【正文】 續(xù)性計(jì)劃的有效性 5， 對(duì)重大危險(xiǎn)源采用消除風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、與相應(yīng)機(jī)構(gòu)共同承擔(dān)風(fēng)險(xiǎn)的原則，另外對(duì)于重要業(yè)務(wù)購(gòu)買相應(yīng)的保險(xiǎn)以降低風(fēng)險(xiǎn)帶來(lái)的損失。 業(yè)務(wù)連續(xù)性規(guī)劃 【業(yè)務(wù)連續(xù)性規(guī)劃的建設(shè)要點(diǎn)】：業(yè)務(wù)連續(xù)性管理只有一個(gè)控制目標(biāo)：“業(yè)務(wù)連續(xù)性管理的各個(gè)方面”，要求制定相應(yīng)策略和管理制度，消除商業(yè)活動(dòng)受到的干擾，保護(hù)關(guān)鍵的商業(yè)程序不受重大故障或者災(zāi)難的影響。然后充分考慮了用戶級(jí)和主要 /安全管理級(jí)（ D/SO）秘密分管者的指定、秘密分管者聯(lián)系策略、秘密共享的調(diào)動(dòng)和調(diào)用過(guò)程、特殊區(qū)域可進(jìn)出人員的指定 、特殊區(qū)域可進(jìn)出人員的聯(lián)系策略、特殊區(qū)域可進(jìn)出人員職責(zé)的調(diào)動(dòng)和調(diào)用過(guò)程、激活與恢復(fù)、 CSU/加密卡安全管理尺度、運(yùn)送、存儲(chǔ)等過(guò)程。另外對(duì)密鑰生產(chǎn)過(guò)程的每個(gè)過(guò)程中可能隱藏的安全因素均進(jìn)行了全面的考慮并嚴(yán)格控制每個(gè)過(guò)程。“開(kāi)發(fā)和支持過(guò)程中的安全”要求在軟件工程生命周期的各個(gè)環(huán)節(jié)的活動(dòng)中都考慮到安全因素，在變更控制的程序、操作系統(tǒng)變更評(píng)審、軟件包變更控制、隱蔽通道和后門、以及軟件開(kāi)發(fā)外包等方面采取安全控制?！懊艽a控制”要求建立開(kāi)發(fā)維護(hù)過(guò)程中關(guān)于密碼使用的策略，采取有效的密碼、密鑰管理、數(shù)字簽名等技術(shù)。“系統(tǒng)的安全要求”是指保證在開(kāi)發(fā)的信息系統(tǒng)中已經(jīng)建立 了安全機(jī)制。 9， 最后，我們對(duì)各項(xiàng)訪問(wèn)控制措施采用了集中審計(jì)機(jī)制，以便對(duì)違規(guī)行為及時(shí)發(fā)現(xiàn)和分析。 6， 在應(yīng)用層面，我們采用專用的中間件產(chǎn)品進(jìn)行安全及邏輯控制； 7， 在數(shù)據(jù)庫(kù)方面一方面采用專用訪問(wèn)控制產(chǎn)品來(lái)嚴(yán)格限制訪問(wèn)邊界，另一方面嚴(yán)格限制了數(shù)據(jù)庫(kù)中各對(duì)象的訪 問(wèn)權(quán)限。 2， 在網(wǎng)絡(luò)訪問(wèn)控制層面，我們采用防火墻在各安全域間建立安全的網(wǎng)絡(luò)邊界，同時(shí)對(duì)關(guān)鍵的業(yè)務(wù)進(jìn)行了更多層次的、不同級(jí)別的縱深防護(hù)； 3， 在系統(tǒng)訪問(wèn)控制層面，我們對(duì)系統(tǒng)層面除了啟用系統(tǒng)自 身的訪問(wèn)控制機(jī)制外，我們對(duì)關(guān)鍵業(yè)務(wù)主機(jī)部署了超越操作系統(tǒng)的、更為強(qiáng)大細(xì)化的專業(yè)訪問(wèn)控制產(chǎn)品； 4， 在用戶訪問(wèn)管理方面，一方面專門制度了《帳戶口令管理制度》，另一方面采用一次性口令認(rèn)證機(jī)制和雙因素認(rèn)證機(jī)制來(lái)實(shí)現(xiàn)系統(tǒng)及應(yīng)用的安全訪問(wèn)，這一系列的訪問(wèn)均有用戶訪問(wèn)控制策略做指導(dǎo)?！