本节书摘来自华章出版社《信息安全保障》一书中的第2章，第2.3节，作者 吴世忠 江常青 孙成昊 李华 李静，更多章节内容可以访问云栖社区“华章计算机”公众号查看

2.3　信息安全保障工作方法

信息安全问题的复杂性和信息安全范畴的广泛性，决定了开展信息安全保障工作，需要有科学的方法。将信息安全保障工作划分为确定信息安全需求、设计并实施信息安全方案、信息安全测评、监测与维护信息安全4个阶段过程，既是一种有效的信息安全保障工作方法，也是合理的信息安全保障工作步骤。

2.3.1　确定信息安全需求

信息安全需求是安全方案设计和安全措施实施的依据。准确地提取安全需求，一方面可以保证安全措施全面覆盖信息系统面临的风险，使安全防护能力达到业务目标和法规政策要求。另一方面可以提高安全措施的针对性，避免不必要的安全投入，防止浪费。
1.?信息系统安全保障需求来源
信息系统安全保障需求，主要来源于以下3个方面：首先是符合性要求（也称为遵循性要求），即信息系统安全保障策略必须遵循国家相关法律法规、标准、行业规定以及机构整体安全策略，如等级保护要求等；其次是信息系统所承载业务正常运行的需求，不同业务对于信息安全的属性要求不同，如军队、政府部门常常把信息的保密性放在首位，能源、交通等行业往往把可用性放在首位，金融等行业更重视信息的完整性，但无论哪个业务，都不能只片面地考虑某一个属性而忽略其他属性的要求；最后是信息系统所面临的风险，需要根据风险的轻重缓急，重点将重大和急迫风险的消除或降低作为保障需求。
2.?需求制定方法
信息系统安全保障的具体需求由信息系统保护轮廓（Information Systems Protection Profile，ISPP）确定。ISPP是根据组织机构使命和所处的运行环境，从组织机构策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述。它是从信息系统所有者（用户）的角度规范化、结构化地描述信息系统安全保障需求。
根据ISSP要求，信息系统安全需求的标准格式应包括如下7个部分：引言、信息系统描述、信息系统安全环境、安全保障目的、安全保障要求、ISPP应用注解以及符合性声明。
其中，信息系统描述主要是说明信息系统的范围、网络结构、主机操作系统与数据库、应用等方面内容。信息系统安全环境主要描述信息系统所处的环境、面临的威胁、信息系统采用的安全策略等。安全保障目的主要描述预期安全需求要达到的目标，需要指出的是，安全目的不宜涉及安全需求的实现细节。
安全保障要求是安全需求的主要陈述部分，包括控制要求和能力成熟度（Capability Maturity，CM）要求。安全保障要求的组成如下：一是安全技术保障要求，技术保障要求来自支持信息系统安全保障的那些技术领域中期望的安全行为，GB/T 20274《信息系统安全保障评估保障评估框架》第2部分定义了安全技术保障控制要求和技术架构能力成熟度级；二是安全管理保障要求，管理保障要求来自支持信息系统安全保障的那些管理领域中期望的安全行为，GB/T 20274《信息系统安全保障评估保障评估框架》第3部分定义了安全管理保障控制要求和管理能力成熟度级；三是安全工程保障要求，工程保障要求来自支持信息系统安全保障的那些工程领域中期望的安全行为，GB/T 20274《信息系统安全保障评估保障评估框架》第4部分定义了安全工程保障控制要求和工程能力成熟度级。通过合理选择安全技术、管理和工程保障控制要求及其能力成熟度级，可以确保达到一定的安全保障目的。
ISPP应用注解是补充一些相关附加信息，符合性声明则说明安全保障目的符合安全环境要求，安全保障要求满足安全保障目的。

2.3.2　设计并实施信息安全方案

信息安全保障解决方案是一个动态的风险管理过程，通过对信息系统全生命周期的风险控制，来解决在运行环境中信息系统安全建设所面临的各种问题，从而有效保障业务系统及应用的持续发展。
信息安全保障方案是以安全需求为依据进行设计的。在设计安全方案时，需要确保方案贴合实际，具有可实施性，包括可接受的成本、合理的进度、技术可实现性，以及组织管理和文化的可接受性。
在工作中，可以根据信息系统安全目标（Information Systems Security Target，ISST）来规范地制订信息安全方案。ISST根据ISPP编制，从信息系统安全保障建设方（厂商）的角度制定信息系统安全保障方案。
根据ISST要求，信息系统安全方案的标准格式应包括如下8个部分：引言、信息系统描述、信息系统安全环境、安全保障目的、安全保障要求、信息系统概要规范、ISPP声明，以及符合性声明。其中，引言、信息系统描述、信息系统安全环境、安全保障目的、安全保障要求部分与ISPP一致。
信息系统概要规范包括信息系统安全功能满足哪一个特定的安全功能需求，保证措施满足哪一个特定的安全保障要求，以及相应的解释、证明等支持材料。与ISPP类似，在编制这部分内容时，从GB/T 20274《信息系统安全保障评估框架》的第2部分选择具体技术组件，第3部分选择管理组件，第4部分选择工程组件。
实施信息安全保障方案时，要以方案为依据，覆盖方案所提出的建设目标和建设内容。另外，在实施过程中，应规范实施过程，有效控制实施质量、进度、成本及变更，充分考虑实施风险，如资源不足、对业务正常运行造成的影响、信息泄露或破坏等。

