干货推荐：

ITSS题库

中国ITSS白皮书2.0【第二版】PDF

ITSS服务项目经理培训

ITSS服务项目经理培训——2-基本概念及方法

ITSS服务项目经理培训——3-IT服务设计

ITSS服务项目经理培训——4-IT服务转换

ITSS服务项目经理培训——5-IT服务运营(3)

ITSS服务项目经理培训——6-IT服务改进

ITSS服务项目经理培训——7-IT服务项目类别

ITSS服务项目经理培训——9-IT服务项目管理知识体系(1)

ITSS服务项目经理培训——10-IT服务项目群管理  

3.5 系统和应用安全

      3.5.1 操作系统安全

        操作系统安全是指操作系统在存储、传输和处理过程中提供的信息和服务应具备保密性、完整性和可用性的能力。

        操作系统的安全保障机制

       操作系统的安全是通过操作系统的漏洞管理、最小化系统服务、系统配置安全、账户管理安全控制、身份鉴别安全控制、文件目录安全控制、网络访问安全控制和安全审计等8 个安全控制措施来保障的；同时操作系统安全的账户管理安全控制、身份鉴别安全控制、文件/目录安全控制和安全审计等应考虑和相关的集中账户管理平台、集中访问认证平台和集中安全审计平台的接口进行对接。

        操作系统安全除了技术上的保障外，还应通过与之相适应安全运维服务进行保障，并与相应操作系统的安全管理策略来管理执行。


• 操作系统的漏洞管理。对操作系统进行最新的补丁更新，并根据各厂商所提供的可能危害操作系统的漏洞进行及时修补，并在安装系统补丁前对现有的重要文件进行备份，并对补丁程序进行可靠性仿真测试，以防止对现有软件的不兼容性；
• 最小化系统服务。对操作系统进行最小服务的配置优化，特别是会导致安全性问题的服务进行关闭，如：Windows 的远程注册等服务，Unix 的inetd 等服务；
• 系统配置安全。对操作系统的系统参数按其不同厂商的类型进行配置优化，如：Windows的注册表配置、Unix 的Kernel 调优配置等；
• 账户管理安全控制。对有管理权限访问操作系统资源或者服务的用户和组进行管理，主要包括：密码策略安全控制、账户锁定策略控制、账户生命周期管理控制等；
• 身份鉴别安全控制。用于验证操作系统实体身份（是用户、计算机还是程序）的过程，该过程确定实体是它所声称的身份，从而可以正确应用保密性、完整性和可用性等安全准则，如：安全认证方式管理控制、交换式登录安全控制等；
• 文件/目录安全控制。对操作系统的文件数据等资源进行细粒度的权限访问控制，包括只读、只写、可读写、可删除等进行授权控制，从而阻止非授权的系统访问和系统rootkit 等威胁；
• 网络访问安全控制。通过操作系统自带或第三方的防火墙功能对来自网络的访问进行相关的安全控制；
• 安全审计。针对操作系统的系统服务活动、账户管理活动、认证访问活动、资源配置活动等进行有效的日志审计，并对其审计的日志记录进行基本的日志策略管理，如：日志审计类型、日志保存时间和日志统计报告等。
  

      3.5.2 应用安全

       应用安全是指确保应用系统在对特定业务进行传输、处理和存储时所提高的信息和服务具备保密性、完整性和可用性的能力。

        应用的安全保障机制

        应用系统的安全保障应从应用身份的鉴别验证、访问控制、通信的安全保护、代码安全、行为审计、软件处理的可用性保证以及软件安全管理等多个方面进行考虑，具体如下：

                应用身份识别和认证

        应用系统应提供除用户名/口令外其他身份验证机制，必要时还需支持双因素认证；同时还应具备登录控制模块，对用户身份鉴别信息复杂度检查、登录失败处理和用户身份唯一性标识等进行安全控制。

               访问权限控制
        应用系统应实行独立的访问权限控制和基于角色的权限管理等功能，并对相关的资源进行细粒度的权限控制，从而最终通过安全标识的比较来确定主体对客体的访问是否合法。

