您现在的位置: 首页 > 安全服务 > 多级多边安全服务

安全服务面临的问题

随着安全事件的不断增加,人们安全意识的不断提高,如何有效地选择安全措施,如何使安全产品发挥应有的作用,如何快速经济地提升系统的安全状况成为用户关心的问题。人们已不再满足于单纯地购买安全产品,开始寻找全面的、系统的解决方法。在这种环境下,安全服务逐渐被用户接受,成为贯穿安全工作各个阶段、渗透各个方面的重要措施。

安全服务的灵活性和广泛的适用性,受到用户的喜欢,但这同时也导致安全服务本身内容复杂,环节众多。用户面对众多的安全服务商,众多的安全服务包无从下手。如何有效地组织安全服务体系并确保其完整性和适用性成为摆在专业安全厂家面前的问题。完整的安全体系应该不仅能帮助用户解决现有的安全问题,还能够帮助他们预计未来的趋势,规划安全的长期发展。冠群金辰多级多边安全服务就是这样的一套体系。

多级多边安全服务体系的构成

多级多边安全服务体系是由安全服务内容和安全服务方式纵横交错形成的矩阵,是对安全服务内容与安全服务方式的充分结合。

矩阵的纵轴是参照冠群金辰安全DNA理念,对安全生命周期进行划分形成的多级安全服务,称之为"级",反映的是安全工作按阶段的逐级推进。多级安全服务包括:评估、设计、实施和维护。评估指风险评估,是指遵循流程,分析系统内与信息安全相关的资产、资产存在的安全弱点(脆弱性)和面临的威胁、并导出能够反映安全状况的风险描述的过程;设计是根据用户需求和安全现状(风险评估结果),制定安全解决方案和安全管理体系;实施是对安全解决方案的落实;维护是将安全状况控制在用户预期的水平上,包括正常情况的运作和异常情况的处理。

矩阵的横轴是提供安全服务的方式,称之为"边",反映的是安全服务落实形式的各个方面。多边安全服务包括:执行、咨询、教育和外包。执行偏重于技术,包括系统工具评估、人工评估、渗透测试、安全解决方案实施和系统加固等方面;咨询偏重管理,包括信息资产的鉴别与分类、安全策略体系的构建、根据技术评估结果进行风险分析、安全解决方案设计,信息安全管理系统(ISMS)的建立和安全措施ROI分析等方面;教育包括基本安全标准的介绍、授证安全培训、安全产品培训、人员安全意识培养和安全技术培训等方面;外包是为用户提供安全维护服务,包括定期的扫描、漏洞通报和紧急响应等方面。

表1:多级多边安全服务体系

多级多边安全服务体系的内涵

如表1所示,多级多边安全服务体系由若干模块构成,每个模块有其相应的目标、对象和形式。具体说明如下。

工具评估是指根据已有的安全漏洞知识库,检测网络协议与服务、网络设备、操作系统、数据库和应用系统等各种信息资产所存在的安全隐患和漏洞。根据扫描评估的位置不同,通常分为远程扫描和本地扫描。

人工评估是通过专业安全人员对应用系统在网络、用户和文件系统方面的配置进行检查,发现安全隐患。人工评估和工具扫描可以很好地互相补充,发现现有的和潜在的安全问题。

渗透测试是依据通过扫描、评估等方式发现的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。渗透测试和工具扫描也可以很好地互相补充,工具扫描保证发现漏洞的全面,渗透测试发现逻辑性更强、更深层次的漏洞,并直观反映漏洞的潜在危害。

解决方案是指针对用户的安全现状和安全需求,为用户提供完整全面的安全建议,从而对安全风险进行适当处置,对后续安全工作有所规划。安全解决方案是提升安全水平的依据,是安全建设的推动。

安全产品部署是对安全解决方案中产品部分的落实。单纯依靠人力无法应对变化迅速,错综复杂的安全事件,因此,依靠适当的产品,并使其充分发挥作用是安全保障的关键。这决定了安全产品部署是安全服务中重要的一环。

