信息安全服務體系建設要點研究
——信息安全服務體系研究之四

公安部第三研究所 劉靜 羅崢 江雷

信息安全服務體系建設要點研究
——信息安全服務體系研究之四

公安部第三研究所 劉靜 羅崢 江雷

信息安全服務只有從頂層和整體構建安全服務體系，才切實達到保障國家關鍵信息基礎設施信息安全的要求，提高我國信息安全保障的整體水平。其次，只有建立一個科學的安全服務體系，才能有效發(fā)揮信息安全服務機構的主體作用，推動信息安全產(chǎn)業(yè)的發(fā)展，確保安全服務產(chǎn)業(yè)持續(xù)健康繁榮發(fā)展。本文旨在本系列文章上一篇《信息安全服務體系建設初探》明確了體系建設思路的基礎上提出信息安全服務體系的建設要點和建議。

本文所涉及的信息安全服務對象是我國信息基礎設施和信息系統(tǒng)。對于個人信息安全不在本文范圍。

安全服務體系的建設思路

在上一篇文章中提出了安全服務體系的建設思路，即在信息安全領導部門和管理部門的組織領導下，各相關主體（主體維）按照信息安全保護的工作要求（要求維）相互協(xié)調(diào)配合，通過開展規(guī)范的安全服務活動（活動維），確保在滿足安全需求的同時實現(xiàn)國家統(tǒng)一的信息系統(tǒng)安全要求，體系架構圖如圖1所示。

圖1 信息安全服務體系架構圖

安全服務體系的建設要點

完善的安全服務體系其基本特征如下：

周密的頂層設計、明確的工作要求、統(tǒng)一的安全要求、科學的過程指導、專業(yè)的能力支撐、可信可控的環(huán)境保障、良好的供需關系、規(guī)范的市場行為、長期的技術儲備。

如何建設上述安全服務體系，建設要點如下：

1.周密的頂層設計

安全服務體系是在統(tǒng)一的政策目標下長期的建設過程，在體系設計中要有幾個明確。

（1） 明確責任主體

包括信息安全監(jiān)管部門、信息系統(tǒng)主管部門和運營使用單位、安全產(chǎn)品提供商、咨詢服務機構、系統(tǒng)安全集成商、測評檢測機構、運維服務機構、培訓教育機構和技術研究機構等在安全服務活動中的各個部門的職能和責任。

（2）明確安全服務活動

包括規(guī)劃設計、集成建設、產(chǎn)品部署、安全監(jiān)理、安全評價、運維保障、事件防范、監(jiān)測預警、應急處置等活動的內(nèi)容。

（3）明確主體在安全服務活動的要求

包括工作要求、安全要求、能力要求和過程要求。

（4）明確安全服務體系機制

包括責任主體在安全服務活動中扮演不同的角色、承擔各自的職責、相互關系（需求、依存與配合）。

（5）明確體系建設步驟

包括建設過程中各階段的部署，涉及政策出臺、細則發(fā)布、試點示范、標準編制和培訓宣貫等。

信息安全服務體系建設框架圖如圖2所示：

圖2 信息安全服務體系建設框架圖

2.明確的工作要求

隨著國際國內(nèi)網(wǎng)絡安全形勢的日趨嚴峻，各國都在大力加強網(wǎng)絡安全建設和頂層設計。建設堅固可靠的國家網(wǎng)絡安全體系是必須作出的戰(zhàn)略選擇。中央網(wǎng)絡安全和信息化領導小組宣告成立，顯示出中國最高層在保障網(wǎng)絡安全、維護國家利益、推動信息化發(fā)展的決心。

目前亟待對現(xiàn)有政策進行梳理明確工作要求，完善法律與規(guī)范要求，加快起草國家信息安全戰(zhàn)略和規(guī)劃文件。在戰(zhàn)略目標下，從信息系統(tǒng)相關責任主體、信息系統(tǒng)生命周期和信息安全產(chǎn)業(yè)發(fā)展等不同層面以安全戰(zhàn)略、法律法規(guī)、政策標準、實施細則、技術標準、方法指南和能力評價等提出明確的工作要求。

3.統(tǒng)一的安全要求

信息系統(tǒng)安全服務的目的是使信息系統(tǒng)運營使用單位具備相應的安全防護能力。確保安全防護能力既滿足用戶自身的安全需求也符合國家統(tǒng)一的安全要求。安全要求是指信息系統(tǒng)為具備安全保護能力而提供的安全機制和安全活動。建立統(tǒng)一的安全要求的途徑是構建一套完善的技術標準體系。

目前信息系統(tǒng)建設依據(jù)的主要標準包括《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859-1999）、《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008 ）、《信息安全管理體系要求》（ISO/IEC 27001-2005）、《信息安全技術 信息安全風險評估規(guī)范》（GB/T 20984-2007）、《信息安全技術信息系統(tǒng)安全等級保護測評要求》（GB/T 28448-2012）、《信息系統(tǒng)等級保護安全設計技術要求》（GB/T 25070-2010）、《信息技術 安全技術 信息技術安全性評估準則》（GB/T 18336-2008）、《信息安全技術 信息系統(tǒng)災難恢復規(guī)范》（GB/T 20988-2007）等。

