【正文】 “介質(zhì)處理與安全”對(duì)于目前移動(dòng)性越來(lái)越高的企業(yè) IT環(huán)境來(lái)說(shuō)具有特 殊意義，其目標(biāo)是防止資產(chǎn)受到破壞，防止商業(yè)活動(dòng)受到干擾。 1 CA Unicenter Asset Management 可以提供跨平臺(tái)、復(fù)雜異構(gòu)環(huán)境下的 IT 資產(chǎn)管理、桌面系統(tǒng)的統(tǒng)一控制。 1 CA Unicenter ServiceDesk 可以提供符合 ITIL最佳實(shí)踐的事件報(bào)告、響應(yīng)跟蹤，實(shí)現(xiàn)工作流程和服務(wù)臺(tái)功能，并且?guī)椭⒅R(shí)庫(kù)，積累和共享在安全管理活動(dòng)中的經(jīng)驗(yàn)教訓(xùn)。該部分與安全組織一道，構(gòu)成了企業(yè)安全管理的基礎(chǔ)。 【 CA解決方案】 1 CA 專(zhuān)業(yè)咨詢(xún)可以幫助識(shí)別安全組織和企業(yè)安全方面的需求，提供業(yè)界的最佳實(shí)踐參考，幫助設(shè)計(jì)適合的安全組織架構(gòu)。 1 第三，安全方針作為指導(dǎo)信息安全活動(dòng)的“憲法”，企業(yè)中其它的各種規(guī)定制度等不應(yīng)該與之沖突。它將每個(gè)主要領(lǐng)域分解為若干個(gè)安全控制目標(biāo)（共 36個(gè)控制目標(biāo)），每個(gè)目標(biāo)又由若干個(gè)控制措施來(lái)支持（共 127個(gè)控制措施）。正是因?yàn)閾碛羞@套機(jī)制，才確保企業(yè)在不斷變化的安全風(fēng)險(xiǎn)環(huán)境中，始終能夠通過(guò)科學(xué)的方法和持續(xù)的改進(jìn)，達(dá)到管理者可接受的安全風(fēng)險(xiǎn)水平。 在這個(gè)案例中，由于客戶(hù)缺乏安全策略開(kāi)發(fā)的能力，加安幫助開(kāi)發(fā)了完整的安全方針手冊(cè)。如果一定要對(duì)資產(chǎn)價(jià)值，安全威脅和弱點(diǎn)對(duì)企業(yè)業(yè)務(wù)的影響等評(píng)估活動(dòng)的結(jié)果嚴(yán)格數(shù)字化，以提供更好的財(cái)務(wù)決策，不僅可能導(dǎo)致 實(shí)施進(jìn)度失控，而且可能因?yàn)槿狈ψ銐虻膮⒖紭?biāo)準(zhǔn)和過(guò)于繁復(fù)的過(guò)程而導(dǎo)致不可操作。客戶(hù)可能 認(rèn)為只有后者才是值得尊重的專(zhuān)業(yè)服務(wù)，但事實(shí)上風(fēng)險(xiǎn)不僅來(lái)自技術(shù)弱點(diǎn)，還包括組織弱點(diǎn)，如業(yè)務(wù)流程、人員和資產(chǎn)管理等。 如何進(jìn)行風(fēng)險(xiǎn) 評(píng)估？ 風(fēng)險(xiǎn)評(píng)估被公認(rèn)為 ISMS實(shí)施過(guò)程最關(guān)鍵和難以操作的環(huán)節(jié)，因此， BS7799 的實(shí)施并不限定客戶(hù)使用什么風(fēng)險(xiǎn)評(píng)估方法。 三、 實(shí)施過(guò)程 表 101 給出了項(xiàng)目的時(shí)間規(guī)劃表，包括四個(gè)大的階段：準(zhǔn)備階段、計(jì)劃階段、體系運(yùn)行階段、復(fù)查和審計(jì)階段，遵循 BS7799 的 PDCA過(guò)程模型。 