【正文】 4， 對于惡意軟 件防護(hù)方面，我們在系統(tǒng)層面采用安全加固技術(shù)保證了其自身的安全性。 系統(tǒng)訪問控制 【系統(tǒng)訪問控制的建設(shè)要點】：系統(tǒng)訪問控制包括八個控制目標(biāo)：訪問控制策略、用戶訪問管理、用戶責(zé)任、網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪問控制、應(yīng)用訪問控制、監(jiān)控系統(tǒng)的訪問和使用、以及移動計 算和遠(yuǎn)程辦公。“網(wǎng)絡(luò)訪問控制”、“操作系統(tǒng)訪問控制”、“應(yīng)用訪問控制”包括非常多的內(nèi)容，分別從網(wǎng)絡(luò)層、操作系統(tǒng)層和應(yīng)用層，提出要求，目標(biāo)是在不同層面建立身份與口令管理、隔離、訪問控制、認(rèn)證、超時、敏感信息保護(hù)、審計、以及路由、執(zhí)行路徑等安全保護(hù)手段。 2， 在網(wǎng)絡(luò)訪問控制層面，我們采用防火墻在各安全域間建立安全的網(wǎng)絡(luò)邊界，同時對關(guān)鍵的業(yè)務(wù)進(jìn)行了更多層次的、不同級別的縱深防護(hù)； 3， 在系統(tǒng)訪問控制層面，我們對系統(tǒng)層面除了啟用系統(tǒng)自 身的訪問控制機制外，我們對關(guān)鍵業(yè)務(wù)主機部署了超越操作系統(tǒng)的、更為強大細(xì)化的專業(yè)訪問控制產(chǎn)品； 4， 在用戶訪問管理方面，一方面專門制度了《帳戶口令管理制度》，另一方面采用一次性口令認(rèn)證機制和雙因素認(rèn)證機制來實現(xiàn)系統(tǒng)及應(yīng)用的安全訪問，這一系列的訪問均有用戶訪問控制策略做指導(dǎo)。 9， 最后，我們對各項訪問控制措施采用了集中審計機制，以便對違規(guī)行為及時發(fā)現(xiàn)和分析。“密碼控制”要求建立開發(fā)維護(hù)過程中關(guān)于密碼使用的策略，采取有效的密碼、密鑰管理、數(shù)字簽名等技術(shù)。另外對密鑰生產(chǎn)過程的每個過程中可能隱藏的安全因素均進(jìn)行了全面的考慮并嚴(yán)格控制每個過程。 業(yè)務(wù)連續(xù)性規(guī)劃 【業(yè)務(wù)連續(xù)性規(guī)劃的建設(shè)要點】：業(yè)務(wù)連續(xù)性管理只有一個控制目標(biāo)：“業(yè)務(wù)連續(xù)性管理的各個方面”，要求制定相應(yīng)策略和管理制度，消除商業(yè)活動受到的干擾，保護(hù)關(guān)鍵的商業(yè)程序不受重大故障或者災(zāi)難的影響?！胺戏梢蟆币蟮膬?nèi)容覆蓋了明確適用的法律、知識產(chǎn)權(quán)保護(hù)、企業(yè)記錄保護(hù)、個人隱私和數(shù)據(jù)保護(hù)、防止信息設(shè)施濫用、證據(jù)收集等。并設(shè)置專人負(fù)責(zé)日常的安全與審計工作，通常由專職的安全管理員承擔(dān)此項工作。 依據(jù) BS7799建設(shè)安全可靠的 PKI/CA認(rèn)證中心，不僅僅提高了認(rèn)證中心的安全性，還為天威誠信贏得了客戶的信賴，國內(nèi)很多大的企業(yè)都認(rèn)可天威誠信 PKI/CA 認(rèn)證中心的安全管理，承認(rèn)天威誠信 PKI/CA 認(rèn)證中心的確是安全的認(rèn)證中心，包括微軟（中國）、新浪、聯(lián)想、華為、 TCL 等等國內(nèi)知名企業(yè)都購買天威誠信 PKI/CA 認(rèn)證中心提供的數(shù)字信任服務(wù)，依托于天威誠信 PKI/CA認(rèn)證中心提供的安全可靠的數(shù)字信任服務(wù)，構(gòu)建企業(yè)安全的應(yīng)用系統(tǒng)。 憑藉獨創(chuàng)的先進(jìn)科技，超過 20年的專業(yè)經(jīng)驗和強大的研發(fā)能力， Ibas一直是政府、軍隊、警務(wù)、金融、保險等高敏感應(yīng)用客戶的首選方案提供商，同時，在航空和海難事故、刑事案件、戰(zhàn)爭罪行等諸多知名案例調(diào)查過程中的出色表現(xiàn)，為 Ibas贏得了崇高的聲望和長期的市場領(lǐng)先地位。 