翟亞紅 ，吳 治 ，2，段靜輝 ，彭琳賡

(1.中國網絡安全審查技術與認證中心，北京100020；2.遼寧省先進裝備制造業(yè)基地建設工程中心，遼寧 沈陽110001)

0 引言

安全集成服務認證作為一項自愿性認證，由中國網絡安全審查技術與認證中心(以下簡稱：網安中心)負責，自2012 年至今已經過將近十年的發(fā)展。信息安全服務[1]現有 7 個方向，分別是信息安全風險評估、信息系統安全集成、信息安全應急處理、信息安全災難備份與恢復、軟件安全開發(fā)、信息系統安全運維、網絡安全審計。 截止到 2020 年 6 月底，獲得安全集成服務認證企業(yè)近兩千家，是各類安全服務企業(yè)申請并取得證書數量最多的一類服務。

隨著信息技術的發(fā)展，特別是網絡安全技術的不斷發(fā)展，安全集成服務認證依據自ISCCC-SV-003：2011《信息系統安全集成服務認證規(guī)則》發(fā)展至CCRC-ISV-C01:2018《信息安全服務規(guī)范》，安全集成服務專業(yè)能力已受到前所未有的重視。在認證審核的過程中，無論是對于已獲證企業(yè)的監(jiān)督審核，還是對于新申請企業(yè)的初次審核，從滿足審核依據的要求方面，仍然存在著各種不同程度的問題；從國家安全戰(zhàn)略方面，安全集成服務企業(yè)自身安全服務能力需要持續(xù)提升，從而促進網絡安全建設能力水平，有利于提升整體網絡安全防護能力。

本文首先分析安全集成服務內涵；其次分析安全集成專業(yè)評價要求，并總結認證審核發(fā)現最為典型的三方面問題，提出安全服務能力評價模型；最后針對企業(yè)安全集成服務能力持續(xù)建設提出一些建議。

1 安全集成服務內涵

1.1 安全集成的定義

信息系統安全集成服務是按照信息系統建設的安全需求，采用信息系統安全工程的方法和理論，將安全單元、產品部件進行集成的行為或活動。 可從多個層面來理解安全集成的定義：第一個層面信息系統[2]，對于信息系統的定義，在此不再贅述；第二個層面安全，即信息系統安全[3]，包括了信息系統安全體系[4]、信息系統安全管理目標、信息系統安全需求、信息系統安全設計、信息系統安全技術、信息安全標準與法律法規(guī)等；第三個層面集成，是指一些孤立的事物或元素(這里具體指安全單元、產品部件)通過某種方式集中在一起，產生聯系，從而構成一個有機整體的過程；第四個層面技術和方法，包括需求調研、方案設計、建設實施、安全測試和運行維護過程的技術和方法；第五個層面工程項目，主要內涵在于項目管理[5]，涉及質量管理[6]和信息安全管理[7]方面。

1.2 安全集成服務的內涵

對于安全集成的理解已在前面進行詳述，安全集成服務其內涵體現于服務， 即對于一個項目，必然存在著信息系統的建設方和信息系統的承建方，承建方憑借其自身的專業(yè)技術能力向建設方提供專業(yè)的服務，雙方通過簽訂合同或協議，約定各自權利、義務、責任，明確在給定的費用和時間約束規(guī)范內，完成一項獨立的、一次性的工作任務。 承建方(安全集成企業(yè))通過完成這個工作任務，實現建設方信息系統安全建設目標。

從審核的角度來看，如何確認企業(yè)所提供的業(yè)績(案例)屬于安全集成類項目，第一，從合同(包括合同的有效組成部分，例如投標文件、技術協議等)約定來看，這個項目屬于服務類的項目，包括了安全服務在內的系統集成類項目(單一設備采購、獨立軟件開發(fā)、獨立產品研發(fā)項目不宜作為安全集成項目)；第二這個項目一定是有其建設過程的，即可以從信息系統生命周期[8]角度理解，應該至少能夠區(qū)分集成準備、方案設計、建設實施和安全保障四個過程；第三在這個項目的建設過程中，企業(yè)應用了其自身所具有的集成服務能力，能夠體現于項目建設形成的過程文檔和項目建設的成果。

2 安全集成專業(yè)評價

2.1 安全集成專業(yè)評價要求

依據 CCRC-ISV-C01：2018 附錄 B 信息系統安全集成服務資質專業(yè)評價要求，提出安全集成服務專業(yè)能力在集成準備、方案設計、建設實施、安全保障四個過程應該具備的能力要求，詳見表1 所示。

