在過去的十幾年里，隨著信息技術(shù)的高速發(fā)展和企業(yè)信息化步伐的深入，企業(yè)在利用信息技術(shù)實(shí)現(xiàn)其商業(yè)目標(biāo)的同時(shí)也變得越來越依賴于信息技術(shù)。以銀行業(yè)為例，為了降低運(yùn)營成本，提高用戶滿意度，今天的銀行普遍利用信息技術(shù)支持的電話銀行、ATM及網(wǎng)絡(luò)銀行系統(tǒng)為客戶提供個(gè)性化、差異化的服務(wù)。另外，銀行也在不斷利用信息技術(shù)收集和分析大量的與客戶有關(guān)的數(shù)據(jù)和信息，為新產(chǎn)品開發(fā)提供決策支持，從而達(dá)到提高盈利水平的目標(biāo)。在今天的企業(yè)信息環(huán)境里，如何保證信息系統(tǒng)以及信息本身的安全性已然變得至關(guān)重要了。事實(shí)上，在今天具有一定規(guī)模的企業(yè)的IT環(huán)境里往往存在著少則幾百個(gè)多則上千個(gè)大大小小的業(yè)務(wù)應(yīng)用（Line of Business Applications），小到支持幾個(gè)人的小規(guī)模團(tuán)隊(duì)的協(xié)同應(yīng)用，大到貫穿于一個(gè)企業(yè)生產(chǎn)、經(jīng)營、管理全過程的企業(yè)級(jí)應(yīng)用。如何降低信息技術(shù)給企業(yè)帶來的各種安全風(fēng)險(xiǎn)呢？無疑已成為當(dāng)今所有企業(yè)面臨的新挑戰(zhàn)。

      企業(yè)信息安全的涵蓋面非常廣，涉及到人員、流程和技術(shù)等諸多方面的因素。正因?yàn)槿绱?，一方面信息安全越來越受到廣泛的關(guān)注，并且企業(yè)在信息安全方面的投入不斷增加，而另一方面各種給企業(yè)造成負(fù)面影響的安全事件卻層出不窮。單純的技術(shù)手段往往無法幫助企業(yè)徹底消除存在的諸多安全問題，只有建立起一整套安全策略和流程，通過合理地資源配置并且充分利用各種技術(shù)和非技術(shù)手段，企業(yè)才有可能更加有效地管理各類安全風(fēng)險(xiǎn)。

      信息安全包括安全體系的構(gòu)建和管理、物理和環(huán)境安全、數(shù)據(jù)中心和網(wǎng)絡(luò)安全、系統(tǒng)開發(fā)和維護(hù)安全等多方面內(nèi)容。今天我們?cè)谶@里討論的話題將主要圍繞安全系統(tǒng)開發(fā)，即企業(yè)在業(yè)務(wù)應(yīng)用的開發(fā)過程中應(yīng)該如何應(yīng)對(duì)各種可能對(duì)應(yīng)用造成影響的安全性問題。微軟看來，保證和提高應(yīng)用安全性的最佳時(shí)機(jī)是在應(yīng)用的開發(fā)階段。微軟信息安全部門的ACE團(tuán)隊(duì)通過多年來在應(yīng)用安全領(lǐng)域的實(shí)踐經(jīng)驗(yàn)，創(chuàng)建了一整套安全開發(fā)流程，即信息技術(shù)安全開發(fā)生命周期流程（Secure Development Lifecycle for Information Technology，縮寫為SDL-IT）。該流程包含有一系列的最佳實(shí)踐和工具，多年以來不僅被用于微軟內(nèi)部業(yè)務(wù)應(yīng)用的開發(fā)過程中，而且也被成功地應(yīng)用在許多微軟客戶的開發(fā)項(xiàng)目中。

      SDL-IT流程涵蓋了軟件開發(fā)生命周期的整個(gè)過程（如下圖所示）。目的是通過在軟件開發(fā)生命周期的每個(gè)階段執(zhí)行必要的安全控制或任務(wù)，保證應(yīng)用安全最佳實(shí)踐得以很好地應(yīng)用。SDL-IT強(qiáng)調(diào)在業(yè)務(wù)應(yīng)用的開發(fā)和部署過程中對(duì)應(yīng)用安全給予充分的關(guān)注，通過預(yù)防、檢測(cè)和監(jiān)控措施相結(jié)合的方式，從而降低應(yīng)用安全開發(fā)和維護(hù)的總成本。

