《信息化建设解决方案之信息安全篇.docx》由会员分享,可在线阅读,更多相关《信息化建设解决方案之信息安全篇.docx(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息化建设解决方案之信息安全篇【导读】随着信息安全事 件的不断发生,信息安全的重要性呈指数增长的趋势。过去几年来,网站被黑客攻击、拒绝服务攻击增多、信用卡信息被盗等事件日益复杂,病毒和蠕虫所造成的损失不可估量。面对如此严峻的信息安全形势,许多单位投入大量资金购买安全设备、系统软件和系统服务来应对,但是,往往得不到预期的风险管理的效果。实际上,解决信息安全问题的根本措施是需要结合企业网络和业务实际,通过正确的方法,建立一套适合企业的信息安全体系,并在企业中持续的运行、改进。以下将为企业在信息化建设过程中,如何更好的应对信息安全问题提供一些思路和方法。1、信息安全建设遇到的问题1.1 信息安全建设
2、常见问题随着信息化的快速发展,信息安全事件也越来越多。信息安全已经成为每个信息化建设者为之头疼的问题:,(1)信息安全投资越来越多,信息安全问题也越来越多。单位每年投入大量资金进行安全建设,买了很多信息安全设备,结果每年还是会遇到很多信息安全问题。领导批评,员工抱怨,信息中心主任也不知如何是好。(2)安全管理制度形同虚设。单位在管理方面下了很大功夫,制定了制度,但是安全管理制度就像一阵风,风吹时很猛,但吹过了,也就完了,业务人员根本不拿制度当回事,有的认为制度本身就是形式,这种现象能改变吗?(3)维护人员疲于奔命。单位虽完成了信息安全建设工作,但是信息化业务系统的可靠性及需求不断增长,让安全维
3、护人员疲于奔命,对于突发事件无法做出迅速响应,消耗大量人员成本,工作做得也并不理想,信息中心领导对这种“救火式”安全维护无可奈何。同时,导致IT运维成本不但居高不下,且有明显的逐年增加的趋势,IT运维一时成为可有可无的鸡肋,投入大量资金购买的设备,也快成为摆设。1.2 信息安全建设问题分析从问题的表象来分析,产生现象的根源如下:(1)缺乏系统的安全体系。很多企业,甚至大型知名企业,上了很多技术和产品,但安全管理跟不上,技术和产品未能发挥应有的作用;重视信息安全工程建设,但建设后的运维工作跟不上,信息安全隐患不能及时排查、整改,信息安全问题还是层出不穷;重视对外部信息安全风险等防范,疏忽了 对内
4、部风险的控制,安全体系不全面,存在短板。根源在于这些企业都存在着一个普遍的问题:信息安全目标体系不清晰,整体的安全体系架构不系统,相关的管理跟不上。如设备上线了,运行很久了,还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职人员帐户仍然存在、制度不执行或执行不到位、不彻底。这些问题不能很好地解决,即使有再好的产品、技术或标准,企业的信息安全管理水平也很难从根本上有所提高,上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。(2)对信息安全风险缺乏及时的评估、预警和控制。信息化项目建设完成后,用户往往认为已经采取了相应的信息安全保护措施,可以一劳永逸,因此在信息系统的日
5、常运维中忽略了对信息系统安全风险的及时评估、预警和控制。风险是一个动态的过程,信息安全也是一个动态的过程,产品技术标准不断发展和完善,信息安全威胁也是不断地升级换代,随着企业信息化程度的进一步加深,企业核心业务对IT依赖度的进一步加强,信息安全问题会相对越来越多,这是一个不可扭转的趋势和现实,所以信息安全的风险不断在变化。缺乏评估、预警措施,不能及时识别信息安全风险,也就不能控制风险,从而带来隐患。(3)安全运维工作不重视。在很多单位都出现过网站被黑客攻击,主页被篡改,服务器无法对外提供服务的情况。导致业务中断,单位的声誉受损,广告投放单位要求索赔等。出现这种情况的原因,往往是因为缺少对网站的
6、安全保护监控,没有一套合理的流程去防止安全事件的发生。在出现安全事件后,信息中心的人员又不知道该如何处置。到处打电话找人,经过很大的弯子才能够解决问题。这就是日常的安全工作中,缺少应急方案的制定与演练。导致在真正出现问题时,不知该从何下手,如何解决问题。IT部门应当从信息安全的角度出发,为公司制定一个合理的工作流程,管理部门应当制定信息安全运维的框架,并指派专人负责完善运维体系。针对以上问题,建议企业在进行信息安全建设时,首先明确信息安全方针,设计信息安全策略,在此指导下构建信息安全管理体系、技术体系、运维体系。2、正确的信息安全建设之道企业在进行信息安全建设时,应从企业整体IT规划的角度出发
