◆鲁 立

（广州赛宝认证中心服务有限公司 广东 510610）

系统安全工程原则

◆鲁 立

（广州赛宝认证中心服务有限公司 广东 510610）

系统安全工程原则是ISO/IEC 27001：2013引入的新控制项，但该控制项的具体要求并不明确，如何操作，在何种情况下可以删减，也给即将导入ISO27001：2013的企业，以及计划从ISO27001：2005转版到ISO27001：2013的企业带来了很大的困惑。

信息安全；系统安全工程原则

0 引言

ISO/IEC 27001：2013的发布为信息安全管理引入了一些新的控制项，有的控制项一目了然，如A.14.2.6安全的开发环境，也有的控制项让人觉的似是而非，例如A.14.2.5系统安全工程原则。在ISO/IEC 27002：2013中建议宜建立基于安全工程原则的安全信息系统工程规程，形成文件并应用于内部信息系统的工程活动。安全宜覆盖到所有架构层（业务、数据、应用和技术）之中，以平衡信息安全需求和访问需求。宜针对安全风险，分析新技术，并针对已知的攻击模式，评审相应的设计。那么内部信息系统的工程活动是什么，以目前广为接受的概念来描述就是系统集成，即新的信息系统与已有信息系统的系统集成。

一般认为ISO27001：2013的A.14控制项是与ISO27001：2005的A.12控制项相对应的，而ISO27001：2005的A.12有哪些控制项是与该控制项相关的呢？答案是A.12.2.1输入数据确认、A.12.2.2内部处理的控制、A.12.2.3消息完整性、A.12.2.4输出数据确认。这四个控制项都是用于确认组织的新信息系统与已有信息系统集成时能够正确的运行。那么四个控制项整合为一个控制项是控制更简单了吗？答案是否定的。表面上看要求很清晰，有原则就可以，但系统安全工程原则的概念很宽泛，这个概念最初是2004年由美国马里兰州的国家标准与技术研究所（csrc.nist.gov）提出的来自NIST Special Publication 800-27-“信息安全技术的工程原则（实现安全的基线）”。虽然27001与27002并没有直接提到这个技术文档，但事实上它们描述的是同一个控制内容。

NIST SP 800-27 一共包含33条信息技术安全原则，这些原则可以被归为6类

1 Security Foundation 安全基础（框架）

1.1 建立安全策略作为设计的基础；

1.2 把安全当作整个系统设计的一个组成部分；

1.3 由关联的安全策略控制物理和逻辑安全边界；

1.4 确保对开发人员培训如何开发安全的软件。

2 Risk Based 基于风险管控

2.1 将风险降低到可接受的水平；

2.2 假定外部系统是不安全的；

2.3 评估增加费用以降低风险或接收风险从而降低费用；

2.4 针对组织的信息安全目标制定系统安全措施；

2.5 在信息的存储、处理、传输过程中保障信息安全；

2.6 考虑定制产品，以实现充分的安全性；

2.7 保护系统免受所有可能类型的攻击。

3 Ease of Use 易用性

3.1 在可能的情况下，基于开放标准实现兼容性和可操作性；

3.2 在定制安全要求时采用通用语言；

3.3 系统的安全设计需考虑允许后期由于新安全技术或处理逻辑升级；

3.4 争取业务的易用性。

4 Increase Resilience 增加弹性

4.1 实施分层安全（确保没有单点故障）；

4.2 设计和操作信息系统实现限制损害并在响应中有弹性；

4.3 为弹性面对预期的威胁提供持续保证系统；

4.4 限制或容忍系统缺陷；

4.5 隔离关键资源的公共访问（包括数据、流程）；

4.6 使用边界机制隔离计算机系统以及网络基础设施；

4.7 设计和实施审计机制来检测非授权的使用并支持事件调查；

4.8 开发并运行应急或灾难恢复程序，以确保适当的可用性。

5 Reduce Vulnerabilities 减少脆弱性

5.1 尽可能简化系统；

5.2 为实现可信尽可能最小化系统组件；

5.3 实现最小访问权；

5.4 避免导入非必要的安全机制；

5.5 为关机或处置系统确定适当的安全性措施；

5.6 识别和预防常见的错误和漏洞。

6 Design with Network in Mind 以互联网思维设计

6.1 通过结合分布式物理结构和逻辑结构实现安全；

6.2 制定安全措施，以解决多个重叠的信息域；

6.3 验证用户和进程，以确保适当的访问控制和跨域身份验证；

6.4 使用用户的唯一标识

由此可见，实际上ISO27001：2013是将原有的四个控制项重整扩张为了33项，虽然在这些原则中只有很少可以说是新的的原则，但导入这些原则并且将它们用作检查表从而确定符合组织信息安全目标的系统集成非常有意义。并且27001标准鼓励组织依据自己的需要裁剪它们从而更适合组织的实际情况，所以，合适的系统安全工程原则应当与组织的实际情况相符，例如金融组织，通常会为其系统接口制定加密规范、数据处理精确到小数点后多少位，系统时间以哪一个授时服务器为时钟源等等原则，所有新建的信息系统都必须遵循这些信息系统安全工程原则。再例如地理信息数据处理组织，通常会为其系统接口制定数据存储，数据交换分块大小等等原则，且这些原则不能违反相关的国家标准，如《GB 21139-2007基础地理信息标准数据基本规定》等。

那么哪些组织可以在适用性声明中定义这项控制项为不适用呢。判断的依据是不采用这项控制项是否影响组织实现其信息安全目标，例如对于一些小型的企业，这个控制项是不适用的，因为这些企业的信息系统特点是：（1）系统数量少，可能仅有OA、邮箱、财务系统；（2）系统间关系松散，不需考虑各系统间的数据交换；（3）逐步趋向采用PaaS或SaaS的方式替代企业自有信息系统，如采用钉钉、QQ企业邮箱，从而节约公司自身的硬件投入以及维护成本；同时对于开箱即用的软件，组织也不需要导入安全工程原则。

对于适用此控制项的组织可以基于软件开发生命周期的每一部分都定义安全技术形成程序文件：项目启动及计划-功能需求确认-系统详细设计-编码-验收-编译及安装；它应该包含基于组织业务、数据、应用和技术的所有内容。且规定其评审流程、责任部门，这些原则应形成文件并评审。对组织的这些措施同样应该考虑应用到可能的外包过程，通过合同或其它协议实现。

[1]ISO/IEC 27001：2013 Information technology – Security techniques – Information security management systems –Requirement．

[2]ISO/IEC 27002：2013 Information technology – Security techniques – Code of practice for information security controls．

[3]NIST Special Publication 800-27 Rev A：Engineering Principles for Information Technology Security（A Baseline for Achieving Security），Revision A．