1、Ver20101130ISO 27002:2007深度之八信息系統(tǒng)獲取開發(fā)和Information Systems Acquisition, development and maenance控制目標和控制措施27002在本管理類中，提供了6個控制目標和16項控制措施 信息系統(tǒng)的安全要求（目標1） 應用中的正確處理（目標2）控制（目標3） 系統(tǒng)文件安全（目標4） 開發(fā)和支持過程的安全（目標5） 技術脆弱性管理（目標6）12.1 信息系統(tǒng)的安全要求Security Requirements of Information Systems12.1控制目標及措施信息系統(tǒng)的安全要求12.1控制目標及措施信

2、息系統(tǒng)的安全要求解讀：信息系統(tǒng)的安全要求27002建議將業(yè)務需求和安全需求同步考慮，將安全控制作為信息系統(tǒng)的有機組成部分安全需求的來源主要有3方面： 風險分析的結果的合規(guī)要求 業(yè)務自身的特點27002要求，建立管理制度，指導特定信息系統(tǒng)在具體設計階段，能夠規(guī)范地進行安全需求的分析，以及技術方案的設計12.2 應用中的正確處理Correct Prosing in Applications12.2控制目標及措施應用中的正確處理12.2控制目標及措施應用中的正確處理解讀：應用中的正確處理由于過去參與系統(tǒng)開發(fā)的經驗不多，次看到這部分時候，都覺得有些東西不直觀、難理解，只能反復看，反復思考，先把我所能理

3、解的東西闡述一下吧12.2把應用中的安全性控制分為兩個不同層次： 確保最基本的正確信息處理所需的控制 其它由業(yè)務應用產生的安全需求所要求的額外控制解讀：應用中的正確處理12.2.1輸入數(shù)據(jù)確認，目的為確保輸入的數(shù)據(jù)是正確的，每個系統(tǒng)在開發(fā)和測試過程中，對于輸入數(shù)據(jù)的校驗或確認，都要參照相關的制度要求完成，典型輸入確認例子包括： 雙重輸入，這個沒啥說的，關鍵字段不能輸入錯誤，比如修改賬戶轉帳目的賬戶等，都能看到兩次輸入確認的控制實例，或者 輸入數(shù)據(jù)長度檢查，這是防止溢出 關鍵字檢測和過濾，這是防止注入的必要措施的必要措施 輸入數(shù)據(jù)規(guī)則檢查，這是確保輸入數(shù)據(jù)符合系統(tǒng)規(guī)則的措施，比如口令格式復雜度檢

4、查 操作的實例，就是一個人操作，另一個人審核，在柜面系統(tǒng)中很多這樣27002要求管理制度中，不僅包括輸入數(shù)據(jù)確認的控制內容，還要包括差錯處理的要求，以及對措施有效性進試的要求，制度無非幾個要素，誰、什么情況下、該做什么、怎么做等等，一是形成文件，二是保留（可以是操作日志等）解讀：應用中的正確處理12.2.2處理的控制，糾結的部分就來了，“核查宜整合到應用中”，這說的到底是啥意思呢里面提到的核查，看說法應該是人工完成的一個管理過程，不太理解，比較直觀的實例來幫助理解么里面提到的“平衡控制措施”，真的沒有經驗，需要看看別的輔助材料了理解起來，可能是要求在系統(tǒng)開發(fā)和測試過程中，對應用處理過程的正確性

5、進行驗證？因為這塊有一些還沒理解透徹，所以在本PPT前面加了一個版本號，用于區(qū)別以后可能的更新版本解讀：應用中的正確處理12.2.3消息完整性，這個好理解，通過風險分析和評估，確認是否存在消息完整性的安全需求通常采用一些 HMAC機制等技術實現(xiàn)消息完整性驗證，例如SSL，例如27002要求應當建立這方面的管理制度，并形成文件，以指導特定信息系統(tǒng)的具體分析、設計、實施解讀：應用中的正確處理12.2.4輸出數(shù)據(jù)確認，這是另一個比較糾結的部分，我缺乏這方面的經驗積累和知識儲備，所以總似天書一般這是指在系統(tǒng)開發(fā)和測試過程中，對輸出情況進行檢查確認么？將來去聽27001 LA的培訓時候，要把12.2和1

6、2.4作為一個重點去向高手請教了控制12.3Cryptographic Controls12.3控制目標及措施控制12.3控制目標及措施控制解讀：控制使用控制措施，可以確保敏感信息的真實性、性、完整性、不可否認性等屬性是否采用控制措施，依據(jù)于信息的敏感級別和信息處理設施的重要程度，要根據(jù)風險分析結果，來確定方案保護的需求國內等同標準22081在12.3.1中，增加了若干符合我國理規(guī)定的內容管27002要求建立使用的策略和制度，管理職責、具體的管理過程步驟（風險分析、算法和強度、密鑰管理等）、以及使用控制的合規(guī)性要求需明的是，加密控制會影響到檢測性控制措施的有效性，如IPS/IDS、網關等設備無

