淺談信息系統(tǒng)安全集成服務(wù)能力建設(shè)

翟亞紅 ，吳 治 ，2，段靜輝 ，彭琳賡

(1.中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心，北京100020；2.遼寧省先進(jìn)裝備制造業(yè)基地建設(shè)工程中心，遼寧 沈陽110001)

0 引言

安全集成服務(wù)認(rèn)證作為一項(xiàng)自愿性認(rèn)證，由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(以下簡(jiǎn)稱：網(wǎng)安中心)負(fù)責(zé)，自2012 年至今已經(jīng)過將近十年的發(fā)展。信息安全服務(wù)[1]現(xiàn)有 7 個(gè)方向，分別是信息安全風(fēng)險(xiǎn)評(píng)估、信息系統(tǒng)安全集成、信息安全應(yīng)急處理、信息安全災(zāi)難備份與恢復(fù)、軟件安全開發(fā)、信息系統(tǒng)安全運(yùn)維、網(wǎng)絡(luò)安全審計(jì)。 截止到 2020 年 6 月底，獲得安全集成服務(wù)認(rèn)證企業(yè)近兩千家，是各類安全服務(wù)企業(yè)申請(qǐng)并取得證書數(shù)量最多的一類服務(wù)。

隨著信息技術(shù)的發(fā)展，特別是網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，安全集成服務(wù)認(rèn)證依據(jù)自ISCCC-SV-003：2011《信息系統(tǒng)安全集成服務(wù)認(rèn)證規(guī)則》發(fā)展至CCRC-ISV-C01:2018《信息安全服務(wù)規(guī)范》，安全集成服務(wù)專業(yè)能力已受到前所未有的重視。在認(rèn)證審核的過程中，無論是對(duì)于已獲證企業(yè)的監(jiān)督審核，還是對(duì)于新申請(qǐng)企業(yè)的初次審核，從滿足審核依據(jù)的要求方面，仍然存在著各種不同程度的問題；從國家安全戰(zhàn)略方面，安全集成服務(wù)企業(yè)自身安全服務(wù)能力需要持續(xù)提升，從而促進(jìn)網(wǎng)絡(luò)安全建設(shè)能力水平，有利于提升整體網(wǎng)絡(luò)安全防護(hù)能力。

本文首先分析安全集成服務(wù)內(nèi)涵；其次分析安全集成專業(yè)評(píng)價(jià)要求，并總結(jié)認(rèn)證審核發(fā)現(xiàn)最為典型的三方面問題，提出安全服務(wù)能力評(píng)價(jià)模型；最后針對(duì)企業(yè)安全集成服務(wù)能力持續(xù)建設(shè)提出一些建議。

1 安全集成服務(wù)內(nèi)涵

1.1 安全集成的定義

信息系統(tǒng)安全集成服務(wù)是按照信息系統(tǒng)建設(shè)的安全需求，采用信息系統(tǒng)安全工程的方法和理論，將安全單元、產(chǎn)品部件進(jìn)行集成的行為或活動(dòng)。 可從多個(gè)層面來理解安全集成的定義：第一個(gè)層面信息系統(tǒng)[2]，對(duì)于信息系統(tǒng)的定義，在此不再贅述；第二個(gè)層面安全，即信息系統(tǒng)安全[3]，包括了信息系統(tǒng)安全體系[4]、信息系統(tǒng)安全管理目標(biāo)、信息系統(tǒng)安全需求、信息系統(tǒng)安全設(shè)計(jì)、信息系統(tǒng)安全技術(shù)、信息安全標(biāo)準(zhǔn)與法律法規(guī)等；第三個(gè)層面集成，是指一些孤立的事物或元素(這里具體指安全單元、產(chǎn)品部件)通過某種方式集中在一起，產(chǎn)生聯(lián)系，從而構(gòu)成一個(gè)有機(jī)整體的過程；第四個(gè)層面技術(shù)和方法，包括需求調(diào)研、方案設(shè)計(jì)、建設(shè)實(shí)施、安全測(cè)試和運(yùn)行維護(hù)過程的技術(shù)和方法；第五個(gè)層面工程項(xiàng)目，主要內(nèi)涵在于項(xiàng)目管理[5]，涉及質(zhì)量管理[6]和信息安全管理[7]方面。

