【正文】 通信和運行管理是通常意義上的網(wǎng)絡信息安全所主要考慮的內(nèi)容，受到較高的重視?！皟?nèi)務管理”的目標是維護信息處理和通信服務的完整性和可用性，控制措施包括信息備份、操作日志和錯誤日志。 通信和運行管理 通信和運行管理包括七個控制目標：操作程序和責任、系統(tǒng)計劃和驗收、惡意軟件防護、內(nèi)務管理、網(wǎng)絡管理、介質(zhì)處理與安全、以及信息和軟 件交換。 1 CA eTrust 20/20 與 eTrust Security Command Center 的聯(lián)合可以提供對物理安全系統(tǒng)的監(jiān)控，以及物理安全系統(tǒng)和 IT安全系統(tǒng)之間的聯(lián)動、相關(guān)?！鞍踩珔^(qū)域”目的是防止業(yè)務設施和信息受到未經(jīng)授權(quán)的物理訪問、損害和干擾。 1 CA eTrust Identity Management可以幫助建立跨平臺、復雜異構(gòu)環(huán)境下的用戶、角色、賬號等的統(tǒng)一管理?！坝脩襞嘤枴币蟠_保員工理解安全策略、制度、安全威脅等，有效地支持企業(yè)安全策略的執(zhí)行。 【 CA解決方案】 1 CA 專業(yè)咨詢可以幫助企業(yè)開發(fā)信息資產(chǎn)分類、標識、資產(chǎn)目錄等方面的策略和實施方法。 Access Management 套件可以提供全生命周期的用戶管理以及訪問權(quán)限管理，嚴格保 證第三方訪問過程中的安全風險，同時保證正常的業(yè)務關(guān)系。 安全組織 安全組織包含三個控制目標：企業(yè)信息基礎架構(gòu) 、第三方訪問安全以及外包。安全方針和這些文檔一起需要基于角色的訪問 控制，來保證它們在廣泛獲知的同時，還能夠處于良好的管理維護之下。典型的安全方針內(nèi)容非常廣泛，包括信息安全的定義和目的，以及在信息共享運轉(zhuǎn)機制中安全防范的領域和重要性；管理意圖的闡述，信息安全目標和原則的支持；安全策略、原則和標準的簡要說明以及對機構(gòu)尤其重要的規(guī) 范實施條件的解釋；闡述信息安全的職責；等等。企業(yè)可以根據(jù)自己的實際業(yè)務和 IT環(huán)境，來決定是否采用其定義的安全措施（ SOA聲明）。 通過本文檔的介紹，讀者可以了解到如何利用冠群電腦（中國）有限公司 (以下簡稱 CA)公司的產(chǎn)品和服務來滿足 BS7799 安全體系（ ISMS）建設方面的需求，并通過 BS7799的認證。 BS7799是一項英國開發(fā)設立的安全標準，頒發(fā)于 1999年，定義了在信息安全管理方面的最佳實踐。隨著國家、地區(qū)和行業(yè)法規(guī)在安全要求方面的日益注重和完善，這種競爭優(yōu)勢將不斷擴大。 在接下來的實施階段，首先進行員工培訓，然后根據(jù)安全控制實施計劃逐條落實相關(guān)的措施，包括組織建設、資產(chǎn)分類、增強的門禁，實驗室裝修，區(qū)域劃分，改善的介質(zhì)處理流程、方式，以及業(yè)務可持續(xù)性計劃的編制、模擬和演練等。 辦好培訓，其實有很多方式，最好的方式 是案例分析，其次是高層動員。此外，為了提高評估的效率，還可以采用了專業(yè)化的評估軟件以減少評估的人為失誤和文檔編制時間。弱點識別往往包括內(nèi)、外兩方面不同的觀點，但在資產(chǎn)和威脅分析時，顧問公司只是教給客戶標準和方法，讓客戶自己分析判斷，紀錄和整理最終的結(jié)果。我們這個案例就很明顯地體現(xiàn)了這點，由于既定的范圍不包括復雜的網(wǎng)絡和 IT資產(chǎn)，因此，在弱點分析時主要考慮組織和物理方面的技術(shù)弱點，如：客戶介質(zhì)在交遞、保管、處理、返還等環(huán)節(jié)的安全隱患，以及安全實驗室的實物與環(huán)境安全等。