                通信数据的机密性保护
        应用系统应在通信过程中对其敏感信息，如客户帐号、密码、交易金额等字段进行加密，同时保证其整个报文或会话过程也是加密的。

                通信数据的完整性保护
        应用系统应采用秘密的单向算法或事先约定的密码用加密算法进行数据报文的完整性校验。常用的机制根据算法的类型可分为两种：


•           数字签名：采用非对称加密机制，发送方利用自身的私有签名密钥计算报文的数字签名；接受方利用对方的公开签名密钥进行验证；
•    报文验证码（MAC）：利用对称加密机制，在一定周期内，双方约定交易验证密码。发送方利用该密码计算交易验证码，接受方进行验证。
  

       密码管理
        应用系统应对密码进行生命期的管理，并根据实际密级需求采用对应的对称加密和非对称加密的算法和密钥位数；如采用软件的密码管理系统，则应提供在系统安装初始化时产生密钥种子，其密钥种子不得固化在程序中的方法，同时如果密级较高时建议密码管理由相应的硬件完成，其密码装置还需具备防物理攻击的特性。

         可信路径
        应用系统对用户进行身份鉴别时，应能够建立一条安全的信息传输路径；同时在用户通过应用系统对资源进行访问时，应用系统还应保证在被访问的资源与用户之间应能够建立一条安全的信息传输路径。

                通信保护
        应用系统在其通信会话中应提供安全的标记方法和验证机制，必要时提供安全的密码保护技术，如：专用的安全密码算法和硬件密码设备等。

           应用代码安全
        应用系统应建立标准的代码编写安全规范，并严格要求开发人员进行执行；同时通过外聘专家对其静态代码进行扫描分析和应用的渗透性测试。

               应用安全审计
        应用系统应提供完善的日志审计功能，能记录业务访问活动、账户管理活动、认证登录活动、配置管理活动和应用系统活动等类型的日志，并保证每类日志记录充分的信息内容，如：时间、日志类型ID、访问主客体名称、应用系统的操作类型、访问的资源名称等，同时能保证每类日志类型的格式唯一性和标准的日志输出接口，如：Syslog、SNMP trap 等。

                应用软件容错
        应用系统应对输入数据进行有效性检验，包括用户通过人机接口输入或其他软件模块通过通信接口输入；通过专门的状态监控进程，当故障发生并中断退出时能向管理员提供故障类型和故障发生点的信息，同时保证在一般情况下其他功能还能继续正常运行，即达到有限容错保护的目的；最后它还应提供自动恢复功能，当故障发生时立即自动启动新的进程，恢复原来的工作状态。

                应用软件资源配置
        应用系统应支持将服务优先级的控制范围限定某个资源子集，确定访问用户或请求进程的优先级，并指出对何种资源使用该优先级。如果一个访问用户或请求进程准备对由服务优先级控制的资源进行操作，那么其访问和/或访问时间将取决于其优先级、当前正在对该资源进行操作和等待进行该操作的队列中的访问用户或请求进程的优先级，达到有限服务优先级；同时提供其资源分配最大和最小的限额功能，确保某一访问用户或请求进程不会超过或低于某一数量或独占某种受控资源。应用软件可限定所要求的最大或最小资源分配限额的受控资源（如处理器、磁盘空间、内存、传输带宽）清单。

               应用安全保证
        应用系统的安全保证是指从应用软件的设计、测试、分发、运行维护的过程来保证应用系统的安全性，防止由于管理不当引起的威胁，应用系统安全对应用安全保证的强度需求主要取决于由于管理不当引起风险的大小，具体包括：版本和配置管理、测试、分发和操作等。

        3.5.3 物理环境安全

         物理环境安全是为保障其所支持的业务正常运行，保护计算机设备、设施（包括相关物理建筑、相关电气设施）、信息与媒介以及人员，免遭自然灾害、环境事故、人为误操作以及各种以物理手段进行的违法犯罪行为导致的破坏、泄漏或丢失，从而避免和降低对其所支持业务系统的损害。

