您的当前位置：首页信息安全保障体系建设和服务的过程

信息安全保障体系建设和服务的过程

来源：意榕旅游网

Information Security Management Guidance

ISMG-002

信息安全体系建设与服务过程

Information Security System Build and Services Process

张耀疆

CISSP，BS7799LA，CISA

上海安言信息技术有限公司邮箱：colababy@aryasec.com 网址：www.aryasec.com

MSN：zhangyaojiang@hotmail.com

本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属上海安言信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经上海安言信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

信息安全管理系列指导文件（ISMG）

内容摘要

信息安全建设要依据有效蓝图来进行，蓝图要求完整、可实施可操作，这就是个体系的问题了。本文即从信息安全基本概念引入，介绍了信息安全建设可以依据的各类体系结构，最终得出结论：信息安全体系应该是融合了技术和管理内容在其中，并且充分考虑人、流程和工具三个因素综合作用的结构，这是我们从事信息安全建设工作最终希望看到的东西。当然，要促成蓝图的实现，信息安全实践者必须有一套得力的操作流程，基于先后关联的一系列关键活动来实现信息安全体系蓝图，本文对此也做了详细论述，即有效的信息安全服务过程。

在行文过程中，作者参考了大量文献资料，并将长期积累的实践经验融合进来，最终成此专题。当然，本文虽专门论述安全体系和服务过程，但仅限于基本概念的阐述，并不涉及具体实施和详细步骤。

由于成文仓促，难免不周和错误，请读者持批判的态度审阅，若有建议和意见，欢迎直接致函作者，交朋纳友乃作者平生之好。

关于ISMG

本文作为“信息安全管理指导文件（Information Security Management Guidance，ISMG”系列之一而提供。ISMG系列文件是安言咨询围绕信息安全管理这一实践主题而编写的一系列指导性文件，目的在于为信息安全管理实践者提供有效的建议和帮助。ISMG系列文件的主题主要涉及信息安全风险管理、信息安全体系建设、信息安全服务过程、信息安全策略编写、业务连续性管理、BS7799标准实施等。

欢迎有志于ISMG文件编写的专业人士与我们联系，加入到我们这个队伍中来，共同为国内信息安全事业的整体发展尽心尽力。

关于安言咨询

上海安言信息技术有限公司（简称安言咨询），是一家从事信息安全管理咨询的专业化机构。公司致力于兼收并蓄国际上最先进的信息安全和IT服务管理理念，结合国内行业特点，以独立咨询客观立场，为客户提供量身定做并且符合国际标准要求的信息安全解决方案。安言咨询凭借多年经营积累起来的信息安全培训体系和咨询服务体系，以充足而完备的内容和资源，将BS7799、BS15000、ISO13335、SSE-CMM、ITIL、CoBit等最佳实践的精髓恰当地移植给企业客户，充分发掘企业真正的需求，提升企业信息安全整体意识，增强相关人员的技术技能，巩固和完善企业信息安全管理体系，开拓IT服务管理的眼界和思维，

信息安全体系建设与服务过程（ISMG-002）

建立稳妥的业务持续性计划，使信息安全和IT服务真正成为企业整体发展的助动之力。安言咨询是一个由精英人才凝聚而成的团队，拥有多年电信、金融、制造、政府等行业背景，持有包括CISSP、CISA、BS7799LA、ITIL、CCIE等在内的众多信息管理或技术领域顶级资质。与此同时，公司还与包括BSI、DNV、（ISC）2、ISACA、上海交通大学、上海信息中心、复旦大学等国内外著名机构保持着紧密的合作关系。

相信借助我们长期积累的经验和先进的理念，加上不懈而严谨的努力，定能为客户开启信息安全管理和IT服务管理的胜利之门。

关于作者

本文作者张耀疆（CISSP、CISA、BS7799LA、ITIL Foundation、CCNA、MCSE、MCSD），信息安全专业硕士，在IT及信息安全领域从业多年，先后在西安、深圳、上海等地多家公司从事过软件开发、系统集成、咨询评估、专业培训等项工作，积累了丰富的专业经验，这些经验先后汇集成《聚焦黑客－攻击手段与防护策略》、《CISSP认证考试指南》等多部著译作。作者目前就任上海安言信息技术有限公司CTO，负责信息安全咨询服务和专业培训相关工作。

作者联系方式：

MSN： zhangyaojiang@hotmail.com

QQ：3304964

Email： colababy@aryasec.com

信息安全管理系列指导文件（ISMG）

1. 信息安全概述.....................................................................................................................................5 1.1 信息和信息安全--------------------------------------------------------------------------------------------5 1.1.1 什么是信息............................................................................................................................5 1.1.2 什么是信息安全....................................................................................................................5 1.1.3 信息安全要素........................................................................................................................6 1.2 组织的信息安全需求-------------------------------------------------------------------------------------7 1.3 信息安全技术---------------------------------------------------------------------------------------------8 1.4 信息安全管理--------------------------------------------------------------------------------------------10 1.5 对信息安全的正确认识----------------------------------------------------------------------------------11 2. 信息安全体系建设...........................................................................................................................15 2.1 什么是信息安全体系-------------------------------------------------------------------------------------15 2.2 信息安全体系的发展历程-------------------------------------------------------------------------------15 2.2.1 ISO 7498-2安全体系结构................................................................................................16 2.2.2 P2DR安全模型.................................................................................................................17 2.2.3 PDRR安全模型................................................................................................................19 2.2.4 IATF信息保障技术框架...................................................................................................20 2.2.5 BS 7799标准提出的信息安全管理体系..........................................................................22 2.3 信息安全的典型特点-------------------------------------------------------------------------------------23 2.4 提出一种新的安全体系模型——P-POT-PDRR-----------------------------------------------------25 2.5 如何建设信息安全体系----------------------------------------------------------------------------------28 3. 信息安全服务过程...........................................................................................................................30 3.1 信息安全服务概述----------------------------------------------------------------------------------------30 3.2 信息安全服务模型——P-PADIS-T--------------------------------------------------------------------31 3.3 信息安全服务分类----------------------------------------------------------------------------------------34 3.4 信息安全服务过程详解----------------------------------------------------------------------------------36 3.3.1 安全策略............................................................................................................................37 3.3.2 准备阶段............................................................................................................................40 3.3.3 评估阶段............................................................................................................................41 3.3.4 设计阶段............................................................................................................................45 3.3.5 实施阶段............................................................................................................................46 3.3.6 支持阶段............................................................................................................................49 3.3.7 安全培训............................................................................................................................53 3.5 安全服务的有效保障-------------------------------------------------------------------------------------56 4. 可供借鉴的标准和规范...................................................................................................................58 4.1 BS7799标准------------------------------------------------------------------------------------------------58 4.2 ISO13335标准---------------------------------------------------------------------------------------------59 4.3 NIST SP800-35---------------------------------------------------------------------------------------------59

信息安全体系建设与服务过程（ISMG-002）

4.4 其他标准和规范-------------------------------------------------------------------------------------------60

信息安全管理系列指导文件（ISMG）

1. 信息安全概述

1.1 信息和信息安全

随着以计算机和网络通信为代表的信息技术（IT）的迅猛发展，现代政府部门、金融机构、企事业单位和商业组织对IT系统的依赖也日益加重，信息技术几乎渗透到了世界各地和社会生活的方方面面。既然组织机构的正常运行高度依赖IT系统，IT系统所承载的信息和服务的安全性就显得很重要了，信息和服务在保密性、完整性、可用性、可追溯性等方面出现缺陷，都将给组织机构带来负面影响。

如今，遍布全球的互联网使得组织机构不仅内在依赖IT系统，还不可避免地与外部的IT系统建立了错综复杂的联系，对信息加以保护的需求就尤其突出了。 1.1.1 什么是信息

我们讨论信息安全，关注信息安全存在的问题及面临的威胁，那么到底什么是信息？什么是信息安全呢？

ISO/IEC的IT安全管理指南（GMITS，即ISO/IEC TR 13335）对信息（Information）的解释是：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。

一般意义上的信息概念是指事物运动的状态和方式，是事物的一种属性，在引入必要的约束条件后可以形成特定的概念体系。通常情况下，我们可以把信息可以理解为消息、信号、数据、情报和知识。信息本身是无形的，借助于信息媒体以多种形式存在或传播，它可以存储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络、打印机、传真机等方式进行传播。

对现代企业来说，信息是一种资产，包括计算机和网络中的数据，还包括专利、标准、商业机密、文件、图纸、管理规章、关键人员等，就象其它重要的商业资产那样，信息资产具有重要的价值，因而需要进行妥善保护。 1.1.2 什么是信息安全

信息安全（Information Security，InfoSec）自古以来就是受到人们关注的问题，但在不同的发展时期，信息安全的侧重点和控制方式是有所不同的。

大致说来，信息安全在其发展过程中经历了三个阶段。早在20世纪初期，通信技术还不发达，面对电话、电报、传真等信息交换过程中存在的安全问题，人们强调的主要是信息的保密性，对安全理论和技术的研究也只侧重于密码学，这一阶段的信息安全可以简单称为通信安全，即COMSEC（Communication Security）。20世纪60年代后，半导体和集成电路技术的飞速发展推动了计算机软硬件的发展，计算机和网络技术的应用进入了实用化和规模化阶段，人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段，即INFOSEC（Information Security），具有代表性的成果就是美国的TCSEC和欧洲的ITSEC测评标准。20世纪80年代开始，由于互联网技术的飞速发展，信息无论是对内还是对外都得到极大开放，由此产生的信息安全问题跨越了时间和空间，信息安全的焦点已经不

信息安全体系建设与服务过程（ISMG-002）

仅仅是传统的保密性、完整性和可用性三个原则了，由此衍生出了诸如可控性、抗抵赖性、真实性等其他的原则和目标，信息安全也转化为从整体角度考虑其体系建设的信息保障（Information Assurance）阶段，这一点，在美国的IATF规范中有清楚的表述。

信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。

信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源。从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键的信息资产的安全性都是非常重要的。信息安全的任务，就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。

总的来说，凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。 1.1.3 信息安全要素

信息安全通常强调所谓CIA三元组的目标，即保密性、完整性和可用性。CIA概念的阐述源自信息技术安全评估标准（InformationTechnology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。

图1.1所示即CIA三元组。保密性 Confidentiality

InfoSec 完整性可用性 Integrity Availability

图1.1 信息安全基本原则

󰂄 保密性（Confidentiality）—— 确保信息在存储、使用、传输过程中不会泄漏给

非授权用户或实体。

󰂄 完整性（Integrity）—— 确保信息在存储、使用、传输过程中不会被非授权用户

篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。

󰂄 可用性（Availability）—— 确保授权用户或实体对信息及资源的正常使用不会被

异常拒绝，允许其可靠而及时地访问信息及资源。

信息安全管理系列指导文件（ISMG）

当然，不同机构和组织，因为需求不同，对CIA原则的侧重也会不同，如果组织最关心的是对私秘信息的保护，就会特别强调保密性原则，如果组织最关心的是随时随地向客户提供正确的信息，那就会突出完整性和可用性的要求。

除了CIA，信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对CIA原则的细化、补充或加强。

与CIA三元组相反的有一个DAD三元组的概念，即泄漏（Disclosure）、篡改（Alteration）和破坏（Destruction），实际上DAD就是信息安全面临的最普遍的三类风险，是信息安全实践活动最终应该解决的问题。

需要注意的是，我们说信息安全的目标是保密性、完整性和可用性，或者再加上可控性、抗抵赖性等，但对CIA的追求只是一种简单抽象的理解，是信息安全的直接目标，而信息安全工作的最终目标还在于保证组织业务活动的连续性，CIA目标是为准求业务连续性而服务的。

1.2 组织的信息安全需求

对组织来说，信息是需要采取措施加以保护的重要资产，但在具体采取安全措施之前，组织必须先明确自己的安全需求，需要保护哪些信息资产？需要投入多大力度？应该达到怎样的保护程度？这些都要通过需求分析来加以明确。

一般来讲，组织的信息安全需求有三个来源。

（1）法律法规与合同条约的要求

与信息安全相关的法律法规是对组织的强制性要求，组织应该对现有的法律法规加以识别，将适用于组织的法律法规转化为组织的信息安全需求。这里所说的法律法规有三个层次，即国家法律、行政法规和各部委和地方的规章及规范性文件。

此外，组织还要考虑商务合作者和客户对组织提出的具体的信息安全要求，包括合同约定、招标条件和承诺等。例如，合同中可能会明确要求组织的信息安全管理体系遵循BS7799标准。

（2）组织的原则、目标和规定

组织应该根据既定的信息安全方针、要求实现的安全目标和标准来确定组织的信息安全要求，确保支持业务运作的信息处理活动的安全性。

（3）风险评估的结果

除了以上两个信息安全需求的来源之外，确定安全需求最主要的一个途径就是进行风险评估，组织对信息资产的保护程度和控制方式的确定都应建立在风险评估的基础之上。一般来讲，通过综合考虑每项资产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性等因素，组织可以分析并确定具体的安全需求。

风险评估是信息安全管理的基础。

信息安全体系建设与服务过程（ISMG-002）

1.3 信息安全技术

为了消减信息和信息系统面临的众多风险，满足既定的信息安全需求，人们能想到的最直接做法，就是选择并使用各种能够解决信息安全问题的技术和产品。

与信息安全的发展历程一样，信息安全技术在不同的阶段也表现出不同的特点。在通信安全阶段，针对数据通信的保密性需求，人们对密码学理论和技术的研究及应用逐渐成熟了起来。随着计算机和网络技术的急遽发展，信息安全阶段的技术要求集中表现为ISO 7498-2标准中陈述的各种安全机制上面，这些安全机制的共同特点就是对信息系统的保密性、完整性和可用性进行静态的防护。到了互联网遍布全球的时期，以IATF（信息保障技术框架）为代表的标准规范为我们勾画出了更全面更广泛的信息安全技术框架，这时的信息安全技术，已经不再是以单一的防护为主了，而是结合了防护、检测、响应和恢复这几个关键环节在一起的动态发展的完整体系。

简单来说，信息安全技术典型地应该包括以下几个方面的内容：

（1）物理安全技术

物理安全（Physical Security），是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致破坏的过程。

物理安全主要包括三个方面：环境安全、设备安全、媒体安全。

保证物理安全可用的技术手段很多，也有许多可以依据的标准，例如，国标GB 50173－93《电子计算机机房设计规范》、GB 2887－89《计算站场地技术条件》、GB 9361－88《计算站场地安全要求》，以及其他诸如防辐射防电磁干扰的众多标准，当然，要保证物理安全，人员素质管理也非常重要。

（2）系统安全技术

系统安全（System Security），主要是指操作系统和数据库等应用系统的安全性。对于操作系统安全来说，通过提供对计算机信息系统的硬件和软件资源的有效控制，能够为所管理的资源提供相应的安全保护。它们或是以底层操作系统所提供的安全机制为基础构作安全模块，或者完全取代底层操作系统，目的是为建立安全信息系统提供一个可信的安全平台。具体措施包括系统加固、系统访问控制等。

至于数据库安全，一般采用多种安全机制与操作系统相结合，实现对数据库的安全保护。

（3）网络安全技术

网络安全（Network Security），从大的来看，包括一切访问网络资源或使用网络服务相关的安全保护。具体的网络安全技术包括：网络结构设计优化，网络隔离，网络访问控制，网络入侵检测，安全通道，安全扫描，防火墙和网络管理等诸多方面。网络隔离可以通过网段隔离、交换网络、VLAN等技术手段来实现；网络访问控制则通过包过滤、应用网关、状态检测等防火墙技术来实现；安全通道包括链路层加密（L2F，PPTP，L2TP）、网络层加密（IPSec）、传输层加密（SSL，TLS，SSH，Socks）和应用层加密（SHTTP，SMIME，PGP等）；入侵检测包括基于主机与基于网络两种技术；安全扫描则是一种较为主动的安全防护

