地位。

密码对于《网络安全法》和《数据安全法》等所界定的网络数据“属性”保密性、完整性和可用性的保障和实现具有重要作用。密码对个人信息和数据的保密性维护自不待言，通过“特定变换的方法对信息等进行加密保护”，是《密码法》定义的基本表述，属于密码“基因”上的功能要求。密码对完整性的维护，是密码对保密性、可用性保障功能的自然推导，SM3、SHA-3等哈希算法和ZUC的完整性算法都是为此而生。至于可用性，一方面指向信息和数据的普遍可获得性，另一方面，什么人访问什么信息，知情同意、因需知晓又有赖于访问控制，可利用密码的身份鉴别、密钥管理等安全认证机制和功能实现。欧盟的GDPR中，也有使用加密技术措施保护个人数据不被未经授权访问的明确规定（第32条、第34条等）。

二、密码技术在《个人信息保护法》中的体现——以第51条为例

1、《个人信息保护法》对加密等去标识化的要求

  对个人信息进行安全技术措施保护，是《个人信息保护法》规定的企业个人信息安全保护义务的基本要求，这一要求需要对存储的静态数据，传输中的动态数据，以及随时处于流动的无论其状态的各种数据采取符合法律要求、行业实践和保护惯例的技术措施。其中，被《个人信息保护法》“点名”的加密，则成为了安全技术措施的基线要求。通过部署加密进行数据保护也是企业具有性价比的较优实践选择。同时，密码技术也通过各种组合方式，体现在第51条规定的其他主流“去标识化”安全技术措施之中。

  在当前各种隐私计算技术风起云涌的背景下，对这些涉及个人信息的计算模式、方法进行准确的法律定性，应该是开展相关技术措施活动的重要前提，否则，认知偏差会导致对技术的负面法律评价，从而引入新的法律风险。

在之前的公众号文章：“隐私计算工具的《个人信息保护法》评价（二）——密码家族(beta)”中，我们已经探讨并得出结论，将各类隐私计算技术归入去标识化，而非匿名化技术措施。

按照《个人信息保护法》的定义，去标识化是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。

由此可以看出，去标识化之后的信息，本质上仍然属于一种“个人信息”，只是这种“个人信息”对自然人的识别，有待于额外信息的引入和触发——换言之，只是增加了识别这些自然人身份和状态的困难。比如加密后的个人信息，呈现的可能是一种“乱码”的状态，但这些密文个人信息在借助额外信息（比如密钥）解密后，就“泥板上的字迹依然清晰可见”。因此，去标识化是一种可逆或近似可逆的过程，即通过去标识化处理后的信息本身无法指向特定个人，但只要结合额外信息并通过计算，就能够指向特定个人。去标识化的技术价值在于通过对额外信息的权限控制使得个人信息可以有条件的流转，其法律价值在于通过现有技术的动态评价，逐渐逼近“匿名化”的法律状态，从而对特定场景、特定技术的个人信息安全状态和保护义务履行程度形成法律评价。

而匿名化后的信息，法律定性为不属于个人信息。因为按照匿名化的定义本意，已经无法识别自然人，且不能复原。当然读者可能会问，是否存在真实可用的匿名化技术？这个问题的法律答案是，法律可以对某种技术在实际个案中是否保护或导致个人信息识别做出判定，因此在具体个案中，存在使用某一技术是否做到了匿名化的法律评价。

因此，匿名化不仅是一种理想化的技术目标，目前所有的隐私计算工具（隐私和个人信息的差别，见《民法典》1032-1034条）都朝着这个方向努力，同时也可以是法律对个人信息保护的裁判标尺。尽管两者并不等价，尽管随着技术的发展，当前认为无法识别自然人的技术，在可预见不久就或许能够与其他技术结合识别出具体的个人。

2、密码技术在去标识化技术中的作用体现

按照公开信息和相关标准总结，目前常见的去标识化技术主要有以下这些种类（受限于认知水平，只选取了部分而非全部的去标识化技术。为本文目的，不讨论这些技术的脆弱性），读者可以看出，密码技术在去标识化，从而也是在个人信息保护技术措施中的基础地位。需要指出的是，去标识化的这些技术并无严格的非此即彼的区分，在工程实现上往往是基于去标识化模型的多种技术组合。而《个人信息保护法》对处理者义务的精细化规定，未来必然也将会对去标识化技术的发展和调整产生深刻影响。

因此，如果说“隐私设计”等概念要求在个人信息处理的启动阶段（甚至之前）就在产品、服务中植入个人信息保护的理念，“基于密码技术的隐私设计”则意味着在进行任何的产品、服务设计之时，也应当将密码技术作为默认的基本配置，保障个人信息有序处理和安全合规二者兼得。

三、结论评价

整体评价上，首先应明确对去标识化技术的使用，是作为《个人信息保护法》第51条的义务合规进行，而不是作为第24条“自动化决策”的目标。否则就会涉及到《个人信息保护法》对自动化决策的规制和启动第55条规定的个人信息保护影响评估——当然技术应用本身的多向性可能无法避免。

其次，这些常用的去标识化技术的使用，至少从理论上降低了个人信息的敏感程度——从而也弱化了企业可能面临的合规风险，可以满足《个人信息保护法》第51条规定的要求，但在具体的实现和个案中，仍然需要接受司法的放大镜审视，因为算法本身的安全性和算法实现的安全性之间存在着不小的差距。

再次，正如去标识化的法律定义，去标识化可能通过借助额外信息实现对个人信息的“重新标识”，因此实务中不同的去标识化技术会通过综合算法模型、需要消耗的资源、可能引入的风险等因素进行评价和使用，以在增加重新识别的难度的同时，确保资源的消耗在可接受的成本范围之内。

最后，《个人信息保护法》的施行，已成为未来企业个人信息合规的重要法律来源。当技术风险对个人信息产生风险和危害时，法律通过义务和责任的方式对技术进行规范和约束，设定了保护个人信息的屏障。但这个屏障的控制实现，却又需要通过技术措施的方法实现。这大概就是技术和法律的“互博”与“共进”吧。

来源：炼石网络CipherGateway

近日，Netscout的网络安全研究人员警告说，滥用互联网审查系统实施新型分布式拒绝服务(DDoS)攻击的时机已经成熟。

研究人员表示，滥用的可能性令人担忧，因为这是反射或放大攻击技术，一旦发动将“对全球网络构成威胁”。

攻击流量可被放大70万倍

据Netscout安全人员介绍，此类DDoS攻击利用了Middlebox HTTP反射/放大(MBHTTP)错误配置漏洞，攻击流量可被放大70万倍！

此类DDoS攻击类型属于HTTP反射/放大，这意味着攻击者不但可以放大他们生成的恶意流量，同时还能掩盖攻击流量的来源。基于HTTP的DDoS攻击向目标服务器发送大量垃圾HTTP请求，占用资源并阻止用户使用特定站点或服务。

研究人员表示，除了被利用实施大规模DDoS攻击外，审查系统本身也会瘫痪，流量分析工具离线，合法流量也被阻止。

数以千万计的设备暴露

据Netscout透露，来自马里兰大学和科罗拉多大学博尔德分校的联合研究小组首先发现了这个广泛存在的配置漏洞。据估计，有超过2亿个IP地址可被用来发起此类攻击。

在上周五发布的技术分析中，Netscout安全专家Robbins Roland和Steinthor Bjarnason指出：“这些设备中有数千万个暴露在外并容易受到黑客的滥用，其中大约1800万个设备提供至少2:1的放大系数，从而成为对手可用的最多产的反射器/放大器类型之一。”

为什么攻击审查系统？

研究人员发现，受影响的审查系统特别容易受到这些类型的攻击，因为：

由于审查系统的设计者渴望在非对称路由场景中扩展其性能和功能，往往会选择在审查系统拒绝列表响应URI请求之前不明智地放弃对完整TCP握手的要求；

可滥用系统往往会配置和部署在北向接口上拦截和响应入站欺骗或精心设计的攻击发起者数据包，而不是仅在其南向接口上拦截和处理出站流量；

一些可滥用系统处于路由环路中，从而可被转换为无限循环的反射器/放大器。

Netscout表示，许多审查系统在设计上存在瑕疵，其部署策略使得攻击者能够以类似其他反射/放大DDoS攻击的方式合成对被拒绝的FQDN和/或URI的欺骗请求。这会导致被放大的HTTP响应被定向到攻击目标。

配置错误导致审查系统容易受到攻击

该漏洞的核心是审查系统的常见错误配置，该系统以特定方式响应来自统一资源标识符(URI)的HTML阻止通知页面。

“由于缺乏对TCP三向握手的执行，攻击者可以假冒目标的IP地址，选择源端口和目标端口，以启动高pps/-bps HTTP反射/放大攻击，”研究人员写道。

攻击者也可以轻松隐藏攻击。

“熟练的攻击者可能会选择源端口和目的端口，目的是让放大的攻击流量符合常见的网络访问控制策略，从而伪装攻击流量，使其乍一看在目标应用、服务和基础设施环境中似乎是合法的。”Netscout指出。

风险缓解建议

Netscout建议网络运营商尽快识别可被滥用的审查系统并将其暂时移除。

研究人员写道：“发现这种攻击方法的安全研究人员已经发布了ZMap扫描软件的定制分支（https://ieeexplore.ieee.org/document/9474303/），以及可用于识别容易被滥用的审查系统的模块。”

来源：GoUpSec

2021年7月30日，国务院总理李克强签署第745号国务院令，公布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。日前，司法部、网信办、工业和信息化部、公安部负责人就《条例》有关问题回答了记者提问。

问：请简要介绍一下《条例》出台的背景?

