摘要:如何通过软件主动的查看法规中波及的数据保护, 新版的CWE 4.3 给出了一个解决路径。

1. 依照常规,先说故事

用12月初在深圳加入的"寰球C++及系统软件技术大会"里C++之父Bjarne讲的一个故事, 致敬一下这位大能。

因为疫情, Bjarne不能亲自来到会场, 只能通过视频的形式和大家沟通。 上面这张照片,是我在他在做"C++20 与C++的继续演变"的演讲时,拍摄的的一张照片.

演讲中,Bjarne回顾了C++的倒退历程, 重点介绍了C++20的新个性。同时也坦言面对一个语言倒退方向的各种抉择时的不易, 更多的是须要均衡。 在报告的最初,讲述了"瓦萨号"的故事, 来阐明对于C++新个性的公布的谨慎。

  • Be careful remember Vasal

  •  "瓦萨"号的沉没
  1. 瑞典瓦萨王朝(1523-1654)统治期间,瑞典是欧洲的强国之一。为了与劲敌丹麦、波兰反抗,称霸波罗的海,瑞典国王古斯塔夫·阿道夫斯二世要求建造一批新的战舰,并要求战舰航速要快、火力要强、装璜要富丽,只有这样才彰显瓦萨王朝的势力、财产和战斗力。1626年初,作为其中最大的战舰“瓦萨”号,在国王的亲自监督下正式开始建造。
  2. 在“瓦萨”号建造期间,他一直下令按照他的旨意扭转设计和建造要求。比方在“瓦萨”号的骨架曾经装置好的时候,他下令减少战舰的长度;
  3. 国王得悉了丹麦建成双层炮舰的音讯,于是他又决定,在原打算建筑单层炮舰的“瓦萨”号减少一个枪械甲板,把它改建成“双层”炮舰。这样一来,“瓦萨”号便领有了双排共64门舰炮,全长达到了69米,成了过后配备最齐全、武装水平最高的战船。
  4. “瓦萨”号进行的稳定性测试:让30个船员从船一端跑到另一端,以此检测船的摇动状况。试验中“瓦萨”号产生了危险的摇动,但对这个预警信号,建造师却熟视无睹,还是决定勾销试验,筹备航行。
  5. 1628年8月10日,斯德哥尔摩码头人头攒动,观看着堪称世界最顶级的“瓦萨”号战舰。但离岸还没来得及扬帆远航的“瓦萨”号在一阵大风浪过后,开始歪斜,接着又缓缓复原均衡,但随即再一次朝右舷歪斜, 上层甲板在缓缓进水,舰体开始晃动下沉。就这样“瓦萨”号就在大庭广众之下沉没了。“瓦萨”号首航仅仅10多分钟就完结了。
  6. “瓦萨”号上安置了太多的重炮,却没有足够的压舱物,导致战舰重心过高;以及首航前没有通过严格测试等等,都是造成“瓦萨”号沉没的起因。

这些年各种语言越来越成熟,Go、Rust都对C++的利用市场造成了不小的冲击,为此C++也在一直的调整公布节奏和内容。 但一旦在语言个性方向产生战略性的谬误,很可能就会导致无法挽回的场面。

2. CWE 4.3的新视图

才写完话说CWE 4.2的新视图, CWE就又赶在2020年完结之前, 12月10号公布了CWE 4.3.

2.1. CWE-1340 CISQ 数据保护检测视图

在CWE 4.3 中, 又减少了一张十分有用的视图: CWE-1340 CISQ Data Protection Measures. 在话说CWE 4.2的新视图中, 咱们介绍了CISQ的CWE-1305: CISQ Quality Measures (2020)视图, 也介绍了无关CISQ的一些信息, 这次又是一个CISQ的视图, 不禁让人有些惊奇。

  • 上面是CWE-1340 CISQ 数据保护检测视图的具体内容:

  • CWE-1340 CISQ 数据保护检测视图的节点分类信息汇总:

节点类型阐明详见:话说CWE 4.2的新视图

2.2. CISQ主动源码数据保护检测工作组

CWE-1340 CISQ 数据保护检测视图 是CISQ的一个"主动源码数据保护检测(AUTOMATED SOURCE CODE MEASURE FOR DATA PROTECTION)"工作组,组织制订的,咱们来看下这个工作组的一些次要信息。

