◆魯 立

（廣州賽寶認(rèn)證中心服務(wù)有限公司 廣東 510610）

系統(tǒng)安全工程原則

◆魯 立

（廣州賽寶認(rèn)證中心服務(wù)有限公司 廣東 510610）

系統(tǒng)安全工程原則是ISO/IEC 27001：2013引入的新控制項(xiàng)，但該控制項(xiàng)的具體要求并不明確，如何操作，在何種情況下可以刪減，也給即將導(dǎo)入ISO27001：2013的企業(yè)，以及計(jì)劃從ISO27001：2005轉(zhuǎn)版到ISO27001：2013的企業(yè)帶來了很大的困惑。

信息安全；系統(tǒng)安全工程原則

0 引言

ISO/IEC 27001：2013的發(fā)布為信息安全管理引入了一些新的控制項(xiàng)，有的控制項(xiàng)一目了然，如A.14.2.6安全的開發(fā)環(huán)境，也有的控制項(xiàng)讓人覺的似是而非，例如A.14.2.5系統(tǒng)安全工程原則。在ISO/IEC 27002：2013中建議宜建立基于安全工程原則的安全信息系統(tǒng)工程規(guī)程，形成文件并應(yīng)用于內(nèi)部信息系統(tǒng)的工程活動。安全宜覆蓋到所有架構(gòu)層（業(yè)務(wù)、數(shù)據(jù)、應(yīng)用和技術(shù)）之中，以平衡信息安全需求和訪問需求。宜針對安全風(fēng)險(xiǎn)，分析新技術(shù)，并針對已知的攻擊模式，評審相應(yīng)的設(shè)計(jì)。那么內(nèi)部信息系統(tǒng)的工程活動是什么，以目前廣為接受的概念來描述就是系統(tǒng)集成，即新的信息系統(tǒng)與已有信息系統(tǒng)的系統(tǒng)集成。

一般認(rèn)為ISO27001：2013的A.14控制項(xiàng)是與ISO27001：2005的A.12控制項(xiàng)相對應(yīng)的，而ISO27001：2005的A.12有哪些控制項(xiàng)是與該控制項(xiàng)相關(guān)的呢？答案是A.12.2.1輸入數(shù)據(jù)確認(rèn)、A.12.2.2內(nèi)部處理的控制、A.12.2.3消息完整性、A.12.2.4輸出數(shù)據(jù)確認(rèn)。這四個控制項(xiàng)都是用于確認(rèn)組織的新信息系統(tǒng)與已有信息系統(tǒng)集成時(shí)能夠正確的運(yùn)行。那么四個控制項(xiàng)整合為一個控制項(xiàng)是控制更簡單了嗎？答案是否定的。表面上看要求很清晰，有原則就可以，但系統(tǒng)安全工程原則的概念很寬泛，這個概念最初是2004年由美國馬里蘭州的國家標(biāo)準(zhǔn)與技術(shù)研究所（csrc.nist.gov）提出的來自NIST Special Publication 800-27-“信息安全技術(shù)的工程原則（實(shí)現(xiàn)安全的基線）”。雖然27001與27002并沒有直接提到這個技術(shù)文檔，但事實(shí)上它們描述的是同一個控制內(nèi)容。

NIST SP 800-27 一共包含33條信息技術(shù)安全原則，這些原則可以被歸為6類

1 Security Foundation 安全基礎(chǔ)（框架）

1.1 建立安全策略作為設(shè)計(jì)的基礎(chǔ)；

1.2 把安全當(dāng)作整個系統(tǒng)設(shè)計(jì)的一個組成部分；

1.3 由關(guān)聯(lián)的安全策略控制物理和邏輯安全邊界；

1.4 確保對開發(fā)人員培訓(xùn)如何開發(fā)安全的軟件。

2 Risk Based 基于風(fēng)險(xiǎn)管控

2.1 將風(fēng)險(xiǎn)降低到可接受的水平；

2.2 假定外部系統(tǒng)是不安全的；

2.3 評估增加費(fèi)用以降低風(fēng)險(xiǎn)或接收風(fēng)險(xiǎn)從而降低費(fèi)用；

2.4 針對組織的信息安全目標(biāo)制定系統(tǒng)安全措施；

2.5 在信息的存儲、處理、傳輸過程中保障信息安全；

2.6 考慮定制產(chǎn)品，以實(shí)現(xiàn)充分的安全性；

2.7 保護(hù)系統(tǒng)免受所有可能類型的攻擊。

3 Ease of Use 易用性

3.1 在可能的情況下，基于開放標(biāo)準(zhǔn)實(shí)現(xiàn)兼容性和可操作性；

3.2 在定制安全要求時(shí)采用通用語言；

3.3 系統(tǒng)的安全設(shè)計(jì)需考慮允許后期由于新安全技術(shù)或處理邏輯升級；

3.4 爭取業(yè)務(wù)的易用性。

4 Increase Resilience 增加彈性

4.1 實(shí)施分層安全（確保沒有單點(diǎn)故障）；

4.2 設(shè)計(jì)和操作信息系統(tǒng)實(shí)現(xiàn)限制損害并在響應(yīng)中有彈性；

4.3 為彈性面對預(yù)期的威脅提供持續(xù)保證系統(tǒng)；

4.4 限制或容忍系統(tǒng)缺陷；

4.5 隔離關(guān)鍵資源的公共訪問（包括數(shù)據(jù)、流程）；

4.6 使用邊界機(jī)制隔離計(jì)算機(jī)系統(tǒng)以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施；