    物理环境的安全保障机制
     
        物理环境安全的安全保障包括机物理位置的选择、主要自然威胁保护、电力供应、物理访问控制、通信电缆安全、设备的防盗防毁以及设备的检修维护，具体如下：

        物理位置的选择

        应避开易发生火灾和危险程度高的地区，有环境污染的区域，低洼、潮湿及落雷区域，强震动源和强噪声源区域，强电场和强磁场区域，有地震、水灾危害的区域，最后还应避免在建筑物的高层以及用水设备的下层或隔壁以及靠近公共区域，如运输邮件通道、停车场或餐厅等。

        主要自然威胁保护

        应考虑防火、防水、防灰尘、防静电、防虫鼠害、防辐射、防毁坏、接地、防雷击以及温湿控制等相关安全措施，具体可参考《GB/T 21052—2007:信息安全技术_信息系统物理安全技术要求》的相关要求。

        电力供应

       应根据设备制造商的说明提供合适的电力，保护设备以防电力中断和其他与电力供应有关的异态发生；应使用双回路或多回路供电；供电系统应将动力、照明用电与计算机系统供电线路分开，并配备应急照明装置；紧急电源开关应位于设备室的紧急出口附近，以便在紧急情况下迅速切断电源。在主电源发生故障时，应该提供应急照明；提供紧急情况供电，配置UPS 设备，以备常用供电系统停电时启用；如需要可配备发电机组，以便在发生长时间断电事故时进行供电，并对UPS 设备应该定期检查，并按照制造商的建议测试，最后应制定与电力供应相关的应急预案，明确在电力供应中断时所采取的行动，并对应急预案进行演练。

        物理访问控制

        应根据物理安全要求建立相关物理访问控制策略，对物理区域进行物理访问控制，并对相关的来访人员身份进行登记和检查，同时对出入口进行视频监控；另外对机房设单独出入口和相关紧急疏散出口以有效标识，如重要区域可配置第二道物理强访问控制系统（如：电子门禁系统）进行控制和监控。

        通信电缆安全

       通信线缆应避免强电磁场的辐射，可采取金属管和地下等屏蔽方式，同时采用相关的技术防止通信数据被截获和干扰。

       设备的防盗防毁

    对机房等重要物理区域安装物理加固装置（如：防盗门窗等）和防盗报警装置，并对其进行有效的报警和视频等监控（如：与安保或公安机关进行链接）；同时对相关设备进行清晰的标识，如：设备名称、型号、厂商名称或Logo 等，并对其进行明显但不易擦去的标记处理。

       设备的检修维护

         机房内（包括电源间）的所有硬件设备，由设备管理部门负责管理，随时受理和处理硬件设备的突发事故，从而保证计算机及附属设备的良好运行状态；同时定期对设备进行例行检查和测试。

返回到首页 《ITSS认证IT服务工程师培训教材》_试用版_2011_0311连载http://www.itilxf.com/thread-36464-1-1.html
ITSS、培训、服务、资格、评估、ITSS培训师、ITSS评估师、实施ITSS、ITSS符合性、ITSS服务工程师、ITSS服务项目经理、ITSS标准、ITSS咨询、ITSS工具、IT服务监理、ITSS体系、ITSS服务质量、评价、指标、运维、治理、咨询、ITSS出版物、ITSS产品、服务监理工具、服务质量评价工具、标准符合性评估工具、服务管理工具、服务治理工具、系统监控工具、辅助决策分析、服务支持管理、基础设施监控、ITSS基础教材、ITSS标准、ITSS服务人员培训教材、标准化、专业化、人员（People）、流程[1]（Process）、技术（Technology）和资源（Resource），简称PPTR、规划设计（Planning&Design）、部署实施（Implementing）、服务运营（Operation）、持续改进（Improvement）和监督管理（Supervision），简称PIOIS、服务交付规范、资源要求、外包管理、服务交付、分类、代码、服务指南、通用要求、指标体系、ITSS落地实践交流-QQ群：21542747  

