CGMA新管理會(huì)計(jì)工具：“網(wǎng)絡(luò)安全”內(nèi)容分析及借鑒

彭宏超

網(wǎng)絡(luò)安全已成為當(dāng)今數(shù)字互聯(lián)世界中每個(gè)組織的重要問(wèn)題。在公司體系內(nèi)，從董事會(huì)到最低級(jí)別的員工，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)和適當(dāng)反應(yīng)的意識(shí)和理解至關(guān)重要。對(duì)管理會(huì)計(jì)來(lái)說(shuō)，信息共享是決策的基礎(chǔ)，而網(wǎng)絡(luò)安全是信息共享的基礎(chǔ)保障。正是在這樣的背景下，CIMA（皇家特許管理會(huì)計(jì)師協(xié)會(huì)）和AICPA（美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)）在2017年5月聯(lián)合發(fā)布了《特許全球管理會(huì)計(jì)師網(wǎng)絡(luò)安全工具》（以下簡(jiǎn)稱“CGMA網(wǎng)絡(luò)安全工具”），以保證特許全球管理會(huì)計(jì)師針對(duì)其所在組織，設(shè)計(jì)有效的網(wǎng)絡(luò)安全制度，確保管理會(huì)計(jì)信息安全，促使管理會(huì)計(jì)決策的有效實(shí)施。

“CGMA網(wǎng)絡(luò)安全工具”提供了一個(gè)組織應(yīng)對(duì)網(wǎng)絡(luò)攻擊威脅、建立網(wǎng)絡(luò)安全的總體概括，主要包括識(shí)別網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，方法和應(yīng)對(duì)措施；此外，它還包含了一個(gè)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)所制訂的開(kāi)發(fā)框架的基本要素，管理會(huì)計(jì)師可以借助這個(gè)框架來(lái)開(kāi)發(fā)一個(gè)有效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方案，以確保所在組織的持續(xù)成功。

一、“CGMA網(wǎng)絡(luò)安全工具”主要內(nèi)容分析

新發(fā)布的“CGMA網(wǎng)絡(luò)安全工具”，針對(duì)新形勢(shì)下的網(wǎng)絡(luò)環(huán)境提出了應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的安全指南。該管理會(huì)計(jì)工具主要包括引言、了解網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全基礎(chǔ)、網(wǎng)絡(luò)安全應(yīng)用、網(wǎng)絡(luò)安全的高級(jí)主題、中小企業(yè)網(wǎng)絡(luò)安全的“簡(jiǎn)明要點(diǎn)”和附錄。

（一）引言

網(wǎng)絡(luò)風(fēng)險(xiǎn)已經(jīng)成為當(dāng)今全球經(jīng)濟(jì)的前沿和中心問(wèn)題。近年來(lái)，大眾媒體充斥著網(wǎng)絡(luò)攻擊的報(bào)道，從主要客戶記錄的失竊及健康保險(xiǎn)記錄的篡改，再到形形色色色的政治事件。根據(jù)《世界經(jīng)濟(jì)論壇2017年全球風(fēng)險(xiǎn)報(bào)告》，在十大可能性風(fēng)險(xiǎn)清單中，數(shù)據(jù)欺詐或盜竊、網(wǎng)絡(luò)攻擊分別排名第五和第六。網(wǎng)絡(luò)安全不再是IT部門和首席信息官的問(wèn)題，在當(dāng)今這個(gè)時(shí)代，公司董事會(huì)和經(jīng)理層必須在整個(gè)組織范圍內(nèi)，全面采取確保網(wǎng)絡(luò)安全的措施及方法。

（二）了解網(wǎng)絡(luò)安全

在當(dāng)今復(fù)雜的數(shù)字世界中，了解網(wǎng)絡(luò)安全應(yīng)當(dāng)從以下三個(gè)方面開(kāi)始：知曉最常見(jiàn)的的威脅是什么、誰(shuí)是潛在的“壞角色”、能夠做些什么來(lái)加強(qiáng)防御。

1.今天面臨的網(wǎng)絡(luò)安全威脅

對(duì)網(wǎng)絡(luò)安全來(lái)說(shuō)，最常見(jiàn)的威脅是惡意軟件。惡意軟件是關(guān)于惡性軟件的一個(gè)術(shù)語(yǔ)，這些軟件從竊取證據(jù)、其他信息、金錢，到肆意破壞或者拒絕正常程序的服務(wù)。典型的惡意軟件如下：

勒索軟件：是一種旨在阻止訪問(wèn)計(jì)算機(jī)系統(tǒng)的惡意軟件，直到使用人支付了一筆錢。

僵尸網(wǎng)絡(luò)：是相互關(guān)聯(lián)的網(wǎng)絡(luò)被“僵尸代理人”控制，按照其指令攻擊其中受感染的計(jì)算機(jī)。

惡意廣告：涉及惡意或惡意注入惡意軟件廣告變成合法的在線廣告網(wǎng)絡(luò)和網(wǎng)頁(yè)；惡意廣告是一個(gè)嚴(yán)重的威脅，很少或不需要用戶交互。

