信息安全保障体系服务白皮书
[精品]IT系统安全白皮书
![[精品]IT系统安全白皮书](https://img.taocdn.com/s3/m/c034851417fc700abb68a98271fe910ef12dae74.png)
IT系统安全白皮书第一章企业与信息安全1.1 企业风险与安全1.2 信息安全的重要性及价值分析第二章信息安全基础及发展趋势2.1 进一步了解信息安全2.2 信息系统安全发展历程2.3 信息安全国际标准及组织2.4 OSI安全模型2.5 安全子系统2.6 揭穿黑客攻击术2.7 安全技术发展趋势第三章安全之道—MASS3.1 MASS的安全模型3.2 构建安全架构3.3 与总体解决方案架构的整合第四章实践及案例分析4.1 IT基础设施与网络安全4.2 访问控制4.3 身份和信任管理4.4 安全审核4.5 MASS架构整体安全解决方案实例第五章结束篇第一章企业与信息安全|信息安全的重要性及价值分析企业风险与安全1.1 企业风险与安全911事件以后,安全问题成为一个热门的话题,刚刚结束的雅典奥运会在安全方面的投入就超过了20亿美元。
对于企业来说,在进行商务活动的时候始终面临风险,这些风险是固有的,其存在于企业与客户和合作伙伴的日常接触之中。
了解这些风险与相应的安全解决方案是降低这些风险的前提。
企业通过提供产品与服务创造价值,在提供产品与服务的过程中不可避免的要跨越一些物理或逻辑上的边界。
这些边界是应该被安全地保护的,然而有效地保护这些边界并不是一件容易的事情。
大多数企业并不是一张白纸,它们已经存在了一些人员、流程和资源。
一个全面安全计划的实施会破坏当前企业的运作。
因此绝大多数企业在这些年一直为“如何实施安全解决方案以降低商业风险?”的问题所困绕。
1.1.1 企业风险安全不仅仅是产品,也不仅仅是服务。
它是企业创造价值的过程中的一个必要条件,安全包含了物理的安全:如警卫、枪支、门禁卡;安全产品:如防火墙、入侵检测系统、安全管理工具和安全管理服务。
安全不是绝对的,世界上不存在绝对的安全,企业始终面临着风险,有些风险可以避免,有些风险可以降低,而有些是可以接受的。
一个企业如果了解了这些风险,并且处理好这些风险,那么它就是安全的。
安全运维服务白皮书v2.0
红科网安安全运维服务白皮书目录1.前言 (3)2.运维目标 (4)3.运维服务内容 (5)3.1日常检查维护 (5)3.2安全通告服务 (5)3.3安全评估服务 (6)3.4安全风险评估 (11)3.5渗透测试 (14)3.6补丁分发 (14)3.7安全配置与加固 (16)3.8安全保障 (17)3.9安全监控服务 (18)3.10安全产品实施服务 (19)3.11安全应急响应 (19)3.12安全培训服务 (23)4.运维体系组织架构 (26)5.运维服务流程 (28)5.1日常检查流程 (29)5.2安全评估服务流程 (30)5.3安全监控服务流程 (32)5.4安全事件处理流程 (36)5.5安全培训服务流程 (39)5.6渗透测试的流程 (40)6.安全事件处理与应急响应 (43)6.1安全事件分类 (43)6.2安全事件处理与上报流程 (44)6.3安全事件现场处理 (45)6.4安全事件的事后处理 (47)1.前言经过多年的信息化建设,大多数企业已经建立起了比较完整的信息系统。
但是,在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的处理。
因此,客户通过引入专业的信息安全服务团队,来保障自身信息系统的稳定安全运行,同时通过专业的安全咨询和服务,逐步构建动态、完整、高效的客户信息安全整体,形成能持续完善、自我优化的安全运维体系和安全管理体系,提高客户信息系统的整体安全等级,为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。
2.运维目标红科网安(简称:M-Sec)是国内专业的信息安全服务及咨询公司,同时,拥有国内一流的安全服务团队M-Sec Team。
