互聯(lián)網(wǎng)應(yīng)用安全能力建設(shè)框架

1互聯(lián)網(wǎng)應(yīng)用安全能力建設(shè)框架本文件提供了組織在互聯(lián)網(wǎng)應(yīng)用安全能力建設(shè)所應(yīng)具備的技術(shù)和管理要求能力框架。本文件適用于為組織開展互聯(lián)網(wǎng)應(yīng)用的設(shè)計(jì)、開發(fā)、測試、運(yùn)營、維護(hù)、處置全生命周期的的安全保障能力建設(shè)提供指導(dǎo)。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。由互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中不同作用的個(gè)體為實(shí)施共同的業(yè)務(wù)目標(biāo)而建立的結(jié)構(gòu)，組織的特性在于為完成目標(biāo)而分工、合作：一個(gè)單位是一個(gè)組織，某個(gè)業(yè)務(wù)部門也可以是一個(gè)組織。用以幫助組織或個(gè)人執(zhí)行特定任務(wù)或解決特定業(yè)務(wù)問題的應(yīng)用軟件和應(yīng)用數(shù)據(jù)的集合?；ヂ?lián)網(wǎng)應(yīng)用Internetapplication在互聯(lián)網(wǎng)(Internet)環(huán)境下運(yùn)行和維護(hù)，承載具有開放、連續(xù)、快速迭變等特點(diǎn)的互聯(lián)網(wǎng)業(yè)務(wù)服務(wù)的應(yīng)用，包括Web應(yīng)用、移動(dòng)終端聯(lián)網(wǎng)應(yīng)用、固定終增聯(lián)網(wǎng)應(yīng)用及其應(yīng)用層支撐軟件組件。應(yīng)用安全applicationsecurity保護(hù)應(yīng)用軟件使用過程和結(jié)果的可信性以及保護(hù)相關(guān)應(yīng)用數(shù)據(jù)的機(jī)密性、完整性和可用性應(yīng)用安全能力applicationsecuritycapabil組織采取管理和技術(shù)控制措施以保障應(yīng)用安全的能力。2組織級(jí)organizationlevel在組織維度建立的應(yīng)用安全能力知識(shí)庫應(yīng)用級(jí)applicationlevel在應(yīng)用維度建立的應(yīng)用安全能力知識(shí)庫。通過代碼加密、代碼混淆、防調(diào)試追蹤、完整性校驗(yàn)等技術(shù)，防止被反編譯、分析、惡意篡改，用于提高移動(dòng)應(yīng)用安全性的技術(shù)方法統(tǒng)稱。[來源：3669-2020.2.12]4.1應(yīng)用安全能力建設(shè)框架互聯(lián)網(wǎng)應(yīng)用安全能力建設(shè)框架如圖1所示?；ヂ?lián)網(wǎng)應(yīng)用安全能力建設(shè)框架以應(yīng)用安全保護(hù)目標(biāo)為導(dǎo)向，建設(shè)組織級(jí)應(yīng)用安全能力和應(yīng)用級(jí)應(yīng)用安全能力。保護(hù)應(yīng)用規(guī)范安全保護(hù)應(yīng)用規(guī)范安全解決方案能力能力反饋日常運(yùn)營軟件保護(hù)能力怡出[分級(jí)處置運(yùn)營策略安全配置安全審核安全編碼安全設(shè)計(jì)應(yīng)急處置階段安全運(yùn)營階段上線變更階段安全測試階段安全開發(fā)階段安全設(shè)計(jì)階段需求分析階段應(yīng)急計(jì)劃靜態(tài)分析設(shè)計(jì)評(píng)審需求評(píng)審培訓(xùn)能力組級(jí)防止技術(shù)環(huán)境損害圖1應(yīng)用安全能力建設(shè)框架4e)框架相適應(yīng)原則：互聯(lián)網(wǎng)應(yīng)用安全能力建設(shè)框架與已形成組織最佳實(shí)踐的應(yīng)用軟件工程、信息安全管理等方面的框架無縫融合。f)體系可度量原則：支持提供、收集全面的客觀證據(jù)以驗(yàn)證或確認(rèn)互聯(lián)網(wǎng)安全能力建設(shè)的有效5基本能力建設(shè)5.1組織級(jí)應(yīng)用安全能力建設(shè)5.1.1組織能力組織能力是組織在應(yīng)用安全組織機(jī)構(gòu)的架構(gòu)建立、職責(zé)分配和溝通協(xié)作方面的能力。基本組織能力包括：a)建立組織級(jí)應(yīng)用安全領(lǐng)導(dǎo)小組，指定機(jī)構(gòu)最高管理者或授權(quán)代表擔(dān)任小組組長，并明確組長責(zé)任和權(quán)力。