【正文】 “介質(zhì)處理與安全”對于目前移動(dòng)性越來越高的企業(yè) IT環(huán)境來說具有特 殊意義，其目標(biāo)是防止資產(chǎn)受到破壞，防止商業(yè)活動(dòng)受到干擾。 1 CA Unicenter Asset Management 可以提供跨平臺、復(fù)雜異構(gòu)環(huán)境下的 IT 資產(chǎn)管理、桌面系統(tǒng)的統(tǒng)一控制。 1 CA Unicenter ServiceDesk 可以提供符合 ITIL最佳實(shí)踐的事件報(bào)告、響應(yīng)跟蹤，實(shí)現(xiàn)工作流程和服務(wù)臺功能，并且?guī)椭⒅R庫，積累和共享在安全管理活動(dòng)中的經(jīng)驗(yàn)教訓(xùn)。該部分與安全組織一道，構(gòu)成了企業(yè)安全管理的基礎(chǔ)。 【 CA解決方案】 1 CA 專業(yè)咨詢可以幫助識別安全組織和企業(yè)安全方面的需求，提供業(yè)界的最佳實(shí)踐參考，幫助設(shè)計(jì)適合的安全組織架構(gòu)。 1 第三，安全方針作為指導(dǎo)信息安全活動(dòng)的“憲法”，企業(yè)中其它的各種規(guī)定制度等不應(yīng)該與之沖突。它將每個(gè)主要領(lǐng)域分解為若干個(gè)安全控制目標(biāo)（共 36個(gè)控制目標(biāo)），每個(gè)目標(biāo)又由若干個(gè)控制措施來支持（共 127個(gè)控制措施）。正是因?yàn)閾碛羞@套機(jī)制，才確保企業(yè)在不斷變化的安全風(fēng)險(xiǎn)環(huán)境中，始終能夠通過科學(xué)的方法和持續(xù)的改進(jìn)，達(dá)到管理者可接受的安全風(fēng)險(xiǎn)水平。 在這個(gè)案例中，由于客戶缺乏安全策略開發(fā)的能力，加安幫助開發(fā)了完整的安全方針手冊。如果一定要對資產(chǎn)價(jià)值，安全威脅和弱點(diǎn)對企業(yè)業(yè)務(wù)的影響等評估活動(dòng)的結(jié)果嚴(yán)格數(shù)字化，以提供更好的財(cái)務(wù)決策，不僅可能導(dǎo)致 實(shí)施進(jìn)度失控，而且可能因?yàn)槿狈ψ銐虻膮⒖紭?biāo)準(zhǔn)和過于繁復(fù)的過程而導(dǎo)致不可操作?？蛻艨赡?認(rèn)為只有后者才是值得尊重的專業(yè)服務(wù)，但事實(shí)上風(fēng)險(xiǎn)不僅來自技術(shù)弱點(diǎn)，還包括組織弱點(diǎn)，如業(yè)務(wù)流程、人員和資產(chǎn)管理等。 如何進(jìn)行風(fēng)險(xiǎn) 評估？ 風(fēng)險(xiǎn)評估被公認(rèn)為 ISMS實(shí)施過程最關(guān)鍵和難以操作的環(huán)節(jié)，因此， BS7799 的實(shí)施并不限定客戶使用什么風(fēng)險(xiǎn)評估方法。 三、 實(shí)施過程 表 101 給出了項(xiàng)目的時(shí)間規(guī)劃表，包括四個(gè)大的階段：準(zhǔn)備階段、計(jì)劃階段、體系運(yùn)行階段、復(fù)查和審計(jì)階段，遵循 BS7799 的 PDCA過程模型。 總之， BS7799的應(yīng)用，不僅僅提升了天威誠信 PKI/CA認(rèn)證中心安全管理方面的優(yōu)勢，還提升了人員的安全管理理念，還提升了認(rèn)證中心的客戶信任度，還為天威誠信帶來了巨大的經(jīng)濟(jì)利益?！皩Π踩呗院图夹g(shù)符合性的評估”要求采取審計(jì)監(jiān)督措施來保證企業(yè)的安全策略得到了遵守、各種技術(shù)活動(dòng)處于合法狀態(tài)。 2， 密鑰生產(chǎn)過程首先定義了密鑰管理員、密鑰生成規(guī)程主管的職責(zé)。 