| 出版日期:2004-05-31 总期号:1317 本年期号:38 |
|
 |
保证用户全网安全
陈爱锋 一、何为“全网安全”? 随着我国信息化建设的不断深入,信息安全问题日益突出。如何有效应对这些信息安全问题?如何在大力推进信息化建设的同时,建立一套行之有效的信息安全保障体系,将安全风险降低到可接受的程度,解决发展与安全的关系?目前,国内安全市场提出“全网安全”理念与解决方案。 “全网安全”就是国家、企业、个人贯彻文件精神的具体体现,也就是说国家、企业、个人要根据自己所负责信息系统的实际情况分级、分类、分阶段地实施信息安全保障措施,构建符合自己需求特色的“全网安全”解决方案。 “全网安全”要求从保护、检测、反应、恢复反制、预警五个环节构建一个完整的信息安全综合防范体系:这可以从两个层面来理解,一方面我们要同时展开对保护、检测、反应、恢复反制、预警等几大类技术与产品的研究与开发,另一方面从信息保障体系的设计上也要综合考虑保护、检测、反应、恢复反制、预警几个环节。 二、天融信“全网安全”解决方案 作为做内最早、最专业的安全公司之一,天融信早在两年前就提出了联动的“全网安全”解决方案。经过两年的探索和发展,目前这一思想已经深入到天融信公司业务运作的各个层面,具体体现在如下几个方面: 战略发展方向就是实现从优秀产品供应商——优秀安全集成商——专业服务供应商的转变。这个转变使得天融信不仅关注信息安全产品与平台,更关注信息安全服务。 业务范围涵盖信息系统的安全建设咨询、信息系统的安全运营维护、信息系统的安全认证咨询三个层面。这使得天融信有能力为客户提供真正的“全网安全”解决方案。 业务架构包括:提供信息安全产品(技术)、信息安全平台(管理)、信息安全服务(运行);这使得天融信可以根据信息系统的实际情况分级、分类、分阶段地采取管理控制措施、技术控制措施、运行控制措施,确保信息系统的真正安全。 如上图所示:天融信“全网安全”解决方案主要包括如下几个流程: 1.风险评估: 风险评估是信息系统安全建设的第一个环节,通过风险评估了解信息系统的基本特性、需要保护的信息资产、信息系统面临的威胁以及信息系统自身的脆弱性,从而确定信息系统的安全保护等级,分级、分类、分阶段实施安全保障措施提供决策依据。 2. 需求分析: 需求分析主要是根据风险评估的结果,准确提取信息系统的安全保护需求,从而有针对性地采取合适的安全控制措施满足需求。 3. 总体规划: 信息系统总体规划主要是根据前面风险评估的结果和提取的安全需求实施相应的安全保障措施。在方案设计上充分考虑保护、检测、反应、恢复反制、预警五个环节;构建一个立体的、纵深的信息安全综合防范体系。 4. 工程实施: 工程实施主要考虑如何按照设计好的方案,进行安全产品和服务的实施。另外对安全产品、技术的选择要进行严格把关,不同等级的信息系统对安全产品和服务的要求是不一样的。 5. 运营维护: 安全运营维护重点考虑如何让已经部署的信息安全产品更好地发挥作用,如何确保已经建立起来的安全防护体系不会随着时间、环境、形式的变化逐步散失或者减弱保护能力。 6. 安全认证: 安全认证是信息系统安全建设的一个里程碑。通过信息系统安全认证,我们可以了解前期安全建设的目的是否达到,系统所需的安全保障能力是否已经实现。 总之,在长达九年的信息安全实践过程中,天融信公司对信息安全产品的研究、信息系统的安全建设和运营维护都积累了许多宝贵的经验,希望这些经验能够对我国信息安全保障体系的建设有所帮助。 
天融信全网安全解决方案 |
||||||||||||||||||||||||||