      SDL-IT流程的第一步首先是對(duì)所要開發(fā)的應(yīng)用進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。根據(jù)應(yīng)用的風(fēng)險(xiǎn)和影響程度確定在整個(gè)軟件開發(fā)生命周期過程中需要采取的安全控制。在對(duì)應(yīng)用進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí)需要考慮的因素包括應(yīng)用本身，應(yīng)用存儲(chǔ)和處理的數(shù)據(jù)類型（比如是否涉及高業(yè)務(wù)影響數(shù)據(jù)或個(gè)人身份信息等）以及應(yīng)用的部署環(huán)境（比如Internet、Intranet或Extranet應(yīng)用）等。評(píng)估通常是以問卷形式開展的，根據(jù)開發(fā)團(tuán)隊(duì)調(diào)查問卷的結(jié)果計(jì)算加權(quán)得分，確定應(yīng)用的安全風(fēng)險(xiǎn)等級(jí)。微軟的安全策略明確規(guī)定了不同安全風(fēng)險(xiǎn)等級(jí)的應(yīng)用所需采取的安全控制（如下圖所示）。

      接下來SDL-IT流程要求為應(yīng)用建立安全威脅模型。安全威脅建模的目的是幫助應(yīng)用開發(fā)團(tuán)隊(duì)在應(yīng)用的設(shè)計(jì)階段充分了解應(yīng)用中存在的各種安全威脅并指導(dǎo)應(yīng)用開發(fā)團(tuán)隊(duì)選擇適當(dāng)?shù)膽?yīng)對(duì)措施。應(yīng)對(duì)措施的建議可能涉及技術(shù)層面，比如如何改進(jìn)應(yīng)用的設(shè)計(jì)或者如何在代碼編寫過程中避免某些代碼安全漏洞的出現(xiàn)等，也可能涉及流程和人員培訓(xùn)等方面。安全威脅建模的目的是對(duì)應(yīng)用可能帶來的風(fēng)險(xiǎn)進(jìn)行管理。因此，在確定處理安全威脅的優(yōu)先級(jí)和選擇適當(dāng)?shù)膽?yīng)對(duì)措施時(shí)既要考慮安全威脅可能造成影響的大小，同時(shí)也要考慮安全威脅發(fā)生的可能性（如下圖所示）。

      這里將大致介紹一下微軟安全威脅建模的流程。首先是定義應(yīng)用的安全目標(biāo)和需要保護(hù)的信息資產(chǎn)。微軟看來，一個(gè)安全威脅如果不能夠被證明會(huì)對(duì)企業(yè)的信息資產(chǎn)造成損害，它就不構(gòu)成一個(gè)真正的安全威脅。接下來需要了解應(yīng)用的體系架構(gòu)，包括子系統(tǒng)、信任邊界和數(shù)據(jù)流，并且通過對(duì)應(yīng)用體系架構(gòu)的進(jìn)一步細(xì)化，定義應(yīng)用的角色、模塊、數(shù)據(jù)和使用案例。在對(duì)應(yīng)用的安全目標(biāo)、體系架構(gòu)、實(shí)現(xiàn)細(xì)節(jié)和技術(shù)應(yīng)用有了清楚的了解以后，安全人員就可以幫助開發(fā)團(tuán)隊(duì)找出應(yīng)用中可能存在的安全風(fēng)險(xiǎn)和漏洞，并且提出應(yīng)對(duì)措施建議。同時(shí)，安全團(tuán)隊(duì)還會(huì)對(duì)所有的安全風(fēng)險(xiǎn)按照保密性、完整性和可用性（Confidentiality、Integrity﹠Availability，縮寫為CIA）進(jìn)行歸類，以便更好地幫助開發(fā)團(tuán)隊(duì)了解安全漏洞可能造成的影響。最后，針對(duì)各種安全風(fēng)險(xiǎn)，開發(fā)團(tuán)隊(duì)綜合考慮各方面因素確定是否接受、避免、降低或轉(zhuǎn)移安全風(fēng)險(xiǎn)。

      如果使用微軟安全威脅建模工具（Threat Analysis & Modeling Tool），開發(fā)團(tuán)隊(duì)可以利用工具本身提供的報(bào)表功能生成面向應(yīng)用開發(fā)以及測(cè)試人員的報(bào)告。開發(fā)團(tuán)隊(duì)可以利用報(bào)告中的有針對(duì)性的安全編程最佳實(shí)踐和安全檢查清單輔助進(jìn)行安全開發(fā)和測(cè)試。從而實(shí)現(xiàn)從安全人員到應(yīng)用開發(fā)人員的應(yīng)用安全推動(dòng)。此外，在應(yīng)用的開發(fā)過程中，微軟要求開發(fā)團(tuán)隊(duì)內(nèi)部成員間應(yīng)該進(jìn)行代碼安全審核。