耙苿?dòng)計(jì)算和遠(yuǎn)程辦公”的目標(biāo)是保證使用移動(dòng)計(jì)算和遠(yuǎn)程辦公設(shè)施時(shí)的安全。“網(wǎng)絡(luò)訪問(wèn)控制”、“操作系統(tǒng)訪問(wèn)控制”、“應(yīng)用訪問(wèn)控制”包括非常多的內(nèi)容，分別從網(wǎng)絡(luò)層、操作系統(tǒng)層和應(yīng)用層，提出要求，目標(biāo)是在不同層面建立身份與口令管理、隔離、訪問(wèn)控制、認(rèn)證、超時(shí)、敏感信息保護(hù)、審計(jì)、以及路由、執(zhí)行路徑等安全保護(hù)手段?！坝脩粼L問(wèn)管理” 則要求建立用戶身份注冊(cè)、權(quán)限管理、口令管理以及訪問(wèn)控制審查手段。 系統(tǒng)訪問(wèn)控制 【系統(tǒng)訪問(wèn)控制的建設(shè)要點(diǎn)】：系統(tǒng)訪問(wèn)控制包括八個(gè)控制目標(biāo)：訪問(wèn)控制策略、用戶訪問(wèn)管理、用戶責(zé)任、網(wǎng)絡(luò)訪問(wèn)控制、操作系統(tǒng)訪問(wèn)控制、應(yīng)用訪問(wèn)控制、監(jiān)控系統(tǒng)的訪問(wèn)和使用、以及移動(dòng)計(jì) 算和遠(yuǎn)程辦公。 5， 另外，考慮到安全的動(dòng)態(tài)性，我方采用定期的、持續(xù)性的專業(yè)風(fēng)險(xiǎn)評(píng)估服務(wù)對(duì)系統(tǒng)進(jìn)行定期評(píng)估以便及時(shí)發(fā)現(xiàn)新的安全風(fēng)險(xiǎn)。 4， 對(duì)于惡意軟 件防護(hù)方面，我們?cè)谙到y(tǒng)層面采用安全加固技術(shù)保證了其自身的安全性。 3， 專用安全管理平臺(tái)模塊的采用很好解決了多種安全產(chǎn)品的有機(jī)結(jié)合的問(wèn)題，為風(fēng)險(xiǎn)管理提供了有效的技術(shù)機(jī)制。該平臺(tái)一方面實(shí)現(xiàn)了網(wǎng)絡(luò)管理，另一方面可基于角色地從網(wǎng)絡(luò)及安全兩個(gè)方面確保通信和運(yùn)行的安全。通信和運(yùn)行管理是通常意義上的網(wǎng)絡(luò)信息安全所主要考慮的內(nèi)容，受到較高的重視?！敖橘|(zhì)處理與安全”對(duì)于目前移動(dòng)性越來(lái)越高的企業(yè) IT環(huán)境來(lái)說(shuō)具有特殊意義，其目標(biāo)是防止資產(chǎn)受到破壞，防止商業(yè)活動(dòng)受到干擾?！皟?nèi)務(wù)管理”的目標(biāo)是維護(hù)信息處理和通信服務(wù)的完整性和可用性，控制措 施包括信息備份、操作日志和錯(cuò)誤日志?！跋到y(tǒng)計(jì)劃和接收”的控制措施包括容量規(guī)劃和系統(tǒng)接收，目標(biāo)是將系統(tǒng)故障的風(fēng)險(xiǎn)降低到最低水平。 通信和運(yùn)行管理 【通訊和操作管理的建設(shè)要點(diǎn)】：通信和運(yùn)行管理包括七個(gè)控制目標(biāo)：操作程序和責(zé)任、系統(tǒng)計(jì)劃和接收、惡意軟件防護(hù)、內(nèi)務(wù)管理、網(wǎng)絡(luò)管理、介質(zhì)處理與安全、以及信息和軟件交流。 