我们可以为用户提供全面的、专业的、客户化的安全服务及其相关信息安全管理咨询,从而保障用户的安全系统的正常运行和持续优化。
我们以客户信息安全服务的总体框架为基础、以安全策略为指导,通过统一的安全综合管理平台,提供全面的安全服务内容,覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求,保障信息平台的稳定持续运行。
信息安全白皮书
信息安全白皮书摘要:本白皮书旨在探讨信息安全领域的重要性,并提供一些关键性的观点和建议,以帮助组织和个人保护其信息资产免受各种威胁。
首先,我们将介绍信息安全的定义和范围,随后讨论当前面临的主要威胁和挑战。
接下来,我们将提供一些信息安全的最佳实践和策略,以及一些技术解决方案。
最后,我们将强调持续的教育和培训的重要性,以确保信息安全意识的普及和提高。
1. 引言信息安全是指保护信息资产免受未经授权的访问、使用、披露、破坏、修改或泄露的过程。
在当今数字化时代,信息安全已成为组织和个人不可或缺的重要组成部分。
随着互联网的普及和技术的不断发展,信息安全面临着越来越多的威胁和挑战。
2. 当前的威胁和挑战在信息安全领域,我们面临着各种各样的威胁和挑战。
其中包括:- 黑客攻击:黑客通过网络攻击和渗透技术,获取未经授权的访问权限,窃取敏感信息或破坏系统。
- 恶意软件:恶意软件如病毒、蠕虫和木马程序,可以破坏计算机系统、窃取敏感信息或进行其他不良行为。
- 社会工程学:攻击者利用心理学和社交工程学技巧,通过欺骗和误导来获取信息或访问权限。
- 数据泄露:未经授权的信息披露可能导致个人隐私泄露、金融损失或声誉受损。
- 供应链攻击:攻击者通过渗透供应链,将恶意代码或后门引入软件或硬件产品中,从而获取对系统的控制权。
3. 信息安全的最佳实践和策略为了有效保护信息资产,以下是一些信息安全的最佳实践和策略:- 制定和实施安全政策:组织应该制定明确的安全政策,并确保其被全体员工遵守。
安全政策应涵盖访问控制、密码管理、数据备份等方面。
- 加强身份验证:采用多因素身份验证,如密码加令牌、生物识别等,以提高访问控制的安全性。
- 加密敏感数据:对敏感数据进行加密,以防止未经授权的访问或泄露。
- 定期更新和维护系统:及时应用安全补丁、更新防病毒软件和防火墙等,以确保系统的安全性。
- 建立灾备和业务连续性计划:制定并测试灾备和业务连续性计划,以应对突发事件和数据丢失。
2023-数据安全与个人信息保护技术白皮书2021-1
数据安全与个人信息保护技术白皮书2021随着信息时代的不断发展,我们的个人信息也变得日益重要,其安全性更加需要重视。
为了更好地保护用户的隐私和数据安全,国内外一直在积极地进行技术研究和发展,其中不乏一些重要技术领域的切入点和创新成果,这些成果也得到了广泛的应用和推广,为用户带来了更好的信息保护和服务体验。
为了推动信息安全和个人信息保护技术的发展,国内权威机构发布了《数据安全与个人信息保护技术白皮书2021》。
本篇文章将围绕这个主题,简要地分步骤阐述关于数据安全和个人信息保护的技术白皮书的内容和信息。
1. 白皮书的背景与意义数据安全和个人信息保护是现代信息技术研究的重要领域,也是信息时代用户的共同关注和需求。
随着信息化、智能化的快速发展,数据的存储、处理和传输日益增多,数据安全问题的重要性和紧迫性也日益凸显。
同时,众多用户的个人信息也面临被泄露、篡改和破坏的风险,个人信息保护也成为广大用户关注的重点。
在这种背景下,国家信息安全曝光平台发布了《数据安全与个人信息保护技术白皮书2021》,旨在对数据安全和个人信息保护领域的技术、现状、问题及未来趋势进行全面阐述和分析,为信息安全和个人信息保护领域的技术研究和创新提供借鉴和启示。
2. 内容与特点白皮书主要分为数据安全和个人信息保护两个方面,全面阐述了这两个方面目前的技术、现状和问题。