      在應(yīng)用投產(chǎn)前，微軟要求由獨(dú)立的安全團(tuán)隊(duì)對(duì)應(yīng)用的安全性進(jìn)行綜合評(píng)估。主要內(nèi)容包括對(duì)應(yīng)用進(jìn)行代碼安全審核（即白盒安全測(cè)試）以及對(duì)應(yīng)用的部署及環(huán)境進(jìn)行安全審核。投產(chǎn)前安全審核的主要目的是檢驗(yàn)在前面階段定義的安全措施是否在應(yīng)用的開發(fā)過程中被正確實(shí)施。安全人員會(huì)利用代碼分析工具（Code Analysis Tool）結(jié)合對(duì)關(guān)鍵應(yīng)用模塊的源代碼進(jìn)行人工逐行掃描的方式，找出應(yīng)用中存在的安全漏洞并提出應(yīng)對(duì)措施建議。開發(fā)團(tuán)隊(duì)根據(jù)嚴(yán)重性級(jí)別對(duì)安全漏洞進(jìn)行修復(fù)。應(yīng)用部署及環(huán)境審核的目的則是降低應(yīng)用的受攻擊面，確保不會(huì)因?yàn)椴渴瓠h(huán)境特別是服務(wù)器的安全性而影響到整個(gè)應(yīng)用的安全性。

      在應(yīng)用投產(chǎn)后對(duì)應(yīng)用及其運(yùn)行環(huán)境進(jìn)行實(shí)時(shí)監(jiān)控也是保障應(yīng)用安全的必要措施。一方面應(yīng)用本身及其部署環(huán)境可能會(huì)發(fā)生改變，使得以前的某些安全性方面的假設(shè)不再有效。另一方面，新的黑客攻擊手段和方法也會(huì)不斷地出現(xiàn)，也可能給應(yīng)用帶來新的安全威脅。此外，某些行業(yè)的企業(yè)可能還會(huì)有合規(guī)性管理（比如ISO、PCI、SOX等）方面的需要，要求企業(yè)對(duì)其IT環(huán)境的技術(shù)標(biāo)準(zhǔn)遵從狀況進(jìn)行監(jiān)控和管理。

      以上關(guān)于SDL-IT流程的描述主要是針對(duì)正在或?qū)⒁_發(fā)的應(yīng)用。那么如何利用SDL-IT，特別是在有限的資源和預(yù)算條件下，提高企業(yè)IT環(huán)境中已投產(chǎn)應(yīng)用的安全性呢？微軟建議企業(yè)應(yīng)遵循SEE（Secure、Enhance﹠Empower）框架：

• Secure：對(duì)關(guān)鍵應(yīng)用進(jìn)行安全設(shè)計(jì)審核和代碼安全審核
• Enhance：對(duì)全部應(yīng)用進(jìn)行風(fēng)險(xiǎn)分析和威脅建模
• Empower：幫助所有開發(fā)人員了解最常見安全漏洞的成因和修復(fù)方法

      在企業(yè)越來越注重投資回報(bào)的今天，SDL-IT的成本是企業(yè)最關(guān)注的問題。另外，如何處理好應(yīng)用安全性和易用性的矛盾并實(shí)現(xiàn)兩者之間的平衡也是企業(yè)需要面對(duì)的實(shí)際問題。SDL-IT會(huì)在一定程度和一定階段增加應(yīng)用開發(fā)的成本，但是卻可以有效地幫助企業(yè)提高開發(fā)、部署和投產(chǎn)的應(yīng)用的安全性和質(zhì)量。通過對(duì)SDLC前期的必要投入（比如安全威脅建模和設(shè)計(jì)審核等），SDL-IT可以有效地幫助企業(yè)降低在應(yīng)用投產(chǎn)后發(fā)現(xiàn)和修復(fù)安全漏洞的成本以及可能帶來的其它損失，比如生產(chǎn)力損失或者對(duì)企業(yè)聲譽(yù)、法規(guī)遵從造成影響等。關(guān)于應(yīng)用安全方面投資回報(bào)的討論是一個(gè)復(fù)雜的話題，在這里就不做更深入地討論了。需要強(qiáng)調(diào)的是：應(yīng)用的安全性和其它需求一樣，是應(yīng)用的一部分。從前"尋找安全漏洞"的做法并不能真正保證應(yīng)用的安全性。企業(yè)有必要改進(jìn)軟件開發(fā)流程，做到在應(yīng)用開發(fā)的整個(gè)過程中自始至終地關(guān)注應(yīng)用安全。最后借用Bill Malick的一句話"Security is like the brakes on your car. Their function is to slow you down. But their purpose is to allow you to go fast."

      如果您想了解關(guān)于微軟SDL-IT流程的更多信息及相關(guān)服務(wù)，請(qǐng)發(fā)送電子郵件到acesvc@microsoft.com或者與您的微軟客戶代表、服務(wù)代表、方案業(yè)務(wù)經(jīng)理或技術(shù)客戶經(jīng)理聯(lián)系。