網(wǎng)絡(luò)釣魚(yú)：通常通過(guò)偽裝成可信賴的來(lái)源或合法企業(yè)，發(fā)送電子郵件誘惑閱讀者做一些不明智的事情；網(wǎng)絡(luò)釣魚(yú)還發(fā)送帶有附件的電子郵件，要求收到者打開(kāi)附件或點(diǎn)擊一個(gè)鏈接，然后安裝惡意軟件到用戶的電腦以竊取資金；網(wǎng)絡(luò)釣魚(yú)還可能涉及更多直接請(qǐng)求提供私人信息如密碼、信用卡帳戶的詳細(xì)信息。

應(yīng)用程序攻擊：隨著網(wǎng)絡(luò)應(yīng)用程序開(kāi)發(fā)的越來(lái)越多，應(yīng)用程序攻擊變得日益普遍；除了復(fù)雜的商業(yè)應(yīng)用程序通過(guò)網(wǎng)絡(luò)傳送外，我們的個(gè)人手機(jī)應(yīng)用程序和我們的家庭物聯(lián)網(wǎng)都存在很多漏洞。各種各樣的應(yīng)用程序攻擊雖然性質(zhì)和設(shè)計(jì)不同，但是其通常具有惡意攻擊軟件的共同意圖和目的，即 從數(shù)據(jù)庫(kù)服務(wù)器中盜取數(shù)據(jù)、在其他用戶電腦上運(yùn)行攻擊腳本、竊取用戶證書等。

2.誰(shuí)是壞角色

“黑客”一詞最初可能用于描述那些特別有才華的電腦程序員和系統(tǒng)設(shè)計(jì)師，可能還包括那些被認(rèn)為是“計(jì)算機(jī)好奇者”；但今天這個(gè)詞更加廣泛地用來(lái)描述那些懷有不良意圖的電腦入侵者或犯罪分子。 除了基本的盜賊之外，這些“壞角色”可以是外部人士，如商業(yè)競(jìng)爭(zhēng)者或民族國(guó)家；也可以是內(nèi)部人士，比如不滿或惡意的員工。

3.安全漏洞的風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全漏洞可能是技術(shù)本質(zhì)或程序造成的。技術(shù)缺陷會(huì)造成暴露敏感功能或信息，包括軟件缺陷和使用安全保護(hù)失敗。程序缺陷可以和IT相關(guān)，包括系統(tǒng)配置錯(cuò)誤或者未能及時(shí)進(jìn)行軟件安全更新。但是，有許多程序缺陷和用戶相關(guān)，比如選擇使用了不正確的密碼。

（三）網(wǎng)絡(luò)安全基礎(chǔ)

對(duì)企業(yè)來(lái)說(shuō)，至關(guān)重要的是應(yīng)對(duì)上述網(wǎng)絡(luò)風(fēng)險(xiǎn)，保護(hù)信息資產(chǎn)的安全，確保企業(yè)持續(xù)的可行性。本部分包括兩個(gè)內(nèi)容：網(wǎng)絡(luò)安全的目標(biāo)及控制。

1.網(wǎng)絡(luò)安全的目標(biāo)

美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)制定了一個(gè)網(wǎng)絡(luò)安全報(bào)告框架，一個(gè)組織可以借助此來(lái)向關(guān)鍵利益相關(guān)者展示以及衡量自己網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理程序的有效性。任何網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方案中的一個(gè)關(guān)鍵因素是需要管理層制定目標(biāo)。

管理層確定的網(wǎng)絡(luò)安全目標(biāo)，應(yīng)能解決可能影響網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)影響主體整體經(jīng)營(yíng)目標(biāo)（包括合規(guī)，報(bào)告和運(yùn)營(yíng)目標(biāo)）的實(shí)現(xiàn)。網(wǎng)絡(luò)安全目標(biāo)會(huì)因下列因素而不同：經(jīng)營(yíng)環(huán)境、主體使命和愿景、已確立的整體經(jīng)營(yíng)目標(biāo)、管理風(fēng)險(xiǎn)偏好等。

一個(gè)主體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方案中管理層（目標(biāo)）描述的幾個(gè)標(biāo)準(zhǔn)包括：（1）可獲得性，主體可以及時(shí)、可靠和持續(xù)訪問(wèn)和使用信息和系統(tǒng)。（2）保密性，保護(hù)主體信息未經(jīng)授權(quán)的訪問(wèn)和披露，包括保護(hù)專有信息的手段以及受隱私保護(hù)的個(gè)人信息要求。（3）數(shù)據(jù)的完整性，防止不當(dāng)?shù)男畔⑿薷幕蛐畔⑵茐?。?）處理過(guò)程的完整性，防范不適當(dāng)?shù)厥褂?、修改或破壞系統(tǒng)。

2.安全控制：保護(hù)、偵測(cè)、響應(yīng)