其中,数据安全方面主要涉及数据加密、数据备份、数据恢复、漏洞管理等技术的现状和发展趋势,以及与数据安全有关的问题和挑战;而个人信息保护方面主要涉及隐私保护、信息收集、信息使用、信息披露等方面的技术和现状,以及未来的发展趋势和需求。
此外,白皮书还具有以下几个特点:(1)权威性:白皮书是由国家信息安全曝光平台发布,是国内权威机构对信息安全和个人信息保护领域的技术研究和发展的阐述和总结。
(2)系统性:白皮书全面阐述了数据安全和个人信息保护两个方面的现状和趋势,对整个信息安全和个人信息保护领域的发展起到了推动和引领的作用。
天融信安全运维服务-白皮书
目录1服务产生背景 (2)2服务概述 (3)3服务方式 (3)3.1驻场值守方式 (3)3.2定期巡检方式 (3)3.3远程值守方式 (3)3.4应急响应方式 (3)4服务内容 (4)4.1健康检查服务 (4)4.2安全事件审计服务 (4)4.3网络行为审计服务 (4)4.4运维监控与分析服务 (5)4.5敏感问题预警与告警服务 (5)4.6终端安全监控与策略优化服务 (6)4.7等级保护合规性运维服务 (6)4.8应急响应服务 (6)4.9安全通告、漏洞分析服务 (7)4.10知识库维护服务 (7)4.11服务器优化服务 (7)4.12数据库维护服务 (8)4.13功能性定制服务 (8)4.13.1报表定制服务 (8)4.13.2关联分析规则定制开发 (8)4.13.3设备解析定制服务 (9)4.13.4工单流程定制服务 (9)4.14产品升级服务 (9)4.15保修及延保服务 (9)5服务价值 (11)6天融信优势 (11)1 服务产生背景国际著名咨询调查机构Gartner集团的调查发现,在经常出现的问题中,源自技术或产品(包括硬件、软件、网络、电力失常及天灾等)方面的问题其实只占20%,而管理流程失误、人员疏失问题占80%。
经过多年的信息化建设,大多数企业已经建立起了比较完整的信息系统。
但是,在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的及时、有效处理。
因此,用户通过引入专业的信息安全服务团队,来保障自身信息系统的稳定安全运行,同时通过专业的安全运维服务,逐步构建动态、完整、高效的用户信息安全整体,形成能持续完善、自我优化的安全运维体系和安全管理体系,提高用户信息系统的整体安全等级,为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。
用户安全运维中面临问题:信息管理部门的人员有限,员工的精力有限安全管理制度体系不完善,安全责任制落实不到位安全技术能力方面或多或少的存在一定的限制安全产品众多,维护、升级不及时海量安全事件无法及时处理异常操作行为无法及时预警处理大量安全事件经验不足外界新技术无法更快更好的应用到内网正是针对用户在运维管理中存在的弊端,天融信依靠长期从事信息安全运维服务的经验,同时结合信息安全保障体系建设中运维体系建设的要求,遵循ITIL (最佳实践指导)、ISO/IEC 27000系列服务标准及《北京市电子政务IT运维服务支撑系统规范》等相关标准,建立了一整套信息安全运维管理的服务内容。
信息安全等级保护目标白皮书
信息安全等级保护目标白皮书信息安全等级保护目标白皮书(覆盖等保二级和三级)目录1.第二级等保安全目标 (3)1.1. 技术目标 (3)1.2. 管理目标 (5)2.第三级等保安全目标 (7)2.1. 技术目标 (7)2.2. 管理目标 (10)3.等级保护二级、三级要求比较 (13)3.1. 技术要求比较 (13)3.2. 管理要求比较 (27)1.第二级等保安全目标第二级信息系统应实现以下目标。
