河南瀚博网络 > 服务支持 > 信息安全总集成服务

信息安全总集成服务

编辑:河南瀚博网络瀚博网络品牌管理办 来源:网络 所属栏目:服务支持-信息安全总集成服务

信息安全管理体系概述

随着客户信息安全需求的不断增加,传统的信息安全厂商针对产品的技术服务,已远远无法满足客户对于整体信息安全体系建设及服务方面的迫切需求。

面对国家相关说明要求及客户信息安全建设分散性的特点,瀚博网络根据信息安全等级保护、涉密分级保护等相关标准,提供集安全咨询、总体规划、方案设计、 体系建设、集成实施、安全运维等信息安全体系化总体集成服务,提供:信息安全等级保护总集成服务,涉密信息系统分级保护总集成服务,从而帮助客户建设合规 性的信息安全保障体系。

瀚博网络信息系统安全管理平台,实现:以定制整合、集成现有的各种监控工具、各类异构数据和配置管理为手段,集中处理并形成统一规范的标准信息;实现对资产的集中监控与管理,通过先进的架构设计实现广泛的业务支持和应用集成;通过事件驱动和任务驱动的工作流程管理,建立协调、顺畅的事件响应机制,形成信息服务部门统一的对外服务窗口和内部管理平台,实现对信息系统运行维护工作的统一、规范、标准化的管理,化解业务应用系统运维风险,全面提升信息系统可用性和业务连续性。

1、信息安全管理体系概述

信息安全管理体系(Information Security Management System,ISMS)是组织整体管理体系的一个部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

BS7799-2是建立和维护信息安全管理体系的标准,它要求应该通过这样的过程来建立ISMS框架:确定体系范围,制定信息安全策略,明确管理职责,通过风险评估确定控制目标和控制方式。体系一旦建立,组织应该实施、维护和持续改进ISMS,保持体系运作的有效性。此外,BS7799非常强调信息安全管理过程中文件化的工作,ISMS的文件体系应用包括安全策略、适用性声明(选择与未选择的控制目标和控制措施)、实施安全控制所需的程序文件、ISMS管理和操作程序,以及组织围绕ISMS开展的所有活动的证明材料。

2、信息安全管理体系建设的目标

建立组织信息安全管理体系:

–  明确相关的安全组织

–  建立信息安全的管理制度和流程

–  明确信息安全管理职责和流程

3、信息安全管理体系框架

信息安全管理体系
【图】信息安全管理体系

信息安全策略咨询服务

1、为什么需要安全策略咨询服务

信息安全策略是一个组织解决信息安全问题最重要的步骤,也是这个组织整个信息安全体系的基础。由于信息安全不是天然的需求,而是经历了信息损失之后才有的需求,所以管理对于信息安全是必不可少的。

一个组织最主要的管理文件就是信息安全策略,信息安全策略明确规定组织需要保护什么?为什么需要保护?由谁进行保护?这些问题靠什么解决?没有合理的信息安全策略,再好的信息安全专家和安全工具也没有价值。一个组织的信息安全策略反映出这个组织对现实安全威胁和未来安全风险的预期,反映出组织内部业务人员和技术人员安全风险的认识与应对。

2、什么是安全策略咨询服务

信息安全策略是为信息安全提供管理指导和支持的一系列策略文件,构成了信息安全策略体系,通过该文档中所描述的条目进行信息安全建设过程的审核与评估,来得到信息安全建设与信息安全目标的符合度。

机构的信息安全策略和业务策略需要与安全考虑相结合,而安全策略和方针应该考虑和设计到机构的业务策略和目标中,更为重要的是安全策略、目的、目标应该被核实和回顾、更新,以及与机构进行沟通。

安全策略咨询服务就是建立信息安全策略体系的服务过程。该过程包含信息安全方针的建立、信息安全主策略的设计、子策略设计。使用安全策略咨询服务能够为企业、单位建立完善的信息安全策略、制度、岗位指标,将信息安全建设落实到每一个细节。

3、安全策略体系框架

信息安全策略咨询

【图】信息安全策略咨询

4、安全策略体系的价值

指导性:信息安全策略不是技术解决方案,尽管它对制定信息安全技术解决方案有指导作用,信息安全策略只是一个组织描述保证信息安全途径的指导性文件,对于整个组织的信息安全工作提供全局性指导。

