CGMA新管理会计工具:“网络安全”内容分析及借鉴
2018-12-06彭宏超
彭宏超
网络安全已成为当今数字互联世界中每个组织的重要问题。在公司体系内,从董事会到最低级别的员工,对网络风险和适当反应的意识和理解至关重要。对管理会计来说,信息共享是决策的基础,而网络安全是信息共享的基础保障。正是在这样的背景下,CIMA(皇家特许管理会计师协会)和AICPA(美国注册会计师协会)在2017年5月联合发布了《特许全球管理会计师网络安全工具》(以下简称“CGMA网络安全工具”),以保证特许全球管理会计师针对其所在组织,设计有效的网络安全制度,确保管理会计信息安全,促使管理会计决策的有效实施。
“CGMA网络安全工具”提供了一个组织应对网络攻击威胁、建立网络安全的总体概括,主要包括识别网络安全的风险,方法和应对措施;此外,它还包含了一个美国注册会计师协会所制订的开发框架的基本要素,管理会计师可以借助这个框架来开发一个有效的网络安全风险管理方案,以确保所在组织的持续成功。
一、“CGMA网络安全工具”主要内容分析
新发布的“CGMA网络安全工具”,针对新形势下的网络环境提出了应对网络风险的安全指南。该管理会计工具主要包括引言、了解网络安全、网络安全基础、网络安全应用、网络安全的高级主题、中小企业网络安全的“简明要点”和附录。
(一)引言
网络风险已经成为当今全球经济的前沿和中心问题。近年来,大众媒体充斥着网络攻击的报道,从主要客户记录的失窃及健康保险记录的篡改,再到形形色色色的政治事件。根据《世界经济论坛2017年全球风险报告》,在十大可能性风险清单中,数据欺诈或盗窃、网络攻击分别排名第五和第六。网络安全不再是IT部门和首席信息官的问题,在当今这个时代,公司董事会和经理层必须在整个组织范围内,全面采取确保网络安全的措施及方法。
(二)了解网络安全
在当今复杂的数字世界中,了解网络安全应当从以下三个方面开始:知晓最常见的的威胁是什么、谁是潜在的“坏角色”、能够做些什么来加强防御。
1.今天面临的网络安全威胁
对网络安全来说,最常见的威胁是恶意软件。恶意软件是关于恶性软件的一个术语,这些软件从窃取证据、其他信息、金钱,到肆意破坏或者拒绝正常程序的服务。典型的恶意软件如下:
勒索软件:是一种旨在阻止访问计算机系统的恶意软件,直到使用人支付了一笔钱。
僵尸网络:是相互关联的网络被“僵尸代理人”控制,按照其指令攻击其中受感染的计算机。
恶意广告:涉及恶意或恶意注入恶意软件广告变成合法的在线广告网络和网页;恶意广告是一个严重的威胁,很少或不需要用户交互。
网络钓鱼:通常通过伪装成可信赖的来源或合法企业,发送电子邮件诱惑阅读者做一些不明智的事情;网络钓鱼还发送带有附件的电子邮件,要求收到者打开附件或点击一个链接,然后安装恶意软件到用户的电脑以窃取资金;网络钓鱼还可能涉及更多直接请求提供私人信息如密码、信用卡帐户的详细信息。
应用程序攻击:随着网络应用程序开发的越来越多,应用程序攻击变得日益普遍;除了复杂的商业应用程序通过网络传送外,我们的个人手机应用程序和我们的家庭物联网都存在很多漏洞。各种各样的应用程序攻击虽然性质和设计不同,但是其通常具有恶意攻击软件的共同意图和目的,即 从数据库服务器中盗取数据、在其他用户电脑上运行攻击脚本、窃取用户证书等。
2.谁是坏角色
“黑客”一词最初可能用于描述那些特别有才华的电脑程序员和系统设计师,可能还包括那些被认为是“计算机好奇者”;但今天这个词更加广泛地用来描述那些怀有不良意图的电脑入侵者或犯罪分子。 除了基本的盗贼之外,这些“坏角色”可以是外部人士,如商业竞争者或民族国家;也可以是内部人士,比如不满或恶意的员工。
