公安部第三研究所 劉 香 羅 崢 江 雷

信息安全服務的概念與分類

公安部第三研究所 劉 香 羅 崢 江 雷

在當前形勢下，信息安全產(chǎn)業(yè)肩負著為國家信息化基礎設施和信息系統(tǒng)安全保障提供信息安全產(chǎn)品及服務的戰(zhàn)略任務。近年來隨著信息技術(shù)的快速發(fā)展和廣泛應用，信息安全產(chǎn)業(yè)的內(nèi)涵也在不斷豐富，外延不斷擴大，產(chǎn)業(yè)結(jié)構(gòu)正從技術(shù)、產(chǎn)品主導向技術(shù)、產(chǎn)品、服務并重調(diào)整，安全服務逐步成為產(chǎn)業(yè)發(fā)展重點。本文論述了信息安全服務的概念、分類、發(fā)展狀況以及資質(zhì)管理體系現(xiàn)狀，希望以此為基礎，為我國信息安全服務體系建設和管理提供有益的參考。

一、信息安全服務的概念

1． 國內(nèi)定義

（1）定義一

指為保障信息安全所需要的服務，包括信息系統(tǒng)安全分析評估、規(guī)劃設計、測試、實施、運行和維護，以及相關(guān)的測評、預防、監(jiān)測、響應、恢復、咨詢和培訓等服務內(nèi)容。

（2）定義二

信息安全服務（information security service）是根據(jù)安全策略，為用戶提供的安全功能及相關(guān)的保障。

（3）定義三

指面向組織或個人的各類信息安全保障需求，由服務提供方按照服務協(xié)議所執(zhí)行的一個信息安全過程或任務。通常是基于信息安全技術(shù)、產(chǎn)品或管理體系的，通過外包的形式，由專業(yè)信息安全人員所提供的支持和幫助。

（4）定義四

網(wǎng)絡與信息安全服務是指信息安全工程的設計、實施、測試、運行、維護以及相關(guān)的咨詢和培訓等活動 。

2．國外定義

（1）定義一

信息安全服務是由供應商、組織機構(gòu)和人員所執(zhí)行的一個安全過程和任務。

（2）定義二

信息安全服務分為管理服務、運行服務和技術(shù)服務。

3．安全服務的定義分析

根據(jù)上述技術(shù)文件對于信息安全服務的定義，信息安全服務具備以下特征：

（1）信息安全服務是一個過程

信息安全服務是“信息化領(lǐng)域”的“工程過程類”活動，因此，參照過程“成熟度模型”理論，其本質(zhì)特征可遵循基本的實施活動和實施能力兩個維度進行描述。

（2）信息安全服務覆蓋系統(tǒng)生命周期

信息安全服務活動涉及系統(tǒng)從設計、實施、測試評估到系統(tǒng)運行、維護各個階段，覆蓋測評、預防、監(jiān)測、響應、恢復、咨詢和培訓各個環(huán)節(jié)。

（3）信息安全服務是專業(yè)性服務活動

信息安全服務的目的是滿足組織或個人的各類信息安全保障需求，通常是基于信息安全技術(shù)、產(chǎn)品或管理體系的，通過外包的形式，由專業(yè)信息安全人員所提供的支持和幫助。

（4）信息安全服務主要為有償性活動

信息安全服務的性質(zhì)以有償為主，其表現(xiàn)為根據(jù)用戶（客戶）的信息安全保障需求，以協(xié)議形式執(zhí)行的一個過程或任務。在前面探討的信息安全服務所覆蓋的系統(tǒng)生命周期中，安全測評（測試）活動通常又分為商業(yè)性測評和第三方測評（測試）兩種，對于第三方測評，根據(jù)其委托方式以及成果提交用途，部分會被歸屬為無償性（社會公共責任或法律指令性）活動，而這一類活動往往不納入安全服務的范疇。

二.信息安全服務的分類

1．按安全控制措施的類型分類

依據(jù)美國國家標準和技術(shù)研究所（NIST）發(fā)布的《信息技術(shù)安全服務指南》（NIST SP 800－35）和《推薦的聯(lián)邦信息系統(tǒng)和組織的安全控制》（NIST SP 800-53），安全服務是安全控制的綜合（an appropriate mixture of security controls），可劃分為安全管理服務類、安全運行服務類和安全技術(shù)服務類，各個類型的定義見表1。

表1 系列安全服務分類定義（NIST SP 800）

安全服務的具體內(nèi)容由一系列安全控制組成， NIST SP 800－35 和NIST SP 800－53A在安全服務內(nèi)容上進行了對比如表2對安全服務。

表2 NIST中信息安全服務內(nèi)容對比一覽表

11防火墻14安全控制22 12入侵檢測15審計和職責5 13公鑰基礎設施16身份鑒別與認證11 17事件響應10 18系統(tǒng)和通信保護44技術(shù)服務

