您現在的位置: 首頁 > 安全服務 > 多級多邊安全服務

安全服務面臨的問題

隨著安全事件的不斷增加,人們安全意識的不斷提高,如何有效地選擇安全措施,如何使安全產品發揮應有的作用,如何快速經濟地提升系統的安全狀況成為用戶關心的問題。人們已不再滿足于單純地購買安全產品,開始尋找全面的、系統的解決方法。在這種環境下,安全服務逐漸被用戶接受,成為貫穿安全工作各個階段、滲透各個方面的重要措施。

安全服務的靈活性和廣泛的適用性,受到用戶的喜歡,但這同時也導致安全服務本身內容復雜,環節眾多。用戶面對眾多的安全服務商,眾多的安全服務包無從下手。如何有效地組織安全服務體系并確保其完整性和適用性成為擺在專業安全廠家面前的問題。完整的安全體系應該不僅能幫助用戶解決現有的安全問題,還能夠幫助他們預計未來的趨勢,規劃安全的長期發展。冠群金辰多級多邊安全服務就是這樣的一套體系。

多級多邊安全服務體系的構成

多級多邊安全服務體系是由安全服務內容和安全服務方式縱橫交錯形成的矩陣,是對安全服務內容與安全服務方式的充分結合。

矩陣的縱軸是參照冠群金辰安全DNA理念,對安全生命周期進行劃分形成的多級安全服務,稱之為"級",反映的是安全工作按階段的逐級推進。多級安全服務包括:評估、設計、實施和維護。評估指風險評估,是指遵循流程,分析系統內與信息安全相關的資產、資產存在的安全弱點(脆弱性)和面臨的威脅、并導出能夠反映安全狀況的風險描述的過程;設計是根據用戶需求和安全現狀(風險評估結果),制定安全解決方案和安全管理體系;實施是對安全解決方案的落實;維護是將安全狀況控制在用戶預期的水平上,包括正常情況的運作和異常情況的處理。

矩陣的橫軸是提供安全服務的方式,稱之為"邊",反映的是安全服務落實形式的各個方面。多邊安全服務包括:執行、咨詢、教育和外包。執行偏重于技術,包括系統工具評估、人工評估、滲透測試、安全解決方案實施和系統加固等方面;咨詢偏重管理,包括信息資產的鑒別與分類、安全策略體系的構建、根據技術評估結果進行風險分析、安全解決方案設計,信息安全管理系統(ISMS)的建立和安全措施ROI分析等方面;教育包括基本安全標準的介紹、授證安全培訓、安全產品培訓、人員安全意識培養和安全技術培訓等方面;外包是為用戶提供安全維護服務,包括定期的掃描、漏洞通報和緊急響應等方面。

表1:多級多邊安全服務體系

多級多邊安全服務體系的內涵

如表1所示,多級多邊安全服務體系由若干模塊構成,每個模塊有其相應的目標、對象和形式。具體說明如下。

工具評估是指根據已有的安全漏洞知識庫,檢測網絡協議與服務、網絡設備、操作系統、數據庫和應用系統等各種信息資產所存在的安全隱患和漏洞。根據掃描評估的位置不同,通常分為遠程掃描和本地掃描。

人工評估是通過專業安全人員對應用系統在網絡、用戶和文件系統方面的配置進行檢查,發現安全隱患。人工評估和工具掃描可以很好地互相補充,發現現有的和潛在的安全問題。

滲透測試是依據通過掃描、評估等方式發現的安全漏洞,模擬黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試。滲透測試和工具掃描也可以很好地互相補充,工具掃描保證發現漏洞的全面,滲透測試發現邏輯性更強、更深層次的漏洞,并直觀反映漏洞的潛在危害。

解決方案是指針對用戶的安全現狀和安全需求,為用戶提供完整全面的安全建議,從而對安全風險進行適當處置,對后續安全工作有所規劃。安全解決方案是提升安全水平的依據,是安全建設的推動。

安全產品部署是對安全解決方案中產品部分的落實。單純依靠人力無法應對變化迅速,錯綜復雜的安全事件,因此,依靠適當的產品,并使其充分發揮作用是安全保障的關鍵。這決定了安全產品部署是安全服務中重要的一環。

安全加固一方面是安全解決方案中技術部分的落實,是指在不新加產品的基礎上,通過調整原有系統的配置,啟用安全機制,提高系統安全性;另一方面,安全加固也應該作為在正常情況下,對安全狀況進行維護的日常工作。