Ibas 香港希望通過 BS7799項目的實施，建立起符合安全管理國際標(biāo)準(zhǔn)和業(yè)務(wù)運作要求的信息安全管理體系，獲得權(quán)威機構(gòu)的資質(zhì)認(rèn)證，從而在提高業(yè)務(wù)安全管理水平的同時，增強客戶對Ibas專業(yè)安全服務(wù)的信心和品牌知名度。 Audit 針對差距分析和風(fēng)險控制的結(jié)果進(jìn)行定時復(fù)查 陪同客戶接受認(rèn)證公司的答問和檢查，并就認(rèn)證公司所審核出來的問題作修改和完善 ISMS 運行階段 +20 工作日 項目結(jié)束 BS7799 的兩部分分別給出了組織安全管理體系的要求和最佳參考實踐，但距離實際操作仍留下許多空白，這給安全顧問公司提供了價值發(fā)揮的空間。在本項目中，最終選擇了企業(yè)的核心業(yè)務(wù)系統(tǒng)作為此次認(rèn)證的范圍，其 ISMS 邊界包括數(shù)據(jù)安全實驗室及所有與“數(shù)據(jù)銷毀和數(shù)據(jù)恢復(fù)服務(wù)”相關(guān)的信息資產(chǎn)，從而確保了 BS7799 實施與預(yù)期目標(biāo)的一致性。風(fēng)險評估既然服務(wù)于企業(yè)的業(yè)務(wù)目標(biāo)，就應(yīng)當(dāng)?shù)玫綐I(yè)務(wù)部門的支持，事實上，只有他們最理解需要保護(hù)什么，保護(hù)的 程度如何，擔(dān)心哪些安全問題，發(fā)生過什么安全事件，是否值得以特定成本實施安全控制而降低某項風(fēng)險。 （ 4）成功的風(fēng)險評估還要避免片面性、主觀性，避免與漏洞掃描或穿透測試混為一談。我們和客戶討論了各種細(xì)微的業(yè)務(wù)流程隱患，甚至以 Ibas用戶身份參觀公司，以了解這項服務(wù)存在的外部隱患。 （ 5）風(fēng)險評估的好壞不局限于采用定性或定量的風(fēng)險評估方法，而在于能否為安全控制提供足夠的決策參考依據(jù)。 如何發(fā)揮人的主觀能動性？ 人是安全管理體系的靈魂，而不是沒有生命力的產(chǎn)品或文檔體系。如果在安全手冊的扉頁有 CEO對安全的評論和簽名，顯然增加了該文檔的權(quán)威性。 在評審階段，由于加安派出的獨立審計員預(yù)先對已建立的文件體系和實施成果 進(jìn)行了檢查，提出了評審意見和不符合項的糾正措施，然后幫助 Ibas 進(jìn)行了改善，因此，正式外審非常順利獲得了通過。 五、 經(jīng)驗總結(jié) BS7799 信息安全管理體系的實施，最大意義不在于顯著改善企業(yè)的安全風(fēng)險水平，而在于讓企業(yè)擁有可控的風(fēng)險管理架構(gòu)、方法和保障落實機制。它由兩部分組成： 1 第 1部分規(guī)定了一系列需要滿足的關(guān)鍵安全目標(biāo)，并確定了一系列可以用來滿足這些目標(biāo)的安全控制措施。 二、 BS7799控制目標(biāo)與措施 BS7799 定義了安全管理的十個主要領(lǐng)域，它們分別是：安全方針、安全組織、資產(chǎn)分類及控制、人員安全、物理和環(huán)境安全、通信和運行管理、系統(tǒng)訪問控制、系統(tǒng)開發(fā) 與維護(hù)、業(yè)務(wù)持續(xù)性管理和符合性。 同時，我們應(yīng)該注意到， BS7799 定義了安全管理活動中的目標(biāo)和措施，但是并沒有規(guī)定如何去實現(xiàn)這些措施，如何通過工具和信息技術(shù)手段來保障，而 把這些過程留給了企業(yè)和安全專業(yè)廠家。 同時，安全方針的建設(shè)和維護(hù)還有以下若干個特點： 1 首先，該安全方針應(yīng)該在企業(yè)范圍內(nèi)為廣大用戶所了解和接受； 1 其次，安全方針應(yīng)該納入正式的變更、配置和發(fā)布管理過程中，定期的、持續(xù)性的評審和檢查非常重要。 【 CA解決方案】 1 CA 專業(yè)咨詢可以幫助識別安全方針方面的需求，提供業(yè)界的最佳實踐參考，幫助開發(fā)適合的安全方針。