從這一講開始，我們討論安全防御工具。實(shí)際上，每個(gè)公司都需要進(jìn)行安全體系建設(shè)，業(yè)內(nèi)將這些通用性的建設(shè)經(jīng)驗(yàn)進(jìn)行總結(jié)，形成了各種安全標(biāo)準(zhǔn)和框架。從這些標(biāo)準(zhǔn)和框架中，我們能了解到建設(shè)安全體系的思路和方向，對(duì)于實(shí)際的安全落地工作，有很大的指導(dǎo)作用。

根據(jù)安全等級(jí)和關(guān)注點(diǎn)的不同，不同的安全標(biāo)準(zhǔn)和框架都有各自的具體要求。這些要求都非常簡(jiǎn)單直接，也很容易理解，所以，這不是我們要講解的重點(diǎn)。在今天的課程中，我更想通過這些標(biāo)準(zhǔn)和框架的設(shè)計(jì)思路來講一講，作為公司的安全人員，該如何推動(dòng)公司整體的安全體系建設(shè)。

▌安全標(biāo)準(zhǔn)和框架有哪些？

首先，我們來看看，安全標(biāo)準(zhǔn)和框架都有哪些。

國內(nèi)的安全標(biāo)準(zhǔn)和框架，就是我們常聽到的等級(jí)保護(hù)制度（方便起見，后文都簡(jiǎn)稱“等保”）。等級(jí)保護(hù)根據(jù)公司的安全性高低，劃分了由一到五這五個(gè)等級(jí)。每個(gè)等級(jí)都有需要滿足和達(dá)標(biāo)的安全要求。等級(jí)越高說明公司的安全水平越高，越被政府認(rèn)可。安全等級(jí)三級(jí)以上的公司，還會(huì)受到國家信息安全監(jiān)管部門的監(jiān)督和檢查。

在國外，比較知名的安全標(biāo)準(zhǔn)和框架包括：ISO27000 系列、NIST、COBIT 和 ITIL。接下來，我們一一來講。

我們前面講了等級(jí)保護(hù)制度，實(shí)際上，NIST 也被稱為“美國版等保”。因?yàn)?NIST 是美國政府提出的，對(duì)公司的安全能力進(jìn)行監(jiān)督和管控的安全框架。但是，NIST 并未考慮公司在實(shí)施安全標(biāo)準(zhǔn)時(shí)需要付出的成本，所以除了美國政務(wù)之外，NIST 很少被使用。

而 ISO27000 系列和 COBIT 都是不包含具體實(shí)施細(xì)節(jié)的安全標(biāo)準(zhǔn)和框架。

其中，ISO27000 系列是國際上比較認(rèn)可的安全標(biāo)準(zhǔn)之一。它提供了兼容性極高的安全體系和信息安全管理的最佳實(shí)踐指導(dǎo)。但是，ISO27000 系列更關(guān)注于方向上的指導(dǎo)，沒有覆蓋具體的實(shí)施細(xì)節(jié)，所以無法作為技術(shù)手冊(cè)來使用。

COBIT（ Control Objectives for Information and related Technology）則是給安全管理者提供了一個(gè)內(nèi)控的框架，它本身更關(guān)注于內(nèi)控和審計(jì)。

最后，我們來看 ITIL（ Information Technology Infrastructure Library ）。ITIL 是一個(gè)提升服務(wù)質(zhì)量的標(biāo)準(zhǔn)框架，而安全只是影響服務(wù)質(zhì)量的一個(gè)因子。因此，ITIL 會(huì)更多地考慮如何提高公司的研發(fā)和管理效率，在機(jī)密性、可用性和完整性上只給予了比較基本的關(guān)注。