可审核性:信息安全策略是可以被审核的,即能够对组织内各部门对信息安全策略遵守的情况进行审核和评价。

非技术性:信息安全策略的描述语言应该是非技术性的。信息安全策略应该抽象到适当的级别上。

现实可行性:衡量信息安全策略的尺度首先就是现实可行性。信息安全策略与现实业务状态的关系是:信息安全策略既要符合现实业务状态,又要能包容未来一段时间内的业务发展要求。

动态性:信息安全策略总是偏重当前状况,而信息安全是动态变化的,技术不断发展,信息安全策略也需要不断发展,早期的一些安全控制手段可能很快就无效了。所以信息安全策略具有明确的时效性,必须注明有效期限,避免由于对时间理解错误造成的混乱。

文档化:信息安全策略应该有清晰和完全的文档描述。任何组织,无论大小都应该有信息安全策略,并且有相应的行政措施保证既定的信息安全策略能够被不打折扣地执行。另一方面,组织要根据业务情况的变化和信息安全技术的发展不断修改和补充组织的信息安全策略。一个组织可以有多个信息安全策略。遵守本组织的信息安全策略,应该作为雇员的基本要求,写入用人合同,并在其工作职能中描述。

还需要强调的是,策略需要标准配合。一个组织在制定信息安全策略之后,并不能完事大吉,因为所制定的信息安全策略不一定能够马上实施,还需要制定出更详细的相关配套标准供雇员使用。

信息安全管理外包服务

信息安全服务外包的必要性

信息安全并不直接推动业务发展,但与业务发展息息相关,由于信息安全管理工作的复杂性,造成客户对安全管理常常是“有心无力”,或者付出了代价,却不能获得相应的回报。而信息安全工作内容是复杂的、繁重的,企业应该从中解脱出来,集中精力处理、开拓或发展业务。

信息安全服务外包的内容

瀚博网络为客户提供信息安全管理外包服务,全面、专业、高效、安全地管理客户的安全设备、处理安全问题、保证客户业务目标的实现。

瀚博网络安全管理外包服务内容包括:

  • 远程及实地管理维护
  • 防火墙/VliN的管理/维护/监督
  • IDS入侵防护系统的管理/维护/监督
  • 服务器系统的安全管理/维护/监督
  • liKI系统的服务/管理
  • 桌面及病毒防范管理
  • 每月一份报告
  • 7*24 热线电话支持

信息安全规划咨询服务

1 、安全规划的必要性

信息安全建设工作是一个动态的长期的过程,为有效组织信息安全建设工作,需要制定切实详细的工作规划:

1>、信息安全工作的复杂性,需要进行详细的设计

2>、信息安全是成体系的,需要参照信息安全标准进行设计

3>、信息安全需要大量投资,需要阶段性的建设

4>、信息安全是动态的长期过程,需要不断的进行

所以信息安全规划,正是能够站在高的信息安全目标和符合标准的前提下,参考企业的现状提出信息安全建设的步骤、内容和时间等等要素。故信息安全规划成为了信息安全建设的必要的一个环节。

2 、安全规划咨询流程

通过该过程完成信息安全体系的建设和安全解决方案的设计。

瀚博网络信息安全规划服务
【图】瀚博网络信息安全规划服务

3 、资产调查和风险评估

第一、资产调查

根据资产划分法,对各主要信息系统进行资产划分、识别,统计,并提交完备的资产分析报告。

完备而逻辑清晰的资产分析是企业资产管理必不可少的组成部分,同时也是顺利实施成功的风险评估的前提条件。

第二、威胁识别

威胁是一种对组织及其资产构成潜在破坏的可能性因素,是客观存在的。威胁识别主要是:识别被评估组织关键资产直接或间接面临的威胁,以及相应的分类和赋值等活动。威胁识别活动的主要目的是建立风险分析需要的威胁场景。

第三、脆弱性识别

各类技术脆弱性的存在,势必会大大增加安全事件发生的可能性,从而加大信息系统整体的安全风险。因此,需要对信息系统中当前的脆弱性进行识别。

第四、安全措施识别和确认

有效的安全控制措施,可以降低安全事件发生的可能性,也可以减轻安全事件造成的不良影响。因此,在进行风险分析/计算之间,有必要识别被评估组织目前已有的安全控制措施,并对措施的有效性进行分析,为后续的风险分析提供参考依据。

