梁 志 順 (張家口市交通局，河北 張家口 075000)

?

信息安全外包風(fēng)險識別與評估模型研究

梁 志 順
(張家口市交通局，河北 張家口 075000)

針對信息安全外包的業(yè)務(wù)流程，運用系統(tǒng)理論分析，識別外包服務(wù)的關(guān)鍵風(fēng)險因素，提出基于第三方認(rèn)證的風(fēng)險評估框架，構(gòu)建了評估指標(biāo)體系，結(jié)合我國風(fēng)險管理政策制定安全服務(wù)商服務(wù)風(fēng)險監(jiān)測規(guī)則，更好管理外包風(fēng)險。

信息安全外包；風(fēng)險管理；風(fēng)險評估

企業(yè)為了消除安全困擾,一方面加大對IT員工以及企業(yè)自身的安全培訓(xùn)，更多的企業(yè)通過尋找托管信息安全管理服務(wù)提供商(MSSP)來進(jìn)行實時或定期的安全服務(wù)。信息安全外包服務(wù)是以第三方的服務(wù)來完成企業(yè)內(nèi)部的信息系統(tǒng)相關(guān)工作的一種全方位、系統(tǒng)的安全服務(wù)。[1]市場調(diào)查公司Yankee Group表示，到2010年，美國將有90%的企業(yè)安全通過外包來實現(xiàn)。[2]國內(nèi)近些年出現(xiàn)一些安全服務(wù)外包商，但提供的產(chǎn)品和服務(wù)質(zhì)量良莠不齊，行業(yè)內(nèi)尚未發(fā)展成一致的參考模型和評價標(biāo)準(zhǔn)，相關(guān)的法律法規(guī)不健全，不能有效地管理企業(yè)和安全服務(wù)外包方的契約關(guān)系，外包維護(hù)管理質(zhì)量處于失控狀態(tài)，安全外包的預(yù)期差強(qiáng)人意。[3]外包服務(wù)的風(fēng)險管理與可信評估成為企業(yè)是否選擇外包的關(guān)鍵。

一、外包風(fēng)險成因

信息安全外包風(fēng)險可以定義為一切擾亂外包服務(wù)運作的威脅。[4]因為企業(yè)與服務(wù)商的協(xié)調(diào)、合作中存在著各種不確定性,有不確定性就有風(fēng)險存在。信息安全外包風(fēng)險評估的目的是在信息不對稱的情況下最大可能控制外包風(fēng)險。

圖1的外包流程顯示：企業(yè)有了安全需求，需要尋找服務(wù)商，服務(wù)商構(gòu)建了解決方案，通過向企業(yè)提供服務(wù)獲利。該流程中，主動參與的實體有服務(wù)商和企業(yè)，被動實體有解決方案、安全產(chǎn)品和各種服務(wù)(安全服務(wù)商所能提供的服務(wù)包括：網(wǎng)絡(luò)入侵監(jiān)測以及防護(hù)，主機(jī)入侵防護(hù)，系統(tǒng)漏洞評估，補(bǔ)丁管理，防火墻和VPN管理，針對病毒和垃圾郵件的電子郵件監(jiān)控等)。[2]

圖1 外包服務(wù)流程

運用系統(tǒng)理論研究，可以發(fā)現(xiàn)如下問題：

(1)流程中缺乏對外包商的服務(wù)行為監(jiān)督。

(2)缺乏雙向溝通機(jī)制。外包服務(wù)過程是一個動態(tài)的螺旋上升的過程。隨著企業(yè)環(huán)境和對安全級別要求的改變，外包服務(wù)需要也處于變動之中，必須通過雙方的溝通，處理好各種變化，降低過程中產(chǎn)生的不確定。

(3)缺乏風(fēng)險釋放機(jī)制。整個過程的風(fēng)險無法定量估計，導(dǎo)致風(fēng)險逐漸積累，一旦意識到風(fēng)險，已經(jīng)無法避免。

(4)缺乏第三方的認(rèn)證。服務(wù)商的資質(zhì)與服務(wù)信譽成正比，如果有可信的資質(zhì)認(rèn)證，可以增加企業(yè)的信心。

二、外包風(fēng)險識別

ELF Atochem公司的副總裁和CIO Robert Rubin指出，外包中存在大量的不確定性因素，必須進(jìn)行管理。如果不對外包進(jìn)行適當(dāng)?shù)墓芾?，公司的信息流將處于巨大的風(fēng)險之中。[3]