緊急響應是對安全事件的快速反應,包括及時反擊、降低損失和事后取證。緊急響應是在異常情況下,對安全狀況的維護。

策略分析是通過對各種策略文檔進行閱讀和分析,獲得整個策略文檔體系的概貌,并評價策略文檔體系能否滿足安全工作的要求。主要包括對文檔內容、文檔結構和文檔控制等方面的分析。

安全審計是指由安全顧問依據安全標準,提出書面的問題調查清單,通過詢問用戶相關背景和相關內容,了解用戶關于信息安全各方面的基本情況。安全審計可以保證對安全狀況全面的把握,并能結合用戶特點發現安全問題。

ISMS建立是指按照BS7799等國內外安全標準,形成適用于用戶系統的信息安全管理體系。出于風險管理的需求和客觀因素的約束,建立ISMS已經成為安全建設與管理的一項重要內容。

安全理念是對信息安全的認識,是安全工作的指導和依據。它可以用來明確安全工作的整體指導思想和框架,也應提供規劃具體工作的方法。

項目管理是服務項目的成功的保證。在安全服務項目中與用戶溝通項目管理一方面可以提高項目的效率,另一方面可以幫助用戶建立項目管理流程,便于用戶在其它項目中進行安全控制。

安全動向分析是向用戶通報安全業界的新方向,包括安全事件的新特點和技術產品新動態。此外,也會提供安全統計數據和分析報告。安全動向分析的目的是能夠在細節上用戶進行安全預警,在宏觀上使用戶能夠把握安全趨勢,合理規劃后續安全工作。

安全標準介紹是為用戶指明安全工作可以參考的國內外標準。通過對國內外標準的分類、內容介紹和應用分析,幫助用戶提高對安全的認識。

產品培訓包括基本的現場產品培訓和系統的集中產品培訓。一系列的產品培訓可以不僅使用戶掌握產品的使用方法,還可以使用戶了解產品的原理,從而提升自身的安全素質。

安全技術培訓提供層次化的安全專題講座,包括安全技術基礎、各操作系統安全、信息安全管理以及一系列授證培訓。

安全意識培養對安全工作能否順利開展起著決定性的作用,我們為用戶提供針對角色的,定期的安全意識培訓。


安全應用定制是指針對用戶需求,為用戶開發所需的安全應用。

安全代維是指為用戶提供安全交鑰匙服務,通過漏洞通告、加固和緊急響應,保證日常的安全維護,保證對安全事件的響應,從而最終保證用戶的安全狀況。

安全服務體系的優勢

多級多邊安全服務體系是對冠群金辰3S理念的細化,是對安全DNA的落實。3S理念強調"安全服務是全面的、全程的",多級多邊安全服務體系分別在這兩個方向進行展開,即"多邊"細化了安全服務的各種方式,"多級"細化了安全服務的具體內容。安全DNA強調安全管理與安全技術相結合和安全生命周期,在多級多邊安全服務體系中,安全管理和安全技術在各級各邊都有相應的體現。總之,多級多邊安全服務體系既從兩個維度有力地支持了3S安全理念,又充分體現了安全DNA的核心思想。

圖1:3S安全理念

多級多邊安全服務體系為用戶提供充分的選擇余地。模塊化的構成,為用戶提供了服務菜單。用戶可以根據需求和預算選擇可以接受的安全服務,還可以進一步規劃后續可用的安全服務。

安全服務的質量保證

安全服務的質量保證可以分兩個層面來認識。一是安全服務部門對于質量的控制。安全服務部門遵循ISO9000標準,通過服務規范、作業指導書和記錄等方式實現對工作范圍的規定,對部門工作流程的指導和對工作績效的考核。二是安全服務項目中對質量的控制。通過SSE-CMM和PMI等工程質量管理的標準,實現量化的項目管理。具體內容包括項目溝通方式,確認點和輸入輸出。通過兩方面的質量管理,可以確保安全服務的水平和效果。



2012伦敦奥运怎么玩 股票行情大盘走势k图 nba篮球即时比分直播 单场足球即时比分 美国棒球比分直播 竞彩比分手机客户端 球探网足球比分下载 打百搭麻将技巧 安徽十一选五开奖码 电竞比分网1zplayapp 3d号杀号定胆六大专家 万赢财经配资 麻将卡五星赢的方式 俊升配资 广西麻将打烂怎么打 浙江20选5 球探比分app旧版