第 1 页1

为了降低安全漏洞修复成本,应该尽量在软件开发早期发现软件安全缺陷,因此越来越多的企业开始从传统的安全运营领域,进行安全“左移” (Shift Left),在软件开发生命周期早期进行安全要素的嵌入,进行SDL/DevSecOps的落地实践。

但是在软件开发全生命周期安全管理过程中,无法避免会遇到安全度量的问题:

当前的安全管控做的是否全面?
和业界领先的差距有多大?
安全投入有限,优先应该投入到哪儿?
每年如何对安全工作成效进行量化?
“If you can’t measure it, you can’t manage it.” 因此,需要引入软件安全能力成熟度模型,对当前的安全水位进行度量和对比,即可以纵向量化安全的成果,也可以横向发现和业界领先的差距。

02 软件安全成熟度发展史

20世纪70年代初,由于软件系统的规模和复杂度的增加,软件的可靠性问题变得越发突出。软件研究人员开始关注软件系统的质量属性,陆续制定了一系列质量控制相关的国际标准,如CMM/CMMI、ISO/IEC9000、ISO/IEC15504、ISO/IEC12207等。出发点是将软件开发视为一个过程,从而对软件开发和维护进行过程监控,保障软件产品的质量。但并没有将软件的安全性做为软件产品的质量标准之一,标准中也没有包含相应的安全性目标和活动。因此,一个软件企业即使达到了很高的软件成熟度(比如,通过了CMMI5级评估)也无法证明其开发的软件具有足够的安全性。

20世纪90年代中后期,随着互联网的发展,软件系统互联与开放性增强,由于软件漏洞导致的安全事件以及造成的资产和服务功能损失急剧增加。软件安全从传统的计算机安全和网络安全中分离出来,成为一门独立的学科开始发展。各种软件安全开发理论、实践和标准相继推出,包括:BSIMM、Microsoft SDL、ISO/IEC 27034、Cisco NIST 800-64、信息系统等级保护。同时,也形成了多个侧重于评估组织安全开发能力和保障能力的理论和标准,软件或软件系统安全成熟度模型,如:BSIMM,OWASP OpenSAMM, SSE-CMM (Systems Secure Engineering Capability Maturity Model)等。

运用上述这些安全成熟度模型,可以达到以下目标:
评估组织在软件系统安全保障能力上的现状和水平,分析与组织业务目标期望和业界平均安全水平的差距。
根据组织的业务目标,综合考虑资源情况和信息系统开发成熟度等限制因素,规划合理、可以实现的努力方向和演进路线。
以统一的标准,定期评估组织的安全能力,向管理层展示各方面的实质性进步,并证明安全投入的实际成效。争取管理层对信息安全的长期支持。
定义并持续改进组织所采取的安全措施,形成可以执行的安全项目计划。

03 软件安全成熟度评估方法

3.1 BSIMM
软件安全构建成熟度模型(BSIMM,Building Security In Maturity Model)是一种描述性的模型,由Synopsys(原Cigital)公司研究与维护。通过量化多家不同企业的实际做法,发现共同点和不同点,帮助其它组织规划、实施和衡量其软件安全计划。

2008年发布了BSIMM第1版,对9家公司开展了调研和常见安全活动的识别,并基于软件安全框架对这些活动进行了组织和分类。

2020年发布了最新版BSIMM 11,采集了130家企业的实际软件安全实践的定量数据,这些企业分布在金融服务、金融科技、独立软件供应商、科技、医疗、云等领域,非常具有代表性。

BSIMM采用软件安全框架(SSF)和活动描述,来提供一种共同语言以解释软件安全中的关键点,并在此基础上对不同规则、不同领域、采用不同术语的软件计划进行比较。
BSIMM的软件安全框架分为4个领域(domain):包括治理、情报、SSDL(安全软件开发生命周期)触点和部署,每个领域又各分三项实践(practice),共形成12项安全实践。

对于每个实践,会根据统计数据给出多数公司都在从事的主要安全活动,且根据被调查公司参与安全活动的占比量排名,将安全活动分成1,2,3级。如下图所示的为SSDL触点的安全活动和分级。
BSIMM中的活动并不是静态的,会根据不同时期安全关注点的新变化进行相应变更,BSIMM11中包括了121项活动,对每一项活动,BSIMM也给出了指导性解释。
进行评估时,按活动打分,并以某实践为单位进行合并和正规化,形成0-3.0的得分区间,做为某实践的最终成熟度指标,并以蜘蛛图的方式与行业做横向差距对比或进行自身纵向对比。但是,BISMM公开文档中并没有提供具体的评分过程和打分标准,而是以商业服务形式提供。

3.2 OpenSAMM

OpenSAMM是一种专门度量软件安全成熟度的开放式、规定性参考模型。由OWASP组织开发和维护,2009年发布1.0版,2016年发布1.1版,2017年发布了1.5版,2020年发布了最新的2.0版本(https://owaspsamm.org/)。
SAMM2.0模型与开发范例无关,支持瀑布,迭代,敏捷和DevOps开发。该模型足够灵活,可以让组织根据其风险承受能力以及其构建和使用软件的方式采取措施。
SAMM成熟度分为3级:1级-初始实施,2级-结构化实现,3级-优化操作。