安全加固一方面是安全解决方案中技术部分的落实,是指在不新加产品的基础上,通过调整原有系统的配置,启用安全机制,提高系统安全性;另一方面,安全加固也应该作为在正常情况下,对安全状况进行维护的日常工作。

紧急响应是对安全事件的快速反应,包括及时反击、降低损失和事后取证。紧急响应是在异常情况下,对安全状况的维护。

策略分析是通过对各种策略文档进行阅读和分析,获得整个策略文档体系的概貌,并评价策略文档体系能否满足安全工作的要求。主要包括对文档内容、文档结构和文档控制等方面的分析。

安全审计是指由安全顾问依据安全标准,提出书面的问题调查清单,通过询问用户相关背景和相关内容,了解用户关于信息安全各方面的基本情况。安全审计可以保证对安全状况全面的把握,并能结合用户特点发现安全问题。

ISMS建立是指按照BS7799等国内外安全标准,形成适用于用户系统的信息安全管理体系。出于风险管理的需求和客观因素的约束,建立ISMS已经成为安全建设与管理的一项重要内容。

安全理念是对信息安全的认识,是安全工作的指导和依据。它可以用来明确安全工作的整体指导思想和框架,也应提供规划具体工作的方法。

项目管理是服务项目的成功的保证。在安全服务项目中与用户沟通项目管理一方面可以提高项目的效率,另一方面可以帮助用户建立项目管理流程,便于用户在其它项目中进行安全控制。

安全动向分析是向用户通报安全业界的新方向,包括安全事件的新特点和技术产品新动态。此外,也会提供安全统计数据和分析报告。安全动向分析的目的是能够在细节上用户进行安全预警,在宏观上使用户能够把握安全趋势,合理规划后续安全工作。

安全标准介绍是为用户指明安全工作可以参考的国内外标准。通过对国内外标准的分类、内容介绍和应用分析,帮助用户提高对安全的认识。

产品培训包括基本的现场产品培训和系统的集中产品培训。一系列的产品培训可以不仅使用户掌握产品的使用方法,还可以使用户了解产品的原理,从而提升自身的安全素质。

安全技术培训提供层次化的安全专题讲座,包括安全技术基础、各操作系统安全、信息安全管理以及一系列授证培训。

安全意识培养对安全工作能否顺利开展起着决定性的作用,我们为用户提供针对角色的,定期的安全意识培训。


安全应用定制是指针对用户需求,为用户开发所需的安全应用。

安全代维是指为用户提供安全交钥匙服务,通过漏洞通告、加固和紧急响应,保证日常的安全维护,保证对安全事件的响应,从而最终保证用户的安全状况。

安全服务体系的优势

多级多边安全服务体系是对冠群金辰3S理念的细化,是对安全DNA的落实。3S理念强调"安全服务是全面的、全程的",多级多边安全服务体系分别在这两个方向进行展开,即"多边"细化了安全服务的各种方式,"多级"细化了安全服务的具体内容。安全DNA强调安全管理与安全技术相结合和安全生命周期,在多级多边安全服务体系中,安全管理和安全技术在各级各边都有相应的体现。总之,多级多边安全服务体系既从两个维度有力地支持了3S安全理念,又充分体现了安全DNA的核心思想。

图1:3S安全理念

多级多边安全服务体系为用户提供充分的选择余地。模块化的构成,为用户提供了服务菜单。用户可以根据需求和预算选择可以接受的安全服务,还可以进一步规划后续可用的安全服务。

安全服务的质量保证

安全服务的质量保证可以分两个层面来认识。一是安全服务部门对于质量的控制。安全服务部门遵循ISO9000标准,通过服务规范、作业指导书和记录等方式实现对工作范围的规定,对部门工作流程的指导和对工作绩效的考核。二是安全服务项目中对质量的控制。通过SSE-CMM和PMI等工程质量管理的标准,实现量化的项目管理。具体内容包括项目沟通方式,确认点和输入输出。通过两方面的质量管理,可以确保安全服务的水平和效果。