基于事故披露和案例分析的网络安全最佳实践

    简介：建立有效的、能够持续自我提升的网络安全工程方法关键成功因素包括建立安全事故披露和案例分析制度，明确界定安全“披露”责任，建立安全数据和响应平台等。

    0 导言

    前面一段时间，系列重大网络安全事件的发生，使领导决策层、行业和公众意识到我们在战略、组织、系统、能力等各方面存在诸多不足，网络安全可谓百事待兴。如果能识别出若干基础点和杠杆点，优先予以建设，则能最大化资源利用，收到事半功倍的效果。

    在当前阶段，网络安全防护体系的设计、建设和运营、事件响应等环节更多地依赖于安全工程方法及其最佳实践[ http://en.wikipedia.org/wiki/Best_practice]，例如设立DMZ（非军事区）、强制用户口令的复杂度、安全告警时间的关联处理、基于漏洞和补丁的响应体系、SDL（安全开发生命周期）等等。所谓最佳实践应该是在大量工程方法实践、及其相应结果有效性的评估基础之上的，例如一定复杂度的、8位字符的口令可以让攻击者难以破解同时又比较方便用户记忆，在多年安全运营活动中逐步成为“最佳实践”。 很自然的推理，通过事故披露和案例分析对相应的各种安全实践进行有效性评价、优化甚至纠错就是网络安全工程方法整体得以不断提升的重要基础。

    但是，坦白说，安全事故案例和分析，尤其是详细的技术分析，极其匮乏。这使得很多“流行”的安全实践缺少足够的实例证明，从而实际效果上，最佳实践近似或等同于“流行”实践，从而降低了整体的资源使用效率和实际防护水平。近两年来，对基于“合规”的安全实践的有效性的反思，就有这个方面的因素。

    基于以上的思考，笔者认为建立有效的、能够持续自我提升的网络安全工程方法有以下几个关键成功因素：1 建立安全事故披露和案例分析制度；2 明确界定安全“披露”责任；3 建立安全数据和响应平台。

    1 建立安全事故披露和案例分析制度

    安全事故案例匮乏背后的重要原因是缺少对事故各方进行准确披露的责任约束，换句话说，如果不披露没有责任、披露却需要承担代价，那么具备“理性决策”能力的相关方一定会选择不披露、或者少披露。

    通常，安全事故的代价有以下几项：应急响应和公共关系费用，律师费，IT系统体检、取证调查费用，来自司法机构和主管行业/协会等的罚款和问责，各种用户通知更新费用，另外，还有其它多种非直接的费用，例如IT系统清理、数据丢失带来的知识产权和商誉的损失等。

    “不披露”的责任取决于各国的立法。美国和日本等发达国家在安全事故披露方面通过立法建立了较为完善的制度，故意隐匿安全事故会给相关方带来严重的刑事、民事处罚。

    安全事故发生并披露后的代价、和“不披露”的责任放在一起，较低的那个，我们可以称之为“有效代价”，其高低是企业和组织评估安全投入是否合理合算的重要依据。

    简而言之，如果某类安全事故发生后的“有效代价”很低， 对于一个理性决策者来说，就没有必要和理由投入过高的资源去预防或阻止它。相反的，如果某类安全事件发生后的“有效代价”极其高昂，理性的决策者一定会投入相对应的安全资源而将其降低到可以接受的水平。

    另外，网络安全具有外在性（externality）[ http://en.wikipedia.org/wiki/Externality]。换句话说，个体在网络安全上的成效和意义超出该个体自身的利益，对个体之外群体的利益产生影响。与此类似的有传染病、消防、吸烟等。对于具有此类特性的社会事务，通常通过立法来进行约束，取消个体的一些自主权，而进行强制要求。

    举例来说，当某电商网站被“拖库”时，不仅该电商的业务收到影响，用户信息被泄露，可能被用以“撞库”，而导致受影响用户的其它信息和业务受到损失。当没有法律强行要求时，受损电商的理性选择通常是将数据泄漏事件隐匿，或大事化小，从而降低自身的“代价”。但“捂盖子”的做法却增加了社会整体的潜在风险。相反地，如果有相关法律强制要求围绕安全事件的一系列责任，通过大幅增加“隐匿”安全事故的成本，将其理性选择转向客观透明地披露报告安全事故、通知受影响用户、主动或协助第三方进行事故“根源分析”… 这样长期实践的综合效果带来的是社会整体风险的降低，以及有数据支撑的、更为科学的公众安全实践。