OpenSAMM将软件开发分解成5种通用的核心活动(称为“业务功能”):治理、设计、开发、验证和运营。对每一个核心活动定义3个安全实践。这些安全实践覆盖了软件安全保障所有相关领域。在每个安全实践下,定义了三个连续的目标,描述了组织如何按时间顺序来提升安全实践。
每一实践都有对应的三个成熟度级别:
0 : 默认的起点,表示实践没有开展。
1级:对实践有基本的理解,以自由的方式开展实践。
2级:提升了实践的效率和/或有效性。
3级:大范围全面掌控实践。

对于每个安全实践,SAMM定义了两个活动流。这些流将不同成熟度级别的实践中的活动对齐并链接起来,每个流都有一个目标,可以提高成熟度。对于每种安全实践,SAMM定义了三个成熟度级别。每个级别都有一个逐步完善的目标,包括特定的活动和更严格的成功指标。

据公开报道,截止2017年4月,只有13家公司(包括:Dell,HP,Fortify宣称采用了OpenSAMM方法。而OWASP官方站点上并没有提供全球视角的、各行业平均成熟度水平报告。这样,就对横向比较带来的困难。

3.3 SSE-CMM

1994年4月,美国发起,约60个厂家参与,启动了称为“系统安全工程能力成熟度模型”(Systems Security Engineering Capability Maturity Model)的项目,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的学科。1996年10月,第一版正式推出。1999年4月发布第二版,后成为国际标准(ISO/IEC 21827)至今。

SSE-CMM描述的是,为确保实施较好的安全工程,一个组织的安全工程过程必须具备的特征。其描述的对象不是具体的过程或结果,而是过程中的一般实施。主要涵盖以下内容:

SSE-CMM强调的是分布于整个安全工程生命周期中各个环节的安全工程活动。包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和更新。
SSE-CMM应用于安全产品开发者、安全系统开发者及集成者,还包括提供安全服务与安全工程的组织。
SSE-CMM适用于各种类型、规模的安全工程组织。
SSE-CMM模型中大约含60个基础实施,分11个过程域,这些过程域覆盖了安全工程的所有主要领域。

与CMM相似,SSE-CMM模型也有五个能力水平,从低到高排列如下:
级别1: “非正式执行级”。这一级别将焦点集中于一个组织是否将一个过程所含的所有基础实施都执行了。
级别2:“计划并跟踪级”。主要集中于项目级别的定义、计划与实施问题。
级别3:“良好定义级”。集中于在组织的层次上有原则地将对已定义过程进行筛选。
级别4:定量控制级”。焦点在于与组织的业务目标相合的度量方法。
级别5:“持续改善级”。强调必须对组织文化进行适当调整以支撑所获得的成果。

SSM-CMM模型及其评价方法可以达到以下目的:

  1. 将投资主要集中于安全工程工具开发、人员培训、过程定义、管理活动及改善等方面。
  2. 基于能力的保证,也就是说这种可信性建立在对一个工程组织的安全实施与过程的成熟性的信任之上的。
  3. 通过比较竞标者的能力水平及相关风险,可有效地选择合格的安全工程实施者。
    虽然关注SSE-CCM的组织大多是提供安全产品或安全服务的专业信息安全公司,但SSE-CMM标准的思想,对于一般软件的研发和运维各阶段的安全活动,同样具有指导意义。另外,对于如金融行业大量采用的外购系统或供应商定制的软件产品,往往没有强制性的软件安全测评标准和结果,而通过运用SSE-CMM标准对供应厂家或供应商的安全能力比较,也可以间接完成对具体产品的安全性对比。

04 软件安全能力成熟度评估实践

相对于国际及国内先进软件开发组织而言,笔者所在行业软件质量和研发成熟度水平普遍较低。多数公司在信息安全领域中仍然重点投入于传统的主机安全和网络安全方面,而对于软件安全方面的关注度普遍低,投入少,缺乏战略规划。在此状况下,进行软件安全能力成熟度评估工作的主要目的包括:

从公认的软件安全领域维度评估自身软件安全现状。
分析与先进组织在软件安全实践中的差距。
制定提升计划和演进路线,争取信息技术部门的认同和公司管理层支持,形成公司级应用安全战略规划。

定期评估,以衡量提升度,并制定下一轮的软件安全建设计划。
在初始阶段,首先进行了软件安全成熟度评估,并以此为基础,与国际金融行业平均水平做了定性的比较,在综合考虑公司业务目标、软件开发水平、人员能力等因素后,确定提升目标,分解行动计划,并以项目的形式执行迭代。
每年持续进行成熟度评估,展示取得的成效,分析差距,确定下一轮迭代目标和行动方案。

4.1 评估方法

与软件安全,特别是软件开发安全相关度比较高的评估方法是上节中介绍的BSIMM和OpenSAMM,相对而言,BSIMM的社区活跃度高、参与的公司多、数据更新较快、评估结果认同度高及说服力强。

因此,我们采用BSIMM模型进行软件安全能力成熟度评估。

4.2 活动分解

BSIMM11 共有121项活动(Activity),但关于每一项活动的描述抽象度仍然较高,对此活动直接进行评价仍然有比较大的不确定和模糊性。

为此,我们根据自己的现状和关注点,进一步划分了三个、可清晰确定完成度的子活动。如上图的SM2.6 要求签发安全性证明,制定三个子活动如下:

子活动是评估的最小单位,既可以是活动目标达成的阶段性步骤,也可以是衡量目标是否达成的控制措施,可以参照国际/国内的通行做法、相关标准规范要求或者企业自身实践进行制定,作为活动的评价依据。
下面给出标准和要求(SR)、架构分析(AA)及代码审查(CR)的子活动分解示例。