8， 另外，天威誠(chéng)信對(duì)于水災(zāi)害、化學(xué)效應(yīng)等威脅因素進(jìn)行實(shí)時(shí)的運(yùn)營(yíng)控制與防護(hù)。 6， 關(guān)于設(shè)備其他保護(hù)，天威誠(chéng)信采用 FM200 氣體滅火裝置并配合小規(guī)模處理的消防瓶以及后備的干式水噴淋滅火裝置。 3， 天威誠(chéng)信配合物理層級(jí)的劃分，進(jìn)行了訪問(wèn)系統(tǒng)及侵入檢測(cè)系統(tǒng)等安全措施的建設(shè)，將訪問(wèn)控制系統(tǒng)是與控制各層門進(jìn)出的門禁系統(tǒng)相結(jié)合的 4， 設(shè)備方面結(jié)合前面所述資產(chǎn)等級(jí)的保護(hù)以及物理層級(jí)的劃分，天威誠(chéng)信對(duì)于資產(chǎn)建立了明確的 保護(hù)機(jī)制。 2， 天威誠(chéng)信針對(duì) CA運(yùn)營(yíng)的實(shí)際風(fēng)險(xiǎn)，建設(shè)了 7個(gè)物理安全層次來(lái)保護(hù) CA 中心特定的信息資產(chǎn)。天威誠(chéng)信針對(duì)認(rèn)證（ CA）中心制定了完善的物理安全系統(tǒng)。 【實(shí)施方法與形式】：物理和環(huán)境安全是認(rèn)證中心最基礎(chǔ)的安全保障。而“設(shè)備安全”的控制 措施可以防止資產(chǎn)丟失、受損和受到威脅，防止業(yè)務(wù)活動(dòng)受到干擾，包括電信供應(yīng)和線路安全等等。 物理和環(huán)境安全 【物理和環(huán)境安全的建設(shè)要點(diǎn)】物理和環(huán)境安全包括三個(gè)控制目標(biāo)： 安全區(qū)域、設(shè)備安全和一般控制措施 。 7， 天威誠(chéng)信對(duì)于所有影響業(yè)務(wù)運(yùn)行的事件、事故都進(jìn)行了存檔工作，并定期整理、學(xué)習(xí)，納入到新的安全策略制定討論中。 6， 對(duì)于運(yùn)營(yíng)中出現(xiàn)的安全事件、安全事故，天威誠(chéng)信進(jìn)行了明確的界定。對(duì)于正式員工除了在勞動(dòng)合同中給與保密活動(dòng)特殊的約定外，還針對(duì)員工離職后在一段時(shí)間內(nèi)不允許就職于相同職位進(jìn)行了經(jīng)濟(jì)補(bǔ)償?shù)募s定。并配合物理區(qū)域設(shè)定及訪問(wèn)控制系統(tǒng)來(lái)共同管理天威誠(chéng)信認(rèn)證中心中的各種職能的成員?？尚湃藛T是指所有參與 CA中心工作的人員 —— CA中心工作員和非 CA中心工作員 2， 根據(jù)可信雇員政策，天威誠(chéng)信制定了相應(yīng)的可信人員調(diào)查評(píng)估標(biāo)準(zhǔn)與審查標(biāo)準(zhǔn)，以及調(diào)查、審查程序。所有有權(quán)訪問(wèn)天威誠(chéng)信敏感 CA操作的人員必須是值得信任的。 【實(shí)施方法與形式】：根據(jù)認(rèn)證中心實(shí)際業(yè)務(wù)運(yùn)營(yíng)風(fēng)險(xiǎn)，天威誠(chéng)信針對(duì)人員安全控制管理重點(diǎn)制定了《人員安全策略》，針對(duì)三個(gè)控制目標(biāo)分別制定了《可信雇員政策》、《職責(zé)分割政策》、《安全應(yīng)急管理辦法》等子策略，并結(jié)合《安全管理規(guī)范》進(jìn)行實(shí)際運(yùn)營(yíng)過(guò)程中的人員安全管理?！皩?duì)安全事件和故障的響應(yīng)”要求 采取措施將安全事件和故障造成的損害降低到最低水平，對(duì)此類事件進(jìn)行監(jiān)控并從中汲取知識(shí)和吸取經(jīng)驗(yàn)?！