信息安全服务体系建设初探
——信息安全服务体系研究之三
2015-08-07公安部第三研究所
公安部第三研究所 罗 峥 江 雷
信息安全服务体系建设初探
——信息安全服务体系研究之三
公安部第三研究所 罗 峥 江 雷
随着国际国内网络安全形势的日趋严峻,各国都在大力加强网络安全建设和顶层设计,接轨国际,建设坚固可靠的国家网络安全体系,是中国必须作出的战略选择。中央网络安全和信息化领导小组宣告成立,显示出中国最高层在保障网络安全、维护国家利益、推动信息化发展的决心。
针对日益复杂和多元的任务和挑战,研究制定网络安全和信息化发展战略、宏观规划重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力,成为国家网络安全与信息化发展的长远目标。在与信息安全相关的工作方面,一是提出了完善互联网信息内容管理、关键信息基础设施保护等法律法规,对重要技术产品和服务提出安全管理要求。二是提出支持企业使其成为技术创新主体、信息产业发展主体和维护网络安全的主体。这充分传递了今后信息安全工作的重要思路,就是在不断完善法律与规范要求的基础上充分调动社会资源来推动安全工作的开展。
在这样的背景下提出信息安全服务体系建设很有意义,首先,只有从顶层和整体构建安全服务体系,才能确为国家信息关键基础设施提供的服务切实达到信息安全保障的要求。其次,只有建立一个科学的安全服务体系,才能有效发挥信息安全服务机构的主体作用,推动信息安全产业的发展。第三,只有完善信息安全服务体系,构建健全法制环境、落实有效监管、规范市场行为,才能确保安全服务产业持续健康繁荣发展。
本文所涉及的信息安全服务对象是我国信息基础设施和信息系统。对于个人信息安全不在本文的范围。
1.信息安全服务体系建设要素分析
信息安全服务体系从要素划分上,可以分为主体维、活动维和要求维,如下图所示。
主体维指开展信息安全服务活动所涉及的各个相关利益与责任方。包括信息安全主管部门、信息系统相关行业主管部门(机关与企事业部门),信息系统运营使用单位、安全服务机构、第三方认定机构移以及其他相关单位和部门。
活动维指信息系统生命周期的各个阶段应开展的各个信息安全服务活动。包括方案咨询、规划设计、集成建设、产品部署、安全监理、安全评价、运维保障、事件防范、监测预警、应急处置等。
要求维指信息安全服务相关主体开展安全服务活动所应遵循的相关要求,包括安全战略、法律法规、政策文件、实施细则、技术标准、方法指南和能力评价等。
图1 信息安全服务体系要素维图
2.信息安全服务体系“主体维”
信息系统主管部门、信息系统运营使用单位(用户)、信息安全服务机构、信息安全管理部门、信息安全服务能力认定机构等主体因各自的需求建立相互关系,承担各自职责,通过服务体系的有效运行促进我国重要信息系统的整体安全保障水平的提高,为建设网络强国的长远目标提供有力支持,如下图所示。
信息系统主管部门、信息系统运营使用单位(用户)、信息安全服务机构、信息安全管理部门、信息安全服务能力认定机构等主体因各自的需求建立相互关系,承担各自职责,通过服务体系的有效运行促进我国重要信息系统的整体安全保障水平的提高,为建设网络强国的长远目标提供有力支持,如下图所示。
(1)信息系统运营使用单位
是信息系统的使用方,他们提出信息系统的安全需求,并依据信息系统行业主管管理部门的政策和安全要求,选择经信息安全服务能力认定机构认定的、具备相应能力的信息安全服务机构,开展系统安全咨询、建设、管理和运维。同时依据国家信息系统保护安全法律法规要求,接受信息安全管理部门的监督、检查和指导。
(2)信息系统主管部门
是信息系统所在行业或领域的主管部门,他们制定本行业和领域信息系统安全管理的政策和规范,对系统运营使用单位提出管理要求。同时依据国家信息系统保护安全法律法规要求,与信息安全管理部门配合开展安全监督检查。
(3)信息安全管理部门
信息安全管理部门依据国家法律履行对重要信息系统安全管理的职责。指导制定信息安全服务的政策法规、行业实施细则等等。开展对信息安全工作的监督、检查和指导。指导组织信息安全技术标准的编制,推动信息安全技术的研究和信息安全服务产业的发展。委托信息安全服务能力评定机构对信息安全服务机构进行能力评定,并信息安全服务机构和评定机构进行监督和审查。
(4)信息安全服务机构
针对信息系统运营使用单位的安全需求,依据信息安全管理部门的政策要求和技术标准提供的一系列信息安全服务活动。安全服务机构提供的服务包括咨询、设计、建设、整改、测评、运维、监理、监测、应急、备份等等。信息安全服务机构接受安全服务能力的认定,并接受信息安全管理部门的安全审查与监督管理。安全服务机构同时也是信息安全技术标准的制定方与执行者。
(5)信息安全服务能力认定机构