1.2 安全集成服務(wù)的內(nèi)涵

對(duì)于安全集成的理解已在前面進(jìn)行詳述，安全集成服務(wù)其內(nèi)涵體現(xiàn)于服務(wù)， 即對(duì)于一個(gè)項(xiàng)目，必然存在著信息系統(tǒng)的建設(shè)方和信息系統(tǒng)的承建方，承建方憑借其自身的專業(yè)技術(shù)能力向建設(shè)方提供專業(yè)的服務(wù)，雙方通過簽訂合同或協(xié)議，約定各自權(quán)利、義務(wù)、責(zé)任，明確在給定的費(fèi)用和時(shí)間約束規(guī)范內(nèi)，完成一項(xiàng)獨(dú)立的、一次性的工作任務(wù)。 承建方(安全集成企業(yè))通過完成這個(gè)工作任務(wù)，實(shí)現(xiàn)建設(shè)方信息系統(tǒng)安全建設(shè)目標(biāo)。

從審核的角度來看，如何確認(rèn)企業(yè)所提供的業(yè)績(jī)(案例)屬于安全集成類項(xiàng)目，第一，從合同(包括合同的有效組成部分，例如投標(biāo)文件、技術(shù)協(xié)議等)約定來看，這個(gè)項(xiàng)目屬于服務(wù)類的項(xiàng)目，包括了安全服務(wù)在內(nèi)的系統(tǒng)集成類項(xiàng)目(單一設(shè)備采購、獨(dú)立軟件開發(fā)、獨(dú)立產(chǎn)品研發(fā)項(xiàng)目不宜作為安全集成項(xiàng)目)；第二這個(gè)項(xiàng)目一定是有其建設(shè)過程的，即可以從信息系統(tǒng)生命周期[8]角度理解，應(yīng)該至少能夠區(qū)分集成準(zhǔn)備、方案設(shè)計(jì)、建設(shè)實(shí)施和安全保障四個(gè)過程；第三在這個(gè)項(xiàng)目的建設(shè)過程中，企業(yè)應(yīng)用了其自身所具有的集成服務(wù)能力，能夠體現(xiàn)于項(xiàng)目建設(shè)形成的過程文檔和項(xiàng)目建設(shè)的成果。

2 安全集成專業(yè)評(píng)價(jià)

2.1 安全集成專業(yè)評(píng)價(jià)要求

依據(jù) CCRC-ISV-C01：2018 附錄 B 信息系統(tǒng)安全集成服務(wù)資質(zhì)專業(yè)評(píng)價(jià)要求，提出安全集成服務(wù)專業(yè)能力在集成準(zhǔn)備、方案設(shè)計(jì)、建設(shè)實(shí)施、安全保障四個(gè)過程應(yīng)該具備的能力要求，詳見表1 所示。

表1 評(píng)價(jià)指標(biāo)數(shù)量

對(duì)于安全集成專業(yè)評(píng)價(jià)要求，各個(gè)級(jí)別在服務(wù)過程和服務(wù)要點(diǎn)方面的要求基本是涵蓋的， 指標(biāo)數(shù)量的區(qū)別主要體現(xiàn)對(duì)于服務(wù)能力要求程度的不同。 以系統(tǒng)測(cè)試要求為例說明，對(duì)于三級(jí)企業(yè)要求基本具備系統(tǒng)測(cè)試能力，目的是通過測(cè)試驗(yàn)證完成合同約定的服務(wù)內(nèi)容，達(dá)成系統(tǒng)安全建設(shè)目標(biāo)；對(duì)于二級(jí)企業(yè)要求在具備測(cè)試能力的基礎(chǔ)上，能夠規(guī)范地開展測(cè)試，形成測(cè)試方案、記錄、報(bào)告等；對(duì)于一級(jí)企業(yè)則提出了更高的要求，即能夠制定系統(tǒng)安全性測(cè)試方案，模擬攻擊場(chǎng)景，對(duì)系統(tǒng)安全性進(jìn)行測(cè)試，體現(xiàn)了對(duì)企業(yè)在人員、工具、測(cè)試方法、測(cè)試深度、測(cè)試規(guī)范性等綜合能力方面的要求。