信息安全管理系列指导文件（ISMG）

机制，包括基于主机、基于网络和基于应用三种。

（4）应用安全技术

包括电子邮件的安全、Web和电子商务的安全、网络信息过滤和各种应用系统的安全等诸多方面。在应用安全上，主要应该考虑访问授权、信息加密和审计记录等问题。

（5）数据加密技术

数据加密是一项有着悠久历史的技术，其核心内容就是密码学（Cryptography）。密码学技术不只局限于对数据进行简单的加密处理，而是包括加密、消息摘要、数字签名、身份认证及密钥管理在内的所有涉及到密码学知识的技术。

单就加解密来说，其过程通常是在密钥的控制下进行的，并有加密密钥和解密密钥之分。传统的密码体制中，加密密钥和解密密钥相同，这称作对称密钥体制，典型的有DES、3DES、RCx、IDEA等算法。后来又出现了加密强度更高的非对称密钥体制，其加密密钥和解密密钥是不同的，通常被称作公开密钥加密（Public Key Encryption），最典型的就是RSA算法。

网络安全服务的实现离不开加密技术的支持，应用加密技术不仅可以提供信息的保密性和数据完整性，而且能够保证通信双方身份的真实性。

（6）认证授权技术

数据加密技术解决的是数据在传输过程中保密性的问题，而身份认证，则是对通信方进行身份确认的过程。对于一般的计算机网络来说，主要考虑的是主机和节点的身份认证，用户的身份认证可以由应用系统来实现。

通常身份认证和授权机制联系在一起，提供服务的一方，对申请服务的客户身份确认之后，就需要向他授予相应的访问权限，规定客户可以访问的服务范围。

常用的认证技术包括口令认证、基于第三方的SSO认证（例如Kerberos）、基于证书的认证（CA）等。

（7）访问控制技术

访问控制技术的运用，是为了保证系统的外部用户或内部用户对系统资源的访问以及对敏感信息的访问方式符合组织的安全策略。具体来说，访问控制是根据网络中主体和客体之间的访问授权关系，对访问过程做出的限制，可分为自主访问控制和强制访问控制。自主访问控制主要基于主体及其身份来控制主体的活动，能够实施用户权限管理、访问属性（读、写、执行）管理等。强制访问控制则强调对每一主、客体进行密级划分，并采用敏感标识来标识主、客体的密级。

防火墙、访问控制列表等措施都是典型的访问控制技术。

（8）扫描评估技术

安全扫描，也称漏洞评估，是采用模拟黑客攻击的形式对目标系统可能存在的安全漏洞

信息安全体系建设与服务过程（ISMG-002）

进行逐项检查的技术。运用此项技术的典型应用就是各种扫描工具，这些扫描工具可以对工作站、服务器、网络设备、数据库应用等多种目标进行检测，根据扫描结果向管理员提供周详的安全分析报告，指出系统存在的弱点，提出补救措施和建议，为提高网络安全整体水平提供重要依据。

安全扫描是一种主动检测的技术，是对以防护为主的安全技术体系的重要补充。

（9）审计跟踪技术

安全审计，即对网络和系统中出现的各种访问活动进行监视和记录，通过日志分析和活动检测等手段来审查资源的受访情况是否符合安全策略的设定。同时，审计也是发现和追踪安全事件的重要措施，是事件响应和后续处理的依据。

基于网络和基于主机的入侵检测系统、日志记录系统、辨析取证等技术，都属于此列。

（10）病毒防护技术

病毒防护包括单机系统的防护和网络系统的防护。起初，单机系统的防护侧重于防护本地计算机资源，随着网络技术的发展，防病毒技术也朝着网络化的方向发展，随之产生了全方位、多层次的网络防病毒体系，可以对分布在网络系统中的资源进行防护。

计算机病毒防护产品是通过建立系统保护机制来预防、检测和消除病毒的。

（11）备份恢复技术

灾难恢复技术，也称为业务连续性技术，是信息安全领域一项重要的技术。它能够为重要的计算机系统提供在断电、火灾等各种意外事故发生时，甚至在如洪水、地震等严重自然灾害发生时保持持续运行的能力。对企业和社会关系重大的计算机系统都应当采用灾难恢复技术予以保护。

进行灾难恢复的前提是对数据的备份，之所以要进行数据备份，是因为现实世界中有种种人为因素造成的意外的或不可预测的灾难发生。一个完整的备份及灾难恢复方案应该从必须的硬件、软件、策略以及灾难恢复计划等多方面入手，才能保证快速、有效的数据备份及恢复。

（12）安全管理技术

计算机和网络系统的安全管理是指对所有计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协调，进而从整体上提高计算机网络的防御入侵、抵抗攻击的能力。

安全管理包括两个方面的内容，一个是人员管理、制度管理和安全策略规范等方面的内容，另一方面是从技术上建立高效的管理平台，协调各个安全技术和产品的统一管理，为实现安全策略和度量安全效果提供便利。

1.4 信息安全管理

解决信息及信息系统的安全问题，成败通常取决于两个因素，一个是技术，另一个是管

信息安全管理系列指导文件（ISMG）

理。安全技术是信息安全控制的重要手段，许多信息系统的安全性保障都要依靠技术手段来实现，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序的支持，否则，安全技术只能趋于僵化和失败。如果说安全技术是信息安全的构筑材料，那信息安全管理就是真正的粘合剂和催化剂，只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证。

实际上，现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。我们常说，信息安全是三分技术七分管理，可见管理对于信息安全的重要性。

从概念上讲，信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。

安全管理牵涉到组织的信息评估、开发和文档化，以及对实现保密性、完整性和可用性目标的策略、标准、程序及指南的实施。安全管理要求识别威胁、分类资产，并依据脆弱性分级来有效实施安全控制。

同其他管理问题一样，安全管理也要解决组织、制度和人员这三方面的问题，具体来说就是：建设信息安全管理的组织机构并明确责任，建立健全的安全管理制度体系，加强人员的安全意识并进行安全培训和教育，只有这样，信息安全管理才能实现包括安全规划、风险管理、应急计划、意识培训、安全评估、安全认证等多方面的内容。

应该注意的是，人们对信息安全管理的认识是在信息安全技术之后才逐渐深入和发展起来的，关于信息安全管理的标准和规范也没有安全技术那么众多，最有代表性的，就是BS 7799和ISO 13335。

1.5 对信息安全的正确认识

理解了信息和信息安全的概念及重要性，明确了信息安全的需求，并且掌握了实现信息安全需求的技术和管理方法，组织还需要做的，就是走出对信息安全认识上的一些传统误区，最终能够在整个组织范围内形成正确的信息安全意识和观念。

概括起来，当前在信息安全实践活动中，很多人都还存在着以下一些错误的观念：

（1）网络安全和信息安全概念的混淆

谈起安全，人们最常看到的有两个名词，一个是信息安全，一个是网络安全，在网络技术，尤其是互联网高速发展的今天，这两个名词常被互换使用，但对看似等同实则不同的这两个概念的混淆，实际上会带来诸多问题。

从层次和范围来讲，“信息安全”应该是个更广泛的概念，它包含了“网络安全”。如果说信息安全工作的最终目标是保护信息在传输、存储和使用当中的保密性、完整性、可用性、可控性和抗抵赖性，那网络安全就是对支撑信息传输、存储和使用的网络资源的保护，包括各种网络设备和连接线路。信息安全工作的对象不仅涵盖了网络安全的所有问题，而且还包括计算机系统本身的安全问题，如系统硬件、操作系统、应用软件、操作流程等。纳入信息安全范围的实践活动包括策略管理、业务管理、风险管理、操作流程管理、技术产品选择和应用、人员管理、安全法律法规等。

如果混淆这两个概念，就会使一些组织的信息管理者，尤其是最高层的管理者，对信息

信息安全体系建设与服务过程（ISMG-002）

安全产生片面的认识，以至于将整个组织的信息安全寄托在网络系统局部的安全上。在他们看来，信息安全无非是网络管理部门，或者IT部门的份内之事，是和网络系统的运营维护等同的。有了这样的偏见，管理层在有关信息安全的决策投资和支持力度上就会有所缺失，对组织整体的信息安全建设来说是非常不利的。

只有正确理解了信息安全和网络安全概念的区别，组织的各级管理者才能正确理解信息安全工作的内涵，才能避免认识上的片面性，也才能意识到进行全方位的信息安全防范工作的重要性。

（2）重视技术，轻视管理

长久以来，很多人自觉不自觉地都会陷入技术决定一切的误区当中，尤其是那些出身信息技术行业的管理者和操作者。最早的时候，人们把信息安全的希望寄托在加密技术上面，认为一经加密，什么安全问题都可以解决。随着互连网络的发展，一段时期我们又常听到“防火墙决定一切”的论调。及至更多安全问题的涌现，入侵检测、PKI、VPN等新的技术应用被接二连三地提了出来，但无论怎么变化，还是离不开技术统领信息安全的路子。可这样的思路能够真正解决安全问题吗？也许可以解决一部分，但却解决不了根本。实际上，对安全技术和产品的选择运用，这只是信息安全实践活动中的一部分，只是实现安全需求的手段而已。信息安全更广泛的内容，还包括制定完备的安全策略，通过风险评估来确定需求，根据需求选择安全技术和产品，并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底，信息安全并不是技术过程，而是管理过程。

之所以有这样的认识误区，原因是多方面的，从安全产品提供商的角度来看，既然侧重在于产品销售，自然从始至终向客户灌输的都是以技术和产品为核心的理念。而从客户角度来看，只有产品是有形的，是看得见摸得着的，对决策投资来说，这是至关重要的一点，而信息安全的其他方面，比如无形的管理过程，自然是遭致忽略。

正是因为有这样的错误认识，我们就经常看到：许多组织使用了防火墙、IDS、安全扫描等设备，但却没有制定一套以安全策略为核心的管理措施，致使安全技术和产品的运用非常混乱，不能做到长期有效和更新。即使组织制定有安全策略，却没有通过有效的实施和监督机制去执行，使得策略空有其文成了摆设而未见效果。实际上对待技术和管理的关系应该有充分理性的认识：技术是实现安全目标的手段，管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个过程，是实现信息安全目标的必由之路。在安全管理当中尤以安全策略至关重要。

安全策略是组织关于信息安全工作的指导方针，是信息安全活动必须遵循的既定规则。安全策略的制定与组织的业务目标、信息系统的功能和信息管理策略密切相关。需要达到怎样的安全级别、投资多少、安全措施是否影响系统的易用性、是否能综合和完整地考虑整个信息系统的安全问题、是否能够适应组织信息系统的发展需求、是否具备多种实现手段等问题，都是安全策略制定过程中需要注意的原则问题。

信息安全策略一旦制定，就必须通过行政手段来执行和监督，否则就会形同虚设。缺乏安全策略管理，或者没有在正确的安全策略指导下进行的信息安全工作，必然是随心所欲、漫无目的的，也必然会降低投资的效率和对信息系统整体安全性的预期效果。

（3）重视产品功能，轻视人为因素

在具体对待技术和产品的使用上，人们的认识也有误区，那就是重视产品功能，轻视认为因素。很多时候我们都会看到，许多组织在选购防火墙、病毒防护或者IDS产品的时候，

信息安全管理系列指导文件（ISMG）

非常注重其功能的完善性，但对如何使用这些产品、后期的维护更新和其他与人相关的因素则重视不够。其结果是，产品的安装、配置和使用错误多多，操作人员责任不明，产品得不到有效维护和更新，致使其功能和效力大大衰减。

期望产品具有完善的功能和可靠的性能自然合理，但过份强调产品功能却不重视对产品功能的发挥则是不可取的。在信息系统安全防范体系中，人的因素非常重要。组织应该对产品管理员和用户进行培训和教育，并实施有效的人员管理制度，减少人为造成的安全问题。

（4）重视对外安全，轻视内部安全

自从互联网诞生直至发展成熟，人们对安全威胁的注意焦点就一直放在组织网络边界的外围，媒体报端屡见不鲜的都是那些来自互联网的攻击事件。为了应对“明箭”，大多数组织都懂得配备防火墙等边界安全措施，“御敌于国门之外”，但“明箭”易躲，“暗箭”难防，堵住了边界的出入口，内部却问题多多，信息安全问题依然得不到解决。

之所以人们更重视外部安全而轻视内部安全，一方面是“家丑不外扬”的传统观念使得内部安全事件很少被公开曝光，另一方面也和内部安全事件更为隐蔽更难发觉有关。实际上，当前的信息安全问题，有很大一部分都是内部人员造成的。根据FBI在2001年的一份统计报告显示，来自企业内部的信息安全威胁事件的比例相当惊人，高达70%，其中主要的问题有：员工滥用Internet、来自内部的非授权资源访问、专利信息被窃取、内部人员的财务欺骗、网络和信息资源被破坏等。

内部安全问题和内部人员的管理牵涉到组织运作的各个环节，这就要求组织的管理者在信息系统的安全设计、策略制定、操作过程、安全检测和审查等方面特别注意。

（5）静态不变的观念

以往的信息安全实践活动中，一些组织由于缺乏安全专业知识，在认识上存在偏差，对信息和网络安全往往持有“投资一次、受用终身”的观念。在他们看来，安全技术、产品和方案的实施是一次性的行为，技术产品构成的安全防线也是静态的，并不随组织业务和信息系统的发展变化而做调整，安全策略的制定和实施也是规定的教条，这样的思维必然会导致信息安全面临新的隐患和风险。

按照现代信息安全概念的表述，在加强信息安全防护能力的同时，还应该对信息系统因为变化而引入的新的漏洞及攻击活动进行检测、监控和审计，并根据情况作出应对，这才是符合信息安全动态发展规律的正确认识。

（6）缺乏整体性信息安全体系的考虑

在信息安全实践活动中，很多人往往只注重某个方面某个局部，却忽略了整个安全体系的问题。比如说一个对外连接的网络，边界处有防火墙进行严格控制，内部有IDS监视，但某个部门却忽略了对网络使用的控制，内部人员通过拨号方式访问互联网，致使防火墙失去了访问控制和过滤的作用。再比如，组织的安全产品部署得很完整，信息安全策略也一应俱全，但因为高级管理层自身的安全意识问题，对安全策略的执行没有提供有力的支持，导致很多策略设置形同虚设。

进行信息安全建设，必须从整体上做全面考虑，要知道，在安全建设的各个局部及各个阶段中，起决定作用的往往不是最突出和最被强调的，恰恰是那些最不起眼但又是系统中最

信息安全体系建设与服务过程（ISMG-002）

薄弱的环节，所以，解决安全问题，不能从单方面入手，而应该从全局考虑，将众多因素结合在一起，并充分地考虑到最容易被忽视也是最容易出现问题的方面。这一点上，人们经常提到的就是“木桶原理”：木桶盛水的有效容量总是以最短的那片木楔为基准计算的，同样的道理，信息安全工作的整体效率，也只能以最薄弱的环节来衡量。

很久以来，人们对信息安全体系的研究一直没有中断过，而最近几年，人们对信息安全作为系统工程并且最终应该构建完整的安全体系的认识愈加明确。以往局部的、静态的、就事论事的思维方式势不可取，信息安全建设必须做整体性、全方位的考虑，最终应该建立起协调发展、技术和管理并重的完善的信息安全体系。