3.安全漏洞的风险
网络安全漏洞可能是技术本质或程序造成的。技术缺陷会造成暴露敏感功能或信息,包括软件缺陷和使用安全保护失败。程序缺陷可以和IT相关,包括系统配置错误或者未能及时进行软件安全更新。但是,有许多程序缺陷和用户相关,比如选择使用了不正确的密码。
(三)网络安全基础
对企业来说,至关重要的是应对上述网络风险,保护信息资产的安全,确保企业持续的可行性。本部分包括两个内容:网络安全的目标及控制。
1.网络安全的目标
美国注册会计师协会制定了一个网络安全报告框架,一个组织可以借助此来向关键利益相关者展示以及衡量自己网络安全风险管理程序的有效性。任何网络安全风险管理方案中的一个关键因素是需要管理层制定目标。
管理层确定的网络安全目标,应能解决可能影响网络安全的风险,该风险影响主体整体经营目标(包括合规,报告和运营目标)的实现。网络安全目标会因下列因素而不同:经营环境、主体使命和愿景、已确立的整体经营目标、管理风险偏好等。
一个主体网络安全风险管理方案中管理层(目标)描述的几个标准包括:(1)可获得性,主体可以及时、可靠和持续访问和使用信息和系统。(2)保密性,保护主体信息未经授权的访问和披露,包括保护专有信息的手段以及受隐私保护的个人信息要求。(3)数据的完整性,防止不当的信息修改或信息破坏。(4)处理过程的完整性,防范不适当地使用、修改或破坏系统。
2.安全控制:保护、侦测、响应
为了实现上述网络安全目标和减轻网络风险,有必要实施一套安全机制:第一,制定(网络安全)目标以保护信息资产;第二,侦测(网络)恶意活动(不发生也要侦测)什么时候发生;第三,对(网络)恶意活动作出有效应对,并最小化(网络)恶意活动对主体经营的影响。
不同的控制需要在软件的不同级别间实现,涵盖以下部分:服务器、台式机、移动设备、网络、数据存储、商业应用,对其采取的相应保护措施是:政策和政策管理、软件更新、配置、安全产品、应用软件控制。
(1)保护
首先,尽量保护信息资产和系统免受攻击。保护战略是第一道防线,违规通常是保护战略的失败。保护控制包括以下措施:一是识别:为了对用户负责,无论是个人还是交互式系统组件,都需要识别,例如用户名。二是认证:还需要能够认证该标识。三是授权:除认证外,需要确保用户有权进行交易,验证用户对特定类型访问或交易的权限级别。四是保护秘密:例如信用卡信息的加密,不用时储存,使用时传送。
证书是安全系统的重要基础,特别是涉及付款或特别敏感的信息时。证书被用于各种实际应用程序,包括传输机密信息和数字签名文件。证书可用于被称作“握手”的程序中,使用证书来验证发送者的身份,从而使私密地传输加密的机密信息成为可能;并且还使得接收者能够通过使用防篡改密封知道信息是否被篡改。
CGMA提供了一种半公开、半私密的证书。私人证书的一半保持安全并且不在当事人之间传递是至关重要的。在一个组织内部,可以对证书进行集中管理,使用户能够访问他们希望发送加密信息的人的公共证书。对于外部使用,公共证书由第三方证书颁发机构颁发,用于验证使用者的身份。
(2)侦测
除了保护性或预防性策略之外,主体采用侦测策略来识别威胁发生的时间也是至关重要的,侦测实质上是安全摄像机的计算机等同物。
常见的侦测策略包括:一是事件监视:可以检查登录到文件中的事件的文档,以查找不寻常的活动模式。二是入侵检测和预防系统:现在可以使用高级的应用程序来执行持续监控。三是威胁监控:安全社区可以研究攻击者为了开发“威胁情报”而使用的工具和技术,这些威胁情报可以用来为新控件的开发提供信息。四是用户报告:用户报告对识别异常活动也很有帮助。