干货推荐：

ITSS题库

中国ITSS白皮书2.0【第二版】PDF

ITSS服务项目经理培训

ITSS服务项目经理培训——2-基本概念及方法

ITSS服务项目经理培训——3-IT服务设计

ITSS服务项目经理培训——4-IT服务转换

ITSS服务项目经理培训——5-IT服务运营(3)

ITSS服务项目经理培训——6-IT服务改进

ITSS服务项目经理培训——7-IT服务项目类别

ITSS服务项目经理培训——9-IT服务项目管理知识体系(1)

ITSS服务项目经理培训——10-IT服务项目群管理  

3.5 系统和应用安全

      3.5.1 操作系统安全

        操作系统安全是指操作系统在存储、传输和处理过程中提供的信息和服务应具备保密性、完整性和可用性的能力。

        操作系统的安全保障机制

       操作系统的安全是通过操作系统的漏洞管理、最小化系统服务、系统配置安全、账户管理安全控制、身份鉴别安全控制、文件目录安全控制、网络访问安全控制和安全审计等8 个安全控制措施来保障的；同时操作系统安全的账户管理安全控制、身份鉴别安全控制、文件/目录安全控制和安全审计等应考虑和相关的集中账户管理平台、集中访问认证平台和集中安全审计平台的接口进行对接。

        操作系统安全除了技术上的保障外，还应通过与之相适应安全运维服务进行保障，并与相应操作系统的安全管理策略来管理执行。


• 操作系统的漏洞管理。对操作系统进行最新的补丁更新，并根据各厂商所提供的可能危害操作系统的漏洞进行及时修补，并在安装系统补丁前对现有的重要文件进行备份，并对补丁程序进行可靠性仿真测试，以防止对现有软件的不兼容性；
• 最小化系统服务。对操作系统进行最小服务的配置优化，特别是会导致安全性问题的服务进行关闭，如：Windows 的远程注册等服务，Unix 的inetd 等服务；
• 系统配置安全。对操作系统的系统参数按其不同厂商的类型进行配置优化，如：Windows的注册表配置、Unix 的Kernel 调优配置等；
• 账户管理安全控制。对有管理权限访问操作系统资源或者服务的用户和组进行管理，主要包括：密码策略安全控制、账户锁定策略控制、账户生命周期管理控制等；
• 身份鉴别安全控制。用于验证操作系统实体身份（是用户、计算机还是程序）的过程，该过程确定实体是它所声称的身份，从而可以正确应用保密性、完整性和可用性等安全准则，如：安全认证方式管理控制、交换式登录安全控制等；
• 文件/目录安全控制。对操作系统的文件数据等资源进行细粒度的权限访问控制，包括只读、只写、可读写、可删除等进行授权控制，从而阻止非授权的系统访问和系统rootkit 等威胁；
• 网络访问安全控制。通过操作系统自带或第三方的防火墙功能对来自网络的访问进行相关的安全控制；
• 安全审计。针对操作系统的系统服务活动、账户管理活动、认证访问活动、资源配置活动等进行有效的日志审计，并对其审计的日志记录进行基本的日志策略管理，如：日志审计类型、日志保存时间和日志统计报告等。
  

      3.5.2 应用安全

       应用安全是指确保应用系统在对特定业务进行传输、处理和存储时所提高的信息和服务具备保密性、完整性和可用性的能力。

        应用的安全保障机制

        应用系统的安全保障应从应用身份的鉴别验证、访问控制、通信的安全保护、代码安全、行为审计、软件处理的可用性保证以及软件安全管理等多个方面进行考虑，具体如下：

                应用身份识别和认证

        应用系统应提供除用户名/口令外其他身份验证机制，必要时还需支持双因素认证；同时还应具备登录控制模块，对用户身份鉴别信息复杂度检查、登录失败处理和用户身份唯一性标识等进行安全控制。

               访问权限控制
        应用系统应实行独立的访问权限控制和基于角色的权限管理等功能，并对相关的资源进行细粒度的权限控制，从而最终通过安全标识的比较来确定主体对客体的访问是否合法。

