從這一講開始，我們討論安全防御工具。實際上，每個公司都需要進行安全體系建設，業內將這些通用性的建設經驗進行總結，形成了各種安全標準和框架。從這些標準和框架中，我們能了解到建設安全體系的思路和方向，對于實際的安全落地工作，有很大的指導作用。

根據安全等級和關注點的不同，不同的安全標準和框架都有各自的具體要求。這些要求都非常簡單直接，也很容易理解，所以，這不是我們要講解的重點。在今天的課程中，我更想通過這些標準和框架的設計思路來講一講，作為公司的安全人員，該如何推動公司整體的安全體系建設。

▌安全標準和框架有哪些？

首先，我們來看看，安全標準和框架都有哪些。

國內的安全標準和框架，就是我們常聽到的等級保護制度（方便起見，后文都簡稱“等保”）。等級保護根據公司的安全性高低，劃分了由一到五這五個等級。每個等級都有需要滿足和達標的安全要求。等級越高說明公司的安全水平越高，越被政府認可。安全等級三級以上的公司，還會受到國家信息安全監管部門的監督和檢查。

在國外，比較知名的安全標準和框架包括：ISO27000 系列、NIST、COBIT 和 ITIL。接下來，我們一一來講。

我們前面講了等級保護制度，實際上，NIST 也被稱為“美國版等保”。因為 NIST 是美國政府提出的，對公司的安全能力進行監督和管控的安全框架。但是，NIST 并未考慮公司在實施安全標準時需要付出的成本，所以除了美國政務之外，NIST 很少被使用。

而 ISO27000 系列和 COBIT 都是不包含具體實施細節的安全標準和框架。

其中，ISO27000 系列是國際上比較認可的安全標準之一。它提供了兼容性極高的安全體系和信息安全管理的最佳實踐指導。但是，ISO27000 系列更關注于方向上的指導，沒有覆蓋具體的實施細節，所以無法作為技術手冊來使用。

COBIT（ Control Objectives for Information and related Technology）則是給安全管理者提供了一個內控的框架，它本身更關注于內控和審計。

最后，我們來看 ITIL（ Information Technology Infrastructure Library ）。ITIL 是一個提升服務質量的標準框架，而安全只是影響服務質量的一個因子。因此，ITIL 會更多地考慮如何提高公司的研發和管理效率，在機密性、可用性和完整性上只給予了比較基本的關注。

以上這些安全標準和框架，除了能對企業的安全建設進行指導，也提供了測評的服務。測評的目的，一方面是幫助公司認識到自身安全水平，另一方面也是公司對外宣傳的一個標桿。比如說，國內目前最流行的 ISO27001 測評。各個公司都會以通過了 ISO27001 測評，來對用戶和合作伙伴表明，自己的安全水平達到了一個比較成熟的高度。這就是一個對外宣傳的表現。

除此之外，等級保護制度作為國家標準，還具備規避和降低公司法律風險的能力。比如，當公司出現了某個安全事件導致數據泄露，如果這個公司沒有做過“等保”的話，那么法院就可能認為公司在安全上沒有盡到自己的職責，而根據《網絡安全法》給予這個公司很嚴厲的懲罰。但是，如果公司做了“等保”的話，法院可能會認為公司有努力在做，只是仍然有缺陷，而不會給予非常嚴厲的懲罰。所以，完全不做“等保”和做了但不到位，處罰的標準就完全不同了。

▌現有安全標準和框架有哪些可以借鑒的地方？

▌1. 等保：為什么安全體系建設要區分管理與技術？

首先，我們來看一下等保的分類思路。等保對公司的安全要求劃分為了十類，分別是：

• 技術要求：安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心；
• 管理要求：安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

對于每個分類的具體含義，你通過名字應該就能夠理解，這里我就不細說了。

從這些分類中，我們可以看出，等保的大體思路是將安全分為了管理和技術。我們之前就講過，安全往往是需要自上而下來推動的。因此，安全并不是一個純技術的“活”，它也需要在管理層面上作出改進。比如，等保要求公司必須要成立專門的安全管理機構，安排專門的安全管理人員，這樣才有人能夠對公司的整體安全來負責，去推動安全的落地。

▌2. ISO27001：如何通過 PDCA 流程進行規劃安全建設？

ISO27001 是國內比較流行的安全評估認證之一。它提出了 14 個不同的安全方向，分別是：

• 安全策略
• 信息安全組織
• 人力資源安全
• 資產管理
• 訪問控制
• 密碼學
• 物理和環境安全
• 操作安全
• 通信安全
• 系統獲取、開發和維護
• 供應關系
• 信息安全事件管理
• 業務連續性管理中的信息安全考慮
• 符合性

可以看到，這個劃分還是很全面的。這些安全方向基本包括了安全行業內的各個知識領域。在每個安全方向中，ISO27001 會列舉出公司需要完成的安全事項，我覺得你甚至可以依照這個標準來學習安全。

