文:梁迎利
当安全市场逐步壮大的时候,许多安全厂商正在从纯粹的产品提供商转变为服务提供商。而安全服务由于技术上的深度和广度等因素,对于最终客户而言,可能更需要依赖于专业的安全服务提供商。
东软网络安全事业部经过多年的发展,已经成为国内领先的网络安全产品提供商,并且在近两年我们对于安全服务投入了大量的人力和物力,对于专业的安全服务我们有了自己独到的理解。
从本期开始,我试图从个人的角度出发,写一个系列小文章,给大家介绍一下安全服务涉及的各个方面。
还需要说明的一点是,这个系列只是个人的看法和想法,与公司的服务体系没有太多的关系,仅仅为内部的技术交流。
第一节 安全服务简析
安全服务是一个非常庞大的系统,而且是一个不容易澄清的概念,在不同的从业者理念当中对于安全服务的认识也是不一样的。
首先,我们要分析几个概念,既然从事安全的服务那么我们必须要清楚什么是安全,服务针对的对象是什么。
- 信息
我们通常所谓的安全,从大的范围讲,指信息安全。像房屋、汽车一样,信息也是企业的一种资产,它具有价值,因此需要得到有效的保护。 - 安全
安全就是指通过一系列的控制措施来保证信息的机密性(C)、完整性(I)和可用性(A)。 - 安全服务
服务提供商利用自身的技术和服务优势,通过标准化的方法为客户建立一套最适合的安全防御体系,保障用户对于信息的CIA需求;通过专业的风险分析和安全评估为客户提供完善的安全解决方案。
安全服务贯穿于信息系统整个开发生命周期(SDCL)当中。
根据NIST的SP800-30,SDLC可以分为5个阶段:
Phase 1,Initial
Phase 2,Development or Acquisition
Phase 3,Implementation
Phase 4,Operation or Maintenance
Phase 5,Disposal
安全服务就是要在整个SDCL当中,针对每个阶段提供有效的服务,满足客户特定的需求。它是一个系统工程,最高级的安全服务要从初始设计规划,一直到整个开发、实施、运维以及废止阶段,保障信息的安全。 - 安全服务的内容
目前市场上的安全服务提供商内容大同小异,基本上每个厂商都是咨询、评估、加固、响应、培训等等。我个人认为目前的安全服务基本上可以分为两大类。 - 针对用户特定信息系统的安全服务
- 协助用户建立安全体系认证认可的服务
绝大多数的安全厂商在从事针对用户特定信息系统的安全服务,而且一般服务的范围有明显的划分:网络、主机、数据库和应用系统,有些也包括管理和策略领域。
如果从SDCL的角度去划分,安全服务的内容基本上可以归结如下:
| 生命周期 | 服务内容 | 贯穿性服务 |
1 | Initial | 安全咨询与规划 | 风险评估 |
2 | Development or Acquisition | | |
3 | Implementation | 安全实施,安全加固 | |
4 | Operation or Maintenance | 安全运维,应急响应,预警与通告 | |
5 | Disposal | |
对于认证认可性质的服务,一般是高端厂商或者特定机构提供。目前比较流行的安全认证认可服务主要有以下几种:
1. BS7799认证,这是BSI提供的认证针对安全管理的认证。BS7799-1对应的国际标准是ISO17799,主要是信息安全管理纲要,在2005年BS7799-2,正式成为国际标准ISO27001,它介绍了如何建立一个信息安全管理体系(ISMS)。BS7799安全管理认证是目前国际上最权威的有关安全管理的认证。
2. 中国国家级别认证,目前大家都在谈论的认证就是公安部推荐的“等级保护”认证。虽然等级保护的标准一直在论证当中,不过相信不久会作为一种强制标准在政府机构推行。
当然还有其它认证相关的服务,不过目前众多安全公司企图进入或者参与的认证认可服务主要是以上两个。
- 安全服务应该具备的特点
用户对于安全服务的认知还有待进一步的挖掘,作为安全服务提供者自身应该提出更具特色的服务。我认为一个成功的安全服务体起码西药涵盖三个方面的解决方案:安全技术、专业化的服务、以及相关的过程和方法。
体系化:信息系统的安全构成了一个完整的体系,从最上层的管理、策略,一直到最底层的IT系统的支撑设备,在考虑IT安全问题的时候所有这些元素在都是必不可少的。因为只有从体系的角度出发,才能高屋建瓴,有效把握安全的各个细枝末节,才能做到算无遗策;只有从体系的角度出发,才能顾及信息安全的整个生命周期,综合所有安全的技术元素为我所用。
标准化:安全服务要基于通用的国际标准和国家标准,针对不同行业还遵循其相关的行业标准。一个标准化的技术体系,首先保证了安全服务方法的科学化和有效性,同时对于各个相关标准的遵循,最大限度保证了客户业务和后续服务的连续性,最大限度保证了客户系统的可扩张性与兼容性。标准化的技术体系从根本上避免了国内基于经验的安全服务模式。
持续化:信息系统的安全是一个动态平衡的过程,整个安全的生命周期是波浪式推进的一个过程,随着时间的推移,新的安全问题和安全漏洞会不断暴露出来,因此在安全上并没有一劳永逸的解决办法。而目前市场上普遍流行的服务方式是“头疼医头,脚疼医脚”,将信息系统的整体性分割了,不能从体系的角度出发也就没有一个持续的服务过程。我认为,在整个信息系统的生命周期里,安全贯穿其中,而专业的安全服务也应该在整个过程中一直伴随信息系统。
规范化:服务提供要建立在经过专业机构认证的、经过多年实践检验的、得到广大用户广泛认可的流程和过程之上。就东软而言,在质量管理方面,很早就采用了ISO9000标准;在软件开发方面也在国内软件企业界率先采用CMM过程管理;在安全服务方面,采用SSE-CMM,从系统工程和能力成熟度模型出发,使得安全服务项目实施更加规范。
东软网络安全 微信号:Neusoft_NetEye
