【文章內(nèi)容簡介】 ，天威誠信決定依據(jù) BS7799定義的安全管理活動中的目標(biāo)和措施來制定了天威誠信 PKI/CA 認證中心的各項安全管理策略并具體措施，在實施后的長期運行過程中取得了良好的效果，現(xiàn)已形成了可持續(xù)改進的良性運轉(zhuǎn)的安全管理體系。 二、如何 結(jié)合 BS7799建設(shè) PKI/CA認證中心 下面我們從 BS7799定義的十個安全管理領(lǐng)域出發(fā)，分別闡述 CA中心的運營安全管理體系是如何與其控制點進行結(jié)合的。 安全策略 【信息安全策略的建設(shè)要點】： BS7799 定義了安全策略是為信息安全活動提供了管理的方向以及所需的支持手段和管理層的承諾，同時安全策略還應(yīng)該明確定義企業(yè)機構(gòu)中安全策略的維護責(zé)任。典型的安全策略包含內(nèi)容非常廣泛，包括信息安全的定義和目的，以及在信息共享運轉(zhuǎn)機制中安全防范的領(lǐng)域和重要性；管理意圖的闡述，信息安全目標(biāo)和原則的支持；安全策略、原則和標(biāo)準(zhǔn)的簡 要說明以及對機構(gòu)尤其重要的規(guī)范實施條件的解釋；闡述信息安全的職責(zé)；等等。 【實施方法與形式】：天威誠信公司結(jié)合認證機構(gòu)的建設(shè)特點，結(jié)合自身業(yè)務(wù)要求及運營風(fēng)險，依據(jù)認證中心不同運營控制域分別制定了六個方面的 安全策略 ，分別是人員安全策略、物理安全策略、邏輯安全策略、通訊安全策略密鑰安全策略以及安全與審計策略。 在實際運營建設(shè)中，天威誠信參照 BS7799 建議的控制措施，對安全策略進行文檔化控制，在企業(yè)范圍內(nèi)最大化的為廣大用戶及內(nèi)部員工所了解和接受，并指導(dǎo)各種規(guī)定制度、操作程序的制定及實施，并定期進行評審和評估 。 安全組織 【安全組織的建設(shè)要點】：安全組織包含三個控制目標(biāo)： 企業(yè)信息基礎(chǔ)架構(gòu)、第三方訪問安全以及外包 。安全組織要求定義企業(yè)機構(gòu)內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實安全責(zé)任，與安全有關(guān)的授權(quán)過程，同時，要求管理者能夠識別第三方合作和外包過程中的風(fēng)險，并通過相關(guān)的合同控制安全風(fēng)險。 【實施方法與形式】：天威誠信設(shè)定了專職安全組織－安全管理部，并任命該部門的負責(zé)人安全經(jīng)理來負責(zé)及協(xié)調(diào)與安全相關(guān)的所有活動。另外，考慮到責(zé)任范圍及知識域全面性，天威誠信還組織高層安全管理小組以及跨部門安全小組這兩個非常 設(shè)性的行政組織來實現(xiàn)不同信息安全管理的控制需要。 在實際運行管理中，天威誠信參照 BS7799 建議的控制措施對于三個控制目標(biāo)進行多方面的管理控制： 1， 定期、不定期的組織信息安全專題會議來改進、批準(zhǔn)企業(yè)內(nèi)部各種安全計劃，監(jiān)視、評審企業(yè)內(nèi)部信息安全活動及涉及信息安全的業(yè)務(wù)流程的執(zhí)行，討論、消除安全事件給企業(yè)帶來的安全風(fēng)險等等。 