任何安全过程都是一个不断重复改进的循环过程,它主要包含风险管理、安全策略、方案设计、安全要素实施。这也是clearcase/" target="_blank" >cc">惠普公司倡导的网络信息安全周期。
风险评估管理:对企业网络中的资产、
威胁、漏洞等内容进行评估,获取安全风险的客观数据;
安全策略:指导企业进行安全行为的规范,明确信息安全的尺度;
方案设计:参照风险评估结果,依据安全策略及网络实际的业务状况,进行安全方案设计;
安全要素实施:包括方案设计中的安全产品及安全服务各项要素的有效执行。
安全管理与维护:按照安全策略以及安全方案进行日常的安全管理与维护,包括变更管理、事件管理、风险管理和配置管理。
安全意识培养:帮助企业培训员工树立必要的安全观念。
信息安全概述
随着网络的日益普及,互联网上的浏览、访问的增加,网络被攻击的可能性也随之增大。90年代早期,正是由于Internet的开放性和商业化才促使网络技术迅速发展。但开放性却带来了各类网络安全问题。由于TCP/IP协议本身设计的开放性与不安全性,使得采用了这一的通信标准和信息流通模式的网络也具有先天的安全缺陷。安全问题对于任何企业都是一项挑战,以下各个方面都涉及到安全:
保护企业的知识产权、商标、竞争优势;
维护企业的声誉、品牌和客户信任;
提高IT系统的可用性,尽量降低受黑客攻击而引起的停机时间;
黑客攻击正在指数级地增长,而且越来越复杂;
网络犯罪每一天都在发生。
安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:
直接损失:丢失订单,减少直接收入,损失生产率;
间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市制或政治声誉;
法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
在世界100强的大公司中,一种新的病毒可以引起36小时的停机时间,造成的直接损失可能达到数百万美元。而安全问题所造成的用户数据泄漏(如信用卡信息),则有可能立即丢失客户群。
在极端情况下甚至可能导致企业倒闭。
目前几乎所有的企业都意识到了安全的重要性,也都在积极推动信息安全建设。一种常见的安全建设方式如下:
发现问题-->进行安全项目投资-->寻找产品-->制定方案-->产品实施
但这种头痛医头脚痛医脚的方式很快便暴露其弊端,随着业务系统的发展和多样性安全需求的提出,就会出现产品兼容问题、集成问题、扩展问题、管理问题,难以支持业务发展,安全状况也没有得到明显改善。
随着信息安全技术和理论的发展,已经逐步形成了一个共识:安全问题是一个动态的、整体的、持续性的问题。基于以上共识,出于从最大程度上提高信息系统整体安全的水平和预防安全事件发生的角度来考虑,信息系统安全建设不能仅仅局限于若干安全产品的简单意义上的集成,企业迫切需要的是一种全方位的安全服务,从技术、人员和管理流程三个方面构建完善的安全体系。
完善的安全体系:
在安全方案设计过程和方案的实施中,惠普公司将遵循和参照最新的、最权威的、最具有代表性的国家和国际信息安全标准。这些安全标准包括:
ISO/IEC 17799 Information technology-Code of practice for information security management
ISO/IEC 13335 Information technology- Guidelines for The Management of IT Security
ISO/IEC 15408 Information technology- Security techniques - Evaluation criteria for IT security
国家标准、行业标准和国际标准组织颁布的其他安全标准
惠普在该解决方案中提供的服务包括:
风险管理服务:风险评估、入侵测试、入侵管理
安全战略服务:安全策略、安全意识、安全调查
安全基础结构服务:安全方案设计、安全流程管理、系统安全加固
安全技术实施服务:入侵检测、安全扫描、病毒防范、访问控制、身份认证、单一用户登录、防火墙、公共密钥基础设施(PKI)
惠普安全解决方案给用户带来的益处
增强企业业务安全策略的自信
提高企业实施安全策略的竞争优势
增强企业员工、业务合作伙伴和客户对企业的信任度和忠诚度
提高企业关键业务系统的可用性和可靠性
降低企业信息安全管理成本
帮助企业在正确的领域进行正确的安全投资
明确了解使用什么措施缩小安全差距
为其他外部系统提供安全基准
为什么要选择惠普
惠普连续获得2001年和2002年Secure Computing Magazine评出的"Best Security Service Award"
惠普对安全技术的长期承诺--拥有超过29项安全专利,从20世纪80年代开始安全领域的投入
惠普在全球拥有50多位CISSP,其中中国有10位
惠普拥有世界级的安全中心,不断跟踪最新的黑客工具和黑客攻击技巧,为全球客户提供服务
惠普提供多层次、全方位的安全服务,有完善的安全方法论
惠普为大量的客户提供了安全评估和安全策略服务,具有丰富的实践经验,对技术标准(ISO17799等)具有极强的实际应用能力
惠普每年在中国实施数百个大中型项目,具有丰富的项目管理经验,中国惠普拥有30多位PMP
惠普深入了解不同厂商的安全产品,具有丰富的安全技术产品实施经验
成功案例
福建地税计算机安全管理项目
福建省地税局已经建设了自有的网络系统、业务应用系统,随着业务应用和系统的不断发展,安全管理问题日益突出,安全问题主要表现在日常管理、安全技术体系等方面。
为此,惠普公司不仅参照ISO17799标准为福建地税建立了一整套完善的信息安全管理体制,并把惠普先进、完善的技术和丰富的实践经验传递给了福建地税的技术人员,通过项目建设使信息管理中心能够有效地监控全省地税业务系统的安全。这一项目的意义不仅是为福建地税的工作提供了安全保障,对福建地税提升整体的信息管理水平也有着重要的启发意义。
惠普整个安全解决方案包括:
安全现状评估
安全策略创建
安全策略实施
安全意识规范化
安全风险评估
入侵检测
安全统一平台建设
系统应用安全加固
安全产品解决方案――根据统一的安全策略要求,进行安全产品的方案涉及和产品配置,包括防火墙、扫描器、 IDS、防病毒、身份认证、系统统一访问控制、安全监控中心、数据备份等。
福建地税选择惠普的原因包括:
惠普能够提供全方位的解决方案,包括安全管理和安全技术
惠普在安全咨询和项目管理方面拥有成熟的方法论和先进的工具
惠普拥有经验丰富的安全咨询实施队伍