以上這些安全標(biāo)準(zhǔn)和框架，除了能對(duì)企業(yè)的安全建設(shè)進(jìn)行指導(dǎo)，也提供了測(cè)評(píng)的服務(wù)。測(cè)評(píng)的目的，一方面是幫助公司認(rèn)識(shí)到自身安全水平，另一方面也是公司對(duì)外宣傳的一個(gè)標(biāo)桿。比如說，國內(nèi)目前最流行的 ISO27001 測(cè)評(píng)。各個(gè)公司都會(huì)以通過了 ISO27001 測(cè)評(píng)，來對(duì)用戶和合作伙伴表明，自己的安全水平達(dá)到了一個(gè)比較成熟的高度。這就是一個(gè)對(duì)外宣傳的表現(xiàn)。

除此之外，等級(jí)保護(hù)制度作為國家標(biāo)準(zhǔn)，還具備規(guī)避和降低公司法律風(fēng)險(xiǎn)的能力。比如，當(dāng)公司出現(xiàn)了某個(gè)安全事件導(dǎo)致數(shù)據(jù)泄露，如果這個(gè)公司沒有做過“等保”的話，那么法院就可能認(rèn)為公司在安全上沒有盡到自己的職責(zé)，而根據(jù)《網(wǎng)絡(luò)安全法》給予這個(gè)公司很嚴(yán)厲的懲罰。但是，如果公司做了“等保”的話，法院可能會(huì)認(rèn)為公司有努力在做，只是仍然有缺陷，而不會(huì)給予非常嚴(yán)厲的懲罰。所以，完全不做“等保”和做了但不到位，處罰的標(biāo)準(zhǔn)就完全不同了。

▌現(xiàn)有安全標(biāo)準(zhǔn)和框架有哪些可以借鑒的地方？

▌1. 等保：為什么安全體系建設(shè)要區(qū)分管理與技術(shù)？

首先，我們來看一下等保的分類思路。等保對(duì)公司的安全要求劃分為了十類，分別是：

• 技術(shù)要求：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心；
• 管理要求：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

對(duì)于每個(gè)分類的具體含義，你通過名字應(yīng)該就能夠理解，這里我就不細(xì)說了。

從這些分類中，我們可以看出，等保的大體思路是將安全分為了管理和技術(shù)。我們之前就講過，安全往往是需要自上而下來推動(dòng)的。因此，安全并不是一個(gè)純技術(shù)的“活”，它也需要在管理層面上作出改進(jìn)。比如，等保要求公司必須要成立專門的安全管理機(jī)構(gòu)，安排專門的安全管理人員，這樣才有人能夠?qū)镜恼w安全來負(fù)責(zé)，去推動(dòng)安全的落地。

▌2. ISO27001：如何通過 PDCA 流程進(jìn)行規(guī)劃安全建設(shè)？

ISO27001 是國內(nèi)比較流行的安全評(píng)估認(rèn)證之一。它提出了 14 個(gè)不同的安全方向，分別是：

• 安全策略
• 信息安全組織
• 人力資源安全
• 資產(chǎn)管理
• 訪問控制
• 密碼學(xué)
• 物理和環(huán)境安全
• 操作安全
• 通信安全
• 系統(tǒng)獲取、開發(fā)和維護(hù)
• 供應(yīng)關(guān)系
• 信息安全事件管理
• 業(yè)務(wù)連續(xù)性管理中的信息安全考慮
• 符合性

可以看到，這個(gè)劃分還是很全面的。這些安全方向基本包括了安全行業(yè)內(nèi)的各個(gè)知識(shí)領(lǐng)域。在每個(gè)安全方向中，ISO27001 會(huì)列舉出公司需要完成的安全事項(xiàng)，我覺得你甚至可以依照這個(gè)標(biāo)準(zhǔn)來學(xué)習(xí)安全。

不僅如此，ISO 的一系列框架和標(biāo)準(zhǔn)其實(shí)都遵循 PDCA 流程，PDCA 也是項(xiàng)目管理上經(jīng)常被提到的管理方法。這里我就簡(jiǎn)單說一下。