不僅如此，ISO 的一系列框架和標準其實都遵循 PDCA 流程，PDCA 也是項目管理上經常被提到的管理方法。這里我就簡單說一下。

• Plan：計劃，確定安全的目標并制定建設的規劃。
• Do：執行，按照計劃的內容和時間來執行。
• Check：檢查，對執行的結果進行總結，看是否符合預期。
• Action：改進，如果執行不符合預期，或者計劃出現紕漏，則進行分析和改進。

那 PDCA 流程如何應用在安全體系的建設中呢？這里，我就舉一個公司在做 ISO27001 例子。

• Plan：認證機構會先到公司進行調研和培訓，然后和公司一塊制定一個詳細的安全規劃。
• Do：公司會花幾個月的時間，去執行這些規劃。
• Check：完成之后，認證機構再次去公司進行回訪，評估完成的情況。
• Action：如果達到預期，則通過認證；否則繼續計劃、執行、檢查的操作。
  其實，我們在實際去建設公司的安全體系時，也完全可以按照 PDCA 的流程來進行。我們可以先制定一個年度或者季度的規劃，根據指定的規劃去執行。當前階段完成之后，我們要先檢查是否滿足了安全需求，以及還有哪些安全風險存在，然后提出改進的方案?；谶@個方案，我們就可以接著制定下一個階段的規劃了。

▌3. NIST：如何通過 IPDRR 建立縱深防御？

NIST 提出了公司建立安全體系的 IPDRR 方法框架，主要包括 Identiify、Protect、Detect、Respond 和 Recover 這五個部分。

圖片來源：IPDRR 方法框架

我認為 NIST 所提出的 IPDRR 方法，是解決各類安全問題的一種通用思路。這里，我就以 Web 安全為例，結合 IPDRR 方法的五個步驟，來詳細講解一下，針對 Web 應用中可能出現的各種漏洞，我們該如何建立安全防護體系。

第一步是 Identify（識別）。我們需要掌握公司有哪些 Web 應用，并對 Web 應用做威脅評估。

也就是說，我們需要定位公司的資產，衡量這些資產的價值，然后評估資產保護的優先級和投入成本。

第二步是 Protect（保護）。我們要在安全事件發生之前，對數據和資產采取適當的保護措施。（比如：通過訪問控制機制來避免越權訪問、通過加密來保護數據的 CIA、通過防火墻保護內網隔離等）。在開發上，我們需要采用安全的方法，盡量避免漏洞出現。同時，我們可以部署 WAF 等安全工具，統一對 Web 攻擊進行防護檢測。

第三步是 Detect（檢測）。在安全事件發生之中或者之后，我們要能及時發現和檢測出安全事件或者攻擊行為。這就需要對請求的日志和返回的結果進行分析，評估是否產生攻擊行為和數據泄露。

第四步是 Respond（響應）。當檢測到安全事件后，我們需要采取有效的措施，來阻止攻擊的持續進行，盡可能地降低事件所帶來的影響。我認為最可行的操作，就是對出現漏洞的 Web 業務進行下線，對已經受到影響的數據進行隔離。這也要求我們制定好詳細的應急預案，避免攻擊發生時公司陷入手忙腳亂的無序狀態。

第五步是 Recover（恢復）。當事件響應完成后，我們要將應用或者服務恢復到攻擊前的狀態，也就是對應用和數據進行修復和重新上線。同時，也要對事件的原因進行復盤分析，然后進一步完善安全機制。

從這個例子中，我們知道，針對 Web 安全體系建設，我們可以根據 IPDRR 方法 采取多重安全策略進行保護。這也符合安全防護的一個原則：縱深防御，即任何單點的安全策略都存在紕漏和被繞過的可能。因此，我們需要采取多重相互獨立的安全策略，使得這些策略相互補充，降低安全策略被繞過的可能性。

▌總結

好了，今天的內容講完了。我們來一起總結回顧一下，你需要掌握的重點內容。

通過對等保、ISO27001 和 NIST 這三個安全標準的分析，我們知道，除了一些比較細的安全機制指導之外，安全標準本身也包含了我們自己去做安全的思路。比如：等保告訴我們安全要分為技術和管理；ISO27001 告訴我們要通過 PDCA 流程去規劃安全建設；NIST 告訴我們安全可以通過 IPDRR 建立縱深防御。

對于安全標準的思維提煉，遠遠不止我提出的這些點。在各個標準和框架的細節中，也都給出了公司在各個安全方向上需要去落地的內容，比如，根據 ISO27001 的訪問控制的標準，你可以學習如何制定合適的訪問控制機制。

總而言之，我認為，在實際建立安全體系的過程中，我們不應該一味地按照這些安全標準實施，也要主動學習當中的設計思路。這樣你才能更高效、更完善地建立公司自有的安全體系。

▌思考題

最后，我們還是來看一道思考題。

你還接觸過哪些安全標準和框架，它們又包括了哪些內容和思想？你認為該如何依靠這些思想，去推動公司的安全建設？

歡迎留言和我分享你的思考和疑惑，也歡迎你把文章分享給你的朋友。我們下一講再見！

▌下一講

防火墻：如何和黑客“劃清界限”？

總結

以上是生活随笔為你收集整理的18 | 安全标准和框架：怎样依“葫芦”画出好“瓢”？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。