通用保障指标 – ENISA CAM项目介绍
ENISA的全称是欧洲网络信息安全局,前几天刚刚写了一个帖子讲了它发布的社会安全网络白皮书(http://sbin.cn/blog/2010/02/08/enisa-msn-security-wp/)。该组织的名称和法律地位非常令人“敬仰”,但是,由于属于新生报到,在业界还没有引起太多的关注和媒体报导。大家可以Google一下,尤其是中文内容更是少之又少。http://www.enisa.europa.eu/ 是该组织的官方网站。
近日,ENISA与云安全联盟CSA一起,发起了一个非常引入注目的业界项目 – Common Assurance Metric – Beyond the Cloud, 直译为”通用保障指标-在云之上”,我们简称CAM。该名字起的很有魄力,也很有诗意(喜欢文明系列游戏的人会联想到CIV4-Beyond the Sword,喜欢唱歌的朋友会响起“月亮之上”的旋律,呵呵)。不知看到这个题目,你是什么感觉?我的第一眼是ENISA和CSA有眼力,选题很棒。
CAM项目的使命和目标包括:
- 开发一个能够为业界机构验证测量信息保障成熟度的客观的、可量化的指标框架。
- 避免消费者被主观的、人为的提供商安排所左右
- 促使不需要第三方审计公司即可达成的、相对透明和公正的安全运行评价
CAM项目的方法和输出:
- 借鉴现存的业界标准,例如ISO 27001, BS 25999, NIST SP 800-53, 等,开发针对某个机构的一系列的“控制”问题
- 输出一个能够细化通用保障指标的分数体系
- 输出一个可供认证审计公司的框架
大家知道,CSA刚刚发布了新版的云安全指南v2.1,对云计算安全的方方面面提出了参考框架和很多实实在在的建议,可以非常好从项目角度为云计算的客户和提供商双方提供参考。但是,还有另外一个很有挑战性的问题 – 到底如何评价提供商安全运行的水平?SLA和KPI、Tracking Metrics到底如何定?定哪些?这个问题是落地的关键。
在高层面讨论安全框架和安全理论很重要,对于安全方针和项目规划很关键。另外一个对“婚后”幸福非常关键的领域就是实际的安全运行的考核指标体系问题。考核指标是运行部门的风向标,对于云计算这样的天然外包性质的运行就更是如此。
这几天在翻一本讲“十八大”的书,书中提到汪洋同志在广东“腾笼换鸟”大旗下的若干举措,其中的重要一环就是先开发了《经济社会发展指标考核体系》和《领导干部政绩考核评价办法》。同时,很多人都相信,为社会广发诟病的很多当前社会问题都来自于不当的、片面的GDP考核办法。
大家在我的博客上搜索 – 安全度量、安全考核,或者在SecurityMetrics标签(http://sbin.cn/blog/tag/securitymetrics/)下面,可以发现以前陆续写的一系列东西。这是安全运行的不可回避的一个挑战,IT管理层、CISO和安全经理们都必须面对、妥善处理的问题。但是,遗憾的是业界在此尚没有相对成熟的指标体系可以借鉴(ISO27001不是,PCI-DSS有一点,可也不是)。随便举几个例子:
- 策略和合同都要求考虑关键系统的漏洞评估和修复,可是指标如何定?什么叫关键系统?多长时间评估一次?多长时间修复?怎么定义修复?
- 策略和合同都要求关键及时打补丁,可是哪些属于关键系统?哪些属于关键补丁?多长时间打算”及时“?
- 策略和合同都要求针对身份账号进行生命周期管理,可是账号需要时多长时间建立?不需要了多长时间删除?
- …
此类问题在实际工作中,往往比高层面的框架和政策还要棘手。可喜的是,ENISA和CSA在此率先迈出了在安全度量和考核方面进行标准化的第一步。在上周举行的项目启动会议上,看到了长长的数十位专家名单,他们来自于ENISA/CSA/ISACA/ISSA/CPNI/ISC2/ISF/JerichoForum等组织,他们来自于KPMG/Gartner/Microsoft/Google/McAfee/CA/NSFOCUS等业界公司,他们来自于美国、英国、法国、荷兰、俄罗斯、中国等。
在着实令人兴奋的项目自动之际,真切希望在不远的将来,项目成果能够为云计算安全以及安全运行、安全外包等带来切实的帮助。我会给大家带来项目的后续更新,同时也希望大家继续关注CAM项目。
4月12日,项目改名为CAMM – Common Assurance Maturity Model