7、,将信息安全工作纳入IT部门一项重要的工作去从整体上进行规划。建立信息安全方针,确定信息安全策略,构建信息安全管理体系、技术体系和运维体系,并在实际工作中不断完善。如图1所示。图1 信息安全体系建设图信息安全规划是以组织信息化战略规划为指导,以组织的信息资源规划为基础,确定信息系统的安全框架、管理模式与建设步骤。企业在信息安全规划的指导下建设的网络与信息环境,才可以在安全机制的控制与制约下,让各种业务解决方案、应用系统和数据都避免遭受负面因素带来的威胁。信息安全规划不应只是规划未来几个月,而是规划未来几年内如何达到组织信息化远景规划指导下的安全建设目标的一个过程。信息安全规划比单独购买信息安全
8、产品更重要,只有信息安全的整体部署有计划、有方向、有目的、有配合,才能构成真正意义上的信息安全。企业在进行信息安全规划时,首先应制定信息安全的方针目标,然后根据方针目标去制定具体的信息安全策略。而信息安全策略的落地,最终要靠建立信息安全管理体系、技术体系和运维体系三大体系去实现。下面就具体介绍一下各阶段的具体工作。2.1成立信息安全领导小组企业的信息安全建设应从单位发展的战略角度出发,首先成立由主管领导任责任人的信息安全领导小组,来统筹规划企业的信息安全发展战略,制定信息安全方针目标,确定信息安全策略,建立信息安全体系,构建全方位、立体化的防护系统。2.2 制定信息安全方针信息安全体系的建设,
9、涉及面广、工作量大,必须坚持以下的方针原则,保证建设和运维的效果达到目标。进行信息安全建设应遵循以下原则:依据战略制定。信息安全建设应符合企业发展的整体战略,制定信息安全体系框架,明确信息安全建设达到的目标:基于安全基础设施、以安全策略为指导,提供全面的安全服务内容,覆盖从物理、网络、系统直至数据和应用平台各个层面,以及保护、检测、响应、恢复等各个环节,构建全面、完整、高效的信息安全体系,从而提高组织信息系统的整体安全等级,为组织的业务发展提供坚实的信息安全保障。同时,还要制定统一的信息安全建设标准和管理规范,使得信息安全体系建设能够遵循一致的标准,管理能够遵循一致的规范。分步有序实施。信息安
10、全体系的建设,内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行。技术管理并重。仅有全面的安全技术和机制是远远不够的,安全组织和安全管理也具有同样的重要性。信息安全体系的建设,必须遵循安全技术和安全管理并重的原则。制定统一的安全建设管理规范,指导组织的安全管理工作。突出安全保障。信息安全体系建设要突出安全保障的重要性,通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制,保障业务的持续性和数据的安全性。2.3 制定信息安全策略根据信息安全方针,制定信息安全策略,首先需要对组织信息化发展的历史情况进行深入和全面的调研,了解、分析信息安全现状,明确信息安全建设工作的内容和重点,并
11、形成指导信息安全建设的总体策略。总体策略的设计坚持管理与技术并重的原则,以确保网络和信息系统的安全性为主,采用多重保护、最小授权和严格管理等措施,从宏观整体的角度进行阐述,是信息安全建设总的指导原则。按照要保障的资产对象的不同,总体策略划分为环境安全、数据访问控制安全、数据加密与备份、病毒防治、系统安全、身份认证与授权、灾难恢复与连续性、安全审计、人员与安全教育等若干方面进行阐述。随着技术的发展以及系统的升级、调整,安全策略也应该进行重新评估和制定,随时保持策略与安全目标的一致性。安全策略与安全技术体系、安全管理体系以及安全运维体系这三大体系之间的关系也是相互作用的。一方面,三大体系是在安全策
12、略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略中所制定的目标;另一方面,安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评估、修订等步骤在内的生命周期,需要采用一些技术方法和管理手段进行管理,保证安全策略的及时性和有效性。2.4 建立信息安全三大体系在信息安全策略的指导下,通过构建安全管理体系、安全技术体系和安全运维体系三大体系,在既定方针目标的指引下,协同工作,相互支撑,相互促进,构成实时、动态和持续改进的全生命周期防护体系。2.4.1 安全技术体系建设安全技术体系是整个信息安全体系框架的基础,包括了
