数周前,我曾发博文论及在面临网络安全威胁的情况下 ICANN 如何管理其 IT 资产和数字服务。当时我还提到,我们已经雇用一家全球知名的独立第三方对 ICANN 的安全控制展开年度审计,而且我承诺了不定期就此进程发布博文。
在布宜诺斯艾利斯,你们中有许多人(社群成员)与我和我在 ICANN 团队的同事召开了会议。这些会议中,大家提出众多建议,但根本的主题是明确且一致的:你们希望看到 ICANN 在降低其网络安全风险方面取得进步,希望 ICANN 具备更多的运营和技术弹性。
在网络安全领域,利用某个框架来处理网络风险评估是常见的做法。这种框架数量繁多,通常自愿将其用作指南,但并非一刀切的指示;各个组织会定制框架,使其最适合自己的需求、处境和风险。定制完成后,框架会为组织提供实施方面的做法和方法,便于组织取得积极成果。最后,许多框架允许评估人打分,便于为组织设置追求的数字目标。
这是框架的一种概念。另一方面来看,框架好比一个拥有很多块窗玻璃的窗户。框架利用现有的标准、指南和实践,帮助组织在同一个地方认识组成其资产/风险的所有要素。有这许多块窗玻璃,组织能快速获得基于资产的多方面观点,并通过该观点获得对组织网络风险的整体认识。组织还可采用与组织背景和需求息息相关的一系列推动力,深入剖析这个窗户的一个或多个窗玻璃。因此,框架通常会告知组织哪些活动对于确保重要的运营和服务能力最为重要。这有利于组织知情选择投资的对象和最佳方式,最大限度地发挥每一美元的效用。最后,框架有助于组织使用人人都能理解的"简明英语"向内外利益相关方报告网络安全和风险形势。
ICANN 的方法
2014 年,ICANN 采用了 SANS 研究所关键安全控制框架来实施网络防御。采用这一框架后,ICANN 紧接着雇用了 Leidos(一家在网络安全审计领域享有盛誉的公司)提供服务。Leidos 继而提交对 ICANN 网络安全状况的基本评估。
用 Leidos 向管理团队所说的原话来表达,即:评估开始时,我们发现 ICANN 在这方面与典型的商业组织相当。我们很高兴 ICANN 没有落于人后,但我们远远不满足于此!正如我之前的博文所提,ICANN 在一方面担当的是"数据存储台",对互联网的运营至关重要。从这方面而言,我们必须达到顶尖组织(比如广受好评的金融机构)的同等水平。
得益于董事会的及时资源支持和适当的优先性考虑,IT 部门开始大力处理值得关注的领域。因此,过去 12 个月,ICANN 网络防御的众多方面均接受了极为细致的审核,并为增强或补救最值得关注的重点领域展开了大量工作。我们在众多领域取得了长足进展,例如应用软件、培训、访问控制和渗透测试。
Leidos 按计划于今年 5 月至 6 月展开了年度审计,我们最近已收到审计报告,我很高兴和大家分享这份报告。
Leidos 2015 年审计报告要点
我很高兴宣布,在全部 20 个衡量要素中,ICANN 在大约一半的要素方面被归入"绿色"区域。同样重要的是,ICANN 在任何维度都未归入"红色"区域。Leidos 认为:"ICANN 在过去一年极大改善了网络安全方面的工作,体现了其领导团队致力于应对网络安全问题和构建自身的域名空间领导地位。"展望未来,他们希望到下一年完成当前的路线图之际,ICANN 能达到世界级组织的水平。
在不断变化的网络安全形势下,追求卓越不是终点,而是永无止境的旅程。我们在旅途中孜孜不倦。我们已朝着正确的方向取得进步,有着明确的路线图,我们正在朝着目标迈进。
和往常一样,如果希望进一步讨论,请通过 Ashwin.Rangan@icann.org 联系我。
