安全理念

加安信息技术有限公司

首页

您现在的位置：首页>安全理念>加安安全模型

加安安全模型

信息安全挑战

　　企业越来越依赖信息技术来支持他们在全球市场中的迅速成长和扩大。Internet、互联网和局域网等技术使公司以未曾想象过的方式与人和市场建立联系。
　　但是伴随着这些技术所带来的好处，脆弱性和威胁也越来越多。开放式环境的本质会提高收益的风险性、造成信息丢失。随着技术变得更为复杂、先进，那些有可能到您的信息系统进行肆虐的人也变得越来越狡猾……不仅仅包括黑客和窃贼，还包括那些合法使用者，他们有可能在偶然之中将重要文件删除，或者无意中进入无权访问的业务区。很多公司非常关注态度不满的员工、未经过培训的职工、非法用户及利用并危害信息系统和网络的行业间谍。
　　这些引起人们高度重视的威胁使很多公司忙于求助信息安全提供商，但却沦为他们的牺牲品，因为这些信息安全提供商只提供一维的解决方案。这种方法局限性很大，很多公司转而购买时髦、华而不实的技术解决方案（如防火墙），希望彻底解决安全问题。但是，此类技术只是解决方案的一部分，而安全必须从企业全局角度进行设计、实施和无缝管理（包括员工培训和安全服务方案），这样才能保证公司业务运行能够不断取得成功。
　　赛门铁克研究出的信息安全生命周期模型所提供的结构化方式，使公司机构能够评估、设计、实施和维护综合有效的全公司信息安全方案。

信息安全生命周期模型可以帮助公司机构完成以下任务：

识别最关键、最敏感的信息系统和网络。
确定并评估与这些系统和网络相关的风险。
澄清他们的安全目标。
制定一个信息安全计划蓝图以帮助实施计划。
实施针对整个企业的安全方案。
信息安全生命周期模型如何工作？

信息安全生命周期模型有7个构成部分：

安全策略、标准、过程、度量--这些要素为公司机构的信息安全方案提供了框架和衡量标准。
风险评估--风险评估是建立和维护有效企业安全管理的起点。这一评估使公司能够识别信息系统和软件种类，根据关键性和敏感性将这些系统排序，评估威胁，识别可以控制的易攻击点。
设计安全计划蓝图--制定安全计划蓝图时可以参考风险评估的结果。一份良好的计划蓝图可以帮助公司机构决定预算、资源、设备供应商、产品选择和实施策略的优先顺序，为实施安全提供结构化的解决之道。
选择并实施解决方案--结构合理的解决方案选择和实施方案可以减少购置的产品变成"架子上的装饰物"的可能性并确保选购恰当的产品、服务和培训，以实现企业的安全计划和目标。
开展培训-- 安全意识和技术培训极大地提高了成功的可能性。它们可以提供实施和维护安全计算环境所必须的知识。
安全控制--保证信息安全方案的有效性。监控检测公司机构主机或网络环境中的异常或入侵情况。
实现事件响应和恢复--有效的事件响应和恢复方案保证公司机构有效地对事件进行监测、响应、控制并恢复。
　　信息安全生命周期模型的关键就是：它可以通过定期的评估和方案改进而不断完善。
　　本指南接下来将详细讨论信息安全生命周期模型中各个组成部分，为您提供建议和服务以帮助您实施有效的信息安全方案。

安全策略、标准、过程和度量

　　信息安全生命周期安全策略、标准和过程方案
　　企业安全关键基础之一就是构成企业总体信息安全方案的综合策略。安全策略、过程和标准讲述对企业员工的要求和违法规定导致的结果。如果没有安全策略，企业面对安全事件、法律诉讼、关键及敏感数据的丢失时就显得毫无防备且束手无策。

　　赛门铁克的"信息安全生命周期安全策略、标准和过程方案"可以帮助您制定详细的安全策略和标准以及必要的具体措施以保护企业信息技术不会丢失、被窃取、损害或破坏。

综合、连贯一致的企业安全方案有很多好处：

向雇员和外部股东等人宣传企业整体信息安全理念和策略。
加强管理层和用户层的信息安全意识。
定义每个员工的信息安全责任。
为安全适当地使用公司的技术提供指导。
以整体形式而不是通过分散的解决方案来管理* 企业的安全措施。
通过消除重复或相互抵触的控制来达到节约资金的目的。
证明您的企业能够承担应负的责任，有信用，纪律严明。
为强制服从提供一个可依赖的机制。
提高在信息安全审查中的总体成绩。
　　"信息安全生命周期安全策略、标准和过程方案"定义了信息安全的目的, 企业内可接受的安全级别以及如何实施和维护安全。这一方案旨在制定现实可行、能够反映企业文化及其独一无二的业务目标的指导原则。

　　企业制定现实的安全策略、标准和过程方案，首先要鉴别自己的关键资产，确定可以接受的风险等级。公司股东应该为方案的制定提供帮助，方便公司高层管理机构传达观点、进行指导，使方案得到公司各层员工的全力支持。

赛门铁克的"信息安全生命周期安全策略、标准和过程方案"包括三个部分：

信息安全策略：解释信息安全在企业内为什么很必要。该策略反映公司机构的战略方向，阐述需要保护的常规领域以及公司信息安全的整体观念，概述了员工使用计算资源的行为规范及违反该策略的后果。策略必须具有现实性和可执行性，支持公司机构的业务目标和目的。公司机构所有的信息安全活动都要符合这些策略。
信息安全标准：阐述策略中每个局部区域所能接受的安全级别。这些标准根据公司环境中具体的技术、实施或机制确定合适的安全级别。标准还定义了信息技术的授权使用并罗列了要遵守的规定。
信息安全过程：阐述如何实施并监控信息安全所要达到的、如标准中所述的级别。过程直接根据标准制定，详细说明具体的执行步骤。

信息安全生命周期度量方案

　　现在很多公司机构无法将他们对安全控制和资源投资的收益量化。而安全管理员需要证明所安装的安全控制的有效性并识别保险中的漏洞。　　信息安全生命周期度量方案为帮助信息安全预算申请、优先分配资源、验证安全控制的有效性、识别缺点提供参考数据。精心制定的度量可以衡量企业机构信息安全方案的整体效果并跟踪信息安全改进举措。

"信息安全生命周期度量方案"有很多优势：

提供从您的安全方案中演化出的度量数据库，用于分析趋势和漏洞。
衡量信息安全生命周期方案的效果，将企业机构所进行的安全改进量化。
确定能满足您独特的业务需求、最有成效的安全解决方案。
帮助您有效地对预算和资源进行优先选择排序，以达到公司机构的信息安全目标。
为细化扩大的预算和资源需求提供有价值的信息，以符合企业机构的业务计划。
　　赛门铁克的"信息安全生命周期度量方案"为安全管理员和经理提供必要的信息，帮助他们在建立和维护安全计算环境时做出完善的业务决策。

总结

　　信息安全生命周期模型为设计、实施、维护和发展安全结构及方案提供了一个整体的框架，您组织的目标和目的。赛门铁克的信息安全生命周期方案确保企业机构能够从全面的角度而不是通过点解决方案来审视和实施信息安全。它堵上了组织的安全结构和方案中的可能会被盗用的缺口，从而确保您组织的信息安全方案在信息安全生命周期各个阶段里都能得到价格合理的优质服务。