肮ぷ鞫x和資源中的安全”要求采取有效措施減少人員失誤、盜竊、欺詐以及對(duì)設(shè)施的濫用。 人員安全 【資產(chǎn)分類及控制的建設(shè)要點(diǎn)】人員安全包括三個(gè)控制目標(biāo)：工作定義和資源中的安全、用戶培訓(xùn)、對(duì)安全事件和故障的響應(yīng)。 另外，對(duì)于文件、信息資料等，天威誠(chéng)信進(jìn)行四個(gè)保密等級(jí) （機(jī)密、秘密、敏感、公開(kāi)四個(gè)等級(jí)）的標(biāo)示及管理控制。 【實(shí)施方法與形式】：天威誠(chéng)信作為專業(yè)的認(rèn)證中心，除了針對(duì)資產(chǎn)的價(jià)值進(jìn)行相應(yīng)保護(hù)外，針對(duì)可提供各種不同功能、服務(wù)的設(shè)備、設(shè)施對(duì)其重要性也進(jìn)行了判斷分類，并配合物理方面安全保護(hù)措施，對(duì)各種資產(chǎn)進(jìn)行了分區(qū)域的保護(hù)。 資產(chǎn)分類及控制 【資產(chǎn)分類及控制的建設(shè)要點(diǎn)】：資產(chǎn)分類及控制包括兩個(gè)控制目標(biāo)：資產(chǎn)責(zé)任和信息 分類。 4， 采用合理技術(shù)手段及管理措施來(lái)控制第三方對(duì)公司物理及邏輯方面的訪問(wèn)，并采用不同形式與第三方進(jìn)行保密要求的約定。 3， 組織跨 部門安全小組會(huì)議，進(jìn)行各種信息安全活動(dòng)的交流。 在實(shí)際運(yùn)行管理中，天威誠(chéng)信參照 BS7799 建議的控制措施對(duì)于三個(gè)控制目標(biāo)進(jìn)行多方面的管理控制： 1， 定期、不定期的組織信息安全專題會(huì)議來(lái)改進(jìn)、批準(zhǔn)企業(yè)內(nèi)部各種安全計(jì)劃，監(jiān)視、評(píng)審企業(yè)內(nèi)部信息安全活動(dòng)及涉及信息安全的業(yè)務(wù)流程的執(zhí)行，討論、消除安全事件給企業(yè)帶來(lái)的安全風(fēng)險(xiǎn)等等。 【實(shí)施方法與形式】：天威誠(chéng)信設(shè)定了專職安全組織－安全管理部，并任命該部門的負(fù)責(zé)人安全經(jīng)理來(lái)負(fù)責(zé)及協(xié)調(diào)與安全相關(guān)的所有活動(dòng)。 安全組織 【安全組織的建設(shè)要點(diǎn)】：安全組織包含三個(gè)控制目標(biāo)： 企業(yè)信息基礎(chǔ)架構(gòu)、第三方訪問(wèn)安全以及外包 。 【實(shí)施方法與形式】：天威誠(chéng)信公司結(jié)合認(rèn)證機(jī)構(gòu)的建設(shè)特點(diǎn)，結(jié)合自身業(yè)務(wù)要求及運(yùn)營(yíng)風(fēng)險(xiǎn)，依據(jù)認(rèn)證中心不同運(yùn)營(yíng)控制域分別制定了六個(gè)方面的 安全策略 ，分別是人員安全策略、物理安全策略、邏輯安全策略、通訊安全策略密鑰安全策略以及安全與審計(jì)策略。 安全策略 【信息安全策略的建設(shè)要點(diǎn)】： BS7799 定義了安全策略是為信息安全活動(dòng)提供了管理的方向以及所需的支持手段和管理層的承諾，同時(shí)安全策略還應(yīng)該明確定義企業(yè)機(jī)構(gòu)中安全策略的維護(hù)責(zé)任。