1.1.技术目标O2-1. 应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力O2-2. 应具有防止雷击事件导致重要设备被破坏的能力O2-3. 应具有防水和防潮的能力O2-4. 应具有灭火的能力O2-5. 应具有检测火灾和报警的能力O2-6. 应具有温湿度自动检测和控制的能力O2-7. 应具有防止电压波动的能力O2-8. 应具有对抗短时间断电的能力O2-9. 应具有防止静电导致重要设备被破坏的能力O2-10. 具有基本的抗电磁干扰能力O2-11. 应具有对传输和存储数据进行完整性检测的能力O2-12. 应具有对硬件故障产品进行替换的能力O2-13. 应具有系统软件、应用软件容错的能力O2-14. 应具有软件故障分析的能力O2-15. 应具有合理使用和控制系统资源的能力O2-16. 应具有记录用户操作行为的能力O2-17. 应具有对用户的误操作行为进行检测和报警的能力O2-18. 应具有控制机房进出的能力O2-19. 应具有防止设备、介质等丢失的能力O2-20. 应具有控制机房内人员活动的能力O2-21. 应具有控制接触重要设备、介质的能力O2-22. 应具有对传输和存储中的信息进行保密性保护的能力O2-23. 应具有对通信线路进行物理保护的能力O2-24. 应具有限制网络、操作系统和应用系统资源使用的能力O2-25. 应具有能够检测对网络的各种攻击并记录其活动的能力O2-26. 应具有发现所有已知漏洞并及时修补的能力O2-27. 应具有对网络、系统和应用的访问进行控制的能力O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力O2-29. 应具有对资源访问的行为进行记录的能力O2-30. 应具有对用户进行唯一标识的能力O2-31. 应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-32. 应具有对恶意代码的检测、阻止和清除能力O2-33. 应具有防止恶意代码在网络中扩散的能力O2-34. 应具有对恶意代码库和搜索引擎及时更新的能力O2-35. 应具有保证鉴别数据传输和存储保密性的能力O2-36. 应具有对存储介质中的残余信息进行删除的能力O2-37. 应具有非活动状态一段时间后自动切断连接的能力O2-38. 应具有网络边界完整性检测能力O2-39. 应具有重要数据恢复的能力1.2.管理目标O2-40. 应确保建立了安全职能部门,配备了安全管理人员,支持信息安全管理工作O2-41. 应确保配备了足够数量的管理人员,对系统进行运行维护O2-42. 应确保对主要的管理活动进行了制度化管理O2-43. 应确保建立并不断完善、健全安全管理制度- 10 -O2-44. 应确保能协调信息安全工作在各功能部门的实施O2-45. 应确保能控制信息安全相关事件的授权与审批O2-46. 应确保建立恰当可靠的联络渠道,以便安全事件发生时能得到支持O2-47. 应确保对人员的行为进行控制O2-48. 应确保对人员的管理活动进行了指导O2-49. 应确保安全策略的正确性和安全措施的合理性O2-50. 应确保对信息系统进行合理定级O2-51. 应确保安全产品的可信度和产品质量O2-52. 应确保自行开发过程和工程实施过程中的安全O2-53. 应确保能顺利地接管和维护信息系统O2-54. 应确保安全工程的实施质量和安全功能的准确实现O2-55. 应确保机房具有良好的运行环境O2-56. 应确保对信息资产进行标识管理O2-57. 应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制O2-58. 应确保各种网络设备、服务器正确使用和维护O2-59. 应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理O2-60. 应确保用户具有鉴别信息使用的安全意识O2-61. 应确保定期地对通信线路进行检查和维护O2-62. 应确保硬件设备、存储介质存放环境安全,并对其的使用进行控制和保护O2-63. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理O2-64. 应确保系统中使用的硬件、软件产品的质量O2-65. 应确保各类人员具有与其岗位相适应的技术能力O2-66. 应确保对各类人员进行相关的技术培训O2-67. 应确保提供的足够的使用手册、维护指南等资料O2-68. 应确保内部人员具有安全方面的常识和意识O2-69. 应确保具有设计合理、安全网络结构的能力O2-70. 应确保密码算法和密钥的使用符合国家有关法律、法规的规定O2-71. 应确保任何变更控制和设备重用要申报和审批,并对其实行制度化的管理O2-72. 应确保在事件发生后能采取积极、有效的应急策略和措施O2-73. 应确保信息安全事件实行分等级响应、处置2.第三级等保安全目标第三级信息系统应实现以下目标。