(3)响应
计算机事件响应小组(CIRTs),有时被称为计算机安全事件响应小组(CSIRTS),是网络安全变革的一部分。该相应小组的主要职能是:减少损失,帮助企业尽快恢复业务,在必要时支持执法、法律等调查,在事件情景意识、行动计划和知情决策期间提供决策支持,促进客户、执法部门、媒体等之间的危机沟通。当一个组织受到攻击时,事件响应小组的关键作用是协助企业,使其能够保持活力。
(四)网络安全的应用
对于拥有大量台式电脑、笔记本电脑和移动设备的企业级系统,集中化实施预防性和侦查性的控制措施以及对网络漏洞的反应,是实施网络安全的重要因素。
1.集中化管理
台式机:代操作系统在安全特性方面非常有用。集中管理是控制和协调关键安全功能的关键方法。向远程用户“推送”安全协议,软件更新和安全更新“补丁”的能力使大型企业级系统具有可扩展性。集中化还提供了维护用户配置文件的目录的能力,使用户能够从多个位置访问他们的信息。
笔记本电脑:台式机和笔记本电脑之间的安全功能很常见,但由于笔记本电脑固有的易移动性,特别是丢失或被盗设备的风险,提出了一些独特的挑战。无论是操作系统还是端点产品,对整个磁盘进行加密是确保笔记本电脑产品数据安全的基本特征。
移动设备:第三方移动设备管理(MDM)产品便于这些设备的集中管理。一些公司认为公司自己拥有“第三方移动设备管理产品”很重要,这样可进行文件配置,禁止下载非公司应用程序。现在许多公司都有自己的设备(BYOD)计划,为了确保这些员工拥有的移动设备的安全,他们要求员工提交这些设备进而在整个公司内进行统一管理,类似于笔记本电脑安全策略,为了灵活执行安全政策,公司可以为其移动设备的不同类别的用户创建不同的配置文件。
网络配置:公司用于实施各种企业网络(包括台式机,笔记本电脑和移动设备)策略的另一个关键组件是网络配置,这些网络级控制的价值在于它们是非常难以规避的。
网络防火墙:这是有关谁可以访问什么的预定义策略,可用于限制访问社交媒体或其他类别的网站。实施网络级别的访问控制可以用来为公司内人们提供限制其他人访问网站的访问,例如,沟通团队可能被授权访问社交媒体网站,以供公司使用。
应用程序防火墙:除了旨在限制访问授权个人的网络防火墙之外,还可以使用应用程序防火墙来防范已知的Web应用程序攻击。
防病毒和端点产品:除集中管理安全功能外,大多数组织还通常使用“端点产品”来增强操作系统提供的功能。端点产品对于确保多个用户访问的企业级系统的安全性具有特别的价值,这些产品可以确保符合组织的政策,除了验证应用程序产品的完整性和检测病毒以外,还会在发现问题时阻止活动。
2.集中监控
随着拥有数百甚至数千台笔记本电脑的企业系统已经成为组织的标准,系统活动的集中监控也随着时间的推移而发生了演变。集中监控的重要组件包括:
事件日志记录和聚合:所有现代计算机操作系统都会记录他们的活动,谁登录?他们运行什么程序?什么文件被访问?什么是失败以及成功?虽然登录操作系统的事件记录在很大程度上是肤浅的,但是,对于行政和问责目的以及潜在的法证使用来说,这仍然是至关重要的。最佳做法通常是将日志发送到位于数据中心或安全操作中心的中央监控点,除了专业考虑之外,隐私考虑要求这些“日志”只能由安全人员查看。记录此信息对于取证目的至关重要,真正的价值在于网络攻击活动发生时可以去查看这些数据。
