#科技专刊 13个
进入二十一世纪以来,随着互联网及移动端应用的广泛发展,信息安全事件也层出不穷。一方面外部环境快速变化,攻击手段越发多样与自动化,各国及各地区的安全监管要求更加严格,另一方面,企业内部人员流动大,研发人员安全能力不足,面对新的监管要求以及外部攻击,安全防护的难度大大提升。从甲方企业的角度来看,现阶段的安全防护已经不止是在基础架构与体系管理层面的防御,而是开始要求安全控制左移;甲方企业在选择各类产品,尤其是联网产品时相比以前更加关注产品本身的安全性,以控制风险。基于此,作为研发型企业,探索并实现符合自身特点的产品安全管理,确保交付给客户的产品、服务的安全性符合市场需求,则成为必经之路。本文以自身企业在发展过程中进行的产品安全体系建设实践以及思考,希望能给大家带来一些启发。
- 市场驱动。从2017年网络安全法生效开始,我国落实了一系列配套措施,特别等保2.0及护网行动,对企业在网络安全上提出了更高要求,很多企业在购买产品时都将产品安全性作为一项重要指标进行考虑,甚至在招投标阶段为作基本条件。另外在日常运维中也对安全有实际的需求,以实现组织的纵深防御。因此在产品安全产方面做得好的企业及产品,也能够获得加分项。
- 提升研发的安全能力。传统上研发部门在产品安全的投入较为少,这与产品经理安全意识淡薄、不清楚如何推进产品安全建设有关,比如不重视产品安全属性、产品安全需求不明确、产品安全资源不充分、产品安全建设无从下手等。挑战与机会并存,这也给企业带来整合提升安全能力的驱动力。
安全建设从无到有,从弱到强,是一个逐步建立完善的过程,信息安全建设通常用以PDCA为指导原则,研发的安全建设也一样,做好规划,依据现有研发基础流程,从基础要求,以前关键流程节点抓起,在前期减少对研发的影响,实施过程中复盘取长补短,逐渐扩展能力,并建立适应不同研发模式以及产品线的安全研发体系。
1、起步与规划
1)建立产品安全体系的安全资源团队
巧妇难为无米之炊,安全团队资源是保障产品安全要求落地的直接推动人员,在初期阶段,应尽可能利用一切资源。作为外企在亚太的区域总部,我们直接采用美国总部的平台资源,如代码审计平台、基本流程等。往往外企总部的流程在全球化的落地中经常出与各地区水土不服情况。作为植根中国、服务中国的企业,我们在遵循总部平台总体流程的情况下,针对本地研发特殊情况,一方面通过总部研发安全流程的整合推动流程本地化实施,一方面直接使用总部产品安全资源平台作为基本建设资源,包括白盒、黑盒安全漏洞扫描、代码审计等工具以及信息安全团队部分人员。如果企业没有总部资源,这方面也可以直接在本地规划,建立最基础的安全测试平台、产品安全测试能力等,产品安全团队资源前期也可从信息安全团队引入,人员主要侧重产品安全测试、漏洞修复等安全能力及沟通能力,主要负责测试及项目管理。安全基线作为一个系统的最小安全保证,即该信息系统最基本需要满足的安全要求。系统安全往往需要在安全付出成本与所承受的安全风险之间进行平衡,而安全基线正是这个平衡的合理分界线,特别是在安全建议初期阶段,满足基线要求应作为重要策略之一,即让研发部门有了基本依据,执行起来对原有研发的冲击影响也较小。基线可以参考业界的一些标准,如UL2900、OWASP TOP 10以及最佳实践等。基线在一开始不建议设立太高的要求,必要的时候经流程评审进行裁剪,在资源不足的情况下,优先集中精力抓好大类,如达到一定规模程度的项目强制要求必须达到基线要求。中、低危的漏洞可以后续计划版本或期限内整改发布,但高危漏洞必须完成整改方可通过评审。安全要求的实现最终还是要看执行,从实践来看,关键节点的安全介入与控制是最为有效的方法。在组织内部,来自领导层的支持必不可少。在SDLC周期环节中,合理设置安全控制节点,确立产品安全信息注册及需求、安全测试、整改与复测、转产等评审阶段建立流程管控制度并实现电子流,所有产品版本发布生产前,应通过白盒、黑盒测试基线安全测试,在转产阶段评审才能获得“通过”的结论。与研发流程嵌入后,关键控制节点清晰明了,即在各产品研发评审阶段,若安全评审缺失或不通过,则无法进入下一阶段,从而实现有效控制,刚开始做的时候,建议以现有研发流程为基础,在各产品SDLC大评审环节(或TR节点)设计安全介入,如安全需求、测试、发布环节。实施一段时间后,再根据结果与反馈进行优化。