                通信数据的机密性保护
        应用系统应在通信过程中对其敏感信息，如客户帐号、密码、交易金额等字段进行加密，同时保证其整个报文或会话过程也是加密的。

                通信数据的完整性保护
        应用系统应采用秘密的单向算法或事先约定的密码用加密算法进行数据报文的完整性校验。常用的机制根据算法的类型可分为两种：


•           数字签名：采用非对称加密机制，发送方利用自身的私有签名密钥计算报文的数字签名；接受方利用对方的公开签名密钥进行验证；
•    报文验证码（MAC）：利用对称加密机制，在一定周期内，双方约定交易验证密码。发送方利用该密码计算交易验证码，接受方进行验证。
  

       密码管理
        应用系统应对密码进行生命期的管理，并根据实际密级需求采用对应的对称加密和非对称加密的算法和密钥位数；如采用软件的密码管理系统，则应提供在系统安装初始化时产生密钥种子，其密钥种子不得固化在程序中的方法，同时如果密级较高时建议密码管理由相应的硬件完成，其密码装置还需具备防物理攻击的特性。

         可信路径
        应用系统对用户进行身份鉴别时，应能够建立一条安全的信息传输路径；同时在用户通过应用系统对资源进行访问时，应用系统还应保证在被访问的资源与用户之间应能够建立一条安全的信息传输路径。

                通信保护
        应用系统在其通信会话中应提供安全的标记方法和验证机制，必要时提供安全的密码保护技术，如：专用的安全密码算法和硬件密码设备等。

           应用代码安全
        应用系统应建立标准的代码编写安全规范，并严格要求开发人员进行执行；同时通过外聘专家对其静态代码进行扫描分析和应用的渗透性测试。

               应用安全审计
        应用系统应提供完善的日志审计功能，能记录业务访问活动、账户管理活动、认证登录活动、配置管理活动和应用系统活动等类型的日志，并保证每类日志记录充分的信息内容，如：时间、日志类型ID、访问主客体名称、应用系统的操作类型、访问的资源名称等，同时能保证每类日志类型的格式唯一性和标准的日志输出接口，如：Syslog、SNMP trap 等。

                应用软件容错
        应用系统应对输入数据进行有效性检验，包括用户通过人机接口输入或其他软件模块通过通信接口输入；通过专门的状态监控进程，当故障发生并中断退出时能向管理员提供故障类型和故障发生点的信息，同时保证在一般情况下其他功能还能继续正常运行，即达到有限容错保护的目的；最后它还应提供自动恢复功能，当故障发生时立即自动启动新的进程，恢复原来的工作状态。

                应用软件资源配置
        应用系统应支持将服务优先级的控制范围限定某个资源子集，确定访问用户或请求进程的优先级，并指出对何种资源使用该优先级。如果一个访问用户或请求进程准备对由服务优先级控制的资源进行操作，那么其访问和/或访问时间将取决于其优先级、当前正在对该资源进行操作和等待进行该操作的队列中的访问用户或请求进程的优先级，达到有限服务优先级；同时提供其资源分配最大和最小的限额功能，确保某一访问用户或请求进程不会超过或低于某一数量或独占某种受控资源。应用软件可限定所要求的最大或最小资源分配限额的受控资源（如处理器、磁盘空间、内存、传输带宽）清单。

               应用安全保证
        应用系统的安全保证是指从应用软件的设计、测试、分发、运行维护的过程来保证应用系统的安全性，防止由于管理不当引起的威胁，应用系统安全对应用安全保证的强度需求主要取决于由于管理不当引起风险的大小，具体包括：版本和配置管理、测试、分发和操作等。

        3.5.3 物理环境安全

         物理环境安全是为保障其所支持的业务正常运行，保护计算机设备、设施（包括相关物理建筑、相关电气设施）、信息与媒介以及人员，免遭自然灾害、环境事故、人为误操作以及各种以物理手段进行的违法犯罪行为导致的破坏、泄漏或丢失，从而避免和降低对其所支持业务系统的损害。