  • 工作指标

这个工作组创立的目标是为了, 依据一组相干的软件弱点(CWE), 创立一个主动源代码数据保护措施,该措施将用于反对企业和供应链在爱护数据、机密信息、知识产权和隐衷方面的需要。

  • 参加人员
  1. Dr. Bill Curtis, CISQ的创立者;
  2. Synopsys和CAST两个工具厂商的专家;
  3. MITRE、CGI的几位专家;
  4. 来自诺斯罗普·格鲁曼(Northrop Grumman)一位专家。 这个公司是世界第三大军火商,世界上最大的雷达制造商和最大的海军船只制造商。咱们相熟的B-2隐形轰炸机、RQ-4寰球鹰无人机、E2-C预警机等都是出自这个公司。
  • 标准制订的机理

标准通过蕴含与数据透露(未经受权的拜访能够读取/批改数据)相干的CWE, 来造成一个能够应用主动源代码检测的防备办法, 从而使数据保护措施成为一个能够落实到具体检测工具的爱护标准.

  • 标准的关联性

规范与GDPR、CCPA和CMMC高度相干,重点关注寻求恪守与数据保护和隐衷相干的监管指南的企业和软件弱点(CWE)与的相关性。许多组织为了承受与CMMC、GDPR、CCPA、ISO 27001、NIST SP 800-53 r5、NIST SP 800-171等相干的过程评估,在企业中对运行的零碎、设施、传输数据的软件进行代码扫描,以发现是否存在数据透露,从而揭示与流程评估相干的数据保护/隐衷管制是否失去了适当施行。

  • 标准的适用范围

能够为软件开发、第三方软件的验收测试和审核、以及独立验证和校验(Independence Verification & Validation(IV&V))的用例。

  • 标准的未来

作为后续工作,CISQ寻求使其与ISO/IEC 25000系列(25010软件产品品质特色)保持一致,以将数据保护指定为平安的子特色。

项目组是2020年5月开始工作,2020年12月向对对象治理组织(Object Management Group (OMG))提交了标准, 预计该措施将在2021年初成为OMG规范。OMG就是CISQ的背地的赞助组织, 是一个国际性、凋谢成员、非营利性技术标准联盟。OMG规范由供应商,用户,学术机构和政府机构推动,OMG工作组针对各种技术和更宽泛的行业制订企业集成规范。 可见这个标准刚刚实现制订(12月初),就立即(12月10号)被纳入了CWE的新版本中了。

2.3. 倡议的违规报告

在工作组的网站上还给出了一个倡议的违规报告, 如果这些工具给出了些软件弱点(CWE)相干的缺点, 则阐明软件中存在未经受权拜访以读取或批改数据的源中央,会存在数据透露或数据损坏的场景。 如果这些软件作为网络连接资产的一部分运行,则组织企业将面临不合乎CMMC、GDPR、CCPA或HIPAA监管要求的危险。

  • 报告中列举了违反以下标准的具体条目:
  1. NIST SP 800-171 Rev 2: 7 类, 20个规定;
  2. NIST SP 800-53: 7 类,19个规定;
  3. ISO/IEC 27001: 7 类,13个规定;

3. 次要波及法规和标准

从标准的关联性咱们能够晓得,为了满足或反对企业和供应链在爱护数据、机密信息、知识产权和隐衷方面的需要,参考了目前业界次要的法规或规范中与数据保护相干的局部,并把这些条例、规定或内容,映射成了一个能够通过工具检测的软件弱点(CWE),从而实现对数据保护可施行的自动检测措施。下边咱们对这些波及的法规或标准做个介绍。

3.1. 隐衷爱护

3.1.1. GDPR

通用数据保护条例(General Data Protection Regulation (GDPR)),旨在协调整个欧洲的数据隐衷法,以爱护和受权所有欧盟公民数据隐衷,并重塑整个地区的组织解决数据的形式隐衷。 GDPR于2018年5月25日失效,为组织提供了无关如何解决集体数据的框架。实用于向欧盟 (EU) 民众提供商品和服务的组织,或收集并剖析欧盟居民相干数据的组织。无论你或你的企业位于何处,都要恪守这些新规定。