為了實(shí)現(xiàn)上述網(wǎng)絡(luò)安全目標(biāo)和減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)，有必要實(shí)施一套安全機(jī)制：第一，制定（網(wǎng)絡(luò)安全）目標(biāo)以保護(hù)信息資產(chǎn)；第二，偵測(cè)（網(wǎng)絡(luò)）惡意活動(dòng)（不發(fā)生也要偵測(cè)）什么時(shí)候發(fā)生；第三，對(duì)（網(wǎng)絡(luò)）惡意活動(dòng)作出有效應(yīng)對(duì)，并最小化（網(wǎng)絡(luò)）惡意活動(dòng)對(duì)主體經(jīng)營(yíng)的影響。

不同的控制需要在軟件的不同級(jí)別間實(shí)現(xiàn)，涵蓋以下部分：服務(wù)器、臺(tái)式機(jī)、移動(dòng)設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)存儲(chǔ)、商業(yè)應(yīng)用，對(duì)其采取的相應(yīng)保護(hù)措施是：政策和政策管理、軟件更新、配置、安全產(chǎn)品、應(yīng)用軟件控制。

（1）保護(hù)

首先，盡量保護(hù)信息資產(chǎn)和系統(tǒng)免受攻擊。保護(hù)戰(zhàn)略是第一道防線，違規(guī)通常是保護(hù)戰(zhàn)略的失敗。保護(hù)控制包括以下措施：一是識(shí)別：為了對(duì)用戶負(fù)責(zé)，無(wú)論是個(gè)人還是交互式系統(tǒng)組件，都需要識(shí)別，例如用戶名。二是認(rèn)證：還需要能夠認(rèn)證該標(biāo)識(shí)。三是授權(quán)：除認(rèn)證外，需要確保用戶有權(quán)進(jìn)行交易，驗(yàn)證用戶對(duì)特定類型訪問(wèn)或交易的權(quán)限級(jí)別。四是保護(hù)秘密：例如信用卡信息的加密，不用時(shí)儲(chǔ)存，使用時(shí)傳送。

證書是安全系統(tǒng)的重要基礎(chǔ)，特別是涉及付款或特別敏感的信息時(shí)。證書被用于各種實(shí)際應(yīng)用程序，包括傳輸機(jī)密信息和數(shù)字簽名文件。證書可用于被稱作“握手”的程序中，使用證書來(lái)驗(yàn)證發(fā)送者的身份，從而使私密地傳輸加密的機(jī)密信息成為可能；并且還使得接收者能夠通過(guò)使用防篡改密封知道信息是否被篡改。

CGMA提供了一種半公開(kāi)、半私密的證書。私人證書的一半保持安全并且不在當(dāng)事人之間傳遞是至關(guān)重要的。在一個(gè)組織內(nèi)部，可以對(duì)證書進(jìn)行集中管理，使用戶能夠訪問(wèn)他們希望發(fā)送加密信息的人的公共證書。對(duì)于外部使用，公共證書由第三方證書頒發(fā)機(jī)構(gòu)頒發(fā)，用于驗(yàn)證使用者的身份。

（2）偵測(cè)

除了保護(hù)性或預(yù)防性策略之外，主體采用偵測(cè)策略來(lái)識(shí)別威脅發(fā)生的時(shí)間也是至關(guān)重要的，偵測(cè)實(shí)質(zhì)上是安全攝像機(jī)的計(jì)算機(jī)等同物。

常見(jiàn)的偵測(cè)策略包括：一是事件監(jiān)視：可以檢查登錄到文件中的事件的文檔，以查找不尋常的活動(dòng)模式。二是入侵檢測(cè)和預(yù)防系統(tǒng)：現(xiàn)在可以使用高級(jí)的應(yīng)用程序來(lái)執(zhí)行持續(xù)監(jiān)控。三是威脅監(jiān)控：安全社區(qū)可以研究攻擊者為了開(kāi)發(fā)“威脅情報(bào)”而使用的工具和技術(shù)，這些威脅情報(bào)可以用來(lái)為新控件的開(kāi)發(fā)提供信息。四是用戶報(bào)告：用戶報(bào)告對(duì)識(shí)別異常活動(dòng)也很有幫助。

（3）響應(yīng)

計(jì)算機(jī)事件響應(yīng)小組（CIRTs），有時(shí)被稱為計(jì)算機(jī)安全事件響應(yīng)小組（CSIRTS），是網(wǎng)絡(luò)安全變革的一部分。該相應(yīng)小組的主要職能是：減少損失，幫助企業(yè)盡快恢復(fù)業(yè)務(wù)，在必要時(shí)支持執(zhí)法、法律等調(diào)查，在事件情景意識(shí)、行動(dòng)計(jì)劃和知情決策期間提供決策支持，促進(jìn)客戶、執(zhí)法部門、媒體等之間的危機(jī)溝通。當(dāng)一個(gè)組織受到攻擊時(shí)，事件響應(yīng)小組的關(guān)鍵作用是協(xié)助企業(yè)，使其能夠保持活力。

（四）網(wǎng)絡(luò)安全的應(yīng)用

對(duì)于擁有大量臺(tái)式電腦、筆記本電腦和移動(dòng)設(shè)備的企業(yè)級(jí)系統(tǒng)，集中化實(shí)施預(yù)防性和偵查性的控制措施以及對(duì)網(wǎng)絡(luò)漏洞的反應(yīng)，是實(shí)施網(wǎng)絡(luò)安全的重要因素。