系統(tǒng)開發(fā)與維護(hù) 【系統(tǒng)開發(fā)與維護(hù)的建設(shè)要點(diǎn)】：系統(tǒng)開發(fā)和維護(hù)包括五個(gè)控制目標(biāo)： 系統(tǒng)的安全要求、應(yīng)用系統(tǒng)安全、密碼控制、系統(tǒng)文件的安全、以及開發(fā)和支持過程中的安全 。“監(jiān)控系統(tǒng)的訪問和使用”要求采取手段，保證時(shí) 鐘同步，記錄監(jiān)控系統(tǒng)的使用和各種事件。在應(yīng)用方面我們采用專用內(nèi)容過濾技術(shù)防止各種惡意內(nèi)容到達(dá)企業(yè)內(nèi)部?！靶畔⒑蛙浖粨Q”則要求采取措施，防止信息在交流過程中丟失、被修改或者被誤用。 9， 對于一般的運(yùn)營控制，如對文件資料、各類機(jī)器設(shè)備以及屏幕保護(hù)的管理控制，天威誠信制定的《安全管理規(guī)范》來對實(shí)際運(yùn)營中的各種風(fēng)險(xiǎn)進(jìn)行控制管理。具體包括： CA 設(shè)施的物理建設(shè)措施、 CA 設(shè)施的分層訪問控制措施、物理侵入檢測系統(tǒng)建設(shè)措施，設(shè)備、設(shè) 施保障措施，運(yùn)營管理措施等： 1， 天威誠信對建筑物如：整體建筑、墻壁、地板和天花板、入口門、其它門、窗口、其他孔口都制定詳細(xì)安全要求。 8， 為了維持安全策略的正常實(shí)施，警戒安全時(shí)間、事故的再次發(fā)生，天威誠信還制定《違規(guī)處罰辦法》以確保公正、有效處理安全事件、事故。 3， “職責(zé)分割政策”針對天威誠信認(rèn)證中心每個(gè)職能的功能領(lǐng)域制定了相應(yīng)的責(zé)任范圍及物理安全要求?！坝脩襞嘤?xùn)”要求確保員工知曉和理解安全策略、制度、安全威脅等，有效地支持企業(yè)安全策略的執(zhí)行。資產(chǎn)責(zé)任要求建立起翔實(shí)、全面的資產(chǎn)目錄；而信息分類則要求建立企業(yè)的信息分類原則，通過信息標(biāo)準(zhǔn)和相關(guān)處理來確保信息資產(chǎn)能夠得到適當(dāng)?shù)燃壍谋Ｗo(hù)。另外，考慮到責(zé)任范圍及知識域全面性，天威誠信還組織高層安全管理小組以及跨部門安全小組這兩個(gè)非常 設(shè)性的行政組織來實(shí)現(xiàn)不同信息安全管理的控制需要。 二、如何 結(jié)合 BS7799建設(shè) PKI/CA認(rèn)證中心 下面我們從 BS7799定義的十個(gè)安全管理領(lǐng)域出發(fā)，分別闡述 CA中心的運(yùn)營安全管理體系是如何與其控制點(diǎn)進(jìn)行結(jié)合的。天威誠信正以其領(lǐng)先的技術(shù)、先進(jìn)的管理方法和全面而精湛的產(chǎn)品與服務(wù)，為中國的信息安全服務(wù)。企業(yè)在進(jìn)行信息安全管理體系建制時(shí)，首先當(dāng)然還是要選好進(jìn)行安全管理體系建設(shè)的依據(jù)，目前，最為主流的還是采用 ISO17799／ BS7799認(rèn)可的相關(guān)的配套實(shí)施和認(rèn)證體現(xiàn)等來建立。 CoBIT進(jìn)一步把 IT分成 4個(gè)領(lǐng)域（計(jì)劃和組織，獲取和實(shí)施，交付和支持，監(jiān)控），共計(jì)34個(gè) IT業(yè)務(wù)流程。對系統(tǒng)四個(gè)標(biāo)準(zhǔn)的判斷組成對系統(tǒng)整體可靠性的判斷。安全是通過實(shí)施一套恰當(dāng)?shù)目刂拼胧?shí)現(xiàn)的。對信息系統(tǒng)的威脅既有可能來自有意或無意的行動(dòng)，也可能來自內(nèi)部或外部。 美國、 OECD的其他 23 個(gè)成員國，以及十幾個(gè)非 OECD成員國家都批準(zhǔn)了這一指南。 