行业动态
安全“四化” 防护信息系统安全理念
发布者:admin 日期:2013-5-29 点击次:1384
国内信息化建设起步于上世纪90年代,经过多年的发展,各组织单位信息化建设取得了突破性进展,信息系统顺利完成由局部应用到全面覆盖、由辅助管理到支撑生产经营、由分布处理到数据集中的转变,开始步入成熟阶段。
在信息化建设的过程中,同时也进行了信息系统安全建设。信息系统安全建设一般经过分散建设阶段、系统化建设阶段、一体化建设阶段。在不同的阶段,采取不同的安全技术与解决方案,但无论在哪一个阶段,信息系统安全理念都不会发生根本性的变化。本文通过总结信息系统安全建设的经验,提出了信息系统安全“四化”建设的理念与方法论,即产品方案化、方案业务化、业务透明化、服务产品化。
产品方案化
产品方案化着重强调某个安全产品在整个信息系统安全整体解决方案中的角色,以及所解决的具体问题。
产品方案化以方案提供者的角度提出,让用户明确安全产品不是解决所有的安全问题,而是满足整体解决方案某一个点的问题。如防火墙主要解决内外网安全隔离,或安全域的划分与隔离;网络审计主要对网络行为进行记录与追踪,解决内网合规问题。
产品方案化的前提是让用户对信息系统安全体系框架有一个清晰的认识,知道进行信息系统安全防护需要建设怎样的安全体系架构,而目前现状已经满足哪些要求?还有哪些没有满足?从而明确该产品在安全体系架构中的作用,以及该产品的重要性和紧迫性如何?
对于信息系统安全体系架构,在等级保护制度没有执行之前,一般按照IATF标准通过安全域的划分来构建信息系统安全体系架构,以及等级保护制度的执行,使国内政府、企事业单位进行信息系统安全建设有所依据。等级保护从计算安全环境、边界安全、通信安全、安全管理中心四个方面阐述了如何构建安全体系架构。通过信息系统安全等级保护架构图,可以非常清晰每个产品在等级保护整体解决方案中的角色与作用,从而很容易提供产品方案化的解决方案。
在信息化建设的过程中,同时也进行了信息系统安全建设。信息系统安全建设一般经过分散建设阶段、系统化建设阶段、一体化建设阶段。在不同的阶段,采取不同的安全技术与解决方案,但无论在哪一个阶段,信息系统安全理念都不会发生根本性的变化。本文通过总结信息系统安全建设的经验,提出了信息系统安全“四化”建设的理念与方法论,即产品方案化、方案业务化、业务透明化、服务产品化。
产品方案化
产品方案化着重强调某个安全产品在整个信息系统安全整体解决方案中的角色,以及所解决的具体问题。
产品方案化以方案提供者的角度提出,让用户明确安全产品不是解决所有的安全问题,而是满足整体解决方案某一个点的问题。如防火墙主要解决内外网安全隔离,或安全域的划分与隔离;网络审计主要对网络行为进行记录与追踪,解决内网合规问题。
产品方案化的前提是让用户对信息系统安全体系框架有一个清晰的认识,知道进行信息系统安全防护需要建设怎样的安全体系架构,而目前现状已经满足哪些要求?还有哪些没有满足?从而明确该产品在安全体系架构中的作用,以及该产品的重要性和紧迫性如何?
对于信息系统安全体系架构,在等级保护制度没有执行之前,一般按照IATF标准通过安全域的划分来构建信息系统安全体系架构,以及等级保护制度的执行,使国内政府、企事业单位进行信息系统安全建设有所依据。等级保护从计算安全环境、边界安全、通信安全、安全管理中心四个方面阐述了如何构建安全体系架构。通过信息系统安全等级保护架构图,可以非常清晰每个产品在等级保护整体解决方案中的角色与作用,从而很容易提供产品方案化的解决方案。
京ICP备09010596号-1;版权所有:北京万任科技有限责任公司; 全国客服专线:010-84715358;
传真:010-84715358;地址:北京市海淀区北三环西路32号恒润国际大厦17层;(IE8以上)