1.集中化管理

臺(tái)式機(jī)：代操作系統(tǒng)在安全特性方面非常有用。集中管理是控制和協(xié)調(diào)關(guān)鍵安全功能的關(guān)鍵方法。向遠(yuǎn)程用戶“推送”安全協(xié)議，軟件更新和安全更新“補(bǔ)丁”的能力使大型企業(yè)級(jí)系統(tǒng)具有可擴(kuò)展性。集中化還提供了維護(hù)用戶配置文件的目錄的能力，使用戶能夠從多個(gè)位置訪問(wèn)他們的信息。

筆記本電腦：臺(tái)式機(jī)和筆記本電腦之間的安全功能很常見(jiàn)，但由于筆記本電腦固有的易移動(dòng)性，特別是丟失或被盜設(shè)備的風(fēng)險(xiǎn)，提出了一些獨(dú)特的挑戰(zhàn)。無(wú)論是操作系統(tǒng)還是端點(diǎn)產(chǎn)品，對(duì)整個(gè)磁盤進(jìn)行加密是確保筆記本電腦產(chǎn)品數(shù)據(jù)安全的基本特征。

移動(dòng)設(shè)備：第三方移動(dòng)設(shè)備管理（MDM）產(chǎn)品便于這些設(shè)備的集中管理。一些公司認(rèn)為公司自己擁有“第三方移動(dòng)設(shè)備管理產(chǎn)品”很重要，這樣可進(jìn)行文件配置，禁止下載非公司應(yīng)用程序。現(xiàn)在許多公司都有自己的設(shè)備（BYOD）計(jì)劃，為了確保這些員工擁有的移動(dòng)設(shè)備的安全，他們要求員工提交這些設(shè)備進(jìn)而在整個(gè)公司內(nèi)進(jìn)行統(tǒng)一管理，類似于筆記本電腦安全策略，為了靈活執(zhí)行安全政策，公司可以為其移動(dòng)設(shè)備的不同類別的用戶創(chuàng)建不同的配置文件。

網(wǎng)絡(luò)配置：公司用于實(shí)施各種企業(yè)網(wǎng)絡(luò)（包括臺(tái)式機(jī)，筆記本電腦和移動(dòng)設(shè)備）策略的另一個(gè)關(guān)鍵組件是網(wǎng)絡(luò)配置，這些網(wǎng)絡(luò)級(jí)控制的價(jià)值在于它們是非常難以規(guī)避的。

網(wǎng)絡(luò)防火墻：這是有關(guān)誰(shuí)可以訪問(wèn)什么的預(yù)定義策略，可用于限制訪問(wèn)社交媒體或其他類別的網(wǎng)站。實(shí)施網(wǎng)絡(luò)級(jí)別的訪問(wèn)控制可以用來(lái)為公司內(nèi)人們提供限制其他人訪問(wèn)網(wǎng)站的訪問(wèn)，例如，溝通團(tuán)隊(duì)可能被授權(quán)訪問(wèn)社交媒體網(wǎng)站，以供公司使用。

應(yīng)用程序防火墻：除了旨在限制訪問(wèn)授權(quán)個(gè)人的網(wǎng)絡(luò)防火墻之外，還可以使用應(yīng)用程序防火墻來(lái)防范已知的Web應(yīng)用程序攻擊。

防病毒和端點(diǎn)產(chǎn)品：除集中管理安全功能外，大多數(shù)組織還通常使用“端點(diǎn)產(chǎn)品”來(lái)增強(qiáng)操作系統(tǒng)提供的功能。端點(diǎn)產(chǎn)品對(duì)于確保多個(gè)用戶訪問(wèn)的企業(yè)級(jí)系統(tǒng)的安全性具有特別的價(jià)值，這些產(chǎn)品可以確保符合組織的政策，除了驗(yàn)證應(yīng)用程序產(chǎn)品的完整性和檢測(cè)病毒以外，還會(huì)在發(fā)現(xiàn)問(wèn)題時(shí)阻止活動(dòng)。

2.集中監(jiān)控

隨著擁有數(shù)百甚至數(shù)千臺(tái)筆記本電腦的企業(yè)系統(tǒng)已經(jīng)成為組織的標(biāo)準(zhǔn)，系統(tǒng)活動(dòng)的集中監(jiān)控也隨著時(shí)間的推移而發(fā)生了演變。集中監(jiān)控的重要組件包括：

事件日志記錄和聚合：所有現(xiàn)代計(jì)算機(jī)操作系統(tǒng)都會(huì)記錄他們的活動(dòng)，誰(shuí)登錄？他們運(yùn)行什么程序？什么文件被訪問(wèn)？什么是失敗以及成功？雖然登錄操作系統(tǒng)的事件記錄在很大程度上是膚淺的，但是，對(duì)于行政和問(wèn)責(zé)目的以及潛在的法證使用來(lái)說(shuō)，這仍然是至關(guān)重要的。最佳做法通常是將日志發(fā)送到位于數(shù)據(jù)中心或安全操作中心的中央監(jiān)控點(diǎn)，除了專業(yè)考慮之外，隱私考慮要求這些“日志”只能由安全人員查看。記錄此信息對(duì)于取證目的至關(guān)重要，真正的價(jià)值在于網(wǎng)絡(luò)攻擊活動(dòng)發(fā)生時(shí)可以去查看這些數(shù)據(jù)。

