公安部第三研究所 刘静 罗峥 江雷

信息安全服务体系建设要点研究
——信息安全服务体系研究之四

公安部第三研究所 刘静 罗峥 江雷

信息安全服务只有从顶层和整体构建安全服务体系，才切实达到保障国家关键信息基础设施信息安全的要求，提高我国信息安全保障的整体水平。其次，只有建立一个科学的安全服务体系，才能有效发挥信息安全服务机构的主体作用，推动信息安全产业的发展，确保安全服务产业持续健康繁荣发展。本文旨在本系列文章上一篇《信息安全服务体系建设初探》明确了体系建设思路的基础上提出信息安全服务体系的建设要点和建议。

本文所涉及的信息安全服务对象是我国信息基础设施和信息系统。对于个人信息安全不在本文范围。

安全服务体系的建设思路

在上一篇文章中提出了安全服务体系的建设思路，即在信息安全领导部门和管理部门的组织领导下，各相关主体（主体维）按照信息安全保护的工作要求（要求维）相互协调配合，通过开展规范的安全服务活动（活动维），确保在满足安全需求的同时实现国家统一的信息系统安全要求，体系架构图如图1所示。

图1 信息安全服务体系架构图

安全服务体系的建设要点

完善的安全服务体系其基本特征如下：

周密的顶层设计、明确的工作要求、统一的安全要求、科学的过程指导、专业的能力支撑、可信可控的环境保障、良好的供需关系、规范的市场行为、长期的技术储备。

如何建设上述安全服务体系，建设要点如下：

1.周密的顶层设计

安全服务体系是在统一的政策目标下长期的建设过程，在体系设计中要有几个明确。

（1） 明确责任主体

包括信息安全监管部门、信息系统主管部门和运营使用单位、安全产品提供商、咨询服务机构、系统安全集成商、测评检测机构、运维服务机构、培训教育机构和技术研究机构等在安全服务活动中的各个部门的职能和责任。

（2）明确安全服务活动

包括规划设计、集成建设、产品部署、安全监理、安全评价、运维保障、事件防范、监测预警、应急处置等活动的内容。

（3）明确主体在安全服务活动的要求

包括工作要求、安全要求、能力要求和过程要求。

（4）明确安全服务体系机制

包括责任主体在安全服务活动中扮演不同的角色、承担各自的职责、相互关系（需求、依存与配合）。

（5）明确体系建设步骤

包括建设过程中各阶段的部署，涉及政策出台、细则发布、试点示范、标准编制和培训宣贯等。

信息安全服务体系建设框架图如图2所示：

图2 信息安全服务体系建设框架图

2.明确的工作要求

随着国际国内网络安全形势的日趋严峻，各国都在大力加强网络安全建设和顶层设计。建设坚固可靠的国家网络安全体系是必须作出的战略选择。中央网络安全和信息化领导小组宣告成立，显示出中国最高层在保障网络安全、维护国家利益、推动信息化发展的决心。

目前亟待对现有政策进行梳理明确工作要求，完善法律与规范要求，加快起草国家信息安全战略和规划文件。在战略目标下，从信息系统相关责任主体、信息系统生命周期和信息安全产业发展等不同层面以安全战略、法律法规、政策标准、实施细则、技术标准、方法指南和能力评价等提出明确的工作要求。

3.统一的安全要求

信息系统安全服务的目的是使信息系统运营使用单位具备相应的安全防护能力。确保安全防护能力既满足用户自身的安全需求也符合国家统一的安全要求。安全要求是指信息系统为具备安全保护能力而提供的安全机制和安全活动。建立统一的安全要求的途径是构建一套完善的技术标准体系。

目前信息系统建设依据的主要标准包括《计算机信息系统安全保护等级划分准则》（GB 17859-1999）、《信息系统安全等级保护基本要求》（GB/T 22239-2008 ）、《信息安全管理体系要求》（ISO/IEC 27001-2005）、《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）、《信息安全技术信息系统安全等级保护测评要求》（GB/T 28448-2012）、《信息系统等级保护安全设计技术要求》（GB/T 25070-2010）、《信息技术 安全技术 信息技术安全性评估准则》（GB/T 18336-2008）、《信息安全技术 信息系统灾难恢复规范》（GB/T 20988-2007）等。