信息安全应急预案白皮书
随着信息技术的飞速发展,信息安全已经成为国家、企业和个人面临的重要挑战。
为了提高我国信息安全防护能力,确保信息系统稳定运行,保障国家安全、社会稳定和人民利益,特制定本信息安全应急预案白皮书。
本白皮书旨在明确信息安全应急响应的组织架构、职责分工、响应流程、应急措施等,为信息安全事件的处理提供指导。
二、应急预案概述1. 目的(1)保障国家信息安全,维护国家安全和社会稳定;(2)降低信息安全事件对企业和个人的损失;(3)提高信息安全应急响应能力,提升信息安全防护水平。
2. 适用范围本预案适用于我国境内各类信息系统,包括但不限于政府机关、企事业单位、社会组织等。
3. 预案等级根据信息安全事件的严重程度,将预案分为四个等级:一般级、较大级、重大级、特别重大级。
三、组织架构与职责分工1. 组织架构(1)应急指挥部:负责统一指挥、协调、调度信息安全事件应急响应工作;(2)应急小组:负责具体实施信息安全事件应急响应措施;(3)技术支持小组:负责提供信息安全事件应急响应所需的技术支持;(4)宣传报道小组:负责信息安全事件应急响应过程中的信息发布和舆论引导。
2. 职责分工(1)应急指挥部①制定信息安全事件应急响应预案;②组织、协调、调度应急响应工作;③对应急响应过程进行监督、检查、评估。
(2)应急小组负责:①对信息安全事件进行初步判断,确定事件等级;②制定信息安全事件应急响应方案;③组织实施信息安全事件应急响应措施;④向应急指挥部报告事件处理情况。
(3)技术支持小组负责:①为应急响应提供技术支持;②协助应急小组分析事件原因,提出解决方案;③协助应急小组修复信息系统。
(4)宣传报道小组负责:①及时、准确地发布信息安全事件应急响应信息;②对舆论进行引导,维护社会稳定。
四、响应流程1. 信息收集(1)应急小组通过监测、报警、投诉等渠道收集信息安全事件信息;(2)应急指挥部对收集到的信息进行初步判断,确定事件等级。
2. 事件评估(1)应急小组对事件进行详细分析,确定事件原因、影响范围、危害程度等;(2)应急指挥部根据事件评估结果,决定是否启动应急预案。
精选-信息安全-深信服_云安全_等保一体机_技术白皮书
1 前言1.1 等级保护的现状与挑战信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。
开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障,是信息安全保障工作中国家意志的体现。
同时等级保护建设是一项体系化的工程,在进行等级保护建设时往往面临建设时间成本和管理成本高、实施复杂、运维管理难等难题。
1.2 深信服等保一体机概述深信服等保一体机解决方案是基于用户在等保建设中的实际需求,推出软件定义、轻量级、快速交付的实用有效的一站式解决方案,不仅能够帮助用户快速有效地完成等级保护建设、通过等保测评,同时通过丰富的安全能力,可帮助用户为各项业务按需提供个性化的安全增值服务。
采用基于标准X86平台打造的等保一体机,无需交付过多专有硬件设备,即可完成等级保护合规交付。
2 深信服等保一体机技术架构2.1 系统整体架构深信服等保一体机架构由两部分组成:一是超融合基础架构,二是一体机管理平台。
在等保一体机架构上,客户可以基于自身安全需求按需构建等级保护安全建设体系。
超融合基础架构以虚拟化技术为核心,利用计算虚拟化、存储虚拟化、网络虚拟化等模块,将计算、存储、网络等虚拟资源融合到一台标准X86服务器中,形成基础架构单元。
