回響式安全：構建企業信息安全體系

《回響式安全：構建企業信息安全體系》回顧了當下認知和實踐中存在的問題和困境，介紹了回響式方法的原則和辦法，以及安全準備就緒的概念，展示了它在當今信息安全風險環境中的可行性和實用性，鼓勵更多地採納並在實際中使用此方法。通過更多的從業人員和研究人員參與實踐和討論，我也希望發展並持續回響和調整此方法，來解決從業人員面臨的不斷變化的問題。

1 引言 1

1.1 背景和動機 ........................................................................................... 1

1.2 目的 ....................................................................................................... 9

1.3 問題 ....................................................................................................... 9

1.4 研究方法 ............................................................................................. 10

2 知識、問題和困境 13

2.1 引言 ..................................................................................................... 13

2.2 信息安全 ............................................................................................. 14

2.3 原則和方法 ......................................................................................... 17

2.4 信息安全風險管理戰略 ..................................................................... 43

2.5 信息安全項目 ..................................................................................... 46

2.6 回響變化 ............................................................................................. 58

2.7 當今的信息安全研究和社會學觀點 ................................................. 60

2.8 結論 ..................................................................................................... 62

3 實踐、問題和困境 65

3.1 信息風險管理實踐 ............................................................................. 65

3.2 社會-技術方法 ................................................................................... 96

4 回響式安全 131

4.1 壓電式隱喻 ....................................................................................... 132

4.2 BETA 組織應對新風險和攻擊的方法 ........................................... 135

4.3 海嘯事件的啟示 ............................................................................... 141

4.4 揭示風險的不確定性並提供風險的能見度 ................................... 144

4.5 回響、反應及主動性的戰略 ........................................................... 147

4.6 關鍵性對齊 ....................................................................................... 150

4.7 在GAMMA 組織中測試回響式方法 ............................................. 153

4.8 Antinny 蠕蟲案例的啟示 ................................................................. 155

4.9 最佳化回響式方法 ............................................................................... 160

4.10 回響式學習 ..................................................................................... 171

5 結論與啟示 176

5.1 摘要和結果 ....................................................................................... 176

5.2 對每個研究問題的結論 ................................................................... 179

5.3 對理論的啟示 ................................................................................... 183

5.4 對政策和實踐的啟示 ....................................................................... 185

5.5 對下一步研究的建議 ....................................................................... 187

附錄A 行動實踐研究周期 189

附錄B 系統探究辯證模型方法 192

附錄C 信息風險管理框架 197

參考資料 203

這幾年，許多組織和安全提供商已經開始轉變他們的信息網路安全戰略和服務。雖然法律法規和策略合規與否仍是管理層的最高關注因素之一，然而組織的信息安全狀況，包括安全弱點，以及針對網路攻擊的準備已被視為重點工作。這個安全管理戰略轉變的趨勢是受多方面影響的。其一是這幾年媒體報導了導致大量數據泄露和經濟損失的多項嚴重安全事件，並對政府機構和一系列不同行業的國際品牌商業組織產生了惡劣影響。這些事件強化了高層管理者對信息和網路安全的重識，並加強了對組織和個人在這方面的管理。政府和管理機構開始在如何應對網路攻擊方面提出相應的要求，受管制的企業必須對這些新的法律法規保持合規。

由於意識到組織內部和外部環境的安全狀況信息，特別是網路系統有關的安全漏洞和最新的攻擊手段情報的必須性和重要性，許多安全提供商已把這些安全情報經濟化，包裝成用戶組織可簽訂的一種信息服務。

安全信息共享也擴展並成熟，到了一個新的階段，跳出了之前只有安全廠商和安全研究者的經濟利益圈子。許多行業已設立了由業內用戶組織的安全信息分享和分析架構，並與競爭對手分享安全風險信息。

為提高網路安全應對能力，類似網路靶場（Cyber Range）的技術方案也被商業化，成為安全廠商競爭市場份額的重要項目之一。這種技術提供了一個更真實的訓練環境，讓組織可以提高安全人員對安全攻擊的分析和及時回響的能力。

許多組織的信息安全意識項目也升級到能力訓練的層面，不只是安全信息傳播。用互動的方法，如防釣魚郵件的攻擊實踐練習，能夠讓用戶接觸真實釣魚郵件的樣本，從而測試他們的反應是否符合安全實踐的要求。