4.3 评分方法

根据BSIMM官方文档描述,BSIMM采用高水位标记方法绘制蛛网图,进行不同企公司间对比,来评估大致的SSI成熟度。分配高水位线的标记方法比较简单, 如果实践活动中观察到一个3级活动, 就给此模块分配3分, 而不去考虑是否也观察到了任何2级或1级的活动。
BSIMM公开文档中并有没提供可操作的活动评分标准。我们参考了OpenSAMM的活动和实践评分规则,在考虑活动执行的完整度同时,加入了对活动完成质量的度量,如下是详细的评分细则。

总共是12个实践(Practice),每个实践包含Level1、Level2、Level3共3级,每级满分1分,实践得分为3级得分总和,满分为3分。
实践得分 = Level 1 ~ Level 3 得分总和
每一级(Level)包含多个活动(Activity),每一级得分为活动得分的平均分(每个活动满分为1分)。
Level x得分 = Level x活动得分平均值
每个活动拆分为3个子活动(Sub Activity),活动得分为子活动得分的平均分。
活动得分 = 3个子活动得分平均值
为了更加客观、量化的进行评价,子活动按照两个纬度评价:
完整度(Completeness):该活动进行的完整程度。
质量(Quality):该活动的质量评价。
每个纬度评价分为3级:0、0.5、1,具体含义如下:

子活动得分 = 完整度得分 * 质量得分
子活动存在4个评价分:0、0.25、0.5、1。

4.4 评分过程

应用安全团队成员现场进行集体评估,对于每一个活动的控制措施即子活动逐项打分。每个子活动,根据当年度是否在完整度及质量方面有改进进行客观评估。
下图为代码审查(CR)Level 2的评分示例。

依据上述的评分方法,对121项活动共计300多个子活动进行评分,最终得出4个领域12个实践的评分。
采取蜘蛛图方式进行实践得分的直观展示,既可以与往年纵向比较,量化各个实践安全 能力成熟度的提升,也可以横向比较发现和业界领先的差距。

4.5 差距分析

根据评分结果,分析当前软件安全能力成熟度现状,历史纵向比较的改进,分析与业界领先存在的差距点,发现自身的不足。

可以针对差距较大的实践,详细分析当前差距点和缺失的控制措施等,列出可以改进的方向。

4.6 成熟度行动计划(MAP)

软件安全能力的建设是一个持续并不断优化的过程,涉及到各方面的资源投入和平衡,根据差距分析的结果,参考业界领先的实践,结合实施的成本和收益,规划需要实现的首要活动,确定下一年度可行的改进方向和行动计划。
BSIMM会根据企业的调研数据,列出参与度最高的实践活动,企业在制定改进计划时可以作为参考。

如下为行动计划示例。

05 后记

相比BSIMM的高水位标记的评分方法,本文的评分标准更为严格,得分会相对低一些。但是BSIMM的评分具有参考价值,我们应该逐步拉近和平均值的差距。

BSIMM的实践活动每个版本都会有少许变化,因此每年在做差距分析时,需要对最新版本进行解读,同步更新活动。

通过软件安全能力成熟度评估,以评促建,并参考框架标准的指导,结合自身实际情况,可以逐步形成适合自身的软件安全开发生命周期管理框架,通过迭代反馈,持续进行优化,逐步提升软件安全风险管理能力。

来源:DevSecOps联盟 作者:OXFE1FE1

联盟从甲方视角针对国内零信任厂商、优秀的零信任实践甲方及第三方等共计60多个样本单位进行了问卷调查和访谈,基于这些数据编制成的零信任全景图。

按业务场景分类
相关代表厂商

按业务类型分类
相关代表厂商

按零信任涉及的技术分类
相关的代表厂商

按服务模式分类
相关的代表厂商

按部署架构分类
相关的代表厂商

根据Gartner发布的2020云安全技术成熟度曲线显示,零信任正在跨过低谷,将进入市场成熟期并快速发展。

再看中国市场,在本次收集的样本数据中,有超过90%的企业都认为零信任是一个亿级的市场,将近50%的企业认为至少是百亿级市场。

从客户行业分布来看,目前国内零信任的目标客户主要集中在政企、金融、能源、互联网、运营商、教育、医疗、电力、交通、公安、制造业、军工、民航、军队、零售等行业。

不知道有多少黑客希望事先得到奥斯卡的结果,并希望一黑成名,这些黑客中不乏能够从好莱坞女星手机中窃取裸照的高手,但奥斯卡获奖名单为什么从来没有泄露过呢?以下内容来自安全牛网的授权转载:

 

先祝贺一下小李子,多年的媳妇熬成婆,终获影帝!

