本文讲的是信息安全中心陈晓桦:安全服务资质认证,2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开,本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天,中国信息安全中心陈晓桦主任谈论了有关信息安全应急处理服务资质认证的问题,下面为谈话实录:
周勇林:大家有所了解,信息安全认可认证,是我们国家信息保障体系一个重要内容,通过信息安全成立以来,我们做大量的工作,下面请陈晓桦主任来谈一下信息安全应急处理服务资质认证介绍。大家欢迎。
陈晓桦:为了做好这个报告,我重新更新一些内容,加入新的内容。刚才报告当中,也提到一个电子政务。无论是外包还是内包涉及一个安全的问题,是一个信息安全服务的问题。
跟大家交流一下,我们做信息安全处理服务资质认证介绍。这么几个方面:
第一,什么是信息安全服务?
第二,信息安全服务分类原则。
第三,信息安全服务资质管理意义及思路。
第四,信息安全应急处理服务资质认证工作介绍。
我们来介绍中国信息安全中心,在信息安全应急处理服务资质认证方面开展的工作。信息安全应急处理服务资质认证:是安全的服务,服务的安全。实际上大家可以理解,现在医院动手术,是一个良好组织要承担责任,这个是服务安全。但是我们说今天讨论信息安全服务有一个国际标准,现在信息安全服务是经营商等安全组织,企业事业单位等提供一个过程,在这个期间当中,所干的事情。那么国家尤其是重要行业包括个人涉及个人数据的时候,个人委托信任的问题,讨论是这么一个含义。服务的资质,重复讲是资质,人要有身份证。有这种资源,它的管理水平跟制度等,应该考虑这么多方面。比如法律地位,税收政策,员工社保证明等,这是国家跟行业需要考虑的问题。比如说工信部要考虑人员的问题。CNCERT电子建设的单位,你应该采取什么?你应该有什么管理模式?所以管理角度是不一样。我现在提的方面,从国家、行业来说,谁为我们用户提供的服务。资质认证是根据国家标准或者行业标准和技术规范,按照技术规范跟认证规则提供服务组织机构。人员也要管,就是通过资质方式来做。
下面简单了来谈一下,结合我国信息安全服务现存的类别及可以归结无以下几种主要服务类型:1、应急处理;2、风险评估;3、灾难恢复;4、系统测评;5、安全监理;6、安全咨询;7、安全培训;8、安全审计;9、安全运维;10、其他服务。分类的目的不是给厂家发一个证书。随着社会发展和专业化,我们觉得仅仅提一个信息服务,这个概念不够。现在主要哪些服务类型?我们要立即处理。全世界出现最早的问题,计算机效应安全小组,出现之后,当时是一个大学跟BSA合作。应急效应,拿一个保障不出问题。信息有很多,有出现很多意想不到的问题,也需要人应急处理。在国际上出现这种管理,制度化也是比较标准。在国际上出现是事件描述方式。
第一,标准技术规范跟经验,包括队伍的管理。
第二,我们国家开展比较多,也是以前工信办提供风险评估,人家的出发点等一些问题,反正在我国风险评估也是很重视这一块。那么灾难跟应急不一样,灾难出问题跟事件不同,灾难是出现非常危机的情况。比如说安全运行、安全培训等。我在这里接你一个电话,回答你一个问题,我叫做应急服务。还有到现场做一次扫描也是一次服务。现在来说,这几种,现在叫得出名字,如厂家也好都是用这种服务。由于时间的原因,因为国家的标准,行业的标准也出来。应急处理对计算机的系统或者网络不当的行为进行了一个标识,进一步处理,让这个系统恢复的正常。
再一个风险评估,灾难恢复、系统经营、审计等其他的部门。随着信息技术的发展,随着厂家的创新,服务模式创新,我们还会提供其他的服务。那么国际上也对这些服务有一些分类:技术管理服务、服务等管理是关注组织机构内,管理安全风险能力,这种管理可以做外包,也可以自己做管理安全程序。另外是一个技术服务,新型技术系统的服务比如流动清晰,安全监控是否正常运行,今天的安全服务都在服务模式创新。你这样外包过我,我从远程来监督你,这也是比较好的方式。
