本书回顾了当下认知和实践中存在的问题和困境,介绍了响应式方法的原则和办法,以及安全准备就绪的概念,展示了它在当今信息安全风险环境中的可行性和实用性,鼓励更多地采纳并在实际中使用此方法。通过更多的从业人员和研究人员参与实践和讨论,我也希望发展并持续响应和调整此方法,来解决从业人员面临的不断变化的问题。
序
这几年,许多组织和安全提供商已经开始转变他们的信息网络安全战略和服务。虽然法律法规和策略合规与否仍是管理层的最高关注因素之一,然而组织的信息安全状况,包括安全弱点,以及针对网络攻击的准备已被视为重点工作。这个安全管理战略转变的趋势是受多方面影响的。其一是这几年媒体报道了导致大量数据泄露和经济损失的多项严重安全事件,并对政府机构和一系列不同行业的国际品牌商业组织产生了恶劣影响。这些事件强化了高层管理者对信息和网络安全的重识,并加强了对组织和个人在这方面的管理。政府和管理机构开始在如何应对网络攻击方面提出相应的要求,受管制的企业必须对这些新的法律法规保持合规。
由于意识到组织内部和外部环境的安全状况信息,特别是网络系统有关的安全漏洞和最新的攻击手段情报的必须性和重要性,许多安全提供商已把这些安全情报经济化,包装成用户组织可签订的一种信息服务。
安全信息共享也扩展并成熟,到了一个新的阶段,跳出了之前只有安全厂商和安全研究者的经济利益圈子。许多行业已设立了由业内用户组织的安全信息分享和分析架构,并与竞争对手分享安全风险信息。
为提高网络安全应对能力,类似网络靶场(Cyber Range)的技术方案也被商业化,成为安全厂商竞争市场份额的重要项目之一。这种技术提供了一个更真实的训练环境,让组织可以提高安全人员对安全攻击的分析和及时响应的能力。
许多组织的信息安全意识项目也升级到能力训练的层面,不只是安全信息传播。用互动的方法,如防钓鱼邮件的攻击实践练习,能够让用户接触真实钓鱼邮件的样本,从而测试他们的反应是否符合安全实践的要求。
可视度、现状意识、关键对齐、提升应对能力和关注响应能力,这些都是响应式安全的元素。这些元素与近期在业界组织安全管理战略的转变趋势吻合。这是在无计划性和无目的性操纵下的吻合,也可以说是一种巧合。但这个吻合却再次对压电式的信息安全风险管理理论做了一个无计划的验证,表明该理论在技术和商业环境转变下的实用性。
更重要的是,它显示了组织和安全厂商积极地转变网络安全的实践、战略和重点工作,这与提高可视度、应对能力和关注响应能力是吻合的。另外,压电理论也为解释这些战略转变的趋势提供了一个理论基础。
中文版翻译的完成时间超出了我和出版社的计划,我在这期间再次证实了文献中叙述的研究过程、讨论的观点,以及得到的结论,包括其中实现的战略和各种方法是及时的和适用的,而且更适用于当今的信息和网络安全趋势。希望读者能从本书中得到更多信息安全管理的知识和启发,扩展响应式安全的实践,加深在该战略和相关方法上的研究和分享。
致谢
我特别感激Taylor & Francis 出版社的编辑贺瑞君,电子工业出版社的编辑刘皎与郑柳洁,以及清华大学段海新教授和王永科。
多位信息安全和行动实践研究领域的朋友和同事慷慨无私地与我分享了他们的想法,并在此项工作的各个阶段给出了支持和鼓励,尤其是符传威、Pauline Reich 教授、郑文浩博士及Bob Dick 教授。我对CRC 出版社的编辑团队深表感激,尤其是贺瑞君在整个出版过程中给予我的指导、建议和协助。
没有我挚爱的家人毫不动摇的支持、理解和忍耐,本书不可能完成。
谢谢大家。
江明灶(Meng-Chow Kang)
前言
信息安全风险管理是企业和政府机构应对相关信息安全威胁和漏洞的重要组成部分,旨在确保符合管理规定和最佳实践标准,向股东和客户展示自己尽职尽责的工作状态,并以最小成本实现业务目标。
虽然许多研究人员和从业者为信息风险管理的发展和进步做出了一定的贡献,但是现有方法只取得了有限的成功,并且在实践中仍然存在很多问题。尤其是当业务、运营和(或)技术环境面临变化时,这些问题在与信息安全相关的频发事故中是常见的。
信息风险管理所面临的挑战,其本质是复杂性。这种复杂性的出现是由于该领域涉及过多的问题和困境,源于经常互相冲突的要求、需求、认知和影响,包括但不止于人(个人和群体)、过程和技术等,还有问题环境中不同的商业经济发展程度、当局政治期望及文化限制等因素。现有方法只能部分地管理复杂性,还不能很好地满足需求。
为解决遇到的问题和困境,信息安全从业人员必须在实践中反复地反思他们的做法,在过程中不断学习,并且随着其所在风险环境的变化,以迅速的响应和可靠的、演进的方式逐渐提高自己的实践能力。
与此类似,组织需要做好准备,能够随时响应,采取响应式或者压电式(Piezoelectric)的方法,基于组织对响应准备程度的需求应对信息安全风险管理要求,并适应组织所在风险环境不断变化的特性。?
