信息安全应急处理服务信息安全应急处理服务资质认证情况介绍资质认证情况介绍陈陈晓晓桦桦中国信息安全认证中心中国信息安全认证中心20092009年年1010月月2323日日20092009中国计算机网络安全应急年会中国计算机网络安全应急年会————长沙长沙2主要内容主要内容一、什么是信息安全服务一、什么是信息安全服务二、信息安全服务分类原则二、信息安全服务分类原则三、信息安全服务资质管理意义及思路三、信息安全服务资质管理意义及思路四、信息安全应急处理服务资质认证工作介绍四、信息安全应急处理服务资质认证工作介绍3一、什么是信息安全服务一、什么是信息安全服务4国际上信息安全服务定义国际上信息安全服务定义信息安全服务:信息安全服务:““由供应商、组织机构或人员所执行的一个由供应商、组织机构或人员所执行的一个安全过程或任务安全过程或任务””。。(在我国,(在我国,““供应商、组供应商、组织机构或人员织机构或人员””即指企事业单位或个人。)即指企事业单位或个人。)——ISO/IECTR15443ISO/IECTR15443--1:20051:2005《《信息技术信息技术安全技术安全技术ITIT安全保障框架安全保障框架》》5信息安全服务资质信息安全服务资质信息安全服务机构提供安全服务的一种资格信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能,包括法律地位、资源状况、管理水平、技术能力等方面。力等方面。6信息安全服务资质认证信息安全服务资质认证依据国家法律法规、国家标准、行业标准和依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评供信息安全服务机构的信息安全服务资质进行评价的活动。价的活动。(注:人员的资质管理采取注册的方式。)(注:人员的资质管理采取注册的方式。)7二、信息安全服务分类原则二、信息安全服务分类原则8我国信息安全服务的分类我国信息安全服务的分类结合我国信息安全服务现存的类别结合我国信息安全服务现存的类别,可以归结为以下几种主要服务类型:,可以归结为以下几种主要服务类型:11、应急处理、应急处理22、风险评估、风险评估33、灾难恢复、灾难恢复44、系统测评、系统测评55、安全监理、安全监理66、安全咨询、安全咨询77、安全培训、安全培训88、安全审计、安全审计99、安全运维、安全运维1010、其他服务、其他服务9例:例:应急处理服务应急处理服务对影响计算机系统和网络安全的不当行为对影响计算机系统和网络安全的不当行为((事件事件))进行标识、记录、分类和处理,直到受进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。影响的业务恢复正常运行的过程。10国际上信息安全服务分类国际上信息安全服务分类信息安全服务分为管理、安全运行和技术服务:信息安全服务分为管理、安全运行和技术服务:zz管理服务管理服务:关注组织机构内管理信息技术安全:关注组织机构内管理信息技术安全程序和风险的服务;程序和风险的服务;zz安全运行服务安全运行服务:关注由人所实施和执行的安全:关注由人所实施和执行的安全控制措施;控制措施;zz技术服务技术服务:关注由信息技术系统所执行的服:关注由信息技术系统所执行的服务。务。一般,不作为非技术管理的对象。——NISTSP800NISTSP800--3535《《信息技术安全服务指南信息技术安全服务指南》11国际上信息安全服务类别国际上信息安全服务类别类别安全服务管理类安全计划SecurityProgram安全策略SecurityPolicy风险管理RiskManagement安全体系结构SecurityArchitecture认证认可Certification&AccreditationIT产品安全测评SecurityEvaluationofITProducts运行类业务连续性规划ContingencyPlanning事件处理IncidentHandling测试Testing培训Training技术类防火墙Firewalls入侵检测IntrusionDetection公钥基础设施PKI12三、信息安全服务资质管理意义三、信息安全服务资质管理意义及思路及思路zz国内外信息安全服务管理现状及问题国内外信息安全服务管理现状及问题zz信息安全服务资质管理的意义信息安全服务资质管理的意义zz信息安全服务资质管理的思路信息安全服务资质管理的思路谁来管?谁来管?————本报告关注国家与行业主管部门本报告关注国家与行业主管部门13国外信息安全服务管理现状国外信息安全服务管理现状zz实施组织和人员的安全背景审查,设立人员安实施组织和人员的安全背景审查,设立人员安全许可证制度;全许可证制度;zz政府安全检查机构实施安全服务资质管理;政府安全检查机构实施安全服务资质管理;zz通过采购和进出口政策进行资质管理。通过采购和进出口政策进行资质管理。14行政审批行政审批zzMIITMIIT--计算机信息系统集成资质计算机信息系统集成资质zz国家保密局国家保密局--涉密系统集成资质涉密系统集成资质zz原信息产业部原信息产业部--电子认证服务资质电子认证服务资质zz北京市信息化办公室、广东省公安厅北京市信息化办公室、广东省公安厅--信息安全服务资质认证信息安全服务资质认证(可能出台政策)(可能出台政策)zz公安部等四部委公安部等四部委--等级保护等级保护zz原国信办原国信办--风险评估工作风险评估工作zzCNCERTCNCERT--应急处理服务授权管理应急处理服务授权管理认证认可认证认可z中国信息安全认证中心-信息安全-应急处理服务资质认证z中国信息安全测评中心-信息安全服务资质认证国内信息安全服务管理现状国内信息安全服务管理现状15存在的问题存在的问题zz缺乏统一的法律法规;缺乏统一的法律法规;zz部分重要行业信息安全服务管理和使用部分重要行业信息安全服务管理和使用存在盲区;存在盲区;zz缺乏对信息安全服务人员的管理;缺乏对信息安全服务人员的管理;zz对服务机构及其人员的可信程度、服务对服务机构及其人员的可信程度、服务信誉等缺乏科学、系统的评价信誉等缺乏科学、系统的评价;;zz信息安全服务市场缺乏有效规范信息安全服务市场缺乏有效规范;;zz信息安全服务标准缺乏信息安全服务标准缺乏。。