從這一講開始，我們討論安全防御工具。實際上，每個公司都需要進(jìn)行安全體系建設(shè)，業(yè)內(nèi)將這些通用性的建設(shè)經(jīng)驗進(jìn)行總結(jié)，形成了各種安全標(biāo)準(zhǔn)和框架。從這些標(biāo)準(zhǔn)和框架中，我們能了解到建設(shè)安全體系的思路和方向，對于實際的安全落地工作，有很大的指導(dǎo)作用。

根據(jù)安全等級和關(guān)注點的不同，不同的安全標(biāo)準(zhǔn)和框架都有各自的具體要求。這些要求都非常簡單直接，也很容易理解，所以，這不是我們要講解的重點。在今天的課程中，我更想通過這些標(biāo)準(zhǔn)和框架的設(shè)計思路來講一講，作為公司的安全人員，該如何推動公司整體的安全體系建設(shè)。

▌安全標(biāo)準(zhǔn)和框架有哪些？

首先，我們來看看，安全標(biāo)準(zhǔn)和框架都有哪些。

國內(nèi)的安全標(biāo)準(zhǔn)和框架，就是我們常聽到的等級保護(hù)制度（方便起見，后文都簡稱“等保”）。等級保護(hù)根據(jù)公司的安全性高低，劃分了由一到五這五個等級。每個等級都有需要滿足和達(dá)標(biāo)的安全要求。等級越高說明公司的安全水平越高，越被政府認(rèn)可。安全等級三級以上的公司，還會受到國家信息安全監(jiān)管部門的監(jiān)督和檢查。

在國外，比較知名的安全標(biāo)準(zhǔn)和框架包括：ISO27000 系列、NIST、COBIT 和 ITIL。接下來，我們一一來講。

我們前面講了等級保護(hù)制度，實際上，NIST 也被稱為“美國版等保”。因為 NIST 是美國政府提出的，對公司的安全能力進(jìn)行監(jiān)督和管控的安全框架。但是，NIST 并未考慮公司在實施安全標(biāo)準(zhǔn)時需要付出的成本，所以除了美國政務(wù)之外，NIST 很少被使用。

而 ISO27000 系列和 COBIT 都是不包含具體實施細(xì)節(jié)的安全標(biāo)準(zhǔn)和框架。

其中，ISO27000 系列是國際上比較認(rèn)可的安全標(biāo)準(zhǔn)之一。它提供了兼容性極高的安全體系和信息安全管理的最佳實踐指導(dǎo)。但是，ISO27000 系列更關(guān)注于方向上的指導(dǎo)，沒有覆蓋具體的實施細(xì)節(jié)，所以無法作為技術(shù)手冊來使用。

COBIT（ Control Objectives for Information and related Technology）則是給安全管理者提供了一個內(nèi)控的框架，它本身更關(guān)注于內(nèi)控和審計。

最后，我們來看 ITIL（ Information Technology Infrastructure Library ）。ITIL 是一個提升服務(wù)質(zhì)量的標(biāo)準(zhǔn)框架，而安全只是影響服務(wù)質(zhì)量的一個因子。因此，ITIL 會更多地考慮如何提高公司的研發(fā)和管理效率，在機密性、可用性和完整性上只給予了比較基本的關(guān)注。

以上這些安全標(biāo)準(zhǔn)和框架，除了能對企業(yè)的安全建設(shè)進(jìn)行指導(dǎo)，也提供了測評的服務(wù)。測評的目的，一方面是幫助公司認(rèn)識到自身安全水平，另一方面也是公司對外宣傳的一個標(biāo)桿。比如說，國內(nèi)目前最流行的 ISO27001 測評。各個公司都會以通過了 ISO27001 測評，來對用戶和合作伙伴表明，自己的安全水平達(dá)到了一個比較成熟的高度。這就是一個對外宣傳的表現(xiàn)。

除此之外，等級保護(hù)制度作為國家標(biāo)準(zhǔn)，還具備規(guī)避和降低公司法律風(fēng)險的能力。比如，當(dāng)公司出現(xiàn)了某個安全事件導(dǎo)致數(shù)據(jù)泄露，如果這個公司沒有做過“等保”的話，那么法院就可能認(rèn)為公司在安全上沒有盡到自己的職責(zé)，而根據(jù)《網(wǎng)絡(luò)安全法》給予這個公司很嚴(yán)厲的懲罰。但是，如果公司做了“等保”的話，法院可能會認(rèn)為公司有努力在做，只是仍然有缺陷，而不會給予非常嚴(yán)厲的懲罰。所以，完全不做“等保”和做了但不到位，處罰的標(biāo)準(zhǔn)就完全不同了。