安全組織要求定義企業(yè)機構(gòu)內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實安全責(zé)任，與安全有關(guān)的授權(quán)過程，同時，要求管理者能夠識別第三方合作和外包過程中的風(fēng)險，并通過相關(guān)的合同控制安全風(fēng)險。 1 CA eSCC 可以提供覆蓋第三方和外包方的全方位監(jiān)控和審計手段，并且提供基于角色的視圖。 1 CA Unicenter Asset Management 可以幫助 IT 管理者收集、展示、實時監(jiān)視企業(yè)范圍內(nèi)的信息資產(chǎn)，并進(jìn)行配置管理 人員安全 人員安全包括三個控制目標(biāo)：職責(zé)分工和資源中的安全、用戶培訓(xùn)、對安全事件和故障的響應(yīng)?！皩Π踩录凸收系捻憫?yīng)”要求采取措施將安全事 件和故障造成的損害降低到最低水平，對此類事件進(jìn)行監(jiān)控并從中汲取知識和吸取經(jīng)驗。 1 CA eTrust Security Command Center可以提供集 中統(tǒng)一的安全事件收集、過濾、相關(guān)、監(jiān)視、報表等管理服務(wù)。而“設(shè)備安全”的控制措施可以防止資產(chǎn)丟失、受損和受到威脅，防止業(yè)務(wù)活動受到干擾，包括電信供應(yīng) 和線路安全等等。 1 CA Unicener NSM 可以幫助監(jiān)視 IT 系統(tǒng)的電力供應(yīng)等，并將事件報告給響應(yīng)中心（可能是幫助臺系統(tǒng)）?！安僮鞒绦蚝拓?zé)任”目標(biāo)是確保信息處理設(shè)施操作的正確性和安全性，包括書面操作程序記錄、變更管理、事件管理和職責(zé)分離等控制措施?！熬W(wǎng)絡(luò)管理”目標(biāo)是保衛(wèi)網(wǎng)絡(luò)中的信息、保護(hù)支持性的基礎(chǔ)架構(gòu)。 【 CA解決方案】 ?！靶畔⒑蛙浖粨Q”則要求采取措施，防止信息在交流過程中丟失、被修改或者被誤用。“惡意軟件防護(hù)”的目標(biāo)是保護(hù)軟件和信息的完整性免受惡意軟件的傷害。 1 CA Unicenter Argis 則提供了 IT 系統(tǒng)的全面財務(wù)管理，在 IT系統(tǒng)的整個生命周期上進(jìn)行跟蹤、控制投資回報。 案例之三： BS7799框架下安全產(chǎn)品與技術(shù)的具體實現(xiàn) (2) 【 CA解決方案】 1 CA 專業(yè)咨詢可以提供在物理環(huán)境安全方面如何制定安全策略、設(shè)置安全措施等的幫助。 物理和環(huán)境安全 物理和環(huán)境安全包括三個控制目標(biāo)：安全區(qū)域、設(shè)備安全和一般控制措施。 【 CA解決方案】 1 CA 專業(yè)咨詢可以提供企業(yè)在人員安全、保密協(xié)議、崗位職責(zé)、事件報告和身份管理等方面的經(jīng)驗和業(yè)界最佳實踐?！奥氊?zé)分工和資源中的安全”要求采取有效措施減少人員失誤、盜竊、欺詐以及對設(shè)施的濫用。資產(chǎn)責(zé)任要求建立起翔實、全面的資產(chǎn)目錄；而信息分類則要求建立企業(yè)的信息分類原則，通過信息標(biāo)準(zhǔn)和相關(guān)處理來確保信息資產(chǎn)能夠得到適當(dāng)?shù)燃壍谋Ｗo(hù)。 1 CA eTrust Identity amp。另外 eSCC 提供的各種報表、實時監(jiān)控等可以提供很好的安全策略審計和評估手段。 1 第四，一般情況下，安全方針需要若干支持性文檔和配套規(guī)范。 安全方針 安全方針為信息安全活動提供了管理的方向以及所需的支持手段和管理層的承諾，同時安全方針還應(yīng)該明確定義企業(yè)機構(gòu)中安全方針的維護(hù)責(zé)任?？梢钥吹剑@十個領(lǐng)域覆蓋了安全管理活動中的大部分內(nèi)容，從物理安全到人員組織，從運行維護(hù)到系統(tǒng)開發(fā)，從安全策略到各種具體的控制措施。 