梁 志 順 (張家口市交通局，河北 張家口 075000)

?

信息安全外包風(fēng)險(xiǎn)識(shí)別與評(píng)估模型研究

梁 志 順
(張家口市交通局，河北 張家口 075000)

針對(duì)信息安全外包的業(yè)務(wù)流程，運(yùn)用系統(tǒng)理論分析，識(shí)別外包服務(wù)的關(guān)鍵風(fēng)險(xiǎn)因素，提出基于第三方認(rèn)證的風(fēng)險(xiǎn)評(píng)估框架，構(gòu)建了評(píng)估指標(biāo)體系，結(jié)合我國風(fēng)險(xiǎn)管理政策制定安全服務(wù)商服務(wù)風(fēng)險(xiǎn)監(jiān)測(cè)規(guī)則，更好管理外包風(fēng)險(xiǎn)。

信息安全外包；風(fēng)險(xiǎn)管理；風(fēng)險(xiǎn)評(píng)估

企業(yè)為了消除安全困擾,一方面加大對(duì)IT員工以及企業(yè)自身的安全培訓(xùn)，更多的企業(yè)通過尋找托管信息安全管理服務(wù)提供商(MSSP)來進(jìn)行實(shí)時(shí)或定期的安全服務(wù)。信息安全外包服務(wù)是以第三方的服務(wù)來完成企業(yè)內(nèi)部的信息系統(tǒng)相關(guān)工作的一種全方位、系統(tǒng)的安全服務(wù)。[1]市場(chǎng)調(diào)查公司Yankee Group表示，到2010年，美國將有90%的企業(yè)安全通過外包來實(shí)現(xiàn)。[2]國內(nèi)近些年出現(xiàn)一些安全服務(wù)外包商，但提供的產(chǎn)品和服務(wù)質(zhì)量良莠不齊，行業(yè)內(nèi)尚未發(fā)展成一致的參考模型和評(píng)價(jià)標(biāo)準(zhǔn)，相關(guān)的法律法規(guī)不健全，不能有效地管理企業(yè)和安全服務(wù)外包方的契約關(guān)系，外包維護(hù)管理質(zhì)量處于失控狀態(tài)，安全外包的預(yù)期差強(qiáng)人意。[3]外包服務(wù)的風(fēng)險(xiǎn)管理與可信評(píng)估成為企業(yè)是否選擇外包的關(guān)鍵。

一、外包風(fēng)險(xiǎn)成因

信息安全外包風(fēng)險(xiǎn)可以定義為一切擾亂外包服務(wù)運(yùn)作的威脅。[4]因?yàn)槠髽I(yè)與服務(wù)商的協(xié)調(diào)、合作中存在著各種不確定性,有不確定性就有風(fēng)險(xiǎn)存在。信息安全外包風(fēng)險(xiǎn)評(píng)估的目的是在信息不對(duì)稱的情況下最大可能控制外包風(fēng)險(xiǎn)。

圖1的外包流程顯示：企業(yè)有了安全需求，需要尋找服務(wù)商，服務(wù)商構(gòu)建了解決方案，通過向企業(yè)提供服務(wù)獲利。該流程中，主動(dòng)參與的實(shí)體有服務(wù)商和企業(yè)，被動(dòng)實(shí)體有解決方案、安全產(chǎn)品和各種服務(wù)(安全服務(wù)商所能提供的服務(wù)包括：網(wǎng)絡(luò)入侵監(jiān)測(cè)以及防護(hù)，主機(jī)入侵防護(hù)，系統(tǒng)漏洞評(píng)估，補(bǔ)丁管理，防火墻和VPN管理，針對(duì)病毒和垃圾郵件的電子郵件監(jiān)控等)。[2]

圖1 外包服務(wù)流程

運(yùn)用系統(tǒng)理論研究，可以發(fā)現(xiàn)如下問題：

(1)流程中缺乏對(duì)外包商的服務(wù)行為監(jiān)督。

(2)缺乏雙向溝通機(jī)制。外包服務(wù)過程是一個(gè)動(dòng)態(tài)的螺旋上升的過程。隨著企業(yè)環(huán)境和對(duì)安全級(jí)別要求的改變，外包服務(wù)需要也處于變動(dòng)之中，必須通過雙方的溝通，處理好各種變化，降低過程中產(chǎn)生的不確定。