▌現(xiàn)有安全標(biāo)準(zhǔn)和框架有哪些可以借鑒的地方？

▌1. 等保：為什么安全體系建設(shè)要區(qū)分管理與技術(shù)？

首先，我們來看一下等保的分類思路。等保對公司的安全要求劃分為了十類，分別是：

• 技術(shù)要求：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心；
• 管理要求：安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。

對于每個分類的具體含義，你通過名字應(yīng)該就能夠理解，這里我就不細(xì)說了。

從這些分類中，我們可以看出，等保的大體思路是將安全分為了管理和技術(shù)。我們之前就講過，安全往往是需要自上而下來推動的。因此，安全并不是一個純技術(shù)的“活”，它也需要在管理層面上作出改進(jìn)。比如，等保要求公司必須要成立專門的安全管理機構(gòu)，安排專門的安全管理人員，這樣才有人能夠?qū)镜恼w安全來負(fù)責(zé)，去推動安全的落地。

▌2. ISO27001：如何通過 PDCA 流程進(jìn)行規(guī)劃安全建設(shè)？

ISO27001 是國內(nèi)比較流行的安全評估認(rèn)證之一。它提出了 14 個不同的安全方向，分別是：

• 安全策略
• 信息安全組織
• 人力資源安全
• 資產(chǎn)管理
• 訪問控制
• 密碼學(xué)
• 物理和環(huán)境安全
• 操作安全
• 通信安全
• 系統(tǒng)獲取、開發(fā)和維護(hù)
• 供應(yīng)關(guān)系
• 信息安全事件管理
• 業(yè)務(wù)連續(xù)性管理中的信息安全考慮
• 符合性

可以看到，這個劃分還是很全面的。這些安全方向基本包括了安全行業(yè)內(nèi)的各個知識領(lǐng)域。在每個安全方向中，ISO27001 會列舉出公司需要完成的安全事項，我覺得你甚至可以依照這個標(biāo)準(zhǔn)來學(xué)習(xí)安全。

不僅如此，ISO 的一系列框架和標(biāo)準(zhǔn)其實都遵循 PDCA 流程，PDCA 也是項目管理上經(jīng)常被提到的管理方法。這里我就簡單說一下。

• Plan：計劃，確定安全的目標(biāo)并制定建設(shè)的規(guī)劃。
• Do：執(zhí)行，按照計劃的內(nèi)容和時間來執(zhí)行。
• Check：檢查，對執(zhí)行的結(jié)果進(jìn)行總結(jié)，看是否符合預(yù)期。
• Action：改進(jìn)，如果執(zhí)行不符合預(yù)期，或者計劃出現(xiàn)紕漏，則進(jìn)行分析和改進(jìn)。

那 PDCA 流程如何應(yīng)用在安全體系的建設(shè)中呢？這里，我就舉一個公司在做 ISO27001 例子。

• Plan：認(rèn)證機構(gòu)會先到公司進(jìn)行調(diào)研和培訓(xùn)，然后和公司一塊制定一個詳細(xì)的安全規(guī)劃。
• Do：公司會花幾個月的時間，去執(zhí)行這些規(guī)劃。
• Check：完成之后，認(rèn)證機構(gòu)再次去公司進(jìn)行回訪，評估完成的情況。
• Action：如果達(dá)到預(yù)期，則通過認(rèn)證；否則繼續(xù)計劃、執(zhí)行、檢查的操作。
  其實，我們在實際去建設(shè)公司的安全體系時，也完全可以按照 PDCA 的流程來進(jìn)行。我們可以先制定一個年度或者季度的規(guī)劃，根據(jù)指定的規(guī)劃去執(zhí)行。當(dāng)前階段完成之后，我們要先檢查是否滿足了安全需求，以及還有哪些安全風(fēng)險存在，然后提出改進(jìn)的方案。基于這個方案，我們就可以接著制定下一個階段的規(guī)劃了。

▌3. NIST：如何通過 IPDRR 建立縱深防御？

NIST 提出了公司建立安全體系的 IPDRR 方法框架，主要包括 Identiify、Protect、Detect、Respond 和 Recover 這五個部分。

圖片來源：IPDRR 方法框架

我認(rèn)為 NIST 所提出的 IPDRR 方法，是解決各類安全問題的一種通用思路。這里，我就以 Web 安全為例，結(jié)合 IPDRR 方法的五個步驟，來詳細(xì)講解一下，針對 Web 應(yīng)用中可能出現(xiàn)的各種漏洞，我們該如何建立安全防護(hù)體系。