其中，第 1部分已經(jīng)于 2020年被批準(zhǔn)為 ISO標(biāo)準(zhǔn)，稱為 ISO/IEC17799： 2020。 案例之三： BS7799框架下安全產(chǎn)品與技術(shù)的具體實現(xiàn) (1) 一、引言 近年來， BS7799 獲得了 越來越多的關(guān)注，越來越多的企業(yè)采用 BS7799作為安全管理方面的最佳實踐參考，使用它來進(jìn)行安全審計和風(fēng)險評估，進(jìn)而建立自己的信息安全管理系統(tǒng)（ ISMS），最終通過 BS7799認(rèn)證。 四、 實施效果 通過實施 BS7799， Ibas香港獲得了以下方面的成功和收益： 建立了完整的文件化的信息安全管理體系，為企業(yè)各項安全相關(guān)活動的開展提供了明確的目標(biāo)和操作指引； 進(jìn)一步明確了安全管理對于業(yè)務(wù)促進(jìn)的重要作用，使安全風(fēng)險和責(zé)任意識從傳統(tǒng)的 IT部門擴展到企業(yè)每個員工，提高了安全管理的整體效率； 通過 PDCA過程方法和相應(yīng)的組織保障體系 ，使企業(yè)安全管理從“無序、零散、被動”的風(fēng)險補救行為轉(zhuǎn)變?yōu)椤跋到y(tǒng)、科學(xué)、連貫、主動”的風(fēng)險駕馭狀態(tài)； 通過把 BS7799的要求引入業(yè)務(wù)流程，使現(xiàn)有的業(yè)務(wù)運作更加安全規(guī)范，減少了流程和操作過程帶來的安全風(fēng)險；另外，通過完善的資產(chǎn)管理，增強的物理環(huán)境安全，以及業(yè)務(wù)連續(xù)性計劃的制定、模擬和定期演練，極大提高了企業(yè)對突發(fā)事件和外部威脅的風(fēng)險防范能力； 通過 BS7799認(rèn)證，意味著企業(yè)對安全風(fēng)險的管理能力獲得國際權(quán)威機構(gòu)的認(rèn)可，有助于消除客戶對于服務(wù)過程中隱私和敏感數(shù)據(jù)泄密的擔(dān)憂，從而鞏固在數(shù)據(jù)安全服務(wù)領(lǐng)域的 專業(yè)形象和市場號召力。這些成果，最終通過高層批準(zhǔn)成為企業(yè)制度的一部分。所有這些，需要有效的培訓(xùn)和管理層的支持。在此情況下，基于特定的指標(biāo)進(jìn)行范圍分級往往是值得推薦的評估方法。我們還檢查了實驗室的裝修環(huán)境，與其他區(qū)域的分隔，以及門禁、監(jiān)控等措施的有效性。此外，完整的風(fēng)險評估應(yīng)涵蓋物理和邏輯兩方面的因素。 （ 3）風(fēng)險評估應(yīng)始終圍繞企業(yè)的目標(biāo)和方針進(jìn)行，比如說，在評估資產(chǎn)和威脅的影響時，都要做 BIA（業(yè)務(wù)影響分析），其中制定的參考指標(biāo)就應(yīng)依據(jù)企業(yè)安全目標(biāo)。就我們的體會來說： （ 1）風(fēng)險評估成功與否的關(guān)鍵首先不在于技術(shù)問題，而在于良好的客戶溝通和會議組織技巧，包括讓管理層和業(yè)務(wù)人員理解風(fēng)險評估的重要性、方法，予以必要的配合、支持，并通過高效的會議組織，獲得較全面的和客觀的調(diào)查反饋信息。它界定了涵蓋的業(yè)務(wù)流程、信息流和相關(guān)資產(chǎn)，因而也確定了 BS7799 信息安全管理體系的邊界和目標(biāo)，這對于實施周期、實施受益的信息管理環(huán)節(jié)都將產(chǎn)生影響。 表 101：項目實施規(guī)劃 階段 子階段 工作內(nèi)容 時間 準(zhǔn)備階段 項目開始 +5工作日 ISMS建立 建立框架 Scoping 定立 ISMS Scope 管理會議 安全小組會議 確定雙方工作責(zé)任和范圍 獲得管理審批 準(zhǔn)備階段 +35工作日 差距分析 Gap Analysis 文檔審查 進(jìn)行安全狀況調(diào)查 進(jìn)行差距分析 輸出報告，列出明差異處并計劃實際資源投放 風(fēng)險評估 Risk Assessment 識別信息資產(chǎn)，評估資產(chǎn)價值 確認(rèn)漏洞和威脅并加分析 輸出風(fēng)險評估報告