Cloud & Telecom Security

在我们国庆节期间，2008年10月1日，PCI安全标准委员会PCI-SSC在其官方网站发布了最新数据安全标准PCI-DSS版本v1.2.  PCI-DSS的官方网页目前可以下载到最新的1.2版本的PDF和DOC文件。目前官方网站只有英文版可以下载，联系组织者Shawn说，简体中文版在翻译中，应该很快可以发布，和大家见面。

另外同时发布还有1.2版本相对于1.1版本的更改。按照官方网站的消息，v1.1版本还将继续有效至今年年底，也就是2008年12月31日。

总体来说，新版本变化不是很大。下面是12个要求的主要变化总结，希望对大家有所帮助。

要求1：Install and maintain a firewall configuration to protect cardholder data
主要变化是对于防火墙和路由器的内审周期从每个季度调整为至少每六个月，以方便企业组织定制。

要求2：Do not use vendor-supplied defaults for system passwords and other security parameters
主要变化是删除了关于“禁止SSID广播”的描述。将其留给企业组织自己决定。事实上不少企业组织使用广播SSID来提供Guest VLAN等服务。
Read more…

坦白说，在LinkedIn上提问之前，就安全度量指标系统而言，我并没有做过更多的学习和研究。在得到大家的热烈指导和响应后，我越来越发现原来有这么多的资源和信息已经在哪里，可以借鉴。写了前面三段关于安全的度量指标体系的帖子后，我开始读Andy的“安全度量”。

Andy(Andrew Jaquith)的“安全度量”(Security Metrics: Replacing Fear, Uncertainty, and Doubt)这本书是一本不错的书。几个星期前从网上找来了PDF的英文版，前几天买了中文版（电子工业出版社，2007年12月）。这两天在深圳出差，抽路上的时间把书读了一遍。下面是点到为止式的一些评论。 Read more…

Ken的观点很有趣，虽然每个人都知道这个管理方面的格言：如果你不能测量它，你就不能管理它。但是，普林斯顿大学爱因斯坦办公室悬挂的一句话：“Not everything that counts can be counted, and not everything that can be counted counts. ”。 同样也是很令人思考的。

将安全事件的数量当作关键KPI – 这虽然非常直观，甚至是管理层很直觉的反应，但是还是不建议将安全事件的数量当作安全运行的KPI，甚至不建议把安全事件解决的时间当作KPI. 因为在很多时候，都很难保证不发生安全事件，或者发生安全事件后一定可以在某段时间内予以解决。例如国内、国外都发生过、或者正在发生着互联网的拒绝服务攻击，包括掌握着巨大资源的运营商都很难避免此类攻击，或者在遭受攻击后很快能制止攻击、或消除影响、恢复业务。我听说的很多例子只是被动地过滤或者更换地址等。这样，安全运行团队的业绩的偶然性就会很大，带来很多不公平的因素。
Read more…

继续整理关于安全考核指标体系(Metrics System)的一些想法和大家的反馈。

# 安全考核指标体系有什么意义？有什么价值？

第一， 从各种视角反映出当前组织的安全保护和运行状态，向管理层提供战略和战术层面的反馈，以及趋势分析
第二，用以诊断各种流程存在的优势和不足，并提供何以改进的提示
第三，用以组织的绩效考核

# 在设计安全指标体系时应该注意的要点，同时也可以说是好的指标体系的特点：

• 与业务目标相关。这是第一位的要点。安全指标体系不是为了指标而指标，为了标准而指标，而是为了核心业务目标而制定。因为不同的组织企业，在不同的历史阶段有不同的业务目标，所以指标体系也不会有全世界通用的”灵丹妙药”。需要根据自己的特点而制定，但是可以参考一些业界的最佳实践。
• 定义清晰，易于理解。大部分的指标是要团队、很多团队的协作才能实现的。所以，指标制定出来后，需要宣传贯彻，需要申请资源和协作。清晰易懂的指标体系帮助形成目标一致的合力synergy。
• 前后一致，可测量，容易收集，低成本。大家都很了解SMART原则，这里也适用这一原则，即指标要具体(Specific)，可量化(Measurable)，可达成(Achievable or Attainable)，现实的(Realistic)，并且有限定的时间期限(Timely)。有明确的收集频率，收集源，较低的收集成本。
• 可控制，通过行动可以影响结果。指标应该有明确的责任人和达成共识的阈值。责任人明确通过努力而影响并达成该指标。
• 可以进行数量化、图形化的呈现

