【IT168 资讯】以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。Dr.Meng—ChowKang先生分享了《应用安全标准ISO/IEC 27034概述》。

▲Dr.Meng—ChowKang：《应用安全标准ISO/IEC 27034概述》

　　在安全标准的领域里面，第27组是主要的组织提供在看所有跟信息安全有关的标准的开发，这个组织已经有26年历史，刚开始的时候只有两个组织，第一与第二，后来加入第三个组织，06年第四与第五才加入，扩展到5个组织里面，范围也扩展很多。我们从27组所认识的项目当中最主要的皆是27001标准，大家做信息安全的都会碰到27001标准，因为它是阶级的信息安全管理系统可认证的标准。15038，也是做信息安全有关的开发，产品安全质量这方面的工作通常都会接触到另外一个标准，通过近期我们所做的比较细的安全标准在控管上面，服务上面也在看。

　　第四组是我06年出台的新的工作组，我们看安全标准的时候，所用的框架有三个大部分，第一部分，跟还不知道的一些安全问题，必须有什么准备去应付未知的还有新兴的安全问题，你怎么准备你的环境应对这些新的发现呢?这是一方面主要的发展新的标准。另外一方面已知的，我们现在所知道的安全问题应该怎么样去解决它，怎么样去管理这些事情一系列的标准。比如说你怎么样去管理你的环境，怎么样知识你的安全措施项目等等的计划还是会有安全问题出现。当有安全问题出现的时候，你应该怎么样去调查，怎么样响应这些事情，调查整个事情来龙去脉，可以更好的避免下一次再重复的这些问题出现，这也有一系列的标准。这张图显示了其中的一部分的标准在框架里面的安排。

　　我们可以看到应急相应有两个作用，第一方面可以应付一些新的安全问题，也同样的在下面也是主要的标准来应付一些我们发现的安全事故，安全事件怎么样处理，也是与27035有关的，中间都是相应的问题怎么处理，比如说网络安全、应用安全等等。今天主要谈到是应用安全，应用安全这方面不是新的概念，大家都知道是非常重要的层次，这几年我们看到非常多的安全问题都浮上来，以前很多攻击是在硬件现在，现在已经到了应用层面，在应用上面在人上面，我们叫做设备工程、社交网络的攻击，很多时候都是攻击人的弱点，人的弱点非常难打补丁的。我们在应用上面有一些可做的事情去解决这些问题。

　　为什么我们需要应用安全呢?刚才谈了除了新的技术，新的网络环境和新的品牌等等至于，如果应用上面安全问题没有解决好的话，其实会带来更复杂的安全问题。比如说一些会更多的漏洞在软件里面，早上王博士谈到怎么处理软件，检测软件有相应的漏洞存在。应用软件没有处理好的话，会导致应用系统的脆弱性，变成非常的脆弱，碰到新的环境的时候，有一些新的数据没有看过的一些数据，用户都非常的信任应用，每次新的应用出现的话，他就非常的信任。如果软件安全做得不好，可信度就会受到影响。后面的用户会非常的怀疑，从非常信任到非常怀疑。到非常怀疑的时候，要把安全做好，是非常重要的事情。在软件开发的过程中，虽然你开发的快，可以尽快把软件开发出来，提供给用户。如果安全做得不好，后面再加工解决安全问题，它的成本会更高，30—100%。30—100倍，所以是非常严重的问题。我们在企业上面看到什么问题?很多机构营利还是非营利的机构

　　看到这个问题的重要性，这几年里面出台了很多安全相关的标准、概念等等的东西，其实OWASP就是其中一个品牌，来推动安全的做法。很多厂家比如说思科、微软等等把自己内部的安全开发生命周期的概念也在外面推动。不过这些虽然是非常好的事情的发生，他们做的这些一系列的工作，只是应付一部分的跟应用安全有关的问题。