GDPR 授予人们治理组织收集的集体数据的权限, 可通过数据主体申请 (Data subject requests(DSR)) 来行使这些权限。组织须要及时提供无关 DSR 和数据泄露的信息,并执行数据保护影响评估(Data Protection Impact Assessment (DPIA))。

  • 集体数据

是指与已辨认或可辨认的自然人(“数据主体”)相干的任何信息;可辨认的自然人是指能够间接或间接辨认的人,尤其是通过援用诸如名称、辨认号、地位数据、在线标识符或该自然人的身材、生理、遗传、精力、经济、文化或社会身份所特有的一个或多个因素。

  • 集体数据泄露

是指导致传输、存储或以其余形式解决的集体数据受到意外或非法毁坏、失落、更改、未经受权披露或拜访的违反平安之事宜。

  • 与应用程序安全性无关,并要求企业在其产品和服务的设计和开发过程中爱护集体数据的GDPR章节为
  1. 第25条,通过设计和默认形式进行数据保护-要求“控制者应采取适当的技术和组织措施,以确保默认状况下仅解决解决每个特定目标所需的集体数据。”
  2. 第32条,解决的安全性-要求企业爱护其零碎和应用程序“免受意外或非法毁坏、失落、更改、未经受权披露或拜访集体数据”。

3.1.2. CCPA

《California Consumer Privacy Act》, 简称《CCPA》。 加州是世界第五大经济体,与 GDPR 相似,CCPA 的影响范畴是全球性的。 在2020年1月1日,在加利福尼亚州开展业务的公司或组织将必须恪守该州严格的新隐衷法,该法律为每个加利福尼亚州居民建设了非法且可执行的隐私权,于2020年7月1日起正式施行。

  • 营利性企业如果收集加州居民的个人信息,并满足以下任何一条,则须要合规:
  1. 年营业额超过2500万美元;
  2. 购买、获取、销售达到或超过5万个消费者、家庭和设施的信息;
  3. 超过50%的年度营收由销售消费者个人信息取得
  • CCPA为加利福尼亚消费者的集体数据提供以下爱护:
  1. 所有权:爱护消费者有权通知企业不要共享或发售个人信息的权力;
  2. 管制:提供消费者对收集到的无关他们的个人信息的控制权;
  3. 平安:要求企业负责爱护个人信息。

3.1.3. GDPR vs CCPA

只管CCPA的范畴与GDPR有所不同,但它们都授予了消费者管制和否决其数据应用的相干权力。两项法规都要求公司平安地存储数据,对收集的集体数据类型放弃通明,并治理消费者删除集体数据的申请(“被忘记的权力”),这意味着可能从整个零碎的所有零碎中删除集体数据。相同之处包含:

  • 透明度/披露任务;
  • 消费者拜访、删除和接收数据正本的权力;
  • “服务提供商”的定义,它与 GDPR 定义具备相似合同任务的“解决者”的形式一样;
  • “公司”的定义,它蕴含了 GDPR 对“控制者”的定义。

CCPA 中最大的差异是,准许抉择不发售数据给第三方的这一外围要求(其中,“发售”狭义定义为蕴含共享数据来换取有值对价的行为)。 与拥护数据处理的狭义 GDPR 权力相比,该项任务范畴更窄且更具体,它蕴含此类型的“发售”,但并未特地局限于蕴含此类型的共享。 CCPA要求用户具备选择性退出的能力,而不是须要在收集个人身份信息(PII)之前取得明确批准的能力。

3.2. NIST Special Publication 800

SP800是美国NIST(National Institute of Standards and Technology)公布的一系列对于信息安全的指南(SP是Special Publications的缩写)。它们专门为美国联邦机构提供基线和框架,是联邦信息安全治理法案(FISMA)合规性的重要组成部分。
在NIST的规范系列文件中,尽管NIST SP并不作为正式法定标准,但在理论工作中,曾经成为美国和国内平安界失去宽泛认可的事实标准和权威指南。NIST SP800系列成为了领导美国信息安全治理建设的次要规范和参考资料。