2， 進行全員化企業(yè)安全文化的建設(shè)，將安全責(zé)任落實到各業(yè)務(wù)部門、各負責(zé)人身上，例如信息維護人員必須熟知邏輯安全策略的要求，并切實將邏輯安全策略落實到具體業(yè)務(wù)工作中。 3， 組織跨 部門安全小組會議，進行各種信息安全活動的交流。必要時聘請外部專家給與信息安全管理工作指導(dǎo)性的建議及意見。 4， 采用合理技術(shù)手段及管理措施來控制第三方對公司物理及邏輯方面的訪問，并采用不同形式與第三方進行保密要求的約定。 5， 對于外包，在進行外包活動前，天威誠信會組織專業(yè)人員進行嚴(yán)格的考察、討論，滿足認證中心的安全條件是外包活動的必要條件，另外在實施外包活動中，天威誠信會依據(jù)外包合同進行各種必要的審計工作。 資產(chǎn)分類及控制 【資產(chǎn)分類及控制的建設(shè)要點】：資產(chǎn)分類及控制包括兩個控制目標(biāo)：資產(chǎn)責(zé)任和信息 分類。資產(chǎn)責(zé)任要求建立起翔實、全面的資產(chǎn)目錄；而信息分類則要求建立企業(yè)的信息分類原則，通過信息標(biāo)準(zhǔn)和相關(guān)處理來確保信息資產(chǎn)能夠得到適當(dāng)?shù)燃壍谋Ｗo。 【實施方法與形式】：天威誠信作為專業(yè)的認證中心，除了針對資產(chǎn)的價值進行相應(yīng)保護外，針對可提供各種不同功能、服務(wù)的設(shè)備、設(shè)施對其重要性也進行了判斷分類，并配合物理方面安全保護措施，對各種資產(chǎn)進行了分區(qū)域的保護。如：對與密鑰生成有關(guān)的服務(wù)器要設(shè)定四個層級以上的物理保護，還要提供 UPS電源、恒溫恒濕等物理條件。 另外，對于文件、信息資料等，天威誠信進行四個保密等級 （機密、秘密、敏感、公開四個等級）的標(biāo)示及管理控制。對于內(nèi)部信息的傳輸，天威誠信更是利用自身的技術(shù)、管理優(yōu)勢進行了證書管理機制。 人員安全 【資產(chǎn)分類及控制的建設(shè)要點】人員安全包括三個控制目標(biāo)：工作定義和資源中的安全、用戶培訓(xùn)、對安全事件和故障的響應(yīng)。該部分與安全組織一道，構(gòu)成了企業(yè)安全管理的基礎(chǔ)?！肮ぷ鞫x和資源中的安全”要求采取有效措施減少人員失誤、盜竊、欺詐以及對設(shè)施的濫用?！坝脩襞嘤?xùn)”要求確保員工知曉和理解安全策略、制度、安全威脅等，有效地支持企業(yè)安全策略的執(zhí)行?！皩Π踩录凸收系捻憫?yīng)”要求 采取措施將安全事件和故障造成的損害降低到最低水平，對此類事件進行監(jiān)控并從中汲取知識和吸取經(jīng)驗。安全響應(yīng)需要有效的流程體系和工具來保障其質(zhì)量。 【實施方法與形式】：根據(jù)認證中心實際業(yè)務(wù)運營風(fēng)險，天威誠信針對人員安全控制管理重點制定了《人員安全策略》，針對三個控制目標(biāo)分別制定了《可信雇員政策》、《職責(zé)分割政策》、《安全應(yīng)急管理辦法》等子策略，并結(jié)合《安全管理規(guī)范》進行實際運營過程中的人員安全管理。參照 BS7799建議的控制措施對于三個控制目標(biāo)天威誠信進行多方面的管理控制： 1， “可信雇員政策”是人員安全系統(tǒng) 的基礎(chǔ)。所有有權(quán)訪問天威誠信敏感 CA操作的人員必須是值得信任的。可信人員是指必須接受并通過特定的背景調(diào)查，表明他們有能力維持進行關(guān)鍵操作，并且具有必要的信任級別?？