因此，為了保證認(rèn)證中心的建設(shè)能夠在有效的、成熟的標(biāo)準(zhǔn)指導(dǎo)下進(jìn)行，同時(shí)有可通過(guò)該國(guó)際公認(rèn)的標(biāo)準(zhǔn)進(jìn)行檢驗(yàn)并獲得認(rèn)證，從而實(shí)現(xiàn)向用戶展示公認(rèn)的安全管理水平的目標(biāo)，天威誠(chéng)信決定依據(jù) BS7799定義的安全管理活動(dòng)中的目標(biāo)和措施來(lái)制定了天威誠(chéng)信 PKI/CA 認(rèn)證中心的各項(xiàng)安全管理策略并具體措施，在實(shí)施后的長(zhǎng)期運(yùn)行過(guò)程中取得了良好的效果，現(xiàn)已形成了可持續(xù)改進(jìn)的良性運(yùn)轉(zhuǎn)的安全管理體系。 在當(dāng)前環(huán)境下，為了讓用戶切實(shí)感到天威誠(chéng)信所提供的服務(wù)是安全可信的，從而推動(dòng)電子政務(wù)、電子商務(wù)等對(duì)信任機(jī)制要求較高的網(wǎng)上業(yè)務(wù)的發(fā)展，天威誠(chéng)信只有從加強(qiáng)信息安全管理并向用戶展示安全管理水平方面才能切實(shí)獲得用戶的信任，消除用戶殘余的安全憂慮。因?yàn)?，如?PKI/CA認(rèn)證中心安全性不夠，非法用戶可能入侵 PKI/CA認(rèn)證中心，竊取 CA密鑰，假冒認(rèn)證中心簽發(fā)數(shù)字證書，整個(gè) PKI/CA 認(rèn)證中心的信任體系將崩潰，將直接影響認(rèn)證中心的利益，影響顧客的利益，甚至?xí)o國(guó)家?guī)?lái)巨大的損失。 一、為什么要依據(jù) BS7799 建設(shè) PKI/CA認(rèn)證中心 安全對(duì)于今天數(shù)字環(huán)境下的每一種經(jīng)營(yíng)業(yè)務(wù)來(lái)說(shuō)都是至關(guān)重要的，而對(duì)于 PKI/CA認(rèn)證中心來(lái)說(shuō)，安全則是其對(duì)外提供數(shù)字信任服務(wù)的基石。公司在開(kāi)展自身業(yè)務(wù)的同時(shí)，參與了國(guó)家有關(guān)PKI/CA 體系規(guī)劃、建設(shè)和運(yùn)營(yíng)管理等方面的工作，并積極參與中國(guó)電 子簽名法立法。 第十章 BS7799 實(shí)施案例 案例之一：依據(jù) BS7799建設(shè) PKI/CA 認(rèn)證中心 北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司是經(jīng)信息產(chǎn)業(yè) 部批準(zhǔn)的全國(guó)性 PKI/CA 企業(yè)，是專門從事數(shù)字信任服務(wù)、 PKI/CA 建設(shè)服務(wù)、 PKI/CA應(yīng)用服務(wù)、 PKI/CA 運(yùn)營(yíng)管理咨詢服務(wù)和 PKI/CA體系整體規(guī)劃服務(wù)的專業(yè)化信息安全技術(shù)與服務(wù)公司。不過(guò)，管理永遠(yuǎn)都是最主要和最先需要解決的問(wèn)題，無(wú)論那方面的調(diào)查結(jié)果都顯示在所有的安全事件中，除病毒外最多的安全事件還是因?yàn)槿藶榈囊蛩兀ú磺‘?dāng)?shù)脑L問(wèn)控制等）造成的，因此對(duì)于企業(yè)來(lái)說(shuō)，最現(xiàn)實(shí)和投資回報(bào)最大的，還是要通過(guò)增強(qiáng)信息系統(tǒng)安全管理將人為的因素減到最低。