13、密码基础设施平台、应用安全支撑平台、灾难备份与恢复平台、安全事件应急响应与管理平台和安全综合管理平台这五个部分,以统一的信息安全基础设施平台为支撑,以统一的安全系统应用平台为辅助,在统一的综合安全管理平台管理下的技术保障体系框架。(1)建立信息系统密码基础设施平台。安全基础设施平台是以安全策略为指导,从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发,立足于现有的成熟安全技术和安全机制,建立起的一个各个部分相互协同的完整的安全技术防护体系。a) 组成:由密码技术所构成的密码基础设施平台,由基于公钥基础设施(PKI)、授权管理基础设施(PMI)、密钥管理基础设施(K
14、MI)等密码安全机制和授权管理机制等组成;b) 功能:密码基础设施平台提供数据加/解密、数字签名/验证、数字证书签发/验证、数字信封封装/解封、数据摘要/完整性验证、会话密钥生成和存储等基础密码服务,为安全信息系统实现保密性、完整性、真实性、抗抵赖、访问控制等安全机制提供支持;c) 分等级要求:根据不同安全等级的信息系统对密码强度的不同要求,密码基础设施平台应提供不同安全等级的安全支持。(2)建立应用安全支撑平台。应用安全支撑平台处理安全基础设施与应用信息系统之间的关联和集成问题,应用信息系统通过使用安全基础设施平台所提供的各类安全服务,提升自身的安全等级,以更加安全的方式,提供业务服务和内部
15、信息管理服务。总体要求:利用基础设施平台提供的基于 PKI/PMI/KMI 技术的安全服务,采用安全中间件及一站式服务理论和技术,支持面向业务应用的各种应用软件系统安全机制的设计,实现包括真实性鉴别、访问控制、信息安全交换、数据安全传输以及数据的保密性、完整性保护等应用软件系统的安全功能,是应用软件系统安全支撑平台的设计目标。应用安全支撑平台提供的安全服务主要包括:a) 支持服务器端的服务: 采用中间件技术,构建安全中间件模块和安全中间件系统,实现以PKI为核心的安全技术的跨平台分布式应用。b) 支持客户端的服务:按照称为安全客户端套件的轻量级中间件模式,采用层次结构,按设备层、硬件接口层、驱
16、动层、底层接口层和高层接口层,构成客户端安全的核心模块,通过密码设备驱动访问所连接的各类终端密码设备。根据不同安全等级的应用对安全支撑平台的不同要求,应用安全支撑平台应提供不同安全强度/等级的安全支持。(3)建立信息系统灾难备份与恢复平台。灾难备份是在信息系统正常运行的情况下,为确保信息系统发生灾难性故障中断运行后恢复运行所作的一系列技术准备工作。灾难备份包括:数据备份:用来确保系统恢复运行后原有的数据信息不丢失或少丢失;处理系统备份:用来确保当信息系统中断运行后能在规定的时间范围内替代原系统运行,并确保提供所需要的信息处理能力;本地备份:是指对组成信息系统的主机/服务器,通过设置本地备份机制
17、,实现对数据备份和处理系统备份;异地备份:是指对组成信息系统的主机/服务器,通过设置异地备份机制,实现对数据和处理系统的异地备份;异地备份能对付那些由地震、水灾、战争破坏等重大破坏性灾害所引起的灾难性故障;网络备份:是指对组成信息系统的网络系统,通过设置备份路由或备份线路来确保当网络系统的某些部位发生故障中断运行时,备份网络能替代故障部分实现所需要的网络数据交换,而异地备份则需要有相应的网络环境支持其对原有信息系统运行的替代,可见网络备份也是处理系统备份的组成部分。a) 灾难恢复灾难恢复是在信息系统发生灾难性故障中断运行后所采取的一系列恢复措施。如果说灾难备份更多的是技术措施的话,灾难恢复活动
18、则更多的是管理措施。灾难恢复的要求包括:制定明确的灾难恢复策略;制定实施灾难恢复的预案;灾难恢复策略应与灾难备份技术支持密切结合,或者说灾难备份所提供的技术支持是根据灾难恢复的总体策略确定的。设置相应的机构和人员,并明确其相应的职责:灾难恢复预案应进行常规的管理和维护,对相关人员进行培训,并定期进行必要的演练。b) 分等级要求根据信息系统所承载的业务应用的业务连续性的不同要求,灾难备份和恢复需要有不同等级的支持。灾难备份和恢复的等级与目标信息系统的安全保护等级是两个不同的概念,但是要求在实施灾难备份与恢复的过程中应按照目标信息系统安全保护等级的要求对所涉及的数据信息进行相应的安全保护。(4)信