好莱坞似乎一向难守秘密。比如,苹果iCloud的好莱坞女明星裸照泄露事件。再比如索尼影业被黑事件,《刺杀金正恩》一片被泄露,结果还导致了一场外交危机。而本次奥斯卡最佳影片提名的《荒野猎人》,早在12月份首映之前就流出了泄露版。

奥斯卡奖 leonardo dicaprio保密

但万众瞩目的奥斯卡获奖为什么从来没有泄露过呢?不知道有多少黑客希望事先得到它的结果,并希望一黑成名。深知这一情况的美国电影艺术与科学学院(奥斯卡奖评选的组织方),对涉及到投票的程序非常警惕,下面我们来看一看他们是如何做好投票程序的安全工作的。

首先,拥有将近6300位投票成员的学院,是看不到票的。投票情况直接流向普华永道(PwC),也就是同时承担学院财务审计的公司。而普华永道,将投票知情权限制在一个六人团队范围内,24个类别的票数都被分开,只有六人团队中的2个人才能知道完整结果。

潜在黑客的最好机会,可能存在于拦截通过网络提交的大多数选票上。普华永道称,每位投票人被分配一个唯一的登录账号,密码和投票都是加密的。如同金融服务和某些军事行动中使用的加密方法。而且,针对某些倾向传统方式的学院成员,还有另外一层防护。一小撮影界大佬们依然发送纸质选票,想要数字入侵是不可能的。

640.webp-110

2015年2月22日,加州好莱坞的红毯上,玛莎·鲁伊斯和布莱恩·卡利南带着内装第87届奥斯卡获奖人名单的信封。

普华永道一拿到选票,所有数字选票就会被打印出来,在一个绝密地点的封闭房间里进行人工计票。这有点像选教皇,区别只在于候选人里经常出现杰克·尼科尔森和肖恩·潘。大多数学院成员都投票,而且每个类别都投。

今年,最终计数由玛莎·鲁伊斯和布莱恩·卡利南完成——两位均隶属于普华永道洛杉矶办事处。计票开始于周三清晨,如果一切按计划进行,获奖者在周五晚间即可决出。这里面可不会出现什么电子表格,也不会有 “=OSCAR(.”这种Excel公式。

我们真的工作到很晚。确实是每张选票都经手,要保证没算错。

最艰难的工作要数提名最佳影片,这未必是获得最多第一名投票的影片。投票人要列出心目中的年度影片排名,不是1部,而是多部(数量不定,今年是8部),每个类别均如此操作。最佳影片的选票根据位列第一的票数堆放,最小的一堆被分散到列第二的影片头上。此过程一直重复,直到某部影片获得超过半数的第一名投票。如果第二名投票足够多,只有少量第一名投票的影片也有可能夺取某个类别的最佳。

听起来是不是很迷惑且劳心劳力?那估计是你大概没干过税收顾问工作。

鲁伊斯和卡利南将在把结果卡片递给颁奖者之前,记录下每个类别的胜者并封入公文包中。然后,他们就回家了。(好莱坞审计员,跟普通工作者一样,都是需要回家的。)大约48小时内,他们是世界上知道奥斯卡结果的仅有两个人。他们会在派对上被邻居纠缠吗?

事实没这么夸张。虽然卡利南并没有自觉保持低调,但显然忙到没时间社交。一年中被人搭话最多次的时候,就是奥斯卡奖开奖的这个星期。

640.webp-210

2014年3月2号,到达第86届奥斯卡颁奖现场的时候,凯特·布兰切特曾开玩笑地拽卡利南带的公文包。

对普华永道而言,奥斯卡颁奖礼是一场营销盛宴,是那种消费品牌削尖脑袋想挤进去的黄金时段。这家公司拒绝透露计票的财务细节——是否对计票工作收取费用,或者,这项高曝光率的工作本身就抵了服务费。不过,学院每年倒是都要给它一笔不菲的审计服务费。

但奇怪的是,普华永道到底有没有计对票数,学院却永远不会知道。同样地,没人会知道这些结果之间的差距有多大。结果一公布,所有选票就都要被销毁;甚至学院本身都看不到。“每个人都有自己的偏好,我们也一样无法预测哪部影片会是赢家。”

卡利南和鲁伊斯不担心会搞砸计票,倒是在4千万观众面前会不会结巴是他们最大的担忧。去年的流程中,卡利南只是上台展示一下装载所有结果的公文包,并没有安排他发言。但主持人尼尔·帕特里克·哈里斯即兴发挥了一下。在卡利南登台前3分钟左右,他发现自己被别上了一支麦克风。“排练了几个月,却在最后一分钟让一个会计师即兴表演?你逗我呢吧?”

卡利南hold住了,只在哈里斯说他长得像马特·达蒙的时候脸红了一下。

当然,更大的担心,是宣布错了——比如第64届环球小姐决赛上,主持人史蒂夫·哈维就在宣布冠军得主时搞了个大乌龙。如果颁奖人不按台本走,或者曲解了陈述卡,鲁伊斯和卡利南会立即知晓并介入,将结果改正。“我们就像大型比赛里的裁判,如果一切顺利,你甚至感受不到我们的存在。”

奥斯卡奖,就是这样用老一套的保密办法做安全的。

NewImage

最新发布的2014年白帽web安全统计报告显示,接受抽样调查的3万个网站中,28%的网站采用了微软的.NET开发平台,其次是Java(25%)和ASP(16%)。

负责撰写报告的首席研究员Gabriel Gumbs指出:

没有哪一种开发语言或平台有着明显的安全性优势,从漏洞数量来看,大量网站使用的不同的开发语言之间并没有太大的差异。

从报告统计的开发语言的漏洞数量来看,.NET网站平均有11.36个漏洞,Java11.32个排第二,其后依次是ASP 10.98个,Perl7个,ColdFusion6个。几个主要开发平台的漏洞数量基本处于同一个数量级。

报告显示,2014年来最流行的web安全漏洞是跨站脚本(去年该漏洞一度将第一的宝座让给信息泄露),其余四个Top5漏洞分别是信息泄露、内容欺骗、HTTP响应头截断(HTTPresponse splitting)和可预测资源分配(predictable resource allocation)。