基于以上分析，我们可以简单概括一下对信息安全应该持有的正确的认识：安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作这三种要素紧密结合的系统工程，是不断演进、循环发展的动态过程。

归根到底，信息安全的建设要立足于一个完整的安全体系，而不能限于局部，同时，信息安全的保持是一个长久发展的管理过程，而不是技术过程。

信息安全管理系列指导文件（ISMG）

2. 信息安全体系建设

2.1 什么是信息安全体系

就像建造一座大厦需要事先设计蓝图一样，进行信息安全建设，也需要有一个实施依据，这就是整体上考虑的信息安全体系。信息安全要做成什么“模样”？信息安全建设应该考虑到哪些方面？到底什么才是全面而完整的信息安全？这些问题都需要通过安全体系的设计来回答。只有在整体的安全体系指导下，信息安全建设所需的技术、产品、人员和操作等材料才能真正发挥各自的效力。

做为信息安全建设的指导方针，安全体系的设计应该体现出可靠性、完备性、可行性和可扩展性等项原则。

󰂋 可靠性：在安全体系设计中，应该考虑保护措施的多重性，这是安全建设可靠性的

重要体现。任何保护措施都不是十全十美的，对某个单元的保护，应该考虑多种措施互为补充，这样才不至于单点被突破则出现全盘崩溃的恶劣后果。 󰂋 完备性：安全体系的设计必须是充分而完备的，这是安全体系作为整体的信息安全

工程蓝图的最直接的要求。 󰂋 可行性：对安全体系的设计不能只从理论角度出发，而应该考虑到工程实施的可行

性，只有技术理论与实际操作紧密结合（比如产品的选型、安装配置等），这样的安全建设工程才具有真正的价值和意义。 󰂋 可扩展性：安全体系的设计应该具有一定的灵活性，安全建设并非一成不变的模式，

其动态发展的特征要求安全体系具备可扩展的特点。 󰂋 经济实用性：安全体系的设计应该考虑到组织的实际承受能力，如果需要付出的代

价比从安全体系中获得的利益还要多，这种体系设计就是失败的。设计安全体系的目的在于：从管理和技术上保证安全策略得以完整准确地实现，安全需求得以全面准确地满足。从具体内容上来看，安全体系应该包含实现信息安全所必须的功能或服务、安全机制和技术、管理和操作，以及这些因素在整个体系中的合理部署和相互关系。安全体系应该是多层次多方面的，必须能够完整描述信息安全建设所要实现的最终形态。

从以往人们对安全体系的研究来看，体系的表述可以通过多种途径来进行，比如非常具体的框架，或者是比较抽象的模型，无论表现形式如何，安全体系都应该能为信息安全的解决方案和工程实施提供依据和参照。

2.2 信息安全体系的发展历程

信息安全体系结构的设计并没有严格统一的标准，不同领域不同时期，人们对信息安全的认识都不尽相同，对解决信息安全问题的侧重也有所差别。

早在1989年，ISO组织就发布了一个ISO 7498-2标准，即《信息处理系统－开放系统互连－基本参考模型第2部分：安全体系结构》，这个标准提供了安全服务与相关机制的一般描述，确定在参考模型内部可以提供这些服务与机制的位置。ISO 7498-2被引入国内，成为《GB/T 9387.2-1995》标准。实际上ISO 7498-2标准充分体现了INFOSEC时期人们对信息安全体系的关注焦点，即以防护技术为主的静态的信息安全体系。

信息安全体系建设与服务过程（ISMG-002）

随着人们对信息安全认识的深入，其动态性和过程性的发展要求愈显重要，于是，在原来侧重防护技术的体系基础上，又先后诞生了诸如PDR、P2DR、PDRR这样的动态的、生命周期性的体系模型，这时候的信息安全，已经从侧重保密性、完整性、可用性防护的阶段逐渐发展成防护、检测、响应、恢复并重的完整的信息保障阶段，美国的IATF框架正是对这一思想的集中表述。

当然，无论是ISO 7498-2，还是后来的PDR、P2DR，这些安全体系都只是侧重于安全技术的方面，实际上这样的体系还不能构成完整的安全体系。就像人们对信息安全的认识是从技术逐渐转向管理一样，对信息安全体系的研究也有这样一个转变过程。事实上IATF中就已经体现了技术和管理并重的思想，它首次提出了人、技术和操作三个要素共同构成信息安全保障体系的观点，这为信息安全工程建设提供了很好的思路。此外，专注于信息安全管理方面的BS 7799标准也提出了建立并认证信息安全管理体系（ISMS）的目标，这样的目标对实际的信息安全工作有着很好的指导意义。

经过简单的回顾，我们可以得出这样的结论：信息安全体系不应该是单纯技术或者单纯管理的东西，而应该是融合了技术体系和管理体系在内的一个可以全面解决安全问题的体系结构，它应该具有动态性、过程性、全面性、层次性和平衡性等特点，是一个可以现实依据的信息安全实践活动的蓝图。

接下来我们就对信息安全体系发展过程中一些重要的框架和模型做些简单介绍。 2.2.1 ISO 7498-2安全体系结构

国际标准化组织（ISO）于1989年对OSI开放系统互联环境的安全性进行了深入研究，在此基础上提出了OSI安全体系结构，作为研究设计计算机网络系统以及评估和改进现有系统的理论依据，这个体系就是ISO 7498-2:1989（Information processing systems -- Open Systems Interconnection -- Basic Reference Model -- Part 2: Security Architecture），该标准被我国等同采用，即《信息处理系统－开放系统互连－基本参考模型－第二部分：安全体系结构GB/T 9387.2－1995》。 ISO 7498-2安全体系结构由5类安全服务（Security Services）及用来支持安全服务的8种安全机制（Security Mechanisms）构成，安全服务体现了安全体系所包含的主要功能及内容，是能够定位某类威胁的安全措施，而安全机制则规定了与安全需求相对应的可以实现安全服务的技术手段，一种安全服务可以通过某种安全机制单独提供，也可以通过多种安全机制联合提供；而一种安全机制可以提供一种或者多种安全服务。安全服务和安全机制有机结合相互交叉，在安全体系的不同层次发挥作用，除了OSI七层协议中第五层（会话层）外，其他各层都能提供相应的安全服务。此外，ISO 7498-2还对安全管理进行了描述，但这里的安全管理范围比较狭窄，只是对安全服务和安全机制进行的管理，即将管理信息分配到相关的安全服务和安全机制中去，并收集与其操作相关的信息。ISO 7498-2这种安全体系，充分体现了信息安全层次性和结构性的特点。 ISO 7498-2定义的安全服务包括：

󰂋 认证（Authetication，包括实体认证entity authentication和来源认证origin

authentication）

󰂋 访问控制（Access Control）

󰂋 数据保密性（Data Confidentiality） 󰂋 数据完整性（Data Integrity） 󰂋 抗抵赖性（Non-repudiation）

上述安全服务可以通过以下安全机制来实现：

信息安全管理系列指导文件（ISMG）

󰂋 加密机制（Encipherment） 󰂋 数字签名（Digital Signature）

󰂋 访问控制机制（Access Control Mechanisms） 󰂋 数据完整性机制（Data Integrity Mechanisms） 󰂋 认证交换（Authentication Exchanges） 󰂋 业务流填充（Traffic Padding） 󰂋 路由控制（Routing Control） 󰂋 公证（Notarisation）

图2.1所示就是ISO 7498-2安全体系结构的三维形态。

图2.1 ISO 7498-2安全体系结构

ISO 7498-2安全体系结构针对的是基于OSI参考模型的网络通信系统，它所定义的安全

服务也只是解决网络通信安全性的技术措施，其他信息安全相关领域，包括系统安全、物理安全、人员安全等方面都没有涉及。此外，ISO 7498-2体系关注的是静态的防护技术，它并没有考虑到信息安全动态性和生命周期性的发展特点，缺乏检测、响应和恢复这些重要的环节，因而无法满足更复杂更全面的信息保障的要求。 2.2.2 P2DR安全模型

随着网络技术的全球化发展，我们日常工作和生活所在的信息环境已经不再是静止封闭的，而是动态多变和开放的环境了。我们知道，ISO 7498-2是一个以防护技术为主的静态的安全体系，这样的体系已经不再适应现实的要求，面对业务活动不断变化、技术飞速发展、

信息安全体系建设与服务过程（ISMG-002）

系统不断升级和人员经常流动的动态的信息环境，单纯的防护技术很容易导致盲目建设，也难以对新的安全威胁进行有效应对，这个时候，自然需要借助动态的安全体系、模型和方法来解决不断涌现的安全问题。

从二十世纪九十年代开始，随着以漏洞扫描和入侵检测（IDS）为代表的动态检测技术及产品的发展，人们对动态安全模型的研究也逐渐深入成型，P2DR模型就是动态安全模型的典型代表。

P2DR模型源自美国国际互联网安全系统公司（ISS）提出的自适应网络安全模型ANSM（Adaptive Network Security Model）。20世纪九十年代末，ISS联合众多厂商组成ANS联盟，试图以此为基础建立一个可量化、可数学证明、基于时间的并以PDR为核心的安全模型的标准。PDR也称作P2DR，代表的分别是Policy（策略）、Protection（防护）、Detection（检测）和Response（响应）的首字母。

按照P2DR的观点，一个良好的完整的动态安全体系，不仅需要恰当的防护（比如操作系统访问控制、防火墙、加密等），而且需要动态的检测机制（比如入侵检测、漏洞扫描等），在发现问题时还需要及时作出响应，这样的一个体系需要在统一的、一致的安全策略的指导下进行实施，由此形成一个完备的、闭环的动态自适应安全体系。图2.2所示即P2DR模型。

图2.2 P2DR动态自适应安全模型

对P2DR模型的构成环节可以解释如下：

󰂋 Policy（策略）：安全策略是P2DR模型的核心，所有的防护、检测和响应活动都

是依据安全策略来实施的。安全策略体现了管理为重的思想，它为组织进行安全管理提供了指导方向和支持手段。

󰂋 Protection（防护）：传统的静态安全技术和方法可用来实现防护的环节，包括系

统加固、防火墙、加密机制、访问控制和认证等。

󰂋 Detection（检测）：在P2DR模型中，检测占据着重要的地位，它是动态响应和进

一步加强防护的依据，也是强制落实安全策略的有力工具。只有检测和监控信息系

信息安全管理系列指导文件（ISMG）

统（通过漏洞扫描和入侵检测等手段），及时发现新的威胁和漏洞，才能在循环反馈中作出有效的响应。

󰂋 Response（响应）：响应和检测环节是紧密关联的，只有对检测中发现的问题作出

及时有效的处理，才能将信息系统迅速调整到新的安全状态，或者叫最低风险状态。 P2DR模型是建立在基于时间的安全理论基础之上的。该理论的基本思想是，信息安全相关的所有活动，无论是攻击行为、防护行为、检测行为还是响应行为，都要消耗时间，因而可以用时间尺度来衡量一个体系的能力和安全性。

当攻击发生时，每一个攻击步骤都需要花费时间，P2DR将攻击成功所需时间称作安全体系能够提供的防护时间，即Pt；在攻击发生的同时，检测系统发挥作用，攻击行为被检测出来也需要时间，即检测时间Dt；检测到攻击之后，系统会做出应有的响应动作，所需时间被称作响应时间Rt；还有一个时间值是系统暴露时间Et，即系统处于不安全状况的时间（Et = Dt + Rt - Pt）。

基于以上定义，P2DR模型用一个典型的数学公式来表达对安全的要求： Pt > Dt + Rt

要实现安全，必须让防护时间大于检测时间加上响应时间，也就是说，必须在攻击者危害受保护目标之前就能够检测到其行为并及时进行处理。系统的检测时间和响应时间越长，或者对系统的攻击时间越短，系统的暴露时间就越长，系统也就越不安全，理想状态下，如果Et ≤ 0（即Dt + Rt ≤ Pt），基于P2DR模型的系统就是安全的。

从P2DR模型的分析来看，安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。 2.2.3

PDRR安全模型

P2DR模型基本上已经体现了比较完整的信息安全体系的思想，即勾画出信息安全体系建立起来之后一个良好的表现形态。P2DR模型可以作为我们安全实践活动的目标指南，为信息安全建设（工程）的最终结果提供检验的依据，近十年来，该模型被普遍使用，已经成为信息安全事实上的一个标准。

当然，P2DR也有它不够完善或者说不够明确的地方，那就是对系统恢复的环节没有足够重视。在P2DR模型中，恢复（Recovery）环节是包含在响应（Response）环节中的，作为事件响应之后的一项处理措施，不过，随着人们对业务连续性和灾难恢复愈加重视，尤其是911恐怖事件发生之后，恢复、容灾、存活性（Survivability）等概念更是被安全业界屡屡提及，人们对P2DR模型的认识也就有了新的内容，于是，PDRR模型就应运而生了。 PDRR模型，或者叫PPDRR（或者P2DR2），与P2DR非常相似，唯一的区别就在于把恢复环节提到了和防护、检测、响应等环节同等的高度。在PDRR模型中，安全策略、防护、检测、响应和恢复共同构成了完整的安全体系，利用这样的模型，任何信息安全问题都能得以描述和解释。

延续了P2DR的特点，PDRR也是基于时间的动态模型，其中，恢复环节对于信息系统和业务活动的生存起着至关重要的作用，组织只有建立并采用完善的恢复计划和机制，其信息系统才能在重大灾难事件中尽快恢复并延续业务。

实际上PDRR模型就是对信息保障（Information Assurance）理念的最直接阐述：为了保障信息安全，除了要进行信息的安全保护，还应该重视提高系统的入侵检测能力、系统的事件反应能力和系统遭到入侵引起破坏时快速恢复的能力。图2.3所示就是PDRR模型。

信息安全体系建设与服务过程（ISMG-002）

图2.3 PDRR安全体系模型

2.2.4 IATF信息保障技术框架

之前我们介绍的信息安全体系和模型，无论是具体阐述功能服务和技术机制（ISO 7498-2），还是阐述构成信息安全的重要环节（P2DR和PDRR），都表现的是信息安全最终的存在形态，是一种目标体系和模型，这种体系模型并不关注信息安全建设的工程过程，并没有阐述实现目标体系的途径和方法。此外，以往的安全体系和模型无不侧重于安全技术，尽管P2DR和PDRR都将与安全管理相关的策略至于核心位置，但它们并没有将信息安全建设除技术外的其他诸多因素体现到各个功能环节当中。当信息安全发展到信息保障阶段之后，人们越发认为，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。信息保障技术框架（Information Assurance Technical Framework，IATF）就是在这种背景下诞生的。

IATF是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架，它提出了信息保障时代信息基础设施的全套安全需求。IATF创造性的地方在于，它首次提出了信息保障依赖于人、操作和技术来共同实现组织职能/业务运作的思想，对技术/信息基础设施的管理也离不开这三个要素。IATF认为，稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。

IATF规划的信息保障体系包含三个要素： 󰂋 人（People）：人是信息系统的主体，是信息系统的拥有者、管理者和使用者，是

信息保障体系的核心，是第一位的要素，同时也是最脆弱的。正是基于这样的认识，安全管理在安全保障体系中就愈显重要，可以这么说，信息安全保障体系，实质上就是一个安全管理的体系，其中包括意识培训、组织管理、技术管理和操作管理等多个方面。

信息安全管理系列指导文件（ISMG）

󰂋 技术（Technology）：技术是实现信息保障的重要手段，信息保障体系所应具备的

各项安全服务就是通过技术机制来实现的。当然，这里所说的技术，已经不单是以防护为主的静态技术体系，而是防护、检测、响应、恢复并重的动态的技术体系。 󰂋 操作（Operation）：或者叫运行，它构成了安全保障的主动防御体系，如果说技术