4.7 設(shè)計(jì)和實(shí)施審計(jì)機(jī)制來檢測非授權(quán)的使用并支持事件調(diào)查；

4.8 開發(fā)并運(yùn)行應(yīng)急或?yàn)?zāi)難恢復(fù)程序，以確保適當(dāng)?shù)目捎眯浴?/p>

5 Reduce Vulnerabilities 減少脆弱性

5.1 盡可能簡化系統(tǒng)；

5.2 為實(shí)現(xiàn)可信盡可能最小化系統(tǒng)組件；

5.3 實(shí)現(xiàn)最小訪問權(quán)；

5.4 避免導(dǎo)入非必要的安全機(jī)制；

5.5 為關(guān)機(jī)或處置系統(tǒng)確定適當(dāng)?shù)陌踩源胧?/p>

5.6 識別和預(yù)防常見的錯誤和漏洞。

6 Design with Network in Mind 以互聯(lián)網(wǎng)思維設(shè)計(jì)

6.1 通過結(jié)合分布式物理結(jié)構(gòu)和邏輯結(jié)構(gòu)實(shí)現(xiàn)安全；

6.2 制定安全措施，以解決多個重疊的信息域；

6.3 驗(yàn)證用戶和進(jìn)程，以確保適當(dāng)?shù)脑L問控制和跨域身份驗(yàn)證；

6.4 使用用戶的唯一標(biāo)識

由此可見，實(shí)際上ISO27001：2013是將原有的四個控制項(xiàng)重整擴(kuò)張為了33項(xiàng)，雖然在這些原則中只有很少可以說是新的的原則，但導(dǎo)入這些原則并且將它們用作檢查表從而確定符合組織信息安全目標(biāo)的系統(tǒng)集成非常有意義。并且27001標(biāo)準(zhǔn)鼓勵組織依據(jù)自己的需要裁剪它們從而更適合組織的實(shí)際情況，所以，合適的系統(tǒng)安全工程原則應(yīng)當(dāng)與組織的實(shí)際情況相符，例如金融組織，通常會為其系統(tǒng)接口制定加密規(guī)范、數(shù)據(jù)處理精確到小數(shù)點(diǎn)后多少位，系統(tǒng)時(shí)間以哪一個授時(shí)服務(wù)器為時(shí)鐘源等等原則，所有新建的信息系統(tǒng)都必須遵循這些信息系統(tǒng)安全工程原則。再例如地理信息數(shù)據(jù)處理組織，通常會為其系統(tǒng)接口制定數(shù)據(jù)存儲，數(shù)據(jù)交換分塊大小等等原則，且這些原則不能違反相關(guān)的國家標(biāo)準(zhǔn)，如《GB 21139-2007基礎(chǔ)地理信息標(biāo)準(zhǔn)數(shù)據(jù)基本規(guī)定》等。

那么哪些組織可以在適用性聲明中定義這項(xiàng)控制項(xiàng)為不適用呢。判斷的依據(jù)是不采用這項(xiàng)控制項(xiàng)是否影響組織實(shí)現(xiàn)其信息安全目標(biāo)，例如對于一些小型的企業(yè)，這個控制項(xiàng)是不適用的，因?yàn)檫@些企業(yè)的信息系統(tǒng)特點(diǎn)是：（1）系統(tǒng)數(shù)量少，可能僅有OA、郵箱、財(cái)務(wù)系統(tǒng)；（2）系統(tǒng)間關(guān)系松散，不需考慮各系統(tǒng)間的數(shù)據(jù)交換；（3）逐步趨向采用PaaS或SaaS的方式替代企業(yè)自有信息系統(tǒng)，如采用釘釘、QQ企業(yè)郵箱，從而節(jié)約公司自身的硬件投入以及維護(hù)成本；同時(shí)對于開箱即用的軟件，組織也不需要導(dǎo)入安全工程原則。

對于適用此控制項(xiàng)的組織可以基于軟件開發(fā)生命周期的每一部分都定義安全技術(shù)形成程序文件：項(xiàng)目啟動及計(jì)劃-功能需求確認(rèn)-系統(tǒng)詳細(xì)設(shè)計(jì)-編碼-驗(yàn)收-編譯及安裝；它應(yīng)該包含基于組織業(yè)務(wù)、數(shù)據(jù)、應(yīng)用和技術(shù)的所有內(nèi)容。且規(guī)定其評審流程、責(zé)任部門，這些原則應(yīng)形成文件并評審。對組織的這些措施同樣應(yīng)該考慮應(yīng)用到可能的外包過程，通過合同或其它協(xié)議實(shí)現(xiàn)。

[1]ISO/IEC 27001：2013 Information technology – Security techniques – Information security management systems –Requirement．

[2]ISO/IEC 27002：2013 Information technology – Security techniques – Code of practice for information security controls．

[3]NIST Special Publication 800-27 Rev A：Engineering Principles for Information Technology Security（A Baseline for Achieving Security），Revision A．