設計思路與方法
在制定企業自己的信息安全制度前,需清晰了解國家的法律法規及上級單位的制度。
信息安全制度主要應包括如下內容:
? 信息安全的木桶原則;
? 信息安全的整體性原則;
? 安全性評價與平衡原則;
? 標準化與一致性原則;
? 技術與管理相結合原則;
? 統籌規劃,分步實施原則;
? 等級性原則;
? 動態發展原則;
? 易操作性原則;
安全能力框架
"安全不是口號、不是漏洞、不是產品。安全到底是什么?安全傳遞的是一種信任,而這種信任來自于企業自身的安全能力"。
信息安全體系設計總體思路:針對企業防護對象框架,通過企業組織體系、管理體系、技術體系的建設,逐步建立企業風險識別能力、安全防御能力、安全檢測能力、安全響應能力與安全恢復能力,最終實現風險可見化,防御主動化,運行自動化的安全目標,保障企業業務的安全。
企業安全能力框架設計我們參考了NIST Cybersecurity Framework的核心內容,簡稱為IPDRR模型。
|
安全能力框架 IPDRR能力框架模型包括風險識別(Identify)、安全防御(Protect)、安全檢測(Detect)、安全響應(Response)和安全恢復(Recovery)五大能力。 IPDRR能力框架實現了"事前、事中、事后"的全過程覆蓋,從原來以防護能力為核心的模型,轉向以檢測能力為核心的模型,支撐識別、預防、發現、響應等,變被動為主動,直至自適應(Adaptive)的安全能力。 企業安全能力框架設計我們參考了NIST Cybersecurity Framework的核心內容,簡稱為IPDRR模型。 |
|
|
信息安全三要素 信息安全三要素即構成安全三個基本元素,脫離了這三個基本元素,信息安全講成為空談;信息安全能力的提升應主要圍繞著這三個基本元素展開; 制度:除國家法律外,應定制企業信息安全管理制度,消除各種不安全因素,防止事故的發生;將防范信息安全相關風險落實為明文規定,讓網絡用戶明確知曉信息安全應承擔的責任及義務; 工具:信息安全軟硬件產品、安全警示語、安全手冊等; 服務:主要有三類安全服務(產品技術服務、安全事故響應服務、安全顧問咨詢服務); 三要素在不斷地作用于信息資源的過程中,實現易用性與安全性的平衡點,保障相對安全且不失最佳易用性。安全三要素在任何網絡缺一不可,否則會打破平衡,影響易用性和安全性。愛科的安全方案將圍繞這三要素展開。 |
|
視控用一體化設計方法 信息安全三要素是信息安全設計的基礎,為了能夠清晰地、有效地將三要素執行到信息活動中,并體現出三要素貫徹的優勢,我們需要一套方法進行設計、實施和總結。 愛科的信息安全設計方法是:視控用一體化設計(可視可控可用)。 i. 可視:即可視化,清晰的了解安全風險,以往和當前安全風險均可知,未知風險可預測。 ii.可控:即控制能力,風險的控制能力是安全能力評判標準之一;信息資源能夠在己方控制訪問內,才能保障安全性。 IPDRR能力框架實現了"事前、事中、事后"的全過程覆蓋,從原來以防護能力為核心的模型,轉向以檢測能力為核心的模型,支撐識別、預防、發現、響應等,變被動為主動,直至自適應(Adaptive)的安全能力。 企業安全能力框架設計我們參考了NIST Cybersecurity Framework的核心內容,簡稱為IPDRR模型。 |
|
|
方案介紹 愛科信息安全解決方案主要是圍繞安全三要素,基于視控用的方法,提升各方面信息安全能力。因此,方案主要從安全三要素和視控用的方法展開方案敘述。 本方案采用模塊化的方式設計,因此方案由主方案及六大子方案組成;子方案主要包括:物理安全子方案、網絡安全子方案、主機安全子方案、數據安全子方案、終端安全子方案、云安全子方案,子方案將在第四章節介紹。 |
方案架構 本方案架構主要是以安全三要素和信息資源為基礎,采用可視可控可用的方法。 
|
|
制度建設 在制定企業自己的信息安全制度前,需清晰了解國家的法律法規及上級單位的制度。 信息安全制度主要應包括如下內容: ? 網絡系統數據資源的安全保護; ? 網絡軟硬件資產管理; ? 機房環境的安全運行; ? 網絡病毒的防治管理; ? 上網信息安全管理; ? 日常使用習慣管理。 |
|
設立安全專員 當前信息安全服務和產品對用戶的幫助主要在技術方面,對管理的影響是有限的。用戶普遍遇到的最大問題是自身資源不足,實際是"安全管理員"的缺位,其次是對基本管理體系探索的需求。 |
|
視控用設計
可視化:制度需公示,體現公開公平公正的原則,明確員工在使用IT資源和資產時的權利和義務。采用手冊、墻貼和培訓的形式,務必使每個人清晰的了解制度。
可控性:必須要安置一名安全專員,且具有一定管理權限,起到監管及監督的作用。采用技術手段和管理手段落實制度。
可用性:簡單明了的制度才可有效落實,偶爾采用演習、抽查的方式可以確保制度可用;制度落實到位是信息安全的基本保障,也是IT資產可用的保障。
制度提升響應能力及防御能力:建立安全制度主要目的是提升安全響應能力和安全防御能力。為提高這兩方面能力主要需要進行以下制度的制定并落實。
方案特點
本方案具有以下特點:
全面性:本方案從多個維度設計,從整體和立體的角度分析,構建整體信息安全體系,力求做到細致無遺漏。
規范性:幫助客戶在符合國家標準的前提下建立標準化的安全體系架構,將國際通行的安全體系標準推行到企業安全體系架構中。
靈活性:本方案采用模塊化設計,一個主體方案和五個子方案,方案中各模塊可根據具體特點簡化或擴展;方案實施方便,對網絡和系統影響極小。
獨特性:采用獨特的方法設計,真正從客戶角度出發,提升客戶信息安全能力為目標。
經濟性:本方案旨在幫助用戶提示整體安全能力,而非從產品角度出發,建議用戶結合自身特點以最經濟實用的方式提示信息安全水平。
客戶收益
在應用愛科信息安全解決方案后,客戶可以得到如下收益:
優化安全管理框架本方案的運用可以補充和優化安全體系框架,將以往反應性的安全體系優化為防御為基礎自動化的安全體系架構。
建立安全管理制度制度的建立讓安全管理體系有法可依;管理者和用戶能夠清晰明確,權責分明。
建立事件響應機制自動化的安全事件響應和恢復機制的建立,能夠快速有效的應對安全事件,減少安全事件給企業帶來的損失。
安全產品最優配置配置最優化、產品利用率最佳化,投資回報比最大化。
改進信息安全服務良好的信息安全服務除了是安全運維的保障,也是給信息安全上了一道保險;讓用戶能夠放心使用網絡資源,享用網絡資源。
提升整體安全能力提升信息安全能力是采用本方案的最大收益,避免依賴廠商或設備疲于解決安全問題,達到自如地處理安全事件的能力。