并且多套单元设备可以通过网络聚合起来,实现模块化的无缝横向扩展,形成统一的等保一体机资源池。
一体机管理平台提供对深信服安全组件、第三方安全组件的管理和资源调配能力;通过接口自动化部署组件,降低组网难度,减少上架工作量;借助虚拟化技术的优势,提升用户弹性扩充和按需购买安全的能力,从而提高组织的安全服务运维效率。
2.2 超融合基础架构超融合基础架构主要由计算虚拟化、存储虚拟化、网络虚拟化三部分组成,从而使得等保一体机能够提供给客户按需购买和弹性扩充对应的安全组件。
2.2.1 计算虚拟化传统硬件安全解决方案提供的硬件计算资源一般存在资源不足或者资源冗余的情况。
深信服等保一体机创新性的使用计算资源虚拟化技术,通过通用的x86服务器经过服务器虚拟化模块,呈现标准的安全设备虚拟机。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全保障体系咨询服务技术白皮书杭州安恒信息技术有限公司二〇二〇年八月目录1.公司简介 (2)2.信息安全保障体系咨询服务 (3)2.1.概述 (3)2.2.参考标准 (4)2.3.信息安全保障体系建设的指导思想 (4)2.4.信息安全保障体系建设的基本原则 (5)3.信息安全保障体系的内容 (6)3.1.信息安全的四个领域 (6)3.2.信息安全策略体系 (6)3.2.1.信息安全战略 (7)3.2.2.信息安全政策标准体系框架 (7)3.3.信息安全管理体系 (8)3.4.信息安全技术体系框架 (9)3.5.信息安全运营体系 (11)4.信息安全保障体系的建设过程 (13)4.1.信息安全保障体系的总体建设方法 (13)4.2.信息安全策略的定义 (13)4.2.1.信息安全策略的通用性特征 (14)4.2.2.信息安全策略的建立过程 (15)4.3.企业信息安全管理体系的建设 (17)4.3.1.安全管理体系总体框架 (17)4.3.2.信息安全环境和标准体系框架 (18)4.3.3.信息安全意识培养 (18)4.3.4.信息安全组织 (21)4.3.5.信息安全审计监督 (21)4.4.企业信息安全运营体系的建设 (25)4.5.企业信息安全技术体系的建设 (27)4.5.1.安全技术设计目标 (27)4.5.2.安全技术体系的建设 (27)5.为什么选择安恒信息 (28)5.1.特性 (28)5.2.优点 (28)5.3.效益 (28)1.公司简介杭州安恒信息技术有限公司(DBAPPSecurity),简称“安恒信息”,是业界领先的应用安全及数据库安全整体解决方案提供商,专注于应用安全前沿趋势的研究和分析,核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验,以全球领先具有完全自主知识产权的专利技术,致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。
安恒信息公司总部位于杭州高新区,在北京、上海、广东、四川、美国硅谷等地都设有分支机构、遍布全国的代理商体系以及销售与服务网络能够为用户提供精准、专业的服务。
公司成立以来安恒人始终以建立民族自主品牌为己任,秉承“精品创新,恒久品质”的理念,力争打造中国信息安全产业应用安全与数据库安全第一品牌。
多年来,安恒信息以其精湛的技术,专业的服务得到了广大客户的青睐,同时赢得了高度的商业信誉。
其客户遍布全国,涉及金融、运营商、政府、公安、能源、教育、医疗、税务/工商、社保、等保评估/安全服务机构、电子商务企业等众多行业。
安恒信息目前拥有明鉴、明御两大系列自主研发产品,是应用安全、数据库审计、不良网站监测等领域的市场绝对领导者。
其中明鉴系列应用扫描器被公安部三所测评中心等国内权威等级保护测评机构广泛使用。
未来,安恒信息将继续秉承诚信和创新精神,继续致力于提供具有国际竞争力的自主创新产品和服务,全面保障客户应用与数据库的安全,为打造世界顶级的产品而不懈努力。