　　我们可以看到还有一些比较深入的问题，还是没有解决到。这张图列出一些快法应用安全的标准上面的过程中所看到的一系列的问题，比如说现在我们看到这一系列等等机构所提供的他们分享都有一点不同，在重复性和投资性都有所不同，从开发人员角度我应该用哪一个比较好或者企业角度来市用哪一个比较好。我们可以看到一个系统或者应用安不安全，要看在应用环境里面，可以说是安全应用软件，你做了很多事情把它变成安全，你搬到另外一个环境里面来用的话，可能就不安全。比如说很简单的检票系统，你在戏院的环境里面来做就可以做得很好，投资不用很多，你就可以有一个非常有效的系统来处理。如果这个系统垮了以后有什么问题出现的话，你的成本也不会丢失很多，几个人来看免费的戏，这不是很大的问题。如果把它搬到航运公司来说的话，在航班里面就很不，同样一个环境和场合里面的需求就非常高的，你这个系统是不可以垮的，不允许这些问题出现，如果有这些问题，整个航班就飞不动了，就会导致很大的问题。

　　在不同环境里面，我们必须考虑安全问题是有差别的，怎么样做这些考虑呢?也是有需要的。我们缺乏标准的参考模式真正了解说怎么样了解商务需求，法律法规的需求，还有技术上的需求，以及上面这几类的相应的安全需求，我怎么样了解这些需求，我怎么样选择我需要的安全控制，安全措施，把它配合在一起，然后来实施我的安全项目，使得我的应用系统更安全，必须有一个参考的模式，才可以重复把应用系统做得更安全。

　　我们看到很多企业，很多不同的组织自己开发了不同的做法，一些方法，一些工具等等的措施，我怎么样更好的应用这些不同的东西呢?如果没有好的标准，好的方法去选择的话，这些工具，这些不同的方案可能就没办法更好的利用了。

　　我们也看到不同的角色在整个应用系统上面的安全也有不同的需求。比如从一个经理的角度，他更关注的是我怎么样降低我的成本，我怎么样用最少的员工最快的开发出最新的系统出来，这些是他所关注的问题。开发人员运作的这些员工还有项目管理的员工，他更关注的是生命周期里面的这一系列的过程。我怎么样可以更快的把工程做完，我可以拿薪水去享受一下。我在运营的场面上，我怎么样可以更有效率的去运作应用系统，从安全的角度，他们通常是最后一个考虑点。从用户的角度，它的想法更不一样了，我怎么样可以更快拿到软件，可以更好利用软件，利用应用软件和系统，我怎么样可以信任这个系统，也是一个考虑点。这些技术人员想法又不一样了，我怎么样更好的了解应用系统各种控制，可以去做审核来证明说他是有符合所有的要求的，才知道系统真正的达到他的目标的。不同的人员，不同的组织都有不同的需求。我们要把安全搞好，其实必须提供不同角色的需求。应用安全的标准考虑的这一系列的问题，在建设整个标准上面，也决定把它分成六部分，三个礼拜，第一部分刚刚被接受了，为在世界各地发布出来。第二部分在Faramewrok，三、四、五、六没有开始，但是在三四个月里面恢复开展五六部分，希望从第五，第六部分看到更详细的做法，可以更快的利用新的标准。

　　下面谈一谈标准的一些主要的概念，这个标准其实也参考了非常多的其他的标准，还有其他的法律法规等等，所以都有一些相应的链接，大家可以看到安全是一个需求，不是它主要的东西，安全是于是看环境的，上下的依赖性，还有需要相应的东西，还需要可真正的示范出它是安全的。我们要考虑到的，第一，技术上面的需求，技术环境什么样的，在什么样硬件上面，什么样的软件上面，是不是云计算，还是以前现在的做法呢?等等不同的品牌是不是在用微软操作系统，还是lunix等等。还有商务的考虑，包括法律法规的要求，商务上面的要求应用大家解决什么问题，这是必要的非常关键的需求，我们必须有相应的管理措施在上面。从一系列的看法来决定我们有多高层次的可信度，从可信度上面找到我们需要的应用安全管理的措施，应该是在哪里施行。有一个概念，我们目标的环境是戏院还是飞机场，它的环境是不一样的，它的可信度怎么样知道应用是可行呢?当你的木可信度和你实际的可信度是配合的，两个可以确认到的，审核的时候确认到的，应用软件才是可信的应用系统。属于我真正实施到在这里那就不配合了，这样的应用系统就算是不安全的应用系统。实际可信度等于可信度的目标，这才是真正可信应用软件。

