系統安全工程原則

◆魯 立

（廣州賽寶認證中心服務有限公司 廣東 510610）

系統安全工程原則

◆魯 立

（廣州賽寶認證中心服務有限公司 廣東 510610）

系統安全工程原則是ISO/IEC 27001：2013引入的新控制項，但該控制項的具體要求并不明確，如何操作，在何種情況下可以刪減，也給即將導入ISO27001：2013的企業，以及計劃從ISO27001：2005轉版到ISO27001：2013的企業帶來了很大的困惑。

信息安全；系統安全工程原則

0 引言

ISO/IEC 27001：2013的發布為信息安全管理引入了一些新的控制項，有的控制項一目了然，如A.14.2.6安全的開發環境，也有的控制項讓人覺的似是而非，例如A.14.2.5系統安全工程原則。在ISO/IEC 27002：2013中建議宜建立基于安全工程原則的安全信息系統工程規程，形成文件并應用于內部信息系統的工程活動。安全宜覆蓋到所有架構層（業務、數據、應用和技術）之中，以平衡信息安全需求和訪問需求。宜針對安全風險，分析新技術，并針對已知的攻擊模式，評審相應的設計。那么內部信息系統的工程活動是什么，以目前廣為接受的概念來描述就是系統集成，即新的信息系統與已有信息系統的系統集成。

一般認為ISO27001：2013的A.14控制項是與ISO27001：2005的A.12控制項相對應的，而ISO27001：2005的A.12有哪些控制項是與該控制項相關的呢？答案是A.12.2.1輸入數據確認、A.12.2.2內部處理的控制、A.12.2.3消息完整性、A.12.2.4輸出數據確認。這四個控制項都是用于確認組織的新信息系統與已有信息系統集成時能夠正確的運行。那么四個控制項整合為一個控制項是控制更簡單了嗎？答案是否定的。表面上看要求很清晰，有原則就可以，但系統安全工程原則的概念很寬泛，這個概念最初是2004年由美國馬里蘭州的國家標準與技術研究所（csrc.nist.gov）提出的來自NIST Special Publication 800-27-“信息安全技術的工程原則（實現安全的基線）”。雖然27001與27002并沒有直接提到這個技術文檔，但事實上它們描述的是同一個控制內容。

NIST SP 800-27 一共包含33條信息技術安全原則，這些原則可以被歸為6類

1 Security Foundation 安全基礎（框架）

1.1 建立安全策略作為設計的基礎；

1.2 把安全當作整個系統設計的一個組成部分；

1.3 由關聯的安全策略控制物理和邏輯安全邊界；

1.4 確保對開發人員培訓如何開發安全的軟件。

2 Risk Based 基于風險管控

2.1 將風險降低到可接受的水平；

2.2 假定外部系統是不安全的；

2.3 評估增加費用以降低風險或接收風險從而降低費用；

2.4 針對組織的信息安全目標制定系統安全措施；

2.5 在信息的存儲、處理、傳輸過程中保障信息安全；

2.6 考慮定制產品，以實現充分的安全性；

2.7 保護系統免受所有可能類型的攻擊。

3 Ease of Use 易用性

3.1 在可能的情況下，基于開放標準實現兼容性和可操作性；

3.2 在定制安全要求時采用通用語言；

3.3 系統的安全設計需考慮允許后期由于新安全技術或處理邏輯升級；

3.4 爭取業務的易用性。

4 Increase Resilience 增加彈性

4.1 實施分層安全（確保沒有單點故障）；

4.2 設計和操作信息系統實現限制損害并在響應中有彈性；

4.3 為彈性面對預期的威脅提供持續保證系統；

4.4 限制或容忍系統缺陷；

4.5 隔離關鍵資源的公共訪問（包括數據、流程）；

4.6 使用邊界機制隔離計算機系統以及網絡基礎設施；

4.7 設計和實施審計機制來檢測非授權的使用并支持事件調查；

4.8 開發并運行應急或災難恢復程序，以確保適當的可用性。

5 Reduce Vulnerabilities 減少脆弱性

5.1 盡可能簡化系統；

5.2 為實現可信盡可能最小化系統組件；

5.3 實現最小訪問權；

5.4 避免導入非必要的安全機制；

5.5 為關機或處置系統確定適當的安全性措施；

5.6 識別和預防常見的錯誤和漏洞。

6 Design with Network in Mind 以互聯網思維設計

6.1 通過結合分布式物理結構和邏輯結構實現安全；

6.2 制定安全措施，以解決多個重疊的信息域；

6.3 驗證用戶和進程，以確保適當的訪問控制和跨域身份驗證；

6.4 使用用戶的唯一標識

由此可見，實際上ISO27001：2013是將原有的四個控制項重整擴張為了33項，雖然在這些原則中只有很少可以說是新的的原則，但導入這些原則并且將它們用作檢查表從而確定符合組織信息安全目標的系統集成非常有意義。并且27001標準鼓勵組織依據自己的需要裁剪它們從而更適合組織的實際情況，所以，合適的系統安全工程原則應當與組織的實際情況相符，例如金融組織，通常會為其系統接口制定加密規范、數據處理精確到小數點后多少位，系統時間以哪一個授時服務器為時鐘源等等原則，所有新建的信息系統都必須遵循這些信息系統安全工程原則。再例如地理信息數據處理組織，通常會為其系統接口制定數據存儲，數據交換分塊大小等等原則，且這些原則不能違反相關的國家標準，如《GB 21139-2007基礎地理信息標準數據基本規定》等。

那么哪些組織可以在適用性聲明中定義這項控制項為不適用呢。判斷的依據是不采用這項控制項是否影響組織實現其信息安全目標，例如對于一些小型的企業，這個控制項是不適用的，因為這些企業的信息系統特點是：（1）系統數量少，可能僅有OA、郵箱、財務系統；（2）系統間關系松散，不需考慮各系統間的數據交換；（3）逐步趨向采用PaaS或SaaS的方式替代企業自有信息系統，如采用釘釘、QQ企業郵箱，從而節約公司自身的硬件投入以及維護成本；同時對于開箱即用的軟件，組織也不需要導入安全工程原則。

對于適用此控制項的組織可以基于軟件開發生命周期的每一部分都定義安全技術形成程序文件：項目啟動及計劃-功能需求確認-系統詳細設計-編碼-驗收-編譯及安裝；它應該包含基于組織業務、數據、應用和技術的所有內容。且規定其評審流程、責任部門，這些原則應形成文件并評審。對組織的這些措施同樣應該考慮應用到可能的外包過程，通過合同或其它協議實現。

[1]ISO/IEC 27001：2013 Information technology – Security techniques – Information security management systems –Requirement．

[2]ISO/IEC 27002：2013 Information technology – Security techniques – Code of practice for information security controls．

[3]NIST Special Publication 800-27 Rev A：Engineering Principles for Information Technology Security（A Baseline for Achieving Security），Revision A．