當發(fā)生各成員評估結(jié)果不一致的情況時，項目經(jīng)理也應參照安全目標的定義進行裁決。 （ 2）應避免風險評估僅限于 IT部門和安全專家的參與。 僅就認證目的而言，企業(yè)可以選擇任何部門和系統(tǒng)，但顯然只有與業(yè)務目標一致的范圍定義才有助于體現(xiàn)安全管理對于核心業(yè)務的促進作用。審計 Review amp。 二、 客戶需求 鑒于數(shù)據(jù)銷毀和恢復業(yè)務的高敏感性，客戶對于服務商在服務過程中保護客戶隱私，防止敏感信息泄密方面的安全性和信譽度普遍存在不同程度的擔憂，這不僅僅是領先的專業(yè)技術(shù)和市場知名度所能涵蓋，更重要的是企業(yè)如何體現(xiàn)對客戶信息的安全保障水平。集團總部位于挪威，目前在全球 10 多個國家和地區(qū)擁有分支結(jié)構(gòu)和完善的營銷與服務支持網(wǎng)絡。認證中心從建立至今，還沒有發(fā)生過一起影響業(yè)務正常運行的安全事故。 【實施方法與形式】：天威誠信結(jié)合 BS7799 的“ PDCA”動態(tài)管理思路 ，對于符合性采用有效地設計規(guī)劃，針對于 BS7799 建議的三個控制目標，天威誠信采用多種安全措施進行實際運營控制： 1， 天威誠信針對 CA 機構(gòu)的情況進行了相關(guān)法律、規(guī)定的標示，例如明確標示 CA 中心必須符合且不限于以下的基礎標準： 中華人民共和國國家標準（ GB 9361－ 88）：《計算站場地安全要求》 中華人民共和國國家標準（ GB 2887－ 89）：《計算站場地技術(shù)條件》 中華人民共和國國家標準（ GB 6650－ 86）：《計算機機房用活動地 板技術(shù)條件》 中華人民共和國國家標準（ GB 50174－ 93）：《電子計算機機房設計規(guī)范》 中華人民共和國國家標準（ GB 9254－ 88）：《信息技術(shù)設備的無線電干擾極限值和測量方法》 中國國家信息安全測評認證中心：《信息系統(tǒng)安全性評價準則及測試規(guī)范－系統(tǒng)和設施要求》 國家商用密碼管理委員會辦公室：《中華人民共和國商用密碼管理條例》 結(jié)合自身安全條件及相關(guān)法律要求以適當?shù)氖侄螌镜闹R產(chǎn)權(quán)加以保護 2， 為了建立和保持 CA 中心的可靠信譽，天威誠信制定了嚴格的審計方法和審計過程對 CA中心及其所有分支機構(gòu)進行定期審計。 符合性 【符合性的建設要點】：符合性包括三個控制目標：符合法律要求、對安全策略和技術(shù)符合性的評估、系統(tǒng)審核考慮。 3， 另外，制定了《處理中心任務和職責 — 責任隔離》、《 CSU/加密卡運送簽收文件》、《運送過程（香港 — 北京）的描述》等詳盡的規(guī)范。 【實施方法與形式】： 1， 天威誠信的運行體系中 涉及了少量的開發(fā)內(nèi)容，盡管如此，我們還是對這些開發(fā)工作按照軟件工程生命周期的各個環(huán)節(jié)進行了嚴格控制，充分考慮了各項活動中的安全因素。“應用系統(tǒng)安全”要求在輸入數(shù)據(jù)驗證、內(nèi)部處理、消息認證、輸出數(shù)據(jù)驗證等方面采取安全措施。 8， 對于數(shù)據(jù)信息的訪問控制，我們采用了加密、完整性校驗等技術(shù)，另外對于屬于最高安全性的數(shù)據(jù)信息，我們對其所屬的網(wǎng)絡和環(huán)境采用了最嚴格的物理隔離措施，使其與其它工作區(qū)及外部網(wǎng)絡進行完全物理隔離。 【實施方法與形式】： 1， 天威誠信根據(jù)自身業(yè)務運營特點，從網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)庫、數(shù)據(jù)信息五個層面制定了全面的、有效的《天威誠信系統(tǒng)訪問控制安全策略》，并在該策略的指導下來實現(xiàn)整體的、全面的、有效的訪問控制機制?！