目前国内外并没有任何标准或文献对IT服务安全进行规范。因此我写这篇文章的目的一是分享我自己对服务安全的思考,二是想听听各位在IT服务项目上积累了多年实践经验的前辈们对这个问题的看法以及分析。
首先,这里所说的IT服务安全并不等同于IT安全服务,它们之间是一个包含关系,IT服务包含了咨询设计、集成实施、运行维护、安全服务等。其次,我发现前几年IT服务行业做的最多的都是事后服务,企业有问题了才会去解决问题,在事前、事中的投入太少。我们知道每年都会有那么几起大安全事件发生,这也引起了大家对安全的重视,通过12月起施行的网络安全等级保护我们也可以知道,并不是一昧的着重防御,部署传统的安全“三大件”就能高枕无忧。网络攻击者的攻击方式不断推陈出新,所以我们要必须在事前防范、事中响应、事后溯源,建立完备的网络安全防护体系。IT服务的目的也是为了保障组织的利益不受损害,提高组织的业务效率以及保证业务连续性。下面我分享一下我对服务安全看法。
我认为一个安全的IT服务应该包含明确的服务目标、明确的服务安全原则、保证服务要素(人员、技术、资源、过程)安全、评估服务风险、明确实现服务后的安全度量以及完善的服务退出机制。具体流程如下:
接下来,我将对这几个阶段进行分述。
明确服务目标才能更好的实现IT服务。目标应该包含服务的对象和范围边界以及服务要达到的程度。
根据客户的需求确定服务的对象和范围,同时还要结合以下几方面来综合考虑:
(1)组织层面
组织代表的是企业、机构等工作单位。要考虑的是组织内部或外部的环境因素,比如内部因素(组织架构、战略规划、系统规模、方针策略等);外部因素(利益相关方和其它可能性因素)。
(2)业务流程层面
业务流程层面主要是针对组织业务而提出的安全需求,以及与业务相关的接口和依赖关系。
(3)服务本身层面
对服务本身来说,需要考虑的是服务所需要的资源。
通过了解客户的安全需求,制定服务计划,阶段性实施并预期在每一步服务流程中所取得的成果。说到这里,我认为可以考虑引入PM的方式来对服务进行管理,因为服务本来也是属于一个项目,总结每一阶段的服务过程,服务成果,这样的话可以有效的规避服务风险。
为保障服务能够安全的实现,应该基于客户方的整体情况建立统一的服务安全原则。我认为以下几个原则在服务中是必不可少的:
采用最小影响原则是要保证服务的实施不对客户方业务系统的运行造成较大影响。如果是要进行一些必要的攻击性测试,则需要提前与客户方沟通,将可能带来的后果交代清楚,最大限度的降低风险。
主要是保证服务的资源(人员、技术、工具、经验和能力等)以及过程是可控、可信的。【感觉现在可控、可信这两个词比较敏感,在这里主要想表达的是如果一个服务团队或服务实施方对服务本身所涉及的资源都没办法控制,或者说不可信,那么产生风险肯定也是不可避免的。】
不管提供的是什么形式的服务,都要保证符合国家的有关法律和规定。
服务应该围绕客户方的核心业务为保护重点,涉及这些业务的信息系统和相关网络也是服务的重点。
在确定服务目标以及服务原则之后,下一个要考虑的问题就是服务要素了。什么是服务要素?
服务要素是构成服务的先决条件,应该包含人员(Person)、资源(Resource)、技术(Technology)、过程(Process)。
人员是提供IT服务的主要实体,这里指的人员是具有信息技术知识、经验和技能的一类人。在IT服务中,人员的安全涉及人员选择、人员变更、人员培训等方面,具体的话我认为可以结合等保2.0中安全管理人员中的部分要点。
技术指的是提供满足客户安全需求的IT服务应使用的技术或者说应具备的技术能力。
资源指的是实现IT服务所需要或依存以及产生的一些有形或无形的资产。
过程是实现IT服务的阶段性活动。
在了解服务安全的服务要素后,如何保证服务安全呢,具体看下表(因为表格直接放上来有点格式问题,所以就截图了):
想到的就这么多,欢迎补充。
服务风险排查,是考虑到安全本身是遵循木桶原理的,只要任何一方面出现风险,都有可能影响整个服务的质量,因此,我认为服务风险排查应该应用在每一个服务的阶段,这样对整体的服务风险就能够得到控制,哪里出现问题,就治哪里。
风险评估的具体我就不再赘述,不同的对象产生的风险程度各不相同。
服务完成之后,应该怎么样来衡量服务是否满足客户方的要求,这时,可以自己对服务的性能做一个度量。服务安全度量可以从服务完成的效率性、完成度以及业务影响三方面来考虑。但是在对这三个方面进行评价时所依据的数据应该真实、准确。
服务交付时间是否符合与客户方约定的服务时限以及服务结果是否安全有效。
对完成的各项服务进行量化,比如,根据客户服务评级、安全入侵和防御级别,以及受计算机病毒影响的系统数量及修复情况进行打分;看是否在一致的时间节点内完成服务内容。
根据收集到的数据判断对业务(比如业务持续情况)造成影响的程度。
服务提供方对各阶段的服务进行量化,完成服务安全度量之后,考虑的就是以何种方式全面移交客户方,根据双方在服务之前约定的服务协议或者服务合同,实施完善的服务退出机制,回收所有所提供的服务资源,并且交付的服务成果要符合客户方以及合同所明确的安全需求。
最后,在安全退出阶段还要考虑到:
服务退出阶段是否产生风险,比如人员、设施或者文档方面,泄密啊、操作不当啊、无故销毁啊,这些都可能在服务最后仍然造成风险,所以如果产生,则要采取相应的风险控制措施。
对提供服务过程中所投入的所有资源,包括技术实施人员、信息资源、安全设备、基础设施等进行回收,并确认。以及要对服务过程中的相关资料性记录完全移交客户方,涉及保密义务的要遵守保密协议。
不是服务提供方说服务结束就结束了,一定要是双方共同确认服务是否终止才行。
要准备多个服务退出策略,必要时可以实施演练,因为服务终止包括正常终止或非正常终止,所以说,如果针对不同情况有不同的应对措施,那么一旦服务发生变更,也能及时控制。
最后的最后,解释一下,我对这个问题有思考是因为前段时间在翻资料的时候,看到关于服务管控的标准列表里面有一项针对服务安全的标准,状态是‘正在制定’,所以突然有这个想法和大家讨论讨论,顺便讲一下自己的看法,不过项目经验不足,总是感觉讲的很肤浅,希望有相关服务经验的大佬提出意见(此处有一个微笑)。
*本文作者:xxx幸xxx,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。