第五、风险分析

  • 网络架构评估分析
  • 关键服务器评估分析
  • 应用系统评估分析
  • 访谈及安全意识评估分析
  • 客户端抽样检查分析
  • 安全管理评估分析
  • 信息安全审计评估分析

4、安全策略设计

建立信息安全管理框架,确立并验证管理目标和管理办法时需采取如下步骤:

1>、定义信息安全方针;

2>、定义信息安全管理体系的范围,包括定义该组织的特征、地点、资产和技术等方面的特征;

3>、进行合理的风险评估,包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等;

4>、根据组织的信息安全策略及所要求的安全程度,决定应加以管理的风险领域;

5>、从BS7799第二部分的第四章选出合理的管理标的和管理办法,并加以实施;选择方案时应做到有法可依;

6>、准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证,同时对选择的理由进行验证,并对第四章中排除的管理办法进行记录;

7>、对上述步骤的合理性应按规定期限定期审核。

5、需求分析

根据风险评估结果,结合法律、法规及行业规范,我们将会提交安全需求分析报告,并对信息系统未来三年的信息安全规划提出建议。

6 、信息安全体系设计

根据需求分析,结合企业的现状,可以为企业设计出有个性的安全体系:

  • 建立等级保障体系
  • 建立安全(风险)管理体系
  • 建立安全策略体系
  • 建立安全技术体系
  • 建立安全运维体系
  • 建立安全保障体系
  • 建立信息安全审计体系

7、解决方案

依据风险评估结果,我们将给出详细的信息安全解决方案。包括分步实施的计划安排建议,建立体系所产生的风险、代价,预算/投入情况等。由于此项工作严重依赖资产调查以及风险评估的结果,所以我们目前只能给出体系建立方法以及实施方法论。

信息安全运维服务

经过多年的信息化建设,大多数企业已经建立起了比较完整的信息系统。但是,在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的处理。因此,客户通过引入专业的信息安全服务团队,来保障自身信息系统的稳定安全运行,同时通过专业的安全咨询和服务,逐步构建动态、完整、高效的客户信息安全整体,形成能持续完善、自我优化的安全运维体系和安全管理体系,提高客户信息系统的整体安全等级,为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。

1、安全运维服务的必要性

由于企业的业务不断发展,网络结构日益复杂,应用不断增多,特别是B/S结构应用的采纳,是企业面对更多的风险;另一方面网络攻击技术发展迅速,攻击的技术门槛随着自动化攻击工具的应用不断降低。使得安全系统在不断地增加运行维护的难度、工作量和人力成本,对于位置分散、数目众多、不同厂商的各类主机、网络设备、安全设备等进行有效的管理,并随着内外部安全环境的变化及时调整,对企业的安全人员素质和安全运维管理提出了更高的要求。

2、运行维护体系的建设内容

信息资产安全管理机制

信息资产安全管理机制主要是从信息资产管理的角度出发,将信息提升到信息资产的高度,用风险管理的手段来保障信息资产的安全。

安全风险评估和加固管理机制

网络与信息安全工作是一个持续的、长期的工作,建议办公网定期进行安全风险评估,通过对安全管理策略、信息系统结构、网络、系统、数据库、业务应用等方面进行安全风险评估,确定所存在的安全隐患及安全事故对客户整体可能造成的损失程度和风险大小,了解在安全工作方面的缺陷,以及如何解决这些安全问题。

系统规划、设计和接收安全管理机制

应当逐步确立信息安全管理的地位。特别是赋予机构对于重大项目建设的审查工作。明确安全技术组在项目规划、设计、实施和验收中的工作,赋予其较高的权限——如一票否决权,从根本上保证网络与信息安全。

安全事件管理机制

信息系统不可能100%地实现无风险,必须随时准备应对各种可能出现的安全问题。安全事件通常是指会对系统造成比较严重的破坏的安全事件,如果没有技术专家的及时响应和处理,将会对业务产生重大影响。安全事件与应急管理的目标是快速有效地处理安全事件以及各种紧急和灾难情况,减少对业务的冲击。