大家器重这个框架有以下起因:

  • 它比ISO 27002略为全面,因为它包含抉择管制和评估安全性的过程(通过NIST SP 800-53A),以及修订版5中与隐衷相干的特定管制,这使得NIST 800系列简直成为一个现成的平安打算。
  • 许多美国组织更喜爱应用NIST框架。向联邦机构提供服务的组织,必须恪守NIST SP 800-171,该规范与NIST SP 800-53紧密结合。应用NIST SP 800-53作为初步或扩大到800-171合规性,是合乎逻辑的步骤。

目前,NIST SP 800系列曾经出版了近176个同信息安全相干的正式文件,造成了从打算、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系。

3.2.1. NIST SP800-53

2020/10/12, NIST SP 800-53:联邦信息系统和组织机构的平安和隐衷管制(Security and Privacy Controls for Information Systems and Organizations)。

随着计算机信息零碎和设施日益简单,2017年美国防迷信委员会(Defense Science Board(DSB))的网络威逼工作组提交的报告显示,对美国要害基础架构和反对工作必须的操作和公共和私营部门资产的信息系统中的破绽对系统的威逼更大。因而迫切需要一种更加被动和零碎的办法来应答美国的网络威逼,进一步增强国家在要害基础架构的每个部门中依赖的根底信息系统、组件产品和服务。 确保这些零碎、组件和服务足够值得信赖,并提供必要的弹性来反对美国的经济和国家平安利益。

2005年,NIST SP800-53公布,采取了积极主动的零碎办法来制订,并向宽泛的公共和私营部门组织提供针对所有人的计算平台提供全面保护措施。这些计算机系统包含:通用计算零碎、网络物理零碎、基于云的零碎、挪动设施、物联网(IoT)设施、武器零碎、空间零碎、通信零碎、环境控制系统、超级计算机和工业控制系统。这些保护措施包含施行平安和隐衷管制,以爱护组织的要害和必要操作和资产以及个人隐私。指标是使咱们依赖的信息系统具备更高的抗渗透性,限度攻打产生时的毁坏,使零碎具备网络弹性和生存能力,并爱护个人隐私。

NIST SP 800-53是一个独立的管制框架,为平安治理提供了全面的办法。它为信息系统和组织提供了平安和隐衷管制的目录(catalog),以爱护组织的经营和资产、集体、其余组织和国家免受各种威逼和危险的侵害,包含友好攻打、人为谬误、自然灾害、结构性威逼故障、外国情报实体和隐衷危险。并有助于确保信息技术产品和依赖这些产品的零碎具备足够的可信度。平安和隐衷管制目录以及基于危险的管制抉择过程的组合,能够帮忙组织恪守既定的平安和隐衷要求,为其信息系统取得足够的平安,并爱护个人隐私。

  • 这些控件是灵便且可自定义的,并作为组织范畴内的风险管理过程的一部分而施行;
  • 这些控件满足了从工作和业务需要、法律、行政命令、指令、法规、政策、规范和指南中得出的各种要求;
  • 控件目录从性能的角度(即控件提供的性能和机制)和保障的角度(即控件提供的安全性或隐衷性能的可信度)解决安全性和隐衷问题;
  • 控件独立于控件的应用过程。管制抉择过程能够是:组织范畴的风险管理过程、系统工程过程[SP 800-160-1],风险管理框架[SP 800-37]、网络安全框架[NIST CSF]或隐衷框架[NIST PF];
  • 能够依据许多因素来领导和告知管制抉择规范,包含工作和业务需要、利益相关者爱护需要、威逼,破绽以及恪守联邦法律、行政命令、指令、法规、政策、规范和准则。