2.2 安全集成專業(yè)審核典型問題及分析

總結(jié)近兩年安全集成服務(wù)審核案例，歸納企業(yè)在安全集成專業(yè)能力方面三個(gè)方面的典型問題，并逐一對(duì)問題出現(xiàn)的原因進(jìn)行分析。

第一，表現(xiàn)在技術(shù)服務(wù)要求方面。 對(duì)于初次申請(qǐng)企業(yè)，流程和規(guī)范方面常見問題具體表現(xiàn)在三方面，一是所制定的流程和規(guī)范適用范圍不是安全集成服務(wù)，例如是適用于軟件開發(fā)，或者系統(tǒng)集成實(shí)施等；二是所制定的流程和規(guī)范其內(nèi)容不全面，未能覆蓋安全集成服務(wù)全過程要素；三是所制定的流程和規(guī)范，具體內(nèi)容方面過于宏觀，不能有效地指導(dǎo)項(xiàng)目執(zhí)行，規(guī)范要求與項(xiàng)目執(zhí)行實(shí)際脫節(jié)。 對(duì)于監(jiān)督審核企業(yè)，流程和規(guī)范方面常見問題具體表現(xiàn)在三方面，一是所提供的流程和規(guī)范缺少定期的評(píng)審和修正；二是所提供的流程和規(guī)范，對(duì)照項(xiàng)目執(zhí)行過程文檔，發(fā)現(xiàn)要求在項(xiàng)目實(shí)施過程中未能被充分應(yīng)用；三是規(guī)范的體系化建設(shè)方面，未能及時(shí)地修訂相關(guān)指導(dǎo)書或是未能結(jié)合技術(shù)發(fā)展新制定相關(guān)指導(dǎo)書。 分析以上問題，其主要原因在于三個(gè)方面，首先是對(duì)于規(guī)范條款要求的理解不到位，盡管網(wǎng)安中心通過組織培訓(xùn)，編制自評(píng)估表及自評(píng)估指導(dǎo)書等多種方式對(duì)規(guī)范條款要求進(jìn)行解讀，但在知識(shí)的接收和傳導(dǎo)環(huán)節(jié)依然難以充分有效；其次是企業(yè)安全集成服務(wù)能力部分不足，整體安全集成服務(wù)能力的構(gòu)成包括人員、工具、組織級(jí)管理、項(xiàng)目級(jí)管理以及特殊能力要求等多方面，部分能力的不足或缺失，直接反映在規(guī)范方面要求的缺失；第三是體系化建設(shè)方面不健全，安全集成流程和規(guī)范自身的體系化建設(shè)不完善，以及與組織級(jí)質(zhì)量管理體系、信息安全管理體系等未能夠充分有效地融合。

第二，表現(xiàn)在項(xiàng)目過程管理要求方面。 這個(gè)方面的問題反映在項(xiàng)目組和公司的職能部門兩個(gè)層面，常見問題具體表現(xiàn)在兩方面，一是在安全集成服務(wù)實(shí)施過程中該形成的文檔未形成或未保存或有遺失；二是在安全集成服務(wù)實(shí)施過程中所形成的文檔內(nèi)容不全或不符合公司要求或不滿足審核要求。分析以上問題，其主要原因在于三個(gè)方面，首先從項(xiàng)目組來看，表現(xiàn)在人員能力方面不足，公司級(jí)管理重在對(duì)于項(xiàng)目經(jīng)理的管理，而易忽視對(duì)于項(xiàng)目組成員的管理，職能部門人員對(duì)于項(xiàng)目的參與程度不夠，往往流于形式，對(duì)于項(xiàng)目組成員，尤其是新進(jìn)成員，缺少有效培訓(xùn)，在項(xiàng)目執(zhí)行過程很難按照規(guī)范執(zhí)行。 其次是公司對(duì)項(xiàng)目組績(jī)效考核評(píng)價(jià)的導(dǎo)向問題，重結(jié)果輕過程的要求，導(dǎo)致了項(xiàng)目組在項(xiàng)目執(zhí)行環(huán)節(jié)的管理問題，公司級(jí)職能部門對(duì)于項(xiàng)目監(jiān)管缺失或者失效， 直接導(dǎo)致了項(xiàng)目過程管理的問題。 此外， 特別說明一下監(jiān)督審核中一個(gè)常見問題，即在監(jiān)審過程中，由于管理的原因，未能夠充分地將企業(yè)的安全集成能力充分展現(xiàn)出來。 這個(gè)問題的原因主要是企業(yè)人員變化，特別是規(guī)模大的企業(yè)具有人員多、項(xiàng)目多等特點(diǎn)，監(jiān)督審核的目的在于查驗(yàn)企業(yè)服務(wù)技術(shù)能力的維持情況，而每次企業(yè)申報(bào)項(xiàng)目材料的技術(shù)人員往往因項(xiàng)目不同而變化，因而可能造成申報(bào)材料少交、漏交情況，導(dǎo)致企業(yè)真實(shí)服務(wù)能力水平不能完全體現(xiàn)，當(dāng)然出現(xiàn)這種情況歸根到底還是企業(yè)管理方面的原因。