概述起來 ，信息安全治理成熟度模型方法和其他成熟度模型一樣，具有以下幾個(gè)方面的優(yōu)點(diǎn)或作用： 持續(xù)提供服務(wù)的職責(zé)不是正式的，且只有限地授權(quán)；管理層知道有關(guān)風(fēng)險(xiǎn)和持續(xù)服務(wù)的必要性 2 可重復(fù)的但是根據(jù)直覺 該模型被認(rèn)為是： 一種自我評估等級的方法，確定組織處于哪個(gè)級別； 一種使用自我評估結(jié)果設(shè)定將來發(fā)展目標(biāo)的方法，這個(gè)目標(biāo)是根據(jù)組織希望處于等級表的哪個(gè)級別； 一種達(dá) 到項(xiàng)目目標(biāo)的計(jì)劃方法。 采用一致的策略制定框架，指導(dǎo)策略的構(gòu)思、制定、實(shí)施和遵循； 意識到雖然 “ 內(nèi)部人 ” 是絕大部分安全風(fēng)險(xiǎn)的根源，但有組織犯罪的攻擊和其他沒有專業(yè)知識人員的攻擊也不容忽視； 適當(dāng)關(guān)注數(shù)據(jù)機(jī)密性、版權(quán)及 其他相關(guān)法律的遵循； 確保員工以符合道德、安全的方式履行責(zé)任； 榜樣的力量是無窮的。 (4) 三、 實(shí)現(xiàn)善治的信息安全治理 實(shí)現(xiàn)善治的信息安全治理的方法 實(shí)現(xiàn)善治的信息安全治理，需要最高管理層（董事會）、管理執(zhí)行層采用一種正確的方法。就目前我國信息化建設(shè)的現(xiàn)狀而言，無論是信息安全治理，還是信息安全管理都是我們所迫切需要健全的。 我們回頭來看，政府和各行各業(yè)對信息安全的重要性有了認(rèn)識，相關(guān)的標(biāo)準(zhǔn)規(guī)范正在形成，投資力度在加大，安全技術(shù)、產(chǎn)品、 市場在發(fā)展，多數(shù)企業(yè)機(jī)構(gòu)正在制定符合不同業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)安全等級需要的綜合性安全策略和計(jì)劃。 2020年我國接連不斷地出現(xiàn)程度不同的信息系統(tǒng)安全事故，這些事故不僅僅是簡單的信息系統(tǒng)癱瘓的問題，其直接后果是導(dǎo)致巨大的經(jīng)濟(jì)損失，還造成了不良的社會影響。其中政府機(jī)構(gòu)用于網(wǎng)絡(luò)安全的支出將增長 64%，達(dá)到約 30億美元。以美國政府為例，“ 9 現(xiàn)實(shí)世界的任何系統(tǒng)都是一串復(fù)雜的環(huán)節(jié)，安全措施必須滲透到系統(tǒng)的所 有地方，其中一些甚至連系統(tǒng)的設(shè)計(jì)者、實(shí)現(xiàn)者和使用者都不知道。因此，不安全因素總是存在。 11事件”后美國信息基礎(chǔ)設(shè)施保護(hù)委員會（ PCIPB）列出了 53個(gè)信息安全重點(diǎn)問題，把信息安全列入國家戰(zhàn)略。看到上面的數(shù)字，你一定會認(rèn)為，隨著網(wǎng)絡(luò)安全支出的增長，政府部門的計(jì)算機(jī)安全環(huán)境將會得到極大的改善，能夠抵御任何形式的網(wǎng)絡(luò)威脅。如果說經(jīng)濟(jì)損失還能彌補(bǔ)，那么由于信息網(wǎng)絡(luò)的脆弱性而引起的公眾對網(wǎng)絡(luò)社會的誠信危機(jī)則不是短時(shí)期內(nèi)可能恢復(fù)的。那么，我們?yōu)槭裁匆廊粵]有安全感呢？到底需要什么樣的方法或機(jī)制來治理或管理信息安全呢？經(jīng)過近一年對國內(nèi)外信息安全和最佳實(shí)務(wù)的研究，我們認(rèn)為關(guān)鍵是要建立一套能夠涵蓋組織信息安全的制度安排機(jī)制，它包括治理機(jī)制和治理結(jié)構(gòu)，這種制度安排通過建立和維護(hù)一個(gè)框架來保證信息安全戰(zhàn)略和組織的業(yè)務(wù)目標(biāo)精確校準(zhǔn)，并且和相關(guān)的法律和規(guī)范一致。 