(一)信息安全外包的規(guī)劃與戰(zhàn)略風(fēng)險

這類風(fēng)險體現(xiàn)在如下幾個方面：一是某些企業(yè)沒有上升到企業(yè)戰(zhàn)略的層面考慮信息化問題，僅從降低成本的角度來處理信息安全外包問題；二是有些企業(yè)并未透徹地分析自己的信息安全需求，更談不上進(jìn)行科學(xué)合理的信息安全資源規(guī)劃；三是對信息安全外包的認(rèn)識模糊，沒有真正理解信息安全外包服務(wù)的具體內(nèi)容、分類、操作流程以及對企業(yè)的意義和作用。

(二)信息服務(wù)提供商選擇風(fēng)險

目前信息安全外包市場缺乏主導(dǎo)廠商，提供低端服務(wù)的小公司較多，且其提供的服務(wù)質(zhì)量參差不齊。各廠商往往打出各種“ 技術(shù)牌、概念牌、成功案例牌”，令企業(yè)眼花繚亂、真?zhèn)坞y辨。如果遇到服務(wù)提供商倒閉，后果更是不堪設(shè)想。[4]企業(yè)在評估和選擇信息外包服務(wù)方面沒有成熟的方法，難以做出正確的抉擇。

(三)契約風(fēng)險

信息安全外包服務(wù)合同缺乏可供借鑒的經(jīng)驗，往往依據(jù)外包服務(wù)提供商提供的所謂“標(biāo)準(zhǔn)”合同，不加改動就簽署。[5]而這類標(biāo)準(zhǔn)合同中往往包含著大量令非專業(yè)人士無法理解的技術(shù)指標(biāo)和專業(yè)名詞，這些指標(biāo)和名詞本身并不等價于企業(yè)所需要的安全服務(wù)，可是背后卻常常隱藏著額外的費用。另一方面，由于外包合同在大多數(shù)的情況下是不完善的，合同逐步實施的同時環(huán)境也是不斷變化的，所以在合同中不可能對外包服務(wù)需求的所有環(huán)節(jié)都做出具體的規(guī)定。

(四)失控風(fēng)險

這類風(fēng)險包括三個方面：一是企業(yè)缺乏對信息安全外包服務(wù)質(zhì)量的控制方法，對提供服務(wù)是否達(dá)到契約標(biāo)準(zhǔn)無法做出及時的識別和有效的證明；二是企業(yè)喪失成本控制能力，服務(wù)商以各種理由誘導(dǎo)企業(yè)，將項目越做越多，越做越大，成本不斷增加；三是企業(yè)喪失外包過程中形成的知識產(chǎn)權(quán)的所有權(quán)。

(五)企業(yè)內(nèi)部變革的風(fēng)險

企業(yè)要實施安全外包必然涉及到其內(nèi)部相關(guān)部門的變革，以配合外包商共同完成對企業(yè)信息安全的管理與控制，而變革又往往伴隨著利益的沖突和再分配。因此，信息中心負(fù)責(zé)人的思想觀念，信息中心職能的轉(zhuǎn)變不及時、不到位，原信息中心員工的安置不妥都會對信息安全外包的實施造成巨大影響。

(六)信息泄漏風(fēng)險

實施安全外包，外包商不可避免會接觸到企業(yè)的內(nèi)部信息。而企業(yè)信息往往涉及商業(yè)秘密。其中客戶資源信息和企業(yè)戰(zhàn)略機(jī)密等重要信息最易泄漏。因為企業(yè)僅僅從技術(shù)上對外包商進(jìn)行了考量，至于品質(zhì)還需要用契約去規(guī)范。

(七)喪失靈活性和對服務(wù)提供商依賴性的風(fēng)險

企業(yè)把信息安全外包出去最大的風(fēng)險在于失去控制權(quán)和可視性，并對外包商產(chǎn)生很高的依賴性。安全外包就是一把雙刃劍，在降低成本同時也承擔(dān)風(fēng)險。

三、風(fēng)險評估框架

(一)可信評估需求

1.高層安全需求

服務(wù)外包商在服務(wù)的交付過程中，應(yīng)當(dāng)保證企業(yè)資產(chǎn)的機(jī)密性、可用性和完整性，并使企業(yè)滿意。企業(yè)需要保密的東西包括但不僅限于已經(jīng)標(biāo)識出來的數(shù)據(jù)、安全性、脆弱性和受到攻擊的狀態(tài)。服務(wù)外包商應(yīng)保證企業(yè)的特定數(shù)據(jù)僅可在企業(yè)所在的國家使用以滿足區(qū)域性的數(shù)據(jù)保密法規(guī)。

2.服務(wù)可用性需求

企業(yè)所需要的服務(wù)可用性的時間和其他限制，根據(jù)經(jīng)驗來確定對服務(wù)可用性的要求。服務(wù)的可用性的預(yù)留時間已經(jīng)包括了部門協(xié)調(diào)的預(yù)留時間、軟硬件和數(shù)據(jù)的維護(hù)升級而預(yù)定的停機(jī)時間。服務(wù)可用性的另外一方面的內(nèi)容，是說明服務(wù)故障或不可用時的反應(yīng)時間。