答：党中央、国务院高度重视关键信息基础设施安全保护工作。关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。保障关键信息基础设施安全，对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。当前，关键信息基础设施面临的网络安全形势日趋严峻，网络攻击威胁上升，事故隐患易发多发，安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题，亟待建立专门制度，明确各方责任，加快提升关键信息基础设施安全保护能力。2017年施行的《中华人民共和国网络安全法》规定，关键信息基础设施的具体范围和安全保护办法由国务院制定。出台《条例》旨在落实《中华人民共和国网络安全法》有关要求，将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。

问：制定《条例》的总体思路是什么?

答：在总体思路上主要把握了以下三点：一是坚持问题导向。针对关键信息基础设施安全保护工作实践中的突出问题，细化《中华人民共和国网络安全法》有关规定，将实践证明成熟有效的做法上升为法律制度，为保护工作提供法治保障。二是压实责任。坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。三是做好与相关法律、行政法规的衔接。在《中华人民共和国网络安全法》确立的制度框架下，细化相关制度措施，同时处理好与相关法律、行政法规的关系。

问：开展关键信息基础设施安全保护工作，各部门的职责分工是什么?

答：《条例》第三条规定在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作；国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

问：关键信息基础设施如何认定?

答：《条例》从我国国情出发，借鉴国外通行做法，明确了关键信息基础设施的定义和认定程序。一是明确关键信息基础设施的定义。二是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。三是明确由保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并组织认定本行业、本领域的关键信息基础设施。四是规定关键信息基础设施发生较大变化，可能影响其认定结果时，运营者应当及时报告保护工作部门，由保护工作部门重新认定。

问：《条例》对保护工作部门职责作了哪些规定？

答：依据《中华人民共和国网络安全法》有关规定，按照“谁主管谁负责”的原则，《条例》明确了保护工作部门对本行业、本领域关键信息基础设施的安全保护责任：一是制定关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。二是建立健全网络安全监测预警制度，及时掌握关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。三是建立健全网络安全事件应急预案，定期组织应急演练。四是指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。五是定期组织开展网络安全检查检测，指导监督运营者及时整改安全隐患、完善安全措施。

问：为强化和落实关键信息基础设施运营者主体责任，《条例》主要作了哪些规定?

答：《条例》在总则部分对运营者责任作了原则规定，要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

《条例》还设专章细化了有关义务要求，主要包括：一是建立健全网络安全保护制度和责任制，实行“一把手负责制”，明确运营者主要负责人负总责，保障人财物投入。二是设置专门安全管理机构，履行安全保护职责，参与本单位与网络安全和信息化有关的决策，并对机构负责人和关键岗位人员进行安全背景审查。三是对关键信息基础设施每年进行网络安全检测和风险评估，及时整改问题并按要求向保护工作部门报送情况。四是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，按规定向保护工作部门、公安机关报告。五是优先采购安全可信的网络产品和服务，并与提供者签订安全保密协议；可能影响国家安全的，应当按规定通过安全审查。

问：对于关键信息基础设施安全保护工作，《条例》明确了哪些保障和促进措施?

答：保障关键信息基础设施安全，需要统筹资源和力量，全方位实施保护。《条例》在保障方面，一是明确建立网络安全信息共享机制，并规定工作中获取的信息只能用于维护网络安全，不得泄露、出售或者非法向他人提供。二是对国家有关部门开展安全检查作出规定，要求避免不必要的检查和交叉重复检查，检查不得收费，不得要求被检查单位购买指定产品和服务；同时规定任何个人和组织未经授权不得对关键信息基础设施进行探测测试等活动。三是规定国家网信部门和国务院电信主管部门、公安部门等根据保护工作部门需要，提供技术支持和协助。四是明确国家对能源、电信等关键信息基础设施安全运行实施优先保障。五是规定公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫，防范打击针对和利用关键信息基础设施实施的违法犯罪活动。六是明确国家出台安全标准，指导规范关键信息基础设施安全保护工作。《条例》在支持促进方面，从人才培养、技术创新和产业发展、网络安全服务机构建设与管理、军民融合、表彰奖励等方面作了相应规定。

问：对实施危害关键信息基础设施安全活动的个人和组织，或未经授权或批准，对关键信息基础设施实施漏洞探测、渗透性测试等活动的个人和组织，《条例》作了哪些规范?

答：实践中，一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动，影响关键信息基础设施安全。《条例》一是明确任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。二是规定未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。三是在法律责任章节中专门规定了相应罚则。

问：关键信息基础设施中的重要数据出境如何进行?

答：《中华人民共和国数据安全法》已由第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过，将于9月1日起实施。其中，第三十一条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。《中华人民共和国网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

来源：安华金和

健康技术公司飞利浦和网络安全公司 CyberMDX 本周发布了一份新报告，涵盖了大中型医院的网络安全支出和趋势。报告对 130 名 IT 医疗行业决策者进行了调查，以了解他们如何管理当今大多数医院中使用的数千种医疗设备。

以下是报告中的亮点数据：

超过 31% 的受访者在医疗设备少于 10,000 台的医院工作，而另外 29% 在医疗设备少于 25,000 台的医院系统工作。近 20% 的人为部署 50,000 台以下设备的医院系统工作。

虽然大多数受访者很清楚他们的医院系统中部署了多少设备，但 15% 的中型医院和 13% 的大型医院无法知道其网络上的设备数量。

几乎一半的受访者认为他们在医疗设备和物联网安全方面的人员配备“不足”，大多数人报告称，平均网络安全人员约为 12 或 13 人。

近 40% 的大型医院系统使用物联网安全解决方案来保护他们的设备，而 16% 依赖医疗设备制造商提供的安全性。有些人还求助于 IT 设备供应商或第 3 方系统集成商。中型医院的数字几乎相同，但更依赖医疗设备制造商来确保安全。

受访者将 NotPetya、MDHex、MDHexRay、Ryuk、Wannacry、Apache Struts、BlueKeep 列为最常见的漏洞。超过 51% 的受访者表示，他们的医院“没有受到 Bluekeep 漏洞的保护，而 WannaCry 和 NotPetya 的数字分别增加了 64% 和 75%。”

大中型医院系统的平均年度 IT 支出约为 300 万至 350 万美元。每年平均约 30万美元用于医疗设备和物联网网络安全。

近 80% 的大中型医院系统通过重大攻击的日志来衡量网络安全投资回报率，同时还使用“发现的关键漏洞总数”和“节省的时间”作为成功的衡量标准。

医院网络安全从未如此重要。HHS 的一份报告发现，今年全球至少发生了 82 起勒索软件事件，其中 60% 专门针对美国医院系统。

报告指出，医院现在在应对网络攻击时必须处理患者安全、收入损失和声誉损害，而且这些攻击的频率还在不断增加。

近一半接受调查的医院高管表示，他们在过去六个月中曾因外部攻击而被迫或主动关闭设备。

中型医院系统在医疗设备停机期间苦苦挣扎。大型医院面临平均 6.2 小时的停工时间和每小时 2.15万美元的损失。但对于中型医院来说，情况要糟糕得多，其 IT 主管报告称平均停机时间为 10 小时，每小时损失 4.57万美元。

审计常常被视为一种手动的、由主题驱动、烦琐的、有时甚至是高度主观的实践。随着围绕 IT 专业人员的数字化颠覆，是时候探索下一代人工智能 (AI)、自然语言处理 (NLP) 和机器学习 (ML) 技术如何帮助审计职业了。这些技术有几个方面可能在审计生命周期及以后派上用场，了解类似技术如何应用于其他 IT 和业务场景会很有帮助。理解人工智能带来的机遇可以成为了解人工智能 (AI)、自然语言处理 (NLP) 和机器学习 (ML) 的好处及其众多用途的垫脚石。

数字时代的审计

审计的实践已有一个多世纪的历史。一开始作为会计师的工作，现在已经在各行各业开展，重点是满足监管要求或进行基于风险的审计。尽管审计的类型和方法或模式随着时间的推移不断发展，但审计界仍面临着重大问题，包括不当的审计计划、对不断变化和演变的风险的忽视、审计师偏见、与被审计方的不一致以及偏颇的数据样本等。

审计师在数字时代的角色需要演变和适应，即审计是一种从大型数据集中识别模式和趋势的机制。这些见解为风险评估、项目范围确定以及主动和提早识别潜在问题等提供了支持。例如，在当今快速发展的技术领域中，现有的AI和ML技术不仅可以检测欺诈交易和识别高风险问题，如来自用户端点的未知系统活动，而且还可以从此类干预中构建学习模型。

AI干预

人工智能是若干技术领域的统一，这些技术使计算机程序能够模仿人类的智能和决策技能。主要包括ML、NLP和机器人技术。图 1 展示了 AI 世界的景象。图 1 中的许多主题可能是审计领域内几个已知问题和关注领域的潜在问题解决者。例如：

