信息系統(tǒng)安全運(yùn)維概述篇

信息系統(tǒng)安全運(yùn)維概述-內(nèi)部培訓(xùn)隨著科學(xué)技術(shù)的發(fā)展，絕大多數(shù)運(yùn)維服務(wù)工作逐漸暴露在越來越多的威脅中，并且一直處于很被動(dòng)的狀態(tài)，信息系統(tǒng)安全運(yùn)維是用于長期從事信息安全服務(wù)和信息系統(tǒng)運(yùn)維服務(wù)行業(yè)的作業(yè)規(guī)范，起到降低安全風(fēng)險(xiǎn)、保障運(yùn)維安全的作用。我們會(huì)參照SAW（信息安全保障人員認(rèn)證）向各位同仁介紹安全運(yùn)維的概念、安全運(yùn)維的主體、對(duì)象、流程、支撐平臺(tái)及運(yùn)維活動(dòng)的各個(gè)環(huán)節(jié)。一、如何理解信息系統(tǒng)？想要了解信息系統(tǒng)，需要從兩個(gè)方面入手，“信息”和“系統(tǒng)”1.1信息＞在現(xiàn)在科學(xué)中，信息指事物發(fā)出的消息、指令、數(shù)據(jù)、符號(hào)等所包含的內(nèi)容；＞信息通過一定數(shù)據(jù)形式展現(xiàn)這些數(shù)據(jù)是寄生于一定的存儲(chǔ)和傳輸載體中的；＞信息的生命周期包括信息的產(chǎn)生、存儲(chǔ)、傳輸、處理和銷毀等諸多環(huán)節(jié)；＞諸位同事可以例舉一下我們生活當(dāng)中常見的信息表現(xiàn)形式有哪些。1.2系統(tǒng)＞錢學(xué)森認(rèn)為：系統(tǒng)是由相互作用、相互依賴的若干組成部分結(jié)合而成的、具有特定功能的有機(jī)整體，而且這個(gè)有機(jī)整體又是它從屬的更大系統(tǒng)的組成部分；＞《辭?！穼?duì)系統(tǒng)的定義為：同類事物按一定的秩序和內(nèi)部聯(lián)系組合而成的整體或由要素組成的有機(jī)整體。1.3信息系統(tǒng)＞信息系統(tǒng)是“由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采翱工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)”；＞從信息的角度來說，我們認(rèn)為信息系統(tǒng)是為信息生命周期提供服務(wù)的各類軟硬件資源的總稱；＞信息是信息系統(tǒng)的處理對(duì)象，信息系統(tǒng)是信息賴以生存的環(huán)境；＞信息系統(tǒng)通常由計(jì)算機(jī)硬件系統(tǒng)、關(guān)物理設(shè)備網(wǎng)絡(luò)設(shè)施等構(gòu)成。二、什么是系統(tǒng)運(yùn)維？2.1系統(tǒng)運(yùn)維＞運(yùn)維是指對(duì)已經(jīng)建立好的信息系統(tǒng)的運(yùn)行和維信，息系統(tǒng)的運(yùn)行維護(hù)是系統(tǒng)生存的重要條件；＞從管理的角度看，系統(tǒng)運(yùn)維是指組織采用相關(guān)的方法手段、技術(shù)、制度、流程和文檔等，對(duì)信息系統(tǒng)運(yùn)行環(huán)境、業(yè)務(wù)系統(tǒng)和運(yùn)維人員進(jìn)行的綜合治理；＞從服務(wù)的角度看，系統(tǒng)運(yùn)維不再是純技術(shù)工作，而是融合了系統(tǒng)管理、網(wǎng)絡(luò)管理、系統(tǒng)開發(fā)管理等管理活動(dòng)和變更管理、資產(chǎn)管理、問題管理等許多流程的服務(wù)2.2信息安全運(yùn)維＞信息安全面臨的最普遍三類風(fēng)險(xiǎn)是信息泄露、篡改和破壞，信息安全運(yùn)維的基本目標(biāo)就是信息的保密性、完整性和可用性；＞信息系統(tǒng)安全運(yùn)維服務(wù)是以流程為向?qū)А⒁钥蛻魹橹行?