安全是一種“買不到”的東西。 (1) 清晰的職責(zé)分工 216。管理層必須明白信息安全對于組織成功的關(guān)鍵意義，帶頭遵守有關(guān)規(guī)章制度，為所有員工樹立起安全意識的榜樣。這個(gè)計(jì)劃是通過對當(dāng)前狀況和目標(biāo)差距分析來實(shí)施的； 一種確定項(xiàng)目優(yōu)先次序的方法。 開始認(rèn)識到信息系統(tǒng)風(fēng)險(xiǎn)的重要性和必要性；有某種風(fēng)險(xiǎn)評估方法，但這個(gè)過程雖然仍然不成熟，但在完善中 強(qiáng)制執(zhí)行持續(xù)服務(wù)的職責(zé)和標(biāo)準(zhǔn)；關(guān)鍵系統(tǒng)使用冗余系統(tǒng)，包括使用高可靠設(shè)備。 信息安全治理成熟度模型涉及信息安全和組織業(yè)務(wù)的各個(gè)方面，是一種進(jìn)行實(shí)用性比較的等級制，能以簡單方式測定差異，有助于確定有關(guān)信息技術(shù)管理安全性方面的相對水平。該指南旨在： 提高信息系統(tǒng)風(fēng)險(xiǎn)意識和安全措施； 提供一個(gè)一般性的框架以輔助信息系統(tǒng)安全度量方法、操作流程和實(shí)踐的 制定和實(shí)施，鼓勵(lì)關(guān)心信息系統(tǒng)安全的公共和私有部門間的合作； 促進(jìn)人們對信息系統(tǒng)的信心，促進(jìn)人們應(yīng)用和使用信息系統(tǒng)； 方便國家間和國際間信息系統(tǒng)的開發(fā)、使用和安全防護(hù)。信息安全事故的發(fā)生可能是因?yàn)榧夹g(shù)方面的因素、自然災(zāi)害、環(huán)境方面、人的因素、非法訪問或病毒。該控制措施由策略、實(shí)踐、程序、組織結(jié)構(gòu)和軟件組成。注冊會計(jì)師也能單獨(dú)判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。其中 3個(gè)與信息安全直接密切相關(guān)的業(yè)務(wù)流程是： 計(jì)劃和組織流程 —— 評估風(fēng)險(xiǎn)； 交付和支持流程 —— 確保持續(xù)的服務(wù)； 監(jiān)控流程 —— 保證系統(tǒng)安全。雖然如 ISO 15408（ Common Criteria）、 FIPS 1 COBIT、ISO/IEC 13335（ GMITS）等等的標(biāo)準(zhǔn)都可以部分適用，但 ISO17799 相對來說通用性最好，更能適應(yīng)大部分企業(yè)的情況進(jìn)行調(diào)節(jié)，所以基本還是以 ISO 17799 采用的較多，在安全行業(yè)的從業(yè)人員來說，也能有較多的靈活度可以針對不同情況進(jìn)行修正，更有利于協(xié)助企業(yè)實(shí)現(xiàn)不同的自定制的安全管理的目的。 一、為什么要依據(jù) BS7799 建設(shè) PKI/CA認(rèn)證中心 安全對于今天數(shù)字環(huán)境下的每一種經(jīng)營業(yè)務(wù)來說都是至關(guān)重要的，而對于 PKI/CA認(rèn)證中心來說，安全則是其對外提供數(shù)字信任服務(wù)的基石。 安全策略 【信息安全策略的建設(shè)要點(diǎn)】： BS7799 定義了安全策略是為信息安全活動(dòng)提供了管理的方向以及所需的支持手段和管理層的承諾，同時(shí)安全策略還應(yīng)該明確定義企業(yè)機(jī)構(gòu)中安全策略的維護(hù)責(zé)任。 在實(shí)際運(yùn)行管理中，天威誠信參照 BS7799 建議的控制措施對于三個(gè)控制目標(biāo)進(jìn)行多方面的管理控制： 1， 定期、不定期的組織信息安全專題會議來改進(jìn)、批準(zhǔn)企業(yè)內(nèi)部各種安全計(jì)劃，監(jiān)視、評審企業(yè)內(nèi)部信息安全活動(dòng)及涉及信息安全的業(yè)務(wù)流程的執(zhí)行，討論、消除安全事件給企業(yè)帶來的安全風(fēng)險(xiǎn)等等。 