可以改进过程文件的分析和增加审计数据样本量。

由于审计涉及大量非结构化和结构化数据，基于 NLP 的算法可用于检测按主题或重点领域分类的问题。

考虑到审计和评审所花费的时间，审计时间有可能减少 50% 以上。

在审计中使用AI有很多这样的场景和机制。

数字时代的挑战和问题：我们看到的是真实的数据吗？

任何人工智能程序要想成功地解决审计问题，都需要针对数据和数据集的问题。在这方面，以下所有问题的答案都必须是肯定的：

数据的来源是否已知？

数据是否易于获取？

数据是否完整可靠(即数据完整性得到保证)？

唯一真实版本 (SVOT) 是否达成一致？

过去，审计团队的重点一直是在审查和验证审计治理方面利用治理、风险和合规 (GRC) 技术。例如，审计团队使用流行的 GRC 工具（如 RSA Archer、MetricStream 或 ServiceNow）来执行他们以前可能手动完成的半自动化任务。目前，有几个 AI 组件可用于解决数据和抽样问题以及其他内部审计问题。许多 GRC 平台只能将数据处理成报告，可能无法获得明智的见解，也无法独立帮助解决数据/抽样问题。

审计AI子集的另一面：还有哪些其他关键问题？

任何审计计划都可以使用以下参数来衡量其有效性/成功率：

环境——影响内部审计工作的因素

输出——审计工作的最终结果

质量——最终结果的质量

效率——衡量产出和结果质量与成本对比的标准

影响——审计工作对组织有效性的影响

每个类别都应该有几个性能指标。其中一些绩效衡量标准是主观的，例如衡量输出的能力（例如，审计输出的次数与总体审计后、流程合规性成正比）。另一项衡量标准是效率（例如，每次审计可在 8 小时内完成的审计百分比）。然而，挑战在于在不影响审计活动的情况下，基于审计过程中耗时和人力密集型任务的自动化来提高审计的输出、质量和效率。审计过程中的关键AI推动因素是：

预测分析——一种在审计特定领域时使用数据或证据样本大小预测趋势的机制，例如，根据季度数据预测用户离职的违规情况。

机器人流程自动化 (RPA) ——审计步骤的半自动化或部分自动化，例如作为大型审计和风险评估的一部分将数据从数据集中提取到 Word/Excel 中。

NLP ——通过针对手动和重复检查的语音命令自动执行重复性任务。

自然语言生成和接收——创建一个基于 NLP 的机器人，如果审计类型不同，它可以接收和学习新的命令，例如对账或基于清单的检查。

投资回报：短期、中期和长期 AI 推动因素

图 2 总结了审计工作流每个步骤的自动化/AI范围。

“RPA、ML 和 AI 用于审计的最大机会是提供有关海量数据的洞察力和情报。”

很明显，RPA、NLP 和预测分析是一些可以支持审计人员审计方法的技术。

AI/ML 和 RPA 用于审计带来有效优化的机会

审计师必须处理针对合规和其他领域而呈现的海量信息和数据。从审计样本中始终如一地得出结论似乎是不可能的。RPA、ML 和 AI 用于审计的最大机会是提供有关数据海的洞察力和情报。这些机会包括：

减少数据处理周期时间

减少审计期间的监督错误

用 RPA 代替耗时、费力的活动（例如验证证据）

能够做出预测并得出明智的见解（根据现有证据）

风险是什么？

尽管利用 AI、ML 和 RPA 可以使组织受益，但理解和考虑所涉及的风险也很重要：

使用人为构建的AI工具引入了人的判断和成见的伦理和偏见。

对AI结果的不充分测试会产生可疑的结果或审计结果。

人为逻辑错误可能会阻碍用于审计的AI算法的开发。

特定用例

AI和ML技术的应用可以外推到审计生命周期中。要考虑的技术及其用途如图 3 所示。

IT/业务领域的典型应用

AI和ML在反洗钱等其他领域也有一些应用。检测欺诈交易、执行数据质量检查、负面新闻筛选和处理都已通过 AI/ML 技术成功实现自动化。为大型跨国公司银行实施 AI 或 ML 可以节省大量人工开销和对账工作。

例如，一家大型跨国 IT 服务公司帮助一家零售巨头通过 NLP 和使用 Alexa 命令自动填写产品订单和产品申请表。它减少了重复性任务中的人工错误、疏忽和人为干预。

一些律师事务所现在可以使用最先进的AI和ML平台，根据监管和法律需求/管辖权要求，从大量文档和记录中搜索、检索和获取有意义的见解。

结论

在 AI、ML 和 NLP 技术的帮助下，有很多方法可以随着时间的推移改进审计。然而，挑战在于主题专家是否将这些技术视为黑匣子或难以解释或理解的主题。可能很少有精通IT领域的专业人士或专家能够成功地实施AI和ML。IT 专业人员应该采用这些技术来更好地优化审计领域及其他领域。如果IT和审计专业人员能够充分利用RPA/AI/ML，将产生更有洞察力、更高效、可衡量的工作产品。

编者注：本文出自ISACA Journal 2021年第4期。尾注略。根据译者对原文的理解略作增删后翻译。文章内容仅代表作者本人观点。

作者：Shini Menon，CISA，CDPSE，CSM，GRCP，GRCA，SA，是Infosys Business Consulting 的治理、风险和合规 (GRC) 负责人。

翻译：唐四宝（Jerry Tang），CISA， CDPSE， RHCE， CCNP，ISACA微信公众号特邀通讯员。

校对：王岩（Liam Wong），CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE，ISACA微信公众号特邀通讯员。

来源：ISACA

近日，国家互联网信息办公室（以下简称“网信办”）发布了《关于<网络安全审查办法（修订草案征求意见稿）>公开征求意见的通知》（以下简称《征求意见稿》），对《网络安全审查办法》内容提出了重要修订。从此次修订的变化，能够看出网络安全和数据安全发展情势的变化，也可读出其对数据安全政策和产业的影响。

内容修订情况：一条主线

此次《征求意见稿》相比之前的《网络安全审查办法》，其核心修订，也是最为重要的内容变化是加强了对数据安全的关注和规范。具体表现在以下三个方面。

一是将数据安全法增加为立法依据。《征求意见稿》第一条规定：“依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》，制定本办法”，将《中华人民共和国数据安全法》增加为制定依据，直接表明了本次修订的主旨就是通过网络安全审查制度、机制加强对数据安全相关行为的规范。这不仅仅是法规间衔接的要求，更是切实强化数据安全的必然举措。

二是将数据处理活动作为重点规范对象。《征求意见稿》第二条规定：“数据处理者(以下称运营者)开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查”。可见，下一步《网络安全审查办法》的管理范围将有很大拓展，其在规范主体、规范行为两大方面都有扩大。结合近期国家主管部门先后宣布对多家互联网厂商进行审查的情况来看，办法修订生效后，也极有可能成为主管部门加强数据安全执法行动在操作层面的主要法律依据。

三是对数据运营者作出了定量描述。《征求意见稿》第六条规定：“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。从该条规定可以看出，《征求意见稿》将掌握一定数量个人信息的企业赴国外上市，作为应当进行网络安全审查的一种数据处理行为，而且从相关修订条文比重来看，满足特定条件的国内企业赴国外上市很可能成为下一步网络安全审查的重点规范。

此外，《征求意见稿》还涉及到其他重要内容补充修订，如：将证监会增加进审查机制、审查提交材料增加了“拟提交的IPO材料”、特别审查程序由45天延长至3个月等。可见，这些修订内容，也均与数据安全的修订直接相关。

内容修订分析：三个要素

《征求意见稿》立足数据安全主线，其修订内容还充分反映了与数据安全存在密切关联的三个逻辑要素。

（一）数据安全审查——明确机制

首先从法理上看，加强数据安全管理、完善数据安全审查机制是落实《数据安全法》的重要步骤。6月10日颁布的《数据安全法》即将于9月1日正式生效施行，此次《征求意见稿》将数据安全相关内容作为修订重点，无疑是数据安全法正式实施前的一项重要制度准备。《数据安全法》第二十四条明确规定：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查”，尽管此处的“国家安全审查”的方式和范围尚不得而知，但网络安全审查作为国家安全审查的重要组成部分应该是没有异议的。将数据安全纳入网络安全审查范畴，在具体操作中也符合管理效率原则和网络安全保障工作实情。

其次从数据安全的双重含义来看，在审查中不应偏废。理解数据安全应包含两层含义，一个是数据信息本身的安全属性要求，即通常所说的机密性、完整性、可用性、真实性、可控性等属性，可称之为直接安全或内在安全；另一个是因对数据的不当处理行为而带来的安全风险，可以称之为间接安全或外在安全。《网络安全审查办法》此前对于第一种情形即数据的内在安全性已经作出了规定，如第九条第一款“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险”。而此次《征求意见稿》对于数据安全的补充修订，很大程度上是对数据安全的第二层含义，即外在安全性的贯彻。可见，《征求意见稿》对数据安全进行的补充修订，其实质上是完善了数据安全的定义涵盖，而非无根据的随意扩展。因此从本质逻辑上看，数据安全的两个方面均是安全审查的重要对象，二者是一致的也是不可分割的。

（二）国外上市——重要审查场景

从《征求意见稿》内容侧重上不难发现，国外上市是其明确列出的数据运营者所从事的、可能影响国家安全的一种主要行为。加强对特定企业赴国外上市的安全监管，不仅是为了落实《关于依法从严打击证券违法活动的意见》政策要求，更是为管控国外上市带来数据安全风险隐患的客观需要。

尽管对“国外上市”含义的具体界定还有待进一步明确，而仅从近期主管部门宣布启动的几起网络安全审查来看，企业在国外上市的行为，会极大加剧相关重要数据面临的安全风险、以及被政治化歪曲利用的可能。