19、息系统安全事件应急响应与管理平台。应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。信息系统安全事件应急响应的对象是指针对信息系统所存储、传输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。按照信息系统安全的三个特性,可以把安全事件定义为破坏信息或信息处理系统 CIA 的行为,即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。信息系统安全事件应急响应与管理平台主要包括以下方面:a) 应急响应与管理应急管理是指在紧急事件发生后为了维持和恢复关键的信息系统服务所进行的范围广泛的活动。从广义的范围
20、讲,所讨论的应急响应与管理,包括业务连续性计划(BCP)、业务恢复计划(BRP)、操作连续性计划(COOP)、危机通信计划、计算机事件响应计划、灾难恢复计划 (DRP)、场所紧急计划 (OEP)等在内的活动与计划等,统称为应急计划。通过预防及恢复措施的使用,把信息系统因灾难或安全失效的停顿降到可接受的程度。b) 应急计划应通过分析灾难、安全失效及服务停顿的影响,制订及实施应急计划来保证系统能够在规定时间内恢复。计划应经常修改及测试和演练,并最终变成管理过程的不可分割部分。应急计划的制定应考虑:角色和职责,应急计划所涉及的平台和机构功能的类型范围,机构所面临的风险、风险发生的概率及影响,资源需求
21、,培训需求,测试和演练进度表,以及计划维护进度表。在应急计划的制定中,应该与包括物理安全、人力资源、系统操作和紧急事件等在内的相关方面协调一致。应经常测试应急计划的每个部分,以确保计划可以在真实环境中实施。应急计划的定期检查和更新是至关重要的,应该作为机构变化管理过程的一部分,以确保新的信息能够被添加进来,应急措施能够根据需要被修订。c) 联动要求应急响应与管理不仅仅是一个单位和部门的事,而是各个相关的单位和部门的联动活动。(5)建立信息安全管理平台。安全管理平台的管理范围尽可能地涵盖安全技术体系中涉及的各种安全机制与安全设备,对这些安全机制和安全设备进行统一的管理和控制,负责管理和维护安全策
22、略,配置管理相应的安全机制,确保这些安全技术与设施能够按照设计的要求协同运作,可靠运行。它在传统的信息系统应用体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的信息系统应用体系紧密的结合实现无缝连接,促成信息系统安全与信息系统应用的真正的一体化,使得传统的信息系统应用体系逐步过渡到安全的信息系统应用体系。以信息系统安全管理中心为核心的安全管理平台,是对信息系统的各种安全机制进行管理使其发挥应有安全作用的重要环节。信息系统安全管理平台既是一个管理机构,又具有浓厚的技术色彩,应按要求配备必要的专业人员,明确分管职责,并有统一的领导协调各方面的工作统一的安全
23、管理平台有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监控和管理,从而提高安全管理工作的效率,使人为的安全管理活动参与量大幅下降。安全管理平台担负着对这些安全机制进行集中控制、统一配置管理和收集各类与安全有关信息的的责任,并对收集到的与安全有关的信息进行汇集和分析和风险评估,发现系统运行中与安全有关的问题,做相应处理。必要时,可以在确定的安全域设置安全管理分中心,形成多层结构的安全管理平台,共同完成对信息安全系统的管理控制。如图2所示。图2 信息系统安全管理中心示意图2.4.2 安全管理体系建设安全管理体系是安全技术体系真正有效发挥保护作用的重要保障,安全管
24、理体系的设计立足于总体安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。技术和管理是相互结合的,一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。安全管理体系由若干信息安全管理类组成,每项信息安全管理类可分解为多个安全目标和安全控制。每个安全目标都有若干安全控制与其相对应,这些安全控制是为了达成相应安全目标的管理工作和要求。建立信息安全管理体系一共包括了12项管理类:(1)建立安全策略与制度。确保组织拥有明确的信息安全方针以及配套的策略和制度,以实现对信息安全工作的支持和承诺,保证信息安全的资