安全应急管理机制

应急预案是安全问题管理的重要输出成果,目的是保证可以在最快的时间内对安全事件做出正确响应,保持业务连续性,也为安全事件追踪提供支持。对安全事件的紧急响应的技术手段有日志分析、安全事件鉴别、灾难恢复、计算机犯罪取证、攻击者追踪等,管理网应该具备上述技术手段。同时,应该在制度和人员上保障有人负责紧急安全事件的发现和处理,并且保证响应人员具有合格的技术水准,遵照正确的流程。

安全配置管理机制

通过制定各种设备和平台的安全配置标准,建立合理的安全配置流程,保证现有的设备和系统的安全,防止由于系统的不安全性而产生的安全问题或埋下安全隐患。使得这些系统免受未经授权的访问,防止系统遭受如登录程序安全问题、口令质量安全问题、授权用户滥用职权等威胁或薄弱点的侵害;保证数据的安全,使得数据免遭未经授权的访问和修改。

安全变更管理机制

安全变更管理流程将通过标准统一的方法和步骤来管理和控制所有对IT生产环境有影响的安全变更。

代维安全管理机制

需要制定关于代维安全管理规定来规范代维工作,提高代维系统的安全保障能力。

物理环境安全管理机制

物理环境安全包括在信息安全的整体框架下,是信息安全保障体系的基础和底层的支持。信息系统所在区域的物理环境安全是保护区域内计算机相关设备以及其他媒体免遭地震、水灾、火灾等环境事故以及周围环境的因素影响。它是对系统所在环境的安全保护,同时,还需要防止对区域的未经授权的访问。

用户身份管理机制

用户是信息系统和信息资源的访问者(或主体),用户管理是指对各类用户信息(身份信息、认证信息和授权信息)的管理。

日常安全运维管理机制

日常安全运维管理制度适用于所有的信息系统维护人员,包括安全管理员,系统管理员、网络管理员、数据库和业务应用管理员等所有运维人员。

日志审计管理机制

通过使用日志对系统行为进行审核跟踪控制,对信息系统安全领域受保护的对象在日常的运作过程中进行持续的保护,确保信息资产的安全,保护了信息的保密性、真实性和完整性。

安全运维服务瀚博网络白皮书2.8

信息安全集成服务

1、不是所有项目都是成功的

根据IDC发布的安全威胁与攻击趋势报告,虽然80%以上的大中型企业都已经布署了防火墙、防毒软件、IDS等安全产品,以抵御恶意软件的入侵和侦测,但是信息安全问题并未因此而杜绝,也并未随着企业在信息安全产品上的投入增加而相应减少,信息安全产品的安装效果无法达到企业的最初目的。

为什么信息安全产品的部署不能达到最初的目标,根据瀚博网络多年的实践经验的分析,我们认为主要是以下原因造成:

信息安全产品之间没有有机整合,部署存在漏洞

信息安全产品应用没有和企业安全管理制度相结合,忽略相应管理

员工对信息安全产品功能和效果理解不正确

事先没有对所选的信息安全产品进行充分测试

信息安全产品与企业实际业务之间存在冲突

核心在于信息安全产品的布署不合理,企业在信息安全产品的选型、实施与管理过程中可能存在某些层面问题,信息安全集成方案的设计和实施不合理。如何能全面地对信息安全产品进行集中布署,使信息安全产品的应用既能满足企业的安全防护需求,又能融入企业的现有安全管理制度、运维流程,满足企业面临着信息安全产品集成方面的新要求。

2、信息安全集成关系框图

信息安全集成

【图】安全系统集成

安全咨询主要完成对信息系统的调研,通过对调研数据的分析了解系统面临的风险,再依据风险进行需求设计、策略设计的过程。

安全系统设计是针对信息系统的现状和安全系统进行进一步的安全体系设计的过程。

安全系统集成是将既定的方案加以实施的过程。

运行维护就是对建设好的系统进行维护,保障系统的正常运行。

3、安全咨询与安全系统集成的关系

这几者之间是以安全咨询为基础,其他三项以安全咨询为依据和指导,见上图,来完成对整个信息系统的安全体系的建设:

安全咨询是安全系统设计的原始数据来源和分析方法论

安全咨询过程要进行资产识别和分析,以应用为导向进行风险评估,产生风险列表,提供安全建议。而这些都是安全系统设计的原始资料。安全体系的设计都需要依据信息系统的现状,根据现状进行分析才能进行安全体系的设计。故安全咨询和安全系统设计是密不可分的。

安全咨询是安全系统集成的前期实践

安全系统集成是建立安全系统的过程,而在进行安全集成之前没有进行必要的实践,虽然能够通过测试加以解决,但是通过安全咨询能够更加有效的在安全系统集成之前进行部分安全实践,这对于后期的安全集成起着很重要的作用。

安全咨询是安全运行维护的设计和实践依据

安全运维体系是系统生命周期中时间最长的阶段,他的优劣直接影响着整个安全系统的建设和效果。而安全咨询正是要找到适合组织的安全运维过程和规范,同时安全咨询也对在咨询过程中对安全运行维护进行了必要的设计实践。

安全系统设计是安全系统集成的依据

安全系统集成就是将安全产品和安全策略进行有机的整合,按照设计方案进行这些工作。可见安全系统设计是安全系统集成的依据。

安全系统集成是安全系统运行维护的实体建设和维护初步实践

安全系统运行维护是对建成的安全系统进行维护,但是在集成的过程中对于安全设备、安全策略、安全规范、安全制度进行初步实践和建设,通过也验证了他们的有效性。故安全系统集成是安全系统运行维护的实体建设和维护初步实践。

安全系统设计是安全系统运行维护的指导文件

在安全体系设计中,通过安全咨询服务已经对安全运维体系进行了设计,故在安全体系设计中有详细的安全系统运行维护规范和制度等等。所以,可以说安全系统设计是安全系统运行维护的指导文件。

安全体系设计、安全系统集成、安全系统运行维护的实践促进安全咨询的不断完善

安全体系设计、安全系统集成、安全系统运行维护的是安全建设的实践过程,这些过程都会反馈各类实现体会和设计修正,这样通过安全咨询能够进一步指导和支撑安全体系设计、安全系统集成、安全系统运行维护。

4、安全集成服务的内容

  • 1)交付测试阶段
    确定产品提供商
    确定服务提供商
    确定工程实施标准
    确定工程质量保证内容
  • 2)系统构建阶段
    产品部署
    安全策略实施
    服务实施
    服务质量跟踪
  • 3)联调测试阶段
    产品调试
    系统调试
     

信息安全等级保护

1、国家信息安全等级保护制度的意义

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。

2 、安全等级保护能够为企业带来什么

首先,信息安全发展中,企业一直在苦于寻找一个可用、有效地信息安全的标准;信息安全等级保护能够为企业提供一套完善的保障基线,是国家标准。

第二,在寻找可用,有效地信息安全标准中,发现没有那个标准能够成为一个全面的权威的信息安全建设标准;信息安全等级保护从信息安全的不同层级进行了设计,保障信息安全建设有迹可循。

第三,信息安全等级保护的等级防护概念,不仅提供了信息安全建设的依据,而且也为企业自身安全建设提供了非常大的空间。

第四、信息安全保障级别一旦制定,只要参照等级保护制度进行设计、实现和测评通过,就达到了国家的要求,企业的信息安全建设符合了国家标准。

3 、安全等级保护的建设思路

实施等级化信息安全保障体系的根本目的是尽可能减少信息系统的风险对业务造成的损失。为了实现这个目的,必须将信息安全等级保障紧密集成到整个信息系统的生命周期中。信息系统生命周期一般包括建设(建设阶段又可细分为启动阶段、开发阶段、实施阶段)、运行和废弃三个阶段。不管信息系统目前处于哪个阶段,都需要信息安全保障体系。

安全等级保护
【图】安全等级保护

4 、安全等级保护产生的效益

参照信息安全等级保护进行了信息安全的建设,并且通过了测评,整个企业就获得了一种保障等级,在这样一个级别中企业可以得到如下效益:

