1软件安全标准需求迫切
系统安全、应用安全、敏感信息的保护等话题已经成为软件企业不能回避的挑战,如何在开发过程中制度化、流程化地实现安全特性,是所有软件企业都要着重考虑的问题。国际标准ISO27034是一个系统性解决以上问题的方案,它清晰地定义了实际应用中软件系统面临的风险,同时为不同类型的软件开发组织提供了一套可以灵活应用的方法。
微软公司高级项目经理Jed Pickel 在安全发展大会的演讲
ISO27034是国际标准化组织通过的第一个关注建立安全软件程序流程和框架的标准。对销售软件的企业来说,ISO27034的应用提供了一个通用的验证自己产品安全性的方式,能够让安全性成为企业的竞争优势。另一方面,对购买软件和服务的客户来说,这一标准可以作为一个简单明确的“语言”,促使开发者实施安全开发。
软件安全标准需求迫切
根据Forrester在2011年的一项调查,关于开发过程中的安全性问题,有14%的企业完全没有考虑, 49%的企业部分程度上认识到了这个挑战,只有37%的软件企业拥有明确的安全开发战略。很多软件企业还没有在足够的高度上认知开发安全性,只是把安全性作为一个战术层面或者简单的规范,没有实施端到端的战略方法。在开发过程缺乏对安全性的控制,很明显会把风险从开发过程转移到软件运行阶段。
实际上,在安全性方面进行投入会有丰厚的回报。2011年Aberdeen的报告中指出了8个提升投资回报率的方法,其中实施安全战略,软件企业可以获得超过4倍的ROI。对软件企业来说,实施安全战略还有更多好处。软件开发企业Itron应用了微软的SDL(软件安全生命周期)战略,他们说已经有很多客户在询问安全开问题,而应用SDL不仅可以很清晰明确地地告诉客户“我们有很全面的安全计划”。
有标准,好办事
对软件客户来说,在考虑开发者是否提供足够安全性时,可能会提出类似以下的问题:你们的代码扫描工具实时很么?你们有没有足够的人负责安全?你们的安全措施和别人一样么?提出这些问题看似能让自己安心,但是有的时候并不能真正切中要害,同时很重要的一点,是对安全性的部分确认,等于鼓励对方只进行部分实施。
从安全战略角度,以上担心更好的解决方案是从系统性方面提出问题:在安全性方面,你们是否有公司层面的策略和管理支持?你们对风险的评估和改善是否考虑全面?在软件生命周期中安全性的实施如何保证?随着问题越来越多,可以把所有疑问替换为一个问题获得终极答案:你们企业是否试试了ISO 27034?
2ISO27034软件安全标准解析
ISO27034软件安全标准解析
对采购者来说,ISO27034可以保证软件供应商在软件开发过程中采用了足够的安全管理流程。对开发者来说,可以用这个标准简单地说明自己的安全性优势,给采购者足够信心。
ISO27034的结构
ISO27034(也是IEC27034)由六部分内容组成
ISO27034(也是IEC27034)由六部分内容组成。其中第一部分应用安全性综述和概念已经正式发布,就是ISO27034-1。其余五个部分分别是第二部分组织规范框架,第三部分应用安全管理流程,第四部分应用安全验证,第五部分协议和应用安全控制数据结构,最后一部分是特定应用的安全指导。未发布的五部分中,2、5、6已经有工作草案。
ISO27034要领
ISO27034从软件开发组织和应用程序两个层面定义框架和流程。在组织层面,组织标准框架(ONF)是所有的软件安全信息的中央存储点,组织管理流程则负责持续维护和改进ONF。在应用层面,应用规范框架(ANF)是每个应用的相关ONF信息,应用安全管理流程则采用ANF,实施和验证应用程序的安全性和风险。
安全生命周期参考模型
ONF建立了一个应用安全生命周期参考模型,在此基础上定义了各种上下文、流程、规范和职责,并且提供了应用安全控制库。ONF的管理流程则从设计、实施、监控评估和持续改进四个阶段管理ONF。
ANF
ANF是与相应应用的ONF子集,在这里保存了开发过程中的安全问题,并且验证应用安全的各种控制。应用安全的管理流程针对具体应用的开发,更细致地从明确需求和环境、评估应用安全风险、建立应用规范框架、设计和实施应用、安全审计等阶段保证安全性的实施。
3使用简化SDL实施ISO27034
使用简化SDL实施ISO27034
微软公司高级项目经理Jed Pickel 在安全发展大会的演讲中表示,采用微软提供的SDL(安全开发生命周期)方法可以用来帮助软件企业实施ISO27034。
简化的SDL方法
通过简化的SDL方法,企业可以有更简单明确的依据来保证安全流程和框架的可靠。相对而言,ISO27034-1一共有多达61页的文档内容,而简化的SDL方法用更清晰的7个步骤和17页文档来实现。
应用程序安全管理流程
在应用程序层面,安全管理流程从开发前的策划评估到开发过程中的管理和实施,都可以在简化的SDL中找到对应的步骤,在这里SDL方法给软件企业提供了清晰明确的参考依据。
开发安全性有标准有回报
在安全发展大会上,微软表示采用安全开发方法会带来企业的投入增加,但是长期来看,这个投入肯定比不做安全开发带来的后续支出要低。另一方面,有第三方报告称企业采用安全策略的投资回报比可达到1:4以上。
今天的企业通过互联网做生意时,如果不把安全放在首位是无法接受的。企业可以通过ISO27034-1这个标准来要求开发者确认已经实施了足够的安全开发措施。ISO27034还只是一个“婴儿”级别的标准,关于开发安全性的管理和规范还需要持续的改进和成长。但是,至少对软件企业和软件生态环境来说,在安全性方面借助这个国际标准已经走出了坚实的一步。
更多精彩内容
