隨著《電子政務(wù)信息安全等級保護(hù)實施指南》和《信息安全等級保護(hù)管理辦法》等一系列文件的頒布,對在等級保護(hù)政策環(huán)境下進(jìn)行信息系統(tǒng)安全建設(shè)的各種指南和規(guī)范逐漸形成,國家相關(guān)主管部門在信息系統(tǒng)等級保護(hù)相關(guān)文件中則明確規(guī)定了不同等級信息系統(tǒng)普適的安全保護(hù)要求。而不同信息系統(tǒng)由于所處的環(huán)境和承載的業(yè)務(wù)不同,對于系統(tǒng)安全的具體需求也相應(yīng)有所差異。如何確定信息系統(tǒng)安全需求,作為信息系統(tǒng)安全建設(shè)的基礎(chǔ)和起點,對設(shè)計合理的信息系統(tǒng)安全保障體系則具有重要的作用和意義。
用戶目標(biāo)定位
信息系統(tǒng)安全需求大致來源于四個方面:國家信息安全法律法規(guī)對組織信息系統(tǒng)安全的要求;組織信息系統(tǒng)安全規(guī)劃;組織業(yè)務(wù)性質(zhì)確定的特殊要求;風(fēng)險評估結(jié)果。目前,在等級保護(hù)政策指導(dǎo)下,衛(wèi)士通安全服務(wù)在確定信息系統(tǒng)的安全需求主要包括等級保護(hù)、風(fēng)險評估、安全要求確定、系統(tǒng)安全規(guī)劃和確定信息系統(tǒng)安全需求五大模塊。
![]("http://product.ccidnet.com/col/attachment/2007/11/1282757.gif")
衛(wèi)士通確定信息系統(tǒng)安全需求過程圖
等級保護(hù)需求分析
在等級保護(hù)需求模塊中,確定信息系統(tǒng)范圍是進(jìn)行信息系統(tǒng)安全建設(shè)的首要工作。如今,各組織機(jī)構(gòu)形式不盡相同:既只有一個信息系統(tǒng),也可能有多個信息系統(tǒng);信息系統(tǒng)可能存在于同一個物理區(qū)域,也可能存在于多個跨區(qū)域、跨省市的物理區(qū)域。然而,對于同一個信息系統(tǒng),又會存在不同等級的信息系統(tǒng)子系統(tǒng)。對于多個信息系統(tǒng),其中每個信息系統(tǒng)的安全保護(hù)等級可以是相同的,也可以是不同的。所以對組織內(nèi)的信息系統(tǒng)范圍進(jìn)行明確,對每個信息系統(tǒng)的邊界以及信息系統(tǒng)處理的業(yè)務(wù)進(jìn)行明確是對信息系統(tǒng)進(jìn)行安全建設(shè)的首要任務(wù)。
其中衛(wèi)士通所采用的信息系統(tǒng)劃分是“適度安全”理念的重要體現(xiàn),通過劃分不同信息子系統(tǒng)對重要區(qū)域?qū)嵤┲攸c保護(hù)。具體而言,信息系統(tǒng)劃分可以依據(jù)不同的標(biāo)準(zhǔn),比如按照相同的管理機(jī)構(gòu)、相同的業(yè)務(wù)類型或者相同的物理位置或相似的環(huán)境。
在具體劃分時必須充分考慮系統(tǒng)的業(yè)務(wù)流程、信息流程以及系統(tǒng)的功能特性,選擇合理的劃分方法以做到劃分的子系統(tǒng)最有利于安全建設(shè)的有效性和經(jīng)濟(jì)性,以及管理的便利性,這樣才能夠有效地體現(xiàn)“等級保護(hù)、適度安全”的思想。
此外,業(yè)務(wù)子系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,與之相關(guān)的受侵害客體和對客體的侵害程度可能不同,因此,業(yè)務(wù)子系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。最后,根據(jù)業(yè)務(wù)子系統(tǒng)的安全保護(hù)等級,將業(yè)務(wù)子系統(tǒng)安全保護(hù)等級的最高者確定為信息系統(tǒng)的安全保護(hù)等級。
確定信息系統(tǒng)安全需求
根據(jù)信息系統(tǒng)安全需求的幾個輸入,衛(wèi)士通在確定信息系統(tǒng)的安全需求中在各方面重點考慮如下的內(nèi)容。
首先、信息安全法律法規(guī)與標(biāo)準(zhǔn)以及合作合同的要求。
與信息安全相關(guān)的法律法規(guī)是對組織的強(qiáng)制性要求,組織應(yīng)該對現(xiàn)有的法律法規(guī)加以識別和分析,將適用于組織的法律法規(guī)轉(zhuǎn)化為組織的信息安全需求。這里所說的法律法規(guī)有三個層次,即國家法律、行政法規(guī)和各部委和地方的規(guī)章及規(guī)范性文件。此外,組織還要考慮商務(wù)合作者和客戶對組織提出的具體的信息安全要求,包括合同約定、招標(biāo)條件和承諾等。
第二、系統(tǒng)安全規(guī)劃的要求
組織從自身業(yè)務(wù)和經(jīng)營管理的需求出發(fā),根據(jù)信息系統(tǒng)的使命和目標(biāo)制定的系統(tǒng)安全建設(shè)規(guī)劃在安全預(yù)算方面的限制以及系統(tǒng)安全建設(shè)的目標(biāo)轉(zhuǎn)化為組織的信息安全需求。
第三、系統(tǒng)安全要求
根據(jù)國家的信息系統(tǒng)分級保護(hù)相關(guān)政策,經(jīng)過風(fēng)險評估對系統(tǒng)安全要求的調(diào)整確定的系統(tǒng)安全要求作為信息系統(tǒng)安全需求的一個重要輸入。
第四、風(fēng)險評估的結(jié)果
確定安全需求最主要的另一個輸入就是風(fēng)險評估的結(jié)果,根據(jù)風(fēng)險評估的結(jié)果,對安全要求沒有涵蓋的風(fēng)險,根據(jù)風(fēng)險評估的結(jié)果對安全需求進(jìn)行補(bǔ)充。
根據(jù)上述四個輸入,得出信息系統(tǒng)的安全需求。最終,衛(wèi)士通公司將根據(jù)安全需求設(shè)計安全建設(shè)方案,通過方案實施使信息系統(tǒng)安全達(dá)到國家等級保護(hù)制度相關(guān)要求的規(guī)定,滿足客戶需求,為用戶建設(shè)一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運(yùn)營的安全保障信息系統(tǒng),切實有效地推進(jìn)我國信息安全等級保護(hù)工作的持續(xù)發(fā)展。