尚湃藛T是指所有參與 CA中心工作的人員 —— CA中心工作員和非 CA中心工作員 2， 根據(jù)可信雇員政策，天威誠信制定了相應(yīng)的可信人員調(diào)查評估標(biāo)準(zhǔn)與審查標(biāo)準(zhǔn)，以及調(diào)查、審查程序。 3， “職責(zé)分割政策”針對天威誠信認證中心每個職能的功能領(lǐng)域制定了相應(yīng)的責(zé)任范圍及物理安全要求。并配合物理區(qū)域設(shè)定及訪問控制系統(tǒng)來共同管理天威誠信認證中心中的各種職能的成員。 4， 天威誠信針對每一名員工（正式、非正式）及第三方用戶都簽署不同形式的保密協(xié)議，以約束保密行為。對于正式員工除了在勞動合同中給與保密活動特殊的約定外，還針對員工離職后在一段時間內(nèi)不允許就職于相同職位進行了經(jīng)濟補償?shù)募s定。 5， 所有新員工都必須經(jīng)過相應(yīng)的安全培訓(xùn)，涉及到安全管理、技術(shù)、實施的員工還必須經(jīng)過相應(yīng)考核。 6， 對于運營中出現(xiàn)的安全事件、安全事故，天威誠信進行了明確的界定。對于普通的安全事件由各業(yè)務(wù)部門進行記錄上報或由安全管理部直接查明后記錄歸檔；針對于不同業(yè)務(wù)領(lǐng)域的安全事故，天威誠信組織成立 了不同知識結(jié)構(gòu)的安全應(yīng)急響應(yīng)小組進行及時的相應(yīng)處理工作。 7， 天威誠信對于所有影響業(yè)務(wù)運行的事件、事故都進行了存檔工作，并定期整理、學(xué)習(xí)，納入到新的安全策略制定討論中。 8， 為了維持安全策略的正常實施，警戒安全時間、事故的再次發(fā)生，天威誠信還制定《違規(guī)處罰辦法》以確保公正、有效處理安全事件、事故。 物理和環(huán)境安全 【物理和環(huán)境安全的建設(shè)要點】物理和環(huán)境安全包括三個控制目標(biāo)： 安全區(qū)域、設(shè)備安全和一般控制措施 ?！鞍踩珔^(qū)域”目的是防止業(yè)務(wù)設(shè)施和信息受到未經(jīng)授權(quán)的物理訪問、損害和干擾。而“設(shè)備安全”的控制 措施可以防止資產(chǎn)丟失、受損和受到威脅，防止業(yè)務(wù)活動受到干擾，包括電信供應(yīng)和線路安全等等?！耙话憧刂拼胧卑ㄇ謇碜烂婧推聊?、以及資產(chǎn)清理等。 【實施方法與形式】：物理和環(huán)境安全是認證中心最基礎(chǔ)的安全保障。天威誠信針對物理和環(huán)境安全管理重點制定了《物理安全策略》，物理安全的重要性不僅在于其對認證中心資產(chǎn)的明顯保護作用，而且還為認證中心提供了一種安全的管理方法。天威誠信針對認證（ CA）中心制定了完善的物理安全系統(tǒng)。具體包括： CA 設(shè)施的物理建設(shè)措施、 CA 設(shè)施的分層訪問控制措施、物理侵入檢測系統(tǒng)建設(shè)措施，設(shè)備、設(shè) 施保障措施，運營管理措施等： 1， 天威誠信對建筑物如：整體建筑、墻壁、地板和天花板、入口門、其它門、窗口、其他孔口都制定詳細安全要求。 2， 天威誠信針對 CA運營的實際風(fēng)險，建設(shè)了 7個物理安全層次來保護 CA 中心特定的信息資產(chǎn)。 7個物理安全層次一般可分為初級、敏感、高度敏感三個級別的區(qū)域。 