7、法分析加密流量解讀：控制12.3.2密鑰管理，主要相關的算法（對稱加密或非對稱加密），都涉及到密鑰的管理，密鑰如何產生、如何交換和分發(fā)、如何使用、如何保存、如何銷毀，都屬于密鑰管理的范疇，如果密鑰管理存在缺陷，那么證因此密鑰管理的目的在于確整性和可用性控制措施的有效性將無法保鑰數(shù)據(jù)的真實性、性、完27002要求建立密鑰管理的管理制度，指導特定信息系統(tǒng)中的具體密鑰管理實現(xiàn)12.4系統(tǒng)文件安全Security of System Files12.4控制目標及措施系統(tǒng)文件安全12.4控制目標及措施系統(tǒng)文件安全解讀：系統(tǒng)文件安全12.4.1運行的控制，主要還是跟運行的發(fā)布和變更有關的控制要求，要求建立

8、相關的管理規(guī)程，其要點包括： 發(fā)布和變更的決策過程 發(fā)布和變更的測試過程 發(fā)布和變更的實施過程 發(fā)布和變更的異?；赝诉^程 對運行的版本控制 對發(fā)布和變更的控制 發(fā)布和變更過程中的第最主要的目的是為了控制運行的完整性和可用性解讀：系統(tǒng)文件安全12.4.2系統(tǒng)測試數(shù)據(jù)的保護，提出了系統(tǒng)測試階段的安全控制要求，主要是關注所使用的測試數(shù)據(jù)的性屬性由于測試時，通常要求與運行系統(tǒng)盡可能真實的數(shù)據(jù)，因此為防止數(shù)據(jù)轉移和使用過程中的信息規(guī)程，要點包括：，應當建立相關的管理 數(shù)據(jù)轉移的控制 對測試數(shù)據(jù)中敏感信息的篩選和剔除 測試數(shù)據(jù)使用過程中的 測試數(shù)據(jù)使用結束后的清除控制整個管理過程中的過程解讀：系統(tǒng)文件安全

9、12.4.3對源代碼的完整性的保護控制，主要關注對于源代碼及相關文檔應當建立對于源代碼的相關控制規(guī)程，要點包括： 合法的和 使用配置管理工具 合法的操作 操作審計和源代碼12.5 開發(fā)和支持過程的安全Security in Development and Support Proses12.5控制目標及措施開發(fā)和支持過程的安全12.5控制目標及措施開發(fā)和支持過程的安全解讀：開發(fā)和支持過程的安全嚴格控制的變更是信息系統(tǒng)可用性受損的一大風險來源，因此本部分主要是圍繞變更控制來提出安全要求的針對12.5.1的要求，應當建立信息系統(tǒng)變更控制規(guī)程，確保該規(guī)程得到嚴格執(zhí)行，并過程其實12.5.2是被包含在1

10、2.5.1中的，這部分與12.6的技術脆弱性管理關系更加緊密，但是有點疑問，把OS變更單獨弄出來，那網絡層的變更呢？可能還是因為OS層面的布更加頻繁，所以它占據(jù)了變更管理很大一部分和補丁發(fā)吧12.5.3闡述了包變更的控制要求12.5.4要求建立控制措施，對通過隱蔽通道造成信息險進行控制，建議的措施包括： 木馬檢測工具的風 網絡控制解讀：開發(fā)和支持過程的安全其實信息系統(tǒng)中可能的信息的途徑是很多的，12.5.4既提到了泄密的風險，也提到了竊密的風險。以前寫過一個關于信息的PPT，也一起發(fā)出來，供大家參考12.5.5關注外包開發(fā)的管理，現(xiàn)實中很大比例的信息系統(tǒng)都是通過開發(fā)外包服務獲得的，尤其是一些業(yè)

11、務應用系統(tǒng)，在采購基礎上，必須客戶化定制開發(fā)才能使用。外包方風險的控制包括： 工作進度和質量 知識相關 代碼安全性 脆弱性檢測12.6 技術脆弱性管理Technical Vulnerability Management12.6控制目標及措施技術脆弱性管理12.6控制目標及措施技術脆弱性管理解讀：技術脆弱性管理脆弱性和補丁管理，是運維階段中與安全關系緊密的一部分工作，27002所提到的技術脆弱性管理，主要是指系統(tǒng)布的技術脆弱性所公在實際工作中，操作系統(tǒng)、數(shù)據(jù)庫、運行環(huán)境（如Web服務器、應用服務環(huán)境Tomcat、Weblogic之類）是脆弱性管理主要關注的內容記得以前在中過脆弱性是否區(qū)分技術脆弱性和管理脆弱性，管理又沒有脆弱性等問題，如果管理沒有脆弱性，那27002在這里還有必要專門在脆弱性前面加一個定語“技術”來專門限定么？脆弱性和補丁管理，與另一個管理過程“變更管理”，兩者需要綜合考慮關解讀：技術脆弱性管理與技術脆弱性管理有關的過程，包括了指定崗位和職責，建立信息資產，獲取脆弱性信息，影響和風險分析，采取應對措施（如打補丁、關服務、