2.按信息系統(tǒng)生命周期各階段的活動分類

按信息系統(tǒng)生命周期整個過程的服務內(nèi)容進行劃分，是信息安全服務分類比較常用的方式。依據(jù)國標《信息安全服務能力評估準則》和中國信息安全認證中心提出的“信息系統(tǒng)生命周期各階段分類”方式，安全服務的具體內(nèi)容見表3。

表3 生命周期各階段安全服務一覽表

4應急響應服務應急響應服務相對于信息安全突發(fā)事件而言，例如，在遭受攻擊、病毒感染、數(shù)據(jù)丟失或破壞等情況下，客戶尋求外部專業(yè)信息安全服務商的支持，來處理這些事件，同時獲取有效的信息安全管理與控制措施改進建議，以避免類似事件再次發(fā)生或積累相關(guān)事件的預防、處理等經(jīng)驗。應急響應服務應急響應指的是對那些影響計算機系統(tǒng)和網(wǎng)絡安全的不當行為(事件)進行標識、記錄、分類和處理，直到受影響的服務恢復正常運行的過程5安全管理服務信息安全管理涵蓋了信息安全管理體系建立、實施和運行、監(jiān)視和評審、維護和改進，從客戶的角度，應建立和貫徹落實明確的管理職責，通過內(nèi)部審核和管理評審檢查信息安全管理體系，制定糾正措施和預防措施等。作為信息安全服務商，需協(xié)助客戶達到上述目標。信息安全管理服務一般通過咨詢方式實施，執(zhí)行過程中，一定要符合國家相關(guān)法律法規(guī)、標準的要求，對于特定客戶群體，還需要考慮行業(yè)特點。安全管理服務安全管理服務包括：信息安全管理體系的建立(比如，ISO/IEC 27001：2005 認證)；對系統(tǒng)工程的實施和運行或用戶信息安全資源進行實時、第三方的監(jiān)控和管理、維護和改進的一整套過程。6安全培訓服務對用戶及信息安全從業(yè)者進行專業(yè)信息安全培訓，對其掌握技能，理解如何正確使用安全機制和控制措施，如何有效地進行信息安全管理是非常關(guān)鍵的。主要的培訓類型包括技能培訓、意識教育、產(chǎn)品培訓、安全管理培訓等。信息安全培訓與咨詢信息安全培訓與咨詢是指提供系統(tǒng)安全架構(gòu)、規(guī)劃、審計、策略制定和過程開發(fā)的服務活動等。7安全運維服務信息安全是一個計劃、實施、監(jiān)控和改進的動態(tài)過程，在客戶IT管理過程中，需要將信息安全在戰(zhàn)略、戰(zhàn)術(shù)和運行三個層面均有效實施，以更好的實現(xiàn)IT、業(yè)務和信息安全的融合。客戶往往缺乏專業(yè)的信息安全團隊，大型客戶對于信息安全管理的需求使其尋求外部專家團隊的支持，專業(yè)化的信息安全運維服務能夠協(xié)助客戶更好的實現(xiàn)信息安全目標，提升信息安全管理水平。安全外包服務指客戶將全部或部分信息安全工作指定專業(yè)性公司完成的服務模式。整個外包服務過程包括服務交付、客戶和供應商的管理、過程控制管理、問題解決管理和發(fā)布管理等。

8安全審計服務信息安全審計主要依據(jù)為信息安全管理相關(guān)的法規(guī)和標準，基于法規(guī)和標準的控制體系可以有效地控制信息安全風險，提高信息系統(tǒng)的安全性。安全審計的主要目的是分析客戶的信息安全控制措施是否符合法規(guī)和標準要求，是否與既定的信息安全遠景一致，已提高客戶信息安全改進能力。系統(tǒng)測評服務在風險評估的基礎上，對在信息系統(tǒng)生命周期中采取的技術(shù)類、管理類、過程類的安全保證措施進行測評和檢查，確定信息安全保證措施對實施其職能的有效性及其面臨安全風險的可接受程度。

3．按安全服務活動的性質(zhì)分類

安全服務按所提供服務活動的性質(zhì)可分為“信息安全咨詢服務”、“信息安全實施服務”和“信息安全培訓服務”。這樣的分類比較方便于信息安全行業(yè)的服務開發(fā)、提供、選用和采購。根據(jù)《信息安全技術(shù)信息安全服務定義和分類》，其服務類型如下：

（1）信息安全咨詢服務

面向組織的信息安全服務，圍繞組織信息系統(tǒng)所支持的業(yè)務和管理，通過知識傳遞、工作輔導和系統(tǒng)規(guī)劃等形式提供信息安全服務。

這類服務是面向“信息系統(tǒng)組織”的信息安全頂層設計，確保組織具備安全管理規(guī)劃與決策能力。

（2）信息安全實施服務

面向組織或個人用戶的信息安全服務，圍繞組織信息系統(tǒng)或個人信息設備，及其基礎設施、業(yè)務應用和信息數(shù)據(jù)的安全和可用，通過人力派遣、設施租用、流程外包等形式提供信息安全服務。這類服務面向“信息系統(tǒng)”的安全產(chǎn)品部署、安全措施實現(xiàn)和安全運行保障，確保信息系統(tǒng)具備安全保護的能力。