3， 天威誠信配合物理層級的劃分，進行了訪問系統(tǒng)及侵入檢測系統(tǒng)等安全措施的建設(shè)，將訪問控制系統(tǒng)是與控制各層門進出的門禁系統(tǒng)相結(jié)合的 4， 設(shè)備方面結(jié)合前面所述資產(chǎn)等級的保護以及物理層級的劃分，天威誠信對于資產(chǎn)建立了明確的 保護機制。 5， 電源方面，天威誠信采用雙路供電、配合 UPS電源組、以及多臺大功率發(fā)電機。 6， 關(guān)于設(shè)備其他保護，天威誠信采用 FM200 氣體滅火裝置并配合小規(guī)模處理的消防瓶以及后備的干式水噴淋滅火裝置。 7， 對于特定要求的設(shè)備，天威誠信還采用了屏蔽室來加以保護。 8， 另外，天威誠信對于水災(zāi)害、化學(xué)效應(yīng)等威脅因素進行實時的運營控制與防護。 9， 對于一般的運營控制，如對文件資料、各類機器設(shè)備以及屏幕保護的管理控制，天威誠信制定的《安全管理規(guī)范》來對實際運營中的各種風(fēng)險進行控制管理。 通信和運行管理 【通訊和操作管理的建設(shè)要點】：通信和運行管理包括七個控制目標(biāo)：操作程序和責(zé)任、系統(tǒng)計劃和接收、惡意軟件防護、內(nèi)務(wù)管理、網(wǎng)絡(luò)管理、介質(zhì)處理與安全、以及信息和軟件交流?！安僮鞒绦蚝拓?zé)任”目標(biāo)是確保信息處理設(shè)施操作的正確性和安全性，包括書面操作程序記錄、變更管理、事件管理和職責(zé)分離等控制措施?！跋到y(tǒng)計劃和接收”的控制措施包括容量規(guī)劃和系統(tǒng)接收，目標(biāo)是將系統(tǒng)故障的風(fēng)險降低到最低水平?！皭阂廛浖雷o”的目標(biāo)是保護軟件和信息的完整性免受惡意軟件的傷害?！皟?nèi)務(wù)管理”的目標(biāo)是維護信息處理和通信服務(wù)的完整性和可用性，控制措 施包括信息備份、操作日志和錯誤日志?！熬W(wǎng)絡(luò)管理”目標(biāo)是保衛(wèi)網(wǎng)絡(luò)中的信息、保護支持性的基礎(chǔ)架構(gòu)?！敖橘|(zhì)處理與安全”對于目前移動性越來越高的企業(yè) IT環(huán)境來說具有特殊意義，其目標(biāo)是防止資產(chǎn)受到破壞，防止商業(yè)活動受到干擾?！靶畔⒑蛙浖粨Q”則要求采取措施，防止信息在交流過程中丟失、被修改或者被誤用。通信和運行管理是通常意義上的網(wǎng)絡(luò)信息安全所主要考慮的內(nèi)容，受到較高的重視。 【實施方法與形式】： 1， 為了確保天威誠信 CA中心各項信息處理操作的正確性和安全性，我們一方面制定了《系統(tǒng)操作運行指南》，另一方面采用了世界 領(lǐng)先的網(wǎng)絡(luò)管理平臺并集成了安全管理模塊。該平臺一方面實現(xiàn)了網(wǎng)絡(luò)管理，另一方面可基于角色地從網(wǎng)絡(luò)及安全兩個方面確保通信和運行的安全。 2， 專用網(wǎng)管軟件的采用很好解決了性能監(jiān)控、故障管理、配置管理、變更控制等問題。 3， 專用安全管理平臺模塊的采用很好解決了多種安全產(chǎn)品的有機結(jié)合的問題，為風(fēng)險管理提供了有效的技術(shù)機制。該機制使得風(fēng)險要素可準(zhǔn)確地通過各種底層支撐產(chǎn)品（防火墻、掃描器、入侵檢測、審計）進行采集，并最終匯總到管理平臺進行事件間的關(guān)聯(lián)分析，從而以更為準(zhǔn)確、適用的方式呈現(xiàn)在管理者面前。 