b)制定符合組織業(yè)務(wù)目標(biāo)的應(yīng)用安全策略，在業(yè)務(wù)發(fā)展和應(yīng)用安全之間做出平衡，明確安全方針、安全目標(biāo)和安全原則。c)建立應(yīng)用安全管理組織機(jī)構(gòu)，明確應(yīng)用安全崗位和崗位職責(zé)。d)制定應(yīng)用安全監(jiān)控審計(jì)制度，定期對(duì)責(zé)任部門和安全崗位組織安全檢查，形成檢查報(bào)告。5.1.2流程能力流程能力是組織在關(guān)鍵應(yīng)用安全領(lǐng)域的制度規(guī)范和流程落地建設(shè)能力?；玖鞒棠芰Πǎ篴)制定應(yīng)用安全策略相關(guān)的規(guī)程，并將安全規(guī)程分發(fā)至組織相關(guān)部門、崗位和人員。b)分解應(yīng)用安全規(guī)程并制定與之相適應(yīng)的應(yīng)用安全實(shí)施細(xì)則c)定期審核和更新應(yīng)用安全規(guī)程。5.1.3人員能力人員能力是組織執(zhí)行應(yīng)用安全工作的人員的意識(shí)及專業(yè)水平方面的能力?；救藛T能力包括：a)制定應(yīng)用安全人力資源策略，明確不同崗位人員在應(yīng)用安全生命周期各階段的工作范疇和安全管控措施。b)制定應(yīng)用安全人員招聘、錄用、上崗、調(diào)崗、離崗、考核、選拔等人員安全管理制度c)建立人員安全責(zé)任獎(jiǎng)懲管理制度，并按照規(guī)定對(duì)應(yīng)用安全損失的人員給與相應(yīng)處理，記錄并保存相關(guān)信息。培訓(xùn)能力是組織對(duì)從事應(yīng)用安全工作的人員以及全員進(jìn)行培訓(xùn)，以提升應(yīng)用安全工作人員的專業(yè)技能，提升全員的意識(shí)。基本培訓(xùn)能力包括：a)建立定期應(yīng)用安全培訓(xùn)制度，持續(xù)提高人員應(yīng)用安全思想意識(shí)和應(yīng)用安全技術(shù)能力。b)安全思想意識(shí)培訓(xùn)納入政策法規(guī)要求。c)應(yīng)用安全技術(shù)培訓(xùn)包括但不限于安全編碼、安全測試等。d)對(duì)應(yīng)用安全培訓(xùn)參與度與合規(guī)度進(jìn)行跟蹤。5.1.5產(chǎn)品/工具能力5產(chǎn)品/工具能力是組織通過技術(shù)手段和產(chǎn)品工具固化安全要求或自動(dòng)化實(shí)現(xiàn)安全工作方面的能力。產(chǎn)品/工具可以使獨(dú)立的系統(tǒng)平臺(tái)、工具、功能或算法技術(shù)等基本產(chǎn)品/工具能力要求包括：a)建立統(tǒng)一的應(yīng)用安全產(chǎn)品平臺(tái)，覆蓋組織的典型業(yè)務(wù)場景。b)建立統(tǒng)一發(fā)布授權(quán)的應(yīng)用安全工具平臺(tái)，包括開發(fā)工具、編譯工具、源代碼分析工具、模糊測試工具、程序故障跟蹤工具等c)建立組織常用開發(fā)語言的安全開發(fā)規(guī)范和最小化安全編碼檢查清單d)產(chǎn)品/工具和組織現(xiàn)有的業(yè)務(wù)系統(tǒng)和信息系統(tǒng)等進(jìn)行銜接。e)建立應(yīng)用安全產(chǎn)品/工具應(yīng)用頻度和效能反饋、統(tǒng)計(jì)機(jī)制，定期審核和改進(jìn)應(yīng)用安全產(chǎn)品/工具5.1.6漏洞治理能力漏洞管理能力是組織通過技術(shù)或管理措施以發(fā)現(xiàn)、驗(yàn)證、處置、消減應(yīng)用軟件漏洞，減少應(yīng)用脆弱性的能力。a)建立組織級(jí)別的通用漏洞庫，并對(duì)漏洞進(jìn)行分級(jí)分類，維護(hù)漏洞的修復(fù)方案。b)應(yīng)用安全測試或安全運(yùn)營階段發(fā)現(xiàn)的新漏洞。及時(shí)納入組織的通用漏洞庫。c)建立接收外部公共漏洞平臺(tái)、白帽子、公眾等個(gè)人或組織紕漏漏洞的渠道。d)建立應(yīng)用安全接口人聯(lián)系渠道，及時(shí)對(duì)發(fā)現(xiàn)的漏洞進(jìn)行通報(bào)，并監(jiān)督其修復(fù)過程。5.1.7解決方案能力解決方案能力是基于業(yè)界標(biāo)準(zhǔn)、最佳實(shí)踐等途徑積累，建立組織級(jí)別的應(yīng)用安全解決方案倉庫，供應(yīng)用級(jí)安全能力建設(shè)過程進(jìn)行復(fù)用，以提高過程效率和規(guī)范性。