Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27034-1 — 应用安全 第1部分:概述与一般概念
ASC 框架:跨应用生命周期的上下文驱动应用安全管理
ISO/IEC 27034-1 是 ISO/IEC 27034 多部分标准的基础部分,专门针对应用安全。它提供了应用安全概念的概述,并引入了应用安全控制(ASC)框架,该框架是整个系列的支柱。该标准最初于 2011 年发布,填补了信息安全领域的一个关键空白:虽然 ISO/IEC 27001 和 27002 关注组织级 ISMS,但它们对单个应用的安全性提供的指导有限。ISO/IEC 27034-1 通过建立一种结构化方法,在整个应用生命周期中规范、选择和实施安全控制,填补了这一空白。
ISO/IEC 27034-1 引入了”应用安全控制(ASC)”的概念——针对特定应用上下文的安全需求及其相关控制的结构化规范。这是 27034 系列所有后续部分使用的核心构建块。
应用安全管理概述
该标准将应用安全定义为”在整个生命周期中保护应用免受可能损害应用及其数据的保密性、完整性、可用性和可问责性的威胁”。这种生命周期视角是 27034 方法的基础。与通常将安全视为开发末尾的独立阶段(通常称为”安全测试”或”渗透测试”)的传统安全实践不同,ISO/IEC 27034-1 倡导将安全融入应用生命周期的每个阶段,从初始概念到设计、开发、测试、部署、运营和退役。
ISO/IEC 27034-1 的一个关键创新是认识到应用安全需求因应用的上下文而有显著差异。一个数据敏感性有限的内部库存管理系统与一个处理个人医疗信息的面向公众的医疗门户网站有着截然不同的安全需求。因此,标准引入了”应用安全上下文”的概念——对应用所处的业务、监管、技术和运营环境的结构化描述。这种上下文驱动的方法确保安全控制与实际风险相称,而不是统一应用或基于通用检查表。
| 应用安全上下文元素 | 描述 | 医疗门户示例 | 内部工具示例 |
|---|---|---|---|
| 业务影响 | 安全失败对组织的后果 | 监管罚款、患者安全风险、声誉损害 | 轻微运营中断 |
| 监管环境 | 适用的法律法规要求 | HIPAA、GDPR、国家健康数据法规 | 仅一般数据保护 |
| 数据敏感性 | 应用处理的数据分类 | 高度敏感(医疗记录、个人标识符) | 内部业务数据 |
| 威胁画像 | 可能的威胁行为者和攻击向量 | 有组织犯罪、黑客活动分子、恶意内部人员 | 心怀不满的员工、意外错误 |
| 技术架构 | 技术栈和部署模型 | 具有API集成的云托管Web应用 | 带数据库后端的桌面应用 |
应用安全控制(ASC)框架
ASC 框架是 ISO/IEC 27034 的核心贡献。ASC 被正式定义为”针对给定应用安全上下文中应用的一个或多个安全需求及实现这些需求的控制的结构化规范”。每个 ASC 包括安全需求描述、需求的理由、为满足需求而实施的控制,以及验证和确认证据。ASC 按层级组织:组织在组织级维护一个 ASC 库(称为”组织 ASC”或 O-ASC),然后针对特定应用进行细化和上下文化(称为”应用 ASC”或 A-ASC)。
这种双层结构是平衡标准化和灵活性的强大机制。O-ASC 库以可复用的格式编码了组织的安全策略、标准和最佳实践。当开发或采购新应用时,根据应用的安全上下文选择相关的 O-ASC,并进行定制以形成 A-ASC。这种方法确保了组织间的一致性,同时允许单个应用解决其独特的风险状况。标准提供了关于如何构建、记录和维护 O-ASC 库和 A-ASC 规范的详细指导。
实施 ASC 框架的组织报告新项目的应用安全评估时间减少了 50-70%,因为 O-ASC 库提供了经过预审的可复用安全规范,无需为每个应用从头开始。
采用 ISO/IEC 27034-1 时的一个常见陷阱是创建过于通用的 ASC。仅仅说”使用加密”的 ASC 是没有用的。有效的 ASC 需指定加密算法、密钥管理流程、密钥长度、加密范围(静态数据、传输中数据或两者)以及验证标准。上下文至关重要。
将 ASC 融入开发生命周期
ISO/IEC 27034-1 提供了将 ASC 框架与各种软件开发方法(包括传统的瀑布式、迭代式、敏捷和 DevOps 方法)集成的指导。对于敏捷团队,标准建议将 ASC 选择和验证映射到具体的用户故事或冲刺待办项。将 ASC 库中的安全需求作为相关用户故事的验收标准,确保安全是增量构建的,而不是在独立的安全冲刺中处理。标准还涉及自动化安全测试工具在 CI/CD 管道中验证 ASC 合规性的作用。
从工程角度来看,ISO/IEC 27034-1 最有价值的一个方面是其关于 ASC 验证的指导。每个 ASC 必须包括可验证的证据,证明指定的控制已正确实施且有效。标准定义了三个验证级别:级别 1(文档评审)、级别 2(手动测试和检查)和级别 3(自动化测试和持续监控)。组织可以根据应用的安全上下文和风险状况选择合适的验证级别。这种风险相称的验证方法对于需要将安全测试工作优先用于最关键领域的资源受限团队尤其有价值。
切勿将 ASC 创建视为文档编制工作。27034-1 采用中最常见的失败是创建了全面的 ASC 库但在开发过程中从未被引用。为避免这种情况,将 ASC 选择纳入项目启动工作流,并将 ASC 验证证据作为版本发布的关卡条件。一个未被积极使用的 ASC 库比没有库更糟糕,因为它会造成虚假的安全感。
问1:ISO/IEC 27034-1 与 OWASP 有何关系?
答:ISO/IEC 27034-1 提供管理应用安全的总体框架,而 OWASP 提供具体的技术指导和工具(如 OWASP Top 10、ASVS 和测试指南)。它们是互补的——使用 OWASP 资源为 ASC 库填充技术可靠的控制,使用 ISO/IEC 27034-1 提供治理和管理结构。
答:ISO/IEC 27034-1 提供管理应用安全的总体框架,而 OWASP 提供具体的技术指导和工具(如 OWASP Top 10、ASVS 和测试指南)。它们是互补的——使用 OWASP 资源为 ASC 库填充技术可靠的控制,使用 ISO/IEC 27034-1 提供治理和管理结构。
问2:ISO/IEC 27034-1 适用于移动应用吗?
答:是的。ASC 框架与技术无关。应用安全上下文描述符捕获移动特定的考量,如设备平台、应用商店分发、离线操作和本地数据存储。可以为越狱检测、安全本地存储和证书绑定等移动特定威胁定义 ASC。
答:是的。ASC 框架与技术无关。应用安全上下文描述符捕获移动特定的考量,如设备平台、应用商店分发、离线操作和本地数据存储。可以为越狱检测、安全本地存储和证书绑定等移动特定威胁定义 ASC。
问3:O-ASC 和 A-ASC 有何区别?
答:O-ASC(组织ASC)是在组织级维护的标准化、可复用的安全规范。A-ASC(应用ASC)是根据特定应用的上下文定制的 O-ASC 版本。这种关系类似于模板库(O-ASC)和针对特定项目填写的模板(A-ASC)。
答:O-ASC(组织ASC)是在组织级维护的标准化、可复用的安全规范。A-ASC(应用ASC)是根据特定应用的上下文定制的 O-ASC 版本。这种关系类似于模板库(O-ASC)和针对特定项目填写的模板(A-ASC)。