目前订正版本Rev5,是2020/10/12公布。

3.2.2. NIST SP800-171

NIST SP 800-171: 爱护非联邦零碎和组织中的受控非密信息(Protecting Controlled Unclassified Information in Non federal Systems and Organizations)。
为响应无关治理受控未分类信息 (Controlled Unclassified Information(CUI)) 的治理命令 13556,公布了 NIST SP 800-171,爱护非 Federal 信息系统和组织中的受控未分类信息。 CUI 定义为数字和物理信息,由政府 (或代表其实体创立) 尽管未分类,但仍敏感且须要爱护。
NIST SP 800-171是NIST SP 800-53的一个子集,与特定的过程要求一起。NIST SP 800-171在附录中包含了与NIST CSF和NIST SP 800-53的管制映射。
NIST SP 800-171 最后于 2015 年 6 月公布,尔后为了响应一直变动的网络威逼,已进行了屡次更新。2020/02/21 公布Rev2。

它提供无关如何平安拜访、传输 CUI 以及将 CUI 存储在非信息系统和组织的准则;其要求分为四个次要类别:

  • 用于治理和爱护的控件和过程;
  • 监督和治理 IT 零碎;
  • 针对最终用户的清晰做法和过程;
  • 技术和物理安全措施的施行。

3.3. 网络安全成熟度模型认证(CMMC)

美国国防部(The United States Department of Defense(US DoD)) 每年在都须要为美军进行多达$1.8万亿的巨量武器洽购, 这些洽购波及30万个国防部国防工业基地(Defence Industry Base(DIB))供应商。这些洽购流动是在各种不同的数字平台上实现的。如果这些DIB的网络系统收到攻打,则可能对DIB承包商带来经济影响,进而影响到国防部供应链中产品和服务的流动,并可能影响一线作战力量。

为了网络进攻要求,于是出台了国防联邦洽购要求补充(Defence Federal Acquisition Requirements Supplement (DFARS))。DFARS是一套全面的要求,列出了向美军洽购和供给产品与服务的冀望。定义了施行NIST(SP)800 – 171(以后修订版2)的必要性,其中具体介绍了NIST(SP)800-171的一系列网络安全实际爱护受控未分类信息(Controlled Unclassified Information(CUI))。所有CUI类别均在美国国家档案局管制的未分类信息(CUI)注册表中进行了形容。 依据DFARS 252.204-7012的规定,DIB承包商及其分包商应自2017年12月31日起恪守NIST(SP)800 – 171规定。

然而这个一个要求并未齐全满足确保国防部供应商已施行适当网络安全实际的要求。为了解决这个问题,国防部于2019年提出了DFARS正式案例– D041“策略评估和网络安全认证要求”。启动程序以施行一种办法来评估国防部承包商对NIST(SP)800 – 171的恪守状况以及对受控非保密信息(CUI)的爱护。为此,在2019年5月底对单干的钻研机构卡内基梅隆大学和约翰霍普金斯大学利用物理实验室有限责任公司提出了整合现有体系规范,开发网络安全成熟度模型认证(Cybersecurity Maturity Model Certification(CMMC))框架的要求,将要爱护的信息数据类型和敏感性以及相干的威逼范畴相结合,造成来自多个网络安全规范、框架和其余参考的成熟流程和网络安全最佳实际。

CMMC解决了DFARS的监督和保障的空白,CMMC打算将须要对DIB承包商进行独立的网络安全评估,而后能力实现实用的DoD合同。第三方评估机构(C3PAO)的认证和CMMC评估人员的认证。它将实用于所有30万家寰球承包商,美国国防部将仅承受通过认可的C3PAO组织的CMMC评估,因而承包商将必须确认他们合乎国防部在建议书(RFP)中定义的网络安全成熟度级别。

网络安全成熟度模型认证(CMMC)框架蕴含:

  • 17个功能域,43个性能
  • 跨五个级别的5个流程来掂量流程的成熟度;
  • 跨五个级别的171个实际以掂量技术能力。

CMMC 成熟度过程使网络安全流动制度化,以确保它们是统一的、可反复的和高质量的。

  • 成熟度等级过程形容:

  • CMMC 1.0 与NIST SP800-171对应表

3.4. [ISO 27001]

信息安全治理要求ISO/IEC27001的前身为英国的BS7799规范,该规范由英国规范协会(BSI)于1995年2月提出,并于1995年5月订正而成的。1999年BSI从新批改了该规范。BS7799分为两个局部:

