中和威息安全服务体系.doc

中和威信息安全服务体系 在多年的信息安全项目实践经验依托下，在国内外先进的安全理论指导下，紧密结合我国的国情，中和威公司的信息安全专家们创建了IV(Intervision)信息安全服务虚拟大厦。从方法论，技术手段，过程控制和服务支持等多方面来保障信息系统的安全性。它主要由安全解决方案，安全防护框架，安全工程模型，产品与服务及安全技术支持构成，是一套安全的信息安全服务体系。 安全解决方案（Solution） 我们认为最佳的信息安全解决方案是：在先进的安全理论指导下，充分了解客户对安全的特定需求，正确评估客户信息资源的价值，根据实用、够用、好用的原则，综合运用多种产品与服务，制定出适合客户需求的安全计划并加以有效地贯彻执行，同时提供长期的技术支持，达到合理保护客户信息资源的目的。 在中和威的信息安全解决方案里，强调一定要以先进的安全理论做指导，否则就无法从根本上解决实际问题，并且一定弄清客户对安全的特定需求，不同的企业的信息系统千差万别，对安全的需求也各有侧重，所以说弄清楚客户对安全的具体需求，有利于对症下药，才能达到较好的安全防护效果。当然，一切都要以客户的利益为出发点，正确评估出客户信息系统的价值，以适当的安全投入来保护客户的信息系统，最后就是安全计划的设计和实施的过程，具体包含制定安全计划、选择产品和服务及计划的贯彻和执行等，此外还要提供及时的安全技术支持，这些都是对客户信息系统实施保护的具体措施，若没有的话，那么再好的理论和方法也仅仅是空中楼阁而已，所以说一定要特别重视计划的设计实施和贯彻执行。最后需要强调的是，信息安全是一个动态的过程，是生命周期的不断循环，要根据新的安全问题的出现，不断地完善安全理论和安全方法及手段才能真正达到保护信息系统安全的目的。 二、安全防护框架 经过多年的经验表明，信息系统的安全主要取决于理念、工具和信息人三方面，缺一不可。因此中和威对国际认可的P2DR动态防护模型进行了增强与扩展，提出了自己的P2DMR安全防护模型，强调在企业安全计划的统领下，不仅要对系统进行保护、监控和响应，更要重视对信息人的管理和培训。 中和威信息安全防护框架特点： 以P2DR动态防护模型为基石 扩展安全策略为安全计划 强调信息人的管理和培训 P2DMR可管理动态安全模型概述： P2DMR是中和威在国际认可的P2DR动态安全防护模型的基础上发展而来的安全模型，在其中中和威扩展安全策略（Policy）为全新的企业安全计划（Enterprise Security Planning），并且强调了人员的管理和培训及数据的备份与恢复，它是中和威公司在对国际、国内安全方面可靠的权威著作进行研究及大量的安全项目实践经验的基础上总结而成的。 Planning计划、Protection保护、Detection检测、Management管理和Response响应组成的完整模型体系，可以描述和解释任何信息安全问题，把之进行具体技术化后形成的中和威虚拟信息安全大厦，可以囊括当前所有的安全产品与服务，形象生动地表述了我们对待信息安全的方法论和技术手段。P2DMR安全模型的特点就是动态性和可管理性，可以说对信息安全的相对性给予了更好地描述：虽然没有100%的安全，但是模型为进一步解决信息安全技术问题提供了有益的方法和方向。 按照P2DMR模型，信息安全方案可以最大限度地保护信息不受诸多威胁的侵犯，目的是确保商务连续性，将商务损失和风险降低到最小程度，将投资回报和商业机会提高到最大程度。下面我们从计划、保护、检测、管理和响应五个环节分别加以讨论。 2.1、计划（Planning） 在当今的企业计算环境中，安全是头等大事。但是随着企业网络日益走向分布化，要实现绝对安全几乎是不可能的。因此，各企业必须制定企业安全计划（Enterprise Security Plan － ESP），以确定在既有技术、预算及其它资源的限制下可实现的高度安全性??? ??当企业开始执行安全计划时，其目标可能是保证数据及计算资源的绝对安全。不幸的是，要实现绝对的安全是不可能的，正如保证住所的绝对安全是不可能的一样。就设计而言，大多数计算机系统都不安全。计算机是用来处理及沟通信息的，而不是用来保护信息的。将计算机联系在一起的网络也将通信视作首要任务。?????? 企业安全计划是提供可实现的最高级别的安全性的一种方式。安全计划作为P2DMR安全模型的灵魂，所以要想实施动态网络安全模型，必须首先制定企业的安全计划，所有的防护、检测、管理、响应都是依据安全计划实施的，企业安全计划为安全管理提供管理方向和支持手段。 2.2、?保护（Protection）?? 保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防火墙、加密、认证等方法。通过防火墙监视限制进