表1 評價指標數量

對于安全集成專業(yè)評價要求，各個級別在服務過程和服務要點方面的要求基本是涵蓋的， 指標數量的區(qū)別主要體現對于服務能力要求程度的不同。 以系統測試要求為例說明，對于三級企業(yè)要求基本具備系統測試能力，目的是通過測試驗證完成合同約定的服務內容，達成系統安全建設目標；對于二級企業(yè)要求在具備測試能力的基礎上，能夠規(guī)范地開展測試，形成測試方案、記錄、報告等；對于一級企業(yè)則提出了更高的要求，即能夠制定系統安全性測試方案，模擬攻擊場景，對系統安全性進行測試，體現了對企業(yè)在人員、工具、測試方法、測試深度、測試規(guī)范性等綜合能力方面的要求。

2.2 安全集成專業(yè)審核典型問題及分析

總結近兩年安全集成服務審核案例，歸納企業(yè)在安全集成專業(yè)能力方面三個方面的典型問題，并逐一對問題出現的原因進行分析。

第一，表現在技術服務要求方面。 對于初次申請企業(yè)，流程和規(guī)范方面常見問題具體表現在三方面，一是所制定的流程和規(guī)范適用范圍不是安全集成服務，例如是適用于軟件開發(fā)，或者系統集成實施等；二是所制定的流程和規(guī)范其內容不全面，未能覆蓋安全集成服務全過程要素；三是所制定的流程和規(guī)范，具體內容方面過于宏觀，不能有效地指導項目執(zhí)行，規(guī)范要求與項目執(zhí)行實際脫節(jié)。 對于監(jiān)督審核企業(yè)，流程和規(guī)范方面常見問題具體表現在三方面，一是所提供的流程和規(guī)范缺少定期的評審和修正；二是所提供的流程和規(guī)范，對照項目執(zhí)行過程文檔，發(fā)現要求在項目實施過程中未能被充分應用；三是規(guī)范的體系化建設方面，未能及時地修訂相關指導書或是未能結合技術發(fā)展新制定相關指導書。 分析以上問題，其主要原因在于三個方面，首先是對于規(guī)范條款要求的理解不到位，盡管網安中心通過組織培訓，編制自評估表及自評估指導書等多種方式對規(guī)范條款要求進行解讀，但在知識的接收和傳導環(huán)節(jié)依然難以充分有效；其次是企業(yè)安全集成服務能力部分不足，整體安全集成服務能力的構成包括人員、工具、組織級管理、項目級管理以及特殊能力要求等多方面，部分能力的不足或缺失，直接反映在規(guī)范方面要求的缺失；第三是體系化建設方面不健全，安全集成流程和規(guī)范自身的體系化建設不完善，以及與組織級質量管理體系、信息安全管理體系等未能夠充分有效地融合。

第二，表現在項目過程管理要求方面。 這個方面的問題反映在項目組和公司的職能部門兩個層面，常見問題具體表現在兩方面，一是在安全集成服務實施過程中該形成的文檔未形成或未保存或有遺失；二是在安全集成服務實施過程中所形成的文檔內容不全或不符合公司要求或不滿足審核要求。分析以上問題，其主要原因在于三個方面，首先從項目組來看，表現在人員能力方面不足，公司級管理重在對于項目經理的管理，而易忽視對于項目組成員的管理，職能部門人員對于項目的參與程度不夠，往往流于形式，對于項目組成員，尤其是新進成員，缺少有效培訓，在項目執(zhí)行過程很難按照規(guī)范執(zhí)行。 其次是公司對項目組績效考核評價的導向問題，重結果輕過程的要求，導致了項目組在項目執(zhí)行環(huán)節(jié)的管理問題，公司級職能部門對于項目監(jiān)管缺失或者失效， 直接導致了項目過程管理的問題。 此外， 特別說明一下監(jiān)督審核中一個常見問題，即在監(jiān)審過程中，由于管理的原因，未能夠充分地將企業(yè)的安全集成能力充分展現出來。 這個問題的原因主要是企業(yè)人員變化，特別是規(guī)模大的企業(yè)具有人員多、項目多等特點，監(jiān)督審核的目的在于查驗企業(yè)服務技術能力的維持情況，而每次企業(yè)申報項目材料的技術人員往往因項目不同而變化，因而可能造成申報材料少交、漏交情況，導致企業(yè)真實服務能力水平不能完全體現，當然出現這種情況歸根到底還是企業(yè)管理方面的原因。