(3)缺乏風(fēng)險(xiǎn)釋放機(jī)制。整個(gè)過程的風(fēng)險(xiǎn)無法定量估計(jì)，導(dǎo)致風(fēng)險(xiǎn)逐漸積累，一旦意識(shí)到風(fēng)險(xiǎn)，已經(jīng)無法避免。

(4)缺乏第三方的認(rèn)證。服務(wù)商的資質(zhì)與服務(wù)信譽(yù)成正比，如果有可信的資質(zhì)認(rèn)證，可以增加企業(yè)的信心。

二、外包風(fēng)險(xiǎn)識(shí)別

ELF Atochem公司的副總裁和CIO Robert Rubin指出，外包中存在大量的不確定性因素，必須進(jìn)行管理。如果不對(duì)外包進(jìn)行適當(dāng)?shù)墓芾恚镜男畔⒘鲗⑻幱诰薮蟮娘L(fēng)險(xiǎn)之中。[3]

(一)信息安全外包的規(guī)劃與戰(zhàn)略風(fēng)險(xiǎn)

這類風(fēng)險(xiǎn)體現(xiàn)在如下幾個(gè)方面：一是某些企業(yè)沒有上升到企業(yè)戰(zhàn)略的層面考慮信息化問題，僅從降低成本的角度來處理信息安全外包問題；二是有些企業(yè)并未透徹地分析自己的信息安全需求，更談不上進(jìn)行科學(xué)合理的信息安全資源規(guī)劃；三是對(duì)信息安全外包的認(rèn)識(shí)模糊，沒有真正理解信息安全外包服務(wù)的具體內(nèi)容、分類、操作流程以及對(duì)企業(yè)的意義和作用。

(二)信息服務(wù)提供商選擇風(fēng)險(xiǎn)

目前信息安全外包市場(chǎng)缺乏主導(dǎo)廠商，提供低端服務(wù)的小公司較多，且其提供的服務(wù)質(zhì)量參差不齊。各廠商往往打出各種“ 技術(shù)牌、概念牌、成功案例牌”，令企業(yè)眼花繚亂、真?zhèn)坞y辨。如果遇到服務(wù)提供商倒閉，后果更是不堪設(shè)想。[4]企業(yè)在評(píng)估和選擇信息外包服務(wù)方面沒有成熟的方法，難以做出正確的抉擇。

(三)契約風(fēng)險(xiǎn)

信息安全外包服務(wù)合同缺乏可供借鑒的經(jīng)驗(yàn)，往往依據(jù)外包服務(wù)提供商提供的所謂“標(biāo)準(zhǔn)”合同，不加改動(dòng)就簽署。[5]而這類標(biāo)準(zhǔn)合同中往往包含著大量令非專業(yè)人士無法理解的技術(shù)指標(biāo)和專業(yè)名詞，這些指標(biāo)和名詞本身并不等價(jià)于企業(yè)所需要的安全服務(wù)，可是背后卻常常隱藏著額外的費(fèi)用。另一方面，由于外包合同在大多數(shù)的情況下是不完善的，合同逐步實(shí)施的同時(shí)環(huán)境也是不斷變化的，所以在合同中不可能對(duì)外包服務(wù)需求的所有環(huán)節(jié)都做出具體的規(guī)定。

(四)失控風(fēng)險(xiǎn)

這類風(fēng)險(xiǎn)包括三個(gè)方面：一是企業(yè)缺乏對(duì)信息安全外包服務(wù)質(zhì)量的控制方法，對(duì)提供服務(wù)是否達(dá)到契約標(biāo)準(zhǔn)無法做出及時(shí)的識(shí)別和有效的證明；二是企業(yè)喪失成本控制能力，服務(wù)商以各種理由誘導(dǎo)企業(yè)，將項(xiàng)目越做越多，越做越大，成本不斷增加；三是企業(yè)喪失外包過程中形成的知識(shí)產(chǎn)權(quán)的所有權(quán)。

(五)企業(yè)內(nèi)部變革的風(fēng)險(xiǎn)

企業(yè)要實(shí)施安全外包必然涉及到其內(nèi)部相關(guān)部門的變革，以配合外包商共同完成對(duì)企業(yè)信息安全的管理與控制，而變革又往往伴隨著利益的沖突和再分配。因此，信息中心負(fù)責(zé)人的思想觀念，信息中心職能的轉(zhuǎn)變不及時(shí)、不到位，原信息中心員工的安置不妥都會(huì)對(duì)信息安全外包的實(shí)施造成巨大影響。