安全信息和事件管理（SIEM）：已經(jīng)開(kāi)發(fā)出來(lái)的SIEM系統(tǒng)使這種監(jiān)測(cè)更有效。 SIEM可以分析全部可得到的數(shù)據(jù)，并在數(shù)據(jù)中查找可能的攻擊或安全危害的特定模式，SIEM會(huì)深入探討可能發(fā)生的事件，自動(dòng)分析可能被稱為“大海撈針”場(chǎng)景的過(guò)程。

現(xiàn)代安全運(yùn)營(yíng)中心（SOC）功能：SOC環(huán)境已經(jīng)逐漸成熟，并且擁有一系列重要的團(tuán)隊(duì)或功能。一是事件響應(yīng)團(tuán)隊(duì)：當(dāng)監(jiān)測(cè)SIEM的小組發(fā)現(xiàn)潛在的威脅時(shí)，他們將啟動(dòng)事件響應(yīng)過(guò)程，重點(diǎn)是保證經(jīng)營(yíng)的連續(xù)性。事件響應(yīng)小組實(shí)際上是IT世界的“突發(fā)事件管理小組”。二是威脅情報(bào)團(tuán)隊(duì)：威脅情報(bào)小組的任務(wù)是監(jiān)視當(dāng)前趨勢(shì)，特別是在組織所涉及特定行業(yè)領(lǐng)域時(shí)。威脅情報(bào)團(tuán)隊(duì)將這些信息提供給負(fù)責(zé)通過(guò)SIEM監(jiān)控活動(dòng)的團(tuán)隊(duì)。三是搜尋團(tuán)隊(duì)：這個(gè)團(tuán)隊(duì)的使命是假設(shè)組織已經(jīng)被侵犯時(shí)開(kāi)始運(yùn)作，但是SIEM團(tuán)隊(duì)還沒(méi)有確定這個(gè)違規(guī)行為已經(jīng)發(fā)生。搜尋團(tuán)隊(duì)的作用是尋找“沙地上的腳印”，以防可能的入侵。四是內(nèi)部人員威脅團(tuán)隊(duì)：該團(tuán)隊(duì)通過(guò)研究去發(fā)現(xiàn)員工違規(guī)的相關(guān)因素，例如，員工晉升失敗、績(jī)效評(píng)估下降、財(cái)務(wù)困難等。雖然一些組織已經(jīng)部署了內(nèi)部威脅團(tuán)隊(duì)，但是調(diào)查潛在的內(nèi)部人員參與，需考慮嚴(yán)肅的隱私和法律規(guī)定。

（五）網(wǎng)絡(luò)安全的高級(jí)主題

預(yù)防是任何網(wǎng)絡(luò)安全戰(zhàn)略的目標(biāo)，應(yīng)及時(shí)發(fā)現(xiàn)并有效應(yīng)對(duì)不可避免的入侵，同時(shí)包括：深入了解這種攻擊，并持續(xù)不斷地努力改進(jìn)您的信息系統(tǒng)。

1.取證分析

取證分析雖然采用了與事件響應(yīng)小組相同的方式和方法，但其目的不同。 除了確定發(fā)生什么之外，還要確定未來(lái)如何防止一個(gè)特定的違規(guī)行為，取證分析就是檢查可能對(duì)研究人員有價(jià)值的事情的過(guò)程。 三個(gè)主要取證分析的要素包括系統(tǒng)級(jí)分析，存儲(chǔ)分析和網(wǎng)絡(luò)分析。

2.惡意軟件分析

如果系統(tǒng)中存在惡意軟件，特別是如果它是一個(gè)未經(jīng)授權(quán)的軟件，深入了解“惡意軟件到底想干什么”是非常重要的。手段包括：逆向工程、反編譯和拆分。

3.滲透測(cè)試

進(jìn)行滲透測(cè)試的目的是在對(duì)手發(fā)現(xiàn)它們之前，去找到軟件中的弱點(diǎn)。如果我們找到了弱點(diǎn)，就可以修復(fù)它們；否則，就要建立一個(gè)檢測(cè)機(jī)制來(lái)阻止入侵。滲透測(cè)試的步驟包括確定它是如何工作以及它在做那些工作。手段包括：網(wǎng)絡(luò)發(fā)現(xiàn)、漏洞探測(cè)、利用漏洞。

4.軟件安全

軟件安全即編寫能夠抵御攻擊的軟件，基本的軟件安全性包括三個(gè)等級(jí)：第1層是能夠阻止連續(xù)的攻擊；第2層是能夠安全（SIEM）提醒，并提供關(guān)于攻擊的關(guān)鍵信息；第3層是能夠采取回避性措施，例如保護(hù)敏感數(shù)據(jù)（例如信用卡信息）和鎖定帳戶。