25、金投入。(2)建立安全风险管理。信息安全建设不是避免风险的过程,而是管理风险的过程。信息安全体系建设的目标就是要把风险控制在可以接受的范围之内。风险管理同时也是一个动态持续的过程。(3)建立人员和组织安全管理。建立组织机构,明确人员岗位职责,提供安全教育和培训,对第三方人员进行管理、协调信息安全监管部门与行内其它部门之间的关系,保证信息安全工作的人力资源要求,避免由于人员和组织上的错误产生的信息安全风险。(4)建立环境和设备安全管理。控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环境安全、设备安全、介质安全等。(5)建立网络和通信安全管理。控制和保护网络和通信系统,防止其受到破
26、坏和滥用,避免和降低由于网络和通信系统的问题对组织业务系统的损害。(6)建立主机和系统安全管理。控制和保护组织的计算机主机及其系统,防止其受到破坏和滥用,避免和降低由此对业务系统的损害。(7)建立应用和业务安全管理。对各类应用和业务系统进行安全管理,防止其受到破坏和滥用。(8)建立数据安全和加密管理。采用数据加密和完整性保护机制,防止数据被窃取和篡改,保护组织业务数据的安全。(9)建立项目工程安全管理。保护信息系统项目工程过程的安全,确保项目的成果是可靠的安全系统。(10)建立运行和维护安全管理。保护信息系统在运行期间的安全,并确保系统维护工作的安全。(11)建立业务连续性管理。通过设计和执行
27、业务连续性计划,确保信息系统在任何灾难和攻击下,都能够保证业务的连续性。(12)建立合规性管理。确保组织的信息安全保障工作符合国家法律、法规的要求;且组织的信息安全方针、规定和标准得到了遵循。12项信息安全管理类之间的关系,如图3所示。图3信息安全管理类之间的关系技术和管理是相互结合的,一方面,安全防护技术措施需要安全管理措施来加强,另一方面技术也是对管理措施贯彻执行的监督手段。2.4.3 安全运维体系建设信息安全运维体系由安全技术和安全管理紧密结合的内容所组成,包括了系统可靠性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾难恢复计划等,运行保障体系对于组织信息化的可持续性运营
28、提供了重要的保障手段。信息安全运维体系的内容包括安全运维监控中心、安全运维告警中心、安全运维事件响应中心、安全运维审核评估中心、信息资产管理中心五个方面的内容。并且,这五个方面的内容也可以作为信息安全运维体系建立的五个步骤。同时,利用持续改进模型方法,把策划、实施、检查、改进()贯穿于这五个基本步骤中。第一步骤是建立安全运维监控中心,基于关键业务点面向业务系统可用性和业务连续性进行合理布控和监测,以关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和执行,帮助用户建立全面覆盖信息系统的监测中心,并对各类事件做出快速、准确的定位和展现。实现对信息系统运行动态的快速掌握,以及运行维护管理过
29、程中的事前预警、事发时快速定位。第二步骤是建立安全运维告警中心,基于规则配置和自动关联,实现对监控采集、同构、归并的信息的智能关联判别,并综合的展现信息系统中发生的预警和告警事件,帮助运维管理人员快速定位、排查问题所在。同时,告警中心提供多种告警响应方式,内置与事件响应中心的工单和预案处理接口,可依据事件关联和响应规则的定义,触发相应的预案处理,实现运维管理过程中突发事件和问题处理的自动化和智能化。第三步骤是建立安全运维事件响应中心,借鉴并融合了ITIL(信息系统基础设施库)/ITSM(IT服务管理)的先进管理规范和最佳实践指南,借助工作流模型参考等标准,开发图形化、可配置的工作流程管理系统,
30、将运维管理工作以任务和工作单传递的方式,通过科学的、符合用户运维管理规范的工作流程进行处置,在处理过程中实现电子化的自动流转,无需人工干预,缩短了流程周期,减少人工错误,并实现对事件、问题处理过程中的各个环节的追踪、监督和审计。第四步骤是建立安全运维审核评估中心,该中心提供对信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计管理功能。第五步骤以信息资产管理为核心,IT资产管理是全面实现信息系统运行维护管理的基础,提供的丰富的IT资产信息属性维护和备案管理,以及对业务应用系统的备案和配置管理。基于关键业务点配置关键业务的基础设施关联,通过资产对象信息配置丰富业务应用系统的运行维护