1> 遵循客观规律,信息安全的等级是客观存在的。满足了国家的信息安全要求。

2> 有利于突出重点,加强安全建设和管理。

3> 有利于控制安全的成本。

4> 更为重要的是,能够放心的将对应等级的业务应用进行建设。

信息安全合规分析

1、为什么需要信息安全合规分析

现代企业大量应用信息技术进行业务处理,以提高企业的核心竞争力,但是信息技术带来了的风险也是巨大的,为了提高企业的信息安全水平和防范信息安全风险,国家、行业监管部门以及信息安全组织颁布了不同的信息安全标准和规范。为了满足强制监管需要和增强企业核心竞争力,企业需要进行不同的合规要求。企业进行合规分析主要满足以下需求:

满足行业监管需要,提升企业形象和核心竞争力合规要求是了监管部门对企业的信息安全基线要求,满足合规性,标志着企业的信息安全水平可以保障企业内部营运和客户的基本利益。是企业实力和核心竞争力的体现。

帮助企业提高信息安全水平合规性要求的制定参考了行业内信息安全建设的要求和实践经验,也参考了信息安全的最佳实践。满足了信息安全合规性,可以提高企业信息安全管理和技术水平。

为企业培训信息安全人员在进行合规性审核过程中,企业信息安全相关人员可以获取信息安全理念、知识和技能,企业的整体安全意识得到提高。为企业日后的信息安全建设提供人力资源准备。

2、信息安全合规分析的方法

合规性分析需要以下步骤:

信息收集:根据具体合规要求,对企业建设现状进行调查

差距分析:根据调查结果,比照合规要求进行差距分析。

整改运行:按照差距分析结果,按要求进行整改,并进行实际运行。

合规评审:由认证部门进行合规评审,获得合规资质。

3、信息安全合规分析内容

等级保护合规分析

以科学、公正、客观、规范的服务,依据《信息安全等级保护基本要求》、《信息安全等级保护测评准则》以及相关国标、部标等,测评信息系统对应保护等级的符合性、适应性、充分性,从而验证系统的安全性。为被测评的信息系统顺利通过国家监督机构进行的信息安全监督检查提供依据和保证。

ISO27001合规分析

分析用户的安全制度管、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性等方面是否满足ISO27001标准中的要求。

商业银行信息科技风险管理指引合规分析

分析商业银行用户在信息科技治理、科技风险管理和科技风险审计等方面是否满足商业银行科技风险指引的要求。

4、合规分析的收益

满足国家、行业和监管部门强制要求

提升企业形象,增强核心竞争力。

提高信息安全水平,保障客户利益。

5、运行维护考核机制的建立

考核指标的建立

建立核心评价指标包括,安全审核执行力度、安全工作配合力度、安全培训情况、病毒事件发生次数、办公设备高风险弱点数、服务器高风险弱点数。

基础管理指标包括,员工安全管理、安全岗位人员管理、安全会议管理、技术资料安全管理、配置变更流程执行情况、安全策略培训宣传、安全工作处理情况、帐号口令及权限管理、防盗版软件管理、病毒防护管理、补丁管理、共享服务器管理、应急响应及时率、事件影响范围、事件解决时间、事件出现频率、事件处理工作报告。

重点项目监控指标包括,项目规划、项目立项、项目设计/开发、项目实施、项目验收阶段。

考核周期

为使考核办法能够及时准确的反映网络现状及各个部门的工作成绩,核心评价指标部分、基础管理部分以月为单位进行考核,重点项目监控部分以项目里程碑为单位进行考核,前一个月的成绩在后一个月考核中体现。

瀚博网络在提供运维体系建设服务的同时,还提供其他运维管理服务包括日志分析、安全通告、安全监控、应急响应(本地和异地)四个服务项目,为组织提供简单的安全运维支持到全面的安全运维管理服务。

安全风险评估

1、为什么进行风险评估

通过标准的分析,可以很清楚的认识到信息安全就是对信息安全风险的控制,信息安全的建设过程也就是信息安全风险管理的过程。信息安全风险是信息安全的核心,进行风险评估成为了重要的风险管理的手段。

在企业中绝大多数企业领导的困扰:我们的信息系统信息安全吗?