• Plan：計(jì)劃，確定安全的目標(biāo)并制定建設(shè)的規(guī)劃。
• Do：執(zhí)行，按照計(jì)劃的內(nèi)容和時(shí)間來執(zhí)行。
• Check：檢查，對(duì)執(zhí)行的結(jié)果進(jìn)行總結(jié)，看是否符合預(yù)期。
• Action：改進(jìn)，如果執(zhí)行不符合預(yù)期，或者計(jì)劃出現(xiàn)紕漏，則進(jìn)行分析和改進(jìn)。

那 PDCA 流程如何應(yīng)用在安全體系的建設(shè)中呢？這里，我就舉一個(gè)公司在做 ISO27001 例子。

• Plan：認(rèn)證機(jī)構(gòu)會(huì)先到公司進(jìn)行調(diào)研和培訓(xùn)，然后和公司一塊制定一個(gè)詳細(xì)的安全規(guī)劃。
• Do：公司會(huì)花幾個(gè)月的時(shí)間，去執(zhí)行這些規(guī)劃。
• Check：完成之后，認(rèn)證機(jī)構(gòu)再次去公司進(jìn)行回訪，評(píng)估完成的情況。
• Action：如果達(dá)到預(yù)期，則通過認(rèn)證；否則繼續(xù)計(jì)劃、執(zhí)行、檢查的操作。
  其實(shí)，我們?cè)趯?shí)際去建設(shè)公司的安全體系時(shí)，也完全可以按照 PDCA 的流程來進(jìn)行。我們可以先制定一個(gè)年度或者季度的規(guī)劃，根據(jù)指定的規(guī)劃去執(zhí)行。當(dāng)前階段完成之后，我們要先檢查是否滿足了安全需求，以及還有哪些安全風(fēng)險(xiǎn)存在，然后提出改進(jìn)的方案。基于這個(gè)方案，我們就可以接著制定下一個(gè)階段的規(guī)劃了。

▌3. NIST：如何通過 IPDRR 建立縱深防御？

NIST 提出了公司建立安全體系的 IPDRR 方法框架，主要包括 Identiify、Protect、Detect、Respond 和 Recover 這五個(gè)部分。

圖片來源：IPDRR 方法框架

我認(rèn)為 NIST 所提出的 IPDRR 方法，是解決各類安全問題的一種通用思路。這里，我就以 Web 安全為例，結(jié)合 IPDRR 方法的五個(gè)步驟，來詳細(xì)講解一下，針對(duì) Web 應(yīng)用中可能出現(xiàn)的各種漏洞，我們?cè)撊绾谓踩雷o(hù)體系。

第一步是 Identify（識(shí)別）。我們需要掌握公司有哪些 Web 應(yīng)用，并對(duì) Web 應(yīng)用做威脅評(píng)估。

也就是說，我們需要定位公司的資產(chǎn)，衡量這些資產(chǎn)的價(jià)值，然后評(píng)估資產(chǎn)保護(hù)的優(yōu)先級(jí)和投入成本。

第二步是 Protect（保護(hù)）。我們要在安全事件發(fā)生之前，對(duì)數(shù)據(jù)和資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)措施。（比如：通過訪問控制機(jī)制來避免越權(quán)訪問、通過加密來保護(hù)數(shù)據(jù)的 CIA、通過防火墻保護(hù)內(nèi)網(wǎng)隔離等）。在開發(fā)上，我們需要采用安全的方法，盡量避免漏洞出現(xiàn)。同時(shí)，我們可以部署 WAF 等安全工具，統(tǒng)一對(duì) Web 攻擊進(jìn)行防護(hù)檢測(cè)。

第三步是 Detect（檢測(cè)）。在安全事件發(fā)生之中或者之后，我們要能及時(shí)發(fā)現(xiàn)和檢測(cè)出安全事件或者攻擊行為。這就需要對(duì)請(qǐng)求的日志和返回的結(jié)果進(jìn)行分析，評(píng)估是否產(chǎn)生攻擊行為和數(shù)據(jù)泄露。

