8.8 監視安全態勢（PEN_MSP）

8.8.1　安全保障工程目的

監視安全態勢的目的在于保證標識出并報告所有的安全違規、已嘗試過的違規或能夠潛在地導出安全違規的錯誤。監視外部和內部環境可能影響系統安全的所有因素。
監視安全態勢的目標是：
a) 探測和跟蹤與內部和外部安全有關的事件。
b) 根據策略，響應突發事件。
c) 根據安全目標，標識并處理對運行安全態勢的修改。
圖17描述了監視安全態勢（PEN_MSP）安全工程保障控制子類組成結構。
.

8.8.2　PEN_MSP.1 分析事件記錄

8.8.2.1　安全工程保障控制組件控制

分析事件記錄以確定事件出現的原因，事件是如何被處理的以及將來可能出現的事件。
檢測安全相關性信息的歷史和事件記錄（包括日志記錄）。通過多條記錄中的相關事件所用元素，應該能標識出感興趣的事件。多條事件記錄然后可以融和為一條事件記錄。

8.8.2.2　安全工程保障控制組件注解

許多審計記錄可能包含與單個事件有關的信息。在分布式網絡化環境中尤其如此。一個事件在跨越網絡多個位置時常常留下蹤跡。為了保證單獨的記錄對于完整地理解事件及其行為是有價值和有貢獻的，單獨的日志記錄需要進行組合或融和為單個的事件記錄。
可以對單個記錄和多個記錄進行分析。對相同類型的多個記錄分析經常使用統計或趨勢分析技術。雖然通常是對相同類型事件進行多事件記錄，但也可以根據日志記錄和事件（融和）記錄對不同類型的多個記錄進行分析。
報警，即基于單個事件根據出現采取行動的需求，應該根據日志記錄和融和的事件記錄來確定。分析也包括來自于開發環境的日志和事件記錄。
工作產品示例：
a) 描述每個事件――標識出每個探測到的事件的來源、影響和重要性。
b) 建立日志記錄和來源――從各種來源生成安全相關事件的記錄。
c) 事件標識參數――描述事件是否由系統的各個部分進行收集。
d) 列出所有目前的單個日志記錄報警狀態――標識根據單個日志記錄采取行動的所有要求。
e) 列出所有目前的單個事件報警狀態――找出根據事件采取行動的所有要求，這些事件由多個日志記錄形成。
f) 定期報告已出現的所有報警狀態――將從多個系統得到的報警列表進行綜合處理并作初步分析。
g) 日志分析和歸納――對最近出現的報警進行分析并報告基本流量的結果。

8.8.3　PEN_MSP.2 監視變化

8.8.3.1　安全工程保障控制組件控制

監視威脅、脆弱性、影響、風險和環境方面的變化。
查找可能影響當前安全狀態有效性的任何變化，不管這種影響是正面的還是負面的。
任何系統實現的安全應該與威脅、脆弱性、影響和風險相關聯，因為它們與系統的內部和外部環境有關。這些因素沒有一個是靜態的，而變化既影響有效性，也影響適應性。必須監視所有因素的變化，并分析這些變化以評估它們對安全有效性的意義。

8.8.3.2　安全工程保障控制組件注解

開發和運行環境與內部和外部來源一起被檢查。
當注意到情況發生變化時通常應該觸發一種響應，檢查風險分析或其他部分，參見PRM_AVL“評估運行安全風險”。
工作產品示例：
a) 變化報告――標識出任何可能影響系統安全狀態的內部或外部變化。
b) 對變化的意義進行定期評估――對安全狀態的變化進行分析，確定它們的影響和作出響應的需要。

8.8.4　PEN_MSP.3 標識安全突發事件

8.8.4.1　安全工程保障控制組件控制

標識與安全相關的突發事件。
確定是否發生了一個有關安全的突發事件，標識出事件詳細情況并且必要時提出報告。有關安全的突發事件可利用歷史事件的數據、系統配置數據、完整性工具和其它系統信息診斷出來。由于某些突發事件會經過一個長周期時間后才出現，因此這種分析可能涉及到與前系統狀態進行比較。

8.8.4.2　安全工程保障控制組件注解

安全突發事件在開發和運行環境中都可能發生。這些突發事件能夠以不同方式影響正在開發或運行的系統。對付黑客或惡意代碼（病毒、蠕蟲等等）采用預謀的技術攻擊，需要一種不同于對抗隨機事件的方法。這要求對系統配置和狀態進行分析才能檢測出這類攻擊。應該準備、：測試和使用恰當的響應計劃。許多技術攻擊要求快速的、預先規定好的響應以將漫延的損失減至最小。在許多情況中，不協調的響應可能使情況變得更壞。在需要時，應該標識和定義響應計劃（PEN_COS.6）。
工作產品示例：
a) 突發事件清單和定義――標識出共同的安全突發事件并進行易于標識的描述。
b) 突發事件響應指南――描述對出現安全突發事件的恰當響應。
c) 突發事件報告――描述出現了什么突發事件及其全部的相關詳細情況，包括突發事件的來源、任何形式的危險、應采取的響應和需要進一步采取的行動。
d) 與探測到的每個入侵事件有關的報告――描述探測到的每個入侵事件并提供全部相關詳細情況，包括突發事件的來源、任何形式的危險、采取的響應和需要進一步采取的行動。
e) 周期性的突發事件的綜述——提供最近的安全突發事件的概述，指出趨勢，要求更為安全的區域以及降低安全可能節約的經費。