第三，表現在技術能力要求方面。 這方面的問題主要反映在方案設計、集成實施和系統測試階段，常見問題具體表現在三方面，一是對于安全需求調研不充分，如等級保護防護需求，等級保護進入2.0時代，無論對于新建系統，還是改擴建系統，等級保護的安全防護需求都應該進行調研；二是在設計環(huán)節(jié)，未能明確設計的依據(如國家標準、行業(yè)規(guī)范等)，未能編制有效的施工手冊和作業(yè)指導書；三是系統測試不全面，未能有效地覆蓋合同建設內容，系統測試的深度不夠，不能達成測試的目的，對于一級企業(yè)，包括滲透測試在內的安全性測試能力尚有一定的不足。 分析以上問題，其主要原因在于三個方面，首先是認識方面的原因，對于安全集成技術能力的本質認識不到位，從審核的角度關注的是企業(yè)自身所具有的技術能力，而不是集成其他企業(yè)的，未建立或者是未能有效地建立長效的技術能力提升體系；其次是基于商務的或者技術方面的原因，只完成合同明確約定的服務內容或者是建設單位明確提出的要求，但是鑒于從事的是“安全”事業(yè)，那么無論建設單位是否明確提出，作為承建方都有義務完成國家、行業(yè)法律法規(guī)和技術標準規(guī)定的要求，例如等級保護制度的要求；第三是人員能力、設備等資源能力的欠缺，專業(yè)技術人員是企業(yè)發(fā)展的基礎，人員能力是企業(yè)服務能力的直接體現，因此對于專業(yè)技術人員能力的培養(yǎng)是十分重要的。 從事信息安全服務應用自動化的工具設備是提升服務能力效率最直接的方式，因此，對于工具設備的配置和使用，特別是有能力的服務企業(yè)，對于工具的自主研發(fā)也是十分重要的。

2.3 安全服務能力評價模型

為促進提升安全服務企業(yè)安全服務能力，同時持續(xù)改進安全服務能力評價水平，基于對安全服務能力核心要素的識別， 構建安全服務能力評價模型，如圖1 所示。

該模型適用于目前包括安全集成服務方向的8個信息安全服務方向。 由圖1 可見，安全服務能力評價等級劃分為一級、二級和三級，安全服務能力核心要素包括質量管理能力、 信息安全管理能力、項目管理能力、流程與規(guī)范水平、人員素質與能力、工具設備水平、特殊能力。 對于特殊能力作為不同方向的差異化能力要求。

圖1 安全服務能力評價水平

3 安全集成服務能力建設幾點建議

3.1 多體系融合方面的建議

安全集成服務涉及ISO9001 質量管理體系、ISO27001：2013信息安全管理體系 、ISO20000-1：2011 信息技術服務管理體系等多體系，因此，安全集成服務首先應是在某管理體系覆蓋范圍中，其次能夠按照管理體系的要求良好運行，第三，多體系作為上層結構，安全集成服務在執(zhí)行層與體系要保持一致。安全集成服務是一種組織行為，因此，在企業(yè)中安全集成服務需要各職能部門按職責分工，共同協作，才能得以保證。

3.2 與國家網絡安全法規(guī)、標準結合方面的建議

安全集成服務技術能力建設，必須重視國家網絡安全法規(guī)、國家和行業(yè)相關技術標準。 如等級保護制度。 等級保護2.0 是網絡安全的一次重大升級， 等級保護對象范圍在傳統系統的基礎上擴展到云計算、移動互聯、物聯網、大數據等。 企業(yè)更加需要組織技術人員加強關鍵基礎設施防護、等級保護等相關法規(guī)，尤其是國家、行業(yè)現行技術標準的培訓和學習。 在安全集成服務全過程中準確應用相關規(guī)范、技術標準。 例如需求分析需要關注系統安全保護等級，安全設計引用等級保護基本要求，安全功能方面的設計至少滿足相應等級要求，產品和技術的選擇滿足網絡安全審查要求等。

3.3 系統測試能力提升方面的建議

系統測試能力是安全集成服務能力中的一項重要要求。 但這個方面往往是企業(yè)比較容易忽視或不夠重視的。 測試能力是一個企業(yè)對安全集成結果進行自測的一項技術。 加強系統測試能力提升主要可以從三個方面入手，第一人員方面，配置專職的測試人員；第二工具方面，配置專用的測試工具(商用、開源)，并加強對工具的安全管理；第三指導書方面，建立系統測試方面的指導書、測試方案模板、測試計劃模板、測試記錄模板、測試報告模板等，并能夠持續(xù)地改進完善。

4 結束語

安全集成服務技術能力本質上是企業(yè)所擁有的安全集成技術知識，這些知識附著在人員、設備、信息和組織中。 企業(yè)安全集成服務能力建設就是需要建立適合企業(yè)自身發(fā)展的能夠不斷積累企業(yè)知識的長效機制。 只有安全集成行業(yè)總體能力水平提升，才能更有助于在信息系統建設環(huán)節(jié)有效提升系統安全建設的水平，才能有效提高信息系統安全防護水平，從而促進國家整體網絡安全防護能力的提升。