目前標準體系存在的主要問題一方面是不能完全覆蓋信息系統(tǒng)生命周期安全保護的各個階段（如安全運維、應急響應、安全事件等環(huán)節(jié)）。另一方面，現(xiàn)有技術標準缺乏整體規(guī)劃和相應聯(lián)系，比如等級保護技術標準中安全產(chǎn)品的安全功能沒有與信息系統(tǒng)的安全等級要求相對應，造成產(chǎn)品開發(fā)標準與系統(tǒng)建設標準沒有一致性，無法確保信息系統(tǒng)安全防護措施的有效落實。另外，隨著信息技術快速發(fā)展，新技術新應用對安全保護提出新的挑戰(zhàn)，造成現(xiàn)有標準的滯后和部分安全要求的缺失。針對上述問題，建議在國家政策目標下，盡快構造標準框架，一是完善安全服務標準體系的缺失環(huán)節(jié)。二是及時修訂、更新并廢止造成混亂的標準。三是對于目前新技術新應用，加快研究完善現(xiàn)有的技術標準，出臺具有針對性的安全要求標準。四是推動各行業(yè)在通用安全要求基礎上針對自身特點加快制定相應的行業(yè)標準。

4.科學的過程指導（過程要求）

安全服務機構開展服務活動，應依據(jù)統(tǒng)一的過程方法，以確保安全服務的專業(yè)性和規(guī)范性。目前涉及安全服務活動相關過程要求的標準規(guī)范包括《信息安全技術 信息系統(tǒng)安全等級保護實施指南 (GB/T 25058-2010)、《信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》（GB/T 28449-2012）、《信息技術 系統(tǒng)安全工程 能力成熟度模型》（GB/T 20261-2006）、《信息技術 安全技術 信息安全風險管理》（ISO/IEC 27005:2008）、《信息安全風險評估實施指南》（國家標準報批稿）、《信息技術 安全技術 信息安全風險管理》（ISO/IEC 27005:2008）、《信息安全技術 信息系統(tǒng)災難恢復規(guī)范》（GB/ T 20988-2007）等。

安全服務的過程要求存在的問題與安全要求標準體系相似，即不能完全覆蓋信息系統(tǒng)生命周期安全保護的各個階段，如安全規(guī)劃設計、安全運維、應急響應、安全事件、安全監(jiān)理等環(huán)節(jié)。同時，在標準內(nèi)容方面缺乏統(tǒng)一。安全服務過程要求是基于最佳實踐提出的，因此，建議由信息安全監(jiān)管機構統(tǒng)一組織，發(fā)揮安全服務機構各自的優(yōu)勢，圍繞信息系統(tǒng)生命周期各階段的服務活動研究完善標準的過程方法和實施規(guī)范。

5.專業(yè)的能力支撐（能力要求）

信息安全服務機構依據(jù)安全要求開展安全服務，應具備相應的能力要求。準確認定信息安全服務機構的能力，規(guī)范其安全服務活動，是開展信息系統(tǒng)安全保護工作的重要基礎。在本系列文章第二篇中，介紹了目前我國信息安全服務相關的資質和能力要求的內(nèi)容，在今后的安全服務體系建設中，應在現(xiàn)有工作基礎上，有意識的從安全教育體系建設和安全服務能力認定與管理體系兩條主線開展工作。

（1）構建安全服務教育體系

目前涉及信息安全服務教育體系相關的政策主要包括：

1）國務院《國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23號）中要求 “加強宣傳教育和人才培養(yǎng)。開展面向全社會的信息安全宣傳教育培訓。支持信息安全學科師資隊伍、專業(yè)院系、學科體系、重點實驗室建設。在政府機關定期開展信息安全教育培訓。各級財政要加大對信息安全宣傳教育和培訓等公益性活動的支持”。

2）教育部辦公廳《關于進一步加強網(wǎng)絡信息系統(tǒng)安全保障工作的通知》（教辦廳函[2011] 83號）明確要求：建設信息安全工作專業(yè)人才隊伍，建立信息安全崗位持證上崗制度。

3）《信息安全等級保護管理辦法》(公通字[2007] 43號)規(guī)定“第三級以上信息系統(tǒng)應當具有完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度” 。

4）國家電子政務外網(wǎng)管理辦公室《關于加快推進國家電子政務外網(wǎng)安全等級保護工作的通知》（政務外網(wǎng)[2011]15號）中要求：“各級政務外網(wǎng)建設、運維單位要按照統(tǒng)一部署，組織開展政務外網(wǎng)安全等級保護的培訓工作，加強安全人才隊伍建設，提升安全技術保障能力，為政務外網(wǎng)的安全等級保護工作提供技術支持和人才支撐” 。

