[Chinese]网络信息安全度量和考核指标体系(5)-数字魔术
在Andrew的《安全度量》一书中,提到了一个关于反病毒系统的指标。 Dan Geer提到他的一位CSO朋友说:“去年他们阻止了70000个病毒进入内部网络,但是更为自豪的是阻止了500个病毒流向外网。”, 内外网的病毒比是140:1。 于是我也查了一下我们的数字,我们一个月阻止了12000个病毒进入内网,却有300个病毒流向外网,这样我们内外网的病毒比是40:1。按照Andrew的说法,似乎我们的内部网没有那位华尔街投资银行的网络干净。但是,为了比较这个指标,我们还需要另外一个数字,就是进入内部网络的邮件总数,流向外网的邮件总数,有了这两个数字后,其实我们就可以比较两个比例:
进入内网病毒率= 检测到的进入内部网络病毒数量 / 进入内部网络邮件总数
流向外网病毒率= 检测到的流向外网病毒数量 / 流向外网邮件总数
将上下两个病毒率进行比较,或许更有趣一些。大家可能会认为,一般企业两个出、入两个方向的邮件总数应该差不多。一般“入”方向肯定会大很多,因为至少有大量的垃圾邮件存在。垃圾邮件百分比现在居高不下,一般可能在40%-70%之间,甚至更高。
关于服务器的病毒感染率,尤其是邮件服务器和文件服务器、FTP服务器等,每日都有大量的文件交互,普通用户的文件染毒就会直接影响服务器染毒的指标。这个染毒不是系统级染毒。如何处理这个指标呢?与系统管理员的绩效联系起来,似乎有些还有些距离。
大家在安全运营工作中是如何处理各种各样的安全指标的,都来分享一下吧。
以下是Billy的精彩评论:
# 从某种意义上来说,病毒以及恶意代码的定量评估在小范围内是易于实现的,而大范围内很难实现;因为其所涉及的环境过于复杂,而场景也难于被追溯;
# 那么定性的评估是否能够适用于对企业内病毒的评估呢?也不尽然,因为病毒自身的危害性是有限的,更多的是隐藏在病毒之后的经济、政治等特殊目的,这些会加剧对企业内信息资产的危害性;而如此一来受到威胁的信息资产是难于被紧密跟踪的;邮件仅仅是其中之一(易于跟踪的一种),而其它诸多例如IM工具、P2P工具、FTP工具等所产生的网络行为本身就已采取多种机制干扰被分析,更何况其中的恶意网络行为呢?:)
# 一直对ISO27001中有关防范病毒方面的控制项的落实感到困惑,在曾经的项目中,客户信誓旦旦认为自己的mcafee企业版已经更新到了最新版本,而且客户端也有效落实了安装;只是在检查时,却发现有上千个外地分支机构的终端注册在该企业版服务器上,而策略是不允许该网络与分支机构网络进行互通的。那么对于这种情况就算指标再完美、日志再详尽、报表再好看,仍然都属于严重的安全事故,存在潜在的安全风险。(事实上,入侵者随便从外地的一台电脑只要入侵这台病毒升级服务器即可)
# 就算是在边界、网络、主机乃至邮件等对象上都采取了恶意代码的防范措施,也只能防范60%左右的恶意代码,每天新增的恶意代码数以万计,从年初的300多万到9月份的接近700万(有限捕获数据)已经翻了一番,增长趋势还在增加,能够绕过所有主流杀软(最新特征库+主动防御全开)层出不穷,甚至就连能够绕过Vista UAC的rootkit也已经出现,所以防不胜防,对抗本身就是不对等的,因此度量也就应该是相对的;
# 对于运营来说,传统的关注重点在业务的可用性不受破坏,凡是对其有影响的都要让道;那么现在呢?除了可用性之外,我们还应该关注什么?尤其是安全运营?
# ITIL V3中从服务交付与支持两个阶段给出了一些参考,但是太高屋建瓴了;从对一些客户的了解来看,落实与执行起来往往每个环节都会大打折扣,从而造成整体的效果不尽如人意;
# 大老板们未必会关心邮件病毒是什么?但是一定会关心我这个季度为什么竞争对手拿到了我的很多项目报价,或者关心为什么媒体总是能了解我们的内部会议内容?或者其它…
# 从责任归属的角度而言,尽管原因是多方面的,但如果能够以病毒的评价指标为由头,可能会对安全运营引起重视构成一个可以接受的理由;毕竟大老板们的笔记本电脑也不是铁板一块;