报告还指出,虽然网站运营者在修补漏洞这个环节上的速度已经得到提升,全球的网站安全总体上并未得到改善。新的web应用的安全性相比过去几年也并未有任何提升,但是相比日益突飞猛进的黑客攻击技术,web安全实际是“不进则退”。

提供应用安全云检测服务的安全公司Veracode的副总裁Chris Eng认为2014年度的白帽网站安全统计报告基本靠谱,与Veracode的数据统计基本吻合。

白帽web报告最后指出,开发者不会根据安全性来选择开发语言,安全性目前只在开发平台选择因素中排名第五至第六位。

安全牛点评:web应用安全停滞不前的根源不在开发平台的安全性,而是因为企业的一把手们缺少安全意识和安全策略。企业在应用开发安全环节普遍短视,类似携程暴露的“低级”安全漏洞往往是因为企业的技术决策者只关注软件功能、ROI和项目开发周期,他们在开发者安全开发培训上投入很少,而且往往没有部署系统的软件开发政策,也很少有企业会对软件开发进行安全审计,遵从PCI这样的行业标准。这种短视的软件开发价值观最终可能给企业埋下重大信息安全隐患,并最终以品牌和业务的巨大损失作为代价。

点击下面链接下载完整的2014年白帽web安全报告:

 

棱镜门事件以来,NSA的全球监控行为遭到各国政府和人民的谴责,但美国情报部门所展现的大数据和信息安全技术实力也成为各国政府甚至一流IT企业为之“艳羡”的对象。

NSA为代表的美国国家安全和情报机构不但在信息安全技术上领先业界数年,而且在大数据采集、处理和分析技术上也让大数据技术厂商们“惊艳”。事实上,NSA大数据项目的规模、可扩展性、安全性在很多方面甚至超过了Google、亚马逊和苹果这样的大型互联网企业。

NSA旗下的风险投资公司In-Q-Tel迄今已经投资了200多个云计算、大数据、搜索与分析创业项目(下图),是美国大数据创业热潮的最强力推手,因为获得In-Q-Tel的投资本身还意味着来自政府部门的订单。

InQTel_Investment_bigdata-footprint-1

毫不夸张地说,NSA才是美国大数据创业热潮背后的真正推手。

近日,前NSA工程师创建的数据库创业公司Sqrrl的首席执行官Ely Kahn在Structure Show视频节目上解读了大数据技术如何被应用于国家安全。Sqrrl公司的产品基于开源NoSQL数据库系统Accumulo,而Accumulo系统正是创办Sqrrl的工程师在NSA时开发的。

Accumulo是PRISM棱镜项目的核心

据Kahn的介绍,Accumulo数据库系统是NSA企业架构的核心。大多数NSA的关键分析应用都运行在Accumulo上。“我不能透露具体是哪些应用,但人们在新闻中看到的大多数监控和分析应用的后台都是Accumulo。”

Accumulo的性能如此强大,足以配得上对NSA大规模监控行为的各种指责。从技术角度看,NSA已经能够识别网络上的各种可疑行为和个人,但是NSA还有一个“更大的想法”,Kahn称之为“生命分析的模式”:

这些都可以归结为异常分析,也是我们目前的重点。如何建立一种模式来识别异常和正常?这需要基于对大量应用案例的分析…

我们今天的很多工作主要是围绕图谱分析(Graph Analytics)进行,建立大规模分布式的数据图谱——围绕一个具体的应用实例建立正常模式的数据图谱,然后参照这个图谱查找异常模式。

云计算大数据集中,国防部已经行动起来

NSA采用的大数据处理和分析技术也适用于整个国防部,NSA的任务是建设一个能够跨部门分享NSA资源的云计算和大数据基础设施,Accumulo就是这个计划的一部分,如今国防部希望将所有数据——从无人机视频到医疗数据,都汇聚到一个单一的大数据分析系统中。

据Kahn介绍,NSA正在进行中的一个重要项目代号“联合信息环境”(Joint Information Environment),将在建立一个庞大的云计算大数据基础设施,整合国防部的海量应用实例——从网络安全、战场情报系统到医疗实例无所不包。

你可以不喜欢NSA,但NSA已经无可争议地在科技公司中确立了信息安全和大数据技术领导者的地位。

 

首个关键基础设施信息安全框架规范出炉

过去几周美国信息安全行业最大的利好消息是美国白宫发布了国家标准技术研究所(NIST)起草的美国国家信息安全指导规范《提升美国关键基础设施信息安全框架规范》

,这是美国在关键基础设施信息安全方面的首个规范。(编者按:虽然不是强制规范,但很多方面已经有些类似国内的等级保护基本要求,因此也有美国媒体指出此规范有扩大行政监管范围之嫌)。

Kahn认为《规范》是美国国土安全部和NIST通力合作的成果,对推动关键基础设施信息安全“迈出了一大步”,但“还远不够完美。”因为仅仅符合基础要求是远远不够的。(编者按:这也与我国的等级保护制度类似,合规本身并未起到防范重大信息安全事故和网络攻击的作用)

年前有知情人士透露中国国家信息安全战略文件已经起草完成,将于重要网络安全信息化领导小组建制后公布,该人士还透露文件中会提出建立信息安全网络架构,信息领域核心技术产品国产化、应用软件、操作系统国产化、工业控制系统信息安全建设、可信云计算等多方面内容。

虽然消息指出国家信息安全战略文件不会涉及到操作层面,但相关部委已经拿出了相应的实施细则,在国家信息安全战略文件出台时配套出台相关实施细则。资金方面,财政会出一部分资金支持信息安全建设。