的构成是被动的，那操作和流程就是将各方面技术紧密结合在一起的主动的过程，其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。人，借助技术的支持，实施一系列的操作过程，最终实现信息保障目标，这就是IATF最核心的理念。

在明确了信息保障的三项要素之后，IATF定义了实现信息保障目标的工程过程和信息系统各个方面的安全需求。在此基础上，对信息基础设施就可以做到多层防护，这样的防护被称为“深度保护战略（Defense-in-Depth Strategy）”。

在关于实现信息保障目标的过程和方法上，IATF论述了系统工程、系统采购、风险管理、认证和鉴定以及生命周期支持等过程，对这些与信息系统安全工程（ISSE）活动相关的方法学作了说明。这就为我们指出了一条较为清晰的建设信息保障体系的路子。

为了明确需求，IATF定义了四个主要的技术焦点领域：保卫网络和基础设施，保卫边界，保卫计算环境和为基础设施提供支持，这四个领域构成了完整的信息保障体系所涉及的范围。在每个领域范围内，IATF都描述了其特有的安全需求和相应的可供选择的技术措施。无论是对信息保障体系的获得者，还是对具体的实施者或者最终的测评者，这些都有很好的指导价值。

图2.4所示即IATF的框架模型。

图2.4 IATF信息保障技术框架

目前，IATF已经得到了高度重视，包括我国在内的世界诸多国家都在研究IATF所带来的全面的信息保障体系的设计理念。

不过，需要看到的是，尽管IATF提出了以人为核心的思想，但整个体系的阐述还是以技术为侧重的，对于安全管理的内容则很少涉及。所以，与其说IATF为我们提供了全面的信息安全体系模型，不如说为我们指出了设计、构建和实施信息安全解决方案的一个技术框

信息安全体系建设与服务过程（ISMG-002）

架，它为我们概括了信息安全应该关注的领域和范围、途径和方法、可选的技术性措施，但并没有指出信息安全最终的表现形态，这和P2DR、PDRR等模型是有很大区别的。 2.2.5 BS 7799标准提出的信息安全管理体系

信息安全发展至今，人们逐渐已经认识到了安全管理的重要性，为了指导全面的信息安全工作，作为信息安全建设蓝图的安全体系就应该顾及安全管理的内容。这方面，英国的BS 7799标准是个很好的行动指南。

BS 7799是英国标准协会（British Standards Institute，BSI）制定的关于信息安全管理方面的标准，它包含两个部分，第一部分是被采纳为ISO/IEC 17799:2000标准的信息安全管理实施细则（Code of Practice for Information Security Management），它在10个标题框架下列举定义了127项作为安全控制的惯例，供信息安全实践者选择使用；BS 7799的第二部分是建立信息安全管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。作为一套管理标准，BS7799-2指导相关人员怎样去应用ISO/IEC 17799，其最终目的，还在于建立适合企业需要的信息安全管理体系（ISMS）。

BS 7799标准之所以能被广为接受，一方面是它提供了一套普遍适用且行之有效的全面的安全控制措施，而更重要的，还在于它提出了建立信息安全管理体系的目标，这和人们对信息安全管理认识的加强是相适应的。与以往技术为主的安全体系不同，BS 7799提出的信息安全管理体系（ISMS）是一个系统化、程序化和文档化的管理体系，这其中，技术措施只是作为依据安全需求有选择有侧重地实现安全目标的手段而已。

不过，尽管BS 7799强调建立ISMS的思想，但它对ISMS并没有一个明确的定义，也没有描述ISMS的最终形态，它只对建立ISMS框架的过程和符合体系认证的内容要求有一定的描述，从这一点来说，BS 7799提出的ISMS的概念是很笼统很宽泛的。

BS 7799标准指出ISMS应该包含这些内容：用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。

BS 7799标准要求的建立ISMS框架的过程：制定信息安全策略，确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。体系一旦建立，组织应该实施、维护和持续改进ISMS，保持体系的有效性。

BS 7799非常强调信息安全管理过程中文档化的工作，ISMS的文档体系应该包括安全策略、适用性声明文件（选择与未选择的控制目标和控制措施）、实施安全控制所需的程序文件、ISMS管理和操作程序，以及组织围绕ISMS开展的所有活动的证明材料。图2.5所示即BS 7799要求建立的信息安全管理体系。

建立ISMS管理框架

实施、维护和改进ISMS ISMS ISMS的文档化

对ISMS的审核

图2.5 BS 7799标准提出的信息安全管理体系框架

信息安全管理系列指导文件（ISMG）

2.3 信息安全的典型特点

通过对信息安全整体的认识，结合对信息安全体系发展历程的回顾和分析，我们可以总结出理想的信息安全一些典型的特点：全面性、层次性、过程性、动态性、平衡性和可管理性，在设计和建设符合自身需求的信息安全体系时，应该将这些特点考虑进去。

（1）全面性

进行信息安全建设，必须进行整体的、全面的考虑，要知道，在安全建设的各个局部各个阶段，起决定作用的往往不是最突出和最被强调的，恰恰是那些最不起眼但又最薄弱的环节，这就是人们常说的“木桶原理”，所以，要解决信息安全问题，不能从单方面入手，而应该从全局考虑，将众多因素结合在一起，尤其要考虑到最容易被忽视也是最容易出现问题的环节。

信息安全全面性和整体性的特点可以表现在众多方面。从范围来看，组织力图建立的信息安全体系应该包括所有纳入组织安全保护范围之内的系统、网络、业务和部门，以IATF为例，安全体系框架应该包括网络和基础设施、区域边界、计算环境和支撑基础设施四个部分。从内容来看，信息安全不仅仅是技术问题，它还应该包括管理、操作、人员、组织结构、制度等多个方面，其中，管理应该是最为核心的内容。在功能上，除了静态的防护环节，有效的信息安全还应该包含检测、响应和恢复等动态环节，在策略统一指导下，各环节协调一致，构成完整的信息安全体系。

（2）层次性

层次性特点是最容易理解的，从ISO 7498-2按照OSI参考模型7个层次来分配安全服务和安全机制开始，人们在定义安全体系和设计安全方案时都会将层次化消减风险的思想贯彻进去：信息安全在某个层次被突破，其他层次还可以保证信息系统整体的安全性。一般来说，完整的信息安全应该表现出以下的层次性：

󰂋 物理安全：保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全

的前提，通常包括环境安全、设备安全和介质安全三个方面。 󰂋 网络安全：网络通道的安全性和访问控制。 󰂋 系统安全：主要考虑操作系统一级的安全性。

󰂋 应用安全：对各种应用来说，确保合法只有用户才能对特定的数据进行合法操作

是最为关键的。

󰂋 信息安全：也就是数据的安全，最关键的就是确保机密数据保持机密状态。 󰂋 用户安全：目标是确保只有真正被授权的用户才能使用系统中的资源和数据。

（3）过程性

正如我们之前总结的，信息安全并不是纯粹的技术问题，而是一项复杂的系统工程，是采用工程化的概念、原理、技术和方法来研究、开发、实施与维护企业级信息与网络系统安全的过程。按照IATF的定义，这一过程就是信息系统安全工程（Information System Security Engineering，ISSE）。信息系统安全工程的主要内容是确定系统和过程的安全风险，并且将

信息安全体系建设与服务过程（ISMG-002）

安全风险降到最低程度或者进行有效控制。工程化的信息安全具有生命周期的特点，它解决用户的信息保障需求，是系统工程学、系统采购、风险管理、认证和鉴定以及生命周期的支持过程的一部分。

图2.6所示就是IATF定义的ISSE的过程。

图2.6 信息系统安全工程过程

实际上，在BS 7799标准关于ISMS的描述中，也清晰地表明了信息安全过程性的特点，即建设、实施、维护和持续改进ISMS的周期过程。（4）动态性

信息安全动态性的特点在P2DR和PDRR模型中体现得最为明显。这里说的动态性，主要是基于时间来考虑的，防护的目的在于阻止入侵或者延迟入侵所需的时间，以便为检测和响应预留时间，一旦防护失效，通过检测和响应（包括恢复），可以及时修复漏洞，杜绝威胁，防止损失扩大，确保业务运行的持续性。

从技术发展的角度来考虑，攻击和防御构成了一种动态平衡的体系。一段时期内，安全防御发挥着有效的作用，此时的安全体系就具有一定的平衡性，但这种平衡是相对稳定的，一旦攻击技术有所突破，防御也需要随之更新，安全体系就是在这种由此及彼的相互牵掣中动态发展的。（5）相对性

在信息安全建设过程中始终要明确一点，那就是信息安全不是绝对的，而是相对的，绝对安全也就是所谓的零风险是不存在的，因而追求这样的目标也就不现实。对组织来说，信息安全的现实目标是有选择地采取安全措施，将信息资产面临的风险降低到可接受的程度。为了实现这一目标，组织在确定安全需求、选择控制措施、检验安全效果等方面都应该掌握一个相对平衡的原则，也就是成本和安全效益的平衡，以及访问和安全性的平衡。就成本效益来说，组织选择安全措施来保护信息资产时应该注意：实施安全措施的代价通常不应该大于所要保护资产的价值。

至于访问和安全性之间的关系，我们知道，对信息系统的访问越宽松越顺畅，其安全性可能就越低。这里，与访问相关的因素包括系统连通性、性能、易用性、可管理性等，组织在考虑这些因素与安全保护之间的关联时，应该找到一个相对的平衡点。

信息安全管理系列指导文件（ISMG）

（6）可管理性

构成信息安全体系的各个层面各个环节的技术措施有许多，这些措施都不是孤立的，而是需要相互协调相互补充才能发挥作用的，如何将它们联系在一起？如何协调安全活动？如何提高信息安全整体的效率？这就是集中管理所要解决的问题。

实际上，信息安全的可管理性不仅仅是对技术措施而言的，其他方面，包括人员、操作过程、组织建设、制度规范，等等，都需要用管理去维系。进一步考虑，完整而全面的信息安全体系，其各个层次、周期发展的各个阶段、动态变化的各个环节，都需要具备高度的可管理性，这也是管理至上思想的集中体现。

2.4 提出一种新的安全体系模型——P-POT-PDRR

从之前的分析可以看到，人们对安全体系的研究，在信息安全发展的不同阶段和不同领域，都表现出了不同的特点。从最初只关注网络通信安全防护技术的ISO 7498-2静态体系，到全面阐述信息安全各个环节的P2DR、PDRR等动态模型，再到提出了以人为核心的IATF技术框架和关注信息安全管理的ISMS（BS 7799），这样的发展过程体现了从局部到整体、从片面到全面、从静态到动态、从技术到管理的一种趋势，实际上信息安全的诸多本质特点就是在这样的发展过程中被不断挖掘出来的。不过，单从安全体系作为信息安全建设指导蓝图和目标的作用来看，之前的几种体系或模型都或多或少存在一些不足，ISO 7498-2就不多说，即使是目前较为流行的P2DR和PDRR模型，侧重的也只是安全体系的技术环节，尽管管理的思想涵盖在策略核心中，但并没有阐述构成信息安全的几个关键要素。至于IATF，虽然明确指出信息安全的构成要素，但它只是提供了一个用来选择技术措施的框架，描述了信息安全工程的过程，并没有勾画出一个安全体系的目标形态。同样的，BS 7799标准虽然完全侧重于信息安全管理，但它所要求的信息安全管理体系（ISMS）也没有明确的目标形态，这对目前仍然以技术和产品为重要手段的信息安全解决方案来说是较难依据的。

设计安全体系的目的是指导信息安全建设工作，包括确定安全建设的目标、制定和实施安全解决方案、检验安全实施效果等，基于这样的认识，我们可以得出这样的结论：一个真正适合信息安全现实发展状况的安全体系，绝不应该是将需求、过程和结果融为一体的大而全的东西，而只是一种能够清晰描述信息安全目标形态和构成要素的模型或者框架，在这个模型或框架中，信息安全的特点能够得以展现，技术和管理的关系也应该清晰明了。至于如何构建这样的体系（过程和方法），则应该通过其他途径来描述，比如完善的安全工程和服务体系。

这里，我们提出了一种新的安全体系模型，即P-POT-PDRR模型（可以简称为PPP模型）。实际上这是一个将IATF核心思想与PDRR基本形态结合在一起的安全体系模型，符合我们对信息安全体系设计的基本要求。 P-POT-PDRR，即Policy（策略）、People（人）、Operation（操作）、Technology（技术）、Protection（保护）、Detection（检测）、Response（响应）和Recovery（恢复）的首字母缩写。其中单个环节所代表的意义与PDRR模型和IATF中的相同，但正是因为将这些环节分布到安全体系的不同层次，体系模型所代表的整体意义就有了很大变化。

P-POT-PDRR分为三个层次，最核心的部分就是安全策略，安全策略在整个安全体系的设计、实施、维护和改进过程中都起着重要的指导作用，是一切信息安全实践活动的方针和指南，这和P2DR、PDRR是一致的。模型的中间层次体现了信息安全的三个基本要素，即

信息安全体系建设与服务过程（ISMG-002）

人员、技术和操作，这构成了整个安全体系的骨架，从本质上讲，安全策略的全部内容就是对这三个要素的阐述，当然，三个要素中，人是唯一具有能动性的，是第一位的。在模型的外围，是构成信息安全完整功能的PDRR四个环节，信息安全三要素在这四个环节中都有渗透，并最终表现出信息安全完整的目标形态。

概括来说，P-POT-PDRR模型各层次间的关系是：在策略核心的指导下，三个要素紧密结合协同作用，最终实现信息安全的四项功能，构成完整的信息安全体系。P-POT-PDRR模型的核心思想在于：通过人员组织、安全技术以及运行操作三个支撑体系的综合作用，构成一个完整的信息安全管理体系。

虽然只是简单的演绎归纳，但新的安全体系模型能够较好地体现信息安全的各个特点，因而具有更强的目标指导作用。从全面性来看，P-POT-PDRR模型对安全本质和功能的阐述是完整的、全面的；模型的层次关系也很清晰；外围的PDRR四个环节本身就是对动态性很好的诠释；无论是人员管理、技术管理还是操作管理，都体现了信息安全可管理性的特点；至于过程性和相对性，在对模型的建设和实现过程（安全服务和工程过程）中可以充分体现。图2.7所示即P-POT-PDRR模型。

图2.7 P-POT-PDRR安全体系模型

在P-POT-PDRR模型中，安全策略处于核心地位，是组织让人借助技术手段通过一系列操作过程去实现安全目标的规则和约定。安全策略本身的制定是需要具备层次性的，从最高层的总体方针，到针对特定问题的策略，再到针对特定系统的策略。为了让策略有效实施，组织还应该通过标准、指南和程序等方式来部署策略。有一点很重要，安全策略的制定和实施，一定要符合相关法律法规的要求，也应该符合行业规范、合同条约和协议的要求。在构成信息安全的三个要素中，人是起着决定性作用的，当然，这里所说的人是个宽泛的概念，不单指组织的个人，还包括其组织架构、角色和责任、意识和培训、人员管理等方面的内容。技术要素，除了包括ISO 7498-2体系中定义的各种静态防护技术外，还包括检