總之， BS7799的應(yīng)用，不僅僅提升了天威誠(chéng)信 PKI/CA認(rèn)證中心安全管理方面的優(yōu)勢(shì)，還提升了人員的安全管理理念，還提升了認(rèn)證中心的客戶(hù)信任度，還為天威誠(chéng)信帶來(lái)了巨大的經(jīng)濟(jì)利益?！皩?duì)安全策略和技術(shù)符合性的評(píng)估”要求采取審計(jì)監(jiān)督措施來(lái)保證企業(yè)的安全策略得到了遵守、各種技術(shù)活動(dòng)處于合法狀態(tài)。 2， 密鑰生產(chǎn)過(guò)程首先定義了密鑰管理員、密鑰生成規(guī)程主管的職責(zé)。 系統(tǒng)開(kāi)發(fā)與維護(hù) 【系統(tǒng)開(kāi)發(fā)與維護(hù)的建設(shè)要點(diǎn)】：系統(tǒng)開(kāi)發(fā)和維護(hù)包括五個(gè)控制目標(biāo)： 系統(tǒng)的安全要求、應(yīng)用系統(tǒng)安全、密碼控制、系統(tǒng)文件的安全、以及開(kāi)發(fā)和支持過(guò)程中的安全 ?！氨O(jiān)控系統(tǒng)的訪(fǎng)問(wèn)和使用”要求采取手段，保證時(shí) 鐘同步，記錄監(jiān)控系統(tǒng)的使用和各種事件。在應(yīng)用方面我們采用專(zhuān)用內(nèi)容過(guò)濾技術(shù)防止各種惡意內(nèi)容到達(dá)企業(yè)內(nèi)部?！靶畔⒑蛙浖粨Q”則要求采取措施，防止信息在交流過(guò)程中丟失、被修改或者被誤用。 9， 對(duì)于一般的運(yùn)營(yíng)控制，如對(duì)文件資料、各類(lèi)機(jī)器設(shè)備以及屏幕保護(hù)的管理控制，天威誠(chéng)信制定的《安全管理規(guī)范》來(lái)對(duì)實(shí)際運(yùn)營(yíng)中的各種風(fēng)險(xiǎn)進(jìn)行控制管理。具體包括： CA 設(shè)施的物理建設(shè)措施、 CA 設(shè)施的分層訪(fǎng)問(wèn)控制措施、物理侵入檢測(cè)系統(tǒng)建設(shè)措施，設(shè)備、設(shè) 施保障措施，運(yùn)營(yíng)管理措施等： 1， 天威誠(chéng)信對(duì)建筑物如：整體建筑、墻壁、地板和天花板、入口門(mén)、其它門(mén)、窗口、其他孔口都制定詳細(xì)安全要求。 8， 為了維持安全策略的正常實(shí)施，警戒安全時(shí)間、事故的再次發(fā)生，天威誠(chéng)信還制定《違規(guī)處罰辦法》以確保公正、有效處理安全事件、事故。 3， “職責(zé)分割政策”針對(duì)天威誠(chéng)信認(rèn)證中心每個(gè)職能的功能領(lǐng)域制定了相應(yīng)的責(zé)任范圍及物理安全要求。“用戶(hù)培訓(xùn)”要求確保員工知曉和理解安全策略、制度、安全威脅等，有效地支持企業(yè)安全策略的執(zhí)行。資產(chǎn)責(zé)任要求建立起翔實(shí)、全面的資產(chǎn)目錄；而信息分類(lèi)則要求建立企業(yè)的信息分類(lèi)原則，通過(guò)信息標(biāo)準(zhǔn)和相關(guān)處理來(lái)確保信息資產(chǎn)能夠得到適當(dāng)?shù)燃?jí)的保護(hù)。另外，考慮到責(zé)任范圍及知識(shí)域全面性，天威誠(chéng)信還組織高層安全管理小組以及跨部門(mén)安全小組這兩個(gè)非常 設(shè)性的行政組織來(lái)實(shí)現(xiàn)不同信息安全管理的控制需要。 二、如何 結(jié)合 BS7799建設(shè) PKI/CA認(rèn)證中心 下面我們從 BS7799定義的十個(gè)安全管理領(lǐng)域出發(fā)，分別闡述 CA中心的運(yùn)營(yíng)安全管理體系是如何與其控制點(diǎn)進(jìn)行結(jié)合的。