雖然如 ISO 15408（ Common Criteria）、 FIPS 1 COBIT、ISO/IEC 13335（ GMITS）等等的標(biāo)準(zhǔn)都可以部分適用，但 ISO17799 相對(duì)來(lái)說(shuō)通用性最好，更能適應(yīng)大部分企業(yè)的情況進(jìn)行調(diào)節(jié)，所以基本還是以 ISO 17799 采用的較多，在安全行業(yè)的從業(yè)人員來(lái)說(shuō)，也能有較多的靈活度可以針對(duì)不同情況進(jìn)行修正，更有利于協(xié)助企業(yè)實(shí)現(xiàn)不同的自定制的安全管理的目的。企業(yè)應(yīng)該依據(jù)自己的業(yè)務(wù)需要制定相應(yīng)的信息安全管理體系并對(duì)此有效執(zhí)行。它提供了通過(guò)一個(gè)范圍和過(guò)程框架的最佳慣例，以形成一個(gè)可控和邏輯結(jié)構(gòu)內(nèi)的活動(dòng)。詳細(xì)控制目標(biāo)用來(lái)評(píng)估和審計(jì)對(duì) IT流程控制和治理的程度。其中 3個(gè)與信息安全直接密切相關(guān)的業(yè)務(wù)流程是： 計(jì)劃和組織流程 —— 評(píng)估風(fēng)險(xiǎn)； 交付和支持流程 —— 確保持續(xù)的服務(wù)； 監(jiān)控流程 —— 保證系統(tǒng)安全。除了鼓勵(lì)以業(yè)務(wù)流程為中心，實(shí)行業(yè)務(wù)流程負(fù)責(zé)制外， CoBIT還考慮到組織對(duì)信用、質(zhì)量和安全的需要，它提供了組織用于定義其對(duì) IT業(yè)務(wù)要求的幾條信息準(zhǔn)則：效率、效果、可用性、完整性、機(jī)密性、可靠性和一致性?，F(xiàn)在得到的第三版由 IT治理研究院在 2020年發(fā)行，增加了管理方針和其他詳細(xì)的控制目標(biāo)。 信息系統(tǒng)審計(jì)和控制協(xié)會(huì) (IT治理研究院 )，《信息和相關(guān)技術(shù)的控制目標(biāo)》（ CoBIT ） COBIT的第一版由信息系統(tǒng)審計(jì)和控制協(xié)會(huì)（ ISACF） 于 1996年發(fā)行。注冊(cè)會(huì)計(jì)師也能單獨(dú)判斷某一標(biāo)準(zhǔn)如可用性或安全性的可靠性狀況。 SysTrust 的框架是可升級(jí)的，因此，企業(yè)能夠靈活選擇 SysTrust 標(biāo)準(zhǔn)的任何部分或全部來(lái)驗(yàn)證系統(tǒng)的可靠性。 SysTrust 定義在特定環(huán)境下及特定時(shí)期內(nèi)，沒(méi)有重大錯(cuò)誤、缺陷或故障地運(yùn)行的系統(tǒng)為可靠系統(tǒng)。 SysTrust服務(wù)授權(quán)注冊(cè)會(huì)計(jì)師承擔(dān)如下保證服務(wù)：注冊(cè)會(huì)計(jì)師從可用性、 安全性、完整性和可維護(hù)性 4個(gè)基本方面評(píng)估和測(cè)試系統(tǒng)是否可靠。該控制措施由策略、實(shí)踐、程序、組織結(jié)構(gòu)和軟件組成。 信息安全保護(hù)信息不受廣泛威脅的損毀，確保業(yè)務(wù)連續(xù)性，將商業(yè)損失降至最小，使投資收益最大并抓住各種商業(yè)機(jī)遇。它把信息作為一種資產(chǎn)，像其他重要商業(yè)資產(chǎn)一樣，這種資產(chǎn)對(duì)組織有價(jià)值，因此需要恰當(dāng)保護(hù)它。 國(guó)際標(biāo)準(zhǔn)化組織，《 ISO 17799 國(guó)際標(biāo)準(zhǔn)》（ 2020） ISO17799（根據(jù) BS7799第一部分制定）作為確定控制范圍的單一參考點(diǎn)，在大多數(shù)情況下， 這些控制是使用業(yè)務(wù)信息系統(tǒng)所必須的。信息安全事故的發(fā)生可能是因?yàn)榧夹g(shù)方面的因素、自然災(zāi)害、環(huán)境方面、