(六)信息泄漏風(fēng)險(xiǎn)

實(shí)施安全外包，外包商不可避免會(huì)接觸到企業(yè)的內(nèi)部信息。而企業(yè)信息往往涉及商業(yè)秘密。其中客戶資源信息和企業(yè)戰(zhàn)略機(jī)密等重要信息最易泄漏。因?yàn)槠髽I(yè)僅僅從技術(shù)上對(duì)外包商進(jìn)行了考量，至于品質(zhì)還需要用契約去規(guī)范。

(七)喪失靈活性和對(duì)服務(wù)提供商依賴性的風(fēng)險(xiǎn)

企業(yè)把信息安全外包出去最大的風(fēng)險(xiǎn)在于失去控制權(quán)和可視性，并對(duì)外包商產(chǎn)生很高的依賴性。安全外包就是一把雙刃劍，在降低成本同時(shí)也承擔(dān)風(fēng)險(xiǎn)。

三、風(fēng)險(xiǎn)評(píng)估框架

(一)可信評(píng)估需求

1.高層安全需求

服務(wù)外包商在服務(wù)的交付過程中，應(yīng)當(dāng)保證企業(yè)資產(chǎn)的機(jī)密性、可用性和完整性，并使企業(yè)滿意。企業(yè)需要保密的東西包括但不僅限于已經(jīng)標(biāo)識(shí)出來的數(shù)據(jù)、安全性、脆弱性和受到攻擊的狀態(tài)。服務(wù)外包商應(yīng)保證企業(yè)的特定數(shù)據(jù)僅可在企業(yè)所在的國家使用以滿足區(qū)域性的數(shù)據(jù)保密法規(guī)。

2.服務(wù)可用性需求

企業(yè)所需要的服務(wù)可用性的時(shí)間和其他限制，根據(jù)經(jīng)驗(yàn)來確定對(duì)服務(wù)可用性的要求。服務(wù)的可用性的預(yù)留時(shí)間已經(jīng)包括了部門協(xié)調(diào)的預(yù)留時(shí)間、軟硬件和數(shù)據(jù)的維護(hù)升級(jí)而預(yù)定的停機(jī)時(shí)間。服務(wù)可用性的另外一方面的內(nèi)容，是說明服務(wù)故障或不可用時(shí)的反應(yīng)時(shí)間。

3.契約需求

在確定了企業(yè)服務(wù)需求之后，應(yīng)該定義契約結(jié)構(gòu)，包括服務(wù)的實(shí)現(xiàn)，服務(wù)的期限，服務(wù)設(shè)備的安全性以及安裝方面的注意事項(xiàng)等。

4.服務(wù)可增容性的需求

企業(yè)將協(xié)同服務(wù)外包商搜集關(guān)于服務(wù)容量的數(shù)據(jù)，例如服務(wù)寬度和正在使用的服務(wù)系統(tǒng)的能力百分率等。企業(yè)需要詳細(xì)說明其對(duì)能力增長、存儲(chǔ)需求、周期性或獎(jiǎng)勵(lì)性機(jī)制的預(yù)期率。外包商則需要向企業(yè)說明所有服務(wù)可用性和生產(chǎn)定額的增長可能引發(fā)的預(yù)期影響。雙方經(jīng)過協(xié)商，決定在這個(gè)部分中服務(wù)增容的限度，方式，解決所涉及的機(jī)構(gòu)等方面的問題。

5.雙向溝通需求

協(xié)議中需要規(guī)定服務(wù)中溝通的方式和種類，如外包商呈交給企業(yè)的報(bào)告的種類和形式。服務(wù)控制中應(yīng)該規(guī)定雙方共同商定的報(bào)告樣本。報(bào)告的種類至少應(yīng)該包括:服務(wù)水平報(bào)告，提供外包商服務(wù)水平和最低服務(wù)水平的比較;違章報(bào)告:己經(jīng)出現(xiàn)或可能出現(xiàn)的違章登陸和訪問;事件報(bào)告:已出現(xiàn)或可能實(shí)現(xiàn)的入侵事件。

