首页 > 信息安全 > 正文

安全厂商需搭建信息安全服务“新房子”

2010-09-18 22:38:03  来源:it168网站原创

摘要:房子是我们每个人都关注的话题;信息安全是每个企业都关心的难题;信息安全服务是每个安全厂商都关注的主题;随着企业规模不断扩大、网络环境越来越复杂、网络威胁也呈现多样化趋势,
关键词: 信息安全 安全策略

  房子是我们每个人都关注的话题;信息安全是每个企业都关心的难题;信息安全服务是每个安全厂商都关注的主题;随着企业规模不断扩大、网络环境越来越复杂、网络威胁也呈现多样化趋势,企业用户对信息安全服务的需求欲更加强烈,安全厂商建好信息安全服务“新房子”,企业用户才会大驾信息安全服务入“洞房”。

  从概念理解信息安全包括的范围很大,大到国家军事政治等机密安全,小到如防范商业企业机密泄露以及个人信息泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等)直至安全系统,其中任何一个安全漏洞都有可能威胁全局安全。

  近年来,随着产品同质化速度加快,如何让营运不中断,成为企业最重要的课题之一,这也成为企业竞争力之一。而信息安全疫情爆发的最大损失,并非有形的灾害,而是营运中断所导致的信息泄漏与商机流失。因此,信息安全服务成为企业用户对安全厂商提出的心要求。东软网络安全产品营销中心安全服务部部长席斐表示:“企业一方面要完善服务体系、组织架构尽量降低成本,参与到更多的项目竞争中;另一方面安全企业应专注于优质的、能体现服务商技术实力的项目,安全服务,尤其是高端安全服务,归根结底考验的是厂商的综合能力,是一个大服务的概念,而不只局限在安全范畴内。”

  

东软NetEye搭建信息安全服务“新房子”

 

  东软网络安全产品营销中心安全服务部部长席斐

  安全服务企业并不是保险公司或保镖公司,更多的信息安全服务从产品以及解决方案入手承担了咨询、设计职责,从这个角度看,安全服务企业较国内其他IT服务企业的业务层次更高,更贴近用户的核心业务。

  如果说安全产品可以帮助用户构建安全技术防护体系,那么安全服务则可以帮助用户真正提升安全防护能力。当一个组织的信息基础设施建设达到一定程度和规模后,在规避安全风险、控制安全成本及保障业务持续性的需求压力下,这个组织必然开始寻求更加专业的安全服务提供商来协助规划、制订符合自身情况的安全策略并通过有效的安全管理来消解这些压力。在信息系统安全体系的构建过程中,只有将专业的安全服务、安全产品和安全管理等有机地结合起来,才能真正实现信息系统的动态和长久安全,从而保障组织信息资产效益的最大化。

  

东软NetEye搭建信息安全服务“新房子”

 

  2010年东软NetEye信息安全服务新架构“大房子”

  东软作为国内先进的信息安全整体解决方案提供商,不仅设计研发具有完全自主知识产权的信息安全产品,并且凭借优秀、诚信的服务能力和高效、可靠的质量控制管理方法为各行业组织提供咨询规划、风险评估、系统加固、通告预警、应急响应和人员培训等全方位的安全服务。

  东软NetEye信息安全服务新架构 专业级服务

  风险评估

  构建务实、高效的信息安全系统,需要对整个系统的安全风险有一个清晰的认知。只有清晰的了解自身的弱点和风险的来源,才能够真正地解决和削弱它,并以此来规划有针对性的、合理有效的安全策略。风险评估即是安全策略规划的第一步,同时也是实施其它安全策略的必要前提。风险评估服务作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的有效防御,在信息系统受到危害之前提供安全防护解决方案。风险评估服务的方式有使用专业安全工具的自动方式和凭借专业安全服务人员技术及经验的手动方式,实际实施中经常是两种方式结合运用。

  东软对客户各类信息系统的重要程度分别提供不同频率和方式的风险评估,帮助组织客观真实地了解自身信息系统安全现状,规划适合自己信息系统情况的安全策略,并根据科学合理的安全策略来实施后续的安全服务、安全产品的选型部署以及建立有效的安全管理规章制度等,从而全面规避、降低组织的安全风险。