指标中的一部分会成为KPI，即关键绩效指数。这时通常有两种类型，其一是当前可以达成，但是需要一直保持，例如设备利用率；其二是通过努力在一定时间内达成，例如当前的每百设备高危漏洞数量是10个，设立的目标是降至每百设备1个。 Read more…

近日，在线支付行业的权威机构PCI委员会发布了相关应用的数据安全标准 – PA-DSS。之前，该委员会发布的PCI-DSS数据安全标准偏重于系统和基础设施层面。这次发布的新数据安全标准主要是为了解决支付应用的安全问题。

据报道，这次发布的PA-DSS主要定义了在线支付相关的第三方接口的数据安全标准，对内部开发用于自用的应用则不是这次安全标准的目标范围。

该标准的前身是Visa公司的Payment Application Best Practices (PABP)，该最佳实践已经获得了不少公司的认可采用，包括American Express, MasterCard Worldwide, Discover and JCB International等。PCI委员会希望通过这次采标让更多的企业接受这个数据安全标准。预计相关的审计、扫描工具将会出现新的商机。

据报道，在2010年7月1日前，所有相关成员公司的第三方销售和支付应用将会被要求符合上述标准。

这段时间又到了总结过去、瞻望未来的时间，又要计划新的一年安全运营的目标和考核指标，大家都讲SMART，道理没错。可是一年的大方向是什么？然后确定下来的实现目标又是什么？带着一些问题，抱着试试看的心情，我在LinkedIn里提交了一个问题：how to measure the information security operations? 出乎我的意料的是，我得到了许许多多热心的、精彩的回答。非常有启发性。等我仔细整理后，再给大家一些分享。

安全考核（度量metrics、测量measurement）指标体系等是很意思的话题，可以说安全经理们天天都要打交道的问题。MBA的课程以及很多管理课程都会强调“如果你无法测量它，你就无法管理它！”， 包括ITIL也是遵循同样的逻辑。在安全运营这里这个原理也成立。所以说，问题就不再是要不要安全指标考核体系，而是如何选择适当的、正确的指标了。适当的、正确的安全考核指标应该体现出当前的工作和努力方向，它可以帮助安全团队与非安全团队、非安全专业人员更好地了解信息安全的工作和状况。同样，这些指标体系(Metrics System)对做好高级管理层的沟通并获取他们的支持也非常重要。

在这个课题上，已经有很多非常完整的参考资料，例如NIST SP800系列中的SP800-55，“Security Metrics Guide for
Information Technology Systems”，SP800-80, “Guide for Developing Performance Metrics for Information Security”，以及大家已经推荐的若干本专著，网络链接，都非常不错。

各位有什么好主意、思路不妨也分享一下。

Today is the openning day of Sino-American CIO Summit conference at Beijing Yisheng Resort.

After a long drive, I came to this resort this afternoon. When I came into the meeting room, CSO of Microsoft Greater China, Mr. He Disheng was presenting on Microsoft security management solution. Afterwards, the CSO of McAfree, Martin presented on McAfee’s security management. According to Martin, McAfee use CoBit for security governance, and CMM for security processes. He gave out some examples of how enterprises CSOs handle the budgeting and communications with CIO/CFO. …

The most impressive speaker is the former CIO of DOI of US, Mr. Hord. I believe his previous job titile is very attractive to most of attendees. I asked him two questions after his presentation.