8.8.5　PEN_MSP.4 監視安全防護措施

8.8.5.1　安全工程保障控制組件控制

監視安全防護措施的性能和功能有效性。
檢測安全防護措施的執行情況，以便標識出安全防護措施執行中的變化。

8.8.5.2　安全工程保障控制組件注解

應該對安全防護措施保護開發和運行環境的情況進行監視。許多安全防護措施在使用后處于不恰當的或無效的狀態。許多安全防護措施提供它們當前狀態、有效性和維護要求的指示。所有的這三個方面都需要定期的進行復查。
工作產品示例：
a) 定期安全防護狀態――描述現有安全防護措施的狀態，目的在于探測出可能的錯誤配置或其它問題。
b) 定期安全防護措施狀態綜述――提供一份現有安全防護措施的狀態綜述，指出趨勢、需要改進的地方和降低安全可能節約的經費。

8.8.6　PEN_MSP.5 評審安全態勢

8.8.6.1　安全工程保障控制組件控制

評審系統安全態勢以標識必要的修改。
一個系統的安全態勢要經受基于威脅環境、運行要求和系統配置出現的變化。本實施在于復查實施安全的理由，并根據其它的規則檢查需要安全的地方。

8.8.6.2　安全工程保障控制組件注解

安全態勢的評審應該根據當前運行環境和已經出現的變化情況進行。如果出現其它事件，比如情況變化，沒有完整的安全評審，那么就應該根據上次檢查以來經歷的時間長短，啟動新的評審。啟動評審的時間間隔應該遵從恰當的策略和規則。評審應該引起重新評估目前安全的充足性和當前可接受風險級別的合理性。評審應該基于安全評估的組織方法，可以參考PRM_AVL “評估安全風險”。以同樣的方式評審運行環境，創造系統的開發環境也應該定期地進行評審。事實上，開發環境也可以認為是系統開發的運行環境。
工作產品示例：
a) 安全評審――包括描述當前安全風險環境，現有的安全態勢和對這兩者是否兼容進行的分析。
b) 風險容忍評審――由適當的正式授權機構提供報告，以表明運行該系統有關的風險是可以接受的。

8.8.7　PEN_MSP.6 管理安全突發事件響應

8.8.7.1　安全工程保障控制組件控制

管理對有關安全突發事件的響應。
在許多情況中，系統的連續可用性是非常關鍵的。由于許多事件不能預防，因而對破壞的響應能力是至關重要的。應急計劃要求標識出系統失效的最長時間；標識出系統正常工作的基本元素；標識出并開發一個可恢復策略和計劃；測試這個計劃；維護這個計劃。
在某些情況中，應急措施可能包括對突發事件的響應和與敵方代理（例如：病毒、黑客等等）的對抗。

8.8.7.2　安全工程保障控制組件注解

未來的事件是不可預測的，但是要使它們不引起混亂，那么就必須管理它們。如果事情發生在預先標識之外，那么商務管理決策水平也應提高。
工作產品示例：
a) 系統恢復優先級清單――包括對系統功能在突發事件引起失效時的保護和恢復順序的描述。
b) 測試時間表――包括系統周期性測試的日期，以保證與安全有關的功能和過程是可運行的和成熟的。
c) 測試結果――描述周期性測試的結果以及為保持系統安全應采取的行動。
d) 維護時間表――包括對所有系統維護（指更新和預防）的日期，典型情況是與測試時間表結合起來。
e) 突發事件報告――描述出現了什么樣的突發事件及其全部的相關詳細情況，包括突發事件的來源、任何形式的危害防護措施、采取的響應和進一步要求的行動。
f) 定期檢查――描述系統安全的定期檢查期間執行的過程，包括誰參與了檢查、作了什么檢查和包含什么結果。
g) 應急計劃――標識系統失效的最長可接受時間、系統運行的基本元素、系統恢復的策略及計劃、重新開始的商務、狀態的管理以及計劃的測試及維護過程。

8.8.8　PEN_MSP.7 保護安全監視的記錄數據

8.8.8.1　安全工程保障控制組件控制

確保與安全監視有關的記錄數據得到適當的保護。
如果監視活動的成果不可信任，那么監視活動就沒有價值。監視活動包括封存和歸檔相關的日志、審計報告和相關分析結果。

8.8.8.2　安全工程保障控制組件注解

包括審計在內的大多數監視活動都產生結果數據，這種結果數據可以直接發揮作用，或者記錄在案供以后分析和進一步采取行動。日志的內容應該設計成有助于理解在突發事件期間出現了什么，并探測出趨勢和可能發生的變化。輸出日志應該按與所用的策略和規則相一致的原則進行管理。日志必須是可靠的和受到保護的，能抗篡改或偶然破壞。當日志存貯區被填滿時，它必須換一個新日志存貯區或者將它清空。當日志改變時，任何不需要的記錄都應被刪除并執行其它需要的刪簡動作。日志應該封存以阻止不可探測的任何修改，還應該在法律保護期間內歸檔。
工作產品示例：
a) 列出全部歸檔的日志和相應的保存周期――標識出與安全監視有關的活動應該存貯，以及什么時候進行處理。
b) 應提交歸檔的日志的定期現場檢查結果――描述任何損失的報告并標識出恰當的響應。
c) 歸檔日志的使用――標識歸檔日志的使用者，包括訪問時間、目的及任何注解。
d) 定期檢查隨機選擇的歸檔日志的有效性和可利用性結果―― 分析隨機選取的日志并確定它們是否完整、正確和有用，以保證對系統安全的充分監視。