2.3.3　信息安全测评

信息安全测评是依据相关标准，从安全技术、功能和机制等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估。
1.?信息技术产品安全测评
信息技术产品安全测评是测评机构对产品的安全性做出的独立评价，目的是提供产品的安全性证据，增强用户对已评估产品安全的信任，向消费者提供采购依据，推动信息安全技术发展，提高信息技术安全科研和生产水平。
测评级别是根据国家标准GB/T 18336《信息技术安全性评估准则》，通过对信息技术产品的安全性进行独立评估后所取得的安全保证等级，表明产品的安全性及可信度。通过测评的级别越高，表明该产品的安全性与可信度越高，可对抗更高级别的安全威胁，适用于更高风险的环境。
信息产品安全的测评认证由低到高划分为7个级别，即CC的评估保证级（Evaluation Assurance Level，EAL）1到7级。其中，EAL1主要是功能测试，通过该级别测评的产品主要适用领域是个人及简单商用环境，需要保护的信息价值较低；EAL2主要是结构测试，通过该级别测评的产品主要适用领域包括个人、一般商用或简单政务应用，所需保护的信息价值不太高或者是敏感但不保密的信息，其应用环境的安全风险较低；EAL3是系统地测试和检查，通过该级别测评的产品主要适用领域包括具有适当安全需求的一般政务应用、特定商用和简单军用，其应用环境存在中度安全风险；EAL4是系统地设计、测试和复查，通过该级别测评的产品主要适用领域是具有较高安全需求的特定政务应用、关键商用和一般军用环境；EAL5是半形式化设计和测试，通过该级别测评的产品主要适用领域包括安全需求很高的关键政府部门、核心商用和军事环境；EAL6是半形式化验证的设计和测试，通过该级别测评的产品主要适用领域包括具有极高安全需求的政府要害部门、要害商用和军事环境；EAL7是形式化验证的设计和测试，通过该级别测评的产品主要适用领域是具有最高安全需求的核心处理领域，包括政府、军队、商业领域的极关键机构和场所的极关键信息处理环境。
2.?信息系统安全测评
目前，我国常见的信息系统安全测评包括信息系统风险评估、信息系统等级保护测评，以及信息系统安全保障测评。
（1）信息系统风险评估
信息系统风险评估是从风险管理的角度，运用科学的方法和手段，全面分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御威胁的防护对策和改进措施，并为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障网络和信息安全提供科学依据。
（2）信息系统等级保护测评
信息系统等级保护测评是对信息系统安全等级保护状况进行测试评估，包括两个方面的内容：一是单元测评，依据等级保护测评相关标准对GB/T 22239所要求的基本安全控制在信息系统中的实施配置情况进行测评；二是整体测评，主要测评信息系统的整体安全性，是在单元测评的基础上，对信息系统开展整体测评，可以进一步分析信息系统的整体安全性。整体测评主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。
（3）信息系统安全保障测评
信息系统安全保障测评是在风险评估的基础上，评估信息系统生命周期中采取的技术类、管理类、过程类和人员的安全保障措施，确定信息系统安全保障措施对系统履行其职能的有效性及其对面临安全风险的可承受度。
对信息系统的安全保障测评，首先需要根据信息系统运行环境及相关的ISPP进行描述，然后依据需求编制满足用户需求的信息系统安全保障方案，即ISST。评估者依据这些文件对信息系统安全保障方案满足ISPP的符合情况进行评估，在此基础上，依据国标GB/T 20274《信息系统安全保障评估框架》对信息系统的技术、管理和工程3个方面的能力成熟度级别进行评价，最终确定信息系统安全保障能力级别。
在管理方面，依据《信息系统安全保障评估框架第3部分：管理保障》，安全管理能力成熟度级（security Management Capability Maturity Level，MCML）分为5级，由低到高分别为MCML1、MCML2、MCML3、MCML4和MCML5。其中，MCML1表明组织机构内部能够依据经验进行部分的安全管理工作；MCML2表明组织机构能够建立完善的管理体系来规范安全管理能力；MCML3表明组织机构能够采取有效措施来敦促管理体系的落实和实施；MCML4表明组织机构所制定的管理体系不仅能够有效实施，而且还能够对实施管理措施的效果进行测试；MCML5表明机构能够对管理体系进行持续性改进。
在工程方面，依据《信息系统安全保障评估框架第4部分：工程保障》，安全工程能力成熟度级（security Engineering Capability Maturity Level，ECML）分为5级，由低到高分别为ECML1、ECML2、ECML3、ECML4和ECML5。
在技术架构方面，依据《信息系统安全保障评估框架第2部分：技术保障》，安全技术能力成熟度级（security Technique Capability Maturity Level，TCML）分成5级，即TCML1、TCML2、TCML3、TCML4和TCML5。在安全产品选用上可以参照国标GB/T 18336《信息技术安全性评估准则》的要求，为不同安全等级的信息系统选用相应安全保证级的产品。