信息安全管理系列指导文件（ISMG）

测、响应和恢复环节所必须依托的各种技术手段，当然，对这些技术内容的管理也是很重要的。至于操作要素，主要是指那些人和技术手段相结合的流程和过程，包括评估过程、监视和检测过程、审计过程、应急响应过程，当然，所有这些过程都需要通过完善的管理来协调。按照P-POT-PDRR模型的定义，人员、操作和技术三个要素所包含的内容完整地构成了实现信息安全目标所需的四项功能（或者服务），具体的实现方式，可以是技术产品，也可以是管理过程和操作流程。需要注意的是，无论是人员管理，还是技术管理和操作管理，都应该建立起完备的文档化体系，一方面让安全活动有所依据，另一方面也便于追溯和审查，这和BS 7799标准所要求的建立文档化ISMS的思想是一致的。

P-POT-PDRR模型的外围就是经典的PDRR，防护、检测、响应和恢复这四个环节共同构成了完整的信息安全体系所能提供的功能和服务。就防护来说，ISO 7498-2所定义的传统的安全技术可以建立起信息安全的第一道防线，包括物理安全措施、操作系统安全技术、身份认证技术、访问控制技术、数据加密技术、完整性保护技术等；在检测环节，病毒检测、漏洞扫描、入侵检测、安全审计都是典型的技术和操作手段；在响应环节，包括突发事件处理、应急响应、犯罪辨析等技术和操作；而在恢复环节，备份和恢复则是最重要的内容。当然，在这四个环节中，无论是采用怎样的措施，都能够通过人、操作和技术三者的结合来共同体现安全策略的思想，最终实现信息安全的目标和要求。

图2.8所示是对P-POT-PDRR模型所包含内容的的框架性描述。信息安全策略

策略/标准/指南/程序法律法规/行业规范合同条约

人员技术操作

组织架构技术标准和规范评估/实施/维护/监

视/检测/审计角色责任技术机制

意识培训技术产品文档化管理人员管理技术管理运行操作管理防护 OS安全访问控制防火墙数据加密认证授权检测入侵检测病毒检测安全审计漏洞扫描响应应急响应事件处理调查取证设备联动恢复备份恢复图2.8 P-POT-PDRR安全体系框架

信息安全体系建设与服务过程（ISMG-002）

2.5 如何建设信息安全体系

设计良好的信息安全体系只是一张蓝图，要想让蓝图成为现实，信息安全实践者还需要建立起一套行之有效的方法论，并照此将安全体系落实成真。应该注意，在建设信息安全体系时，信息安全的动态性、过程性、相对性（均衡性）和生命周期等特点会得以充分展现。和信息安全体系的发展一样，信息安全建设方法的演变也经过了一段过程。起初，人们对信息安全体系的认识还停留在静态的防护技术上，安全建设更多采用的是以点概面和就事论事的方法。比如说要保护机密数据，需要采用某种加密技术，再根据这样的技术要求去选择合适的产品。这样的信息安全建设方法常常是基于经验来进行，只对简单封闭的系统可行。随着信息系统的开放化、网络化、复杂化发展，人们对信息安全的要求也在逐渐深化和加强，这时候的信息安全建设不再局限于单个的技术产品，而是需要综合考虑的一个体系，比如防火墙、IDS、访问控制、认证授权等技术措施的综合运用和协调管理，对此类体系的建设，沿用了系统集成的思想和方法，当然，安全系统集成的核心仍然是以技术产品选型为主的解决方案，虽然也包括设计、实施和后期支持这样的过程，但并不完整和全面。随着人们对信息安全管理和完整的信息安全体系认识的加强，信息安全建设也在朝着工程过程化和生命周期的方向发展，并且和组织信息系统其他方面的建设紧密结合，构成了组织业务生存和发展的完备的支撑体系，这方面，IATF的信息系统安全工程（ISSE）方法、BS 7799提出的PDCA信息安全管理体系建设方法都值得借鉴。

IATF认为，信息安全并不是纯粹的技术问题，而是一项复杂的系统工程，表现为具体实施的一系列过程，这就是信息系统安全工程（ISSE）。通过完整实施的ISSE过程，组织应该能够建立起有效的信息安全体系。图2.6所示就是IATF定义的ISSE的过程周期。与IATF的思想一致，SSE-CMM（系统安全工程能力成熟度模型）也对系统安全工程的过程给予了明确的定义。SSE-CMM是美国国家安全局组织开发的用于评估系统安全工程过程成熟性的标准。SSE-CMM将整个系统安全工程分成三类彼此联系的过程：风险过程、工程过程和保证过程。风险过程识别产品或系统面临的风险，并对这些风险进行优先级排序；针对风险问题，工程过程阶段要确定和实施解决方案；而安全保证过程则负责建立解决方案的可信性，并向用户转达这种安全的可信性。这三个过程共同实现了系统安全工程过程结果所要满足的安全目标。图2.9所示就是SSE-CMM定义的系统安全工程的过程。产品或服务

工程过程

风险过程保证过程

风险信息保证论据

图2.9 SSE-CMM定义的系统安全工程过程

信息安全管理系列指导文件（ISMG）

与将信息安全建设过程作为工程来描述不同，BS 7799标准要求建立信息安全管理体系（ISMS）的方法是基于风险管理来展开的，不过，尽管侧重不同，但ISMS建设过程与ISSE或者SSE的过程还是比较一致的，只是ISMS沿用的PDCA模型更能体现生命周期和动态发展的特性。

PDCA（Plan、Do、Check和Act）是管理学惯用的一个过程模型，在很多管理体系中都有体现，比如质量管理体系（ISO 9000）和环境管理体系（ISO 14000），因为BS 7799和ISO 9000及ISO 14000同都出自BSI之手，为了保持一致，BS 7799所要求的信息安全管理体系也采用PDCA这样的过程模式。

为了实现ISMS，组织应该在计划（Plan）阶段通过风险评估来了解安全需求，然后根据需求设计解决方案；在实施（Do）阶段将解决方案付诸实现；解决方案是否有效？是否有新的变化？应该在检查（Check）阶段予以监视和审查；一旦发现问题，需要在措施（Act）阶段予以解决，以便改进ISMS。通过这样的过程周期，组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。图2.10所示即ISMS的建设过程。

Plan建立ISMS环境利益伙伴 &风险评估利益伙伴 Do设计&实施ISMS 开发、维护和改进生命周期监视&复审ISMS 改进ISMS Act 信息安全需求和期望得到管理的信息安全 Check

图2.10 信息安全管理体系（ISMS）的建设过程

从以上分析可见，信息安全体系建设，无论采用怎样的方法论，其过程都表现出可反馈可发展的周期过程，每次周期都起于新的安全需求的发掘，止于体系复归平衡和稳定，这期间，风险评估、方案设计、工程实施、监视和审查等过程都是必不可少的。

需要注意的是，本文提出的P-POT-PDRR安全体系只是一个理想的模型，是否符合组织自己的实际情况，还需要通过完整的信息安全体系建设过程来充实、完善和检验。一般来说，组织在安全需求的提取过程中就应该对最终的安全体系有个较为明确的认识，只有这样，之后的活动和过程才可以依据体系的设计蓝图来进行。

针对P-POT-PDRR模型，建立一套可行的信息安全建设方法论是很有必要的，我们的目的，就是将设计中理想的体系模型最终付诸实践，这样的方法论，就是本文后续内容中会讨论的完整的信息安全服务体系和过程。

信息安全体系建设与服务过程（ISMG-002）

3. 信息安全服务过程

3.1 信息安全服务概述

之前我们已经讨论了组织进行信息安全建设所要实现的目标，即建立起符合组织安全需求的完整的信息安全体系，为此，组织应该选择恰当的方法并经过一系列的过程周期，信息安全本身动态性、过程性、相对性等特点就是在这样的周期中展现出来的。目前，人们在信息安全建设时仍然广泛采用基于安全产品的系统集成方案，这样的方案着眼点和核心都放在安全技术和产品上，往往目的性不强，对成本利益的考虑也缺乏均衡性，实际上，这正反映了人们对信息安全认识并不全面的考虑。当然，随着安全观念逐渐深入和扩散，信息安全建设的思路和方法也在不断完善。IATF、SSE-CMM、BS 7799等标准和规范中阐述的信息安全工程过程以及管理体系构建过程的思想，为信息安全建设提供了很好的方法论指导。

当然，我们也应该看到，尽管现有的标准和规范值得借鉴，但并非放之四海皆准，比如说SSE-CMM，尽管规定了系统安全工程通常的过程活动，但并没有规定组织进行信息安全建设时应该采用的周期和步骤，内容也没有细化，毕竟SSE-CMM侧重的是对系统安全工程过程成熟度的评价，而不是具体指导工作的方法论。至于IATF，侧重的还是以安全技术和产品为主的系统集成解决方案，尽管对安全建设的过程有一个周期性的概括，但并没有对可行操作过多涉及。BS 7799第二部分定义了ISMS的构建过程，即基于PDCA管理模型的方法论，只是它更强调和一般性的管理过程保持一致，对安全建设工作来说还不够具体。事实上，对于信息安全建设，现在更为有效也更切合实际的，就是基于服务的工程化方法。与传统的集成方案不同，基于服务的信息安全解决方案着眼点不再是安全产品，而是对组织的信息安全需求进行充分发掘（通过风险评估等途径），在此基础上，设计适用的解决方案，包括安全策略的制定、技术和管理体系的构建、审计和测试等后期支持。以服务为主导的信息安全建设过程，技术产品仅仅是实现安全体系一个手段，是否选择产品？选择怎样的产品？这些都要依据具体需求来定，除了产品，安全策略、操作流程、人员组织、安全管理等项事务是需要更多去考虑的。

基于服务的信息安全建设方案，侧重点不再是技术产品，而是组织不断发展变化的安全需求，这种需求是建立在对组织业务及信息系统充分了解的基础之上的。与传统的集成方案不同，安全服务过程是有周期性并且不断发展的，这和信息安全本身持续改进的特点完全一致，因而更适合建立完善的信息安全体系。

那么，到底什么是信息安全服务呢？按照传统的说法，安全服务只是安全集成方案实施之后的支持活动，表现为一些维护和管理工作，事实上安全服务的范围要广泛得多，概括起来，帮助组织建立和巩固完善的信息安全体系的一系列活动都属于安全服务的范畴。

组织实施信息安全服务的直接目的，就是建立和巩固技术、操作、人员相结合的，能够体现动态性、过程性、全面性、层次性、相对性等多种特性的完善的安全体系，最终实现企业既定的信息安全目标。

实际上，无论是IATF所描述的信息系统安全工程过程，还是BS 7799标准中阐述的PDCA管理过程，都可以纳入信息安全服务当中。作为项目实施的信息安全服务，表现为工程化的形态，这和信息安全工程过程的概念是吻合的，也遵循工程化的规则定义。此外，信息安全体系建设，最终可以归结为信息安全管理体系的建设，因而信息安全服务的生命周期

信息安全管理系列指导文件（ISMG）

模型也就与PDCA管理模型保持一致。

3.2 信息安全服务模型——P-PADIS-T

基于之前的分析，我们可以提出一种全新的信息安全建设思路，即遵循P-PADIS-T模型（可以简称为PPT模型）的信息安全服务体系，该服务体系汲取了PDCA、IATF、SSE-CMM等信息安全建设方法的精髓，直接针对的是已经建立了的P-POT-PDRR信息安全体系模型，其最大的特点就是将管理和工程过程的思想很好地体现到信息安全建设中去。与可参考的其他标准方法相比，P-PADIS-T更全面更具体更直观，也更具有可操作性。

这里，P-PADIS-T分别代表的是Policy（策略）、Preparation（准备）、Assessment（评估）、Design（设计）、Implement（实施）、Support（支持）和Training（培训）的首字母缩写，中心思想就是：以安全策略为核心，以准备、评估、设计、实施和支持等环节的阶段性服务活动为途径，以培训为保障的完整的信息安全服务解决方案。

图3.1所示即P-PADIS-T模型。

图3.1 P-PADIS-T信息安全服务体系模型

P-PADIS-T模型中各要素的含义如下：

󰂋 Policy（策略）：与P-POT-PDRR安全体系一样，安全服务体系也是以安全策略为

核心的。围绕策略开展的服务活动存在于信息安全服务生命周期的各个阶段，一开始，组织需要确定信息安全目标、战略以及总体方针；风险评估之后，根据组织的安全需求，还需要制定全面而细致的策略文档；解决方案实施阶段，各种程序性策略需要进一步完善；而在支持阶段，安全策略还应该根据计划进行测试、检查和调整，最终让其可以有效执行。在服务体系中，安全策略不仅仅是服务过程的指导核心，更需要在服务过程中建立、实施和完善。具体来说，围绕安全策略可以实施的服务项目包括： ¾ 策略评估服务 ¾ 策略规划服务

信息安全体系建设与服务过程（ISMG-002）

󰂋

¾ 策略实施服务 ¾ 策略培训服务 Preparation（准备）：这是新的安全服务生命周期的起点，也是对前次服务周期成果的继承。在准备阶段，组织应该对当前业务和系统环境进行分析，发掘因为组织战略和使命的变化、业务变更、组织及人员变化、新技术引入、安全策略调整等情况引起的新的安全需求，制定符合组织实际的安全服务解决方案。此阶段最典型的服务项目就是： ¾ 前期咨询服务 Assessment（评估）：评估阶段是组织全面了解自身安全需求的关键，这一阶段中，组织需要借助技术和非技术手段评估需要保护的信息资产、自身存在的弱点和漏洞、面临的内部和外部威胁、现有安全控制和安全体系的有效性，最终生成详细而准确的评估报告，供需求分析所用。这一阶段包含的服务项目有（需要注意的是，某些服务项目可能是其他服务项目的有效组合，例如风险评估；而与安全策略相关的策略评估服务也归入这个阶段）： ¾ 安全扫描服务 ¾ 渗透测试服务 ¾ 体系评估服务 ¾ 风险评估服务 Design（设计）：评估阶段的成果直接成为设计阶段的输入，在此阶段，组织应该明确定义安全需求，然后有目的地规划更为成熟的安全体系，并且选择恰当的控制措施，制定全面的安全策略，提供技术和管理并重的安全解决方案。设计阶段的成果中还应该包括详细的方案实施计划。具体服务项目包括： ¾ 安全需求定义 ¾ 安全体系设计 Implement（实施）：在实施阶段，组织依照已定义的安全计划来实施解决方案，包括系统加固、产品测试安装、策略实施、安全性校验等活动，在实施过程中还应该做好质量控制和项目管理，确保实施过程能够严格兑现方案计划并且不会引入新的风险。具体服务项目包括： ¾ 系统加固服务 ¾ 安全集成服务 ¾ 产品方案实施 ¾ 工程监理服务 Support（支持）：安全解决方案一旦实施之后，已经建立起来的新的安全体系就进入了操作和维护时期，这一阶段，组织通过持续的监督、检测、审查、再评估、更新和响应服务来保持安全体系的效率和效力，一旦有重大变化，或者到了约定期限，安全服务就应该进入到下一个周期。支持阶段，组织可选的服务项目包括： ¾ 定期扫描评估 ¾ 定期系统加固 ¾ 安全审计服务 ¾ 应急响应服务 ¾ 攻击取证服务 ¾ 安全通告服务 Training（培训）：同策略服务一样，围绕培训展开的服务项目分布于信息安全服务周期的各个阶段，是信息安全服务项目得以成功实施的重要保障。事实上，在前

信息安全管理系列指导文件（ISMG）

期咨询和方案设计阶段，组织就应该逐渐明确自己的培训需求，并制定有针对性的培训计划。安全培训应该是层次、程度、范围和侧重各有不同的完整体系，安全策略要有效执行，技术产品要充分发挥作用，人员管理和操作流程要安全高效，培训环节起着非常重要的作用。关于信息安全培训，具体服务项目包括： ¾ 安全意识培训 ¾ 安全策略培训 ¾ 安全管理培训 ¾ 安全技术培训 ¾ 黑客攻防培训 ¾ 技术产品培训