a)解決方案以場景描述為索引，包括技術(shù)棧、測試方案、解決方案、培訓(xùn)方案等要素。b)建立支撐業(yè)務(wù)安全的安全功能組件庫，覆蓋認(rèn)證、鑒權(quán)、訪問控制、加密、隔離等方面。c)應(yīng)用生命周期結(jié)束時(shí)，分析該應(yīng)用是否引入新的解決方案，并評(píng)估納入組織級(jí)的解決方案可能5.1.8體系度量能力體系度量能力是通過收集、分析、報(bào)告相關(guān)的數(shù)據(jù)以了解和監(jiān)控應(yīng)用安全能力建設(shè)的狀態(tài)，判斷應(yīng)用安全控制措施的有效性，發(fā)現(xiàn)潛在的安全控制弱點(diǎn)，為組織改進(jìn)應(yīng)用安全能力提供支持。a)建立應(yīng)用安全能力度量目標(biāo)，可以定性和定量相互結(jié)合方法確定應(yīng)用安全度量指標(biāo)體系；b)基于度量指標(biāo)，建立應(yīng)用安全度量模型，并設(shè)定應(yīng)用安全基線c)建立或裁減度量數(shù)據(jù)收集、分析和報(bào)告的過程，宜建立提供支持的工具和技術(shù)。d)定期開展應(yīng)用安全體系度量，并按照組織定制的一致性模板，輸出度量報(bào)告。e)對(duì)度量報(bào)告進(jìn)行評(píng)價(jià)和改進(jìn)，識(shí)別組織應(yīng)用安全能力建設(shè)所需的改進(jìn)，并計(jì)劃實(shí)施。f)已識(shí)別的改進(jìn)被組織級(jí)應(yīng)用安全領(lǐng)導(dǎo)小組正式記錄和批準(zhǔn)，保證按計(jì)劃實(shí)施改進(jìn)。5.2應(yīng)用級(jí)應(yīng)用安全能力建設(shè)5.2.1需求分析階段需求分析階段能力建設(shè)包括：1)完整描述應(yīng)用的業(yè)務(wù)或技術(shù)場景，并維護(hù)場景和應(yīng)用的對(duì)應(yīng)關(guān)系。2)能夠采用文字、圖表等方式描述場景相關(guān)角色和過程71)利用應(yīng)用安全需求規(guī)范、應(yīng)用安全設(shè)計(jì)規(guī)范等文檔輔助代碼審核，能夠?qū)徍舜a實(shí)現(xiàn)與規(guī)范的符合性。2)結(jié)合應(yīng)用開發(fā)成果，對(duì)應(yīng)用安全設(shè)計(jì)規(guī)范進(jìn)行重新審查，確保對(duì)應(yīng)用的任何設(shè)計(jì)或?qū)崿F(xiàn)變更已經(jīng)被規(guī)范考慮在內(nèi)，并且由于變更產(chǎn)生的任何新的威脅已經(jīng)被評(píng)審和消減。3)重新評(píng)估分析和評(píng)估應(yīng)用的受攻擊面，確定應(yīng)用的高風(fēng)險(xiǎn)區(qū)域。1)采用組織推薦的半自動(dòng)化技術(shù)工具進(jìn)行模糊測試，并對(duì)模糊測試發(fā)現(xiàn)的崩潰或者意見進(jìn)行分析，能夠?qū)Πl(fā)生的崩潰或者意見給出解釋和安全結(jié)論。2)利用組織建立的通用漏洞庫，檢索類似應(yīng)用或場景的已發(fā)現(xiàn)漏洞，并在測試計(jì)劃中添加對(duì)該漏洞的測試。3)對(duì)于應(yīng)用的高風(fēng)險(xiǎn)區(qū)域，基于組織內(nèi)部安全技術(shù)人員或邀請(qǐng)第三方機(jī)構(gòu)進(jìn)行滲透測試。4)對(duì)于在線應(yīng)用，進(jìn)行數(shù)據(jù)流測試。覆蓋所有的外部訪問頁面和接口，包括自動(dòng)重定向頁面5)代碼測試至少覆蓋應(yīng)用安全需求規(guī)范的最小需求集合。1)將安全測試發(fā)現(xiàn)的所有缺陷納入到應(yīng)用的程序故障跟蹤工具統(tǒng)一管理。2)宜采用組織建立的通用漏洞庫修復(fù)方案進(jìn)行代碼修復(fù)。3)進(jìn)行漏洞回歸測試。以確保類似的漏洞不會(huì)在無意中重新引入到代碼中。4)遺留未修復(fù)的缺陷或漏洞經(jīng)過評(píng)審且不破壞應(yīng)用安全策略。5.2.5上線/變更階段上線/變更階段能力建設(shè)包括：1)提供用戶指導(dǎo)性安全最佳實(shí)踐文檔，包括但不限于安裝文檔、使用文檔。2)提供針對(duì)實(shí)際客戶問題的工具，例如使用模板、配置軟件等。3)默認(rèn)提供安全配置，且當(dāng)用戶變更安全配置時(shí)，宜對(duì)用戶提示關(guān)于變更配置引起的安全b)軟件保護(hù)3)采用技術(shù)手段進(jìn)行應(yīng)用反調(diào)試或注入