以美国为例，目前美国证券交易相关的管理规定主要包括《塞班斯法案（Sarbanes-Oxley Act）》、《外国公司问责法案（Holding Foreign Companies Accountable Act）》等，其要求上市公司的核心披露义务主要涉及“财务和管理弱点报告”和“审计底稿”等。这些披露材料乍看似乎与事关安全的重要数据、核心数据等没有太直接的联系，深入分析则会发现，安全隐患主要来源于两个方面。一方面，要求披露的内容本身可能包含某些安全敏感数据，如“审计底稿”通常包括被审计对象的组织机构及管理人员结构、重要合同、董事会会议纪要等，其中可能会包含我国行业数据和消费者信息，能反映我国关键信息基础的运行等情况，若任由美国收集难免影响到我国家安全利益。另一方面，也是风险最大的情况，即在美上市的公司除了负担直接的信息披露义务之外，还有面临各种调查的潜在风险。美国建立了相对体系化的审查调查机制，主导部门包括商务部（贸易调查）、司法部（不正当竞争调查、海外反腐败调查、知识产权调查等）等，一旦上市公司被纳入相关的审查调查，其调查的内容范围就极有可能扩大，也就会加大相关重要数据暴露或被政治化歪曲等的风险。

（三）个人信息——界定审查对象

《征求意见稿》对于数据安全的修订，还有很重要的一条线索就是个人信息保护。从字面上理解，似乎数据安全和个人信息保护的界线相对清晰，前者属于公法范畴，侧重保护公共利益；后者属于私法范畴，侧重保护个人隐私。但二者的密切联系也不容忽视。

首先，掌握个人信息的数量，将直接影响数据运营者的行为性质。正如前所述《征求意见稿》第六条规定了：“掌握超过100万用户个人信息的运营者赴国外上市”的时候，要必须向网络安全审查办公室申报网络安全审查。可见，按照《征求意见稿》该条内容理解，个人信息的定量情况将直接决定着数据运营者的海外上市行为是否影响国家安全，是判定数据运营者在海外上市能否触发网络安全审查的先决条件。

其次，个人信息在一定条件下，将直接转化为重要数据。因为二者在某些情况下存在一定的交集，如特定人物的个人信息、特定群体个人信息的汇聚等都有可能使个人信息转化为重要或核心数据，这些数据因能够反映地区或行业、设施运行情况，从而必须纳入国家安全的视野范围加以保护。例如网络上曝光的对某些国家部委工作人员上下班出行情况的分析，这些出行信息具有很强的个人属性，本属于个人信息的范畴，但对这些信息进行汇聚和分类分析，就成了能够反映国家重要机构运行情况的数据，就不能再单纯视作个人信息了。在此意义上也可看出，个人信息与数据安全关系密不可分。

影响分析：构建数据安全供需发展新格局

当前“十四五”规划已经开局，将《征求意见稿》与即将生效的《数据安全法》结合起来并置于“十四五”新发展格局大背景中进行思考，对经济社会发展、产业提振将有更加实际的意义。“十四五”规划明确部署了新发展格局的实施路径：“把实施扩大内需战略同深化供给侧结构性改革有机结合起来，以创新驱动、高质量供给引领和创造新需求，加快构建以国内大循环为主体、国内国际双循环相互促进的新发展格局”，此次网络安全审查制度的修订，也将从供给、需求两个方面对数据安全发展带来积极影响，推动我国数据安全行业发展新格局的加速构建。

（一）强化数据安全供给：技术创新、管理机制缺一不可

数据安全的供给侧主要偏重于构建数据安全保障能力，包括管理规范、技术手段、管理队伍等要素供给能力。

从管理规范供给能力看。一方面现有的数据安全管理法规政策之间将进一步衔接，从国家近期相继发布《关于依法从严打击证券违法活动的意见》（两办）、《征求意见稿》、《数字经济对外投资合作工作指引》（商务部、中央网信办、工信部联合印发）等重磅政策法规不难看出，数据安全与证券跨境监管、关键基础设施采购等的关系正在更加紧密地协同。另一方面，数据安全管理法规体系的健全工作将进一步提速，覆盖面也将逐步扩展，如关键基础设施数据处理活动风险评估管理、境外发行证券的保密和档案管理、跨境信息提供机制与流程管理、跨境审计监管合作等。

从技术手段供给能力来看。将有力促进数据安全相关技术产品和服务能力的创新发展，围绕不同层面需求，数据安全产品技术和服务供给能力将进一步深化。在满足企事业单位自身数据安全保护需求方面，重点发展方向包括：数据防泄露、数据脱敏、数据库防火墙，以及以数据资产识别、管理为核心的数据安全管理平台等；在满足主管部门监管需求方面，重点发展方向包括：数据分级分类管理、敏感数据发现、数据安全风险评估、数据安全审计、数据追踪溯源等；在满足公共数据安全能力提升需求方面，重点发展方向包括：数据安全灾备、数据安全培训、数据安全运营等服务保障能力。

从管理队伍供给能力来看。数据安全在审查工作中的重要性日益增强，管理队伍的专业化水平将亟待同步提升。与之相适应的数据安全队伍供给体系重点方向将包括：数据安全类专业人才培养体系、选拔任用机制、培训实战体系、绩效考核机制等。

（二）拓展数据安全需求：多管齐下应用引领

数据安全的需求侧主要偏重于建立数据安全应用体系，可归纳为三个“需求”：管理需求、合规需求和攻防需求。未来围绕数据安全需求的挖掘，不仅是主管部门引导数据安全健康有序发展的重要依据，也是深化数据安全技术创新和壮大数据安全产业能力的重要方向。

管理需求

对数据要做到“心中有数”。“底数不清”往往是出现数据安全问题的重要根源之一，明确数据安全管理需求的重点就是要做到对自身数据及其安全情况有较为清晰的了解。这类需求将主要围绕数据分类、数据分级、数据资产构成分析、数据防护现状分析等展开。

合规需求

数据安全应符合“法规红线”。网络安全等级保护、关键信息基础设施保护、保密管理等制度规范，对于数据都提出了相应的安全要求及相应防护手段。除了等保、关基、保密等传统合规要求之外，针对数据应用的重要典型场景，如工业数据、交通数据、能源数据等，也将成为法规关注的重点需求领域。

攻防需求

数据安全当满足“实战有效”。数据安全保障手段的最终目的是其能够化解潜在数据风险或有效防御数据攻击。在此类需求方面，除了事中防御和事后补救手段之外，事前的发现、检验需求将成为数据安全建设需求的重中之重，与之相对应的数据安全态势监测、数据安全仿真检测、数据安全保护实效检验等也将日益受到更多关注。

“东方欲晓，莫道君行早”。《征求意见稿》汇总各方面意见后的最终内容如何，仍需拭目以待。而其对于我国网络安全审查制度的完善、对于社会各界数据安全保护意识提升的影响已经显现并将持续，数据安全政策法规体系和数据安全技术产业也将以此为契机，迎来发展的新阶段。

为了降低安全漏洞修复成本，应该尽量在软件开发早期发现软件安全缺陷，因此越来越多的企业开始从传统的安全运营领域，进行安全“左移” (Shift Left)，在软件开发生命周期早期进行安全要素的嵌入，进行SDL/DevSecOps的落地实践。

但是在软件开发全生命周期安全管理过程中，无法避免会遇到安全度量的问题：

当前的安全管控做的是否全面？
和业界领先的差距有多大？
安全投入有限，优先应该投入到哪儿？
每年如何对安全工作成效进行量化？
“If you can’t measure it, you can’t manage it.” 因此，需要引入软件安全能力成熟度模型，对当前的安全水位进行度量和对比，即可以纵向量化安全的成果，也可以横向发现和业界领先的差距。

02 软件安全成熟度发展史

20世纪70年代初，由于软件系统的规模和复杂度的增加，软件的可靠性问题变得越发突出。软件研究人员开始关注软件系统的质量属性，陆续制定了一系列质量控制相关的国际标准，如CMM/CMMI、ISO/IEC9000、ISO/IEC15504、ISO/IEC12207等。出发点是将软件开发视为一个过程，从而对软件开发和维护进行过程监控，保障软件产品的质量。但并没有将软件的安全性做为软件产品的质量标准之一，标准中也没有包含相应的安全性目标和活动。因此，一个软件企业即使达到了很高的软件成熟度（比如，通过了CMMI5级评估）也无法证明其开发的软件具有足够的安全性。

20世纪90年代中后期，随着互联网的发展，软件系统互联与开放性增强，由于软件漏洞导致的安全事件以及造成的资产和服务功能损失急剧增加。软件安全从传统的计算机安全和网络安全中分离出来，成为一门独立的学科开始发展。各种软件安全开发理论、实践和标准相继推出，包括：BSIMM、Microsoft SDL、ISO/IEC 27034、Cisco NIST 800-64、信息系统等级保护。同时，也形成了多个侧重于评估组织安全开发能力和保障能力的理论和标准，软件或软件系统安全成熟度模型，如：BSIMM，OWASP OpenSAMM, SSE-CMM (Systems Secure Engineering Capability Maturity Model)等。