、以績效評(píng)估為動(dòng)力、以保障信息系統(tǒng)基礎(chǔ)設(shè)施整體可用和為組織業(yè)務(wù)提供可靠服務(wù)為目標(biāo)的管理體系；＞在運(yùn)維環(huán)節(jié)中，要保證系統(tǒng)資源安全運(yùn)行，保護(hù)信息的安全，實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。所以，信息系統(tǒng)安全運(yùn)行包括了物理安全、運(yùn)行安全、信息安全和人員安全幾個(gè)部分；＞針對(duì)信息系統(tǒng)中信息存在的形式和運(yùn)行特，信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、病毒安全、訪問控制、加密和鑒個(gè)J部分。三、安全運(yùn)維的模型是什么樣?實(shí)施運(yùn)維運(yùn)維持續(xù)改進(jìn)合觀要求風(fēng)險(xiǎn)處.置過程實(shí)施運(yùn)維運(yùn)維持續(xù)改進(jìn)合觀要求風(fēng)險(xiǎn)處.置過程監(jiān)控W安全策略◎整\露L運(yùn)維\k至準(zhǔn)備＞模型中的資源具體包括人、財(cái)務(wù)、信息、技M類資源，這些資源在管理的基礎(chǔ)上服務(wù)于信息安全運(yùn)維模型中的各個(gè)要素，而管理是整個(gè)模型的基礎(chǔ)；K息系統(tǒng)安全運(yùn)維模型通過實(shí)現(xiàn)數(shù)據(jù)、載體、環(huán)境與"實(shí)體對(duì)象全生命周期的可用性、完整性、真實(shí)性機(jī)密性、不可否認(rèn)性等若干全屬性來支撐業(yè)務(wù)的正常進(jìn)行； 一一＞安全運(yùn)維活動(dòng)通過對(duì)組織信息系統(tǒng)安全、定運(yùn)行的保障工作來支撐業(yè)務(wù)的正常進(jìn)行；＞信息系統(tǒng)安全運(yùn)維模型中，最本質(zhì)的對(duì)象是，信息安全運(yùn)維就是利用安全技術(shù)和措施，保障業(yè)務(wù)活動(dòng)的穩(wěn)定運(yùn)行＞業(yè)務(wù)對(duì)象涉及數(shù)據(jù)、載體、環(huán)境與邊界。在信息系統(tǒng)中，信息通過數(shù)據(jù)來展現(xiàn)，數(shù)據(jù)通過載體來承載，而載體的存在依賴于一定的環(huán)境，環(huán)境存在一定的界限，即邊界；＞模型中的安全屬性包括：可用性、完整性、真實(shí)性、機(jī)密性、不可否認(rèn)性、可控性、可靠性、可追溯性等。四、安全運(yùn)維有哪些模式？信息系統(tǒng)安全運(yùn)維有兩種模式：“安全運(yùn)維”和“運(yùn)維安全”4.1安全運(yùn)維＞安全運(yùn)維是從面相業(yè)務(wù)的運(yùn)維服務(wù)出發(fā)，重點(diǎn)在運(yùn)維，是對(duì)信息系統(tǒng)現(xiàn)有的安全保障措施和安全設(shè)備進(jìn)行運(yùn)維，從而使已部署的安全保障措施和安全設(shè)備有效進(jìn)行；＞安全運(yùn)維的過程包含：運(yùn)維準(zhǔn)備、運(yùn)維實(shí)施、運(yùn)維評(píng)審與持續(xù)改進(jìn)4個(gè)階段可細(xì)分為合規(guī)要求、安全策略、運(yùn)維準(zhǔn)備、運(yùn)維實(shí)施、運(yùn)維評(píng)審與持續(xù)改進(jìn)6個(gè)環(huán)節(jié)；＞安全運(yùn)維隹備階段包含了合規(guī)要求安全策略、運(yùn)維準(zhǔn)備三個(gè)環(huán)節(jié)，