安全信息和事件管理(SIEM):已经开发出来的SIEM系统使这种监测更有效。 SIEM可以分析全部可得到的数据,并在数据中查找可能的攻击或安全危害的特定模式,SIEM会深入探讨可能发生的事件,自动分析可能被称为“大海捞针”场景的过程。
现代安全运营中心(SOC)功能:SOC环境已经逐渐成熟,并且拥有一系列重要的团队或功能。一是事件响应团队:当监测SIEM的小组发现潜在的威胁时,他们将启动事件响应过程,重点是保证经营的连续性。事件响应小组实际上是IT世界的“突发事件管理小组”。二是威胁情报团队:威胁情报小组的任务是监视当前趋势,特别是在组织所涉及特定行业领域时。威胁情报团队将这些信息提供给负责通过SIEM监控活动的团队。三是搜寻团队:这个团队的使命是假设组织已经被侵犯时开始运作,但是SIEM团队还没有确定这个违规行为已经发生。搜寻团队的作用是寻找“沙地上的脚印”,以防可能的入侵。四是内部人员威胁团队:该团队通过研究去发现员工违规的相关因素,例如,员工晋升失败、绩效评估下降、财务困难等。虽然一些组织已经部署了内部威胁团队,但是调查潜在的内部人员参与,需考虑严肃的隐私和法律规定。
(五)网络安全的高级主题
预防是任何网络安全战略的目标,应及时发现并有效应对不可避免的入侵,同时包括:深入了解这种攻击,并持续不断地努力改进您的信息系统。
1.取证分析
取证分析虽然采用了与事件响应小组相同的方式和方法,但其目的不同。 除了确定发生什么之外,还要确定未来如何防止一个特定的违规行为,取证分析就是检查可能对研究人员有价值的事情的过程。 三个主要取证分析的要素包括系统级分析,存储分析和网络分析。
2.恶意软件分析
如果系统中存在恶意软件,特别是如果它是一个未经授权的软件,深入了解“恶意软件到底想干什么”是非常重要的。手段包括:逆向工程、反编译和拆分。
3.渗透测试
进行渗透测试的目的是在对手发现它们之前,去找到软件中的弱点。如果我们找到了弱点,就可以修复它们;否则,就要建立一个检测机制来阻止入侵。渗透测试的步骤包括确定它是如何工作以及它在做那些工作。手段包括:网络发现、漏洞探测、利用漏洞。
4.软件安全
软件安全即编写能够抵御攻击的软件,基本的软件安全性包括三个等级:第1层是能够阻止连续的攻击;第2层是能够安全(SIEM)提醒,并提供关于攻击的关键信息;第3层是能够采取回避性措施,例如保护敏感数据(例如信用卡信息)和锁定帐户。
(六)中小企业(网络安全)的简要清单
虽然许多更复杂的安全措施更多地属于较大的“企业级”系统,但对于小型公司而言,即使在台式机或笔记本电脑数量较少的环境中,也有许多重要事情要做。中小企业开始与外部服务提供商建立关系的时间不是在危机时期,而是在危机之前。以下是中小型企业“必做之事”的简短清单。
1.集中管理
事件记录、集中或集中事件日志非常重要。对中小企业来说,有负担得起的SIEM产品和SIEM类产品可用于执行此任务;无论是IT安全人员还是系统管理员,都应将日志发送到中央位置。中小企业还可以选择入侵检测服务,该服务能够使其查看日志并发送有关潜在事件的通知。
2.外包服务
该服务应该考虑到其他需求,特别是能够帮助解决突发事件。许多服务是由供应商提供的,他们能够提供给中小企业的具体服务包括:取证、恶意软件分析、扫描和渗透测试。如前所述,这些需要权衡,因为外部供应商可以非常接近地观察系统内部的情况,不利于保密。
(七)附录
1.网络安全保险
由于与网络安全事件有关的损害赔偿并不包括在商业保险政策内,所以独立的政策、补充文件是必需的。对于拥有重要客户或个人身份信息(PII)的组织、处理在线信用卡付款或以其他方式高度依赖网络进行业务的组织,尤其重要。