目前标准体系存在的主要问题一方面是不能完全覆盖信息系统生命周期安全保护的各个阶段（如安全运维、应急响应、安全事件等环节）。另一方面，现有技术标准缺乏整体规划和相应联系，比如等级保护技术标准中安全产品的安全功能没有与信息系统的安全等级要求相对应，造成产品开发标准与系统建设标准没有一致性，无法确保信息系统安全防护措施的有效落实。另外，随着信息技术快速发展，新技术新应用对安全保护提出新的挑战，造成现有标准的滞后和部分安全要求的缺失。针对上述问题，建议在国家政策目标下，尽快构造标准框架，一是完善安全服务标准体系的缺失环节。二是及时修订、更新并废止造成混乱的标准。三是对于目前新技术新应用，加快研究完善现有的技术标准，出台具有针对性的安全要求标准。四是推动各行业在通用安全要求基础上针对自身特点加快制定相应的行业标准。

4.科学的过程指导（过程要求）

安全服务机构开展服务活动，应依据统一的过程方法，以确保安全服务的专业性和规范性。目前涉及安全服务活动相关过程要求的标准规范包括《信息安全技术 信息系统安全等级保护实施指南 (GB/T 25058-2010)、《信息安全技术 信息系统安全等级保护测评过程指南》（GB/T 28449-2012）、《信息技术 系统安全工程 能力成熟度模型》（GB/T 20261-2006）、《信息技术 安全技术 信息安全风险管理》（ISO/IEC 27005:2008）、《信息安全风险评估实施指南》（国家标准报批稿）、《信息技术 安全技术 信息安全风险管理》（ISO/IEC 27005:2008）、《信息安全技术 信息系统灾难恢复规范》（GB/ T 20988-2007）等。

安全服务的过程要求存在的问题与安全要求标准体系相似，即不能完全覆盖信息系统生命周期安全保护的各个阶段，如安全规划设计、安全运维、应急响应、安全事件、安全监理等环节。同时，在标准内容方面缺乏统一。安全服务过程要求是基于最佳实践提出的，因此，建议由信息安全监管机构统一组织，发挥安全服务机构各自的优势，围绕信息系统生命周期各阶段的服务活动研究完善标准的过程方法和实施规范。

5.专业的能力支撑（能力要求）

信息安全服务机构依据安全要求开展安全服务，应具备相应的能力要求。准确认定信息安全服务机构的能力，规范其安全服务活动，是开展信息系统安全保护工作的重要基础。在本系列文章第二篇中，介绍了目前我国信息安全服务相关的资质和能力要求的内容，在今后的安全服务体系建设中，应在现有工作基础上，有意识的从安全教育体系建设和安全服务能力认定与管理体系两条主线开展工作。

（1）构建安全服务教育体系

目前涉及信息安全服务教育体系相关的政策主要包括：

1）国务院《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）中要求 “加强宣传教育和人才培养。开展面向全社会的信息安全宣传教育培训。支持信息安全学科师资队伍、专业院系、学科体系、重点实验室建设。在政府机关定期开展信息安全教育培训。各级财政要加大对信息安全宣传教育和培训等公益性活动的支持”。

2）教育部办公厅《关于进一步加强网络信息系统安全保障工作的通知》（教办厅函[2011] 83号）明确要求：建设信息安全工作专业人才队伍，建立信息安全岗位持证上岗制度。

3）《信息安全等级保护管理办法》(公通字[2007] 43号)规定“第三级以上信息系统应当具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度” 。

4）国家电子政务外网管理办公室《关于加快推进国家电子政务外网安全等级保护工作的通知》（政务外网[2011]15号）中要求：“各级政务外网建设、运维单位要按照统一部署，组织开展政务外网安全等级保护的培训工作，加强安全人才队伍建设，提升安全技术保障能力，为政务外网的安全等级保护工作提供技术支持和人才支撑” 。