（六）中小企業(yè)（網(wǎng)絡(luò)安全）的簡(jiǎn)要清單

雖然許多更復(fù)雜的安全措施更多地屬于較大的“企業(yè)級(jí)”系統(tǒng)，但對(duì)于小型公司而言，即使在臺(tái)式機(jī)或筆記本電腦數(shù)量較少的環(huán)境中，也有許多重要事情要做。中小企業(yè)開(kāi)始與外部服務(wù)提供商建立關(guān)系的時(shí)間不是在危機(jī)時(shí)期，而是在危機(jī)之前。以下是中小型企業(yè)“必做之事”的簡(jiǎn)短清單。

1.集中管理

事件記錄、集中或集中事件日志非常重要。對(duì)中小企業(yè)來(lái)說(shuō)，有負(fù)擔(dān)得起的SIEM產(chǎn)品和SIEM類產(chǎn)品可用于執(zhí)行此任務(wù)；無(wú)論是IT安全人員還是系統(tǒng)管理員，都應(yīng)將日志發(fā)送到中央位置。中小企業(yè)還可以選擇入侵檢測(cè)服務(wù)，該服務(wù)能夠使其查看日志并發(fā)送有關(guān)潛在事件的通知。

2.外包服務(wù)

該服務(wù)應(yīng)該考慮到其他需求，特別是能夠幫助解決突發(fā)事件。許多服務(wù)是由供應(yīng)商提供的，他們能夠提供給中小企業(yè)的具體服務(wù)包括：取證、惡意軟件分析、掃描和滲透測(cè)試。如前所述，這些需要權(quán)衡，因?yàn)橥獠抗?yīng)商可以非常接近地觀察系統(tǒng)內(nèi)部的情況，不利于保密。

（七）附錄

1.網(wǎng)絡(luò)安全保險(xiǎn)

由于與網(wǎng)絡(luò)安全事件有關(guān)的損害賠償并不包括在商業(yè)保險(xiǎn)政策內(nèi)，所以獨(dú)立的政策、補(bǔ)充文件是必需的。對(duì)于擁有重要客戶或個(gè)人身份信息（PII）的組織、處理在線信用卡付款或以其他方式高度依賴網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)的組織，尤其重要。

除了涵蓋與信息技術(shù)系統(tǒng)和網(wǎng)絡(luò)的損壞或信息丟失有關(guān)的損失之外，政策通常還包括對(duì)事件本身的重大幫助和管理，這在遇到聲譽(yù)損害或監(jiān)管時(shí)可能是必不可少的。如“倫敦勞埃德銀行風(fēng)險(xiǎn)快速指南”所述，網(wǎng)絡(luò)風(fēng)險(xiǎn)可分為第一方和第三方風(fēng)險(xiǎn)。

第一方保險(xiǎn)涵蓋企業(yè)的資產(chǎn)。這可能包括：（1）數(shù)字資產(chǎn)（如數(shù)據(jù)或軟件程序）的損失或損壞；（2）網(wǎng)絡(luò)停機(jī)時(shí)間導(dǎo)致業(yè)務(wù)中斷；（3）網(wǎng)絡(luò)勸告，如果第三方?jīng)]有向他們支付款項(xiàng)，威脅要破壞或發(fā)布數(shù)據(jù)；（4）客戶通知費(fèi)用，當(dāng)有法律或監(jiān)管要求通知他們的安全或隱私違規(guī)；（5）因違反數(shù)據(jù)而導(dǎo)致聲譽(yù)損害，導(dǎo)致知識(shí)產(chǎn)權(quán)或客戶流失；（6）盜竊設(shè)備或竊取電子盜竊金錢或數(shù)字資產(chǎn)。

第三方保險(xiǎn)涵蓋他人的資產(chǎn)，通常是客戶。這可能包括：（1）安全和隱私違規(guī)，以及調(diào)查、辯護(hù)費(fèi)用和民事?lián)p害賠償與他們相關(guān)聯(lián)；（2）多媒體責(zé)任、涵蓋誹謗、隱私或電子或平面媒體出版過(guò)程中疏忽引起的調(diào)查，辯護(hù)費(fèi)和民事?lián)p害賠償；（3）第三方數(shù)據(jù)丟失，包括向客戶支付拒絕訪問(wèn)的賠償以及軟件或系統(tǒng)故障。

雖然網(wǎng)絡(luò)安全保險(xiǎn)是組織戰(zhàn)略的一個(gè)重要方面，但它不應(yīng)取代最佳實(shí)踐、政策和控制。 事實(shí)上，制定有效的網(wǎng)絡(luò)安全計(jì)劃可以降低保費(fèi)。

2.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理報(bào)告框架

為了應(yīng)對(duì)組織管理網(wǎng)絡(luò)安全威脅、獲取有效性信息的日益增長(zhǎng)的需求，AICPA制定了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理報(bào)告框架。雖然制定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理程序的方法和框架很多，但AICPA框架才是組織溝通和報(bào)告這些（管理網(wǎng)絡(luò)安全）工作的通用語(yǔ)言。

