什麼是信息安全服務
信息安全服務是指適應整個安全管理的需要,為企業、政府提供全面或部分信息安全解決方案的服務。信息安全服務提供包含從高端的全面安全體系到細節的技術解決措施。
信息安全服務的作用
目前,國內政府和企業中信息安全建設多處在較初級的階段,缺乏信息安全的合理規劃,也普遍缺乏相應的安全管理機制,這些問題受到整體管理水平和信息化水平的限制,在短期內很難根本改變。當前國內的信息安全服務商紛紛提出了自己的安全服務體系,一般都包括信息安全評估、加固、運維、教育、風險管理等。這些西方背景的先進的理念在吸引用戶的同時,給用戶造成了很大的迷茫,很多用戶購買安全服務的直接動機是應付當前的安全事件、滿足管理層的意志或減輕來自內外的輿論壓力,服務形式內容和現實需求之間存在較大落差。
必須承認當前信息安全服務對用戶的幫助主要在技術方面,對管理的影響是有限的。用戶普遍遇到的最大問題是自身資源不足,實際是“安全管理員”的缺位,其次是對基本管理體系探索的需求。從用戶的角度來看,信息安全服務能帶來的實際好處包括:彌補用戶人力的不足,彌補用戶技術的不足,彌補用戶信息的不足,彌補用戶管理思想的不足。這些服務內容主要通過服務團隊特別是一線人員傳遞到用戶的手中,服務人員的技術技能和態度將直接決定用戶的收益。
選擇信息安全服務的基本的法則
1、謹慎選擇廠商和服務內容
用戶在選擇服務商的時候,遇到的困惑之一是服務廠商的服務內容的同質化,市場排名或成本因素往往成了選擇的主要標準,這是不理性的。真正重要因素是服務商的安全現狀和安全目標的理解和認可程度,並能否針對性地提出合理的服務內容和方案;服務人員的技能考察非常重要,取得安全服務資格的廠商並不一定能具有真正的服務能力,用戶方的負責人員和實際服務人員的深入交流一般會提供鑑別的依據;服務商的服務管理能力和信用等也是考察的要點。
2、引導與監控安全服務進程
在安全服務的實施過程中,需要用戶的積極參與。雖然在服務契約簽訂時,雙方已經初步確定了服務的內容和目標,但這些內容和目標往往是抽象的,高素質的服務人員會依此主動發現問題,提供合理的建議,普通服務人員常常不具備這種能力。但無論哪種情況,用戶的引導和監控都是必要的,服務商對用戶的信息系統的認識程度是有限的,能夠介入的範圍也很狹窄,用戶應當用需求或目標來引導和監控服務的實施,甩手掌柜式的用戶會導致安全服務的效力無法發揮和自身能力的停滯。
3、善於放大安全服務的效力
信息安全服務是一項借用外腦的活動,一般用戶更情願在軟硬體系統的購買上投入資金,卻對安全服務比較質疑,原因是認為服務既是無形的,又不創造經濟效益。其實,用戶是可以將安全服務的效力放大的,如果僅把安全服務看作是僅對it部門的服務,那效力就僅限於一個部門,如果為更大的範圍服務,就會取得更大的效力,如安全預警。另外創造性的服務也可帶來經濟上的效益,一個合理的安全建設方案可能會帶來實際的成本的節約,一個安全管理的認可,可能會帶來企業形象的提升,甚至一項安全增值業務可能會帶來直接的收益。
對信息安全服務商的基本要求
信息安全的特點決定了對信息安全服務商有較高的要求,我們將之分為管理要求、技術要求和高級要求,其中管理原則和技術原則主要基於實踐應急反應層面,高級要求主要針對安全管理、安全策略和發展層面。
管理要求* 信息安全要求建立一個24小時不間斷反應。
* 能夠建立一個針對不同攻擊的正確行動方案。
* 能夠保證及時、快速反應系統。
* 能夠提供規範和詳細的對自身和對客戶培訓體系。
* 、貼近被服務體系和對客戶零干擾目標。
* 擁有一定的監控技術,能夠方便、簡單、易操作地安裝到所有接入設備和系統中。
* 監控設備不會影響和干擾已有的安全設備和軟體的正常使用性能,並且不會引入新的安全隱患。
* 監控設備應當具有升級能力,並且能夠進行方便的升級。