3.?信息安全服务资质评估
信息安全服务资质评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价。资质等级的评定是在其基本资格和能力水平、组织管理水平、安全工程基本过程的实施和控制能力等方面的单项评估结果基础上，针对不同服务种类，综合评价后确定的，并由国家测评机构授予相应的资质级别。其中，基本资格是评定安全服务机构的起评条件，如独立法人、具备安全服务许可资格和无违法行为记录等。基本能力要求是评定服务机构资质等级的基础，包括服务机构的组织架构和管理、规模和资产、质量保证、技术能力、人员构成与素质、设备设施与环境、业绩和培训等。工程能力是评定安全服务机构资质的主要依据，标志着服务机构提供给客户的安全服务专业水平和质量保证程度。
信息安全服务资质等级反映了安全服务机构的综合实力，包括该机构的安全服务资格、水平和能力。服务资质等级分为5级，由1级到5级递增。1级是基本执行级，表明服务机构具备为客户提供基本信息安全服务的能力；2级是计划跟踪级，表明服务机构能够为提供的服务制订周密的计划，并按照计划规范执行，同时能够提供证据确认过程按预定的方式执行，并能够控制项目进展；3级是充分定义级，服务机构定义该机构服务过程，并依据项目特点对已批准发布的标准过程进行适当裁减以适应特定项目，与第2级相比，该级别的服务机构能够利用机构范围内的标准过程来管理和规划，同时能够通过项目和组织活动的协调，确保大型安全服务项目的实施质量；第4级是定量控制级，该级别的服务机构管理是客观的、工作产品质量是量化的，能够收集和分析执行过程的详细测量，获得对过程能力和改进能力的量化理解以预测项目执行情况；第5级是连续改进级，该级别的服务机构能够通过执行已定义的过程和有创见的新概念、新技术的量化反馈，来保证对这些目标进行可持续的过程改进。
4.?信息安全人员认证
信息安全保障工作的核心因素是人。国家、社会和各单位对信息安全专业人员的需求逐年增加，但社会需求与人才供给之间还存在着很大差距，人才问题已经成为当前严重制约信息安全保障能力的瓶颈。因此，开展信息安全专业人员培训认证，为政府、行业和企业输送更多的专业化技术人员已经成为使各行业提升自身信息安全保障水平的重要基础性因素。
注册信息安全专业人员根据工作领域和实际工作岗位的需要，分为如下5个方向。
1）注册信息安全工程师（Certified Information Security Engineer，CISE）：持证人员从事信息安全技术领域的工作，具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力。
2）注册信息安全管理人员（Certified Information Security Officer，CISO）：持证人员从事信息安全管理领域的工作，具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。
3）注册信息安全开发人员（Certified Information SecurityDeveloper，CISD）：持证人员主要从事软件开发、硬件设计，在全面掌握信息安全基本知识技能的基础上，具有较强的安全开发能力、熟练掌握应用安全。
4）注册信息安全审计师（Certified Information System Auditor，CISA）：持证人员主要从事信息安全审计工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息安全审计、安全检查实践能力。
5）注册信息安全专业人员-灾难恢复工程师（Certified Information Security Professional-Distribution Resource Planning，CISP-DRP）：持证人员主要从事信息系统灾难恢复工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息系统灾难恢复建设和管理的实践能力。
CISP的知识体系结构主要涵盖5个领域：信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规，具体结构如图2-2所示。

2.3.4　信息安全监测与维护

信息安全风险是动态变化的，信息系统安全保障需要覆盖信息系统的整个生命周期。因此，必须持续进行风险评估，时刻监控信息系统安全风险的变化，这是信息安全保障的一项基础性工作，变化的风险为系统提供新的安全需求，也是安全决策的重要依据。只有加强系统内部风险和攻击事件的监测，形成持续改进的信息系统安全保障能力，才能有效保障系统的安全。以风险管理为基础的信息安全维护工作包括安全漏洞和隐患的消控，保持有效事件管理与应急响应机制，实现强大的信息系统灾难恢复能力。
思考题
1.?我国信息安全保障工作的基本思路是什么？我国信息安全保障工作的目标有哪些？
2.?构建国家信息安全保障体系主要包括哪些方面的内容？
3.?如何获得、维护并持续提高信息安全保障能力？