在当前飞速发展的信息时代,信息日益成为企业日常运营不可或缺的关键工具,信息已成为企业的关键重要资产、最具有决定意义的因素。同时,安全威胁日益严重(如图所示),计算机犯罪也在日益泛滥。

信息安全风险控制
【图】信息安全风险控制

因信息系统安全性不过关而遭遇系统崩溃、信息丢失等窘境的企业比比皆是。
于是越来越多的企业领导者想明白如下问题:
 

  • 要保护什么?
  • 信息系统当前的安全状况如何?
  • 当前主要的安全威胁是什么?
  • 在发展过程中可能会遇到什么安全问题?
  • 安全风险可能导致的损失是多少?

要解决上述问题,需要定期进行企业信息系统安全风险评估。当前,很多行业协会都会要求本行业内的企业定期进行信息安全评估,循序渐进地管理企业运营风险,从而达到保护企业信息资产的目的。

通过进行风险评估,了解企业信息系统面临的风险状况,通过管理风险或是转移风险来有效预防重大灾难的发生,进而提升自身的竞争力。面对不断推陈出新的信息科技,控制新的信息风险因素,并最有效地分配资源,最终实现企业的战略目标。

2、风险评估解决了什么问题

信息安全风险评估技术作为一种风险管理的方法,就是从风险管理角度,依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。所以通过信息安全风险评估,企业能够得到与信息安全风险相关的内容:

  • 系统面临哪些威胁
  • 系统脆弱性是哪些
  • 脆弱性导致安全事件的可能性是多少
  • 安全事件和信息资产有什么样的关系
  • 安全事件一旦发生对系统造成什么样的影响
  • 得到综合的风险评价
  • 有针对性的提出抵御威胁的防范措施

最终将风险控制在可接受的范围内,达到系统稳定运行的目的
 

3、风险评估模型

在安全评估服务中,瀚博网络参照安全模型,根据自己的工程实践,建立了自己的风险评估模型,描述如下:

风险评估模型
【图】风险评估模型

在瀚博网络的风险评估模型中,主要包含信息资产,弱点/脆弱性、威胁和风险等要素。每个要素有各自的属性:
 

  • 信息资产的属性是资产价值
  • 威胁的属性是威胁发生的可能
  • 风险的属性是风险发生的路径
  • 安全措施的属性是保护的方法
  • 弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度
  • 应用/业务的属性是安全运行

因此,瀚博网络风险评估的过程是:
 

  • 识别信息系统的应用和业务,业务所涉及资产;
  • 对信息资产进行识别,并对资产赋值;
  • 对威胁进行分析,并对威胁发生的可能性赋值;
  • 综合分析当前具备的安全措施及其作用;
  • 综合分析资产价值、资产的脆弱性和威胁发生的可能性,得到信息资产的风险发生的路径和级别,并对风险进行处置,选择合适的控制措施;
  • 综合评定应用和业务的安全性;
  • 识别信息资产的脆弱性(弱点/漏洞),并对弱点的严重程度赋值;
  • 给出安全建议。

信息安全通告

1、信息安全通告服务定位

面向企业高中级管理人员、系统管理员和安全管理员,介绍信息安全服务理念、服务产品;介绍信息安全发展趋势,信息安全技术、新产品;通告信息安全重大事件;对重大病毒爆发、重大安全漏洞、重要系统补丁升级给予通告提示;提供信息安全管理、信息安全策略、信息安全术语、信息安全意识方面知识,帮助企业避免业务风险,提升信息安全管理、安全运维能力和技术水平。

2、信息安全通告内容

信息安全管理

瀚博网络服务产品

以介绍瀚博网络信息安全服务为主要能容,有计划、有目的介绍信息安全产品、信息安全服务案例,借以体现瀚博网络信息安全服务实力,提升企业形象,帮助企业了解、接受瀚博网络信息安全服务。