* 具有監控數據分析與處理技術。
* 具有知識庫或專家庫支持應急事件決策技術。
* 具有系統容災與恢復的技術。
* 先進原則:全面掌握和緊跟國際先進的信息安全管理和技術並有一套體系貫徹到服務系統中。
* 全面原則:掌握了全國的國內信息安全的標準和政策並有足夠力度體現到服務體系中。
* 高手原則:有掌握最新的信息安全實踐技術和防範技術,遇到特發情況能夠解決問題的高手或專家存在。
* 團隊原則:團隊有明確分工和側重點,基本人員全部掌握一般的服務方法和解決普遍性問題。
信息安全服務商的面臨的問題
國內每個信息服務商都有自己的生存方式,站在用戶的角度考慮,認為有兩個問題不能迴避:
1、服務能力建設。
安全服務的根本意義在於幫助用戶以較低的成本實現高效的信息安全體系。缺乏具有合格技能和創造性的隊伍,這是信息安全服務面臨的最大問題。雖然安全服務這個市場的堅冰已經撬動,但對安全服務的評價仍在進行中。大量的服務項目在照搬概念、教條式地開展,服務人員不能發現、解決用戶的實際問題,更不說為用戶提供個性化的服務。在安全服務行業剛剛萌芽之際,遭遇用戶的集體遺棄將會是致命的。
2、觀念更新。
信息安全服務商如果要贏得用戶的認可,就必須具備兩個基本觀念:一個是信息安全是為信息化服務的,不能離開對用戶信息化脈搏的把握。從“安全就是防火牆”,到“安全三大件”,到“三分技術七分管理”用戶和服務商都在思索信息安全建設的途徑。因為“提升安全管理水平”似乎在中國實行困難後,安全服務慘澹的困守在網路安全、主機安全這兩個孤島上,隨著信息化基礎設施的漸入尾聲,這兩個領域能為用戶帶來的價值日漸式微。套用的安全日益成為用戶關注的重點,身份認證、信息防擴散、電子簽章、電子交易等成為一個個熱點領域,安全服務商需要革新觀念,將服務進一步專業化和細化,才能在有所作為,打破目前安全服務市場的同質化局面。另一個基本觀念是每個用戶的安全需求是個性化的,沒有放之四海皆準的定律,經驗的積累和再利用是必要的,但必須創造性地使用。
我國信息安全服務的重點發展方向
通過對國家標準、政策法規的研究與知識的積累;通過對各行業特點及業務流程特點的研究及工程經驗的總結分析;通過對新技術的研究與運用;通過對市場發展動態的統計分析,預計我國未來安全服務市場將會有廣闊的發展前景。與此同時,通過對安全服務市場發展趨動因素的分析,安全服務體系將包括安全諮詢、等級測評、風險評估、安全審計、運維管理、安全培訓等幾個重點方向,用戶更需要的是有針對性的、個性化的、模組化的、可供用戶任意選擇的、周全的安全服務體系。
安全諮詢服務安全諮詢服務的發展趨勢將向行業化的方向發展,針對性更強,諮詢服務內容更細。具體會體現在政府、銀行、企業等幾個重點領域。諮詢服務的內容將以行業特點為核心,從技術、運維、管理、策略等方面提供具有針對性的安全技術與管理諮詢服務。
例如:針對企業提供信息安全管理體系ISMS建設諮詢、IT服務管理體系ITSM建設諮詢與企業IT內審諮詢;針對國家政府信息化建設提供等級保護建設相關諮詢服務,包括政務系統定級、系統規劃、系統建設及運維管理的諮詢等。
針對國家政務信息系統的等級測評服務將會向自動化的方向快速發展。利用新技術開發自動化的等級測評工具,以降低測評難度、加快測評速度、提高測評準確性。利用自動化的專業等級測評系統對政務信息系統進行等級測評是未來技術的發展方向也是等級測評服務的發展方向。
風險評估服務風險評估服務可幫助用戶了解自身網路信息系統的安全狀況:通過資產重要性分析明確需要重點保護的資產信息;通過系統弱點分析、威脅分析、安全措施的有效性分析確定各項資產所面臨的真實安全威脅問題。