以上这条消息对国内信息安全人士来说无疑是个利好消息,在“后棱镜门时代的五个热点信息安全话题”一文中,我们了解到棱镜门造成的安全信任危机未来数年将给美国云计算产业造成350亿美元损失,此外美国信息安全界也有专家曾指出棱镜门会导致针对美国科技企业的全球性的贸易技术壁垒。

国内信息安全企业的商机所在

可以说,在奥巴马政府无意采取任何实质性整改措施限制NSA的全球监控的前提下,因各国调整信息安全战略导致的全球性“贸易技术壁垒”几乎不可避免,例如棱镜门事件后德国总理默克尔曾放出狠话:“牺牲时间也要培养出美国科技企业的本土替代者。”而中国作为NSA监控的重点对象,其即将出台的信息安全战略也必然会强调“自主可控”,据消息人士透露中国国内信息安全基础设施包括计算、网络、存储、安全四条主线,也将加速国产替代。

在国家信息安全战略层面,关键信息基础设施无疑是重中之重,工控网安全、网络、计算和存储属于基础设施层面对国外产品的替代对于网络设备、防火墙等产品厂商来说商机非常明确,但产品只是有效的安全体系的一部分,从解决方案,或者说重点基础设施整体安全体系管理架构来看,安全技术、安全服务厂商的机会在哪里?由于目前透露的国家信息安全战略文件信息还过于粗略,我们还无法看到“大图片”。

他山之石,解读NIST的关键基础设施信息安全报告

非常“凑巧”的是,上周2月12日美国白宫发布了由国家标准技术研究所(NIST)起草的美国国家信息安全指导规范《提升美国关键基础设施网络安全的框架规范》(以下简称规范)。这是棱镜门事件后,美国政府首次出台的国家信息安全指导规范,也是奥巴马政府2013年启动保护关键基础设施信息安全战略以来的第一个基础性框架文件。(编者按:虽然不是强制规范,但很多方面已经有些类似国内的等级保护基本要求,因此也有美国媒体指出此规范有扩大行政监管范围之嫌),但是其体系架构和所涉及的信息安全最佳实践、标准、和模型非常值得参考和研究,从中我们也可以嗅出“后棱镜门”时代,全球信息安全市场的商机所在。以下是报告中的一些关键图表,我们摘录如下:

风险管理的信息与决策流程模型

组织的风险管理模型

美国关键基础设施信息安全防护体系框架(分为识别、保护、侦测、响应和恢复五个层面,也可以看做是一种基于生命周期和流程的框架方法)

信息安全防护体系框架

识别(IDENTIFY)分类的具体内容 ,我们可以看到COBIT、ISO/IEC 27001等信息安全认证被反复提及

识别

识别2

识别3

文章来自:安全牛网

security

云安全公司Qualys近日提交了IPO资料,成为又一家准备上市的信息安全企业。

 

Qualys的产品和服务能帮助企业的IT部门遵守所在行业的政策和规定,并提供监控和制止网络攻击的商业软件。Qualys的核心产品是QualysGuard云安全平台,而通过云计算方式部署安全软件对企业的吸引力正与日俱增,因为软件的安装和更新非常容易。通过QualysGuard云计算平台,企业可以监控恶意软件,扫描应用程序发现潜在威胁。QualysGuard还向企业提供一个仪表盘,方便企业进行漏洞管理。

Qualys目前在全球已经拥有5700个客户,2011年的收入达到7620万美元,2012年第一季度的收入达到2120万美元,目前Qualys还没有选择在哪家证券交易所上市,不过已经敲定了股票代号——QLYS。

近期提交IPO资料的安全公司还有Palo Alto Networks,该公司的“下一代防火墙”技术在防护传统的上网和电子邮件之外,还能帮助企业监控Facebook等社交网络和WebEx、Skype的数据。IT经理网在之前的报道中曾以“企业IT迎来十年一遇高潮”总结今年以来企业IT技术创业和IPO的复苏。

不过值得注意的是,Facebook上市后的糟糕表现对科技行业的IPO冲击不小。Facebook股票首个交易日由于技术故障导致30分钟的延迟,此后股价一蹶不振,甚至还连累Zynga当日股价下跌13%。为了躲避Facebook漩涡,旅游搜索网站Kayak因此还(又一次)推迟了IPO日程。

虽然云计算+信息安全对安全行业来说意味着一次重大革新和市场机遇。但Qualys依然在投资风险警示中列举了“盈利时间不长”,“无法扩张”,“云安全市场规模”等问题。

图片:Shutterstock

 

 

IBM cloud computing

此文为厂商的技术白皮书节选, IT经理网编译时去除了产品和服务信息。 不过读者需要注意的是文中有些观点可能会带有对厂商有利的倾向性

概述

云计算使得商业或消费类IT服务能够通过互联网, 以一种灵活地, 成本较低的方式。 无论用户使用什么设备在什么地点, 进程, 应用以及服务都能够快速部署和扩展。 因此, 云计算可以帮助各类组织提供服务水平, 更好地进行IT管理, 更好满足内部不断变化的对IT支持的需求。 此外, 云计算还可以同时支持核心业务的要求, 为业务创新创造条件。

目前采用的云计算模式有公共云模式, 私有云模式以及两种模式共存的混合模式。 公有云模式下, 任何人通过互联网, 都可以按需购买或者按固定费用租用服务。 私有云是某个组织拥有并使用。 它提供了与公有云一样的很多便利, 同时使所有者有更大的灵活性和控制力。

