CISO如何验证信息安全项目的高效实施？

2018年底，万豪酒店宣布旗下喜达屋的一个顾客预订数据库被黑客入侵，可能有多达5亿人次预订喜达屋酒店客户的详细个人信息遭到泄露。经过一段时间调查后，万豪集团将遭到信息泄漏的客户数量修正为3.83亿。

此事一出，业界哗然，不仅是因为万豪酒店是全球知名酒店品牌，而且这是历史上最大的数据泄露之一，也是酒店业发生的最大数据泄露事件。显然，这种事情的发生，已经影响到这家酒店集团的品牌声誉。更重要的是，用户会担忧万豪酒店集团是否能做好自身信息安全工作。

英国数据隐私监管机构宣布，万豪酒店集团因在2014年发生数据泄露将面临9920万零396英镑(约合1.24亿美元)的罚款。

据英国信息专员办公室的说法，万豪酒店集团违反了欧盟GDPR(通用数据保护条例)条例。GDPR中存在明确规定，所有机构必须对所持有的个人数据负责。包括在合作或交易时需要进行适当的尽职调查，以及采取适当的措施评估已取得的个人数据，以及评估如何保护这些数据。个人数据有真正的价值，因此机构有法律责任确保其安全，就像处理任何其他资产一样。

据报道，考虑到“经济影响和企业的支付能力”，英国信息专员办公室（ICO）最终大幅降低了罚款金额。

从中可以看出，当一家企业机构面临数据泄露或其他网络安全事件时，即使其漏洞数量很少，或者它在安全工具方面进行了充分的投资，ICO的评判标准也并不在于此。其焦点在于企业机构是否根据自身的预算、规模和需求做出了正确的决定。

Gartner预计到2024年，在监管机构判处的网络安全漏洞罚款中，80%的罚款是因为企业机构不能证明其履行了应有的注意义务，与漏洞产生的影响无关。

在信息安全领域中，安全项目的实施是为了保障数据资产不被窃取或泄露，那么验证安全项目的实施就是最后一道关卡。验证（verification）在项目实施活动中经常会造成困惑。验证工作到底应该做什么，有人把它理解为评审，有人把它理解为测试。那么，验证工作到底应该做什么，怎么才算做好验证，理解清楚其概念非常关键。

验证是什么？

功能安全是汽车领域的专有名词，指的是避免由系统功能性故障导致的不可接受的风险。功能安全关注系统故障后的行为，而不是系统的原有功能或性能。

20世纪90年代，美国相继颁布了功能安全相关标准( DINV 19250和ISAS 84. 01) ，在此基础之上，国际电工协会( IEC) 于2000年颁布了关于电子、电气和可编程电子系统 ( E/E/PE)的功能安全国际标准 IEC 61508。IEC 61508 一经颁布就得到了广泛采用，在它的基础上，各个工业应用领域的标准也陆续出台。

然而，起源于过程工业领域的IEC 61508并不完全适用于汽车工业，随着安全相关的电子电气系统在汽车上的广泛应用，汽车工业对电子电气系统功能安全标准的需求也越来越迫切。因此，国际标准化组织（ ISO） 在IEC 61508的基础上，制定了专门针对汽车电子电气系统的功能安全标准，即ISO 26262。

在汽车领域，ISO 26262对产品开发的概念阶段、设计阶段、测试阶段、生产和运行阶段的验证方法进行了规定，目的是确保工作成果符合它们相应的要求。而对于其他行业而言，ISO 26262为验证提供了方法论。

ISO 26262有两个关键概念：第一是汽车安全生命周期，包含了从概念设计、产品开发到批产后各阶段的主要安全活动中，功能安全的概念设计必须与整个系统的概念设计同步进行；第二是汽车安全完整性等级（ASIL），如果系统的功能安全风险越大，对应的安全要求就越高，则具有更高等级的ASIL。ASIL 分为 A、B、C、D 4 个级别，ASIL D为最高汽车安全完整性等级，对功能安全的要求最高。

在验证的过程中，汽车安全生命周期对应的是确保“产品被正确地实现（product is built right)”,是一个内部过程；汽车安全完整性等级（ASIL）对应的是确保“正确的产品被实现(right product is built)”，是一个外部过程。因此，有可能产品被验证通过，但在确认时会失败。因为当产品按需求设计，设计过程没有问题，但产品需求无法满足用户需求时，就会发生验证通过，确认不成功的情况。

在系统工程标准ISO/IEC/IEEE15288中，验证过程的目的是：The purpose of the verification process is to provide objective evidence that a system or systemelement fulfills its specified requirements and characteristics.（提供证明系统或系统元素满足其特定需求和特征的客观证据。）

这句话中包括三层含义：一、系统或系统的元素指构成系统的如系统需求、功能、输入/输出流、系统组件、接口、设计特性、验证程序。这些元素满足其规定的要求和特征需要经过验证，证明系统的每个转换过程由输入到输出，没有引入误差/缺陷/错误；二、验证需要根据需求及选择的验证方法确认这种转换过程是正确的；三、验证过程需要提供客观的证据，即验证的过程，根据系统各阶段的不同特点，证据可能是评审记录，检查表，测试报告，仿真分析等。