4， 對于惡意軟 件防護方面，我們在系統(tǒng)層面采用安全加固技術(shù)保證了其自身的安全性。在應(yīng)用方面我們采用專用內(nèi)容過濾技術(shù)防止各種惡意內(nèi)容到達企業(yè)內(nèi)部。 5， 另外，考慮到安全的動態(tài)性，我方采用定期的、持續(xù)性的專業(yè)風(fēng)險評估服務(wù)對系統(tǒng)進行定期評估以便及時發(fā)現(xiàn)新的安全風(fēng)險。 6， 最后，建立了一個完善的備份系統(tǒng)，確保系統(tǒng)的全面?zhèn)浞莺图皶r恢復(fù)。 系統(tǒng)訪問控制 【系統(tǒng)訪問控制的建設(shè)要點】：系統(tǒng)訪問控制包括八個控制目標(biāo)：訪問控制策略、用戶訪問管理、用戶責(zé)任、網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪問控制、應(yīng)用訪問控制、監(jiān)控系統(tǒng)的訪問和使用、以及移動計 算和遠程辦公?！霸L問控制策略”要求建立覆蓋公司核心業(yè)務(wù)的系統(tǒng)訪問策略，以指導(dǎo)相關(guān)的 IT活動。“用戶訪問管理” 則要求建立用戶身份注冊、權(quán)限管理、口令管理以及訪問控制審查手段?！坝脩糌?zé)任”要求明確用戶在口令和信息設(shè)備使用方面的責(zé)任?！熬W(wǎng)絡(luò)訪問控制”、“操作系統(tǒng)訪問控制”、“應(yīng)用訪問控制”包括非常多的內(nèi)容，分別從網(wǎng)絡(luò)層、操作系統(tǒng)層和應(yīng)用層，提出要求，目標(biāo)是在不同層面建立身份與口令管理、隔離、訪問控制、認證、超時、敏感信息保護、審計、以及路由、執(zhí)行路徑等安全保護手段?！氨O(jiān)控系統(tǒng)的訪問和使用”要求采取手段，保證時 鐘同步，記錄監(jiān)控系統(tǒng)的使用和各種事件?！耙苿佑嬎愫瓦h程辦公”的目標(biāo)是保證使用移動計算和遠程辦公設(shè)施時的安全。 【實施方法與形式】： 1， 天威誠信根據(jù)自身業(yè)務(wù)運營特點，從網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫、數(shù)據(jù)信息五個層面制定了全面的、有效的《天威誠信系統(tǒng)訪問控制安全策略》，并在該策略的指導(dǎo)下來實現(xiàn)整體的、全面的、有效的訪問控制機制。 2， 在網(wǎng)絡(luò)訪問控制層面，我們采用防火墻在各安全域間建立安全的網(wǎng)絡(luò)邊界，同時對關(guān)鍵的業(yè)務(wù)進行了更多層次的、不同級別的縱深防護； 3， 在系統(tǒng)訪問控制層面，我們對系統(tǒng)層面除了啟用系統(tǒng)自 身的訪問控制機制外，我們對關(guān)鍵業(yè)務(wù)主機部署了超越操作系統(tǒng)的、更為強大細化的專業(yè)訪問控制產(chǎn)品； 4， 在用戶訪問管理方面，一方面專門制度了《帳戶口令管理制度》，另一方面采用一次性口令認證機制和雙因素認證機制來實現(xiàn)系統(tǒng)及應(yīng)用的安全訪問，這一系列的訪問均有用戶訪問控制策略做指導(dǎo)。 5， 在用戶責(zé)任方面我們在安全策略中明確了不同主體在使用客體時的責(zé)任。 6， 在應(yīng)用層面，我們采