除了涵盖与信息技术系统和网络的损坏或信息丢失有关的损失之外,政策通常还包括对事件本身的重大帮助和管理,这在遇到声誉损害或监管时可能是必不可少的。如“伦敦劳埃德银行风险快速指南”所述,网络风险可分为第一方和第三方风险。
第一方保险涵盖企业的资产。这可能包括:(1)数字资产(如数据或软件程序)的损失或损坏;(2)网络停机时间导致业务中断;(3)网络劝告,如果第三方没有向他们支付款项,威胁要破坏或发布数据;(4)客户通知费用,当有法律或监管要求通知他们的安全或隐私违规;(5)因违反数据而导致声誉损害,导致知识产权或客户流失;(6)盗窃设备或窃取电子盗窃金钱或数字资产。
第三方保险涵盖他人的资产,通常是客户。这可能包括:(1)安全和隐私违规,以及调查、辩护费用和民事损害赔偿与他们相关联;(2)多媒体责任、涵盖诽谤、隐私或电子或平面媒体出版过程中疏忽引起的调查,辩护费和民事损害赔偿;(3)第三方数据丢失,包括向客户支付拒绝访问的赔偿以及软件或系统故障。
虽然网络安全保险是组织战略的一个重要方面,但它不应取代最佳实践、政策和控制。 事实上,制定有效的网络安全计划可以降低保费。
2.网络安全风险管理报告框架
为了应对组织管理网络安全威胁、获取有效性信息的日益增长的需求,AICPA制定了网络安全风险管理报告框架。虽然制定网络安全风险管理程序的方法和框架很多,但AICPA框架才是组织沟通和报告这些(管理网络安全)工作的通用语言。
该框架旨在帮助组织向关键利益相关方展示其网络风险准备工作的程度和有效性。企业可以在内部使用它来以一致的方式解释所实施的所有政策、程序和控制措施,以解决对其业务至关重要的网络安全风险。它还可以用于向高级管理层、董事会和其他利益相关方报告,以便于他们了解该实体的网络风险管理计划。
作为网络安全新系统和组织控制(SOC)的关键组成部分,该框架还可以帮助组织向分析师、投资者和其他外部人员展示其有效的流程和控制措施,以检测、响应、缓解、应对违规和其他安全事故。同时,作为管理层描述其网络安全风险管理方案的标杆,框架规定了主体网络安全风险管理的管理细节标准。网络安全风险管理报告也是一个例证,为实体如何编制网络安全风险管理计划提供了一个示例。
(八)补充读物和资源
网络资源:AICPA网络安全资源中心,AICPA网络安全SOC;GMA风险管理工具包确保企业在一个不确定的世界中的生存能力:围绕风险进行讨论;全球管理会计原则;IRM网络风险:为从业者提供资源;ISO /IEC 27001——信息安全管理;NIST网络安全框架;重新思考价值链;风险和创新。
会计学期刊文章:警惕网络安全,警告前联邦调查局特工;如何在安全预算方面做到更机智;数据泄露的隐藏成本;通过COSO镜头审视网络安全。
二、对“CGMA网络安全工具”的评价
(一)提出了“超越IT部门、全员参与”网络安全管理新理念
在传统管理中,一般认为信息安全是“IT或信息管理部门”的职责,但在“CGMA网络安全工具”的“前言”部分,CGMA大胆提出:信息系统安全不再仅仅是IT部门和首席信息官的问题,公司董事会和经理层必须在整个组织范围内采取确保网络安全的措施及方法。在大数据时代,越来越多的公司建立了基于网络的“财务共享中心”或“管理会计信息中心”,以网络电脑、手机作为终端,所以当今的网络安全不应再单单是信息管理部门的职责,而应是公司一把手负责下的全员参与,只有这样才能更有效地防止来自公司内、外的网络攻击,保证管理会计信息的连续不断地服务于管理决策。