响应式方法基于信息风险管理中所谓的“压电理论(Piezoelectric Theory)”的实体理论(Substantive Concept)。压电理论是在实证研究过程中发展出来的,采用了行动实践研究的方法,在六年多的时间内涉及多项案例研究、从业人员采访,并在真实环境中测试了提出的方法。
压电理论指出,如果组织系统中的信息安全实践设计使系统能够重新调整,在系统环境不断变化的风险条件下也能满足系统的整体需求,那么系统环境中新出现的风险状况带来的潜在负面影响将被重新调整所采取的行动措施平衡或消除。
受益于组织系统中的响应行为,环境中突发或新涌现的风险所造成的后果可能会对组织系统产生比较小的负面影响。影响的严重性与安全准备程度和组织的响应能力呈负相关。准备就绪就是指组织能做好准备重新调整其行为,并且能够及时地、系统地采取适当行动来平衡不断变化的风险环境所带来的负面影响。
通过实施和实践,压电理论的响应式方法在解决来自不断变化的风险状况的信息安全需求方面,展现了良好的效果,这些需求都是传统的合规性和面向控制的方法无法有效解决的。
本书回顾了当下认知和实践中存在的问题和困境,介绍了响应式方法的原则和办法,以及安全准备就绪的概念,展示了它在当今信息安全风险环境中的可行性和实用性,鼓励组织更多地采纳并在实践中使用此方法。通过从业人员和研究人员的实践和讨论,我也希望发展并持续响应和调整此方法,解决从业人员面临的不断变化的问题。
这几年,许多组织和安全提供商已经开始转变他们的信息网络安全战略和服务。虽然法律法规和策略合规与否仍是管理层的最高关注因素之一,然而组织的信息安全状况,包括安全弱点,以及针对网络攻击的准备已被视为重点工作。这个安全管理战略转变的趋势是受多方面影响的。其一是这几年媒体报道了导致大量数据泄露和经济损失的多项严重安全事件,并对政府机构和一系列不同行业的国际品牌商业组织产生了恶劣影响。这些事件强化了高层管理者对信息和网络安全的重识,并加强了对组织和个人在这方面的管理。政府和管理机构开始在如何应对网络攻击方面提出相应的要求,受管制的企业必须对这些新的法律法规保持合规。
由于意识到组织内部和外部环境的安全状况信息,特别是网络系统有关的安全漏洞和最新的攻击手段情报的必须性和重要性,许多安全提供商已把这些安全情报经济化,包装成用户组织可签订的一种信息服务。
安全信息共享也扩展并成熟,到了一个新的阶段,跳出了之前只有安全厂商和安全研究者的经济利益圈子。许多行业已设立了由业内用户组织的安全信息分享和分析架构,并与竞争对手分享安全风险信息。
为提高网络安全应对能力,类似网络靶场(Cyber Range)的技术方案也被商业化,成为安全厂商竞争市场份额的重要项目之一。这种技术提供了一个更真实的训练环境,让组织可以提高安全人员对安全攻击的分析和及时响应的能力。
许多组织的信息安全意识项目也升级到能力训练的层面,不只是安全信息传播。用互动的方法,如防钓鱼邮件的攻击实践练习,能够让用户接触真实钓鱼邮件的样本,从而测试他们的反应是否符合安全实践的要求。
可视度、现状意识、关键对齐、提升应对能力和关注响应能力,这些都是响应式安全的元素。这些元素与近期在业界组织安全管理战略的转变趋势吻合。这是在无计划性和无目的性操纵下的吻合,也可以说是一种巧合。但这个吻合却再次对压电式的信息安全风险管理理论做了一个无计划的验证,表明该理论在技术和商业环境转变下的实用性。
更重要的是,它显示了组织和安全厂商积极地转变网络安全的实践、战略和重点工作,这与提高可视度、应对能力和关注响应能力是吻合的。另外,压电理论也为解释这些战略转变的趋势提供了一个理论基础。
中文版翻译的完成时间超出了我和出版社的计划,我在这期间再次证实了文献中叙述的研究过程、讨论的观点,以及得到的结论,包括其中实现的战略和各种方法是及时的和适用的,而且更适用于当今的信息和网络安全趋势。希望读者能从本书中得到更多信息安全管理的知识和启发,扩展响应式安全的实践,加深在该战略和相关方法上的研究和分享。
致谢
我特别感激Taylor & Francis 出版社的编辑贺瑞君,电子工业出版社的编辑刘皎与郑柳洁,以及清华大学段海新教授和王永科。
多位信息安全和行动实践研究领域的朋友和同事慷慨无私地与我分享了他们的想法,并在此项工作的各个阶段给出了支持和鼓励,尤其是符传威、Pauline Reich 教授、郑文浩博士及Bob Dick 教授。我对CRC 出版社的编辑团队深表感激,尤其是贺瑞君在整个出版过程中给予我的指导、建议和协助。
