爱科软件:首页 > 解决方案 > 信息安全整体解决方案
信息安全整体解决方案

设计思路与方法

在制定企业自己的信息安全制度前,需清晰了解国家的法律法规及上级单位的制度。

信息安全制度主要应包括如下内容:

信息安全的木桶原则;

信息安全的整体性原则;

安全性评价与平衡原则;

标准化与一致性原则;

技术与管理相结合原则;

统筹规划,分步实施原则;

等级性原则;

动态发展原则;

易操作性原则;


安全能力框架

"安全不是口号、不是漏洞、不是产品。安全到底是什么?安全传递的是一种信任,而这种信任来自于企业自身的安全能力"。

信息安全体系设计总体思路:针对企业防护对象框架,通过企业组织体系、管理体系、技术体系的建设,逐步建立企业风险识别能力、安全防御能力、安全检测能力、安全响应能力与安全恢复能力,最终实现风险可见化,防御主动化,运行自动化的安全目标,保障企业业务的安全。

企业安全能力框架设计我们参考了NIST Cybersecurity Framework的核心内容,简称为IPDRR模型。



安全能力框架

IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力。

IPDRR能力框架实现了"事前、事中、事后"的全过程覆盖,从原来以防护能力为核心的模型,转向以检测能力为核心的模型,支撑识别、预防、发现、响应等,变被动为主动,直至自适应(Adaptive)的安全能力。

企业安全能力框架设计我们参考了NIST Cybersecurity Framework的核心内容,简称为IPDRR模型。




信息安全三要素

信息安全三要素即构成安全三个基本元素,脱离了这三个基本元素,信息安全讲成为空谈;信息安全能力的提升应主要围绕着这三个基本元素展开;

制度:除国家法律外,应定制企业信息安全管理制度,消除各种不安全因素,防止事故的发生;将防范信息安全相关风险落实为明文规定,让网络用户明确知晓信息安全应承担的责任及义务;

工具:信息安全软硬件产品、安全警示语、安全手册等;

服务:主要有三类安全服务(产品技术服务、安全事故响应服务、安全顾问咨询服务);

三要素在不断地作用于信息资源的过程中,实现易用性与安全性的平衡点,保障相对安全且不失最佳易用性。安全三要素在任何网络缺一不可,否则会打破平衡,影响易用性和安全性。爱科的安全方案将围绕这三要素展开。



视控用一体化设计方法

信息安全三要素是信息安全设计的基础,为了能够清晰地、有效地将三要素执行到信息活动中,并体现出三要素贯彻的优势,我们需要一套方法进行设计、实施和总结。

爱科的信息安全设计方法是:视控用一体化设计(可视可控可用)。

i. 可视:即可视化,清晰的了解安全风险,以往和当前安全风险均可知,未知风险可预测。

ii.可控:即控制能力,风险的控制能力是安全能力评判标准之一;信息资源能够在己方控制访问内,才能保障安全性。

IPDRR能力框架实现了"事前、事中、事后"的全过程覆盖,从原来以防护能力为核心的模型,转向以检测能力为核心的模型,支撑识别、预防、发现、响应等,变被动为主动,直至自适应(Adaptive)的安全能力。

企业安全能力框架设计我们参考了NIST Cybersecurity Framework的核心内容,简称为IPDRR模型。



方案介绍

爱科信息安全解决方案主要是围绕安全三要素,基于视控用的方法,提升各方面信息安全能力。因此,方案主要从安全三要素和视控用的方法展开方案叙述。

本方案采用模块化的方式设计,因此方案由主方案及六大子方案组成;子方案主要包括:物理安全子方案、网络安全子方案、主机安全子方案、数据安全子方案、终端安全子方案、云安全子方案,子方案将在第四章节介绍。

方案架构

本方案架构主要是以安全三要素和信息资源为基础,采用可视可控可用的方法。




制度建设

在制定企业自己的信息安全制度前,需清晰了解国家的法律法规及上级单位的制度。

信息安全制度主要应包括如下内容:

网络系统数据资源的安全保护;

网络软硬件资产管理;

机房环境的安全运行;

网络病毒的防治管理;

上网信息安全管理;

日常使用习惯管理。



设立安全专员

当前信息安全服务和产品对用户的帮助主要在技术方面,对管理的影响是有限的。用户普遍遇到的最大问题是自身资源不足,实际是"安全管理员"的缺位,其次是对基本管理体系探索的需求。

视控用设计

可视化:制度需公示,体现公开公平公正的原则,明确员工在使用IT资源和资产时的权利和义务。采用手册、墙贴和培训的形式,务必使每个人清晰的了解制度。

可控性:必须要安置一名安全专员,且具有一定管理权限,起到监管及监督的作用。采用技术手段和管理手段落实制度。

可用性:简单明了的制度才可有效落实,偶尔采用演习、抽查的方式可以确保制度可用;制度落实到位是信息安全的基本保障,也是IT资产可用的保障。

制度提升响应能力及防御能力:建立安全制度主要目的是提升安全响应能力和安全防御能力。为提高这两方面能力主要需要进行以下制度的制定并落实。


方案特点

本方案具有以下特点:

全面性:本方案从多个维度设计,从整体和立体的角度分析,构建整体信息安全体系,力求做到细致无遗漏。

规范性:帮助客户在符合国家标准的前提下建立标准化的安全体系架构,将国际通行的安全体系标准推行到企业安全体系架构中。

灵活性:本方案采用模块化设计,一个主体方案和五个子方案,方案中各模块可根据具体特点简化或扩展;方案实施方便,对网络和系统影响极小。

独特性:采用独特的方法设计,真正从客户角度出发,提升客户信息安全能力为目标。

经济性:本方案旨在帮助用户提示整体安全能力,而非从产品角度出发,建议用户结合自身特点以最经济实用的方式提示信息安全水平。


客户收益

在应用爱科信息安全解决方案后,客户可以得到如下收益:

优化安全管理框架本方案的运用可以补充和优化安全体系框架,将以往反应性的安全体系优化为防御为基础自动化的安全体系架构。

建立安全管理制度制度的建立让安全管理体系有法可依;管理者和用户能够清晰明确,权责分明。

建立事件响应机制自动化的安全事件响应和恢复机制的建立,能够快速有效的应对安全事件,减少安全事件给企业带来的损失。

安全产品最优配置配置最优化、产品利用率最佳化,投资回报比最大化。

改进信息安全服务良好的信息安全服务除了是安全运维的保障,也是给信息安全上了一道保险;让用户能够放心使用网络资源,享用网络资源。

提升整体安全能力提升信息安全能力是采用本方案的最大收益,避免依赖厂商或设备疲于解决安全问题,达到自如地处理安全事件的能力。