天威誠(chéng)信正以其領(lǐng)先的技術(shù)、先進(jìn)的管理方法和全面而精湛的產(chǎn)品與服務(wù)，為中國(guó)的信息安全服務(wù)。企業(yè)在進(jìn)行信息安全管理體系建制時(shí)，首先當(dāng)然還是要選好進(jìn)行安全管理體系建設(shè)的依據(jù)，目前，最為主流的還是采用 ISO17799／ BS7799認(rèn)可的相關(guān)的配套實(shí)施和認(rèn)證體現(xiàn)等來(lái)建立。 CoBIT進(jìn)一步把 IT分成 4個(gè)領(lǐng)域（計(jì)劃和組織，獲取和實(shí)施，交付和支持，監(jiān)控），共計(jì)34個(gè) IT業(yè)務(wù)流程。對(duì)系統(tǒng)四個(gè)標(biāo)準(zhǔn)的判斷組成對(duì)系統(tǒng)整體可靠性的判斷。安全是通過(guò)實(shí)施一套恰當(dāng)?shù)目刂拼胧?shí)現(xiàn)的。對(duì)信息系統(tǒng)的威脅既有可能來(lái)自有意或無(wú)意的行動(dòng)，也可能來(lái)自?xún)?nèi)部或外部。 美國(guó)、 OECD的其他 23 個(gè)成員國(guó)，以及十幾個(gè)非 OECD成員國(guó)家都批準(zhǔn)了這一指南。 概述起來(lái) ，信息安全治理成熟度模型方法和其他成熟度模型一樣，具有以下幾個(gè)方面的優(yōu)點(diǎn)或作用： 持續(xù)提供服務(wù)的職責(zé)不是正式的，且只有限地授權(quán)；管理層知道有關(guān)風(fēng)險(xiǎn)和持續(xù)服務(wù)的必要性 2 可重復(fù)的但是根據(jù)直覺(jué) 該模型被認(rèn)為是： 一種自我評(píng)估等級(jí)的方法，確定組織處于哪個(gè)級(jí)別； 一種使用自我評(píng)估結(jié)果設(shè)定將來(lái)發(fā)展目標(biāo)的方法，這個(gè)目標(biāo)是根據(jù)組織希望處于等級(jí)表的哪個(gè)級(jí)別； 一種達(dá) 到項(xiàng)目目標(biāo)的計(jì)劃方法。 采用一致的策略制定框架，指導(dǎo)策略的構(gòu)思、制定、實(shí)施和遵循； 意識(shí)到雖然 “ 內(nèi)部人 ” 是絕大部分安全風(fēng)險(xiǎn)的根源，但有組織犯罪的攻擊和其他沒(méi)有專(zhuān)業(yè)知識(shí)人員的攻擊也不容忽視； 適當(dāng)關(guān)注數(shù)據(jù)機(jī)密性、版權(quán)及 其他相關(guān)法律的遵循； 確保員工以符合道德、安全的方式履行責(zé)任； 榜樣的力量是無(wú)窮的。 (4) 三、 實(shí)現(xiàn)善治的信息安全治理 實(shí)現(xiàn)善治的信息安全治理的方法 實(shí)現(xiàn)善治的信息安全治理，需要最高管理層（董事會(huì)）、管理執(zhí)行層采用一種正確的方法。就目前我國(guó)信息化建設(shè)的現(xiàn)狀而言，無(wú)論是信息安全治理，還是信息安全管理都是我們所迫切需要健全的。 我們回頭來(lái)看，政府和各行各業(yè)對(duì)信息安全的重要性有了認(rèn)識(shí)，相關(guān)的標(biāo)準(zhǔn)規(guī)范正在形成，投資力度在加大，安全技術(shù)、產(chǎn)品、 市場(chǎng)在發(fā)展，多數(shù)企業(yè)機(jī)構(gòu)正在制定符合不同業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)安全等級(jí)需要的綜合性安全策略和計(jì)劃。 