【實(shí)施方法與形式】：天威誠信作為專業(yè)的認(rèn)證中心，除了針對資產(chǎn)的價(jià)值進(jìn)行相應(yīng)保護(hù)外，針對可提供各種不同功能、服務(wù)的設(shè)備、設(shè)施對其重要性也進(jìn)行了判斷分類，并配合物理方面安全保護(hù)措施，對各種資產(chǎn)進(jìn)行了分區(qū)域的保護(hù)?！皩Π踩录凸收系捻憫?yīng)”要求 采取措施將安全事件和故障造成的損害降低到最低水平，對此類事件進(jìn)行監(jiān)控并從中汲取知識和吸取經(jīng)驗(yàn)。并配合物理區(qū)域設(shè)定及訪問控制系統(tǒng)來共同管理天威誠信認(rèn)證中心中的各種職能的成員。 物理和環(huán)境安全 【物理和環(huán)境安全的建設(shè)要點(diǎn)】物理和環(huán)境安全包括三個(gè)控制目標(biāo)： 安全區(qū)域、設(shè)備安全和一般控制措施 。 2， 天威誠信針對 CA運(yùn)營的實(shí)際風(fēng)險(xiǎn)，建設(shè)了 7個(gè)物理安全層次來保護(hù) CA 中心特定的信息資產(chǎn)。 通信和運(yùn)行管理 【通訊和操作管理的建設(shè)要點(diǎn)】：通信和運(yùn)行管理包括七個(gè)控制目標(biāo)：操作程序和責(zé)任、系統(tǒng)計(jì)劃和接收、惡意軟件防護(hù)、內(nèi)務(wù)管理、網(wǎng)絡(luò)管理、介質(zhì)處理與安全、以及信息和軟件交流。通信和運(yùn)行管理是通常意義上的網(wǎng)絡(luò)信息安全所主要考慮的內(nèi)容，受到較高的重視。 5， 另外，考慮到安全的動(dòng)態(tài)性，我方采用定期的、持續(xù)性的專業(yè)風(fēng)險(xiǎn)評估服務(wù)對系統(tǒng)進(jìn)行定期評估以便及時(shí)發(fā)現(xiàn)新的安全風(fēng)險(xiǎn)。“移動(dòng)計(jì)算和遠(yuǎn)程辦公”的目標(biāo)是保證使用移動(dòng)計(jì)算和遠(yuǎn)程辦公設(shè)施時(shí)的安全。“系統(tǒng)的安全要求”是指保證在開發(fā)的信息系統(tǒng)中已經(jīng)建立 了安全機(jī)制。然后充分考慮了用戶級和主要 /安全管理級（ D/SO）秘密分管者的指定、秘密分管者聯(lián)系策略、秘密共享的調(diào)動(dòng)和調(diào)用過程、特殊區(qū)域可進(jìn)出人員的指定 、特殊區(qū)域可進(jìn)出人員的聯(lián)系策略、特殊區(qū)域可進(jìn)出人員職責(zé)的調(diào)動(dòng)和調(diào)用過程、激活與恢復(fù)、 CSU/加密卡安全管理尺度、運(yùn)送、存儲等過程?！跋到y(tǒng)審核考慮”的目標(biāo)是將系統(tǒng)審計(jì)程序的效力提升到最高，將其對系統(tǒng)的影響降到最低。 案例之二：在 IBAS公司內(nèi)建立信息安全管理體系 一、 企業(yè)背景 Ibas公司成立于 1978年，是世界公認(rèn)的數(shù)據(jù)修復(fù)、銷毀和計(jì)算機(jī)犯罪取證領(lǐng) 域的領(lǐng)導(dǎo)者。 表 101：項(xiàng)目實(shí)施規(guī)劃 階段 子階段 工作內(nèi)容 時(shí)間 準(zhǔn)備階段 項(xiàng)目開始 +5工作日 ISMS建立 建立框架 Scoping 定立 ISMS Scope 管理會議 安全小組會議 確定雙方工作責(zé)任和范圍 獲得管理審批 準(zhǔn)備階段 +35工作日 差距分析 Gap Analy