My first question is “what’s his big challenge in his security management at DOI? technology, people management, communication, budgetting…” The answer of Mr.Hord is very simple:” It’s people management”. My second question is “would you please share with us your comments on current upsoaring commercial malware industry that reported at 2007 Blackhat conference?” To be honest, I did not catch exactly what Hord told us.

A startup at China, BMST, is exploring a new field in security audit by rolling out their ground-breaking product – Session-Auditor. That’s good pitch in the hot compliance trends. Compared against those tradional host based audit systems and SPAN-sniffer like audit systems, SA can audit those encrypted protocols transparently, without necessity to install expensive agents at hosts. Another plus of this product is its built-in access control capability. That means you don’t need intranet firewalls to protect your mission critical servers from operation and administration terminals. Just use Session-Auditor.More technical information are available at the new whitepaper at their website. Click here to download.

[Tags]Security,Audit,SOX[/Tags]

A startup company in China, BMST Co. Ltd., is bringing security managers and auditors a ground-breaking product which can audit SSH and Windows Remote Desktop Protocol (RDP) as a network bridge transparent to the upper layer applications. The product is named Session Auditor. It can record, replay, query, correlate those session data from most of popular protocols used in the daily network and system maintenance and operations, such as SSH, RemoteDesktop(RDP), Telnet, FTP, HTTP, Rlogin, VNC, and even those SQL query in Oracle, Sybase, MS SQL and etc. The most brilliant point is its unprecedented audit capability to the two most popular encrypted protocols, ie. SSH and RDP, making it unique in the competition against common sniffer products as well as forensics tools.

The founders of BMST have put their product at much larger background – the wave of compliance.

In the wake of Enron and WorldCom the role of internal auditors in corporate governance has taken on whole new meaning. Compliance is a long journey that enterprise excutives and IT managers have to take. Although there have been too much in your work breakdown structure task list, however, “Audit” is the right one that you can never overlook for seconds. Audit systems help executives assure everything runing as expected and defined.

Generally speaking, “audit system” for information systems are seperated into two kinds, one is management layer auditing, another one is technical layer auditing. The former is mapped to those auditing tools, particularly based on best practices and standards, such as ISO27001(BS7799), Cobit. But as to the technical layer auditing, there are too many tools and approaches in IT managers’ table. Typically it’s implemented by those log collection and analysis tools in the IDC’s security product category of SIEM(Security Information and Event Management). Those logs are designed to record only the event results, without the details of the activities and operations. In other words, if security managers and auditors want to do in depth investigation and forensics, those logs can’t help any more. Read more…

什么是“审计”？

我们知道，审计（Audit）是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原 则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。审计早年用于财务系统，到现在词典、字典中的“审计”（也包括 Audit）的定义都是针对财务系统。在当今的世界里，几乎所有企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的 同时，财务审计也间接带动了通用信息系统的审计。在美国安然公司（Enron）和世通（WorldCom）财务欺诈案爆发后，在2002年美国紧急出台了 萨班斯法案（SOX, or SOA），赋予了“审计”新的意义，这里也包括了信息系统的审计。“审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。

另据新闻报 导，在最近结束的IATA年会上达成一个重要共识：所有成员航空公司都要进行运行安全审计（IOSA），申请加入IATA的成员在正式加入前必须通过 IOSA审计。目前所有的成员公司要在2007年之前完成审计，否则不予保留会员资格。审计已经逐渐成为越来越多的政府部门、行业分支、大企业等加强治理 的重要手段。

美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

审计系统主要包括两种形态

• 基于主机的审计（主机、网络等各种日志）
• 基于网络的审计（网络会话和行为）

它们分别依赖不同的手段来收集审计信息，面向不同的风险和威胁：

1 前者收集并分析各种日志。这是较早的、较为传统的审计方式，登入、登出、添加、删除、修改、更新等活动，应用日志、操作系统日志、数据库日志、网络设备的 日志等。按照IDC的新定义，SIEM（安全信息和事件管理）类安全产品负责收集安全设备和其它信息系统的日志和事件告警，进行过滤、相关、分析等处理。 一般说来，前两年如火如荼采购中的SOC产品（如果喜欢叫平台也可以）基本上都属于IDC的SIEM类。