云计算的好处是显而易见的。 而在云计算实施中的安全性问题也必须重视。 采用云计算方式而忽略安全性无疑会使整个IT设施暴露于风险之下。 云计算导致了新一个层面的风险。 由于云计算模式下, 大量服务外包给第三方,使得保证数据真实性和隐私性, 数据和服务的可靠性,以及保证合规性方面变得更加困难。 尽管IT服务已经转移到云端, 用户依然需要保证合规性以及数据安全。 因此, 用户必须与他们的云计算合作伙伴之间建立信任关系, 理解公共云或者私有云环境带来的风险。

云计算带来的安全挑战

 

云计算安全与传统IT安全最重要的不同之一来自于大规模的基础设施共享。 来自于不同公司, 不同安全信任水平的人员长期共享同一套计算资源。 对于公有云服务由一大批服务商所提供, 数据存储和处理都在外部环境中完成。

就算在云内部, 也很难具体定位数据的存储位置。 传统的可见安全过程被抽象层所屏蔽。 这种不可见性会导致数据安全, 服务可靠性, 合规性, SLA保障以及整体安全管理的一系列问题。

安全过程的可见性对于合规要求尤其重要, 无论是萨班斯法案, 美国的医疗保险责任法案(HIPAA)欧盟关于隐私方面的法律, 以及其他很多国家的法律都对系统的可审计性提出要求。 而很多公共云对于用户来说就是一个黑盒子, 这样的话, 用户很难证明自身系统的合规性。 (私有云和混合云模式通过一定程度的配置, 可以满足这类合规性的要求)。

此外, 云服务商会被要求提供第三方审计功能,或者提供对电子取证的支持。 这样就使的安全的可见性变得尤其重要。 如果数据没有被正确的隔离, 那么对某个用户的数据取证可能会影响到其他用户的数据安全。 这就意味着, 一些敏感数据不适合存放在云环境中。

考虑采用云服务的组织必须理解云服务相关的风险以及保持安全可见性的重要。 对于云安全的实施, 可以重点从以下几个方面入手:

    •  建立安全程序
    • 保护数据安全
    • 强化访问与鉴权
    • 应用的配置与解除
    • 审计管理
    • 漏洞管理
    • 测试与验证

由于云服务有多种不同的模式, 每一种模式对应了不同级别的安全管理。 引入可信的第三方可能可以帮助企业或组织根据他们的商业要求, 采用适合他们的最好的云安全方案。

制订云安全战略

 

在云安全方面, 没有一个放之四海皆准的模式。 因为不同的企业或组织有不同的业务需要转型云服务或者通过云提供服务, 这样就产生了不同的安全管理的需求。 在云计算战略规划时, 需要认真评估云计算模式的风险。

以下是第三方安全服务所采用的云计算风险评估的框架:

定义商业和IT战略

 

进行云计算风险评估的第一步就是分析商业和IT战略。 通过云进行存储, 访问和传输的数据的价值有多大? 是不是商业的敏感或者保密数据? 有没有合规性的要求? 同时, 也需要考虑数据的可用性的要求。 通过对商业IT战略以及数据的分析, 才能进行风险评估, 确定采用何种云计算模式。

分析风险

 

每一种云计算模式(公有云, 私有云或者混合模式)都有不同级别的IT安全风险。 需要针对不同的模式, 分析漏洞和威胁的风险。 设计安全机制来控制风险, 并且要设计维护和测试的过程来保证系统运行后的风险控制。

制订云安全计划

需要制订一个云安全战略计划的路线图。 确定需要转型云计算的业务或者应用, 以及所需要的法律, 法规以及安全方面的要求。 需要计划好对风险的控制。 包括对鉴权和访问控制管理, 以及如何在安全控制方面平衡服务商与用户之间的关系等等。

 

白皮书原文下载:

 

随着云计算的普及,各路标准组织纷纷行动起来统一云接口,规范招标书和服务标准协议(SLA),以及政策合规等事宜。

 

 

cloud-storage欧美联手

本周二欧洲和美国标准化组织就上述云计算标准化议题召开了线上峰会,该会议由开放数据中心联盟(Open Data Center Alliance)发起,成员包括分布式管理任务组(Distributed management Task Force,DMTF),标准协会OMG,存储与网络标准工作组SNIA,以及欧洲电信与网络标准工作组ETSI。五大标准组织日常各自与最终用户和厂商协作开展云计算标准化工作,同时每隔一周召开一次线上电话会议。

虽然五大云计算标准组织的代表还没有达成具体的时间表和指导规范,但是他们的会议内容基本勾勒出了2012年云计算标准化的大致走势。

ETSI云计算主席迈克费舍尔(Mike Fisher)认为,数据隐私、安全与问责等云计算规范今年将在美国和欧洲开始实行,相关议题在亚洲云计算领导者之间也已经展开讨论。

费舍尔警告说,所有权的过度分散可能会成为云计算发展的“法规噩梦”,在欧洲这个问题尤其突出。费舍尔督促云计算厂商和用户积极主动与政府决策者沟通他们的见解。

DMTF总裁Winston Bumpus表示,在看过很多云计算厂商提交的互操作接口规范后,发现共性大于分歧。他认为统一云计算接口不但符合用户利益,也有利于云计算产业的良性竞争和发展。