  应急响应

  在组织运营维护自己的业务系统过程中,系统管理员由于时间和精力的问题,常常对于一些紧急安全事件缺乏有效的处理,这样往往会对业务系统的正常、连续运转造成重大影响。东软计算机安全事件应急小组NCSIRT(Neusoft Computer Security Incident Response Team)成立于2000年1月,在2004年成为首批国家计算机网络应急技术处理协调中心“公共互联网应急处理国家级服务试点单位”,并于2007年成功入选首批“国家级应急服务支撑单位”。2008年作为北京奥运会安全保障技术支撑单位,为国家提供全国范围内的公共互联网安全监控和应急服务保障。近5年来,NCSIRT已为各类客户组织处理了包括大规模病毒爆发、网络入侵事件、拒绝服务攻击、主机或网络异常事件在内的紧急异常事件,以最快速度恢复系统的保密性、完整性和可用性,保障客户组织业务系统的连续性,阻止和减小安全事件带来的负面影响。

  系统加固

  如何把文档化的安全方针和策略在组织内部切实地贯彻执行,一直以来是信息安全管理者最头疼的事情。东软通过安全加固服务将组织内部的安全方针和策略体现到每一个技术实现细节上。例如,根据客户组织实际安全等级的要求对网络拓扑结构进行安全调整、重新规划VLAN和DMZ;对各类服务器进行必要的安全配置,在组织内部进行安全补丁和防病毒服务器的搭建等。同时,根据组织内信息系统实际状况和人员结构情况设计出一套切实有效、可操作的业务系统安全运维的技术规范和流程,将文档化的安全方针和策略真正地贯彻和执行到组织内部业务信息系统中,解决以往管理制度和技术方法相脱节的难题。

  通告预警

  全球每天有非常之多的安全信息发布,从主机系统、网络设备的漏洞和新病毒的产生,到某种新的安全产品的出现等等,这些信息都是组织内信息安全系统管理者所关心和必需了解的事情。但是,在做好日常工作量极大的系统维护工作的同时,做好有用安全信息,特别与是自己系统有关的安全信息收集和分析,就成为系统管理员一项非常繁琐和艰巨的任务。

  东软安全预警服务对客户组织内重要信息资产,采用个性化服务方式,动态登记备案其资产信息,确保为组织重点信息资产提供量身定做的安全预警服务。东软会定期以资产为单位通过电话、传真、Email、书面文档快递和Web查询答疑等方式向组织传达预警内容,并将东软信息安全实验室自主发现的各类漏洞信息、开发的相关系统安全测试和病毒专杀工具及使用说明一并发送给客户组织。

  人员培训

  信息安全的保障是靠人、技术和管理共同来实现的,人员的安全意识和安全技术水平将直接影到整个信息安全体系建设的实施和有效利用。组织内信息安全的保障工作不仅和系统管理员、网络管理员的安全知识有关,而且和组织内全体员工,特别是组织的领导者都有关系。因此,定期的开展针对组织内不同对象的各种层次的安全培训是必要的。

  东软凭借在网络信息安全域多年的产品研发、服务实施的经验积累,成功的总结、规划和设计出一系列适合国内实际情况的信息安全培训课程,从面向组织内管理者的培训、面向技术人员的培训到面向全员的培训,均有其独到之处,能实实在在地为组织内各层次人员提供个性化的培训方案。培训课程的讲授风格深入浅出、生动幽默,案例讲解丰富。同时,提供多种实用的解决问题的软件工具和分析技巧,使培训学员达到学会知识、掌握方法和融会贯通的学习效果。东软目前在大连、成都、南海、沈阳等多地建设了设施完善、环境优越的培训基地,可以为各类组织的各层次人员提供全方位、高质量的个性化、系统化的专业培训服务。

  东软NetEye信息安全服务新架构 方案级服务

  咨询规划

  安全咨询规划服务遵循适度安全原则,平衡成本与效益,合部署和利用信息安全的信任体系、监控体系和应急体系等重要的基础设施和组织架构,制订合适的安全管理制度、措施和方案,从而确保组织具有完成其使命的信息安全保障能力。

  东软将依据信息安全等级保护、ISO27001等国际、国内相关安全体系标准协助用户组建专门负责安全事务管理的层次化机构,以文档化的方式明确各层次在安全管理体系中的职责。帮助用户制订一套涉及信息系统各个方面的安全管理制度,并给出执行管理制度过程中的有效的技术性方法。在充分了解组织业务流程的基础上,协助客户组织建立一系列切实可行的信息系统日常运维工作的技术规范和流程。同时,协助组织建立具有高可操作性的考核体系,以增强安全策略及各项管理制度的可落实性。

  从信息安全服务新架构可以看出,专业级服务、方案级服务、产品级服务以及服务质量保障体系构成东软NetEye信息安全服务“大房子”。信息安全服务是一个系统工程,流程化、系统化以及加强管控将成为安全厂商应对企业用户面临风险的必修课。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。