    物理环境的安全保障机制
     
        物理环境安全的安全保障包括机物理位置的选择、主要自然威胁保护、电力供应、物理访问控制、通信电缆安全、设备的防盗防毁以及设备的检修维护，具体如下：

        物理位置的选择

        应避开易发生火灾和危险程度高的地区，有环境污染的区域，低洼、潮湿及落雷区域，强震动源和强噪声源区域，强电场和强磁场区域，有地震、水灾危害的区域，最后还应避免在建筑物的高层以及用水设备的下层或隔壁以及靠近公共区域，如运输邮件通道、停车场或餐厅等。

        主要自然威胁保护

        应考虑防火、防水、防灰尘、防静电、防虫鼠害、防辐射、防毁坏、接地、防雷击以及温湿控制等相关安全措施，具体可参考《GB/T 21052—2007:信息安全技术_信息系统物理安全技术要求》的相关要求。

        电力供应

       应根据设备制造商的说明提供合适的电力，保护设备以防电力中断和其他与电力供应有关的异态发生；应使用双回路或多回路供电；供电系统应将动力、照明用电与计算机系统供电线路分开，并配备应急照明装置；紧急电源开关应位于设备室的紧急出口附近，以便在紧急情况下迅速切断电源。在主电源发生故障时，应该提供应急照明；提供紧急情况供电，配置UPS 设备，以备常用供电系统停电时启用；如需要可配备发电机组，以便在发生长时间断电事故时进行供电，并对UPS 设备应该定期检查，并按照制造商的建议测试，最后应制定与电力供应相关的应急预案，明确在电力供应中断时所采取的行动，并对应急预案进行演练。

        物理访问控制

        应根据物理安全要求建立相关物理访问控制策略，对物理区域进行物理访问控制，并对相关的来访人员身份进行登记和检查，同时对出入口进行视频监控；另外对机房设单独出入口和相关紧急疏散出口以有效标识，如重要区域可配置第二道物理强访问控制系统（如：电子门禁系统）进行控制和监控。

        通信电缆安全

       通信线缆应避免强电磁场的辐射，可采取金属管和地下等屏蔽方式，同时采用相关的技术防止通信数据被截获和干扰。

       设备的防盗防毁

    对机房等重要物理区域安装物理加固装置（如：防盗门窗等）和防盗报警装置，并对其进行有效的报警和视频等监控（如：与安保或公安机关进行链接）；同时对相关设备进行清晰的标识，如：设备名称、型号、厂商名称或Logo 等，并对其进行明显但不易擦去的标记处理。

       设备的检修维护

         机房内（包括电源间）的所有硬件设备，由设备管理部门负责管理，随时受理和处理硬件设备的突发事故，从而保证计算机及附属设备的良好运行状态；同时定期对设备进行例行检查和测试。

返回到首页 《ITSS认证IT服务工程师培训教材》_试用版_2011_0311连载http://www.itilxf.com/thread-36464-1-1.html
ITSS、培训、服务、资格、评估、ITSS培训师、ITSS评估师、实施ITSS、ITSS符合性、ITSS服务工程师、ITSS服务项目经理、ITSS标准、ITSS咨询、ITSS工具、IT服务监理、ITSS体系、ITSS服务质量、评价、指标、运维、治理、咨询、ITSS出版物、ITSS产品、服务监理工具、服务质量评价工具、标准符合性评估工具、服务管理工具、服务治理工具、系统监控工具、辅助决策分析、服务支持管理、基础设施监控、ITSS基础教材、ITSS标准、ITSS服务人员培训教材、标准化、专业化、人员（People）、流程[1]（Process）、技术（Technology）和资源（Resource），简称PPTR、规划设计（Planning&Design）、部署实施（Implementing）、服务运营（Operation）、持续改进（Improvement）和监督管理（Supervision），简称PIOIS、服务交付规范、资源要求、外包管理、服务交付、分类、代码、服务指南、通用要求、指标体系、ITSS落地实践交流-QQ群：21542747