信息安全离我们远吗？

信息安全离我们远吗？

我做为一个IT技术人员已经很多年了，刚开始时对什么信息安全和数据安全没啥概念，只知道数据丢失就去找呗，找不回来就算了。系统中毒了，那就杀呗，杀不掉就算了。没有从源头上去杜绝出现这些情况的发生，后来有了一些安全设备，于是我们就是简单加上防火墙、IDS、IPS、WAF等，以期待能杜绝此类事情的发生。可事于愿违，还是会频繁的发生此类情况的发生，为什么呢？关键就是没有一套信息安全防范体系和制度。

国家还专门为信息安全成立了中央网络安全和信息化领导小组由习大大领导，可见因为现在大数据时代对网络信息安全上重视程度，后来此小组改为中国中央网络安全和信息化委员会。

那么我们该怎样建立自己的信息安全体系呢？这里我从一家信息系统集成公司的角度来讲解，首先我们了解国家信息安全体系认证机构是什么，这样企业才能得到正规的安全认证。

中国信息安全认证中心是经中央编制委员会批准成立，由信息化工作办公室、国家认证认可监督管理委员会等八部委授权，依据国家有关强制性产品认证、信息安全管理的法律法规，负责实施信息安全认证的专门机构。中国信息安全认证中心为国家质检总局直属事业单位。中心简称为信息认证中心；英文全称：China Information Security Certification Center;英文缩写：ISCCC。

在中心它可以对产品、体系、服务、人员进行不同的认证，以得到我们各自所需的认证结果。这里我只介绍信息安全管理、信息技术－服务管理体系，信息安全服务资质认证（信息系统安全集成服务、安全运维服务资质、信息安全风险评估、信息安全应急处理服务），信息安全人员认证。

我们做为一个信息系统集成企业要做哪些认证好呢？我觉得应该做好下面的认证（标黑部分），信息安全认证架构图：

（InformationSecurityManagementSystems,ISMS）是组织整体管理体系的一个部分，是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用的方法的体系。

GB/T22080/ISO/IEC27001是建立和维护信息安全管理体系的标准，它要求组织通过一系列的过程，如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，是组织达到动态的、系统的、全员参与的、制度化的，以预防为主的信息安全管理方式。

                                                        （证书模板）

（InformationTechnologyServiceManagementSystems,ITSMS）的目标是以合适的成本提供满足客户质量要求的IT服务，从流程、人员和技术三方面提升IT的效率和效用，强调将企业的运营目标、业务需求与IT服务提供相协调一致。

　　GB/T24405.1/ISO/IEC20000-1是建立和维护信息技术服务管理体系的标准，规定了IT组织在向其内外部客户提供IT服务和支持过程中所需完成的工作。通过这些规定，信息技术服务管理体系展示了一套完整的IT服务管理流程，旨在帮助IT组织识别并管理IT服务的关键流程，保证向业务和客户有效地提供高质量的IT服务。

                                                    （证书模板）

信息技术运维服务管理制度：

第一节 总则

1、为加强公司信息技术运维服务的安全管理，保证公司信息系统运行环境的稳定，特制定本制度。

2、本制度所称信息技术运维服务，是指公司以签订合同的方式，到委托客户单位承担信息技术服务，主要包括信息技术咨询服务、运行维护服务、技术培训及其它相关信息化建设服务等。

3、安全管理是以安全为目的，进行有关安全工作的方针，决策、计划、组织、指挥、协调、控制等职能，合理有效地使用人力、财力、物力、时间和信息，为达到预定的安全防范而进行的各种活动的总和，称为安全管理。

4、运维服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。

第二节 运维服务范围

5、运维服务包括信息技术咨询服务、运行维护服务、技术培训等。

6、咨询服务：

6.1根据客户的信息化建设总体部署，协助客户制定切实可行的技术实施方案。

6.2对客户现有的信息技术基础架构、设备运行状态和应用情况进行诊断和评估，提出合理化的解决方案。

6.3根据客户的实际情况提出备份方案和应急方案。

6.4其他信息技术咨询服务。

7、运行维护服务：

7.1软硬件设备安装、升级服务。

7.2硬件的设备维修和保养。

7.3根据客户业务变化，提供应用系统功能性的需求解决方案及执行服务。

7.4系统定期巡检和整体性能评估。

7.5日常业务数据问题的处理服务。

7.6其他运行维护服务。

8、技术培训：根据客户的实际情况，提供相关的技术培训。

第三节 运维服务安全管理

9、运维服务安全管理应按照“安全第一、预防为主”的原则，采取科学有效的安全管理措施，应用确保信息安全的技术手段，建立权责明确、覆盖信息化全过程的岗位责任制，对信息化全过程实行严格监督和管理，确保信息安全。