　　安全措施，安全控制，它必须符合可信的目标。还有安全预案，这些做法都需要去了解，包括它的投资有多少?怎么样去验证，怎么样去测量这些应用的管制来得到可信度，实际的可信度在哪里?这张图显示了，我在上面怎么样找出我的不同的应用安全的控制需求，可信度可以从0—10，在不同的环境上，我是选择不同的可信度。我的应用的安全管制需要靠可信度来决定，不是需要怎么样的管制。还要考虑到这几个系列的问题，我的应用系统的整个规范，它的需求怎么样，我的商务、法律、法规、技术需求环境怎么样，这些环境的需求会带来哪些安全需求，这些安全需求，我怎么样有相应的安全控制措施来解决这些问题，这是整个库的概念。

　　另外一个概念，你的开发的过程是利用什么样的生命周期?你再怎么样从生命周期里面来考虑到这些安全的控制控管，设计的这些问题怎么样配合，因为时间的问题，我就不细说了。

　　另外重要概念是Organization Normative Framewrok组织规范框架，我如何变成组织规范，我可以更好的利用这些安全支持，有不同的需求，不同的规范等等的东西，怎么样把它处理好，需要做应用的时候，我可以从这些方面拿出更更有效的，已经用过的东西来实施我新的项目，我新的项目跟以前做过的项目可以更好的配合。还有控制的措施，可以看到不同组织在外面都已经开发了很多不同的措施、管理制度等等的东西，把它收集起来，就可以有一个很好的安全库，可以更好的利用。所以组织规范框架是非常重要的概念，在管理信息安全里面需要有的框架，我们一个项目才可以更好的去实施这种项目。这是比较新的概念，也是重要的概念。

　　在企业范围内操作与一个项目的操作怎么样去配合?开发新的应用里面怎么样管理，怎么证明这个应用是安全的?从我开始的时候，我是从库里面，从架构里面拿出可以用的一些知识，可以用的一些控制等等的一些东西来解决我现有的问题。解决了这个问题之后，他所开发出来这些东西又可以进入框架里面，变成企业的知识库。这样才会有更好的管理应用信息安全。

　　主要27034新的概念和新的想法，这些想法因为这些编辑者已经在用了，比如说在加拿大有几个项目在实施这个方法，加拿大的国家投票系统也是按照整个过程实施的这个项目，这也不只是一个理论，其实是从实践把它变成标准的做法。

　　时间问题我不再说了，下面这几张幻灯片主要谈到开发人员的专业性，怎么样证明我们在安全我开发理念里面有安全开发知识的员工证明他们的专业性，有认证的框架去实施这个项目。

　　我们可以看到做安全有几个概念，每一次有新的技术出现，新的应用出现，我们都可以看到有一些新的轨迹方法，新的漏洞，新的诈骗的技术出现。我们通常非常的被动，要去改变整个环境，改变我们的做法，改变我们的想法，改变工作人员的行为和用户的行为，才可以应付这些安全问题。如果加上标准的话才可以，如果更好的利用标准的话，可以把好处更重于我们这方面，而不是把风险上面只是做一个平衡，而是得到一个不平衡，不平衡给我们更多的好处，希望标准可以得到更好的力量给信息安全领域。

　　相关链接：

　　OWASP2011演讲PPT下载专辑http://topic.it168.com/factory/owasp_2011/index.html
　　OWASP2011专题报道http://safe.it168.com/topic/2011/11-7/OWASP2011/index.html