安全服务教育体系建设应充分利用上述政策，在具体思路上建立信息安全岗位人员的定期培训机制。一是梳理安全服务活动各阶段对于人员的能力要求，开展定向化人员培训教育，分别建立安全咨询师、安全工程师、安全运维工程师、安全监理师、安全管理体系审核员和安全测评师培训的机制。二是按照组织职责对于人员的能力要求进行划分，开展定向教育培训，分别建立针对单位决策层、安全管理层、执行层和系统使用/维护人员几个层面的培训教育机制。

（2）构建能力认定与管理体系

信息安全服务机构能力认定与管理体系建设可借鉴目前成熟的认定体系，如国家合格评定委员安全认证认可体系等，在具体思路上要把握机构的级别和能力两个方面，对于安全服务机构的能力级别，首先提出安全服务机构的基本条件，以此为基础上借鉴能力成熟度模型逐渐划分为基本执行级、计划跟踪级、充分定义级、定量控制级和持续改进级。对于安全服务机构的能力要求，则针对不同的级别提出相应的组织管理能力、过程控制能力、资源保障能力、技术实施能力、管理运营能力，能力要求逐级提高，信息安全服务机构成熟度模型图如图3所示。

图3 信息安全服务机构成熟度模型图

6.可信可控的环境保障

重要信息系统的安全保障工作关系到国家安全和公共利益，因此针对信息系统的安全服务活动在强调其服务功能技术能力外，其组织、人员、服务过程都应做到可信可控并遵守保密要求，建设要点如下：

（1）可控性保障

可控性是针对组织和人员的审查，对背景的评估和备案，并在出现风险事件时对事态的可控、对问题可追溯、对前期证据的可收集分析、对责任的可追究等等。

（2）可信性保障

可信性主要确认安全服务机构组织、人员、设备、环境、过程各环节的可信性，对内外部环境的可信性的识别与确认，以及对机构可信性带来威胁的识别等。

（3）保密性保障

保密性要求安全服务活动应遵守国家有关保密法律法规，确保信息系统关键信息的安全性，防止由开展安全服务引起的信息泄漏事件的发生。

7.良好的供需关系

在近期国家网络安全工作中明确提出了“支持企业使其成为技术创新主体、信息产业发展主体和维护网络安全的主体”。以此为指导，信息安全服务体系的健康发展应遵循以市场为主导、以协调供求关系为核心，实现安全要求为目的，具体思路包括，一是合理的资源配置管理，开展客户资源即重要信息系统运营使用单位的梳理，通过建立服务平台有效实现安全服务资源与客户资源的对接配备；二是良好的供需关系管理，开展对客户需求与安全要求进行分析，通过建立技术平台对客户需求的挖掘和精准发现，明确安全产品功能和解决方案与标准的对映关系，构建信息安全产品功能关系库和安全解决方案库，实现客户安全要求（需求）与安全服务机构的匹配。

8.规范的市场行为

在安全服务体系建设的成熟阶段，适时成立行业协会等自律组织，规范安全服务活动，持续提高安全服务技术能力和水平，实现安全服务市场规范化、行为标准化、管理制度化，整合资源、相互交流学习、相互合作、共谋发展。

9.长期的技术储备

信息安全服务体系建设的一个重要目标是促进国家安全服务产业的发展，产业发展需要长远的规划和持续的投入，在具体思路上，一是积极推动信息安全服务活动相关的科研研究工作，及时跟踪国内外信息技术的发展，总结信息系统安全保护的经验，为安全服务水平的提高建立坚实基础。二是加快新技术新应用下的安全技术的成果转化，推动信息安全领域的产品、技术和服务的升级和发展。

结语

综上所述，要建设完善的安全服务体系离不开周密的顶层设计、明确的工作要求、统一的安全要求、科学的过程指导、专业的能力支撑、可信可控的环境保障、良好的供需关系、规范的市场行为和长期的技术储备。信息安全服务只有从顶层和整体构建安全服务体系，才切实达到保障国家关键信息基础设施信息安全的要求，提高我国信息安全保障的整体水平。