2020年我國(guó)接連不斷地出現(xiàn)程度不同的信息系統(tǒng)安全事故，這些事故不僅僅是簡(jiǎn)單的信息系統(tǒng)癱瘓的問(wèn)題，其直接后果是導(dǎo)致巨大的經(jīng)濟(jì)損失，還造成了不良的社會(huì)影響。其中政府機(jī)構(gòu)用于網(wǎng)絡(luò)安全的支出將增長(zhǎng) 64%，達(dá)到約 30億美元。以美國(guó)政府為例，“ 9 現(xiàn)實(shí)世界的任何系統(tǒng)都是一串復(fù)雜的環(huán)節(jié)，安全措施必須滲透到系統(tǒng)的所 有地方，其中一些甚至連系統(tǒng)的設(shè)計(jì)者、實(shí)現(xiàn)者和使用者都不知道。因此，不安全因素總是存在。 11事件”后美國(guó)信息基礎(chǔ)設(shè)施保護(hù)委員會(huì)（ PCIPB）列出了 53個(gè)信息安全重點(diǎn)問(wèn)題，把信息安全列入國(guó)家戰(zhàn)略。看到上面的數(shù)字，你一定會(huì)認(rèn)為，隨著網(wǎng)絡(luò)安全支出的增長(zhǎng)，政府部門(mén)的計(jì)算機(jī)安全環(huán)境將會(huì)得到極大的改善，能夠抵御任何形式的網(wǎng)絡(luò)威脅。如果說(shuō)經(jīng)濟(jì)損失還能彌補(bǔ)，那么由于信息網(wǎng)絡(luò)的脆弱性而引起的公眾對(duì)網(wǎng)絡(luò)社會(huì)的誠(chéng)信危機(jī)則不是短時(shí)期內(nèi)可能恢復(fù)的。那么，我們?yōu)槭裁匆廊粵](méi)有安全感呢？到底需要什么樣的方法或機(jī)制來(lái)治理或管理信息安全呢？經(jīng)過(guò)近一年對(duì)國(guó)內(nèi)外信息安全和最佳實(shí)務(wù)的研究，我們認(rèn)為關(guān)鍵是要建立一套能夠涵蓋組織信息安全的制度安排機(jī)制，它包括治理機(jī)制和治理結(jié)構(gòu)，這種制度安排通過(guò)建立和維護(hù)一個(gè)框架來(lái)保證信息安全戰(zhàn)略和組織的業(yè)務(wù)目標(biāo)精確校準(zhǔn)，并且和相關(guān)的法律和規(guī)范一致。 安全是一種“買(mǎi)不到”的東西。 (1) 清晰的職責(zé)分工 216。管理層必須明白信息安全對(duì)于組織成功的關(guān)鍵意義，帶頭遵守有關(guān)規(guī)章制度，為所有員工樹(shù)立起安全意識(shí)的榜樣。這個(gè)計(jì)劃是通過(guò)對(duì)當(dāng)前狀況和目標(biāo)差距分析來(lái)實(shí)施的； 一種確定項(xiàng)目?jī)?yōu)先次序的方法。 開(kāi)始認(rèn)識(shí)到信息系統(tǒng)風(fēng)險(xiǎn)的重要性和必要性；有某種風(fēng)險(xiǎn)評(píng)估方法，但這個(gè)過(guò)程雖然仍然不成熟，但在完善中 強(qiáng)制執(zhí)行持續(xù)服務(wù)的職責(zé)和標(biāo)準(zhǔn)；關(guān)鍵系統(tǒng)使用冗余系統(tǒng)，包括使用高可靠設(shè)備。 信息安全治理成熟度模型涉及信息安全和組織業(yè)務(wù)的各個(gè)方面，是一種進(jìn)行實(shí)用性比較的等級(jí)制，能以簡(jiǎn)單方式測(cè)定差異，有助于確定有關(guān)信息技術(shù)管理安全性方面的相對(duì)水平。