运用上述这些安全成熟度模型，可以达到以下目标：
评估组织在软件系统安全保障能力上的现状和水平，分析与组织业务目标期望和业界平均安全水平的差距。
根据组织的业务目标，综合考虑资源情况和信息系统开发成熟度等限制因素，规划合理、可以实现的努力方向和演进路线。
以统一的标准，定期评估组织的安全能力，向管理层展示各方面的实质性进步，并证明安全投入的实际成效。争取管理层对信息安全的长期支持。
定义并持续改进组织所采取的安全措施，形成可以执行的安全项目计划。

03 软件安全成熟度评估方法

3.1 BSIMM
软件安全构建成熟度模型（BSIMM，Building Security In Maturity Model）是一种描述性的模型，由Synopsys（原Cigital）公司研究与维护。通过量化多家不同企业的实际做法，发现共同点和不同点，帮助其它组织规划、实施和衡量其软件安全计划。

2008年发布了BSIMM第1版，对9家公司开展了调研和常见安全活动的识别，并基于软件安全框架对这些活动进行了组织和分类。

2020年发布了最新版BSIMM 11，采集了130家企业的实际软件安全实践的定量数据，这些企业分布在金融服务、金融科技、独立软件供应商、科技、医疗、云等领域，非常具有代表性。

BSIMM采用软件安全框架（SSF）和活动描述，来提供一种共同语言以解释软件安全中的关键点，并在此基础上对不同规则、不同领域、采用不同术语的软件计划进行比较。
BSIMM的软件安全框架分为4个领域（domain）:包括治理、情报、SSDL（安全软件开发生命周期）触点和部署，每个领域又各分三项实践（practice），共形成12项安全实践。

对于每个实践，会根据统计数据给出多数公司都在从事的主要安全活动，且根据被调查公司参与安全活动的占比量排名，将安全活动分成1，2，3级。如下图所示的为SSDL触点的安全活动和分级。

BSIMM中的活动并不是静态的，会根据不同时期安全关注点的新变化进行相应变更，BSIMM11中包括了121项活动，对每一项活动，BSIMM也给出了指导性解释。

进行评估时，按活动打分，并以某实践为单位进行合并和正规化，形成0-3.0的得分区间，做为某实践的最终成熟度指标，并以蜘蛛图的方式与行业做横向差距对比或进行自身纵向对比。但是，BISMM公开文档中并没有提供具体的评分过程和打分标准，而是以商业服务形式提供。

3.2 OpenSAMM

OpenSAMM是一种专门度量软件安全成熟度的开放式、规定性参考模型。由OWASP组织开发和维护，2009年发布1.0版，2016年发布1.1版，2017年发布了1.5版，2020年发布了最新的2.0版本(https://owaspsamm.org/)。
SAMM2.0模型与开发范例无关,支持瀑布，迭代，敏捷和DevOps开发。该模型足够灵活，可以让组织根据其风险承受能力以及其构建和使用软件的方式采取措施。
SAMM成熟度分为3级：1级-初始实施，2级-结构化实现，3级-优化操作。

OpenSAMM将软件开发分解成5种通用的核心活动（称为“业务功能”）：治理、设计、开发、验证和运营。对每一个核心活动定义3个安全实践。这些安全实践覆盖了软件安全保障所有相关领域。在每个安全实践下，定义了三个连续的目标，描述了组织如何按时间顺序来提升安全实践。
每一实践都有对应的三个成熟度级别：
0 : 默认的起点，表示实践没有开展。
1级：对实践有基本的理解，以自由的方式开展实践。
2级：提升了实践的效率和/或有效性。
3级：大范围全面掌控实践。

对于每个安全实践，SAMM定义了两个活动流。这些流将不同成熟度级别的实践中的活动对齐并链接起来，每个流都有一个目标，可以提高成熟度。对于每种安全实践，SAMM定义了三个成熟度级别。每个级别都有一个逐步完善的目标，包括特定的活动和更严格的成功指标。

据公开报道，截止2017年4月，只有13家公司(包括：Dell，HP，Fortify宣称采用了OpenSAMM方法。而OWASP官方站点上并没有提供全球视角的、各行业平均成熟度水平报告。这样，就对横向比较带来的困难。

3.3 SSE-CMM

1994年4月，美国发起，约60个厂家参与，启动了称为“系统安全工程能力成熟度模型”(Systems Security Engineering Capability Maturity Model)的项目，通过对安全工作过程进行管理的途径，将系统安全工程转变为一个完好定义的、成熟的、可测量的学科。1996年10月，第一版正式推出。1999年4月发布第二版，后成为国际标准（ISO/IEC 21827）至今。

SSE-CMM描述的是，为确保实施较好的安全工程，一个组织的安全工程过程必须具备的特征。其描述的对象不是具体的过程或结果，而是过程中的一般实施。主要涵盖以下内容：

SSE-CMM强调的是分布于整个安全工程生命周期中各个环节的安全工程活动。包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和更新。
SSE-CMM应用于安全产品开发者、安全系统开发者及集成者，还包括提供安全服务与安全工程的组织。
SSE-CMM适用于各种类型、规模的安全工程组织。
SSE-CMM模型中大约含60个基础实施，分11个过程域，这些过程域覆盖了安全工程的所有主要领域。

与CMM相似，SSE-CMM模型也有五个能力水平，从低到高排列如下：
级别1： “非正式执行级”。这一级别将焦点集中于一个组织是否将一个过程所含的所有基础实施都执行了。
级别2：“计划并跟踪级”。主要集中于项目级别的定义、计划与实施问题。
级别3：“良好定义级”。集中于在组织的层次上有原则地将对已定义过程进行筛选。
级别4：定量控制级”。焦点在于与组织的业务目标相合的度量方法。
级别5：“持续改善级”。强调必须对组织文化进行适当调整以支撑所获得的成果。

SSM-CMM模型及其评价方法可以达到以下目的：

将投资主要集中于安全工程工具开发、人员培训、过程定义、管理活动及改善等方面。
基于能力的保证，也就是说这种可信性建立在对一个工程组织的安全实施与过程的成熟性的信任之上的。
通过比较竞标者的能力水平及相关风险，可有效地选择合格的安全工程实施者。
虽然关注SSE-CCM的组织大多是提供安全产品或安全服务的专业信息安全公司，但SSE-CMM标准的思想，对于一般软件的研发和运维各阶段的安全活动，同样具有指导意义。另外，对于如金融行业大量采用的外购系统或供应商定制的软件产品，往往没有强制性的软件安全测评标准和结果，而通过运用SSE-CMM标准对供应厂家或供应商的安全能力比较，也可以间接完成对具体产品的安全性对比。

04 软件安全能力成熟度评估实践

相对于国际及国内先进软件开发组织而言，笔者所在行业软件质量和研发成熟度水平普遍较低。多数公司在信息安全领域中仍然重点投入于传统的主机安全和网络安全方面，而对于软件安全方面的关注度普遍低，投入少，缺乏战略规划。在此状况下，进行软件安全能力成熟度评估工作的主要目的包括：

从公认的软件安全领域维度评估自身软件安全现状。
分析与先进组织在软件安全实践中的差距。
制定提升计划和演进路线，争取信息技术部门的认同和公司管理层支持，形成公司级应用安全战略规划。

定期评估，以衡量提升度，并制定下一轮的软件安全建设计划。
在初始阶段，首先进行了软件安全成熟度评估，并以此为基础，与国际金融行业平均水平做了定性的比较，在综合考虑公司业务目标、软件开发水平、人员能力等因素后，确定提升目标，分解行动计划，并以项目的形式执行迭代。
每年持续进行成熟度评估，展示取得的成效，分析差距，确定下一轮迭代目标和行动方案。

4.1 评估方法

与软件安全，特别是软件开发安全相关度比较高的评估方法是上节中介绍的BSIMM和OpenSAMM，相对而言，BSIMM的社区活跃度高、参与的公司多、数据更新较快、评估结果认同度高及说服力强。

因此，我们采用BSIMM模型进行软件安全能力成熟度评估。

4.2 活动分解

BSIMM11 共有121项活动(Activity)，但关于每一项活动的描述抽象度仍然较高，对此活动直接进行评价仍然有比较大的不确定和模糊性。

为此，我们根据自己的现状和关注点，进一步划分了三个、可清晰确定完成度的子活动。如上图的SM2.6 要求签发安全性证明，制定三个子活动如下：

子活动是评估的最小单位，既可以是活动目标达成的阶段性步骤，也可以是衡量目标是否达成的控制措施，可以参照国际/国内的通行做法、相关标准规范要求或者企业自身实践进行制定，作为活动的评价依据。
下面给出标准和要求(SR)、架构分析(AA)及代码审查(CR)的子活动分解示例。

4.3 评分方法

根据BSIMM官方文档描述，BSIMM采用高水位标记方法绘制蛛网图，进行不同企公司间对比，来评估大致的SSI成熟度。分配高水位线的标记方法比较简单, 如果实践活动中观察到一个3级活动, 就给此模块分配3分, 而不去考虑是否也观察到了任何2级或1级的活动。
BSIMM公开文档中并有没提供可操作的活动评分标准。我们参考了OpenSAMM的活动和实践评分规则，在考虑活动执行的完整度同时，加入了对活动完成质量的度量，如下是详细的评分细则。