坝脩糌熑巍币竺鞔_用戶在口令和信息設備使用方面的責任。 6， 最后，建立了一個完善的備份系統(tǒng)，確保系統(tǒng)的全面?zhèn)浞莺图皶r恢復。該機制使得風險要素可準確地通過各種底層支撐產(chǎn)品（防火墻、掃描器、入侵檢測、審計）進行采集，并最終匯總到管理平臺進行事件間的關(guān)聯(lián)分析，從而以更為準確、適用的方式呈現(xiàn)在管理者面前。 【實施方法與形式】： 1， 為了確保天威誠信 CA中心各項信息處理操作的正確性和安全性，我們一方面制定了《系統(tǒng)操作運行指南》，另一方面采用了世界 領先的網(wǎng)絡管理平臺并集成了安全管理模塊。“網(wǎng)絡管理”目標是保衛(wèi)網(wǎng)絡中的信息、保護支持性的基礎架構(gòu)?！安僮鞒绦蚝拓熑巍蹦繕耸谴_保信息處理設施操作的正確性和安全性，包括書面操作程序記錄、變更管理、事件管理和職責分離等控制措施。 7， 對于特定要求的設備，天威誠信還采用了屏蔽室來加以保護。 7個物理安全層次一般可分為初級、敏感、高度敏感三個級別的區(qū)域。天威誠信針對物理和環(huán)境安全管理重點制定了《物理安全策略》，物理安全的重要性不僅在于其對認證中心資產(chǎn)的明顯保護作用，而且還為認證中心提供了一種安全的管理方法?！鞍踩珔^(qū)域”目的是防止業(yè)務設施和信息受到未經(jīng)授權(quán)的物理訪問、損害和干擾。對于普通的安全事件由各業(yè)務部門進行記錄上報或由安全管理部直接查明后記錄歸檔；針對于不同業(yè)務領域的安全事故，天威誠信組織成立 了不同知識結(jié)構(gòu)的安全應急響應小組進行及時的相應處理工作。 4， 天威誠信針對每一名員工（正式、非正式）及第三方用戶都簽署不同形式的保密協(xié)議，以約束保密行為?？尚湃藛T是指必須接受并通過特定的背景調(diào)查，表明他們有能力維持進行關(guān)鍵操作，并且具有必要的信任級別。安全響應需要有效的流程體系和工具來保障其質(zhì)量。該部分與安全組織一道，構(gòu)成了企業(yè)安全管理的基礎。如：對與密鑰生成有關(guān)的服務器要設定四個層級以上的物理保護，還要提供 UPS電源、恒溫恒濕等物理條件。 5， 對于外包，在進行外包活動前，天威誠信會組織專業(yè)人員進行嚴格的考察、討論，滿足認證中心的安全條件是外包活動的必要條件，另外在實施外包活動中，天威誠信會依據(jù)外包合同進行各種必要的審計工作。 2， 進行全員化企業(yè)安全文化的建設，將安全責任落實到各業(yè)務部門、各負責人身上，例如信息維護人員必須熟知邏輯安全策略的要求，并切實將邏輯安全策略落實到具體業(yè)務工作中。安全組織要求定義企業(yè)機構(gòu)內(nèi)部與信息安全有關(guān)的組織和協(xié)作，如何落實安全責任，與安全有關(guān)的授權(quán)過程，同時，要求管理者能夠識別第三方合作和外包過程中的風險，并通過相關(guān)的合同控制安全風險。典型的安全策略包含內(nèi)容非常廣泛，包括信息安全的定義和目的，以及在信息共享運轉(zhuǎn)機制中安全防范的領域和重要性；管理意圖的闡述，信息安全目標和原則的支持；安全策略、原則和標準的簡 要說明以及對機構(gòu)尤其重要的規(guī)范實施條件的解釋；闡述信息安全的職責；等等。為了實現(xiàn)這個目標，天威誠信通過認真學習和研究 BS7799，認為 BS7799對安全管理 方面的定義和描述完全滿足 PKI/CA認證中心的安全性要求，并且該標準已經(jīng)可以作為國際公認的可用于認證、認可的安全管理標準。 