    网络安全“事故”是客观存在的，只不过有检测到的和没检测到的、披露的和没披露的、有根源分析的和不明所以的之分。

    2明确界定安全“披露”责任

    由于现代信息系统的高度复杂，安全事故发生的原因也可以非常复杂。不仅仅关系到信息系统的所有者和运营者、及其安全管理和运营团队，还可能涉及到众多的、直接或间接的、信息系统和安全系统的开发者、提供商、外包方等。

    可以借用常见的RACI责任分解矩阵[ http://en.wikipedia.org/wiki/Responsibility_assignment_matrix]来细化复杂的网络安全责任。信息系统的所有者和运营者、及其安全管理和运营团队，也就是常说的“甲方”，在安全事故责任方面通常是“Accountable”，通过商业合约，甲方将安全责任部分转移分解给了各个提供商、外包方，后者在安全事故责任方面成为“Responsible”，等，例如软件提供商在获知其软件出现安全漏洞时，有责任通报给“甲方”并提供修复方案。在“甲方”组织内部，“Accountable”又可以进一步分解，决策层、管理层和运营层各自承担什么职责。

    当前阶段，国内由于缺少相关的立法，网络安全的相关法律责任非常模糊，没有明确的界定，例如什么等级的安全事故必须披露、什么角色或职位负责披露、多大范围内披露、披露什么、尤其是不披露有什么罚则。

    相对来说，美国在网络安全事件披露方面的立法实践领先很多。例如美国加州2002年通过的法案S.B.1386[ http://en.wikipedia.org/wiki/California_S.B._1386]，要求所有保存有加州公民私人信息的机构在发生泄漏事件后必须及时向事件受害者披露，否则将会招致民事诉讼。这一法案将数据泄漏每个记录的平均代价提升到了200美元左右[ http://download.pgp.com/pdfs/regulations/SB_1386_Compliance_Brief-080618.pdf]。

    前不久，美国参院情报委员会以12比3的压倒优势通过了一项关于网络安全信息分享的法案。 该法案鼓励私营企业和政府相互之间自愿地分享网络威胁信息，而不用害怕那些琐碎的诉讼和不必要的官僚障碍。

    这些法案及其带来的相关安全实践从根本上强化了美国在安全基础数据和综合能力方面的优势。

    3 建立安全数据和响应平台

    在前面两项机制的基础上，海量的安全“基础”数据将会被收集、分析和分享，并用来评价各种安全实践的有效性。多方参与的、开放的数据平台将会是重要的使能者。

    另外，Verizon每年一度发布的DBIR报告[ http://www.verizonenterprise.com/DBIR/2014/]显示，一次定向攻击从开始到完成数据窃取平均只需要数小时，而受害方从攻击开始到检测到攻击的平均时间则长达数月。巨大的反差折射出网络安全行业的严峻挑战，不仅仅是如何检测到这些定向攻击，并且还要在第一时间、在小时时间尺度上检测到，否则实际效果就会大打折扣。

    安全事故过程中的响应活动需要有效协同相关各方资源、为安全事故的数据收集、披露、事后的根源分析提供便利、并保障业务恢复的时效性。

    安全数据平台有必要能够支持安全响应活动中及时地、准确高效地收集相关数据并提供一定的分析能力，从而为当下和以后的安全响应活动提供指导。

    4 结束语

    在现阶段和可预期的未来时间里，网络安全仍然强烈依赖于各种“最佳实践”，也就是一系列经过“验证”的工程方法的集合。

    单纯期望某一个安全技术或体系架构就能够全面消除或解决网络安全威胁和风险的想法是不现实的，在国家层面甚至是有害的。通过大量实践、在网络安全实战对抗中不断提升综合的安全能力和最佳实践才是更为现实、脚踏实地的路线。

    而披露安全事故并对其进行根源分析是提高网络安全综合能力和最佳实践的重要基础手段。

    为此，有必要通过立法和管理手段，尽快建立安全事故披露和案例分析制度，明确信息系统相关各方在网络安全事故披露方面的责任和义务，并通过数据和响应平台进行持续的案例积累和最佳实践优化，持续提升我国的综合网络安全实战能力。(绿盟科技首席战略官 赵粮)