(二)風(fēng)險(xiǎn)評(píng)估框架

參考國際標(biāo)準(zhǔn)ISO/IEC 17799：2000《信息技術(shù)—信息安全管理實(shí)施規(guī)則》；ISO/IEC 27001:2005《信息安全管理體系規(guī)范》和國家標(biāo)準(zhǔn)GB/T 18336-2001《信息技術(shù)安全性評(píng)估準(zhǔn)則》制定風(fēng)險(xiǎn)評(píng)估框架?？蚣苋鐖D2所示?？蚣艿幕舅枷霝椋簭娘L(fēng)險(xiǎn)控制目標(biāo)出發(fā)，從實(shí)現(xiàn)信息安全外包過程的三個(gè)層面，按照風(fēng)險(xiǎn)等級(jí)的不同要求，對(duì)外包過程進(jìn)行控制和管理，實(shí)現(xiàn)對(duì)不同風(fēng)險(xiǎn)進(jìn)行分等級(jí)保護(hù)。

圖2 風(fēng)險(xiǎn)評(píng)估框架

1.風(fēng)險(xiǎn)等級(jí)

根據(jù)國家標(biāo)準(zhǔn)GB/T20269—20273中的服務(wù)標(biāo)準(zhǔn)，信息安全等級(jí)分為D類(沒有任何保護(hù)的)、C類(分為C1和C2級(jí))、B類(分為B1、B2、B3)、A類和超A類，共五級(jí)，與此相對(duì)應(yīng)，風(fēng)險(xiǎn)也可以分為五級(jí)，依據(jù)用戶的行為得分劃分。[6]

2.服務(wù)級(jí)別管理

安全外包服務(wù)的控制實(shí)施要通過服務(wù)級(jí)別來管理。服務(wù)級(jí)別管理包括定義、匹配、存檔和管理客戶要求的各個(gè)級(jí)別的服務(wù)。這些服務(wù)級(jí)別受到服務(wù)成本的約束。服務(wù)級(jí)別管理包括制訂服務(wù)級(jí)別協(xié)議。服務(wù)級(jí)別協(xié)議包括服務(wù)分類和回顧會(huì)等內(nèi)容。

3.服務(wù)的監(jiān)督和控制

監(jiān)督是用來觀察外包商是否在做他應(yīng)該做的事情。如果通過監(jiān)督發(fā)現(xiàn)外包商正在偏離預(yù)定的行為目標(biāo)，此時(shí)就需要控制，控制就是使外包商返回到正確的軌道上去。在有了控制規(guī)則來規(guī)范外包商服務(wù)績效之后，要保持外包商和企業(yè)客戶經(jīng)常的溝通，以便能夠及時(shí)發(fā)現(xiàn)問題，進(jìn)行標(biāo)準(zhǔn)化的控制活動(dòng)。

4.第三方認(rèn)證

2003年中央頒布《國家信息化靈動(dòng)小組關(guān)于加強(qiáng)信息安全保障工作的意見》，提出建立信息安全認(rèn)證認(rèn)可體系的要求，2007年國家網(wǎng)絡(luò)與信息協(xié)調(diào)小組著手建立信息安全服務(wù)資質(zhì)認(rèn)證認(rèn)可制度。為體現(xiàn)認(rèn)證、認(rèn)可制度的公平、公開、公正，須由可信第三方對(duì)信息安全服務(wù)組織的“服務(wù)能力”進(jìn)行全面、綜合、客觀地評(píng)價(jià)。因此，除了企業(yè)和外包商嚴(yán)格按照契約所規(guī)定的權(quán)責(zé)管理外包服務(wù)，與此同時(shí)，還應(yīng)有第三方的認(rèn)證管理。從更高的程度上約束雙方的權(quán)利和義務(wù)，為外包服務(wù)的有力實(shí)施提供了準(zhǔn)則和保障。

四、風(fēng)險(xiǎn)評(píng)估實(shí)施

(一)風(fēng)險(xiǎn)評(píng)估周期

風(fēng)險(xiǎn)評(píng)估應(yīng)該劃定評(píng)估周期，如：一年可以劃定2個(gè)評(píng)估期，4月至9月為一個(gè)評(píng)估期，10月至次年3月為一個(gè)評(píng)價(jià)期。評(píng)估結(jié)果分為非常滿意、滿意、不滿意三個(gè)等級(jí)，依據(jù)各服務(wù)項(xiàng)目扣分情況確定等級(jí)。