31、内容,实现各类IT基础设施与用户关键业务的有机结合,以及全面的综合监控。2.5 建立持续改进运行的长效机制(1)建立完善的信息安全建设管理体制。在进行信息安全体系建设时,伴随着建设过程中的信息安全项目的实施。信息安全项目需由专业的咨询监理机构提供全程的项目管理与质量控制,确保信息安全项目不偏离目标,高效、稳定的解决信息安全问题。在信息安全项目中采用咨询式项目管理,可以保障信息安全项目按照既定目标实施,达到企业预期效果;可以降低信息安全项目实施过程给企业信息化带来的安全风险;可以有效解决项目拖期、沟通不畅、目标偏离、质量不可控和超预算等项目管理问题;确保使企业通过实施信息安全项目,切实提高信息安
32、全防御水平。(2)建立定期进行安全检测与评估的巡检机制。在进行信息安全体系建设时应定期的对信息安全状况进行安全检测与风险评估,识别当前面临的威胁与风险,指导下一步建设的注意事项。信息安全风险评估需要定期进行,并应做到常态化开展。(3)建立健全的运维保障机制。在进行信息安全体系建设时,需要将信息安全作为一个整体,需要把过程中的有关各层次的安全产品、分支机构、运营网络、管理维护制度等纳入一个紧密的统一信息安全运维体系中,才能有效地保障企业的网络和信息安全。3、360度信息安全服务为信息安全保驾护航信息安全需要一个动态、立体的防护体系,包括安全设备、安全技术、安全管理等多个层面。通过规划、检测、评估
33、、运维等360度的全方位服务,可帮助用户建立一个实时、动态、完善的防护体系。企业信息化建设时考虑到360度的信息安全体系建设,使得企业投资IT价值最大化。如图4所示。图4 360度信息安全服务作为专业的第三方安全服务机构,我们为企业的信息安全保驾护航,解决企业IT全生命周期的安全问题。协助企业制定信息安全总体方针、策略,制定信息安全规划;规划实施过程中提供全过程专业的项目管理服务;建设阶段过程中提供风险评估与安全测评服务;建设完成后提供专业的信息安全运维服务。通过我们及时、专业、热情的服务,为您在进行IT建设时,确保信息安全工作同步实施,为您的规划落地保驾护航。我们提供的第三方信息安全服务有如
34、下特点:(1)全面。360度信息安全服务,解决您在进行建设前、建设中、建设后以及运维阶段的全部信息安全问题,是您进行IT规划的军师,是您进行安全建设的监督员,是您进行安全评估的裁判员,是您进行安全运维的教练员。(2)专业。深耕信息安全行业二十年,承担多项国家级、省部级信息安全科研项目,积累了大量的信息安全知识底蕴,同时,专业的信息安全咨询顾问及技术专家为您的信息安全建设提供咨询评估服务。(3)创新。作为专注于信息安全领域技术服务,关注国际信息安全发展趋势,引领国内信息安全服务走向的第三方知名服务机构,我们秉承创新引领服务的理念,积极推进科研成果转化为社会服务,以一支高水平、专家级的技术队伍,保
35、持创新的动力,用创新的服务理念服务于客户,确保企业的信息安全建设具有前瞻性与可扩充性,使企业IT投资价值最大化。基于以上服务优势,我们提供360度的信息安全服务:3.1 信息安全规划咨询服务依据企业信息安全现状,进行系统的信息安全调研。在充分调研的基础上,结合业务实际,制定信息安全建设方案,提供全过程的规划咨询服务,协助用户进行信息安全规划,方针目标制定,安全策略设计,信息安全技术体系、管理体系和运维体系的建设落地。在进行信息化建设时,信息安全工作应本着“同步规划、同步建设”的原则一并实施。本项服务可帮助用户在进行信息化建设时,同步考虑信息安全建设,制定系统、全面的信息安全规划建设方案,包括:
36、信息安全管理体系建设规划方案、信息安全技术体系建设规划方案和信息安全运维体系建设规划方案。通过本项规划咨询服务,可帮助用户解决由于自身专业技术限制,无法有效制定方案,解决目前存在的信息安全问题;可帮助用户梳理内部信息安全管理组织架构,制定长效保障机制;可帮助用户系统建立信息安全技术体系,确保信息安全符合纵身防御原则;可帮助用户建立信息安全运维体系,完善应急处置预案,降低安全事件的发生给企业带来的影响。3.2 信息安全建设管理服务提供信息安全项目实施过程中的项目管理服务,包括配置管理、范围管理、进度管理、费用管理、人力资源管理、沟通管理、风险管理、采购与合同管理、项目收尾等内容。传统的项目管理往