总共是12个实践(Practice)，每个实践包含Level1、Level2、Level3共3级，每级满分1分，实践得分为3级得分总和，满分为3分。
实践得分 = Level 1 ~ Level 3 得分总和
每一级(Level)包含多个活动(Activity)，每一级得分为活动得分的平均分(每个活动满分为1分)。
Level x得分 = Level x活动得分平均值
每个活动拆分为3个子活动(Sub Activity)，活动得分为子活动得分的平均分。
活动得分 = 3个子活动得分平均值
为了更加客观、量化的进行评价，子活动按照两个纬度评价：
完整度（Completeness）：该活动进行的完整程度。
质量（Quality）：该活动的质量评价。
每个纬度评价分为3级：0、0.5、1，具体含义如下：

子活动得分 = 完整度得分 * 质量得分
子活动存在4个评价分：0、0.25、0.5、1。

4.4 评分过程

应用安全团队成员现场进行集体评估，对于每一个活动的控制措施即子活动逐项打分。每个子活动，根据当年度是否在完整度及质量方面有改进进行客观评估。
下图为代码审查（CR）Level 2的评分示例。

依据上述的评分方法，对121项活动共计300多个子活动进行评分，最终得出4个领域12个实践的评分。

采取蜘蛛图方式进行实践得分的直观展示，既可以与往年纵向比较，量化各个实践安全 能力成熟度的提升，也可以横向比较发现和业界领先的差距。

4.5 差距分析

根据评分结果，分析当前软件安全能力成熟度现状，历史纵向比较的改进，分析与业界领先存在的差距点，发现自身的不足。

可以针对差距较大的实践，详细分析当前差距点和缺失的控制措施等，列出可以改进的方向。

4.6 成熟度行动计划（MAP）

软件安全能力的建设是一个持续并不断优化的过程，涉及到各方面的资源投入和平衡，根据差距分析的结果，参考业界领先的实践，结合实施的成本和收益，规划需要实现的首要活动，确定下一年度可行的改进方向和行动计划。
BSIMM会根据企业的调研数据，列出参与度最高的实践活动，企业在制定改进计划时可以作为参考。

如下为行动计划示例。

05 后记

相比BSIMM的高水位标记的评分方法，本文的评分标准更为严格，得分会相对低一些。但是BSIMM的评分具有参考价值，我们应该逐步拉近和平均值的差距。

BSIMM的实践活动每个版本都会有少许变化，因此每年在做差距分析时，需要对最新版本进行解读，同步更新活动。

通过软件安全能力成熟度评估，以评促建，并参考框架标准的指导，结合自身实际情况，可以逐步形成适合自身的软件安全开发生命周期管理框架，通过迭代反馈，持续进行优化，逐步提升软件安全风险管理能力。

来源：DevSecOps联盟作者：OXFE1FE1

联盟从甲方视角针对国内零信任厂商、优秀的零信任实践甲方及第三方等共计60多个样本单位进行了问卷调查和访谈，基于这些数据编制成的零信任全景图。

按业务场景分类
相关代表厂商

按业务类型分类
相关代表厂商

按零信任涉及的技术分类
相关的代表厂商

按服务模式分类
相关的代表厂商

按部署架构分类
相关的代表厂商

根据Gartner发布的2020云安全技术成熟度曲线显示，零信任正在跨过低谷，将进入市场成熟期并快速发展。

再看中国市场，在本次收集的样本数据中，有超过90%的企业都认为零信任是一个亿级的市场，将近50%的企业认为至少是百亿级市场。

从客户行业分布来看，目前国内零信任的目标客户主要集中在政企、金融、能源、互联网、运营商、教育、医疗、电力、交通、公安、制造业、军工、民航、军队、零售等行业。

不知道有多少黑客希望事先得到奥斯卡的结果，并希望一黑成名，这些黑客中不乏能够从好莱坞女星手机中窃取裸照的高手，但奥斯卡获奖名单为什么从来没有泄露过呢？以下内容来自安全牛网的授权转载：

先祝贺一下小李子，多年的媳妇熬成婆，终获影帝！

好莱坞似乎一向难守秘密。比如，苹果iCloud的好莱坞女明星裸照泄露事件。再比如索尼影业被黑事件，《刺杀金正恩》一片被泄露，结果还导致了一场外交危机。而本次奥斯卡最佳影片提名的《荒野猎人》，早在12月份首映之前就流出了泄露版。

但万众瞩目的奥斯卡获奖为什么从来没有泄露过呢？不知道有多少黑客希望事先得到它的结果，并希望一黑成名。深知这一情况的美国电影艺术与科学学院（奥斯卡奖评选的组织方），对涉及到投票的程序非常警惕，下面我们来看一看他们是如何做好投票程序的安全工作的。

首先，拥有将近6300位投票成员的学院，是看不到票的。投票情况直接流向普华永道（PwC），也就是同时承担学院财务审计的公司。而普华永道，将投票知情权限制在一个六人团队范围内，24个类别的票数都被分开，只有六人团队中的2个人才能知道完整结果。

潜在黑客的最好机会，可能存在于拦截通过网络提交的大多数选票上。普华永道称，每位投票人被分配一个唯一的登录账号，密码和投票都是加密的。如同金融服务和某些军事行动中使用的加密方法。而且，针对某些倾向传统方式的学院成员，还有另外一层防护。一小撮影界大佬们依然发送纸质选票，想要数字入侵是不可能的。

2015年2月22日，加州好莱坞的红毯上，玛莎·鲁伊斯和布莱恩·卡利南带着内装第87届奥斯卡获奖人名单的信封。

普华永道一拿到选票，所有数字选票就会被打印出来，在一个绝密地点的封闭房间里进行人工计票。这有点像选教皇，区别只在于候选人里经常出现杰克·尼科尔森和肖恩·潘。大多数学院成员都投票，而且每个类别都投。

今年，最终计数由玛莎·鲁伊斯和布莱恩·卡利南完成——两位均隶属于普华永道洛杉矶办事处。计票开始于周三清晨，如果一切按计划进行，获奖者在周五晚间即可决出。这里面可不会出现什么电子表格，也不会有 “=OSCAR(.”这种Excel公式。

我们真的工作到很晚。确实是每张选票都经手，要保证没算错。

最艰难的工作要数提名最佳影片，这未必是获得最多第一名投票的影片。投票人要列出心目中的年度影片排名，不是1部，而是多部（数量不定，今年是8部），每个类别均如此操作。最佳影片的选票根据位列第一的票数堆放，最小的一堆被分散到列第二的影片头上。此过程一直重复，直到某部影片获得超过半数的第一名投票。如果第二名投票足够多，只有少量第一名投票的影片也有可能夺取某个类别的最佳。

听起来是不是很迷惑且劳心劳力？那估计是你大概没干过税收顾问工作。

鲁伊斯和卡利南将在把结果卡片递给颁奖者之前，记录下每个类别的胜者并封入公文包中。然后，他们就回家了。（好莱坞审计员，跟普通工作者一样，都是需要回家的。）大约48小时内，他们是世界上知道奥斯卡结果的仅有两个人。他们会在派对上被邻居纠缠吗？

事实没这么夸张。虽然卡利南并没有自觉保持低调，但显然忙到没时间社交。一年中被人搭话最多次的时候，就是奥斯卡奖开奖的这个星期。

2014年3月2号，到达第86届奥斯卡颁奖现场的时候，凯特·布兰切特曾开玩笑地拽卡利南带的公文包。

对普华永道而言，奥斯卡颁奖礼是一场营销盛宴，是那种消费品牌削尖脑袋想挤进去的黄金时段。这家公司拒绝透露计票的财务细节——是否对计票工作收取费用，或者，这项高曝光率的工作本身就抵了服务费。不过，学院每年倒是都要给它一笔不菲的审计服务费。

但奇怪的是，普华永道到底有没有计对票数，学院却永远不会知道。同样地，没人会知道这些结果之间的差距有多大。结果一公布，所有选票就都要被销毁；甚至学院本身都看不到。“每个人都有自己的偏好，我们也一样无法预测哪部影片会是赢家。”

卡利南和鲁伊斯不担心会搞砸计票，倒是在4千万观众面前会不会结巴是他们最大的担忧。去年的流程中，卡利南只是上台展示一下装载所有结果的公文包，并没有安排他发言。但主持人尼尔·帕特里克·哈里斯即兴发挥了一下。在卡利南登台前3分钟左右，他发现自己被别上了一支麦克风。“排练了几个月，却在最后一分钟让一个会计师即兴表演？你逗我呢吧？”

卡利南hold住了，只在哈里斯说他长得像马特·达蒙的时候脸红了一下。

当然，更大的担心，是宣布错了——比如第64届环球小姐决赛上，主持人史蒂夫·哈维就在宣布冠军得主时搞了个大乌龙。如果颁奖人不按台本走，或者曲解了陈述卡，鲁伊斯和卡利南会立即知晓并介入，将结果改正。“我们就像大型比赛里的裁判，如果一切顺利，你甚至感受不到我们的存在。”

奥斯卡奖，就是这样用老一套的保密办法做安全的。

NewImage

最新发布的2014年白帽web安全统计报告显示，接受抽样调查的3万个网站中，28%的网站采用了微软的.NET开发平台，其次是Java（25%）和ASP（16%）。

负责撰写报告的首席研究员Gabriel Gumbs指出：

没有哪一种开发语言或平台有着明显的安全性优势，从漏洞数量来看，大量网站使用的不同的开发语言之间并没有太大的差异。

从报告统计的开发语言的漏洞数量来看，.NET网站平均有11.36个漏洞，Java11.32个排第二，其后依次是ASP 10.98个，Perl7个，ColdFusion6个。几个主要开发平台的漏洞数量基本处于同一个数量级。