2 后者直接查看数据本身。由于各种先进的攻击方法的出现、由于IDS的漏报、由于当前对于内部滥用和误用（这些都很难从安全设备的日志中发现）的担心，对于 网络和应用数据本身的记录、回放、分析等形成了另外一个审计分支。这类产品最早的出处应该是雷神（Raytheon ）公司的SilentRunner（如果大家还记得的话，后来被CA公司收购，现在产品的名字叫Network Forensics），专门用于分析网络流量和海量日志，从中发现IDS等安全设备不能发现的潜在威胁和事件，违反安全策略和规则的行为。另外NAI公司 的Sniffer，或者后来的开源软件TCPDUMP虽然缺少上层的分析层和展现层，也有一部分这方面的功能。NAI公司分家后，Sniffer公司继承 了网络取证分析产品InfiniStream Security Forensics。Niksun公司的NetDetector, NetVCR, NetX等系列产品可以“连续的流量记录和存储”、帮助分析网络中的流量、监控网络行为“网络异常及入侵检测”、以及帮助进行符合性分析和事件取证“网络 审计分析”等。

近两年来，随着对操作行为本身进行审计的需求的提升，于是产生了一种使用应用代理进而建立堡垒主机的方式来控制网络访问活动、并获得操作数据进行记 录并分析的审计系统。这类系统的代表包括Symark公司的PowerBroker，以及Bluecoat公司的ProxySG等。这类审计系统需要客户 端显式地配置代理指向的地址，并可能需要进行二次验证以符合代理的安全策略。

国内已经开始有越来越多的公司开始涉足并推出自己的安全审计产品，除去上述第一种的日志收集产品之外，还出现了相当多的网络镜像方式获得数据，进行 会话重组和协议分析，可以根据安全策略发送Reset包主动中断网络连接（有些还可以进行身份认证和授权验证），这类产品的代表包括清华紫光的ACA、以 及复旦光华的S_Audit等。前者与认证、授权等结合，面向运行维护需求，而后者则加入了很多HTTP、IM等应用的分析展现功能，面向企业内部安全使 用控制。

[待续]

richardong 2006-09-15 评论

zhaol 2006-12-26 评论

Yesterday afternoon, WHY and I worked out a holistic enterprise internal control framework. We named it as 12345678! Pyramid Framework. It help integrate the enterprise execution, IT control and security control methodologies and countermeasures.

1. One Priority: Execution
2. Two Hands: Technology and Management
3. Three Layers: Decision Makers, Managers, and Execution
4. Four Phases: Plan, Do, Check, Act
5. Five Layer Controls: Control Environment, Risk Assessment, Control Activities, Information and Communications, Monitoring
6. Six Risk Elements: Assets, Threats, Vulnerabilities, Safeguards, Risks and Opportunities
7. Seven Information Criteria: Confidentiality, Integrity, Availability, Efficiency, Effectiveness, Compliance, Reliability
8. Eight IT Processes: Planning and Organization, Acquisition & Implementation, Delivery and Support, Monitoring and Evaluation

Do you like it? We know there has been much space left for it to be perfect. But it help guide your thinking ways when you prepare proposals or do planning. Its original form is in Chinese. Click here for more.

If you think it helpful or have any suggestions, just leave me a comment.