没有我挚爱的家人毫不动摇的支持、理解和忍耐,本书不可能完成。
谢谢大家。
江明灶(Meng-Chow Kang)
前言
信息安全风险管理是企业和政府机构应对相关信息安全威胁和漏洞的重要组成部分,旨在确保符合管理规定和最佳实践标准,向股东和客户展示自己尽职尽责的工作状态,并以最小成本实现业务目标。
虽然许多研究人员和从业者为信息风险管理的发展和进步做出了一定的贡献,但是现有方法只取得了有限的成功,并且在实践中仍然存在很多问题。尤其是当业务、运营和(或)技术环境面临变化时,这些问题在与信息安全相关的频发事故中是常见的。
信息风险管理所面临的挑战,其本质是复杂性。这种复杂性的出现是由于该领域涉及过多的问题和困境,源于经常互相冲突的要求、需求、认知和影响,包括但不止于人(个人和群体)、过程和技术等,还有问题环境中不同的商业经济发展程度、当局政治期望及文化限制等因素。现有方法只能部分地管理复杂性,还不能很好地满足需求。
为解决遇到的问题和困境,信息安全从业人员必须在实践中反复地反思他们的做法,在过程中不断学习,并且随着其所在风险环境的变化,以迅速的响应和可靠的、演进的方式逐渐提高自己的实践能力。
与此类似,组织需要做好准备,能够随时响应,采取响应式或者压电式(Piezoelectric)的方法,基于组织对响应准备程度的需求应对信息安全风险管理要求,并适应组织所在风险环境不断变化的特性。?
响应式方法基于信息风险管理中所谓的“压电理论(Piezoelectric Theory)”的实体理论(Substantive Concept)。压电理论是在实证研究过程中发展出来的,采用了行动实践研究的方法,在六年多的时间内涉及多项案例研究、从业人员采访,并在真实环境中测试了提出的方法。
压电理论指出,如果组织系统中的信息安全实践设计使系统能够重新调整,在系统环境不断变化的风险条件下也能满足系统的整体需求,那么系统环境中新出现的风险状况带来的潜在负面影响将被重新调整所采取的行动措施平衡或消除。
受益于组织系统中的响应行为,环境中突发或新涌现的风险所造成的后果可能会对组织系统产生比较小的负面影响。影响的严重性与安全准备程度和组织的响应能力呈负相关。准备就绪就是指组织能做好准备重新调整其行为,并且能够及时地、系统地采取适当行动来平衡不断变化的风险环境所带来的负面影响。
通过实施和实践,压电理论的响应式方法在解决来自不断变化的风险状况的信息安全需求方面,展现了良好的效果,这些需求都是传统的合规性和面向控制的方法无法有效解决的。
本书回顾了当下认知和实践中存在的问题和困境,介绍了响应式方法的原则和办法,以及安全准备就绪的概念,展示了它在当今信息安全风险环境中的可行性和实用性,鼓励组织更多地采纳并在实践中使用此方法。通过从业人员和研究人员的实践和讨论,我也希望发展并持续响应和调整此方法,解决从业人员面临的不断变化的问题。
电子书版本
- Epub
图书类别
相关图书
Knative最佳实践
本书主要围绕 Knative 进行展开,主要作者是 Knative 专家(社区作者)Jacques Chester ,先后从 Knative 构建、扩缩容、事件...
¥118.00
ATT&CK框架实践指南
过去,入侵检测能力的度量是个公认的行业难题,各个企业得安全负责人每年在入侵防护上都投入大量费用,但几乎没有人能回答CEO 的问题:“买了这么多产品,我们的入侵防...
¥148.00
云原生数据库:原理与实践
本书详细剖析了作为核心基础软件系统的数据库在云计算时代的技术演进历程,从架构设计、实现机制和系统优化等多个角度阐述传统数据库技术是如何一步步发展到云原生形态的。...
¥99.00
SequoiaDB分布式数据库权威指南
本书旨在介绍 SequoiaDB 巨杉数据库的基本概念、应用场景、企业级应用案例、数据库实例创建与管理方式、数据库集群管理的基本策略、以及性能调优和问题诊断。...
¥99.00
最强iOS和macOS安全宝典
《最强iOS和macOS安全宝典》以苹果操作系统的安全为主题,主要面向苹果高级用户、系统管理员、安全研究人员和黑客。<br>本书主要分三个部分:第一部分重点介绍...
¥179.00
极限黑客攻防:CTF赛题揭秘
CTF在网络安全领域特指网络安全技术人员之间进行技术竞技的一种比赛。CTF代替了以往黑客通过互相发起真实攻击进行技术比拼的方式,题目来自日常工作环境,并将其中的...
¥99.00