18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?
作为安全人员,该如何推动公司整体的安全体系建设
安全标准和框架有哪些?
国内的安全和标准框架,就是等保。
在国外,比较知名的安全标准和框架包括:ISO27000 系列、NIST、COBIT 和 ITIL。
ISO27000 系列是国际上比较认可的安全标准之一。它提供了兼容性极高的安全体系和信息安全管理的最佳实践指导。但是,ISO27000 系列更关注于方向上的指导,没有覆盖具体的实施细节,所以无法作为技术手册来使用。
COBIT( Control Objectives for Information and related Technology)则是给安全管理者提供了一个内控的框架,它本身更关注于内控和审计。
ITIL( Information Technology Infrastructure Library )。ITIL 是一个提升服务质量的标准框架,而安全只是影响服务质量的一个因子。因此,ITIL 会更多地考虑如何提高公司的研发和管理效率,在机密性、可用性和完整性上只给予了比较基本的关注。
以上这些安全标准和框架,除了能对企业的安全建设进行指导,也提供了测评的服务。
现有安全标准和框架有哪些可以借鉴的地方?
·1、等保:为什么安全体系建设要区分管理与技术?
技术要求:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心; 管理要求:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
从这些分类中,我们可以看出,等保的大体思路是将安全分为了管理和技术。我们之前就讲过,安全往往是需要自上而下来推动的。因此,安全并不是一个纯技术的“活”,它也需要在管理层面上作出改进。比如,等保要求公司必须要成立专门的安全管理机构,安排专门的安全管理人员,这样才有人能够对公司的整体安全来负责,去推动安全的落地。
2. ISO27001:如何通过 PDCA 流程进行规划安全建设?
ISO 的一系列框架和标准其实都遵循 PDCA 流程,PDCA 也是项目管理上经常被提到的管理方法。这里我就简单说一下。
Plan:计划,确定安全的目标并制定建设的规划。
Do:执行,按照计划的内容和时间来执行。
Check:检查,对执行的结果进行总结,看是否符合预期。
Action:改进,如果执行不符合预期,或者计划出现纰漏,则进行分析和改进。
那 PDCA 流程如何应用在安全体系的建设中呢?这里,我就举一个公司在做 ISO27001 例子。
Plan:认证机构会先到公司进行调研和培训,然后和公司一块制定一个详细的安全规划。
Do:公司会花几个月的时间,去执行这些规划。
Check:完成之后,认证机构再次去公司进行回访,评估完成的情况。
Action:如果达到预期,则通过认证;否则继续计划、执行、检查的操作。
3. NIST:如何通过 IPDRR 建立纵深防御?
以 Web 安全为例,结合 IPDRR 方法的五个步骤,来详细讲解一下,针对 Web 应用中可能出现的各种漏洞,我们该如何建立安全防护体系。
第一步是 Identify(识别)。我们需要掌握公司有哪些 Web 应用,并对 Web 应用做威胁评估。也就是说,我们需要定位公司的资产,衡量这些资产的价值,然后评估资产保护的优先级和投入成本。
第二步是 Protect(保护)。我们要在安全事件发生之前,对数据和资产采取适当的保护措施。(比如:通过访问控制机制来避免越权访问、通过加密来保护数据的 CIA、通过防火墙保护内网隔离等)。在开发上,我们需要采用安全的方法,尽量避免漏洞出现。同时,我们可以部署 WAF 等安全工具,统一对 Web 攻击进行防护检测。
第三步是 Detect(检测)。在安全事件发生之中或者之后,我们要能及时发现和检测出安全事件或者攻击行为。这就需要对请求的日志和返回的结果进行分析,评估是否产生攻击行为和数据泄露。
第四步是 Respond(响应)。当检测到安全事件后,我们需要采取有效的措施,来阻止攻击的持续进行,尽可能地降低事件所带来的影响。我认为最可行的操作,就是对出现漏洞的 Web 业务进行下线,对已经受到影响的数据进行隔离。这也要求我们制定好详细的应急预案,避免攻击发生时公司陷入手忙脚乱的无序状态。
第五步是 Recover(恢复)。当事件响应完成后,我们要将应用或者服务恢复到攻击前的状态,也就是对应用和数据进行修复和重新上线。同时,也要对事件的原因进行复盘分析,然后进一步完善安全机制。
总结
等保:
介绍:根据公司的安全性高低,划分了由一到五的等级,等级越高,说明公司的安全水平越高,越被政府认可
可借鉴思路:将安全分为管理与技术
ISO27001
是国际上比较认可的安全标准之一,更关注于方向上的指导,没有覆盖具体的实施细节,无法作为技术手册来使用
可借鉴思路:遵循PDCA流程
NIST
被称为美国版等保。所以除了美国政务之外,NIST很少被使用
可借鉴思路:IPDRR方法框架