(二)科学地制定了网络安全目标的具体标准
“CGMA网络安全工具”指出:一个主体网络安全风险管理目标的标准包括:一是可获得性,主体可以及时、可靠和持续访问和使用信息和系统;二是保密性,保护主体信息未经授权的访问和披露;三是数据的完整性,防止不当的信息修改或信息破坏;四是处理过程的完整性,防范不适当地使用、修改或破坏系统。这四个标准可用于评价一个单位“网络安全”管理水平的高低,同时也为大数据时代下,管理会计信息的网络安全指明了行动方向。
(三)提出了分层次的网络安全管理措施
在“CGMA网络安全工具”中,提出了一个分层次的应用步骤:第一层是深入理解网络安全,包括三项任务:知晓最常见的的威胁(勒索软件、僵尸网络、恶意广告、网络钓鱼和应用程序攻击),识别潜在的“坏角色”,能够做些什么来加强防御。第二层是基础网络安全管理,包括两项任务:制订网络安全目标,实施安全控制(保护、侦测、响应)。第三层是大型“企业级系统”网络安全(综合)应用,包括:集中化管理、集中监控。
(四)提出了完整的“网络安全风险管理报告框架”
在“CGMA网络安全工具”的附录中,还提供了一个包括9项内容的网络安全风险管理报告框架,分别是:业务及营运性质、信息风险的性质、网络安全风险管理计划目标、对固有网络安全风险产生重大影响的因素、网络安全风险治理结构、网络安全风险评估流程、网络安全通信和网络安全信息的质量、网络安全风险管理程序的监控、网络安全控制流程。这9项内容覆盖了网络安全的方方面面,有利于指导企业按照该工具,进行网络安全管理的计划、实施、报告及评价。
(五)探讨了“网络安全管理”的高级话题
在“CGMA网络安全工具”中,还探讨了四个网络安全管理的高级内容:第一是取证分析,包括系统级分析,存储分析和网络分析;第二是恶意软件分析,包括逆向工程,反编译和拆分;第三是渗透测试,包括网络发现、漏洞探测、利用漏洞;第四是软件安全,包括设计审查、代码审查、安全测试。这些高级主题的讨论深化了网络安全管理的内容。
(六)覆盖面完整,规定了适用于中小企业的网络安全管理清单
对于小型公司而言,即使在台式机或笔记本电脑数量较少的环境中,也有许多重要事情做,中小企业开始与外部服务提供商建立关系的时间不是在危机时期,而是在危机之前,中小型企业“必做之事”如下:一是集中管理,包括事件记录、集中或集中事件日志,还可以选择入侵检测服务;二是外包服务,包括:取证、恶意软件分析、扫描和渗透测试。这样一来,就增强了“CGMA网络安全工具”的实用性,不仅适用于大型企业,也为中小企业的网络安全管理提出了合适的参照。
三、结论
由上述分析可以看出,“CGMA网络安全工具”从对网络风险的认识,到防止网络风险的基本要素,再到网络安全工具的应用和防范手段,都给出了具体的应用指南。同时探讨了网络安全的高级话题,有针对性地提出了中小企业的网络安全清单,在附录中给出了网络安全保险的特殊性分析,介绍了美国注册会计师协会的“网络安全风险管理报告框架”。最后还列出了网络安全的网上资源及相关读物。“CGMA网络安全工具”提出了一个新形势下如何确保管理会计信息网络安全的详细而全面的框架,对世界范围内基于管理会计信息的网络安全管理具有重要的指导作用,也为我国相关管理会计指引的制订提供了有益参考。为了保证大数据时代下管理会计信息的安全,建议有关部门尽快参照“CGMA网络安全工具”,制订并发布相关的管理会计应用指引,使得管理会计更好地服务于企业决策,提高企业管理水平。