10、成立由分管领导同志信息化外包管理组织，明确信息化管理的部门、人员及职责。

11、建立信息建设安全保密制度，与客户方签订安全保密协议或合同，明确符合安全管理及其它相关制度的要求。并对服务人员进行安全保密教育。

12、制定信息化加工过程管理、信息化成果验收与交接、存储介质管理等操作规程或规章制度。

13、运维服务方的人员素质、技术与管理水平能够满足拟承担项目的要求，进行相应的安全资质管理。

14、运维服务方配备专人负责安全保密工作，负责日常信息安全监督、检查、指导工作。对服务方提供的服务进行安全性监督与评估，采取安全措施对访问实施控制，出现问题应遵照合同规定及时处理和报告，确保其提供的服务符合客户内部控制要求。

15、对运维服务的业务应用系统运行的安全状况应定期进行评估，当出现重大安全问题或隐患时应进行重新评估，提出改进意见，直至停止运维服务。

16、使用运维服务方设备的，对其进行必要的安全检查。

17、在重要安全区域，对外部人员的每次访问进行风险控制；必要时应外部人员的访问进行限制。

第四节 附则

18、本制度由我公司负责解释

19、本制度自发布之日起生效执行。

随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

　　我中心是经国家认证认可监督管理委员会批准，可以从事信息安全服务资质认证的机构（《认证机构批准书》CNCA-R-2007-138），并获得了中国合格评定国家认可委员会的认可（证书编号：No. CNAS CO66-V）。服务资质认证工作是我中心的核心业务之一。

　　按照分类分级的工作思路，目前我中心已经开展了信息安全应急处理和风险评估两类服务资质工作。

对服务资质认证工作具体介绍如下：

　　一、基本概念

　　信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进行评价。

　　应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。（用1799概述里面一段一句的内容）

　　风险评估服务是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以求防范和化解信息安全风险，或将风险控制在可接受的水平。

　　通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

　　二、关于认证申请：

　　认证的基本环节：

　　认证申请与受理；

　　文档审核；

　　现场审核；

　　认证决定；

　　年度监督审核。

　　初次申请服务资质认证时，申请单位应填写认证申请书，并提交资格、能力方面的证明材料。申请材料通常包括：

　　服务资质认证申请书；

　　独立法人资格证明材料；

　　从事信息安全服务的相关资质证明；

　　工作保密制度及相应组织监管体系的证明材料；

　　与信息安全风险评估服务人员签订的保密协议复印件；

　　人员构成与素质证明材料；

　　公司组织结构证明材料；

　　具备固定办公场所的证明材料；

　　项目管理制度文档；

　　信息安全服务质量管理文件；

　　项目案例及业绩证明材料；

　　信息安全服务能力证明材料等。

　　三、关于认证依据：

　　对特定类别的信息安全服务，有具体的评价标准。例如，信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》（YD/T 1799-2008），信息安全风险评估服务资质认证的依据是《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。

　　四、关于认证流程：

　　参见我中心网站上的《信息安全服务资质认证实施规则》(ISCCC-SV-001)及认证流程图。认证周期一般是10周，包括自申请被正式受理之日起至颁发认证证书时止所实际发生的时间，不包括由于申请单位准备或补充材料的时间。

是指从事计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证的活动。信息系统安全集成包括在新建信息系统的结构化设计中考虑信息安全保证因素，从而使建设完成后的信息系统满足建设方或使用方的安全需求而开展的活动。也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等，通常被称为安全优化或安全加固。
　　信息系统安全集成服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。安全集成服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、安全集成服务的经验等综合评定。

通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维工作，以发现并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。

　　安全运维资质认证是对安全运维服务方的基本资格、管理能力、技术能力和安全运维过程能力等方面进行评价。安全运维服务资质级别是衡量服务提供方的安全运维服务资格和能力的尺度。

资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全过程。服务提供者通过对信息系统提供风险评估服务，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障提供科学依据。

　　信息安全风险评估服务资质级别是衡量服务提供者服务能力的尺度。风险评估服务提供方的服务能力主要从以下四个方面体现：基本资格、服务管理能力、服务技术能力和服务过程能力；服务人员的能力主要从掌握的知识、风险评估服务的经验等综合评定。对服务提供方的背景审查主要指客户投诉、违法违纪行为等；服务人员的背景审查主要指行业主管部门或使用单位对从事风险评估服务的人员进行必要的审查。