作为2008北京奥组委安全产品和服务提供商,安恒信息被奥组委授予“奥运信息安全保障杰出贡献奖”。
在2009年建国60周年全国网站安全大检查中,公安部和工信部安全中心均选用安恒信息明鉴应用弱点扫描作为安全检查工具并发挥了重大作用。
2010年,“安恒信息”作为上海世博会安全产品和服务的提供商,为上海世博会信息安全保驾护航。
2010年,“安恒信息”作为广州亚运会安全产品和服务提供商,为亚运会信息安全保驾护航。
2.信息安全保障体系咨询服务2.1. 概述在信息系统介入企业商务运营的初期,企业的商务运营环境相对封闭,对信息数据的交互要求也不高,信息系统可以得到企业的完全控制。
而如今的信息系统已经成为企业生产业务系统的一部分,企业商务运营中的大量重要信息交互必须依赖于开放的、互联的网络环境进行。
自从网络和Internet万维网出现以来,新兴技术和数据信息量激增,虚拟化和云计算增加基础架构复杂性,新兴技术的应用导致安全违规和安全攻击事件的大量增加,数据量每隔18个月翻一番,围绕着信息上下文的存储、安全和发现技术变得越来越重要。
信息安全问题越来越凸现出来使得企业规避信息安全风险的需求日趋紧迫。
众所周知,即便是在信息安全国际标准和相关最佳实践的指导下,企业按照标准的安全实践方法,设计和实施信息安全解决方案时,依然会遇到很多挑战。
企业还必须考虑多平台,多组件架构集成的复杂性,实施安全解决方案的多样性等。
信息安全保障体系建设是根据企业业务发展的需要,确立合理的信息安全需求、确立企业信息安全策略,选择安全功能组件,建立一个完整的由信息安全策略体系、信息安全组织体系、信息安全技术体系和信息安全运营体系组成的具备深度安全防御能力的信息安全保障体系。
信息安全保障体系建设咨询是杭州安恒信息技术有限公司(以下简称为安恒信息)参考国际国内的信息安全保障体系标准,结合安恒信息在信息安全保障体系建设咨询的最佳实践,为企业打造一个量身定制信息安全保障体系的一个咨询服务解决方案。
2.2. 参考标准⏹《计算机信息系统安全等级保护划分准则》GB 17859-1999⏹《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008⏹《信息安全技术信息系统等级保护安全设计技术要求》GB/TXXXXX-XXXX⏹《信息保障技术框架》(IATF:Information Assurance TechnicalFramework)⏹《信息技术安全技术信息技术安全性评估准则》GB/T 18336-2008⏹《系统安全工程能力成熟度模型》(SSE-CMM:System SecurityEngineering Capacity Maturity Model)2.3. 信息安全保障体系建设的指导思想将来源于国家政策性要求、机构使命性要求、系统可能面临的环境和影响以及机构自身的需求相结合作为信息系统的安全需求,使具有相同安全保护等级的信息系统能够达到相应等级的基本的保护水平和保护能力。
以风险管理为核心,预防为主,技术手段为支撑,围绕信息和信息系统生命周期,逐步建立由信息安全策略体系、信息安全组织体系、信息安全技术体系、信息安全构成的安全保障体系。
2.4. 信息安全保障体系建设的基本原则信息系统等级保护原则:企业信息保障体系的建设应该遵从国家信息系统等级保护基本政策,将等级保护的思想融入到信息安全保障体系建设工程中去。
多重深度防御战略原则:所谓深层防御战略就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。
在纵深防御战略中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者缺一不可。
管理与技术并重原则:“三分技术,七分管理”是信息安全管理的公认的常识,其意义在于指出了信息安全的关键所在:光靠信息安全技术(产品)是很难实现信息安全的目标,加强信息安全管理才是信息安全的解决之道。