P-PADIS-T模型中各个阶段是前后继承紧密结合的，前一阶段服务项目的输出是后一阶段服务项目的输入，要让信息安全服务成功实施，每个阶段单个服务成果的正确性和准确性都非常重要。就相互关系来说，策略服务为PADIS服务提供指导和依据，培训服务为PADIS服务提供保障和支持。PPT模型中所包含的服务项目及其关系（输入输出）如图3.2所示。

准备阶段前期咨询评估阶段安全扫描渗透测试体系评估风险评估设计阶段需求定义体系设计实施阶段系统加固安全集成产品实施工程监理支持阶段定期评估定期加固安全审计应急响应攻击取证安全通告

意识培训管理培训策略评估策略实施策略培训技术培训策略规划 P-PADIS-T模型的目标是帮助组织建立完善的信息安全体系，该服务模型与国际上通行的一些信息安全建设方法论是兼容的，比如BS 7799标准提出的PDCA管理模型，以及

策略服务培训服务攻防培训策略培训产品培训图3.2 P-PADIS-T服务体系框架

信息安全体系建设与服务过程（ISMG-002）

SSE-CMM提出的系统安全工程过程。正是因为这种兼容性和一致性，通过P-PADIS-T服务模型建立起来的信息安全体系就符合BS 7799标准对ISMS的认证要求，而服务的各个阶段和过程活动又可以满足SSE-CMM对工程过程的评估要求。图3.3所示即P-PADIS-T与其他信息安全建设方法论的简单的映射关系。

SSE-CMMPADIS PDCA

对组织来说，无论是使用内部资源进行信息安全建设，还是借助外部专业服务机构的支持，P-PADIS-T服务体系都是很好的参照模型。当然，从专业化、系统化和可持续性角度考虑，选择外部专业服务机构提供的基于服务的信息安全解决方案并开展实施无疑是最为稳妥和方便的。

Risk Process PreparationPlan AssessmentEngineering Process Design Do ImplementAssurance Process Support Check & Act 图3.3 安全工程过程及服务体系模型映射关系

3.3 信息安全服务分类

在P-PADIS-T模型中，各个信息安全服务项目是按照生命周期的不同阶段来定位的，这种纵向区分安全服务的方式很适合组织进行信息安全自我建设的需要，因为它完全与信息安全建设的周期过程相吻合。与此同时，很多可以提供信息安全专业服务的机构，一方面使用信息安全服务生命周期的方法论，另一方面也保持传统的安全服务横向分类的习惯，通常把信息安全服务分成咨询服务、工程服务、支持服务和培训服务等几大类。

信息安全管理系列指导文件（ISMG）

（1）咨询服务

信息安全咨询服务可以存在于安全服务生命周期的各个阶段，通常是服务接受者与服务提供者之间就某个问题的提出、分析和解决而展开的相互沟通的过程。服务提供者需要了解服务接受者某方面的安全问题和需求，分析问题性质和内容，有针对性地提出解决方案，咨询服务产生的解决方案可以通过其他类型的服务去实施。咨询服务重在问题的分析和解决，重在管理、流程和技术的规划。

就PPT服务体系来说，前期咨询服务就属于典型的咨询服务类型，它根据用户的需求来定义可实施的服务解决方案，是实施其他服务项目的基础和依据。可划入咨询服务类型的服务项目包括：

󰂋 前期咨询服务

󰂋 安全策略评估、规划和实施服务 󰂋 安全体系评估与设计服务 󰂋 风险评估服务 󰂋 需求定义服务

此外，对服务提供者来说，通过电话、邮件、人员交流等方式实施的服务也属于咨询服务的范畴。

（2）工程服务

工程服务是围绕安全解决方案而实施的各类活动，以技术产品的实现为核心，属于传统的安全系统集成的范畴。

可划入工程服务类型的服务项目包括：

󰂋 安全集成服务 󰂋 工程监理服务 󰂋 产品方案实施

（3）支持服务

支持服务是针对现有的技术和管理环境而实施的各种维护、更新、监视、检测和响应等技术及产品支持活动。

可划入支持服务类型的服务项目包括：

󰂋 安全扫描、渗透测试和定期的评估服务 󰂋 系统加固和定期的加固服务 󰂋 安全审计服务 󰂋 应急响应服务

󰂋 7×24安全支持服务 󰂋 攻击取证服务 󰂋 安全通告服务

（4）培训服务

培训服务作为一个较为完整的体系，应该涵盖安全意识、安全技能和安全知识培训和教

信息安全体系建设与服务过程（ISMG-002）

育的各个层次和各个方面，其所含服务项目包括：

󰂋 安全策略培训 󰂋 安全意识培训 󰂋 安全管理培训 󰂋 安全技术培训 󰂋 黑客攻防培训 󰂋 安全产品培训

表3.1列出了完整的安全服务体系应该包含的服务项目和类型。

表3.1 信息安全服务类型和项目

服务类型服务项目服务编号服务说明

了解组织的安全需求，制定服务解决方案评估组织当前安全策略的完备性和有效性为组织制定完整的安全策略体系实施并检验已建立的安全策略体系对组织当前的信息安全体系进行审查和评估通过资产、威胁、漏洞的识别分析来评估风险根绝风险评估结果来确定组织的安全需求提供解决方案，以便建立完善的信息安全体系安全解决方案的实施过程

针对某类安全产品或解决方案的工程实施活动对实施过程和结果进行监督和检查对组织信息系统的安全弱点进行检查评估模拟黑客行为的攻击测试

加强组织信息系统的安全配置，进行漏洞修补定期实施的持续性漏洞扫描和测试定期实施的持续性系统加固

对安全措施的日志记录进行审查，确定有效性通过电话、邮件和现场勘查，作出事件响应分析现场的攻击痕迹，提取攻击证据

及时通告最新安全漏洞和安全事件，预防警告针对信息安全策略提供的培训活动针对一般人员的安全认识和基础知识培训针对管理层和技术管理者的安全管理培训针对技术实践者的安全技术和技能培训针对系统管理和分析人员的攻击和防护培训针对某类安全产品的安装、操作和维护培训

前期咨询服务 PPT-CS01安全策略评估 PPT-CS02安全策略规划 PPT-CS03

咨询服务

安全策略实施 PPT-CS04安全体系评估 PPT-CS05风险评估服务 PPT-CS06安全需求定义 PPT-CS07安全体系设计 PPT-CS08安全集成服务 PPT-ES01

工程服务产品方案实施 PPT-ES02

工程监理服务 PPT-ES03安全扫描服务 PPT-SS01渗透测试服务 PPT-SS02系统加固服务 PPT-SS03定期安全评估 PPT-SS04

支持服务定期系统加固 PPT-SS05

安全审计服务 PPT-SS06应急响应服务 PPT-SS07攻击取证服务 PPT-SS08安全通告服务 PPT-SS09安全策略培训 PPT-TS01安全意识培训 PPT-TS02

培训服务

安全管理培训 PPT-TS03安全技术培训 PPT-TS04黑客攻防培训 PPT-TS05安全产品培训 PPT-TS063.4 信息安全服务过程详解

接下来，我们就对PPT服务体系模型中所含的各个服务项目进行较为详细的描述，描述的方式如表3.2所示。

信息安全管理系列指导文件（ISMG）

表3.2 服务项目描述方式

元素服务名称目标描述相关人员服务过程服务输入服务输出注意事项 3.3.1 安全策略

该服务项目的名称和代号

说明

对实施此项服务的目标进行描述参与此项服务实施的相关人员和组织实施此项服务的过程和流程

实施此项服务的前提条件和需要准备的信息资料服务实施之后的成果产出对该服务项目相关事宜的补充说明

（1）策略评估服务

服务名称目标描述安全策略评估（Security Policy Assessment）（代号：PPT-CS02）

依据组织当前的需求（包括需要遵守的法律法规、行业规范以及国际标准），考察分析组织现有安全策略中不完善、不符合以及不恰当的地方，同时评估当前策略的实施情况。

组织所有与安全策略设计、实施、维护、执行和检查相关的人员。 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄

了解组织当前的策略需求，明确策略评估的依据；全面审核组织当前的信息安全策略文档和相关材料；

复查组织关于策略执行、维护、更新、测试和检查的全部记录；派发策略评估调查问卷；

对安全策略相关人员进行访谈；

分析各种途径采集的信息，与当前需求和评估依据进行比较；生成策略评估报告，就组织当前安全策略的全面性、符合性、可执行性、可维护性等方面展开评述，并提供改进建议。策略评估需要比较依据的标准和规范；组织当前的安全策略文档；

安全策略的维护、执行、测试和检查记录；策略调查问卷；人员访谈记录。

相关人员服务过程服务输入 󰂗 󰂗 󰂗 󰂗 󰂗

服务输出注意事项 󰂗 安全策略评估报告。

进行策略评估时，明确组织的需求和依据标准非常重要，例如BS 7799标准，或者像银行这样特殊行业的要求。

信息安全体系建设与服务过程（ISMG-002）

（2）策略规划服务

服务名称目标描述相关人员服务过程服务输入服务输出安全策略规划（Security Policy Planning）（代号：PPT-CS03）

制定满足组织当前需求的、全面的、层次的、可行的、稳定性和灵活性兼顾的、并且遵循国际通行标准的信息安全策略体系。组织的高级管理层、关键业务部门、IT部门、用户代表 󰂄 确定组织的安全需求；

󰂄 制定信息安全总体方针，明确组织的安全目标、原则和战略； 󰂄 制定信息安全专项策略和标准； 󰂄 制定指南和操作程序； 󰂄 与组织相关人员研讨； 󰂄

安全策略修订和调整。

󰂗 通过风险评估、相关法律法规以及组织业务要求而确定的安全需求；󰂗 与安全策略相关的国家、国际标准（例如BS 7799）。 󰂗 全面的信息安全策略文档体系，从内容上看，包括总体策略方针、特定

问题策略和特定系统策略； 󰂗 强制执行的标准规范； 󰂗 推荐采用的方法指南；

󰂗 具体完成某项任务的操作程序；

󰂗 策略体系涵盖的内容包括（不限于此）：

z 信息安全总体方针

z 信息安全组织架构和角色定义 z 信息资产分类及控制策略 z 安全策略维护计划

z 第三方及外包项目安全策略 z 人员安全策略 z 物理环境安全策略

z 硬件设备和基础设施安全策略 z 网络通信与操作管理策略 z 系统开发和维护策略 z 数据加密策略

z 数据存储和使用策略 z 访问控制策略 z 备份策略 z 病毒防范策略

z 安全设备配置策略（防火墙、IDS、VPN等） z 电子邮件与Web访问策略 z 合理使用策略（AUP）

信息安全管理系列指导文件（ISMG）

z z z z z z z z z

注意事项安全审计计划安全培训计划风险评估程序风险处理程序文档控制程序变更管理程序配置管理程序应急响应计划

业务连续性和灾难恢复计划

组织的安全策略定义了：

󰂗 组织拥有并且需要保护的信息资产

󰂗 组织实施信息安全的组织架构、角色定义和人员责任 󰂗 组织对内部和外部用户正确使用资源的期望方式 󰂗 组织对信息资产的防护方针 󰂗 组织针对安全事件的响应机制

（3）策略实施服务

服务名称目标描述安全策略实施（Security Policy Implement）（代号：PPT-CS04）

在组织范围内实施已制定并得到高层批准的安全策略，使安全策略的条文真正被有效执行。

与安全策略制定、实施、执行、检查相关的所有的人员。 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄

了解组织对安全策略实施的具体要求；确定策略实施的范围；明确策略维护和审查人员；制定安全策略实施计划；制定安全策略审查计划；进行安全策略培训；

通过多种方式部署安全策略（标语、手册、培训等）；

通过多种形式审查策略执行情况（问卷、考试、记录审查等）；必要时进行策略更新。

相关人员服务过程服务输入 󰂗 已经制定并批准执行的安全策略； 󰂗 组织对安全策略执行的具体要求。 󰂗 󰂗 󰂗 󰂗

安全策略实施计划；安全策略审查计划；安全策略培训计划；安全策略审查结果；

服务输出 39

信息安全体系建设与服务过程（ISMG-002）

󰂗 安全策略更新建议。

注意事项安全策略的实施对于组织建立信息安全管理体系来说非常重要，是落实整个策略内容的必要过程，组织可以采用抽样调查的方式来实施并审查安全策略。

（4）策略培训服务

服务名称目标描述安全策略培训（Security Policy Training）（代号：PPT-TS01）

围绕安全策略开展培训活动，力图使既定的安全策略能够被组织所有人员获知并理解。

与安全策略贯彻执行相关的所有组织人员。 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂗 󰂗 󰂗 󰂗

了解策略培训的相关要求（形式、途径、考察标准、人员等）；准备安全策略培训计划；编写相关的培训材料；实施安全策略培训；考察培训效果；

编写策略培训总结报告。既定且投入执行的安全策略；组织整体的安全培训计划；安全策略培训计划；相关的资源提供。

相关人员服务过程服务输入服务输出 󰂗 培训之后的考察措施； 󰂗 策略培训总结报告。

策略培训效果的好坏，取决于管理层的支持和投入，也取决于具体的培训方式，此外，培训材料和考察措施的适当与否对于有效推行策略的认知度也很有关系。

注意事项 3.3.2 准备阶段

（1）前期咨询服务

服务名称目标描述前期咨询服务（Prophase Consultation Service）（代号：PPT-CS01）了解组织对信息安全发展提出的最新要求，制定符合组织实际情况的安全服

信息安全管理系列指导文件（ISMG）

务解决方案。

相关人员服务过程组织的管理层、业务部门代表、IT及信息安全负责人。

󰂄 服务提供方和服务接受方初步沟通； 󰂄 分析组织当前业务和系统环境，发掘各种可能引发新的安全服务需求的

因素，包括：

¾ 组织整体发展战略和业务模式的变化； ¾ IT安全预算和投入的增加； ¾ 对新技术的需求；

¾ 当前组织环境和人员在安全方面的不稳定性； ¾ 组织在安全服务方面缺乏有效的技术经验； ¾ 当前安全策略不能满足组织的安全需要。 󰂄 接受前次安全服务周期的成果；

󰂄 提供有针对性的安全服务建议方案。

󰂗 之前组织已经实施过的安全实践活动的相关记录和成果证明； 󰂗 经确认的组织最新的安全需求（战略性的）。 󰂗 安全服务建议方案。

这是新的安全服务生命周期的起点，也是对前次服务周期成果的继承。

服务输入服务输出注意事项 3.3.3 评估阶段

（1）安全扫描服务

服务名称目标描述安全扫描评估（Security Scanning Assessment）（代号：PPT-SS01）通过技术手段，发掘组织信息网络系统的安全漏洞，包括网络设备、主机操作系统、关键应用系统等。

IT部门负责人、网络及系统管理员。

󰂄 确定扫描服务需求及相关事项，启动实施；

󰂄 搜集必要的信息，为实施扫描做好准备，相关信息包括：

¾ 网络拓扑结构；

¾ 主机设备的分布和基本配置； ¾ IP地址分配；

¾ 相关管理和操作人员； ¾ 现有的相关策略；

¾ 已经部署的安全控制措施（产品）。

相关人员服务过程 46

信息安全管理系列指导文件（ISMG）

服务输入 󰂗 经确认的系统加固需求； 󰂗 各类Checklist； 󰂗 对加固目标的描述。 󰂗 系统加固报告； 󰂗 系统加固验证结果。

系统安全加固可针对以下类型的设备：

󰂗 主机和服务器操作系统（Unix、Windows等）； 󰂗 网络设备（路由器、交换机等）；

󰂗 各种应用系统（数据库、Web服务、邮件服务等）。

服务输出注意事项（2）安全集成服务

服务名称目标描述相关人员服务过程安全集成服务（Security Integration Service）（代号：PPT-ES01）集中各种必要的资源，实施既定的安全解决方案（体系设计方案）。 IT负责人、系统操作人员。 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄

确定安全集成项目需求；明确工程实施计划；

准备必要的资源（例如，建立工程实施组织）；人员安全培训；选型产品供货；产品安装调试；系统总体测试；试运行；验收认可。

服务输入 󰂗 安全解决方案及实施计划； 󰂗 各类必要的资源准备。

󰂗 各类能够证明解决方案阶段性成果的输出资料； 󰂗 各类对解决方案实施成果进行验证的证明材料。

作为系统安全工程过程，对解决方案的实施一定要遵循工程过程的特点和原则，同时，通过项目管理等措施对工程进度和质量加以控制。

服务输出注意事项（3）产品方案实施

服务名称产品方案实施（Product Solution Implement）（代号：PPT-ES02）

信息安全体系建设与服务过程（ISMG-002）

目标描述相关人员服务过程就选定的某项安全产品来实施安装、部署、运行维护等工程活动。 IT负责人、系统管理和操作人员。 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄

制定并明确安全产品解决方案；

选购、安装、部署、调试安全产品；对相关人员进行产品培训；产品测试；提交验收；正式运行。

服务输入 󰂗 某项安全产品的需求说明； 󰂗 针对该项需求的产品解决方案。 󰂗 产品方案实施报告。

产品方案实施属于相对独立和简单的工程服务项目，针对的主要是与某类安全产品直接相关的较为明确的安全需求。

服务输出注意事项（4）工程监理服务

服务名称目标描述相关人员服务过程安全工程监理（Security Engineering Surveillance）（代号：PPT-ES03）对组织实施的安全工程项目提供第三方独立监理。组织安全工程的实施人员、审核人员。

󰂄 项目实施前的监理：

¾ 对所选安全产品的真实性、质量、到货时间进行检查； ¾ 对项目实施的人员进行身份及资历审核；

¾ 对实施单位的具体实施步骤及每个步骤中的计划文档进行审核；¾ 对实施单位的项目进度安排进行事前记录； 󰂄 项目实施中的监理：

¾ 对项目实施进度进行计划和督促，防止延误工期； ¾ 对项目实施过程的真实性和与方案的符合性进行监督； ¾ 对项目实施人员的身份在实施过程中再进行检查；

¾ 对软硬件产品在项目实施中的完好性和真实性进行检查； ¾ 对项目实施中已完成部分进行局部验收，发现问题责其纠正； ¾ 对项目实施人员的能力和态度进行审核； 󰂄 项目实施后的监理：

¾ 对是否达到相应的安全级别进行严格检验； ¾ 对产品配置的合理性和有效性进行检验；

¾ 对安全配置是否造成系统和网络的性能问题进行检验；

信息安全管理系列指导文件（ISMG）

¾ 对实施进度进行验收；

¾ 对网络的安全现状进行评估及建议；

¾ 聘请安全专家对网络的安全现状进行评估。

服务输入 󰂗 󰂗 󰂗 󰂗

工程实施组织提供的各类阶段性验证材料；现场检查的调查列表；

工程实施各阶段的结果证明；其他工程监理必须的材料。

服务输出注意事项 󰂗 工程监理结果报告。

工程监理属于独立第三方的服务，应该体现出独立性和公平性的原则。此外，工程监理组织的可信资质也是保证监理合理性和有效性的重要条件。

3.3.6 支持阶段

（1）定期扫描评估

服务名称目标描述定期扫描评估（Periodic Scanning Assessment）（代号：PPT-SS04）对正在运行的系统进行定期安全扫描，及时发现因为系统环境的变更而引入的最新漏洞，也能进一步发掘以往未被识别的漏洞。系统管理员、安全管理员。 󰂄 󰂄 󰂄 󰂄 󰂗 󰂗 󰂗 󰂗

更新漏洞知识库，例如扫描工具、人员的知识储备等；对照以往评估结果，分析目标系统的最新变化；按照事先设定的周期对目标系统实施扫描测试；就发现的问题提出解决建议。前次评估的结果；系统环境的变更说明；更新的漏洞库和漏洞列表；测试范围内的主机清单。

相关人员服务过程服务输入服务输出注意事项 󰂗 定期扫描评估报告。

定期扫描评估可以选择一个月一次或者一个季度一次，评估周期根据组织系统环境变更的频率以及其他因素来预先设定。当然，如果组织的系统环境发生了大的变化，应该立即进行新的安全评估，防止遗漏最新风险。

信息安全体系建设与服务过程（ISMG-002）

（2）定期系统加固

服务名称目标描述相关人员服务过程定期系统加固（Periodic System Hardening）（代号：PPT-SS05）针对目标系统中发现的新问题，定期实施安全加固，杜绝隐患。系统管理员、安全管理员。 󰂄 󰂄 󰂄 󰂄

扫描以发现新的安全漏洞；了解特殊的加固需求；实施系统安全加固；验证。

服务输入 󰂗 最近一次扫描评估的结果； 󰂗 最新的安全加固需求。 󰂗 系统加固报告。

定期加固可以一个月或者一个季度一次。但安全补丁的安装应该根据实际的补丁发布情况来及时实施。当然，为了保证加固操作不影响正常的生产运行，必要的前期测试是很重要的。

服务输出注意事项（3）安全审计服务

服务名称目标描述安全审计服务（Security Audit Service）（代号：PPT-SS06）

对当前部署的安全措施的日志记录进行审查，及时发现异常活动，并验证安全措施的有效性。

系统管理员、安全管理员、事件响应和处理人员。

󰂄 采集来自防火墙、IDS等安全措施的日志记录； 󰂄 分析日志信息，从中发现攻击行为和异常活动；

󰂄 参考分析以往的事件响应和处理记录，以及安全扫描和攻击测试的证

据，与安全措施的日志记录进行比照，验证安全措施的有效性； 󰂄 提供安全审计报告。 󰂗 󰂗 󰂗 󰂗

之前的安全扫描报告和记录；之前的渗透测试记录；

安全措施（工具）的日志记录；以往发生过的安全事件的记录。

相关人员服务过程服务输入服务输出 󰂗 安全审计报告。

信息安全管理系列指导文件（ISMG）

注意事项通过安全审计，组织应该能对其已经部署的安全措施的效力进行验证。通过对审计结果的统计分析，组织可以确定是否调整其安全控制措施，为进一步的行动提供依据。安全审计服务可以定期实施（例如一个月一次）。此外，对于审计过程中所需的数据源，许多组织可能会选择外包设备的方式。

（4）应急响应服务

服务名称目标描述应急响应服务（Incident Response）（代号：PPT-SS07）

对组织信息系统中突发的攻击事件作出响应，及时而有效处理，最大程度上减少损失和该事件造成的消极影响。

应急响应相关人员（在组织应急计划中设定）。 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄 󰂄

预先建立组织的应急响应小组，制定并实施有效的应急计划；检测安全事件，一旦发现，启动应急响应：进行初步调查，保全证据；通知必要的人员；

调查并评估安全事件，根据事件具体情况采取不同的处理措施；使受影响的系统或业务恢复到正常的运转状态；进行再次评估；消除漏洞和隐患；

详细记录事件响应过程、调查步骤和补救方法；编写应急响应报告；

继续监视系统或网络的运行情况，分析和回顾事件经过，总结经验教训，解决其他问题（比如法律问题）。

相关人员服务过程服务输入服务输出 󰂗 突发安全事件，应急响应请求。 󰂗 应急响应和事件处理报告； 󰂗 后续建议。

应急响应重在组织内外相关人员的有效协调，本着发现问题、分析问题、解决问题、总结教训的思路，将安全突发事件造成的影响减至最小。

注意事项（5）攻击取证服务

服务名称目标描述攻击取证服务（Attack Forensics Service）（代号：PPT-SS08）

在攻击事件中分析并保全证据，跟踪攻击行为，为司法介入等后续操作提供依据。

信息安全体系建设与服务过程（ISMG-002）

相关人员服务过程网络和系统管理员、内部审计人员、法律咨询人员。 󰂄 󰂄 󰂄 󰂄 󰂄 󰂗 󰂗 󰂗 󰂗 󰂗

了解相关的法律规定；

在系统运行过程中启用稳定可靠的监测和记录机制；响应攻击事件时力求保全有效证据；分析攻击现场，追溯攻击源；后续活动。证据链需求；安全日志记录；攻击时刻系统快照；现场勘查记录；人员访谈记录等。

服务输入服务输出 󰂗 攻击取证分析报告；

󰂗 其他供后续活动所需的资料。

攻击取证应该和应急响应紧密结合起来，它更多强调与法律诉讼相关的活动，所以，一切证据的获取以及操作过程都应该符合相关法律的要求。

注意事项（6）安全通告服务

服务名称目标描述安全通告服务（Security Notification Service）（代号：PPT-SS09）

在组织与其他安全机构之间建立一种紧密的信息沟通渠道，以便最新的安全信息能够被组织获知，并及时作出响应。信息安全管理人员、网络和系统管理员。

󰂄 与专业的安全服务提供商或信息发布机构建立沟通渠道；

󰂄 遇到关系信息安全的最新消息，甄别后及时通知目标组织，包括：

¾ 最新的漏洞信息； ¾ 厂商的安全通告；

¾ 权威专业组织的安全通告； ¾ 预警消息；

¾ 重大事件和问题通告。 󰂗 组织向有关机构提出通告申请，明确通告内容。 󰂗 不定期发布的安全通告消息和相关建议。

对于网络和系统管理人员，特别是复杂网络和系统的管理人员，由于时间和工作关系，通常没有精力收集并分类相关的安全报告，使得网络中总会存在

相关人员服务过程服务输入服务输出注意事项 52

信息安全管理系列指导文件（ISMG）

被忽视的安全漏洞。作为专业的安全服务组织，很多机构有能力去维护最新最全面的安全资料库，收集、整理和分析来源于全球的各类安全信息，并且保持信息的同步有效。为此，组织可以与这些专业机构签订安全通告协议，接受定制的通告消息，及时发现并解决问题。

3.3.7 安全培训

（1）安全意识培训

服务名称目标描述安全意识培训（Security Awareness Training）（代号：PPT-TS02）

面向组织的一般员工和非技术人员，目的是提高整个组织普遍的安全意识和人员安全防护能力，使组织员工充分了解既定的安全策略。组织所有承担安全责任并与安全策略执行相关的人员。 󰂄 󰂄 󰂄 󰂄 󰂄

制定安全意识培训计划；准备安全意识培训材料；实施安全意识培训；培训考核；培训总结。

相关人员服务过程服务输入 󰂗 供安全意识培训的各类材料； 󰂗 安全意识培训计划。 󰂗 安全意识培训考核结果； 󰂗 培训总结报告。

安全意识培训主要牵涉的内容有： 󰂗 信息安全的严峻现实

󰂗 信息安全面临的威胁和风险 󰂗 典型的安全问题 󰂗 常见的黑客攻击手法 󰂗 信息和信息安全的定义 󰂗 信息安全的解决之道 󰂗 信息安全策略宣讲 󰂗 一些典型的安全事项：

¾ 病毒/木马的侵害及解决办法

¾ Web访问和邮件收发的安全性及解决办法 ¾ 个人安全防护意识 ¾ 个人安全防护手段

服务输出注意事项 53

信息安全体系建设与服务过程（ISMG-002）

（2）安全管理培训

服务名称目标描述安全管理培训（Security Management Training）（代号：PPT-TS03）面向组织的最高管理层和信息安全管理人员，目的是提升组织整体的信息安全管理水平和能力，帮助组织有效建立信息安全管理体系。组织的信息安全管理人员和体系规划人员。 󰂄 󰂄 󰂄 󰂄

制定安全管理培训计划；准备安全管理培训材料；实施安全管理培训；培训总结。

相关人员服务过程服务输入 󰂗 供安全管理培训所需的资料； 󰂗 安全管理培训计划。 󰂗 安全管理培训总结。

信息安全管理培训牵涉的内容主要有： 󰂗 信息和信息安全；

󰂗 信息安全管理发展现状； 󰂗 建立信息安全管理体系； 󰂗 风险管理和风险评估； 󰂗 风险处理措施；

󰂗 信息安全管理相关标准（BS7799、ISO13335、AS/NZS4360等）。

服务输出注意事项（3）安全技术培训

服务名称目标描述安全技术培训（Security Technology Training）（代号：PPT-TS04）面向组织的网络和系统管理员、技术开发人员等，目的是提升其安全技术操作水平，培养解决安全问题和杜绝安全隐患的技能。系统和网络管理员、技术开发人员、安全管理员等。 󰂄 󰂄 󰂄 󰂄 󰂄

制定安全技术培训计划；准备安全技术培训材料；实施安全技术培训；培训考核；培训总结。

相关人员服务过程服务输入 󰂗 供安全技术培训所需的资料；

信息安全管理系列指导文件（ISMG）

󰂗 必要的操作实验环境； 󰂗 安全技术培训计划。

服务输出注意事项 󰂗 安全技术培训总结。

安全技术培训的主要内容包括： 󰂗 系统和网络安全的基本概念； 󰂗 典型的技术脆弱性； 󰂗 典型的黑客攻击手段；

󰂗 各种常见操作系统的安全配置要点； 󰂗 各种网络设备的安全配置要点；

󰂗 各种典型应用系统的安全配置要点； 󰂗 典型工具的运用； 󰂗 日常安全操作与管理； 󰂗 典型安全产品的简要介绍；

（4）黑客攻防培训

服务名称目标描述黑客攻防培训（Hacker Attack&defence Training）（代号：PPT-TS05）面向网络和系统管理员、安全管理员、安全操作人员等，目的是提升组织辨别并处理黑客攻击事件的能力，为有效应对攻击做好准备。网络和系统管理员、安全管理员、安全操作人员等。 󰂄 󰂄 󰂄 󰂄 󰂄

制定黑客攻防培训计划；准备黑客攻防培训材料；实施黑客攻防培训；培训考核；培训总结。

相关人员服务过程服务输入 󰂗 供黑客攻防培训所需的资料； 󰂗 必要的操作实验环境； 󰂗 黑客攻防培训计划。 󰂗 黑客攻防培训总结。

黑客攻防培训的主要内容有：

󰂗 TCP/IP协议栈安全性分析（基础） 󰂗 网络及系统漏洞深度发掘（问题） 󰂗 黑客攻击手段及技巧剖析（攻击） 󰂗 安全攻防典型案例介绍（案例） 󰂗 安全防护对策及解决方案（防御）

服务输出注意事项 55

信息安全体系建设与服务过程（ISMG-002）

󰂗 󰂗 󰂗 󰂗 系统安全配置要点（维护）

信息安全技术及管理概述（扩展）黑客攻防技术实验（实战）自我测试（巩固）

（5）技术产品培训

服务名称目标描述安全产品培训（Security Products Trainging）（代号：PPT-TS06）

面向安全产品操作和管理人员，目的是帮助组织提升安全产品使用和配置的效率及效力，充分发挥技术产品的防护作用。

安全产品操作、维护和管理人员，系统和网络管理人员。 󰂄 󰂄 󰂄 󰂄 󰂄

制定技术产品培训计划；准备技术产品培训材料；实施技术产品培训；培训考核和认证；培训总结。

相关人员服务过程服务输入 󰂗 供技术产品培训所需的资料； 󰂗 必要的操作实验环境； 󰂗 技术产品培训计划。 󰂗 技术产品培训总结。 󰂗 相关资质证书。

技术产品培训和具体产品厂商直接相关，通常是产品厂商为用户或者销售支持人员提供的。

服务输出注意事项 3.5 安全服务的有效保障

信息安全服务作为构建信息安全体系的工程过程，其实施水平和质量控制将直接关系到最终实现的信息安全体系的完整性和有效性。那么，如何保证信息安全服务的质量和水平呢？目前看来，此方面还没有一套通行的规范或者标准，但我们可以从与信息安全服务相关的不同角度出发去考虑质量保证的问题。