第三，表現(xiàn)在技術(shù)能力要求方面。 這方面的問題主要反映在方案設(shè)計(jì)、集成實(shí)施和系統(tǒng)測(cè)試階段，常見問題具體表現(xiàn)在三方面，一是對(duì)于安全需求調(diào)研不充分，如等級(jí)保護(hù)防護(hù)需求，等級(jí)保護(hù)進(jìn)入2.0時(shí)代，無論對(duì)于新建系統(tǒng)，還是改擴(kuò)建系統(tǒng)，等級(jí)保護(hù)的安全防護(hù)需求都應(yīng)該進(jìn)行調(diào)研；二是在設(shè)計(jì)環(huán)節(jié)，未能明確設(shè)計(jì)的依據(jù)(如國家標(biāo)準(zhǔn)、行業(yè)規(guī)范等)，未能編制有效的施工手冊(cè)和作業(yè)指導(dǎo)書；三是系統(tǒng)測(cè)試不全面，未能有效地覆蓋合同建設(shè)內(nèi)容，系統(tǒng)測(cè)試的深度不夠，不能達(dá)成測(cè)試的目的，對(duì)于一級(jí)企業(yè)，包括滲透測(cè)試在內(nèi)的安全性測(cè)試能力尚有一定的不足。 分析以上問題，其主要原因在于三個(gè)方面，首先是認(rèn)識(shí)方面的原因，對(duì)于安全集成技術(shù)能力的本質(zhì)認(rèn)識(shí)不到位，從審核的角度關(guān)注的是企業(yè)自身所具有的技術(shù)能力，而不是集成其他企業(yè)的，未建立或者是未能有效地建立長(zhǎng)效的技術(shù)能力提升體系；其次是基于商務(wù)的或者技術(shù)方面的原因，只完成合同明確約定的服務(wù)內(nèi)容或者是建設(shè)單位明確提出的要求，但是鑒于從事的是“安全”事業(yè)，那么無論建設(shè)單位是否明確提出，作為承建方都有義務(wù)完成國家、行業(yè)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)規(guī)定的要求，例如等級(jí)保護(hù)制度的要求；第三是人員能力、設(shè)備等資源能力的欠缺，專業(yè)技術(shù)人員是企業(yè)發(fā)展的基礎(chǔ)，人員能力是企業(yè)服務(wù)能力的直接體現(xiàn)，因此對(duì)于專業(yè)技術(shù)人員能力的培養(yǎng)是十分重要的。 從事信息安全服務(wù)應(yīng)用自動(dòng)化的工具設(shè)備是提升服務(wù)能力效率最直接的方式，因此，對(duì)于工具設(shè)備的配置和使用，特別是有能力的服務(wù)企業(yè)，對(duì)于工具的自主研發(fā)也是十分重要的。

2.3 安全服務(wù)能力評(píng)價(jià)模型

為促進(jìn)提升安全服務(wù)企業(yè)安全服務(wù)能力，同時(shí)持續(xù)改進(jìn)安全服務(wù)能力評(píng)價(jià)水平，基于對(duì)安全服務(wù)能力核心要素的識(shí)別， 構(gòu)建安全服務(wù)能力評(píng)價(jià)模型，如圖1 所示。

該模型適用于目前包括安全集成服務(wù)方向的8個(gè)信息安全服務(wù)方向。 由圖1 可見，安全服務(wù)能力評(píng)價(jià)等級(jí)劃分為一級(jí)、二級(jí)和三級(jí)，安全服務(wù)能力核心要素包括質(zhì)量管理能力、 信息安全管理能力、項(xiàng)目管理能力、流程與規(guī)范水平、人員素質(zhì)與能力、工具設(shè)備水平、特殊能力。 對(duì)于特殊能力作為不同方向的差異化能力要求。