該指南旨在： 提高信息系統(tǒng)風(fēng)險(xiǎn)意識(shí)和安全措施； 提供一個(gè)一般性的框架以輔助信息系統(tǒng)安全度量方法、操作流程和實(shí)踐的 制定和實(shí)施，鼓勵(lì)關(guān)心信息系統(tǒng)安全的公共和私有部門(mén)間的合作； 促進(jìn)人們對(duì)信息系統(tǒng)的信心，促進(jìn)人們應(yīng)用和使用信息系統(tǒng)； 方便國(guó)家間和國(guó)際間信息系統(tǒng)的開(kāi)發(fā)、使用和安全防護(hù)。信息安全事故的發(fā)生可能是因?yàn)榧夹g(shù)方面的因素、自然災(zāi)害、環(huán)境方面、人的因素、非法訪(fǎng)問(wèn)或病毒。該控制措施由策略、實(shí)踐、程序、組織結(jié)構(gòu)和軟件組成。注冊(cè)會(huì)計(jì)師也能單獨(dú)判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。其中 3個(gè)與信息安全直接密切相關(guān)的業(yè)務(wù)流程是： 計(jì)劃和組織流程 —— 評(píng)估風(fēng)險(xiǎn)； 交付和支持流程 —— 確保持續(xù)的服務(wù)； 監(jiān)控流程 —— 保證系統(tǒng)安全。雖然如 ISO 15408（ Common Criteria）、 FIPS 1 COBIT、ISO/IEC 13335（ GMITS）等等的標(biāo)準(zhǔn)都可以部分適用，但 ISO17799 相對(duì)來(lái)說(shuō)通用性最好，更能適應(yīng)大部分企業(yè)的情況進(jìn)行調(diào)節(jié)，所以基本還是以 ISO 17799 采用的較多，在安全行業(yè)的從業(yè)人員來(lái)說(shuō)，也能有較多的靈活度可以針對(duì)不同情況進(jìn)行修正，更有利于協(xié)助企業(yè)實(shí)現(xiàn)不同的自定制的安全管理的目的。 一、為什么要依據(jù) BS7799 建設(shè) PKI/CA認(rèn)證中心 安全對(duì)于今天數(shù)字環(huán)境下的每一種經(jīng)營(yíng)業(yè)務(wù)來(lái)說(shuō)都是至關(guān)重要的，而對(duì)于 PKI/CA認(rèn)證中心來(lái)說(shuō)，安全則是其對(duì)外提供數(shù)字信任服務(wù)的基石。 安全策略 【信息安全策略的建設(shè)要點(diǎn)】： BS7799 定義了安全策略是為信息安全活動(dòng)提供了管理的方向以及所需的支持手段和管理層的承諾，同時(shí)安全策略還應(yīng)該明確定義企業(yè)機(jī)構(gòu)中安全策略的維護(hù)責(zé)任。 在實(shí)際運(yùn)行管理中，天威誠(chéng)信參照 BS7799 建議的控制措施對(duì)于三個(gè)控制目標(biāo)進(jìn)行多方面的管理控制： 1， 定期、不定期的組織信息安全專(zhuān)題會(huì)議來(lái)改進(jìn)、批準(zhǔn)企業(yè)內(nèi)部各種安全計(jì)劃，監(jiān)視、評(píng)審企業(yè)內(nèi)部信息安全活動(dòng)及涉及信息安全的業(yè)務(wù)流程的執(zhí)行，討論、消除安全事件給企業(yè)帶來(lái)的安全風(fēng)險(xiǎn)等等。 【實(shí)施方法與形式】：天威誠(chéng)信作為專(zhuān)業(yè)的認(rèn)證中心，除了針對(duì)資產(chǎn)的價(jià)值進(jìn)行相應(yīng)保護(hù)外，針對(duì)可提供各種不同功能、服務(wù)的設(shè)備、設(shè)施對(duì)其重要性也進(jìn)行了判斷分類(lèi)，并配合物理方面安全保護(hù)措施，對(duì)各種資產(chǎn)進(jìn)行了分區(qū)域的保護(hù)?！