首先，对信息安全服务的提供者或实施者来说，为了得到客户的认可，整个信息安全服务的实施周期中都应该有健全的质量保证措施。一方面，服务提供商可以借助通行的ISO9000质量控制体系，通过服务规范、作业指导书、记录和程序等方式去实现工作范围限定、工作流程指导、工作绩效考核等事项；另一方面，作为项目运作的服务过程，应该遵循项目管理的相关要求，比如按照美国项目管理协会（PMI）创建的项目管理知识体系去实现量化的项目管理，这牵涉到目标实现、进度安排、质量控制、风险管理、预算符合等方面的

信息安全管理系列指导文件（ISMG）

内容；此外，还有一点非常重要，作为以信息安全为核心内容的工程服务过程，自然应该按照信息安全特有的控制方式去保证质量，这方面，SSE-CMM是非常不错的参考标准。SSE-CMM描述了一个组织的系统安全工程过程必须包含的基本特性，这些特性是完善安全工程的保证，也是系统安全工程实施的度量标准，同时还是一个易于理解的评估系统安全工程实施的框架。对工程服务的实施者来说，可以借助SSE-CMM规范来对自己的工程能力进行自我评估。这种评估方式是客观的、标准的，是能够最终保证工程内容以及实施过程符合最初确定的安全目标的。实际上，本文提出的P-PADIS-T安全服务模型与SSE-CMM规定的安全工程过程是一致的，这也为工程服务提供者进行质量控制提供了方便。

其次，对信息安全服务的接受者来说，也可以从以上三个方面出发去考察验证所接受的安全服务的可信性、可靠性和完整性。当然，按照SSE-CMM的设想，这套关于系统安全工程能力成熟度模型的规范应该可以成为工程获取组织判别工程提供者能力，并且识别其提供的产品和系统的可信性的标准。最后，如果要让信息安全服务能够客观有效地得到质量保障，通过权威的独立第三方机构，对服务提供者的工程服务内容及过程进行测评和监理，这样得到的结果应该具有更大的可信性。这里所说的独立第三方，包括某些认证组织、系统授权组织、系统及产品评测组织、权威的监理组织等，他们可以借助SSE-CMM或其他安全工程质量规范作为工作基础，建立起受评估组织整体能力的信任度，而这样的信任度是其所提供的系统及产品（包括服务过程）的安全保证要素。

信息安全体系建设与服务过程（ISMG-002）

4. 可供借鉴的标准和规范

无论是构建信息安全体系，还是实施信息安全服务，通常的做法都是参照国际和国内一些相关的标准规范，遵循业界的惯例，并且紧密结合自身实际，这样的体系才能被较为普遍地接受。

前面在介绍安全体系和服务的时候已经参照提及了一些典型的标准规范，行文最后，我们再对相关的一些标准规范做简单的介绍，谨供参考。

4.1 BS7799标准

BS 7799是英国标准协会（British Standards Institute，BSI）于1995年2月制定的信息安全标准，1999年5月，BSI对BS 7799进行了修订改版，发展成为后来最主要的一个版本，2000年12月，BS 7799内容中的第一部分被ISO采纳，正式成为ISO/IEC 17799标准。目前，BS 7799已经受到广泛承认，成为事实上一个通行的信息安全标准。

BS 7799分两个部分，第一部分，也就是纳入到ISO/IEC 17799:2000标准的部分，是信息安全管理实施细则（Code of Practice for Information Security Management），主要供负责信息安全系统开发的人员作为参考使用，其中分十个标题，定义了127个安全控制。

BS7799-1:1999（ISO/IEC 17799:2000）中的十个内容标题分别是：

󰂄 安全策略（Security policy）；

󰂄 组织安全（Organization security）

󰂄 资产分类和控制（Asset classification and control）； 󰂄 人员安全（Personnel security）；

󰂄 物理和环境安全（Physical and environmental security）；

󰂄 通信和操作管理（Communication and operation management）； 󰂄 访问控制（Access control）；

󰂄 系统开发和维护（System development and maintenance）； 󰂄 业务连续性管理（Business continuity management）； 󰂄 符合性（Compliance）。

BS 7799标准的第二部分内容，是建立信息安全管理系统（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理系统的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到BSI最终的认证（对依据BS7799-2建立的ISMS进行认证），还有一系列相应的注册认证过程。作为一套管理标准，BS7799-2指导相关人员怎样去应用ISO/IEC 17799，其最终目的，还在于建立适合企业需要的信息安全管理系统（ISMS）。

目前，BS 7799-2的2002年版本已经递交ISO组织，可望成为国际标准。具体内容，可以参见BSI的网站：

http://www.bsi-global.com/Information+Security/page/index.xalter

信息安全管理系列指导文件（ISMG）

4.2 ISO13335标准

ISO 13335，即IT安全管理指南（Guidelines for the Management of IT Security，GMITS），是一个信息安全管理方面的指导性标准，其目的是为有效实施IT安全管理提供建议。

ISO 13335分成5个部分：

󰂄 ISO/IEC13335-1:1996，IT安全概念与模型（Concepts and models for IT Security），

这部分包含了对IT安全和安全管理中一些基本概念和模型的解释。

󰂄 ISO/IEC13335-2:1997，IT安全管理和计划（Managing and planning IT Security），这

部分建议性地介绍了IT安全管理和计划的方式和要点。

󰂄 ISO/IEC13335-3:1998，IT安全管理技术（Techniques for the management of IT

Security），这部分描述了风险管理技术、IT安全计划的开发、实施和测试，还包括策略审查、事件分析、IT安全教育等后续内容。

󰂄 ISO/IEC13335-4:2000，安全措施的选择（Selection of safeguards），这部分描述了针

对一个组织特定环境和安全需求可以选择的安全措施，不仅仅是技术性措施。 󰂄 ISO/IEC13335-5:2001，网络安全管理指南（Management guidance on network

security），这部分提供了关于网络和通信安全管理的指导性内容。该指南为识别和分析建立网络安全需求时需要考虑的通信相关因素提供支持，也包括对可能的安全措施方面的简要介绍。

4.3 NIST SP800-35

美国国家标准技术协会（National Institute of Standards and Technology，NIST）发布的Special Publication 800文档是一系列针对信息安全技术和管理领域的实践参考指南，其中，SP800-35名为《Guide to Information Technology Security Services》，即《信息技术安全服务指南》。

在SP800-35中提到的IT安全服务，包括从安全策略开发，到入侵检测支持等全面的信息安全实践活动，这些安全服务可以由组织内部的IT部门提供，也可以借助外部机构来提供，但无论做何选择，对于负责选择、实施和管理IT安全服务的人员来说，必须了解其中的过程和程序，权衡各种可能性，有效利用能够满足IT安全需求的资源。

在选择、实施和管理IT安全服务时需要注意很多因素，包括服务协议的类型、服务提供者的资质、信誉和经验、对组织系统、应用和数据的保护需求。对这些因素的考虑不同程度上有赖于服务的规模、类型、复杂度、成本和重要性。

基于以上设想，SP800-35通过引入IT安全服务生命周期的概念，向选择、实施和管理IT安全服务的人员提供指导和帮助。IT安全服务生命周期提供了一个框架，围绕这个框架， IT安全决策者可以从安全服务的初始阶段到最终结束一直能够有效组织人力物力。对IT安全服务过程进行系统化管理是非常重要的，IT安全决策者不但需要考虑成本和安全需求，也要考虑到组织的使命和战略职能、组织人员、服务提供商的协议等。

所谓的IT安全服务生命周期包含六个阶段：

阶段1：初始化（Initiation）—— 通过调查是否实施一个IT安全服务能够改进组织IT安全程序的效力，组织可以确定提出一项需求的必要性。

阶段2：评估（Assessment）—— 借助一些判断尺度并识别各种方案，组织对当前的环境进行评估。

阶段3：方案（Solution）—— 决策者开发业务案例，选择合适的服务方案。

信息安全体系建设与服务过程（ISMG-002）

阶段4：实施（Implementation）—— 组织委托合适的服务提供商，开发服务协议，实施服务方案。

阶段5：操作（Operations）—— 通过对服务提供商和组织绩效的一致性检查，确保操作的成功。

阶段6：结束（Closeout）—— 组织确保服务结束时可以平稳过渡。图4.1所示即SP800-35提出的IT安全服务生命周期。

图4.1 IT安全服务生命周期

需要注意的是，尽管这份指南提供了一个可用来管理IT安全服务相关事宜的生命周期概念，但它并没有对具体的IT安全服务项目作出描述，包括IT安全服务协议、IT安全服务部署，或者是IT安全服务提供商。每个组织都必须根据自身情况，分析特定需求，选择、实施和考虑符合需求的IT安全服务。

4.4 其他标准和规范

󰂄 ISO 7498-2 —— 1989年ISO组织制定的《信息处理系统开放系统互连基本参

考模型第2部分安全体系结构》，该标准对安全服务及相关机制进行了一般描述。 󰂄 TCSEC —— 可信计算机系统评估标准（Trusted Computer System Evaluation

Criteria），即桔皮书（Orange Book），是美国国防部1985年制定的，为计算机安全产品的测评提供了方法和依据。

󰂄 ITSEC —— 信息技术安全评估标准（Information Technology Security Evaluation

Criteria），西欧四国（英、法、德、荷）1991年发布，首次提出了信息安全的保密性、完整性和可用性的概念。我国等同采用该标准，即GB 17859。 󰂄 CTCPEC —— 加拿大可信计算机产品评估标准。 󰂄 FC —— 美国信息技术安全评价联邦标准（1993年），是一个过渡标准，后来结

信息安全管理系列指导文件（ISMG）

󰂄

󰂄 󰂄

󰂄

合ITSEC、CTCPEC共同发展成了CC。 CC —— 通用准则（Common Criteria），1993年6月，美国、加拿大及欧洲四国共同协商并起草通过了CC标准，最终将其推进到国际标准，即ISO 15408。CC的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价标准。我国等同采用该标准，即GB 18336。

参考网址是：http://csrc.nist.gov/cc/ccv20/ccv2list.htm

SSE-CMM —— 美国国家安全局（NSA）于1993年提出的专门用于系统安全工程的能力成熟度模型构想。该模型定义了一个安全工程过程应有的特征，这些特征是完善安全工程的根本保证。SSE-CMM被ISO组织采纳为ISO/IEC DIS 21827。 IATF —— 美国国家安全局（NSA）制定的信息保障技术框架（Information Assurance Technical Framework），为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题，其代表理论为“深度保卫战略（Defense-in-Depth）”。IATF强调人、技术、操作这三个核心原则，关注四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施。目前IATF已经发展到了第四版。

AS/NZS 4444 —— 这是澳大利亚和新西兰采用的一个信息安全管理标准，实际上就是等同采用BS 7799，它也包含两个部分：AS/NZS 4444-1:1999，信息安全管理——信息安全管理实施细则（Information Security Management – Code of Practice for Information Security Management）；AS/NZS 4444-2:2000，信息安全管理——信息安全管理系统规范（Information Security Management – Specification for Information Security Management Systems）。

AS/NZS 4360 ――这是澳大利亚和新西兰颁布的一个关于风险管理的标准，即AS/NZS 4360:1999 Risk Management。AS/NZS 4360定义了风险管理过程的5个步骤：环境建立（Contexts established），风险识别（Risks identified），风险分析（Risks analysed），风险评价（Risks evaluated），风险处理（Risks treated）。

ISO 18044（TR） —— Information Security - Security Techniques - Information Security Incident Management。该技术报告为信息安全管理者以及信息系统管理者提供了有关信息安全事件管理的指导。恰当的信息安全事件管理要求经过充分的计划和准备，包括技术性、组织性和程序性三个方面。如果要进行有效响应，开发全面的信息安全事件（和弱点）报告和处理方案的文档是个关键，包括一些相关程序、过程和支持工具。所有相关人员都应该清楚利害关系，否则信息安全事件管理很难成功。此外，所有活动必须遵循信息安全事件管理策略。

RFC2196 —— IETF（Internet Engineering Task Force）发布的站点安全手册（Site Security Handbook），提出了许多保证信息与网络服务安全的基本措施及可行办法，对技术及管理人员有很大的帮助。http://www.ietf.org/rfc/rfc2196.txt RFC2504 —— 用户安全手册（User Security Handbook）。

NIST的SP 800系列 —— 美国国家标准技术协会（National Institute of Standards and Technology，NIST）发布的Special Publication 800文档是一系列针对信息安全技术和管理领域的实践参考指南，参考网址是：http://csrc.nist.gov/

GAO/AIMD文档 —— 美国审计总局（General Accounting Office，GAO）的审计与信息管理部（Accounting and Information Management Division）发布过几篇关于信息安全风险管理的指南：GAO/AIMD-98-68和GAO/AIMD-00-33，参考网址是：http://www.gao.gov/special.pubs/cit.html

加拿大CSE的ITSG和MG系列 —— 加拿大CSE（Communications Security

信息安全体系建设与服务过程（ISMG-002）

󰂄

Establishment）关于IT安全指南的ITSG系列文档和管理指南的MG系列文档，是CSE为加拿大政府电子信息和信息基础设施保护提供的建议和指导性文件。参考网址是：http://www.cse.dnd.ca/

ACSI33 —— 澳大利亚国防警报理事会（Defence Signals Directorate）为政府IT系统发布的关于澳大利亚通信安全指示的编号为33（Australian Communications Security Instruction Number 33，ACSI33）的安全指南文档。内容含盖了所有澳大利亚联邦政府电子信息系统中所涉及的安全话题，其中包括风险管理。参考网址是：http://www.dsd.gov.au/infosec/publications/acsi33.html

OCTAVE —— Operationally Critical Treat, Asset, and Vulnerability Evaluation，Carnegie Mellon大学创建的一种全面的、系统的、环境驱动的信息安全风险自我评估的方法。遵循OCTAVE方法，组织可以基于关键信息资产CIA所面临的风险来作出信息保护决策。参考网址是：http://www.cert.org/octave/

IT基线保护手册 —— 德国联邦信息技术安全局（The Federal Agency For Security In Information Technology in Germany）颁布的IT基线保护手册（IT Baseline Protection Manual），提出了一整套安全实施的推荐标准，对典型的IT组织有很好的参考价值。参考网址是：http://www.bsi.bund.de/gshb/english/menue.htm

CobiT —— 美国信息系统审计与控制协会（Information Systems Audit and Control Association）针对IT过程管理制定的一套基于最佳惯例的控制目标。参考网址是：http://www.isaca.org/ct_frame.htm

󰂄 ITIL —— 信息技术基础设施库（IT infrastructure Library），是由英国中央计算

机与电信局（CCTA）开发和制定的关于IT服务管理最佳惯例的建议和指导方针。这是一套全面的、一致的针对IT过程的方案。BS 7799、CobiT、ITIL可以结合使用，BS 7799强调安全控制，但并没有叙述流程；CobiT提供了一套IT控制和度量标准，但并不特指安全；ITIL侧重IT管理过程，但在安全和系统开发方面并没有太多涉及。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文