　　资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

是通过制定应急计划使得影响网络与信息系统安全的安全事件能够得到及时响应，并在安全事件一旦发生后进行标识、记录、分类和处理，直到受影响的业务恢复正常运行的过程。应急处理服务是保障业务连续性的重要手段之一，它涵盖了在安全事件发生后为了维持和恢复关键业务所进行的系列活动。

信息安全应急处理服务资质认证是对应急处理服务提供方的基本资格、管理能力、技术能力和应急处理服务过程能力等方面进行评价。信息安全应急处理服务资质级别是衡量服务提供方应急处理服务资格和能力的尺度，应急处理服务资质分为三级，其中一级最高，三级最低。

中国信息安全认证中心（ISCCC）是国家批准的信息安全专业认证与培训机构。ISCCC的服务宗旨是保障国家信息安全，促进各类组织信息安全技术水平和管理水平的提高，提升信息安全的社会认知度及从业人员的专业水平。目前开展的人员认证与培训业务包括：信息安全从业人员资格认证、信息安全认证从业人员培训和信息安全技术与意识培训。
　　ISCCC推出了“信息安全保障从业人员认证（CISAW）”和 “信息安全保障预备从业人员认证（CISAC）”，以期推动我国信息安全保障的人才队伍建设，提高从业人员的职业素养，加强后备人才培养。
　　ISCCC开展了面向信息安全产品认证工厂检查员、信息安全服务资质认证评审员、信息安全管理体系(ISO/IEC27001)认证审核员、IT 服务管理体系(ISO/IEC20000-1)认证审核员、信息安全管理体系和IT服务管理咨询师等信息安全认证从业人员的培训工作，期望能够进一步提高信息安全认证相关人员的执业水平，从而保障信息安全认证质量。
　　ISCCC专门开发了信息安全技术培训和信息安全意识教育的系列基础课程，并以此为基础，依据不同组织的实际需求，开展量身定制的个性化培训服务，旨在提高各类组织的信息安全保障能力和全民信息安全意识。

人员的认证分为9大类三级认证，预备认证、资格认证、专业认证。其中专业认证又分为专业级和专业高级。如下图：

其它就是关于国家对信息安全保护等级划分和涉密分级保护的概念要做个初步的认识。

总共分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

我这里只摘录其中主要条款：

第九条

信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。

第十条

信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

第十一条

信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。

第十二条

在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。

第十六条

办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：

（一）系统拓扑结构及说明；

（二）系统安全组织机构和管理制度；

（三）系统安全保护设施设计实施方案或者改建实施方案；

（四）系统使用的信息安全产品清单及其认证、销售许可证明；

（五）测评后符合系统安全保护等级的技术检测评估报告；

（六）信息系统安全保护等级专家评审意见；

（七）主管部门审核批准信息系统安全保护等级的意见。

我这里只摘录其中主要条款：

第二十四条

涉密信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

非涉密信息系统不得处理国家秘密信息等。

第二十五条

涉密信息系统按照所处理信息的最高密级，由低到高分为秘密、机密、绝密三个等级。

涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。

保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。

第三十条

涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：

（一）系统设计、实施方案及审查论证意见；

（二）系统承建单位资质证明材料；

（三）系统建设和工程监理情况报告；

（四）系统安全保密检测评估报告；

（五）系统安全保密组织机构和管理制度情况；

（六）其他有关材料。

整个等保跟市场需求之间的关系可以总结为：新要求——新产品——满足等级保护测评分数——备案成功。从下表中可以看到新增要求项集中在***防范、恶意代码防范、集中管控、安全审计等方面。

安全威胁识别所采用的方法主要有：文档查阅、问卷调查、人工核查、工具检测、***性测试等。

（1）安全技术威胁性核查

物理环境安全

（1）安全措施：机房选址、建筑物的物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。  

（2）核查方法：现场查看、询问物理环境现状，验证安全措施的有效性。  

网络安全

（1）安全措施：网络拓扑图，vlan划分，网络访问控制，网络设备防护，安全审计，边界完整性检查，***防范，恶意代码防范等。
  （2）核查方法：查看网络拓扑图、网络安全设备的安全策略、配置等相关文档，询问相关人员，查看网络设备的硬件配置情况，手工或自动查看或检测网络设备的软件安装和配置情况，查看和验证身份鉴别、访问控制、安全审计等安全功能，检查分析网络和安全设备日志记录，利用工具探测网络拓扑结构，扫描网络安全设备存在的漏洞，探测网络非法接入或外联情况，测试网络流量、网络设备负荷承载能力以及网络带宽，手工或自动查看和检测安全措施的使用情况并验证其有效性等。    