該框架旨在幫助組織向關(guān)鍵利益相關(guān)方展示其網(wǎng)絡(luò)風(fēng)險(xiǎn)準(zhǔn)備工作的程度和有效性。企業(yè)可以在內(nèi)部使用它來(lái)以一致的方式解釋所實(shí)施的所有政策、程序和控制措施，以解決對(duì)其業(yè)務(wù)至關(guān)重要的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。它還可以用于向高級(jí)管理層、董事會(huì)和其他利益相關(guān)方報(bào)告，以便于他們了解該實(shí)體的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃。

作為網(wǎng)絡(luò)安全新系統(tǒng)和組織控制（SOC）的關(guān)鍵組成部分，該框架還可以幫助組織向分析師、投資者和其他外部人員展示其有效的流程和控制措施，以檢測(cè)、響應(yīng)、緩解、應(yīng)對(duì)違規(guī)和其他安全事故。同時(shí)，作為管理層描述其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方案的標(biāo)桿，框架規(guī)定了主體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的管理細(xì)節(jié)標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理報(bào)告也是一個(gè)例證，為實(shí)體如何編制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃提供了一個(gè)示例。

（八）補(bǔ)充讀物和資源

網(wǎng)絡(luò)資源：AICPA網(wǎng)絡(luò)安全資源中心，AICPA網(wǎng)絡(luò)安全SOC；GMA風(fēng)險(xiǎn)管理工具包確保企業(yè)在一個(gè)不確定的世界中的生存能力：圍繞風(fēng)險(xiǎn)進(jìn)行討論；全球管理會(huì)計(jì)原則；IRM網(wǎng)絡(luò)風(fēng)險(xiǎn)：為從業(yè)者提供資源；ISO /IEC 27001——信息安全管理；NIST網(wǎng)絡(luò)安全框架；重新思考價(jià)值鏈；風(fēng)險(xiǎn)和創(chuàng)新。

會(huì)計(jì)學(xué)期刊文章：警惕網(wǎng)絡(luò)安全，警告前聯(lián)邦調(diào)查局特工；如何在安全預(yù)算方面做到更機(jī)智；數(shù)據(jù)泄露的隱藏成本；通過(guò)COSO鏡頭審視網(wǎng)絡(luò)安全。

二、對(duì)“CGMA網(wǎng)絡(luò)安全工具”的評(píng)價(jià)

（一）提出了“超越IT部門、全員參與”網(wǎng)絡(luò)安全管理新理念

在傳統(tǒng)管理中，一般認(rèn)為信息安全是“IT或信息管理部門”的職責(zé)，但在“CGMA網(wǎng)絡(luò)安全工具”的“前言”部分，CGMA大膽提出：信息系統(tǒng)安全不再僅僅是IT部門和首席信息官的問(wèn)題，公司董事會(huì)和經(jīng)理層必須在整個(gè)組織范圍內(nèi)采取確保網(wǎng)絡(luò)安全的措施及方法。在大數(shù)據(jù)時(shí)代，越來(lái)越多的公司建立了基于網(wǎng)絡(luò)的“財(cái)務(wù)共享中心”或“管理會(huì)計(jì)信息中心”，以網(wǎng)絡(luò)電腦、手機(jī)作為終端，所以當(dāng)今的網(wǎng)絡(luò)安全不應(yīng)再單單是信息管理部門的職責(zé)，而應(yīng)是公司一把手負(fù)責(zé)下的全員參與，只有這樣才能更有效地防止來(lái)自公司內(nèi)、外的網(wǎng)絡(luò)攻擊，保證管理會(huì)計(jì)信息的連續(xù)不斷地服務(wù)于管理決策。

（二）科學(xué)地制定了網(wǎng)絡(luò)安全目標(biāo)的具體標(biāo)準(zhǔn)

“CGMA網(wǎng)絡(luò)安全工具”指出：一個(gè)主體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理目標(biāo)的標(biāo)準(zhǔn)包括：一是可獲得性，主體可以及時(shí)、可靠和持續(xù)訪問(wèn)和使用信息和系統(tǒng)；二是保密性，保護(hù)主體信息未經(jīng)授權(quán)的訪問(wèn)和披露；三是數(shù)據(jù)的完整性，防止不當(dāng)?shù)男畔⑿薷幕蛐畔⑵茐模凰氖翘幚磉^(guò)程的完整性，防范不適當(dāng)?shù)厥褂谩⑿薷幕蚱茐南到y(tǒng)。這四個(gè)標(biāo)準(zhǔn)可用于評(píng)價(jià)一個(gè)單位“網(wǎng)絡(luò)安全”管理水平的高低，同時(shí)也為大數(shù)據(jù)時(shí)代下，管理會(huì)計(jì)信息的網(wǎng)絡(luò)安全指明了行動(dòng)方向。