第一步是 Identify（識別）。我們需要掌握公司有哪些 Web 應(yīng)用，并對 Web 應(yīng)用做威脅評估。

也就是說，我們需要定位公司的資產(chǎn)，衡量這些資產(chǎn)的價值，然后評估資產(chǎn)保護(hù)的優(yōu)先級和投入成本。

第二步是 Protect（保護(hù)）。我們要在安全事件發(fā)生之前，對數(shù)據(jù)和資產(chǎn)采取適當(dāng)?shù)谋Ｗo(hù)措施。（比如：通過訪問控制機制來避免越權(quán)訪問、通過加密來保護(hù)數(shù)據(jù)的 CIA、通過防火墻保護(hù)內(nèi)網(wǎng)隔離等）。在開發(fā)上，我們需要采用安全的方法，盡量避免漏洞出現(xiàn)。同時，我們可以部署 WAF 等安全工具，統(tǒng)一對 Web 攻擊進(jìn)行防護(hù)檢測。

第三步是 Detect（檢測）。在安全事件發(fā)生之中或者之后，我們要能及時發(fā)現(xiàn)和檢測出安全事件或者攻擊行為。這就需要對請求的日志和返回的結(jié)果進(jìn)行分析，評估是否產(chǎn)生攻擊行為和數(shù)據(jù)泄露。

第四步是 Respond（響應(yīng)）。當(dāng)檢測到安全事件后，我們需要采取有效的措施，來阻止攻擊的持續(xù)進(jìn)行，盡可能地降低事件所帶來的影響。我認(rèn)為最可行的操作，就是對出現(xiàn)漏洞的 Web 業(yè)務(wù)進(jìn)行下線，對已經(jīng)受到影響的數(shù)據(jù)進(jìn)行隔離。這也要求我們制定好詳細(xì)的應(yīng)急預(yù)案，避免攻擊發(fā)生時公司陷入手忙腳亂的無序狀態(tài)。

第五步是 Recover（恢復(fù)）。當(dāng)事件響應(yīng)完成后，我們要將應(yīng)用或者服務(wù)恢復(fù)到攻擊前的狀態(tài)，也就是對應(yīng)用和數(shù)據(jù)進(jìn)行修復(fù)和重新上線。同時，也要對事件的原因進(jìn)行復(fù)盤分析，然后進(jìn)一步完善安全機制。

從這個例子中，我們知道，針對 Web 安全體系建設(shè)，我們可以根據(jù) IPDRR 方法 采取多重安全策略進(jìn)行保護(hù)。這也符合安全防護(hù)的一個原則：縱深防御，即任何單點的安全策略都存在紕漏和被繞過的可能。因此，我們需要采取多重相互獨立的安全策略，使得這些策略相互補充，降低安全策略被繞過的可能性。

▌總結(jié)

好了，今天的內(nèi)容講完了。我們來一起總結(jié)回顧一下，你需要掌握的重點內(nèi)容。

通過對等保、ISO27001 和 NIST 這三個安全標(biāo)準(zhǔn)的分析，我們知道，除了一些比較細(xì)的安全機制指導(dǎo)之外，安全標(biāo)準(zhǔn)本身也包含了我們自己去做安全的思路。比如：等保告訴我們安全要分為技術(shù)和管理；ISO27001 告訴我們要通過 PDCA 流程去規(guī)劃安全建設(shè)；NIST 告訴我們安全可以通過 IPDRR 建立縱深防御。

對于安全標(biāo)準(zhǔn)的思維提煉，遠(yuǎn)遠(yuǎn)不止我提出的這些點。在各個標(biāo)準(zhǔn)和框架的細(xì)節(jié)中，也都給出了公司在各個安全方向上需要去落地的內(nèi)容，比如，根據(jù) ISO27001 的訪問控制的標(biāo)準(zhǔn)，你可以學(xué)習(xí)如何制定合適的訪問控制機制。

總而言之，我認(rèn)為，在實際建立安全體系的過程中，我們不應(yīng)該一味地按照這些安全標(biāo)準(zhǔn)實施，也要主動學(xué)習(xí)當(dāng)中的設(shè)計思路。這樣你才能更高效、更完善地建立公司自有的安全體系。

▌思考題

最后，我們還是來看一道思考題。

你還接觸過哪些安全標(biāo)準(zhǔn)和框架，它們又包括了哪些內(nèi)容和思想？你認(rèn)為該如何依靠這些思想，去推動公司的安全建設(shè)？

歡迎留言和我分享你的思考和疑惑，也歡迎你把文章分享給你的朋友。我們下一講再見！

▌下一講

防火墻：如何和黑客“劃清界限”？

總結(jié)

以上是生活随笔為你收集整理的18 | 安全标准和框架：怎样依“葫芦”画出好“瓢”？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。