PKI/CA 認證中心作為第三方機構(gòu)，專門負責發(fā)放并管理所有參與網(wǎng)上業(yè)務的實體所需的數(shù)字證書，數(shù)字證書是網(wǎng)絡世界中的身份證，可以在網(wǎng)絡世界中為互不見面的用戶建立安全可靠的信任關(guān)系，而這種信任關(guān)系的建立則源于 PKI/CA 認證中心 ，構(gòu)建安全的 PKI/CA 認證中心是至關(guān)重要的。 天威誠信依照我國國情和密碼管理政策，借鑒國外先進技術(shù)及管理方法，依據(jù) BS7799建設和運營政府認可的、權(quán)威、可信、公正的 PKI/CA認證中心，研制了具有自主知識產(chǎn)權(quán)的 PKI產(chǎn)品及應用，對外提供全面的數(shù)字信任服務。 雖然 BS7799可以管理到組織、客戶、供應的安全，但是如果在 IT系統(tǒng)和相應的數(shù)據(jù)流程上需要更細粒度的管理，就需要搭配其他的技術(shù)標 準。 信息安全治理是一個仍在繼續(xù)發(fā)展的領域，除了前面提到的規(guī)范外，尤其要切記的是信息安全管理是信息安全治理實現(xiàn)的前提。 每個流程定義了一個高級別的目標： 識別 IT流程中最重要的信息準則； 列出需要經(jīng)常調(diào)整的資源； 考慮控制 IT流程的重要方面 CoBIT為正在尋求控制實施最佳實踐的管理者和 IT實施人員提供了超過 300個詳細的控制目標，以及建立在這些目標上的廣泛的行動指南。 CoBIT起源于 IT需要傳遞組織為達到業(yè)務目標所需的信息這個前提。但是這種判斷僅僅對特定標準的可靠性做出判斷，不是對系統(tǒng)整體可靠性的判斷。系統(tǒng)的界限由系統(tǒng)所有者 確定，但必須包括以下幾個關(guān)鍵部分：基礎設施、軟件、人、程序和數(shù)據(jù)。 美國注冊會計師協(xié)會 (加拿大特許會計師協(xié)會 )，《 SysTrust TM系統(tǒng)可靠性原理和準則V20》（ 2020） SysTrust 服務是一種保證服務，用于增強管理者、客戶和商業(yè)伙伴對支持業(yè)務或某種特別活 動的系統(tǒng)的信任。 ISO17799 認為信息安全有下列特征： 機密性 —— 確保信息只被相應的授權(quán)用戶訪問； 完整性 —— 保護信息和處理 信息程序的準確性和完整性； 可用性 —— 確保授權(quán)用戶在需要時能夠訪問信息和相關(guān)資產(chǎn)。另外，業(yè)務依賴性 （依靠第三方通信設施傳送信息，外包業(yè)務等等）也可能潛在地導致管理控制的失效和監(jiān)督不力。 機密性、完整性和可用性之間的相對優(yōu)先級和重要性根據(jù)信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境而不同。 這個框架包括法律、行動準則、技術(shù)評估、管理和用戶實踐，及公眾教育或宣傳活動。 信息安全治理成熟度模型等級有助于專業(yè)人員向管理層解釋信息安全管理存在的缺陷，并把他們組織的控制慣例與最佳慣例對照起來，從而確定組織的未來發(fā)展目標。 使管理部門相對容易地依據(jù)等級制對自己定位，并找出需要改善安全管理的地方。 5 優(yōu)化級 管理層不斷交流持續(xù)服務的必要性；局部采用了高可靠設備和冗余系統(tǒng)；嚴格維護重要的系統(tǒng)和設備 4 已管理的和可測量的 根據(jù)標準程序評估風險，不遵守此程序的將被 IT管理者通報； IT風險管理可能成為具有很高責任的管理職能；管理執(zhí)行層和 IT管理者已確定組織容忍的最大風險級別，并已有測量風險 /投資回報率的測量標準。 信息安全職責被賦予一個了解信息安全，但沒管理權(quán)的人；員工具有不完整的和有限的安全意識，但無法分析信息安全的信息；沒有確定組織特定的信息安全需求，只是被動對信息安全事故做出反應 ，請第三方處理這些事故；開始制定安全策略，但沒有足夠的技巧和工具；信息安全報告不完整，易于使人誤解，或