再一个是安全运行,定义也非常清楚。人所执行安全服务。那么,实际上在我们国家从行政部门来说,技术是外包,或者是购买其他的服务,出台的政策是防火墙如何?你的自己结构管理水平如何?你的安全是否符合国家标准?会有很多方面的考虑。对于国际上的服务,还有其他的对比。刚才的对比,如果分两部分:哪些属于管理?风险管理体系架构。技术类也讲几种,比如整个事件的处理过程等。我们国家信息安全应急处理资质怎么管理?但是我们回顾一下管理系统。先说外国,比如说英国跟美国,发达国家他们的组织机构跟人员安全背景进行了审查。这个安全背景的审查比较严格,尤其是工业机密还没有涉及国家机密。它会涉及到这些,比如偷税、漏税全部在里面,你在国外居住的时间或离多次婚。尤其这些接触国家机密,这是国外的管理。
另外,对机构实施安全管理。通过采购政策进行的管理。那么采购政策,尤其是政府采购,我们国家还没有加入JPC。当初,联想要兼并某一个公司,也造成封杀,联想也有受到很多苛刻的条件。在国内也有,但是我们国家信息化服务资质有通信不足的问题。那么后来就出现国家保密局的,对于政府摄利行为也受到的一定的影响。再一个,工信部做CP避免了另外一个问题,证书服务的管理。北京信息化办公厅也做一些类似的事情。
那么是否对于我们国家几级以上风险评估工作有一些资质管理,也存在这种工作。在今天主办方协调中心对于应急处理服务管理,也有一个管理中心,是协调共同互联网的管理中心。协调中心依托全国很多应急处理有的力量,也是授权管理。这些都是为国家应急服务资格管理,这是最大的地方包括行业的管理标准。第三方的政务管理中心,还有我原来工作的单位——中国信息安全认证中心,发了一个资质认证。这些存在什么样的问题?法制法律的安全问题、服务机构可信度、包括名誉问题等还有市场缺乏有效的规范,服务标准的问题。现在看到具体的服务标准能够找到是什么?行业标准等。其他都是国家标准技术标准,不是服务标准。你要把技术标准系统标出来:一个是互联网迅速发展,这些网络成为生活当中离不开网络化。那么应急也是强调在医院动手术一样,处理不当,正常器官切出来,在现场造成不可挽回的东西。应急对它的要求跟法律要多加考虑,能接触的东西,跟你正规接触的东西是一样。你把核心的东西打开比如救火一样。它会道路不当,要加强管理,对应急的要求是比较高。在昆明某一个会议,我也参加,获得证书授权是一种光荣,更是一种责任。
下面,汇报一下,开展应急处理服务资质认证的活动。当时对信息安全应急处理服务经过资质,那么觉得授权是一个很好的办法,授权之后,对这些服务有效的评价,怎么对他们科学的评价,也可以引见一些国际跟我国的认证标准。首先根据协调中心一个规范,做成一个行业标准,依据行业标准才做认证。认证、它的授权、技术处理上,中国信息安全中心也有审核。比如一个评审员,用一些专业的问题来回答,在现场的观摩等情况,是否按照你写的文件来执行,回答之后有一个回顾,授权跟我们认证结合之后,我们对这个队伍管理,规范性提升了一个层次。刚才周局长也讲很多情况,然后安全事件总得了一个结论,信息安全事件也逐年增长。我们国家公布一个数据,我们网络数据已达到3.38个亿。介绍一下,周局长没有介绍完之后,CNCERT做三次选拔,在04年,国家对公共互联网运营单位这一块出的问题,影响就很大。他搞一个试点单位,07年6月,就搞一个改选活动,一共27家省级,那么当时就有35家。在08年奥运会之前,认证之后,38家有资质认证书。当然依据的标准主要是行业标准。信息安全应急资质认证依据行业标准来进行了规范。应急资质认证也有什么重要性,在这里就不展开了。在这个标准里面,我们回顾一下,服务资质评估办法。从行业标准角度做比较概念的来讲:程序事件,网络攻击事件,信息破坏事件,信息内容安全事件,设备设施故障,突发性事件,其他信息安全事件。有的时候,单位要求四小时之内能够清除掉,这个资质要求里面,提出来四个方面:基本要求,基本能力,管理能力,技术能力,应急服务能力等,这个技术能力根据国际标准来,当时分布六个点。从规范性程度来讲,我们提出经验的总结,应该有六个总结的阶段。通过工具的方式,也一一带过,包括应急处理完之后,你该不该做意见,或者提出其他的要求之内,都在标准里面做到。评价方法有这么多内容,要一一了评价。
比如说,在去年八月,协调中心跟我们一起联合发布认证书的经过一年之后,我们这些标准也提出一些修改。对于在更大范围,不仅是通讯行业,可能在其他行业有一定的参考。由于时间的原因,我也不讲,标准方面有很多修改,就不讲。
那么由于时间原因,我今天就介绍这些。谢谢大家。
作者:King
来源:it168网站
原文标题:信息安全中心陈晓桦:安全服务资质认证