信息安全的验证

在理解验证概念的基础上，又有哪些验证的方法呢？一般来说，常用的验证方法有检查、分析、演示或测试，分析具体又包括建模、仿真和模拟。在系统的V模型开发周期的左半边，需求、架构、设计实现阶段，常用检查和分析，建模、仿真方法进行验证，在右半边，常用测试、演示、类比方法进行验证。

相应的，在信息安全体系中，例如ISO 27000认证就需要依据有关信息安全技术与管理标准，对组织的信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价，以及评估信息资产面临的威胁以及导致安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。

对于如何量化的验证信息安全项目的实施，Gartner提出了“CARE”指标。其中C代表一致性（Consistence）指标A代表充分性（Adequacy）指标、R代表合理性（Rationality）指标、E代表有效性（Effectiveness）指标。

一致性指标：一致性指标可评估控制措施在企业机构内的长期持续性。为证明其一致性，这类指标应该按周、按月或按季度保持更新、测量和汇报。例如：第三方风险评估：完成风险评估的第三方覆盖率或百分比。安全意识：在过去X个月中接受过网络钓鱼培训的员工普及率或百分比。

充分性指标：充分性指标可评估控制措施是否符合业务需求以及利益相关方的期望。例如：补丁实现程度：在保护等级协议（PLA）内定期打补丁的资产百分比。反恶意软件更新：在保护等级协议内定期更新反恶意软件的端点百分比。

合理性指标：合理性指标可评估控制措施的正确性、公平性和适度性，具体是由其业务影响和造成的摩擦决定的。例如：延迟和停机时间：增加全新访问权限时的平均延迟小时数。投诉：某一安全控制措施的投诉数量。

有效性指标：有效性指标可评估控制措施是否能成功和/或有效地实现预期的成果。例如：漏洞修复：该控制措施是及时性的，如修复关键安全漏洞所需的平均或最长天数。云安全事件发生率：每年由云配置问题产生的云安全问题数量。

专家说

就像安全工作要在业务设计环节就参与一样，验证也要参与安全项目最初的设计环节。有专家表示，验证工作需要仔细地阅读需求，并判断需求是否完整、没有漏洞之后，在进入开发环节。另一方面，在验证工作完成后，需要与业务、开发、策划等一起来评审用例，将每一步的验证工作细化到每一个用例中。

某信息安全专家认为，验证工作要分为自己验证和第三方验证。第三方验证可以为安全项目进行背书，对推动项目实施有较大帮助，缺点就是第三方很难深刻理解业务，有可能会导致“可用不适用”的后果。

另一位专家表示，传统的验证方法分为以下几类。一、检查，英文是inspection，也称为检验。这主要依靠人的经验去进行检查，比如对文档进行审核，对照标准进行核对，或者对设备进行简单的测量。检查这种验证技术较主观，依赖于检查人的技术背景和经验能力；二、分析，在设计前期，采用数学计算、建模和仿真的分析方法用于前期对需求和设计的验证；在产品已有实物的实现阶段，在进行测试不具备成本效益的情况下，也会利用分析的方法进行验证。例如在硬件设计中对热设计、高速信号质量进行仿真分析，系统设计中对系统的反应时间进行计算。三、演示，演示也称为"现场测试"，不需要专门的测试设备，按照实际应用场景进行演示。它一般使用一组选定的测试组合，观察系统的预期反应。例如通过操作员对设备维修操作时间的统计来预估平均维护时间，在现场演练车辆运行的各项功能。四、测试，测试需要专用的测试设备或仪器来获得精确的数据，作为对系统功能、可测量特性、可操作性、可保障性或性能能力进行定量验证。五、类比，基于已经验证过的证据进行对比，它对于通过预测背景环境不变，结果是可转换的情况是有必要的。六、抽样，基于选取的样品对其特性进行的验证。结合特定的业务部门和系统以及安全运营模式进行相应的选择。

他还提出了关于软件设计的验证方法，在轨道交通安全软件开发要求EN50128中，将软件测试从验证中分离出来，作为安全软件的独立活动管理，因此该标准中软件验证的主要方法为分析，软件测试的主要方法为各种测试技术。

以下表为例：

标准列举的验证活动有形式化证明、静态分析、度量、追溯性、软件错误影响分析，属于分析类的验证方法；动态分析和测试、黑盒测试、性能测试、接口测试属于测试类的验证方法。

总结

对于安全从业者来说，安全是业务的保障，验证则是安全项目的保障。验证的最终目的只有两个，第一是确认项目的可行性，在这个过程中发现不足和改进的地方。第二是确认能否打造自动化运营体系，不适应大多数终将会被淘汰。

参考文献

验证网络安全项目高效实施的4大指标-Susan Moore

如何做好软件测试工作？-科沃IT

验证工作到底做什么-munitis

如何快速测试一个项目的可行性？-喜哥聊负债上岸

汽车电子电气系统的功能安全标准 ISO26262（深度介绍）-中企检测认证网

详情请关注安在新媒体—人物、热点、互动、传播，有内涵的信息安全新媒体。