該階段主要完成信息系統(tǒng)安全運(yùn)維策略制定和安全運(yùn)維前期的準(zhǔn)備工作；＞運(yùn)維實(shí)施階段重點(diǎn)解決安全策略落實(shí)和運(yùn)維服務(wù)的實(shí)施；＞運(yùn)維評(píng)審主要是對(duì)安全運(yùn)維服務(wù)的有效性進(jìn)行評(píng)價(jià);＞持續(xù)改進(jìn)是實(shí)現(xiàn)自我糾錯(cuò)、逐步提升的過程;4.2運(yùn)維安全＞運(yùn)維安全是“基于運(yùn)維活動(dòng)提供風(fēng)險(xiǎn)管控服務(wù)”，既針對(duì)安全運(yùn)維活動(dòng)中可能影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的安全風(fēng)險(xiǎn)進(jìn)行處置，其重點(diǎn)安萱（風(fēng)險(xiǎn)管理）；＞運(yùn)維安全包括：合規(guī)要求、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、過程監(jiān)控、運(yùn)維評(píng)審和持續(xù)改進(jìn)6個(gè)環(huán)節(jié)；＞合規(guī)要求、風(fēng)險(xiǎn)評(píng)估是安全需求的要來源合規(guī)要求是指運(yùn)維的安全需求對(duì)國家相關(guān)法律法規(guī)、規(guī)章制度3準(zhǔn)規(guī)范的符合性。風(fēng)險(xiǎn)評(píng)估主要是對(duì)運(yùn)維過程中的問題，運(yùn)維過程自身的脆弱性、所面臨的威脅以及其可能帶來的損失進(jìn)行評(píng)估；＞風(fēng)險(xiǎn)處置是運(yùn)維安全的技主體階段通過制定控制風(fēng)險(xiǎn)的計(jì)劃并實(shí)施控制，降低風(fēng)險(xiǎn)發(fā)生的可能性并減少其對(duì)信息系統(tǒng)的不良影響；＞過程監(jiān)控的主要工作是對(duì)運(yùn)維過程的人員操作行為、設(shè)備運(yùn)行狀況、安全事件監(jiān)控和已實(shí)施的風(fēng)險(xiǎn)處置進(jìn)行有效監(jiān)控，獲取安全證據(jù)，保障系統(tǒng)安全；＞運(yùn)維評(píng)審的主要任務(wù)是依據(jù)安全論據(jù)及證據(jù);監(jiān)控獲取的運(yùn)維狀況進(jìn)行安全運(yùn)維服務(wù)實(shí)施有效性評(píng)價(jià)從質(zhì)量控制、全生命周期過程管控、運(yùn)維費(fèi)用控制等方面衡量當(dāng)前安全運(yùn)維服務(wù)；＞持續(xù)改進(jìn)環(huán)節(jié)是針對(duì)評(píng)審過程發(fā)現(xiàn)的問題進(jìn)行修正和改進(jìn)整風(fēng)險(xiǎn)處置的措施，對(duì)現(xiàn)有運(yùn)維工作的全部或部分構(gòu)成進(jìn)行重新實(shí)施。4.3如何正確理解運(yùn)維模式間的關(guān)系？＞兩者存在著相互依存和相互促進(jìn)的關(guān)系，彼此之間存在著共性；＞兩種模式都是一個(gè)動(dòng)態(tài)循環(huán)系統(tǒng)周而復(fù)始，不斷提高和改進(jìn)；＞兩種模式的主要區(qū)別在于服務(wù)對(duì)象和服務(wù)目標(biāo)不安全運(yùn)維是從面相業(yè)務(wù)的運(yùn)維服務(wù)出發(fā)，確保運(yùn)維過程的安全。而運(yùn)維安全則是針對(duì)運(yùn)維活動(dòng)中可能影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的