（三）提出了分層次的網(wǎng)絡(luò)安全管理措施

在“CGMA網(wǎng)絡(luò)安全工具”中，提出了一個(gè)分層次的應(yīng)用步驟：第一層是深入理解網(wǎng)絡(luò)安全，包括三項(xiàng)任務(wù)：知曉最常見(jiàn)的的威脅（勒索軟件、僵尸網(wǎng)絡(luò)、惡意廣告、網(wǎng)絡(luò)釣魚(yú)和應(yīng)用程序攻擊），識(shí)別潛在的“壞角色”，能夠做些什么來(lái)加強(qiáng)防御。第二層是基礎(chǔ)網(wǎng)絡(luò)安全管理，包括兩項(xiàng)任務(wù)：制訂網(wǎng)絡(luò)安全目標(biāo)，實(shí)施安全控制（保護(hù)、偵測(cè)、響應(yīng)）。第三層是大型“企業(yè)級(jí)系統(tǒng)”網(wǎng)絡(luò)安全（綜合）應(yīng)用，包括：集中化管理、集中監(jiān)控。

（四）提出了完整的“網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理報(bào)告框架”

在“CGMA網(wǎng)絡(luò)安全工具”的附錄中，還提供了一個(gè)包括9項(xiàng)內(nèi)容的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理報(bào)告框架，分別是：業(yè)務(wù)及營(yíng)運(yùn)性質(zhì)、信息風(fēng)險(xiǎn)的性質(zhì)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃目標(biāo)、對(duì)固有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)產(chǎn)生重大影響的因素、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理結(jié)構(gòu)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估流程、網(wǎng)絡(luò)安全通信和網(wǎng)絡(luò)安全信息的質(zhì)量、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理程序的監(jiān)控、網(wǎng)絡(luò)安全控制流程。這9項(xiàng)內(nèi)容覆蓋了網(wǎng)絡(luò)安全的方方面面，有利于指導(dǎo)企業(yè)按照該工具，進(jìn)行網(wǎng)絡(luò)安全管理的計(jì)劃、實(shí)施、報(bào)告及評(píng)價(jià)。

（五）探討了“網(wǎng)絡(luò)安全管理”的高級(jí)話題

在“CGMA網(wǎng)絡(luò)安全工具”中，還探討了四個(gè)網(wǎng)絡(luò)安全管理的高級(jí)內(nèi)容：第一是取證分析，包括系統(tǒng)級(jí)分析，存儲(chǔ)分析和網(wǎng)絡(luò)分析；第二是惡意軟件分析，包括逆向工程，反編譯和拆分；第三是滲透測(cè)試，包括網(wǎng)絡(luò)發(fā)現(xiàn)、漏洞探測(cè)、利用漏洞；第四是軟件安全，包括設(shè)計(jì)審查、代碼審查、安全測(cè)試。這些高級(jí)主題的討論深化了網(wǎng)絡(luò)安全管理的內(nèi)容。

（六）覆蓋面完整，規(guī)定了適用于中小企業(yè)的網(wǎng)絡(luò)安全管理清單

對(duì)于小型公司而言，即使在臺(tái)式機(jī)或筆記本電腦數(shù)量較少的環(huán)境中，也有許多重要事情做，中小企業(yè)開(kāi)始與外部服務(wù)提供商建立關(guān)系的時(shí)間不是在危機(jī)時(shí)期，而是在危機(jī)之前，中小型企業(yè)“必做之事”如下：一是集中管理，包括事件記錄、集中或集中事件日志，還可以選擇入侵檢測(cè)服務(wù)；二是外包服務(wù)，包括：取證、惡意軟件分析、掃描和滲透測(cè)試。這樣一來(lái)，就增強(qiáng)了“CGMA網(wǎng)絡(luò)安全工具”的實(shí)用性，不僅適用于大型企業(yè)，也為中小企業(yè)的網(wǎng)絡(luò)安全管理提出了合適的參照。

三、結(jié)論

由上述分析可以看出，“CGMA網(wǎng)絡(luò)安全工具”從對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)識(shí)，到防止網(wǎng)絡(luò)風(fēng)險(xiǎn)的基本要素，再到網(wǎng)絡(luò)安全工具的應(yīng)用和防范手段，都給出了具體的應(yīng)用指南。同時(shí)探討了網(wǎng)絡(luò)安全的高級(jí)話題，有針對(duì)性地提出了中小企業(yè)的網(wǎng)絡(luò)安全清單，在附錄中給出了網(wǎng)絡(luò)安全保險(xiǎn)的特殊性分析，介紹了美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的“網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理報(bào)告框架”。最后還列出了網(wǎng)絡(luò)安全的網(wǎng)上資源及相關(guān)讀物?！癈GMA網(wǎng)絡(luò)安全工具”提出了一個(gè)新形勢(shì)下如何確保管理會(huì)計(jì)信息網(wǎng)絡(luò)安全的詳細(xì)而全面的框架，對(duì)世界范圍內(nèi)基于管理會(huì)計(jì)信息的網(wǎng)絡(luò)安全管理具有重要的指導(dǎo)作用，也為我國(guó)相關(guān)管理會(huì)計(jì)指引的制訂提供了有益參考。為了保證大數(shù)據(jù)時(shí)代下管理會(huì)計(jì)信息的安全，建議有關(guān)部門盡快參照“CGMA網(wǎng)絡(luò)安全工具”，制訂并發(fā)布相關(guān)的管理會(huì)計(jì)應(yīng)用指引，使得管理會(huì)計(jì)更好地服務(wù)于企業(yè)決策，提高企業(yè)管理水平。