（3）信息安全培訓服務

面向組織內(nèi)人員或個人的信息安全服務，圍繞信息安全意識、技術(shù)、管理等方面，通過授課、實操、考核等形成提供信息安全服務。這類服務面向“組織各層面人員”的知識、技能的學習培養(yǎng)，確保組織人員具備安全意識和相應的技術(shù)和管理能力。安全服務具體分類情況見表4。

表4 信息安全服務按性質(zhì)分類一覽表

B01信息安全設計B02信息安全產(chǎn)品部署B(yǎng)03信息安全開發(fā)B04信息安全加固和優(yōu)化B05信息安全檢查和測試B06信息安全監(jiān)控B07信息安全應急處理B08信息安全通告B09備份和恢復B10數(shù)據(jù)修復B11電子認證服務B12信息安全監(jiān)理B13信息安全審計B99其他信息安全實施服務C01信息安全培訓Z其他信息安全服務信息安全實施服務B組織的信息系統(tǒng)；個人的信息設備

（4）信息安全服務實例

在《信息安全技術(shù)信息安全服務定義和分類》中，提出信息安全服務實例的概念，信息安全實例是為滿足某一確定的安全保障目的而組合在一起的，一組可重用的服務組件。信息安全服務實例是由信息安全服務類別及其服務組件所構(gòu)成的，典型的信息安全服務實例與其可能包含的服務組件之間的關(guān)系如表5所示。

表5 典型的信息安全服務實例

如上文所述，信息安全這樣的分類方式及信息安全服務實例的組織方式方便于信息安全行業(yè)的服務開發(fā)、提供、選用和采購，服務提供方會根據(jù)服務需求方的信息化現(xiàn)狀和信息安全保障需求、結(jié)合自身的服務能力和服務特點，對服務組件進行選取組合（即：形成各個服務提供方的信息安全服務實例），供需求方采購，最常見的組合方式是“安全集成”和“安全運維”。

安全集成是按照信息系統(tǒng)建設的安全需求，采用信息系統(tǒng)安全工程的方法和理論，將安全單元、產(chǎn)品部件進行集成的行為或活動。典型的安全集成包括：

■ 信息安全設計；

■ 信息安全產(chǎn)品部署；

■ 信息安全檢查和測試；

安全運維是為滿足信息系統(tǒng)運行的安全需求，綜合采用檢查、測試、監(jiān)控、應急等手段，維持信息系統(tǒng)安全保障水平的行為或活動。典型的安全運維包括：

■ 信息安全檢查和測試；

■ 信息安全監(jiān)控；

■ 信息安全應急處理；

有時在安全集成和安全運維服務過程中，還會涉及一些咨詢類服務和第三方角色的服務。但由于這些服務與乙方角色的實施類服務的服務界面不同，服務需求方應盡可能將其分開采購，才可保證相關(guān)的服務質(zhì)量。

（5）信息安全服務與信息系統(tǒng)生命周期

對于信息系統(tǒng)生命周期各階段，根據(jù)安全服務性質(zhì)，可以提供各個階段所需的安全服務組件，如在信息系統(tǒng)規(guī)劃設計階段，可以提供相應的安全咨詢和安全培訓服務，在系統(tǒng)規(guī)劃設計階段，可以提供安全咨詢＋安全實施＋安全培訓的組合服務。參照《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》，對應關(guān)系見表6。

表6 信息安全服務與信息系統(tǒng)生命周期對應關(guān)系

信息安全設計√信息安全產(chǎn)品部署√√信息安全開發(fā)√√信息安全加固和優(yōu)化√√信息安全檢查和測試√√信息安全監(jiān)控√信息安全應急處理√信息安全通告√備份和恢復√√數(shù)據(jù)修復√電子認證服務√√信息安全監(jiān)理√√信息安全審計√信息安全培訓服務信息安全培訓√√√√信息安全實施服務

4．其他分類方式

信息安全服務還可分為信息安全咨詢服務、信息安全工程服務、信息安全培訓服務和信息安全運行服務。依據(jù)《網(wǎng)絡與信息安全服務資質(zhì)評估準則》，內(nèi)容如表7所示。

表7 信息安全服務其他分類一覽表

三、結(jié)語

隨著我國信息化和信息安全保障工作的不斷深入推進，以應急處理、風險評估、災難恢復、系統(tǒng)測評、安全運維、安全審計、安全培訓和安全咨詢等為主要內(nèi)容的信息安全服務快速發(fā)展，在這樣的背景下，只有深入梳理把握安全服務活動各階段的性質(zhì)和特點，才能為有效構(gòu)建安全服務體系提供理論依據(jù)，為安全服務活動的規(guī)范化提供科學指導。