由於風險評估的流程複雜、技術難度大、歷時久、周期長等問題,嚴重困擾著行業用戶風險評估工作的實施。因此,開展針對性強、自動化、模組化的風險評估工具是未來風險評估服務發展的主要方向。它可以降低風險評估的難度,提升風險評估的效率,保障風險評估的準確性,更便於用戶實施網路信息系統的自評估工作,降低風險管理成本。
安全審計服務將嚴格以安全政策或標準為基礎,用於測定現行保護措施整體狀況,同時檢驗是否妥善執行現有的保護措施。安全審計的目的在於了解現有環境是否已根據既定的安全策略得到妥善的保護。安全審計服務可能使用安全審計工具和不同的審核手段,以找出安全問題漏洞,因此安全審計需要多種技術作為支持。安全審計是需要反覆進行的檢查程式,以確保適當的安全措施已切實執行。因此,安全審計的進行次數會比安全風險評估的周期性更強,是風險評估服務的有效補充。
信息系統安全審計服務可協助用戶確保系統安全策略運行在有效控制措施之下。從技術、管理和人員等多個方面,幫助客戶加強內部控制,建立合規性機制,應對合規性審查,預計安全審計服務是未來信息安全服務行業發展的重點方向。
應急回響是運維管理中的典型服務之一,可有效降低用戶因突發安全事件造成的損失,可有效幫助用戶及時準確定位安全事件並對安全事件進行處置,降低用戶損失。應急回響主要針對突發的網路故障、病毒爆發、網路入侵、主機故障、軟體故障等事件。目前,運維管理服務已逐漸將應急回響和系統維護、安全加固、安全檢查等工作融為一體。
運維管理服務將保持快速增長的發展態勢,2005年市場整體規模已達到23.32億元。運維管理服務已成為推動市場增長的強勁動力。2005-2009年,中國運維管理服務市場的年均複合增長率將達到20.3%。2009年的整體市場規模將接近80億元。針對廣闊的市場前景,駐地安全運維服務、周期性巡檢服務、滲透評估服務、安全加固服務將成為安全運維管理服務的重點方向。
隨著信息安全行業的發展,越來越多的企業開始注重企業員工的安全意識培訓與網路運維服務人員的安全技術培訓。據相關報告,我國74.9%的企業把“信息化人才培訓”列為工作重點,企業在實施安全解決方案的同時,其中的一個重點將是幫助企業培訓員工樹立必要的安全觀念。安全培訓可使企業員工提高安全意識,增強安全技能與突發安全事件的應對能力,保障信息系統的安全。針對用戶需求,向用戶提供適合自身特點的模組化的專向安全服務培訓將是未來培訓服務業發展的重點方向。
信息安全認定標準
是對信息安全工程服務提供者的綜合實力的客觀評價和確認,信息安全服務(安全工程類)資質客觀反映了信息安全工程服務提供者從事信息安全工程服務保障能力的成熟程度。資質級別劃分的主要依據包括:基本資格與基本能力要求、安全工程過程能力要求、項目與組織管理能力要求和其他補充要求等。信息安全服務(安全工程類)資質認定是對信息安全工程服務提供者的資格狀況、技術實力和信息安全工程實施過程質量保證能力等方面的具體衡量和評價。
是對信息安全災難恢復服務提供者的綜合實力的客觀評價和確認,信息安全服務(災難恢復類)資質客觀反映了信息安全災難恢復服務提供者從事信息安全災難恢復服務能力的成熟程度。資質級別劃分的主要依據包括:基本資格與基本能力要求、災難恢復過程能力要求、項目與組織管理能力要求和其他補充要求等。信息安全服務(災難恢復類)資質認定是對信息安全災難恢復服務提供者的資格狀況、技術實力和信息安全災難恢復服務實施過程質量保證能力等方面的具體衡量和評價。
是對信息技術開發服務提供者的綜合實力的客觀評價和確認,信息安全服務(安全開發類)資質客觀反映了信息技術開發服務提供者從事信息技術開發能力的成熟程度。資質級別劃分的主要依據包括:基本資格與基本能力要求、安全開發過程能力要求、項目與組織管理能力要求和其他補充要求等。信息安全服務(安全開發類)資質認定是對信息安全開發服務提供者的資格狀況、技術實力和信息安全開發實施過程質量保證能力等方面的具體衡量和評價。