16信息安全服务资质管理的意义信息安全服务资质管理的意义随着我国信息化和信息安全保障随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。信息安全保障中的作用日益突出。比如:比如:网络信息安全应急处理不当,不仅可能网络信息安全应急处理不当,不仅可能引发新的风险,甚至延误时机,造成不引发新的风险,甚至延误时机,造成不可挽回的损失。可挽回的损失。加强和规范信息安全服务资质管理加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作已成为信息安全管理的重要基础性工作。。18加强我国信息安全服务资质管理的加强我国信息安全服务资质管理的基本工作思路基本工作思路1.1.制定国家信息安全服务资质管理政策文件;制定国家信息安全服务资质管理政策文件;2.2.进一步规范和加强国家合格评定制度;进一步规范和加强国家合格评定制度;3.3.合理发挥行政许可管理的作用;合理发挥行政许可管理的作用;4.4.研究并提出适合我国国情的信息安全服务专业人研究并提出适合我国国情的信息安全服务专业人员的从业管理办法员的从业管理办法。19四、信息安全应急服务资质四、信息安全应急服务资质认证工作介绍认证工作介绍20YD/T1799YD/T1799--20082008《《网络与信息安全应急处网络与信息安全应急处理服务资质评估方法理服务资质评估方法》》标准介绍标准介绍信息安全事件类别信息安全事件类别::––有害程序事件有害程序事件––网络攻击事件网络攻击事件––信息破坏事件信息破坏事件––信息内容安全事件信息内容安全事件––设备设施故障设备设施故障––灾害性事件灾害性事件––其他信息安全事件其他信息安全事件21YD/T1799YD/T1799--20082008《《网络与信息安全应急处网络与信息安全应急处理服务资质评估方法理服务资质评估方法》》标准介绍标准介绍((续续))信息安全应急处理服务资质要求信息安全应急处理服务资质要求zz基本要求;基本要求;zz基本能力:人员构成与素质要求、规模与资产要求、基本能力:人员构成与素质要求、规模与资产要求、设备设施与环境要求、业绩要求;设备设施与环境要求、业绩要求;zz管理能力:项目管理要求、应急响应时间要求、质量管理能力:项目管理要求、应急响应时间要求、质量保证要求;保证要求;zz技术能力:应急服务能力。技术能力:应急服务能力。22YD/T1799YD/T1799--20082008信息安全应急服务技术能力信息安全应急服务技术能力阶段控制点数量控制点准备阶段4z服务需求界定z服务合同或协议签订z服务方案制定z人员和工具准备检测阶段3z检测对象及范围确定检测方案确定z检测实施抑制阶段3z抑制方法确定z抑制方法认可z抑制实施根除阶段3z根除方法确定z根除方法认可z根除实施恢复阶段2z恢复方法确定z恢复系统总结阶段2z总结z报告23YD/T1799YD/T1799--20082008信息安全应急服务资质评价方法信息安全应急服务资质评价方法阶段控制点必备项可选项准备阶段服务需求界定16服务合同或协议签订31服务方案制定3人员和工具准备4检测阶段检测对象及范围确定3检测方案确定5检测实施31抑制阶段抑制方法确定2抑制方法认可3抑制实施21根除阶段根除方法确定2根除方法认可2根除实施11恢复阶段恢复方法确定3恢复系统43总结阶段总结2报告2124信息安全应急处理服务资信息安全应急处理服务资质认证工作质认证工作zz经过经过CNCERT/CCCNCERT/CC与与ISCCCISCCC严格的严格的联合联合审核,审核,20082008年年77月月88日,日,ISCCCISCCC正式颁发第一批正式颁发第一批应急处理应急处理服务服务资质的资质的分级分级认证证书认证证书2222张。张。zz首批获证首批获证服务商服务商77月份获得了信息安全应急处理服务资质月份获得了信息安全应急处理服务资质认证证书,认证证书,88月份全力参与了奥运安保工作,是此次奥运月份全力参与了奥运安保工作,是此次奥运安保工作的主力军。安保工作的主力军。99家单位(其中家单位(其中88家是获得我中心认家是获得我中心认证)获得了证)获得了CNCERT/CCCNCERT/CC的表彰。的表彰。zz截止到截止到20092009--1010月月为止,共颁发为止,共颁发99张一级资质认证证书,张一级资质认证证书,1717家二、三级资质认证证书。家二、三级资质认证证书。2526奥运安保获奖名单奥运安保获奖名单(8(8家家))zz北京启明星辰信息安全技术有限公司北京启明星辰信息安全技术有限公司zz沈阳东软系统集成工程有限公司沈阳东软系统集成工程有限公司zz北京神州绿盟科技有限公司北京神州绿盟科技有限公司zz北京安氏领信科技发展有限公司北京安氏领信科技发展有限公司zz北京天融信科技有限公司北京天融信科技有限公司zz浪潮集团有限公司浪潮集团有限公司zz上海中科网威信息技术有限公司上海中科网威信息技术有限公司zz哈尔滨安天信息技术有限责任公司哈尔滨安天信息技术有限责任公司27现已发布的标准现已发布的标准YD/T1799YD/T1799--20082008《《网络与信息安全应急处网络与信息安全应急处理服务资质评估方法理服务资质评估方法》》已发布并实施;已发布并实施;zzYD/T1621YD/T1621--20072007《《网络与信息安