  • BS7799-1,信息安全治理施行规定。第一局部对信息安全治理给出倡议,供负责在其组织启动、施行或保护平安的人员应用;
  • BS7799-2,信息安全管理体系标准。第二局部阐明了建设、施行和文件化信息安全管理体系(ISMS)的要求,规定了依据独立组织的须要应施行安全控制的要求。

它提供了一套综合的、由信息安全最佳常规组成的施行规定,其目标是作为确定工商业信息系统在大多数状况所需管制范畴的参考基准,实用于大、中、小组织。
2000年12月,BS7799-1:1999《信息安全治理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC 17799:2000《信息技术-信息安全治理实施细则》,起初该规范已升版为标准版。

规定了在组织范畴内建设,施行,保护和继续改良信息安全管理系统的要求。 它还包含针对组织需求量身定制的信息安全危险评估和解决要求。 ISO/IEC 27001:2013中列出的要求是通用的,旨在实用于所有组织,无论类型,规模或性质如何。

该标准规定了一个组织建设、施行、运行、监督、评审、放弃、改良信息安全管理体系的要求;它基于风险管理的思维,旨在通过继续改良的过程(一个基于“打算、执行、查看、口头”(PDCA 模型)使组织达到无效的信息安全。该规范应用了和 ISO 9001、ISO 14001 雷同的管理体系过程模型,是一个用于认证和审核的规范。

  • ISO27001 规范要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个档次形成的:

  • 信息安全手册:该手册由信息安全委员会负责制订和批改,是对信息安全管理体系框架的整体形容,以此表明确定范畴内ISMS 是依照ISO27001 规范要求建设并运行的。信息安全手册蕴含各个一级文件。
  1. 一级文件:全组织范畴内的信息安全方针,以及上司各个方面的策略方针等。一级文件至多包含(可能不限于此):信息安全方针危险评估报告适用性申明(SoA)
  2. 二级文件:各类程序文件。至多包含(可能不限于此):危险评估流程风险管理流程危险解决打算治理评审程序信息设施管理程序信息安全组织建设规定新设施管理程序外部审核程序第三方和外包治理规定信息资产治理规定工作环境平安治理规定介质解决与平安规定零碎开发与维护程序业务连续性管理程序法律合乎性治理规定信息系统平安img审计规定文件及资料控制程序安全事件解决流程。
  3. 三级文件:具体的作业指导书。形容了某项工作具体的操作步骤和办法,是对各个程序文件所规定的畛域内工作的细化。
  4. 四级文件:各种记录文件,包含施行各项流程的记录成绩。这些文件通常体现为记录表格,应该成为ISMS 得以继续运行的无力证据,由各个相干部门自行保护。
  • ISO27001的3个内容:
  1. 14个管制畛域
  2. 39个控制目标
  3. 133个控制措施

4. [总结]

  • CWE-1340 CISQ 数据保护检测视图, GDPR、CCPA和CMMC高度相干,并重点寻求通过软件弱点(CWE)来恪守与数据保护和隐衷相干的监管指南的企业的相关性;
  • 代码扫描工具能够通过检测CWE-1340 CISQ 数据保护检测视图中对应的软件弱点(CWE), 从而发现零碎或设施是否存在数据/隐衷透露;
  • 这样的扫描将揭示与流程评估相干的数据保护/隐衷管制是否失去了适当施行;
  • 这样的扫描能够满足CMMC、GDPR、CCPA、ISO 27001、NIST SP 800-53 r5、NIST SP 800-171等相干的过程评估;
  • 这个的扫描能够实现工具对数据保护/隐衷管制的自动化检测。

5. [参考]

  • CISQ主动源码数据保护检测工作组
  • General Data Protection Regulation
  • California Consumer Privacy Act
  • Cybersecurity Maturity Model Certification
  • NIST.SP.800-53r5
  • NIST.SP.800-171r2
  • 2020-02-27 网络安全成熟度模型 (CMMC) 解读:美国防部网空防御能力的重要改革

本文分享自华为云社区《话说CWE 4.3的新视图 - 数据保护查看》,原文作者:Uncle_Tom 。

点击关注,第一工夫理解华为云陈腐技术~