OMG的主席Richard Soley则指出目前关于云计算的数据安全问题其实都可以通过完善云计算服务水平协议SLA来解决。DMTF总裁Bumpus则认为云计算标准的制定是十年一遇的改变计算模式的机遇。

亚洲跟进

在欧美云计算标准化组织积极推动云计算标准化进程的同时,亚洲云计算标准工作也已经启动。就在本周三,普华永道在香港举办“Asia Pacific Cloud Alliance(APCA亚太云计算联盟)”成立大会,宣布将通过广泛联合亚太地区的电信运营商及行业合作伙伴,推动建立服务于亚太地区的互联性云计算标准框架。亚太区云计算联盟(APCA)”的首批联盟合作企业包括香港和记环球电讯、马来西亚VADS(一家马来西亚电信公司)、澳洲电讯(Telstra)、LG CNS、新西兰电信公司旗下的澳大利亚子公司AAPT以及甲骨文公司,作为整个联盟的顾问咨询,普华永道将帮助构建互联性标准框架。

普华永道亚太区行业技术总监Greg Unsworth表示,企业用户正在面临云计算的“危机”,但又仍然对云计算抱有忧虑,其中安全与隐私管理、性能及本地支持、现有IT系统及应用的整合、云与云之间的可用性与互操作性形成了阻碍,使得企业用户尤其是跨国企业在广泛区域内对云计算的跨区域与跨国家应用心存疑虑,但云计算的重要优势与用户受益,就是能够帮助企业跨越地理界线与物理距离。

他表示,APCA联盟的建立初衷即是建立起消除云与云、地区与地区、运营商与云运营商之间的云障碍,建立不同的云孤岛之间的联系与互操作性,从而满足企业用户尤其是跨国经营的企业对云计算的需求。

据悉,APCA联盟的建立将提供面向云服务提供商的基础商业框架(Business Framework for Cloud Service Provider.)。APCA联盟所建立的共同的互联性标准框架,确保各个行业的企业客户无论在任何国家或地区,皆可享用由联盟会员所提供的高效安全云服务。

ODCA_logoAPCA在新闻稿中声称将ODCA视为云联盟的榜样,2010年进入中国的ODCA联盟在过去的一年多时间里,不断吸收业界知名的大型企业用户,目前国内几乎所有的知名互联网公司都是ODCA联盟的会员。但APCA表示自身与面向数据中心的ODCA的定位不同,APCA将以电信运营商为主要合作伙伴,“有着更高的行业起点”,并希望成为亚太地区最具实力的云计算联盟。

参考信息:InformationManagement

企业正在逐渐意识到云计算所带来的优势,不论是在提升资源利用效率和节省IT投入的整体成本方面。

企业正在逐渐意识到云计算所带来的优势,不论是在提升资源利用效率和节省IT投入的整体成本方面。而云安全也随之被提到了前所未有的高度,当IT迁移到云端时,企业需要考虑基本的安全对策,本文将为您介绍10种基本的云计算安全技巧。

 

1、确认现有的基础控制

基础控制是企业安全理念的核心。它们包含了将近60个保护您企业最重要资产的安全控制。它们专注在确保云技术对您业务的应用,以及您的操作是符合安全控制。

2、专注工作负载

云安全、企业信用直接与工作负载相关。每个工作负载都有独特的考虑,如管理因素和用户的依赖关系。通过对工作负载的重点关注,您可以制定一个更有针对性的安全计划,比传统的操作提供更安全的保障。

3、尽早建立共识

很多时候云技术不被合伙人重视。因此,重要的安全细节可能被忽略,从而导致整合与可用性成为问题。成功实施云安全的关键是项目相关人要心中有数,商定好利弊。

4、实施一个风险缓解计划

云部署往往涉及一些内部和外部的缔约方。企业应制定一个成文的风险缓解计划,允许管理员和员工在云端迅速处理问题。该计划应包括风险的文件,对这些风险的响应,同时也应包括教育和培训。

5、不要忘了图像管理

许多云应用都会用到虚拟化功能。企业应落实图像存储的管理流程,确保只有适当的图像是主动可用的。还有一点很重要,所有已部署的图像都要被正确识别和管理,以防止图像扩张。

6、进行安全评估

云计算是复杂的。迁移云技术之前,企业应首先评估应用程序和基础设施的安全漏洞,并确保所有的安全控制都到位且运行正常。道德黑客只是辅助方式,企业应以此检查他们云应用程序的常见漏洞。

7、充分利用安全服务

新的安全服务已经步入市场,在同类产品中它使企业达到最佳的安全性,无需通常的开销。例如入侵防护领域,访问和身份管理,安全事件日志管理为企业抛弃现有资源压力实现安全目标提供了机会。

8、制定一个弹性计划

随着企业采用基于云的技术,他们还应该看看他们的弹性需求。没有一种技术是完美的,云计算亦如此。确保工作负载,如果想在一场灾难或攻击事件中迅速恢复这是至关重要的步骤。要谨慎确保工作负载可以随时恢复,与业务连续性的影响微乎其微。

9、积极监视性能

未能正确地监测云的实施,可能导致在性能上的满意度和安全问题。实施积极的监测方案发现任何可能影响云实施成功的威胁。

10、遵循云的生命周期模型

安全不只是一个时间点的事情,而是需要持续的进行,企业必须勤于云技术管理和定期审查安全性。

保障云计算的安全需要考虑到各个方面,不是一朝一夕能够完成的事情,需要一步步的规划与管理。

(信息来源:CIO时代网)

第 1 页1

忘记密码

X