1)进一步建立本地安全能力,建设符合监管与市场要求的平台。在这个阶段,我们进一步从产品安全体系建设角度出发,完善各项制度及标准要求。建设产品安全体系,可以更方便地在短时间内采用业界最佳实践,更快捷地补齐短板,涵盖研发安全生命周期。从业务需求角度,我们搭建了多样化的本地化安全测试平台,提供中文版本的漏洞测试报告。并进一步完善信息安全事件处置(PSIRT),通过体系化建设,我们建立信息系统软硬件缺陷快速协作及处置机制,明确了安全预警通报机制、不同类型漏洞处理时效、各方职责等,确保一旦出现相关产品安全问题,可以有序开展应急工作。在完善安全工具的同时,同样注重安全管理,强化人员安全能力,并在实际运营中及时进行数据反馈,形成安全闭环,不断优化流程实践。木桶理论也适用于研发安全体系建设,对于企业来讲,这个阶段补齐短板仍是优先考虑的选项。从流程沟通宣贯,到安全专项培训,开发人员得到最需要的安全基础培训,加强开发人员对安全要求的理解。一方面建立专职的产品安全团队,除了增强安全测试、应急响应外,还逐步深入开发过程。同时另一方面,也在各研发线建立安全接口人,加强沟通。3)建立安全框架体系,完善各研发阶段的安全输入输出标准。一方面进一步细化各产品类别安全要求,按产品的设计使用场景划分不同产品安全类型,如纯机械、无联网要求、内置通讯卡、局域网联网以及接入互联网的不同产品,应用不同的安全级别要求。划分不同产品类别安全要求的考虑在于针对不同的产品,直接在安全需求上做了裁剪,有利于研发部门集中精力处理关键问题,也有利于产品安全要求的落地执行效率。产品研发在安全需求分析阶段进行匹配类型,节省了安全需求较低的产品在流程上需要的时间,如纯机械类产品,或无联网要求的产品,相对较低一些。这一点不同的企业、不同产品类型有不同的做法,从实际出发,适合自身的才是最好的。一方面按照IEC62443体系建设要求,落实“流程+人员+技术”的保障手段与Secure by Design的理念,从设计的的各阶段(从概念设计到细节设计)、各层级(从架构设计到零部件的设计)贯彻信息安全措施。通过体系化建设,确保安全保障贯穿产品生命周期。IEC62443目前已被IEC 国际电工委员会、欧洲电工委员会、欧洲网络安全局所采纳,是目前唯一全球通行的、用于OT技术/工业物联网的工业信息安全标准。我国也已开始将IEC62443同等采纳为GB标准,标准归口单位是国家信息安全标准化委员会SAC/TC260,及全国工业过程测量控制和自动化标准委员会(SAC/TC124)。从标准上来看,兼顾了ISO27001、IEC62351、NIST SP800、ISO15408等多个行业和地区标准的内容,且侧重OT的实际应用及与IT技术的融合,满足国际通用的网络安全法规要求。作为根植中国、服务中国的企业,坚守质量和安全是企业生存的根本,在设计、研发、制造、交付、服务的产品生命周期中的每个环节把好安全关,从而更好地为用户提供优质且安全可靠的产品。3、自动化与赋能
1)统一研发代码管理平台
为了更好的提升代码管理提升效率,我们把实现统一研发代码管理平台纳入了规划及实施。通过整合历史上各时期各部门各自使用的代码管理平台,实现代码的集中式管理,解决原先各产品线代码分散管理的局面,也为自动化测试提供了条件。
2)自动化安全测试
自动化安全测试最大的好处是在研发阶段,研发人员可以快速及时的知道自己所开发内容是否达标,在开发过程中勿需安全人员介入,从而提升开发效率。
我们依托Gitlab平台,在测试阶段对项目代码进行自动化的安全测试,将各单点的检测工具结果进行汇总,包括白盒、灰盒、黑盒检测、第三方组件检测,从多个维度反映该系统的安全测试结果。通过自动化测试平台,研发人员可以得到安全赋能,有助于研发人员实时发现安全问题、也有助于安全人员进一步的开展综合分析以及生成报告,初步实现DevSecOps。
4、效果与检验
产品安全实现标准化。目前所有类型产品已初步建立相应安全基线,包括符合本类型产品特点的安全要求、安全设计方案、安全测试案例,并持续进行迭代更新。随着产品安全体系逐步的实施,安全要求上的不断磨合,研发人员在开发安全上的能力也得到提升。
实现产品安全“左移”。减少了在产品应用端、客户端发现问题的情况。通过加强安全测试及安全流程控制,逐步将安全重心引导至需求、设计阶段,让项目组在产品研发一开始就考虑安全需求,末端的安全测试更多以验证安全方案是否有效通过测试,从而实现安全闭环。
从实际效果来看,产品的安全性能得到基本保障,许多方面甚至做到了行业领先。通过落实产品安全,多个产品成功通过公三所产品安全认证。我们也在今年通过了IEC62443-4-1国际认证,成为行业内首个通过该认证的企业,有效助力业务。
研发产品安全体系的建设是一个持续的过程,各企业的有自己的阶段与特点,安全部门 面对着诸多挑战。相信随着产品安全的逐步深入推进,安全与研发融合共赢,产品安全建设一定能步入新阶段,更好的为企业创造价值。大江,某外企亚太区信息安全负责人,信息安全老兵,从事IT管理、信息安全领域二十余年,在自动化、化工、通讯、智能制造、网络能源等行业的全球领先企业负责信息安全、产品安全。
可持续的网络安全运营实践|证券行业专刊·安全村
微博发布青少年隐私保护公益宣传片|守护青少年数字成长旅程
全量安全资产管理-进阶实践|安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]
还没有评论,来说两句吧...