3.契約需求

在確定了企業(yè)服務(wù)需求之后，應(yīng)該定義契約結(jié)構(gòu)，包括服務(wù)的實現(xiàn)，服務(wù)的期限，服務(wù)設(shè)備的安全性以及安裝方面的注意事項等。

4.服務(wù)可增容性的需求

企業(yè)將協(xié)同服務(wù)外包商搜集關(guān)于服務(wù)容量的數(shù)據(jù)，例如服務(wù)寬度和正在使用的服務(wù)系統(tǒng)的能力百分率等。企業(yè)需要詳細(xì)說明其對能力增長、存儲需求、周期性或獎勵性機(jī)制的預(yù)期率。外包商則需要向企業(yè)說明所有服務(wù)可用性和生產(chǎn)定額的增長可能引發(fā)的預(yù)期影響。雙方經(jīng)過協(xié)商，決定在這個部分中服務(wù)增容的限度，方式，解決所涉及的機(jī)構(gòu)等方面的問題。

5.雙向溝通需求

協(xié)議中需要規(guī)定服務(wù)中溝通的方式和種類，如外包商呈交給企業(yè)的報告的種類和形式。服務(wù)控制中應(yīng)該規(guī)定雙方共同商定的報告樣本。報告的種類至少應(yīng)該包括:服務(wù)水平報告，提供外包商服務(wù)水平和最低服務(wù)水平的比較;違章報告:己經(jīng)出現(xiàn)或可能出現(xiàn)的違章登陸和訪問;事件報告:已出現(xiàn)或可能實現(xiàn)的入侵事件。

(二)風(fēng)險評估框架

參考國際標(biāo)準(zhǔn)ISO/IEC 17799：2000《信息技術(shù)—信息安全管理實施規(guī)則》；ISO/IEC 27001:2005《信息安全管理體系規(guī)范》和國家標(biāo)準(zhǔn)GB/T 18336-2001《信息技術(shù)安全性評估準(zhǔn)則》制定風(fēng)險評估框架?？蚣苋鐖D2所示。框架的基本思想為：從風(fēng)險控制目標(biāo)出發(fā)，從實現(xiàn)信息安全外包過程的三個層面，按照風(fēng)險等級的不同要求，對外包過程進(jìn)行控制和管理，實現(xiàn)對不同風(fēng)險進(jìn)行分等級保護(hù)。

圖2 風(fēng)險評估框架

1.風(fēng)險等級

根據(jù)國家標(biāo)準(zhǔn)GB/T20269—20273中的服務(wù)標(biāo)準(zhǔn)，信息安全等級分為D類(沒有任何保護(hù)的)、C類(分為C1和C2級)、B類(分為B1、B2、B3)、A類和超A類，共五級，與此相對應(yīng)，風(fēng)險也可以分為五級，依據(jù)用戶的行為得分劃分。[6]

2.服務(wù)級別管理

安全外包服務(wù)的控制實施要通過服務(wù)級別來管理。服務(wù)級別管理包括定義、匹配、存檔和管理客戶要求的各個級別的服務(wù)。這些服務(wù)級別受到服務(wù)成本的約束。服務(wù)級別管理包括制訂服務(wù)級別協(xié)議。服務(wù)級別協(xié)議包括服務(wù)分類和回顧會等內(nèi)容。

3.服務(wù)的監(jiān)督和控制

監(jiān)督是用來觀察外包商是否在做他應(yīng)該做的事情。如果通過監(jiān)督發(fā)現(xiàn)外包商正在偏離預(yù)定的行為目標(biāo)，此時就需要控制，控制就是使外包商返回到正確的軌道上去。在有了控制規(guī)則來規(guī)范外包商服務(wù)績效之后，要保持外包商和企業(yè)客戶經(jīng)常的溝通，以便能夠及時發(fā)現(xiàn)問題，進(jìn)行標(biāo)準(zhǔn)化的控制活動。

4.第三方認(rèn)證

2003年中央頒布《國家信息化靈動小組關(guān)于加強(qiáng)信息安全保障工作的意見》，提出建立信息安全認(rèn)證認(rèn)可體系的要求，2007年國家網(wǎng)絡(luò)與信息協(xié)調(diào)小組著手建立信息安全服務(wù)資質(zhì)認(rèn)證認(rèn)可制度。為體現(xiàn)認(rèn)證、認(rèn)可制度的公平、公開、公正，須由可信第三方對信息安全服務(wù)組織的“服務(wù)能力”進(jìn)行全面、綜合、客觀地評價。因此，除了企業(yè)和外包商嚴(yán)格按照契約所規(guī)定的權(quán)責(zé)管理外包服務(wù)，與此同時，還應(yīng)有第三方的認(rèn)證管理。從更高的程度上約束雙方的權(quán)利和義務(wù)，為外包服務(wù)的有力實施提供了準(zhǔn)則和保障。