统一规划,分步实施原则:信息安全是一个牵涉面极广的系统工程,需要进行整体的风险评估和安全策略体系设计、安全组织体系设计、安全技术体系设计以及安全运营体系设计才能从整体上提高信息安全保障的水平,反之任何一个信息安全保障体系的模块失效,则会产生所谓的“短板效应”而造成信息安全保障水平的降低。
但是,信息安全保障体系的投入往往不能一步到位,信息安全建设工作也不能在短期内完成,更难于在业务系统的运用中推广。
因此,信息安全保障体系建设需要遵守统一规划,分步实施的原则。
在规划阶段需要将信息安全保障体系的整体目标、安全需求、安全模型、技术架构、安全原则等设计出来,以指导信息安全的建设工作,识别出信息安全需求的紧迫性,并根据信息安全需求紧迫性的顺序规划信息安全建设的顺序,以实施信息安全建设的分步实施。
风险管理和风险控制原则:风险管理是一种有效的信息安全管理和决策技术。
一般来说,没有绝对的信息安全,也就是信息安全的风险不可能为零。
因此正确的识别风险、合理的管理风险,让信息安全的风险降低可以接受的水平以内,是信息安全管理的指标体系。
安全性与成本、效率之间平衡原则:信息安全保障的目标过高,需要的成本将成几何级数的形式上升,并且可能会影响信息使用的效率,但是信息安全保障的目标过低,信息安全事件发生的可能性将增大,信息安全事件的损失将可能增多,因此信息安全保障需要将安全性与成本和效率间进行平衡,以达到信息安全的水平可以接受,但是又不至于让成本上升太多,以及对信息使用的效率影响太大。
3.信息安全保障体系的内容3.1. 信息安全的四个领域信息安全包括以下四个领域:信息安全策略、信息安全管理、信息安全运营和信息安全技术,如图3-1所示:图3-1 信息安全的四个领域其中,信息安全策略包括信息安全的战略和信息安全的政策和标准,而信息安全管理、信息安全运营和信息安全技术则是“企业->人->系统”的三元关系:⏹管理是企业管理的行为(包括安全意识、组织结构和审计监督);⏹运营是日常管理的行为(包括运营流程和对象管理);⏹技术是信息系统的行为(包括安全服务和安全基础设施)。
可以概述为:信息安全是在企业管理机制下,通过运营机制借助技术手段实现的。
信息安全运营是信息安全管理和信息安全技术手段在日常工作中的执行,是信息安全工作的关键,即“七分管理,三分技术,运营贯穿始终”。
3.2. 信息安全策略体系信息安全策略体系处于企业信息安全保障体系的最顶层,是业务驱动安全的出发点。
主要包括企业战略和治理框架、风险管理框架、合规策略遵从。
通过对企业业务和运营风险的评估,确定其战略和治理框架、风险管理框架,定义合规和策略遵从,确立信息安全文档管理体系。
3.2.1.信息安全战略信息安全战略分为企业信息安全战略概述、企业信息安全战略需求分析、企业信息安全战略目标、企业信息安全工作基本原则5个部分。
信息安全策略是企业信息安全保障体系的核心,是企业信息安全工作的原则、宗旨、指导,为企业信息安全工作指明了方向。
企业信息安全工作是针对企业各信息系统中存在的信息安全风险而开展的。
企业的信息安全战略的制定坚持3大原则:⏹为企业业务发展提供支持和保障信息安全工作的最终目标是要为企业的业务发展提供必要的保障和支持。
⏹在企业信息技术战略规划的基础上制定企业的信息技术远景规划报告是企业现行的信息技术工作开展的最高指导性文件,而信息技术又是企业信息安全工作开展的必不可少的重要基础,因此企业信息安全战略必须在其信息技术规划的基础上制定。
⏹遵从风险管理的理念信息安全是风险管理中的一个特殊的课题。
企业信息安全战略的制定也必须在风险管理的原则下,从风险的角度看待信息安全问题,以风险防范、风险控制的方法开展信息安全工作。
3.2.2.信息安全政策标准体系框架企业信息安全政策与标准体系是信息安全管理、运营、技术体系标准化、制度化后形成的一整套企业对信息安全的管理规定,其体系框架可以分为横向和纵向两个维度,如图3-2所示:图3-2 信息安全政策标准体系框架⏹纵向是企业制度/规定的层次化结构,分为信息安全政策、信息安全标准与规范、信息安全指南和细则三个层面。