可視度、現狀意識、關鍵對齊、提升應對能力和關注回響能力，這些都是回響式安全的元素。這些元素與近期在業界組織安全管理戰略的轉變趨勢吻合。這是在無計畫性和無目的性操縱下的吻合，也可以說是一種巧合。但這個吻合卻再次對壓電式的信息安全風險管理理論做了一個無計畫的驗證，表明該理論在技術和商業環境轉變下的實用性。

更重要的是，它顯示了組織和安全廠商積極地轉變網路安全的實踐、戰略和重點工作，這與提高可視度、應對能力和關注回響能力是吻合的。另外，壓電理論也為解釋這些戰略轉變的趨勢提供了一個理論基礎。

中文版翻譯的完成時間超出了我和出版社的計畫，我在這期間再次證實了文獻中敘述的研究過程、討論的觀點，以及得到的結論，包括其中實現的戰略和各種方法是及時的和適用的，而且更適用於當今的信息和網路安全趨勢。希望讀者能從本書中得到更多信息安全管理的知識和啟發，擴展回響式安全的實踐，加深在該戰略和相關方法上的研究和分享。

信息安全風險管理是企業和政府機構應對相關信息安全威脅和漏洞的重要組成部分，旨在確保符合管理規定和最佳實踐標準，向股東和客戶展示自己盡職盡責的工作狀態，並以最小成本實現業務目標。

雖然許多研究人員和從業者為信息風險管理的發展和進步做出了一定的貢獻，但是現有方法只取得了有限的成功，並且在實踐中仍然存在很多問題。尤其是當業務、運營和（或）技術環境面臨變化時，這些問題在與信息安全相關的頻發事故中是常見的。

信息風險管理所面臨的挑戰，其本質是複雜性。這種複雜性的出現是由於該領域涉及過多的問題和困境，源於經常互相衝突的要求、需求、認知和影響，包括但不止於人（個人和群體）、過程和技術等，還有問題環境中不同的商業經濟發展程度、當局政治期望及文化限制等因素。現有方法只能部分地管理複雜性，還不能很好地滿足需求。

為解決遇到的問題和困境，信息安全從業人員必須在實踐中反覆地反思他們的做法，在過程中不斷學習，並且隨著其所在風險環境的變化，以迅速的回響和可靠的、演進的方式逐漸提高自己的實踐能力。

與此類似，組織需要做好準備，能夠隨時回響，採取回響式或者壓電式（Piezoelectric）的方法，基於組織對回響準備程度的需求應對信息安全風險管理要求，並適應組織所在風險環境不斷變化的特性。

回響式方法基於信息風險管理中所謂的“壓電理論（Piezoelectric Theory）”的實體理論（Substantive Concept）。壓電理論是在實證研究過程中發展出來的，採用了行動實踐研究的方法，在六年多的時間內涉及多項案例研究、從業人員採訪，並在真實環境中測試了提出的方法。

壓電理論指出，如果組織系統中的信息安全實踐設計使系統能夠重新調整，在系統環境不斷變化的風險條件下也能滿足系統的整體需求，那么系統環境中新出現的風險狀況帶來的潛在負面影響將被重新調整所採取的行動措施平衡或消除。

受益於組織系統中的回響行為，環境中突發或新湧現的風險所造成的後果可能會對組織系統產生比較小的負面影響。影響的嚴重性與安全準備程度和組織的回響能力呈負相關。準備就緒就是指組織能做好準備重新調整其行為，並且能夠及時地、系統地採取適當行動來平衡不斷變化的風險環境所帶來的負面影響。

通過實施和實踐，壓電理論的回響式方法在解決來自不斷變化的風險狀況的信息安全需求方面，展現了良好的效果，這些需求都是傳統的合規性和面向控制的方法無法有效解決的。

本書回顧了當下認知和實踐中存在的問題和困境，介紹了回響式方法的原則和辦法，以及安全準備就緒的概念，展示了它在當今信息安全風險環境中的可行性和實用性，鼓勵組織更多地採納並在實踐中使用此方法。通過從業人員和研究人員的實踐和討論，我也希望發展並持續回響和調整此方法，解決從業人員面臨的不斷變化的問題。