安全服務教育體系建設應充分利用上述政策，在具體思路上建立信息安全崗位人員的定期培訓機制。一是梳理安全服務活動各階段對于人員的能力要求，開展定向化人員培訓教育，分別建立安全咨詢師、安全工程師、安全運維工程師、安全監(jiān)理師、安全管理體系審核員和安全測評師培訓的機制。二是按照組織職責對于人員的能力要求進行劃分，開展定向教育培訓，分別建立針對單位決策層、安全管理層、執(zhí)行層和系統(tǒng)使用/維護人員幾個層面的培訓教育機制。

（2）構建能力認定與管理體系

信息安全服務機構能力認定與管理體系建設可借鑒目前成熟的認定體系，如國家合格評定委員安全認證認可體系等，在具體思路上要把握機構的級別和能力兩個方面，對于安全服務機構的能力級別，首先提出安全服務機構的基本條件，以此為基礎上借鑒能力成熟度模型逐漸劃分為基本執(zhí)行級、計劃跟蹤級、充分定義級、定量控制級和持續(xù)改進級。對于安全服務機構的能力要求，則針對不同的級別提出相應的組織管理能力、過程控制能力、資源保障能力、技術實施能力、管理運營能力，能力要求逐級提高，信息安全服務機構成熟度模型圖如圖3所示。

圖3 信息安全服務機構成熟度模型圖

6.可信可控的環(huán)境保障

重要信息系統(tǒng)的安全保障工作關系到國家安全和公共利益，因此針對信息系統(tǒng)的安全服務活動在強調(diào)其服務功能技術能力外，其組織、人員、服務過程都應做到可信可控并遵守保密要求，建設要點如下：

（1）可控性保障

可控性是針對組織和人員的審查，對背景的評估和備案，并在出現(xiàn)風險事件時對事態(tài)的可控、對問題可追溯、對前期證據(jù)的可收集分析、對責任的可追究等等。

（2）可信性保障

可信性主要確認安全服務機構組織、人員、設備、環(huán)境、過程各環(huán)節(jié)的可信性，對內(nèi)外部環(huán)境的可信性的識別與確認，以及對機構可信性帶來威脅的識別等。

（3）保密性保障

保密性要求安全服務活動應遵守國家有關保密法律法規(guī)，確保信息系統(tǒng)關鍵信息的安全性，防止由開展安全服務引起的信息泄漏事件的發(fā)生。

7.良好的供需關系

在近期國家網(wǎng)絡安全工作中明確提出了“支持企業(yè)使其成為技術創(chuàng)新主體、信息產(chǎn)業(yè)發(fā)展主體和維護網(wǎng)絡安全的主體”。以此為指導，信息安全服務體系的健康發(fā)展應遵循以市場為主導、以協(xié)調(diào)供求關系為核心，實現(xiàn)安全要求為目的，具體思路包括，一是合理的資源配置管理，開展客戶資源即重要信息系統(tǒng)運營使用單位的梳理，通過建立服務平臺有效實現(xiàn)安全服務資源與客戶資源的對接配備；二是良好的供需關系管理，開展對客戶需求與安全要求進行分析，通過建立技術平臺對客戶需求的挖掘和精準發(fā)現(xiàn)，明確安全產(chǎn)品功能和解決方案與標準的對映關系，構建信息安全產(chǎn)品功能關系庫和安全解決方案庫，實現(xiàn)客戶安全要求（需求）與安全服務機構的匹配。

8.規(guī)范的市場行為

在安全服務體系建設的成熟階段，適時成立行業(yè)協(xié)會等自律組織，規(guī)范安全服務活動，持續(xù)提高安全服務技術能力和水平，實現(xiàn)安全服務市場規(guī)范化、行為標準化、管理制度化，整合資源、相互交流學習、相互合作、共謀發(fā)展。

9.長期的技術儲備

信息安全服務體系建設的一個重要目標是促進國家安全服務產(chǎn)業(yè)的發(fā)展，產(chǎn)業(yè)發(fā)展需要長遠的規(guī)劃和持續(xù)的投入，在具體思路上，一是積極推動信息安全服務活動相關的科研研究工作，及時跟蹤國內(nèi)外信息技術的發(fā)展，總結信息系統(tǒng)安全保護的經(jīng)驗，為安全服務水平的提高建立堅實基礎。二是加快新技術新應用下的安全技術的成果轉化，推動信息安全領域的產(chǎn)品、技術和服務的升級和發(fā)展。

結語

綜上所述，要建設完善的安全服務體系離不開周密的頂層設計、明確的工作要求、統(tǒng)一的安全要求、科學的過程指導、專業(yè)的能力支撐、可信可控的環(huán)境保障、良好的供需關系、規(guī)范的市場行為和長期的技術儲備。信息安全服務只有從頂層和整體構建安全服務體系，才切實達到保障國家關鍵信息基礎設施信息安全的要求，提高我國信息安全保障的整體水平。