皩?duì)安全事件和故障的響應(yīng)”要求 采取措施將安全事件和故障造成的損害降低到最低水平，對(duì)此類(lèi)事件進(jìn)行監(jiān)控并從中汲取知識(shí)和吸取經(jīng)驗(yàn)。并配合物理區(qū)域設(shè)定及訪(fǎng)問(wèn)控制系統(tǒng)來(lái)共同管理天威誠(chéng)信認(rèn)證中心中的各種職能的成員。 物理和環(huán)境安全 【物理和環(huán)境安全的建設(shè)要點(diǎn)】物理和環(huán)境安全包括三個(gè)控制目標(biāo)： 安全區(qū)域、設(shè)備安全和一般控制措施 。 2， 天威誠(chéng)信針對(duì) CA運(yùn)營(yíng)的實(shí)際風(fēng)險(xiǎn)，建設(shè)了 7個(gè)物理安全層次來(lái)保護(hù) CA 中心特定的信息資產(chǎn)。 通信和運(yùn)行管理 【通訊和操作管理的建設(shè)要點(diǎn)】：通信和運(yùn)行管理包括七個(gè)控制目標(biāo)：操作程序和責(zé)任、系統(tǒng)計(jì)劃和接收、惡意軟件防護(hù)、內(nèi)務(wù)管理、網(wǎng)絡(luò)管理、介質(zhì)處理與安全、以及信息和軟件交流。通信和運(yùn)行管理是通常意義上的網(wǎng)絡(luò)信息安全所主要考慮的內(nèi)容，受到較高的重視。 5， 另外，考慮到安全的動(dòng)態(tài)性，我方采用定期的、持續(xù)性的專(zhuān)業(yè)風(fēng)險(xiǎn)評(píng)估服務(wù)對(duì)系統(tǒng)進(jìn)行定期評(píng)估以便及時(shí)發(fā)現(xiàn)新的安全風(fēng)險(xiǎn)。“移動(dòng)計(jì)算和遠(yuǎn)程辦公”的目標(biāo)是保證使用移動(dòng)計(jì)算和遠(yuǎn)程辦公設(shè)施時(shí)的安全。“系統(tǒng)的安全要求”是指保證在開(kāi)發(fā)的信息系統(tǒng)中已經(jīng)建立 了安全機(jī)制。然后充分考慮了用戶(hù)級(jí)和主要 /安全管理級(jí)（ D/SO）秘密分管者的指定、秘密分管者聯(lián)系策略、秘密共享的調(diào)動(dòng)和調(diào)用過(guò)程、特殊區(qū)域可進(jìn)出人員的指定 、特殊區(qū)域可進(jìn)出人員的聯(lián)系策略、特殊區(qū)域可進(jìn)出人員職責(zé)的調(diào)動(dòng)和調(diào)用過(guò)程、激活與恢復(fù)、 CSU/加密卡安全管理尺度、運(yùn)送、存儲(chǔ)等過(guò)程?！跋到y(tǒng)審核考慮”的目標(biāo)是將系統(tǒng)審計(jì)程序的效力提升到最高，將其對(duì)系統(tǒng)的影響降到最低。 案例之二：在 IBAS公司內(nèi)建立信息安全管理體系 一、 企業(yè)背景 Ibas公司成立于 1978年，是世界公認(rèn)的數(shù)據(jù)修復(fù)、銷(xiāo)毀和計(jì)算機(jī)犯罪取證領(lǐng) 域的領(lǐng)導(dǎo)者。 表 101：項(xiàng)目實(shí)施規(guī)劃 階段 子階段 工作內(nèi)容 時(shí)間 準(zhǔn)備階段 項(xiàng)目開(kāi)始 +5工作日 ISMS建立 建立框架 Scoping 定立 ISMS Scope 管理會(huì)議 安全小組會(huì)議 確定雙方工作責(zé)任和范圍 獲得管理審批 準(zhǔn)備階段 +35工作日 差距分析 Gap Analy