信息系統安全運維概述-內部培訓隨著科學技術的發展，絕大多數運維服務工作逐漸暴露在越來越多的威脅中，并且一直處于很被動的狀態，信息系統安全運維是用于長期從事信息安全服務和信息系統運維服務行業的作業規范，起到降低安全風險、保障運維安全的作用。我們會參照SAW（信息安全保障人員認證）向各位同仁介紹安全運維的概念、安全運維的主體、對象、流程、支撐平臺及運維活動的各個環節。一、如何理解信息系統？想要了解信息系統，需要從兩個方面入手，“信息”和“系統”1.1信息＞在現在科學中，信息指事物發出的消息、指令、數據、符號等所包含的內容；＞信息通過一定數據形式展現這些數據是寄生于一定的存儲和傳輸載體中的；＞信息的生命周期包括信息的產生、存儲、傳輸、處理和銷毀等諸多環節；＞諸位同事可以例舉一下我們生活當中常見的信息表現形式有哪些。1.2系統＞錢學森認為：系統是由相互作用、相互依賴的若干組成部分結合而成的、具有特定功能的有機整體，而且這個有機整體又是它從屬的更大系統的組成部分；＞《辭海》對系統的定義為：同類事物按一定的秩序和內部聯系組合而成的整體或由要素組成的有機整體。1.3信息系統＞信息系統是“由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采翱工、存儲、傳輸、檢索等處理的人機系統”；＞從信息的角度來說，我們認為信息系統是為信息生命周期提供服務的各類軟硬件資源的總稱；＞信息是信息系統的處理對象，信息系統是信息賴以生存的環境；＞信息系統通常由計算機硬件系統、關物理設備網絡設施等構成。二、什么是系統運維？2.1系統運維＞運維是指對已經建立好的信息系統的運行和維信，息系統的運行維護是系統生存的重要條件；＞從管理的角度看，系統運維是指組織采用相關的方法手段、技術、制度、流程和文檔等，對信息系統運行環境、業務系統和運維人員進行的綜合治理；＞從服務的角度看，系統運維不再是純技術工作，而是融合了系統管理、網絡管理、系統開發管理等管理活動和變更管理、資產管理、問題管理等許多流程的服務2.2信息安全運維＞信息安全面臨的最普遍三類風險是信息泄露、篡改和破壞，信息安全運維的基本目標就是信息的保密性、完整性和可用性；＞信息系統安全運維服務是以流程為向導、以客戶為中心、以績效評估為動力、以保障信息系統基礎設施整體可用和為組織業務提供可靠服務為目標的管理體系；＞在運維環節中，要保證系統資源安全運行，保護信息的安全，實現計算機系統功能的正常發揮，以維護計算機信息系統的安全運行。所以，信息系統安全運行包括了物理安全、運行安全、信息安全和人員安全幾個部分；＞針對信息系統中信息存在的形式和運行特，信息安全包括操作系統安全、數據庫安全、網絡安全、病毒安全、訪問控制、加密和鑒個J部分。三、安全運維的模型是什么樣?實施運維運維持續改進合觀要求風險處.置過程實施運維運維持續改進合觀要求風險處.置過程監控W安全策略◎整\露L運維\k至準備＞模型中的資源具體包括人、財務、信息、技M類資源，這些資源在管理的基礎上服務于信息安全運維模型中的各個要素，而管理是整個模型的基礎；K息系統安全運維模型通過實現數據、載體、環境與"實體對象全生命周期的可用性、完整性、真實性機密性、不可否認性等若干全屬性來支撐業務的正常進行； 一一＞安全運維活動通過對組織信息系統安全、定運行的保障工作來支撐業務的正常進行；＞信息系統安全運維模型中，最本質的對象是，信息安全運維就是利用安全技術和措施，保障業務活動的穩定運行＞業務對象涉及數據、載體、環境與邊界。在信息系統中，信息通過數據來展現，數據通過載體來承載，而載體的存在依賴于一定的環境，環境存在一定的界限，即邊界；＞模型中的安全屬性包括：可用性、完整性、真實性、機密性、不可否認性、可控性、可靠性、可追溯性等。四、安全運維有哪些模式？信息系統安全運維有兩種模式：“安全運維”和“運維安全”4.1安全運維＞安全運維是從面相業務的運維服務出發，重點在運維，是對信息系統現有的安全保障措施和安全設備進行運維，從而使已部署的安全保障措施和安全設備有效進行；＞安全運維的過程包含：運維準備、運維實施、運維評審與持續改進4個階段可細分為合規要求、安全策略、運維準備、運維實施、運維評審與持續改進6個環節；＞安全運維隹備階段包含了合規要求安全策略、運維準備三個環節，該階段主要完成信息系統安全運維策略制定和安全運維前期的準備工作；＞運維實施階段重點解決安全策略落實和運維服務的實施；＞運維評審主要是對安全運維服務的有效性進行評價;＞持續改進是實現自我糾錯、逐步提升的過程;4.2運維安全＞運維安全是“基于運維活動提供風險管控服務”，既針對安全運維活動中可能影響業務系統正常運行的安全風險進行處置，其重點安萱（風險管理）；＞運維安全包括：合規要求、風險評估、風險處置、過程監控、運維評審和持續改進6個環節；＞合規要求、風險評估是安全需求的要來源合規要求是指運維的安全需求對國家相關法律法規、規章制度3準規范的符合性。風險評估主要是對運維過程中的問題，運維過程自身的脆弱性、所面臨的威脅以及其可能帶來的損失進行評估；＞風險處置是運維安全的技主體階段通過制定控制風險的計劃并實施控制，降低風險發生的可能性并減少其對信息系統的不良影響；＞過程監控的主要工作是對運維過程的人員操作行為、設備運行狀況、安全事件監控和已實施的風險處置進行有效監控，獲取安全證據，保障系統安全；＞運維評審的主要任務是依據安全論據及證據;監控獲取的運維狀況進行安全運維服務實施有效性評價從質量控制、全生命周期過程管控、運維費用控制等方面衡量當前安全運維服務；＞持續改進環節是針對評審過程發現的問題進行修正和改進整風險處置的措施，對現有運維工作的全部或部分構成進行重新實施。4.3如何正確理解運維模式間的關系？＞兩者存在著相互依存和相互促進的關系，彼此之間存在著共性；＞兩種模式都是一個動態循環系統周而復始，不斷提高和改進；＞兩種模式的主要區別在于服務對象和服務目標不安全運維是從面相業務的運維服務出發，確保運維過程的安全。而運維安全則是針對運維活動中可能影響業務系統正常運行的