37、往导致用户在风险管理与质量控制方面流于形式,从而在实施过程中导致信息安全事件的发生。本着专业化服务的原则,基于信息安全项目对于风险管理与质量控制要求的特殊性,我们提供专业化的项目管理服务。通过本项服务,帮助用户解决无法对信息安全建设项目进行专业的过程控制的问题。确保用户在进行信息安全项目建设时,将安全风险降到最低;确保企业的信息安全项目确实符合既定目标,提高企业的整体信息安全防护水平;确保企业的信息安全项目成本可控,保质按期完成。3.3 信息安全检测评估服务企业在进行信息安全建设项目完成后,往往无法评估自身的安全现状是否还存在无法接受的风险,或者是否符合国家相关标准的规定。我们提供专业的信息安
38、全风险评估服务,涉密信息系统的分级保护测评服务和非涉密系统的安全等级保护测评服务。l 风险评估服务:在资产识别、威胁分析、脆弱点分析以及已有安全措施的基础上,评估系统的安全风险,进而协助用户在安全保护等级需求的基础上,确定额外特殊的安全需求。l 涉密信息系统分级保护测评服务:经国家保密科技测评中心和山东省保密局授权,由我中心成立了国家保密科技测评中心(山东省)分中心,负责对山东省涉密信息系统进行测评,提供涉密方面的技术服务工作。l 信息安全等级保护测评服务:依据信息安全等级保护基本要求、信息安全等级保护测评准则以及相关国标、部标等,测评信息系统对应保护等级的符合性、适应性和充分性,从而验证系统
39、的安全性。为被测评的信息系统顺利通过国家监督机构进行的信息安全监督检查提供依据和保证。通过第三方系统、专业的安全测评,确保用户全面了解自身存在的安全风险是否已达到可接受的程度;为保密主管部门提供系统审批的依据;使信息系统的运营使用单位确实了解信息系统现状与国家标准的符合性。3.4 信息安全专业运维服务提供信息安全相关的运维服务,包括安全档案维护、安全监测预警、安全配置加固和安全应急响应救援服务。l 安全档案维护服务:包括基础资料建档和安全配置建档。帮助用户解决对网络中安全设备的类别、型号、数量、用途及拓扑位置等情况不清晰的问题;帮助用户解决对各安全设备系统版本、组件、策略配置情况和系统变更情况
40、无法清晰掌控的问题。l 安全监测预警服务:包括安全通告、安全监测、安全日志收集与分析和安全风险评估服务。帮助用户及时了解最新的安全动态,实时监测系统的安全运行状况,定期收集分析相关安全日志,周期性进行安全风险评估服务,保障系统的安全稳定运行。l 安全配置加固服务:包括安全检测和安全加固服务。帮助用户周期性进行服务器安全漏洞扫描、数据库安全漏洞扫描和应用系统的安全漏洞扫描,定期对服务范围内的网络设备、安全设备、数据库及应用系统进行安全配置核查,及时发现系统的安全漏洞,并有针对性地实施安全加固服务。l 应急响应救援服务:包括应急响应预案制定和信息安全事件应急响应处理服务。协助用户建立一套适合自身组
41、织体系的应急响应预案,并有计划的进行演练和改进;提供7*24小时的应急响应救援服务,确保第一时间解决企业遇到的信息安全问题。通过系统化的提供安全运维服务,解决企业信息化运维人员不足,信息安全运维专业能力有限的问题,最大限度保障企业信息化的安全、稳定和高效运行。4、最佳实践在企业进行信息安全相关建设时,经常会遇到一些带有共性的问题,我们想结合在行业内的多年经验,分享一些信息安全建设过程中的最佳实践,供读者参考。4.1 恰当的安全策略设计可有效控制信息安全投资目前企业的信息安全有一种为安全而安全的倾向。不少企业将安全等同于“0”安全事故;还有些企业误以为只要部署了防护措施就可以高枕无忧,当出现新威
42、胁却束手无策。这是大多数企业面临的困局。安全无止境,防护需适度。确保IT投资价值的最大化。这包含两方面的含义。第一,安全必须考虑成本,如果防护成本比风险发生造成损失还要大,反而得不偿失。ISO 27001中提到,风险评估要考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失效可能造成的对组织的影响;要根据主要的威胁和脆弱性、对资产的影响以及当前所实验的控制措施,评价安全失效发生的现实可能性;要估计风险的级别,然后确定风险是否可接受。安全以企业发展为前提,切勿步入为安全而安全的误区。第二,企业所面临的内外部环境在不断变化,如新的安全威胁,企业规模增大、架构调整、人员变动等,因此,
43、没有一劳永逸的安全解决方案,企业的信息安全管理需要根据变化不断调整。为摆脱安全困局,现在企业需要转变对安全的思考模式,以一种更加积极的态度,更加长远的眼光来看待它,然后根据公司的发展战略以及业务的实际需求,制定合理的信息安全计划。那么企业该如何控制信息安全体系建设规模,达到适度保护的目标呢?企业最有效的方法就是制定恰当的信息安全策略。制定信息安全策略是企业信息安全体系建设的基础性工作,不是可有可无而是非常重要。在信息安全体系中,安全策略是指导。信息安全体系中的各个子系统是在安全策略的指导下构建的,主要是要将安全策略中制定的各个要素转化成为可行的技术实现方法和管理、运行保障手段,全面实现安全策略
