信息系统安全解决方案.docxVIP

信息系统安全解决方案1 问题　　1.1 概述　　随着信息系统的网络化并日益服务于关键应用，信息系统安全已成为信息系统成功运行的基本前提，客户开始为信息安全大量投资，信息安全产品和服务 也成为市场热点。虽然信息安全市场已经连续5年高速成长，但是由于信息安全涉及的领域非常广泛，而且信息系统也在不断快速发展，整个信息安全行业正处于快 速变化阶段，上千个供应商在各个产品和服务领域激烈竞争。信息系统安全从复杂度上远比单纯的网络、服务器和基础应用要高，客户需要从包括安全规划、设计、 产品选择、实施和运行管理等方面结合自己的实际情况进行综合的考虑。企业信息系统安全中遇到的主要问题:　　* 企业的安全风险评估。　　* 企业的安全策略。　　* 如何建立企业的安全体系。　　* 产品选型和部署。　　* 安全系统的运行和监控。　　* 目标和预算之间的矛盾。　　1.2 产品选择　　面对市场上充斥的各种安全产品，如何正确的选择?　　错误的选择产品，可能会导致如下的严重后果:　　产品不能提供要求的功能。　　产品不能提供要求的性能。　　产品与现有系统存在严重的不兼容性。　　产品运行不稳定。　　产品的部署要求对信息系统进行大规模调整。　　产品的易用性很差，以致于很难推广。　　厂家不能提供及时的支持服务。　　过高的采购价格或总拥有成本。　　导致错误的选择产品的原因包括:　　厂家不当的产品声明或隐瞒产品缺陷。　　著名品牌下的低劣产品品质。有的厂家出于完善产品线的目的，将收购的不同产品置于一个著名的品牌，实际上同一品牌下的不同产品品质差别很大。　　错误或不完善的系统设计。缺乏实际产品经验的技术人员通常会犯的错误，这些系统设计没有得到严格的审核。　　捆绑销售的产品。有的厂家为了推广其弱势产品而将其与强势产品捆绑销售，这些捆绑的产品并不满足实际的需要。　　选用不成熟的技术和产品。　　没有进行详细测试。出于测试成本和测试条件的限制，很多厂家和客户都不愿意进行详细的功能、性能和兼容性测试。　　过多关注价格而忽视产品的适用性。　　2 　　我们认为，成功的企业信息系统安全体系应满足以下条件:　　整体的安全风险评估和安全策略。以上风险评估和策略应由企业管理层、业务部门和IT部门共同完成和制订，通常是原则性和框架性的规定。　　与企业安全策略一致的动态安全体系，该安全体系能够适应变化的企业环境。　　正确的安全体系运行和管理机制，保证安全体系的正常运行。　　宏基恒信通过与众多国内外优秀的安全产品厂家密切合作，构建可以信赖的产品系列，为客户提供正确的选择;我们同时还提供包括信息安全系统的顾问、建设、运行维护在内的全面服务。2.1 安全产品　　以适用、可靠、易用为前提，提供包括网络安全、系统安全、应用安全在内的安全产品，这些产品多年来在国内外获得大量客户的信赖，并赢得多个权威评测机构的推荐。　　适用保证　　产品的功能和性能满足客户的严格要求。　　开放的产品架构与客户现有系统兼容。　　不要求大量调整客户现有信息系统。　　合理的价格和总拥有成本。　　高可靠性　　产品品质的高可靠性。　　保证产品自身的安全性。　　支持冗余配置的方案。　　成功应用于已有客户的关键信息系统。　　简单易用　　快速的部署，部署过程不中断客户信息系统运行，部署时间最短10分钟，最长不超过3个月。　　简单明晰的客户界面和操作指南。　　对终端客户透明或仅需简单培训。　　宏基恒信通过以下手段来保证产品提供以上的特性:　　所有产品均经过逐项的适用性、可靠性和易用性测试。　　所有产品均是成熟的已应用于关键信息系统的产品。　　对所有项目进行产品适用性评估。　　为客户选购提供现场测试支持。　　快速备件供应和现场服务。　　为代理商和客户提供专业的技术培训。　　为客户提供在线的技术支持系统。　　客户满意度调查。　　可以选择的专业服务。　　宏基恒信将提高客户满意度为产品线的主要目标。随着信息系统环境的变化和安全技术的不断更新，产品线会不断更新和升级，为客户提供可靠的安全解决方案。　　2.2 顾问服务　　宏基恒信的顾问服务基于我们为多年来为大型客户提供的具体安全系统的实施和顾问经验，顾问服务包括如下内容:　　安全风险评估　　通过对业务和信息资产调查、威胁分析和弱点分析，编写风险评估报告。报告内容包含关键应用及设施的当前安全风险分析和计算，可接受的风险水平，经常的风险评估过程。　　安全策略制订　　根据风险评估报告结果，制订的总体安全策略、专项安全策略和系统安全策略。总体策略规范公司的总体安全流程、机构和职责;专项安全策略针对特定 业务(服务)制订系统的安全目标、客户角色、审计方法、恢复计划和流程;系统安全策略针对具体的设备和系统制订安全措施(技术手段)、安全规则。　　安全系统设计　　根据风险分析报告和策略完成的安全系统设计，包含防病毒、防火墙、入