主机系统安全

（1）安全措施：身份鉴别、访问控制、安全审计、剩余信息保护、***防范、恶意代码防范、资源控制等。    
  （2）核查方法：手工或自动查看或检测主机硬件设备的配置情况以及软件系统的安装配置情况，查看软件系统的自启动和运行情况，查看和验证身份鉴别、访问控制、安全审计等安全功能，查看并分析主机系统运行产生的历史数据（如鉴别信息、上网痕迹），检查并分析软件系统日志记录，利用工具扫描主机系统存在的漏洞，测试主机系统的性能，手工或自动查看或检测安全措施的使用情况并验证其有效性等。    

应用系统安全

（1）安全措施：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等。    
  （2）核查方法：查阅应用系统的需求、设计、测试、运行报告等相关文档，检查应用系统在架构设计方面的安全性（包括应用系统各功能模块的容错保障、各功能模块在交互过程中的安全机制、以及多个应用系统之间数据交互接口的安全机制等），审查应用系统源代码，手工或自动查看或检测应用系统的安装配置情况，查看和验证身份鉴别、访问控制、安全审计等安全功能，查看并分析主机系统运行产生的历史数据（如用户登录、操作记录），检查并分析应该系统日志记录，利用扫描工具检测应用系统存在的漏洞，测试应用系统的性能，手工或自动查看或检测安全措施的使用情况并验证其有效性等。    

数据安全

（1）安全措施：数据完整性保护措施、数据保密性保护措施、备份和恢复等。  
  （2）核查方法：通信协议分析、数据破解、数据完整性校验等。  

（2）安全管理威胁性核查

安全管理核查主要通过查阅文档、抽样调查和询问等方法，并核查信息安全规章制度的合理性、完整性、适用性等。

安全管理组织

核查方法：查看安全管理机构设置、职能部门设置、岗位设置、人员配置等相关文件，以及安全管理组织相关活动记录等文件。  

安全管理策略

核查方法：查看是否存在明确的安全管理策略文件，并就安全策略有关内容询问相关人员，分析策略的有效性，识别安全管理策略存在的脆弱性。    

安全管理制度

核查方法：审查相关制度文件完备情况，查看制度落实的记录，就制度有关内容询问相关人员，了解制度的执行情况，综合识别安全管理制度存在的脆弱性。    

人员安全管理

核查方法：查阅相关制度文件以及相关记录，或要求相关人员现场执行某些任务，或以外来人员身份访问等方式进行人员安全管理脆弱性的识别。    

系统运维管理

核查方法：审阅系统运维的相关制度文件、操作手册、运维记录等，现场查看运维情况，访谈运维人员，让运维人员演示相关操作等方式进行系统运维管理脆弱性的识别。    

等保安全项目结束时召开评审会，参与人员一般包括：被评估组织、评估机构及专家等。等保安全项目验收文档如下：

工作阶段

输出文档

文档内容

准备阶段

《系统调研报告》

对被评估系统的调查了解情况，涉及网络结构、系统情况、业务应用等内容。

《风险评估方案》

根据调研情况及评估目的，确定评估的目标、范围、对象、工作计划、主要技术路线、应急预案等。

识别阶段

《资产价值分析报告》

资产调查情况，分析资产价值，以及重要资产说明。

《威胁分析报告》

威胁调查情况，明确存在的威胁及其发生的可能性，以及严重威胁说明。

《安全技术脆弱性分析报告》

物力、网络、主机、应用、数据等方面的脆弱性说明。

《安全管理脆弱性分析报告》

安全组织、安全策略、安全制度、人员安全、系统运维等方面的脆弱性说明。

《已有安全措施分析报告》

分析组织或信息系统已部署安全措施的有效性，包括技术和管理两方面的安全管控说明

风险分析

《风险评估报告》

对资产、威胁、脆弱性等评估数据进行关联计算、分析评价等，应说明风险分析模型、分析计算方法。

风险处置

《安全整改建议》

对评估中发现的安全问题给予有针对性的风险处置建议

    说到这里就笼统的说完了一个集成公司对于信息安全大概要了解的信息安全内容和需要做的安全管理和办法，当然还有很多不完善的地方，但能做到或了解上面所说的所有内容也是很不容易的，万事都是从零开始的。好吧，下次我打算有时间就做了安全***防御的文章，大家耐心等待吧。