44、中所制定的目标。由于企业信息安全的任务与目标不同,所以信息安全策略包括的内容就不同,在信息安全体系建设的规模上就有很大的差异。4.2 做好安全风险管理是信息安全项目成败的关键项目风险管理是在项目建设期间识别和控制能够引起不希望变化的潜在领域和事件的系统方法,是为了最好的达到项目的目标,识别、分配和应对项目生命周期内风险的科学与艺术。信息系统项目具有一次性、创造性、复杂性的特点,其建设需要耗费大量的人力、物力、财力,付出很多时间和精力。所以信息系统项目建设过程中始终伴随着风险和机会的存在。如果忽略风险,不对风险进行有效的管理,一旦发生大的风险,必然会导致项目的失败,只有对风险进行有效的管理和监控
45、,才能实现潜在风险最小化和潜在机会最大化,完成项目建设目标。因此,对信息系统项目进行风险管理是非常重要和关键的。4.3 安全检测评估可有效降低新系统建设引入的安全风险新建系统在给企业带来信息化便利的同时,往往引入了新的风险。而这些风险被新系统上线的成就感所掩盖。由于此类问题导致的信息安全事件不在少数。实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能的变化进行验证。根据设计阶段分析的威胁和制定的安全措施,在实施和验收时进行质量控制。基于设计阶段的资产列表、安全措施,实施阶段对规划阶段的安全威胁进一步细化,同时评估安全措施的实现程度,从而
46、确定安全措施能否抵御现有威胁、脆弱性的影响。通过实施阶段风险评估可以明确企业当前风险,并可以指导其进行风险处置等活动。4.4 完善的安全运维体系可有效预防入侵事件的发生如今企业面临诸多的信息安全问题,业务部门经常埋怨IT部门的建设与保障不到位,导致出现信息安全问题。要想确保信息系统的稳定运行,不单单要建设一个好的业务系统,更重要的在后期的安全运维。这就需要进行信息安全运维体系建设,或引入第三方的信息安全运维服务。在信息安全监控中心的建立中,集中监控管理采用开放的、遵循国际标准的、可扩展的架构,整合各类监控管理工具的监控信息,实现对信息资产的集中监视、查看和管理的智能化、可视化监控系统。监控的主
47、要内容包括:基础环境、网络、通信、安全、主机、中间件、数据库和核心应用系统等;综合展现通过合理规划与布控,整合来自各种不同的监控管理工具和信息源,进行标准化、归一化的处理,并进行过滤和归并,实现集中、综合的展现;快速定位和预警经过同构和归并的信息,将依据预先配置的规则、事件知识库、关联关系进行快速的故障定位,并根据预警条件进行预警。4.5 持续改进与审计机制是保持信息安全体系长效运转的关键目前有些企业员工认为安全管理是一阵风,风吹时很猛,但吹过了,也就完了。其实信息安全管理,特别是信息安全管理体系,要保持信息安全管理体系能够有效长久运行,最重要的是在组织中建立以下三个机制:持续改进机制、信息安
48、全奖惩机制和内部信息安全审计机制。要在组织文化中不断渗透持续改进的思想和意识,设置配置需要及时更新、安全制度和策略需要及时评审,缺少持续改善机制和文化组织的信息安全管理,无法逃脱“搞运动”的宿命-体系建立时,人人热血沸腾,文档制度一大堆,大家都认真执行,但过了几个月就基本上束之高阁,一切又回到旧轨道上。“推行管理体系本身就是一件很有难度的事情,再加上奖惩,更不好做了,奖好办,但惩时,该罚谁呢,罚谁谁都会不高兴,会影响到同事关系,信息安全就是得罪人的事,没人愿意做,不好做”,具体实施人员经常有这样的抱怨。其实这个问题很容易解决,第一,明确和高层领导讲,如果想安全管理能够长久化、持续化,必须要有配套的奖惩(不能只奖不罚或只罚不奖);第二,奖惩的问题本来就不应该是信息安全实施人员的职责,是人力资源部门的事情,建议信息安全实施人员不要借机“夺权”,在本职工作外,做自己原本不擅长的工作,信息安全实施人员要做的就是把控制措施执行情况的数据交给人力资源部门(很多是和技术相关的,需要实施人员提供)。定期的信息安全内部审计机制非常重要,只有进行检查,并对检查中发现的问题进行的整改,整个信息安全体系才会形成完整的PDCA循环,形成一个闭环。如果因内部人员能力限制,也可以将内部安全审计外包给有资质的安全公司或会计师事