四、風(fēng)險評估實施

(一)風(fēng)險評估周期

風(fēng)險評估應(yīng)該劃定評估周期，如：一年可以劃定2個評估期，4月至9月為一個評估期，10月至次年3月為一個評價期。評估結(jié)果分為非常滿意、滿意、不滿意三個等級，依據(jù)各服務(wù)項目扣分情況確定等級。

(二)服務(wù)商行為認(rèn)定

安全服務(wù)商在招投標(biāo)、合同的簽訂和履行以及售后服務(wù)過程中發(fā)生的，有關(guān)違反法律、法規(guī)、規(guī)章和有關(guān)規(guī)定的行為，按照其行為的不利影響程度，分為一般行為、不良行為和嚴(yán)重不良行為三類[7]。如表1所示。其中不良行為和嚴(yán)重不良行為是指服務(wù)商在招投標(biāo)、合同的簽訂和履行過程中發(fā)生的，違反有關(guān)法律、法規(guī)和規(guī)章的，或是嚴(yán)重?fù)p害使用方利益的行為。

1.嚴(yán)重不良行為認(rèn)定

以各種方式弄虛作假，騙取中標(biāo)；相互串通投標(biāo)報價；因供應(yīng)商原因未按需求計劃及時交貨，經(jīng)兩次催告，在合理時間內(nèi)仍不交貨； 因產(chǎn)品質(zhì)量問題造成安全信息泄露和業(yè)務(wù)系統(tǒng)中斷事故；其它契約規(guī)定的嚴(yán)重不良行為。

2.不良行為認(rèn)定

服務(wù)商在競標(biāo)結(jié)束未及時簽訂合同，經(jīng)三次催告后，在合理時間內(nèi)仍不簽訂合同； 轉(zhuǎn)包或違法分包中標(biāo)產(chǎn)品或服務(wù)； 服務(wù)過程中，未及時提供產(chǎn)品合格證書、檢驗證書、說明書、提貨單和監(jiān)造證明，經(jīng)三次催告，除特殊情況外，在合理時間內(nèi)仍不提供服務(wù)報告及問題說明的。

(三)風(fēng)險評估指標(biāo)

不良行為是根據(jù)本行業(yè)和其他行業(yè)知識的預(yù)先定義，服務(wù)中還會出現(xiàn)各種各樣的問題，應(yīng)該從服務(wù)商的服務(wù)歷史中逐步挖掘行為模式，如表1。添加到已經(jīng)定義的行為模式庫中，加強(qiáng)風(fēng)險的管理與控制。

表1 服務(wù)商行為評估指標(biāo)

[1]陳曉樺,翟亞紅.關(guān)于我國開展信息安全服務(wù)資質(zhì)認(rèn)證工作的思考[J].信息安全與通信保密，2007(10)：19-21.

[2]mike.如何外包安全管理項目[EB/OL].http://www.csai.cn.2008-05.

[3]戴譯.如何選擇遠(yuǎn)程通信服務(wù)商[EB/OL].2008.http://www2.ccw.com.cn/1998/13/166624.shtml.2008-06.

[4]張勇謙.網(wǎng)絡(luò)安全外包服務(wù)市場分析[D].北京:北京郵電大學(xué)，2007.

[5]胡克瑾.信息安全外包的控制與管理框架的研究[D].上海:同濟(jì)大學(xué)，2006.

[6]陸寶華.等級保護(hù)概述——著名等級保護(hù)專家陸寶華談我國信息安全等級保護(hù)概況[EB/OL].http://www.sinoit.org.cn/NewsLetter/NO.3/20090101.html.2008-08.

[7]中國國家標(biāo)準(zhǔn)局.企業(yè)信用評價指標(biāo)體系分類及代碼規(guī)范[DB/OL].http://www.xybz.org/news/2008109113019161.htm．2008-11-01.

Research On Risk Identification and Assessment Model for Information Security Outsourcing

LIANG Zhi-shun

(Transportation Department of Zhangjiakou 075000, China)

The thesis aims at the information security outsourcing risk identification and assessment. First, an analysis is made of the deficiency of work flow through system theory ,then the key risk factors of outsourcing are identified, and the frame of risk assessment is set up based on third-authentication in order to construct the assessments system for better supervision of security outsourcing risk in accordance with the risk management policy in our country.

information security outsourcing; risk management; risk assessment

2095-0365(2011)02-0040-05

2011-03-29

梁志順(1972-)，男，工程師，研究方向：工程管理。

F270

A