圖1 安全服務(wù)能力評(píng)價(jià)水平

3 安全集成服務(wù)能力建設(shè)幾點(diǎn)建議

3.1 多體系融合方面的建議

安全集成服務(wù)涉及ISO9001 質(zhì)量管理體系、ISO27001：2013信息安全管理體系 、ISO20000-1：2011 信息技術(shù)服務(wù)管理體系等多體系，因此，安全集成服務(wù)首先應(yīng)是在某管理體系覆蓋范圍中，其次能夠按照管理體系的要求良好運(yùn)行，第三，多體系作為上層結(jié)構(gòu)，安全集成服務(wù)在執(zhí)行層與體系要保持一致。安全集成服務(wù)是一種組織行為，因此，在企業(yè)中安全集成服務(wù)需要各職能部門按職責(zé)分工，共同協(xié)作，才能得以保證。

3.2 與國家網(wǎng)絡(luò)安全法規(guī)、標(biāo)準(zhǔn)結(jié)合方面的建議

安全集成服務(wù)技術(shù)能力建設(shè)，必須重視國家網(wǎng)絡(luò)安全法規(guī)、國家和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)。 如等級(jí)保護(hù)制度。 等級(jí)保護(hù)2.0 是網(wǎng)絡(luò)安全的一次重大升級(jí)， 等級(jí)保護(hù)對(duì)象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴(kuò)展到云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等。 企業(yè)更加需要組織技術(shù)人員加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施防護(hù)、等級(jí)保護(hù)等相關(guān)法規(guī)，尤其是國家、行業(yè)現(xiàn)行技術(shù)標(biāo)準(zhǔn)的培訓(xùn)和學(xué)習(xí)。 在安全集成服務(wù)全過程中準(zhǔn)確應(yīng)用相關(guān)規(guī)范、技術(shù)標(biāo)準(zhǔn)。 例如需求分析需要關(guān)注系統(tǒng)安全保護(hù)等級(jí)，安全設(shè)計(jì)引用等級(jí)保護(hù)基本要求，安全功能方面的設(shè)計(jì)至少滿足相應(yīng)等級(jí)要求，產(chǎn)品和技術(shù)的選擇滿足網(wǎng)絡(luò)安全審查要求等。

3.3 系統(tǒng)測(cè)試能力提升方面的建議

系統(tǒng)測(cè)試能力是安全集成服務(wù)能力中的一項(xiàng)重要要求。 但這個(gè)方面往往是企業(yè)比較容易忽視或不夠重視的。 測(cè)試能力是一個(gè)企業(yè)對(duì)安全集成結(jié)果進(jìn)行自測(cè)的一項(xiàng)技術(shù)。 加強(qiáng)系統(tǒng)測(cè)試能力提升主要可以從三個(gè)方面入手，第一人員方面，配置專職的測(cè)試人員；第二工具方面，配置專用的測(cè)試工具(商用、開源)，并加強(qiáng)對(duì)工具的安全管理；第三指導(dǎo)書方面，建立系統(tǒng)測(cè)試方面的指導(dǎo)書、測(cè)試方案模板、測(cè)試計(jì)劃模板、測(cè)試記錄模板、測(cè)試報(bào)告模板等，并能夠持續(xù)地改進(jìn)完善。

4 結(jié)束語

安全集成服務(wù)技術(shù)能力本質(zhì)上是企業(yè)所擁有的安全集成技術(shù)知識(shí)，這些知識(shí)附著在人員、設(shè)備、信息和組織中。 企業(yè)安全集成服務(wù)能力建設(shè)就是需要建立適合企業(yè)自身發(fā)展的能夠不斷積累企業(yè)知識(shí)的長(zhǎng)效機(jī)制。 只有安全集成行業(yè)總體能力水平提升，才能更有助于在信息系統(tǒng)建設(shè)環(huán)節(jié)有效提升系統(tǒng)安全建設(shè)的水平，才能有效提高信息系統(tǒng)安全防護(hù)水平，從而促進(jìn)國家整體網(wǎng)絡(luò)安全防護(hù)能力的提升。