报告显示，2014年来最流行的web安全漏洞是跨站脚本（去年该漏洞一度将第一的宝座让给信息泄露），其余四个Top5漏洞分别是信息泄露、内容欺骗、HTTP响应头截断（HTTPresponse splitting）和可预测资源分配（predictable resource allocation）。

报告还指出，虽然网站运营者在修补漏洞这个环节上的速度已经得到提升，全球的网站安全总体上并未得到改善。新的web应用的安全性相比过去几年也并未有任何提升，但是相比日益突飞猛进的黑客攻击技术，web安全实际是“不进则退”。

提供应用安全云检测服务的安全公司Veracode的副总裁Chris Eng认为2014年度的白帽网站安全统计报告基本靠谱，与Veracode的数据统计基本吻合。

白帽web报告最后指出，开发者不会根据安全性来选择开发语言，安全性目前只在开发平台选择因素中排名第五至第六位。

安全牛点评：web应用安全停滞不前的根源不在开发平台的安全性，而是因为企业的一把手们缺少安全意识和安全策略。企业在应用开发安全环节普遍短视，类似携程暴露的“低级”安全漏洞往往是因为企业的技术决策者只关注软件功能、ROI和项目开发周期，他们在开发者安全开发培训上投入很少，而且往往没有部署系统的软件开发政策，也很少有企业会对软件开发进行安全审计，遵从PCI这样的行业标准。这种短视的软件开发价值观最终可能给企业埋下重大信息安全隐患，并最终以品牌和业务的巨大损失作为代价。

点击下面链接下载完整的2014年白帽web安全报告：

白帽安全报告：web安全的根源不在开发语言

1 文件 623.73 KB

棱镜门事件以来，NSA的全球监控行为遭到各国政府和人民的谴责，但美国情报部门所展现的大数据和信息安全技术实力也成为各国政府甚至一流IT企业为之“艳羡”的对象。

NSA为代表的美国国家安全和情报机构不但在信息安全技术上领先业界数年，而且在大数据采集、处理和分析技术上也让大数据技术厂商们“惊艳”。事实上，NSA大数据项目的规模、可扩展性、安全性在很多方面甚至超过了Google、亚马逊和苹果这样的大型互联网企业。

NSA旗下的风险投资公司In-Q-Tel迄今已经投资了200多个云计算、大数据、搜索与分析创业项目（下图），是美国大数据创业热潮的最强力推手，因为获得In-Q-Tel的投资本身还意味着来自政府部门的订单。

毫不夸张地说，NSA才是美国大数据创业热潮背后的真正推手。

近日，前NSA工程师创建的数据库创业公司Sqrrl的首席执行官Ely Kahn在Structure Show视频节目上解读了大数据技术如何被应用于国家安全。Sqrrl公司的产品基于开源NoSQL数据库系统Accumulo，而Accumulo系统正是创办Sqrrl的工程师在NSA时开发的。

Accumulo是PRISM棱镜项目的核心

据Kahn的介绍，Accumulo数据库系统是NSA企业架构的核心。大多数NSA的关键分析应用都运行在Accumulo上。“我不能透露具体是哪些应用，但人们在新闻中看到的大多数监控和分析应用的后台都是Accumulo。”

Accumulo的性能如此强大，足以配得上对NSA大规模监控行为的各种指责。从技术角度看，NSA已经能够识别网络上的各种可疑行为和个人，但是NSA还有一个“更大的想法”，Kahn称之为“生命分析的模式”：

这些都可以归结为异常分析，也是我们目前的重点。如何建立一种模式来识别异常和正常？这需要基于对大量应用案例的分析…

我们今天的很多工作主要是围绕图谱分析（Graph Analytics）进行，建立大规模分布式的数据图谱——围绕一个具体的应用实例建立正常模式的数据图谱，然后参照这个图谱查找异常模式。

云计算大数据集中，国防部已经行动起来

NSA采用的大数据处理和分析技术也适用于整个国防部，NSA的任务是建设一个能够跨部门分享NSA资源的云计算和大数据基础设施，Accumulo就是这个计划的一部分，如今国防部希望将所有数据——从无人机视频到医疗数据，都汇聚到一个单一的大数据分析系统中。

据Kahn介绍，NSA正在进行中的一个重要项目代号“联合信息环境”（Joint Information Environment），将在建立一个庞大的云计算大数据基础设施，整合国防部的海量应用实例——从网络安全、战场情报系统到医疗实例无所不包。

你可以不喜欢NSA，但NSA已经无可争议地在科技公司中确立了信息安全和大数据技术领导者的地位。

首个关键基础设施信息安全框架规范出炉

过去几周美国信息安全行业最大的利好消息是美国白宫发布了国家标准技术研究所（NIST）起草的美国国家信息安全指导规范《提升美国关键基础设施信息安全框架规范》

Improving Critical Infrastructure Cybersecurity Executive Order 13636

1 文件 1.01 MB

，这是美国在关键基础设施信息安全方面的首个规范。（编者按：虽然不是强制规范，但很多方面已经有些类似国内的等级保护基本要求，因此也有美国媒体指出此规范有扩大行政监管范围之嫌）。

Kahn认为《规范》是美国国土安全部和NIST通力合作的成果，对推动关键基础设施信息安全“迈出了一大步”，但“还远不够完美。”因为仅仅符合基础要求是远远不够的。（编者按：这也与我国的等级保护制度类似，合规本身并未起到防范重大信息安全事故和网络攻击的作用）

年前有知情人士透露中国国家信息安全战略文件已经起草完成，将于重要网络安全信息化领导小组建制后公布，该人士还透露文件中会提出建立信息安全网络架构，信息领域核心技术产品国产化、应用软件、操作系统国产化、工业控制系统信息安全建设、可信云计算等多方面内容。

虽然消息指出国家信息安全战略文件不会涉及到操作层面，但相关部委已经拿出了相应的实施细则，在国家信息安全战略文件出台时配套出台相关实施细则。资金方面，财政会出一部分资金支持信息安全建设。

以上这条消息对国内信息安全人士来说无疑是个利好消息，在“后棱镜门时代的五个热点信息安全话题”一文中，我们了解到棱镜门造成的安全信任危机未来数年将给美国云计算产业造成350亿美元损失，此外美国信息安全界也有专家曾指出棱镜门会导致针对美国科技企业的全球性的贸易技术壁垒。

国内信息安全企业的商机所在

可以说，在奥巴马政府无意采取任何实质性整改措施限制NSA的全球监控的前提下，因各国调整信息安全战略导致的全球性“贸易技术壁垒”几乎不可避免，例如棱镜门事件后德国总理默克尔曾放出狠话：“牺牲时间也要培养出美国科技企业的本土替代者。”而中国作为NSA监控的重点对象，其即将出台的信息安全战略也必然会强调“自主可控”，据消息人士透露中国国内信息安全基础设施包括计算、网络、存储、安全四条主线，也将加速国产替代。

在国家信息安全战略层面，关键信息基础设施无疑是重中之重，工控网安全、网络、计算和存储属于基础设施层面对国外产品的替代对于网络设备、防火墙等产品厂商来说商机非常明确，但产品只是有效的安全体系的一部分，从解决方案，或者说重点基础设施整体安全体系管理架构来看，安全技术、安全服务厂商的机会在哪里？由于目前透露的国家信息安全战略文件信息还过于粗略，我们还无法看到“大图片”。

他山之石，解读NIST的关键基础设施信息安全报告

非常“凑巧”的是，上周2月12日美国白宫发布了由国家标准技术研究所（NIST）起草的美国国家信息安全指导规范《提升美国关键基础设施网络安全的框架规范》（以下简称规范）。这是棱镜门事件后，美国政府首次出台的国家信息安全指导规范，也是奥巴马政府2013年启动保护关键基础设施信息安全战略以来的第一个基础性框架文件。（编者按：虽然不是强制规范，但很多方面已经有些类似国内的等级保护基本要求，因此也有美国媒体指出此规范有扩大行政监管范围之嫌），但是其体系架构和所涉及的信息安全最佳实践、标准、和模型非常值得参考和研究，从中我们也可以嗅出“后棱镜门”时代，全球信息安全市场的商机所在。以下是报告中的一些关键图表，我们摘录如下：

风险管理的信息与决策流程模型

美国关键基础设施信息安全防护体系框架（分为识别、保护、侦测、响应和恢复五个层面，也可以看做是一种基于生命周期和流程的框架方法）

识别（IDENTIFY）分类的具体内容，我们可以看到COBIT、ISO/IEC 27001等信息安全认证被反复提及

识别2

识别3

文章来自：安全牛网

云安全公司Qualys近日提交了IPO资料，成为又一家准备上市的信息安全企业。

Qualys的产品和服务能帮助企业的IT部门遵守所在行业的政策和规定，并提供监控和制止网络攻击的商业软件。Qualys的核心产品是QualysGuard云安全平台，而通过云计算方式部署安全软件对企业的吸引力正与日俱增，因为软件的安装和更新非常容易。通过QualysGuard云计算平台，企业可以监控恶意软件，扫描应用程序发现潜在威胁。QualysGuard还向企业提供一个仪表盘，方便企业进行漏洞管理。

Qualys目前在全球已经拥有5700个客户，2011年的收入达到7620万美元，2012年第一季度的收入达到2120万美元，目前Qualys还没有选择在哪家证券交易所上市，不过已经敲定了股票代号——QLYS。