(二)服務(wù)商行為認(rèn)定

安全服務(wù)商在招投標(biāo)、合同的簽訂和履行以及售后服務(wù)過程中發(fā)生的，有關(guān)違反法律、法規(guī)、規(guī)章和有關(guān)規(guī)定的行為，按照其行為的不利影響程度，分為一般行為、不良行為和嚴(yán)重不良行為三類[7]。如表1所示。其中不良行為和嚴(yán)重不良行為是指服務(wù)商在招投標(biāo)、合同的簽訂和履行過程中發(fā)生的，違反有關(guān)法律、法規(guī)和規(guī)章的，或是嚴(yán)重?fù)p害使用方利益的行為。

1.嚴(yán)重不良行為認(rèn)定

以各種方式弄虛作假，騙取中標(biāo)；相互串通投標(biāo)報(bào)價(jià)；因供應(yīng)商原因未按需求計(jì)劃及時(shí)交貨，經(jīng)兩次催告，在合理時(shí)間內(nèi)仍不交貨； 因產(chǎn)品質(zhì)量問題造成安全信息泄露和業(yè)務(wù)系統(tǒng)中斷事故；其它契約規(guī)定的嚴(yán)重不良行為。

2.不良行為認(rèn)定

服務(wù)商在競(jìng)標(biāo)結(jié)束未及時(shí)簽訂合同，經(jīng)三次催告后，在合理時(shí)間內(nèi)仍不簽訂合同； 轉(zhuǎn)包或違法分包中標(biāo)產(chǎn)品或服務(wù)； 服務(wù)過程中，未及時(shí)提供產(chǎn)品合格證書、檢驗(yàn)證書、說明書、提貨單和監(jiān)造證明，經(jīng)三次催告，除特殊情況外，在合理時(shí)間內(nèi)仍不提供服務(wù)報(bào)告及問題說明的。

(三)風(fēng)險(xiǎn)評(píng)估指標(biāo)

不良行為是根據(jù)本行業(yè)和其他行業(yè)知識(shí)的預(yù)先定義，服務(wù)中還會(huì)出現(xiàn)各種各樣的問題，應(yīng)該從服務(wù)商的服務(wù)歷史中逐步挖掘行為模式，如表1。添加到已經(jīng)定義的行為模式庫中，加強(qiáng)風(fēng)險(xiǎn)的管理與控制。

表1 服務(wù)商行為評(píng)估指標(biāo)

[1]陳曉樺,翟亞紅.關(guān)于我國開展信息安全服務(wù)資質(zhì)認(rèn)證工作的思考[J].信息安全與通信保密，2007(10)：19-21.

[2]mike.如何外包安全管理項(xiàng)目[EB/OL].http://www.csai.cn.2008-05.

[3]戴譯.如何選擇遠(yuǎn)程通信服務(wù)商[EB/OL].2008.http://www2.ccw.com.cn/1998/13/166624.shtml.2008-06.

[4]張勇謙.網(wǎng)絡(luò)安全外包服務(wù)市場(chǎng)分析[D].北京:北京郵電大學(xué)，2007.

[5]胡克瑾.信息安全外包的控制與管理框架的研究[D].上海:同濟(jì)大學(xué)，2006.

[6]陸寶華.等級(jí)保護(hù)概述——著名等級(jí)保護(hù)專家陸寶華談我國信息安全等級(jí)保護(hù)概況[EB/OL].http://www.sinoit.org.cn/NewsLetter/NO.3/20090101.html.2008-08.

[7]中國國家標(biāo)準(zhǔn)局.企業(yè)信用評(píng)價(jià)指標(biāo)體系分類及代碼規(guī)范[DB/OL].http://www.xybz.org/news/2008109113019161.htm．2008-11-01.

Research On Risk Identification and Assessment Model for Information Security Outsourcing

LIANG Zhi-shun

(Transportation Department of Zhangjiakou 075000, China)

The thesis aims at the information security outsourcing risk identification and assessment. First, an analysis is made of the deficiency of work flow through system theory ,then the key risk factors of outsourcing are identified, and the frame of risk assessment is set up based on third-authentication in order to construct the assessments system for better supervision of security outsourcing risk in accordance with the risk management policy in our country.

information security outsourcing; risk management; risk assessment

2095-0365(2011)02-0040-05

2011-03-29

梁志順(1972-)，男，工程師，研究方向：工程管理。

F270

A