[Tags]Security,BS7799,CoBIT,SOX,Audit,PDCA[/Tags]

或许A在网络信息安全这个领域中有点神秘色彩，也有些特殊地位。Authentication, Authorization, Account, Accounting, Audit, Availability, Accountability, Administration, 很多A，每个A都在A的名义下定义了不同的功能。

最早Cisco路由器配置中的AAA Newmodel，其中的AAA是指：Authentication, Authorization, and Accounting. 功能很明确，先作用户认证，然后授权他可以在设备上面进行什么样的操作，最后，进行记帐。对，这里的Accounting，就是记帐，不是帐号。它帮助运营单位对网络流量和操作进行记帐。

IDC中AAA的分类，定义了AAA，这里的AAA与Cisco网络设备配置中的AAA有所不同，区别点在于第三个A，IDC的AAA的第三个A是指 Administration, 其实含义基本上是除了Authentication认证，Authorization授权，以及Anti-virus反病毒、Firewall防火墙、 IDS入侵检测系统（在2000年以前，似乎IDS和扫描器都在这第三个A中，后来IDS单独分类统计）。现在IDC重新定义了AAA，将其分成了两个区域，第一是IAM(Identity and Access Management)，第二是SVM(Security Vulnerability Management)。参考下面的示意图，IAM中增加一个新内容，就是目录管理，SVM中也增加一点新内容，就是漏洞管理。漏洞扫描产品（scanners）本来也是属于IDC AAA中最后一个安全管理的内容，后来与IDS成为一个分支 ID&A，现在漏洞管理的名义下重新回到SVM下面。当然了，今天的漏洞管理在内涵上大大超出了原来的单纯的漏洞扫描。

而AAAA则是国内领先运营商在AAA/IAM基础上结合国内的实践提出的模型，它的全称应该是: Account, Authentication, Authorization, Audit，也反映了中国安全业界对于安全管理的思索和创新。

在上文“安全管理过程中的执行力”后，应同事要求改编了一份媒体版如下文，大家看看媒体版和Blog版的区别：

在安全建设过程中，很多企业都乐于购买安全咨询服务来帮助建立基本的、或者相对全面的安全策略体系，通常会覆盖反病毒管理、安全事件紧急响应、安全风险管理、第三方安全、终端用户管理、口令管理、数据安全、应用安全、邮件安全等等。这些都对企业安全管理水平的提升起到了积极的作用。但是我们也注意到很多企业购买服务后制定的这些策略都千篇一律，企业管理者抱怨落地性不好。这种现象背后的原因可能是两种：其一是安全服务商自身能力不够或者资源投入不够，导致对企业安全管理的环境不够了解，无法开发出更有针对性、更有效力的策略制度体系；另外一种原因就是企业自身的管理成熟度不够高，或者执行力不够，导致双方的项目目标与实施效果有相当差距。 Read more…

安全管理很多依赖于企业自身的企业管理水平，如果剥去安全策略、管理制度和流程的完备性、前瞻性等技术因素的包装，其实，企业治理过程中最为重要的要素之 一 － 执行力，对安全管理同样非常关键，它决定了那些（可能漂亮或者不怎么漂亮、完备或者不怎么完备的）安全策略、制度流程等是否能够得到落实。实际上是安全效 率（efficiency） 和 安全有效性或效力（effectiveness）的问题。开发几尺厚的安全策略制度流程手册文档，购买千兆防火墙、IDS，上安全管理中心（SOC）等等 这些措施大多都是面向的安全效率，而如何能够保证所有的或关键的安全措施都能够坚守岗位（Stick）、按照策略运转是效力问题。

在2002年准备SOC项目时，考虑推出了“可视化”、“可量化”、“可管理”、“可运营”等几个概念，强调了企业信息系统中安全风险的可视化和可量化， 能够实用技术手段揭示“冰山水面下的部分”。“可管理”、“可运营”强调了安全管理与企业管理的融合，安全管理要走出去，加强沟通宣传，避免“曲高和寡” 的技术主导倾向，时刻要考虑组织职位流程方面的落地能力、可操作性。

这一切做法的出发点从本质上说与IT治理、企业治理的思路是一致的，安全管理不需要“重新发明轮子”，我们只需要多借鉴，多思考，很多安全问题其实可以寻求安全之外的经验知识来帮助解决。安全管理活动中需要注意提高“执行力”。

Read more…