近期提交IPO资料的安全公司还有Palo Alto Networks，该公司的“下一代防火墙”技术在防护传统的上网和电子邮件之外，还能帮助企业监控Facebook等社交网络和WebEx、Skype的数据。IT经理网在之前的报道中曾以“企业IT迎来十年一遇高潮”总结今年以来企业IT技术创业和IPO的复苏。

不过值得注意的是，Facebook上市后的糟糕表现对科技行业的IPO冲击不小。Facebook股票首个交易日由于技术故障导致30分钟的延迟，此后股价一蹶不振，甚至还连累Zynga当日股价下跌13%。为了躲避Facebook漩涡，旅游搜索网站Kayak因此还（又一次）推迟了IPO日程。

虽然云计算+信息安全对安全行业来说意味着一次重大革新和市场机遇。但Qualys依然在投资风险警示中列举了“盈利时间不长”，“无法扩张”，“云安全市场规模”等问题。

图片：Shutterstock

此文为厂商的技术白皮书节选， IT经理网编译时去除了产品和服务信息。 不过读者需要注意的是文中有些观点可能会带有对厂商有利的倾向性

概述

云计算使得商业或消费类IT服务能够通过互联网，以一种灵活地，成本较低的方式。无论用户使用什么设备在什么地点，进程，应用以及服务都能够快速部署和扩展。因此，云计算可以帮助各类组织提供服务水平，更好地进行IT管理，更好满足内部不断变化的对IT支持的需求。此外，云计算还可以同时支持核心业务的要求，为业务创新创造条件。

目前采用的云计算模式有公共云模式，私有云模式以及两种模式共存的混合模式。公有云模式下，任何人通过互联网，都可以按需购买或者按固定费用租用服务。私有云是某个组织拥有并使用。它提供了与公有云一样的很多便利，同时使所有者有更大的灵活性和控制力。

云计算的好处是显而易见的。而在云计算实施中的安全性问题也必须重视。采用云计算方式而忽略安全性无疑会使整个IT设施暴露于风险之下。云计算导致了新一个层面的风险。由于云计算模式下，大量服务外包给第三方，使得保证数据真实性和隐私性，数据和服务的可靠性，以及保证合规性方面变得更加困难。尽管IT服务已经转移到云端，用户依然需要保证合规性以及数据安全。因此，用户必须与他们的云计算合作伙伴之间建立信任关系，理解公共云或者私有云环境带来的风险。

云计算带来的安全挑战

云计算安全与传统IT安全最重要的不同之一来自于大规模的基础设施共享。来自于不同公司，不同安全信任水平的人员长期共享同一套计算资源。对于公有云服务由一大批服务商所提供，数据存储和处理都在外部环境中完成。

就算在云内部，也很难具体定位数据的存储位置。传统的可见安全过程被抽象层所屏蔽。这种不可见性会导致数据安全，服务可靠性，合规性， SLA保障以及整体安全管理的一系列问题。

安全过程的可见性对于合规要求尤其重要，无论是萨班斯法案，美国的医疗保险责任法案（HIPAA）欧盟关于隐私方面的法律，以及其他很多国家的法律都对系统的可审计性提出要求。而很多公共云对于用户来说就是一个黑盒子，这样的话，用户很难证明自身系统的合规性。（私有云和混合云模式通过一定程度的配置，可以满足这类合规性的要求）。

此外，云服务商会被要求提供第三方审计功能，或者提供对电子取证的支持。这样就使的安全的可见性变得尤其重要。如果数据没有被正确的隔离，那么对某个用户的数据取证可能会影响到其他用户的数据安全。这就意味着，一些敏感数据不适合存放在云环境中。

考虑采用云服务的组织必须理解云服务相关的风险以及保持安全可见性的重要。对于云安全的实施，可以重点从以下几个方面入手：

建立安全程序
保护数据安全
强化访问与鉴权
应用的配置与解除
审计管理
漏洞管理
测试与验证

由于云服务有多种不同的模式，每一种模式对应了不同级别的安全管理。引入可信的第三方可能可以帮助企业或组织根据他们的商业要求，采用适合他们的最好的云安全方案。

制订云安全战略

在云安全方面，没有一个放之四海皆准的模式。因为不同的企业或组织有不同的业务需要转型云服务或者通过云提供服务，这样就产生了不同的安全管理的需求。在云计算战略规划时，需要认真评估云计算模式的风险。

以下是第三方安全服务所采用的云计算风险评估的框架：

定义商业和IT战略

进行云计算风险评估的第一步就是分析商业和IT战略。通过云进行存储，访问和传输的数据的价值有多大？是不是商业的敏感或者保密数据？有没有合规性的要求？同时，也需要考虑数据的可用性的要求。通过对商业IT战略以及数据的分析，才能进行风险评估，确定采用何种云计算模式。

分析风险

每一种云计算模式（公有云，私有云或者混合模式）都有不同级别的IT安全风险。需要针对不同的模式，分析漏洞和威胁的风险。设计安全机制来控制风险，并且要设计维护和测试的过程来保证系统运行后的风险控制。

制订云安全计划

需要制订一个云安全战略计划的路线图。确定需要转型云计算的业务或者应用，以及所需要的法律，法规以及安全方面的要求。需要计划好对风险的控制。包括对鉴权和访问控制管理，以及如何在安全控制方面平衡服务商与用户之间的关系等等。

白皮书原文下载：

云计算的安全性评估与战略制定

1 文件 226.21 KB

随着云计算的普及，各路标准组织纷纷行动起来统一云接口，规范招标书和服务标准协议(SLA),以及政策合规等事宜。

cloud-storage 欧美联手

本周二欧洲和美国标准化组织就上述云计算标准化议题召开了线上峰会，该会议由开放数据中心联盟（Open Data Center Alliance）发起，成员包括分布式管理任务组（Distributed management Task Force,DMTF）,标准协会OMG，存储与网络标准工作组SNIA，以及欧洲电信与网络标准工作组ETSI。五大标准组织日常各自与最终用户和厂商协作开展云计算标准化工作，同时每隔一周召开一次线上电话会议。

虽然五大云计算标准组织的代表还没有达成具体的时间表和指导规范，但是他们的会议内容基本勾勒出了2012年云计算标准化的大致走势。

ETSI云计算主席迈克费舍尔（Mike Fisher）认为，数据隐私、安全与问责等云计算规范今年将在美国和欧洲开始实行，相关议题在亚洲云计算领导者之间也已经展开讨论。

费舍尔警告说，所有权的过度分散可能会成为云计算发展的“法规噩梦”，在欧洲这个问题尤其突出。费舍尔督促云计算厂商和用户积极主动与政府决策者沟通他们的见解。

DMTF总裁Winston Bumpus表示，在看过很多云计算厂商提交的互操作接口规范后，发现共性大于分歧。他认为统一云计算接口不但符合用户利益，也有利于云计算产业的良性竞争和发展。

OMG的主席Richard Soley则指出目前关于云计算的数据安全问题其实都可以通过完善云计算服务水平协议SLA来解决。DMTF总裁Bumpus则认为云计算标准的制定是十年一遇的改变计算模式的机遇。

亚洲跟进

在欧美云计算标准化组织积极推动云计算标准化进程的同时，亚洲云计算标准工作也已经启动。就在本周三，普华永道在香港举办“Asia Pacific Cloud Alliance(APCA亚太云计算联盟)”成立大会，宣布将通过广泛联合亚太地区的电信运营商及行业合作伙伴，推动建立服务于亚太地区的互联性云计算标准框架。亚太区云计算联盟(APCA)”的首批联盟合作企业包括香港和记环球电讯、马来西亚VADS（一家马来西亚电信公司）、澳洲电讯(Telstra)、LG CNS、新西兰电信公司旗下的澳大利亚子公司AAPT以及甲骨文公司，作为整个联盟的顾问咨询，普华永道将帮助构建互联性标准框架。

普华永道亚太区行业技术总监Greg Unsworth表示，企业用户正在面临云计算的“危机”，但又仍然对云计算抱有忧虑，其中安全与隐私管理、性能及本地支持、现有IT系统及应用的整合、云与云之间的可用性与互操作性形成了阻碍，使得企业用户尤其是跨国企业在广泛区域内对云计算的跨区域与跨国家应用心存疑虑，但云计算的重要优势与用户受益，就是能够帮助企业跨越地理界线与物理距离。

他表示，APCA联盟的建立初衷即是建立起消除云与云、地区与地区、运营商与云运营商之间的云障碍，建立不同的云孤岛之间的联系与互操作性，从而满足企业用户尤其是跨国经营的企业对云计算的需求。

据悉，APCA联盟的建立将提供面向云服务提供商的基础商业框架(Business Framework for Cloud Service Provider.)。APCA联盟所建立的共同的互联性标准框架，确保各个行业的企业客户无论在任何国家或地区，皆可享用由联盟会员所提供的高效安全云服务。

ODCA_logo APCA在新闻稿中声称将ODCA视为云联盟的榜样，2010年进入中国的ODCA联盟在过去的一年多时间里，不断吸收业界知名的大型企业用户，目前国内几乎所有的知名互联网公司都是ODCA联盟的会员。但APCA表示自身与面向数据中心的ODCA的定位不同，APCA将以电信运营商为主要合作伙伴，“有着更高的行业起点”，并希望成为亚太地区最具实力的云计算联盟。