信息安全发展趋势

跟踪国际和国内信息安全发展最新趋势,帮助企业管理人员了解信息安全管理、技术的发展动向,掌握信息安全新理念,介绍信息安全组织重大活动。

信息安全技术

面向管理人员介绍信息安全技术,侧重介绍信息安全技术的功能、作用、使用场景,使管理人员了解信息安全技术,为管理决策服务。

信息安全产品

有选择、有目的介绍主流信息安全产品,帮助信息安全管理者了解信息安全产品功能、作用,为销售提供前期铺垫。

信息安全标准解读

对信息安全标准进行解读,帮助企业掌握标准目的、重点、难点,介绍标准实施方法论,为标准在企业实施、落实服务。

信息安全策略

以连载方式,介绍信息安全策略,进行安全策略宣传,帮助管理者掌握、实施信息安全策略。

信息安全管理

介绍资产管理、人力资源安全、物理与环境安全、通信与操作管理、信息系统获取开发和维护、信息安全事件、信息安全评估等信息安全管理知识、理论、发展趋势。

信息安全事件

对国内外信息安全领域发生重大安全事件进行介绍,分析信息安全事件的原因和教训,帮助企业结合具体实际避免安全事件发生。

信息安全意识

提供针对管理人员的安全意识培训知识,促使企业员工认知信息安全重要性并有效参与,建立对信息安全的正确认识,掌握信息安全的基本原则和惯例,清楚可能面临的威胁和风险,养成良好的安全习惯,最终提升组织整体的安全性。

信息安全术语

介绍常用信息安全术语。

 

信息安全技术

信息安全技术

面向管理人员介绍信息安全技术,侧重介绍信息安全技术的功能、作用、使用场景,侧重技术实现和技术细节,提供面向技术人员的信息安全技术知识培训。

信息安全产品

介绍主流信息安全产品,帮助系统管理员了解信息安全产品功能、作用,掌握产品使用、操作技能,提高技术人员利用安全产品提高安全防护能力。

安全漏洞通告

监测安全厂商、产品厂商和安全组织公告,对可能影响企业安全的安全漏洞进行通告,帮助企业制定预防策略,提供临时解决建议。

病毒通告

检测国内外病毒场上、安全组织发布的重大病毒通告信息,提升企业采取有效措施免受病毒攻击。

补丁通告

检测产品厂商发布的安全补丁升级通告,及时提醒企业对产品进行补丁升级,避免安全漏洞被利用,产生安全事故。

系统加固技术

介绍提供操作系统、数据库、应用服务器和网络安全设备的加固技术,帮助系统管理员和安全管理员提高系统防护能力。

 

3、信息安全通告客户收益

通过安全通告服务,客户可以获得如下收益:

中高级信息技术管理人员和信息安全管理人员可以了解信息安全最新发展趋势,掌握信息安全管理的最新理念,获取实现信息安全的最新产品和技术。

信息系统管理员和安全管理员可以及时获得安全漏洞、病毒、黑客攻击的最新通告,采取有效措施,通过系统补丁或使用临时措施,保证系统安全运行。

4、信息安全通告中我们的优势

与信息安全厂家的安全通告相比,我们具有以下优势:

了解客户实际需求,安全通告贴近企业实际;

具有经验丰富的专业安全顾问,有针对性提供解决问题措施;

具有丰富的信息来源和信息甄别能力,及时、全面获取信息;

以客户为中心的强烈责任感,帮助企业解决实际问题。

安全加固和优化服务

1、安全加固和优化服务

评估加固的范围是对信息系统中的主机系统和网络设备,以及相关的数据库系统。主要有:

服务器加固:主要包括对Windows、Unix、Linux等服务器的评估加固,其中还包括对服务器操作系统层面的评估和数据库层面的评估加固。

网络设备加固:主要包括对路由器,防护墙,交换机的评估加固。

安全加固服务主要以人工的方式实现。

2、安全加固流程

安全加固和优化服务

【图】安全加固和优化服务

3、安全加固步骤

准备工作

一人操作,一人记录,尽量防止可能出现的误操作。

收集系统信息

加固之前收集所有的系统信息和用户服务需求,收集所有应用和服务软件信息,做好加固前预备工作。

做好备份工作

系统加固之前,先对系统做完全备份。加固过程可能存在任何不可遇见的风险,当加固失败时,可以恢复到加固前状态。

加固系统

按照系统加固核对表,逐项按顺序执行操作。

复查配置

对加固后的系统,全部复查一次所作加固内容,确保正确无误。

应急恢复

当出现不可预料的后果时,首先使用备份恢复系统提供服务,同时与安全专家小组取得联系,寻求帮助,解决问题。

媒体报道
推荐解决方案
集团业务
全国统一服务热线:0371-56692OO2 © 1998-2020 瀚博网络,政府门户网站集群部署实施建设豫ICP备15024233号-1