第四步是 Respond（響應(yīng)）。當(dāng)檢測(cè)到安全事件后，我們需要采取有效的措施，來阻止攻擊的持續(xù)進(jìn)行，盡可能地降低事件所帶來的影響。我認(rèn)為最可行的操作，就是對(duì)出現(xiàn)漏洞的 Web 業(yè)務(wù)進(jìn)行下線，對(duì)已經(jīng)受到影響的數(shù)據(jù)進(jìn)行隔離。這也要求我們制定好詳細(xì)的應(yīng)急預(yù)案，避免攻擊發(fā)生時(shí)公司陷入手忙腳亂的無序狀態(tài)。

第五步是 Recover（恢復(fù)）。當(dāng)事件響應(yīng)完成后，我們要將應(yīng)用或者服務(wù)恢復(fù)到攻擊前的狀態(tài)，也就是對(duì)應(yīng)用和數(shù)據(jù)進(jìn)行修復(fù)和重新上線。同時(shí)，也要對(duì)事件的原因進(jìn)行復(fù)盤分析，然后進(jìn)一步完善安全機(jī)制。

從這個(gè)例子中，我們知道，針對(duì) Web 安全體系建設(shè)，我們可以根據(jù) IPDRR 方法 采取多重安全策略進(jìn)行保護(hù)。這也符合安全防護(hù)的一個(gè)原則：縱深防御，即任何單點(diǎn)的安全策略都存在紕漏和被繞過的可能。因此，我們需要采取多重相互獨(dú)立的安全策略，使得這些策略相互補(bǔ)充，降低安全策略被繞過的可能性。

▌總結(jié)

好了，今天的內(nèi)容講完了。我們來一起總結(jié)回顧一下，你需要掌握的重點(diǎn)內(nèi)容。

通過對(duì)等保、ISO27001 和 NIST 這三個(gè)安全標(biāo)準(zhǔn)的分析，我們知道，除了一些比較細(xì)的安全機(jī)制指導(dǎo)之外，安全標(biāo)準(zhǔn)本身也包含了我們自己去做安全的思路。比如：等保告訴我們安全要分為技術(shù)和管理；ISO27001 告訴我們要通過 PDCA 流程去規(guī)劃安全建設(shè)；NIST 告訴我們安全可以通過 IPDRR 建立縱深防御。

對(duì)于安全標(biāo)準(zhǔn)的思維提煉，遠(yuǎn)遠(yuǎn)不止我提出的這些點(diǎn)。在各個(gè)標(biāo)準(zhǔn)和框架的細(xì)節(jié)中，也都給出了公司在各個(gè)安全方向上需要去落地的內(nèi)容，比如，根據(jù) ISO27001 的訪問控制的標(biāo)準(zhǔn)，你可以學(xué)習(xí)如何制定合適的訪問控制機(jī)制。

總而言之，我認(rèn)為，在實(shí)際建立安全體系的過程中，我們不應(yīng)該一味地按照這些安全標(biāo)準(zhǔn)實(shí)施，也要主動(dòng)學(xué)習(xí)當(dāng)中的設(shè)計(jì)思路。這樣你才能更高效、更完善地建立公司自有的安全體系。

▌思考題

最后，我們還是來看一道思考題。

你還接觸過哪些安全標(biāo)準(zhǔn)和框架，它們又包括了哪些內(nèi)容和思想？你認(rèn)為該如何依靠這些思想，去推動(dòng)公司的安全建設(shè)？

歡迎留言和我分享你的思考和疑惑，也歡迎你把文章分享給你的朋友。我們下一講再見！

▌下一講

防火墻：如何和黑客“劃清界限”？

總結(jié)

以上是生活随笔為你收集整理的18 | 安全标准和框架：怎样依“葫芦”画出好“瓢”？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。