受管理部门委托,对信息安全服务机构的组织能力、实施能力、资源保障能力、过程控制能力等方面进行评估,并出具评估结果,推动信息安全服务能力建设、维护和提高,为信息安全管理部门提供技术支撑和决策支撑。
(6)其他主体
包括信息安全研究机构、信息安全行业组织等。
3.信息安全服务体系“活动维”
信息安全服务是一系列不同阶段、不同性质特征的过程活动,它们共同构成了安全服务体系的活动维,其具体内容请参见本系列文章的第一篇《信息安全服务的概念与分类》中的详细介绍。
4.信息安全服务体系“要求维”
信息安全服务相关主体开展安全服务活动所应依据法律法规、政策文件、实施细则、技术标准、方法指南和能力评价指标等,在内容上均属于要求范畴。在层面上可以划分为工作要求、安全要求、过程要求、和能力要求。
(1)工作要求
工作要求是指开展信息安全工作在战略层面、法律层面和政策法规层面对各相关主体提出的目标、规则或指令,形式如下:
——国家安全战略
随着国内外网络安全形势的日趋严峻,信息化和网络信息安全已经成为国家发展的最高战略之一。国家信息安全领导部门通过制定信息安全战略,为今后信息安全工作制定发展方向。因此,安全战略属于国家最高层面的工作目标和要求,因此,国家信息安全战略思想是信息安全服务体系的核心要求。
——法律法规
为推动国家网络安全和信息化法治建设,由立法机关和国家行政机关制定的信息系统安全保护的法律法规,将为信息安全服务活动提供法律依据、规则要求和合规性指导。
——政策法规和实施细则
信息安全管理部门、行业主管部门制定的政策文件、工作规范、实施细则和管理办法是落实国家安全战略、开展信息系统安全服务在实施层面的工作要求。
(2)安全要求
安全要求是指信息系统安全防护所应达到的安全指标,包括技术要求和管理要求,主要包括各类技术标准和规范(国际标准、国家标准和行业标准)。安全要求是各信息安全服务相关主体开展安全服务实现安全保护目标的依据。
(3)过程要求
过程要求属于方法论范畴,指开展安全服务活动在各个领域应遵循的方法和过程,如实施指南、工作指引和工作程序等。
(4)能力要求
能力要求是指针对从事信息安全服务活动的主体所应具备的能力指标,主要分为组织管理能力、过程控制能力、技术实施能力、设备设施保障能力、资源保障能力等。
5.信息安全服务体系的构建思路
信息安全管理部门负责组织构建信息安全服务体系,其体系内各要素维相互作用,即“信息安全领导和管理部门为实现国家信息安全保障工作目标,提出信息安全工作要求,组织各方力量研究并提出信息系统的安全要求,指导信息系统行业主管和运营使用部门开展安全建设;信息系统行业主管和运营使用部门选择具备相应能力要求的信息安全服务机构遵循相应的过程(方法)要求开展安全服务活动,实现信息系统的安全要求。
体系运行关系具体描述如下:
1)国家信息安全领导部门制定信息安全战略,提出信息系统安全保护的工作目标和要求,并推动立法机关和国家行政管理部门加快信息安全法律法规的制定,确保信息系统安全监管工作有法可依。
2)信息安全管理部门在信息安全战略框架和法律框架下制定信息安全服务相关的政策规范和管理办法,如《信息安全服务管理办法》、《信息安全服务机构管理办法》等。信息系统的行业主管部门根据自身的工作要求针对信息安全服务的各个领域制定具体的管理细则。
3)信息安全管理部门组织指导安全服务机构和社会相关技术力量,在现有标准基础上完善信息系统安全保护技术标准体系,提出信息系统的安全要求。在具体工作中,一方面针对不同行业部门研究制定行业标准和技术规范,另一方面结合新技术新应用开发编制诸如物联网、云计算、工控系统、以及移动互联等领域的技术标准,为信息安全服务活动提供技术依据。
4)信息安全服务机构和各相关技术力量应针对安全服务各阶段应加快制定相应的指南和工作程序,如《信息安全咨询规划实施指南》、《信息系统安全运维实施指南》、《信息系统应急处理实施指南》等,明确安全服务活动过的程要求,确保信息安全服务活动的规范性和统一性。
5)信息安全管理部门应对信息安全服务机构的安全可靠进行审查,并委托安全服务能力认定机构制定相应的能力要求指标体系和认定程序,如《信息安全服务机构能力要求》、《信息安全服务机构认定过程指南》等,对安全服务机构进行能力评估,确保服务机构具备相应的能力要求。
6)获得认定的信息安全服务机构依据技术标准、并遵循标准的安全服务过程方法开展安全服务活动,确保信息系统达到安全要求的同时满足运营使用单位的安全需求。
图2 信息安全服务体系主体及相互关系图
6.结语
面对国内外日益严峻的网络安全形势,从建设网络强国的战略高度出发,加强顶层设计,构建科学完善并可持续发展的信息安全服务体系,是推动信息安全产业的发展、增强国家网络安全保障能力的重要举措。而在安全服务体系建设实际过程中,如何把握体系特征,明确建设思路和框架要点,是体系建设成功的关键。