信息系统安全解决方案4
信息系统安全解决方案
1 问题
1.1 概述
随着信息系统的网络化并日益服务于关键应用，信息系统安全已成为信息系统成功运行的基本前提，客户开始为信息安全大量投资，信息安全产品和服务也成为市场热点。

虽然信息安全市场已经连续5年高速成长，但是由于信息安全涉及的领域非常广泛，而且信息系统也在不断快速发展，整个信息安全行业正处于快速变化阶段，上千个供应商在各个产品和服务领域激烈竞争。

信息系统安全从复杂度上远比单纯的网络、服务器和基础应用要高，客户需要从包括安全规划、设计、产品选择、实施和运行管理等方面结合自己的实际情况进行综合的考虑。

企业信息系统安全中遇到的主要问题:
* 企业的安全风险评估。

* 企业的安全策略。

* 如何建立企业的安全体系。

* 产品选型和部署。

* 安全系统的运行和监控。

* 目标和预算之间的矛盾。

1.2 产品选择
面对市场上充斥的各种安全产品，如何正确的选择?
错误的选择产品，可能会导致如下的严重后果:
产品不能提供要求的功能。

产品不能提供要求的性能。

产品与现有系统存在严重的不兼容性。

产品运行不稳定。

产品的部署要求对信息系统进行大规模调整。

产品的易用性很差，以致于很难推广。

厂家不能提供及时的支持服务。

过高的采购价格或总拥有成本。

导致错误的选择产品的原因包括:
厂家不当的产品声明或隐瞒产品缺陷。

著名品牌下的低劣产品品质。

有的厂家出于完善产品线的目的，将收购的不同产品置于一个著名的品牌，实际上同一品牌下的不同产品品质差别很大。

错误或不完善的系统设计。

缺乏实际产品经验的技术人员通常会犯的错误，这些系统设计没有得到严格的审核。

捆绑销售的产品。

有的厂家为了推广其弱势产品而将其与强势产品捆绑销售，这些捆绑的产品并不满足实际的需要。

选用不成熟的技术和产品。

没有进行详细测试。

出于测试成本和测试条件的限制，很多厂家和客户都不愿意进行详细的功能、性能和兼容性测试。

过多关注价格而忽视产品的适用性。

2
我们认为，成功的企业信息系统安全体系应满足以下条件:
整体的安全风险评估和安全策略。

以上风险评估和策略应由企业管理层、业务部门和IT部门共同完成和制订，通常是原则性和框架性的规定。

与企业安全策略一致的动态安全体系，该安全体系能够适应变化的企业环境。

正确的安全体系运行和管理机制，保证安全体系的正常运行。

宏基恒信通过与众多国内外优秀的安全产品厂家密切合作，构建可以信赖的产品系列，为客户提供正确的选择;我们同时还提供包括信息安全系统的顾问、建设、运行维护在内的全面服务。

2.1 安全产品
以适用、可靠、易用为前提，提供包括网络安全、系统安全、
应用安全在内的安全产品，这些产品多年来在国内外获得大量客户的信赖，并赢得多个权威评测机构的推荐。

适用保证
产品的功能和性能满足客户的严格要求。

开放的产品架构与客户现有系统兼容。

不要求大量调整客户现有信息系统。

合理的价格和总拥有成本。

高可靠性
产品品质的高可靠性。

保证产品自身的安全性。

支持冗余配置的方案。

成功应用于已有客户的关键信息系统。

简单易用
快速的部署，部署过程不中断客户信息系统运行，部署时间最短10分钟，最长不超过3个月。

简单明晰的客户界面和操作指南。

对终端客户透明或仅需简单培训。

宏基恒信通过以下手段来保证产品提供以上的特性:
所有产品均经过逐项的适用性、可靠性和易用性测试。

所有产品均是成熟的已应用于关键信息系统的产品。

对所有项目进行产品适用性评估。

为客户选购提供现场测试支持。

快速备件供应和现场服务。

为代理商和客户提供专业的技术培训。

为客户提供在线的技术支持系统。

客户满意度调查。

可以选择的专业服务。

宏基恒信将提高客户满意度为产品线的主要目标。

随着信息系统环境的变化和安全技术的不断更新，产品线会不断更新和升级，为客户提供可靠的安全解决方案。

2.2 顾问服务
宏基恒信的顾问服务基于我们为多年来为大型客户提供的具体安全系统的实施和顾问经验，顾问服务包括如下内容:
安全风险评估
通过对业务和信息资产调查、威胁分析和弱点分析，编写风险评估报告。

报告内容包含关键应用及设施的当前安全风险分析和计算，可接受的风险水平，经常的风险评估过程。

安全策略制订
根据风险评估报告结果，制订的总体安全策略、专项安全策略和系统安全策略。

总体策略规范公司的总体安全流程、机构和职责;专项安全策略针对特定业务(服务)制订系统的安全目标、客户角色、审计方法、恢复计划和流程;系统安全策略针对具体的设备和系统制订安全措施(技术手段)、安全规则。

安全系统设计
根据风险分析报告和策略完成的安全系统设计，包含防病毒、防火墙、入侵检测、访问控制、安全审计(完整型检查、日志、弱点扫描)、备份和恢复、存储和通讯加密、安全运行中心(策略发布和管理、安全事件监视、故障处理)。

安全运行管理
制订运行管理规范，审查配置合理性，制订安全响应过程，应用系统、操作系统、网络设备的安全加固指南，漏洞(弱点)跟踪方法，补丁测试和升级流程。

2.3 建设服务
宏基恒信已成功的帮助包括金融、电信、能源、政府等行业客户建设其安全系统，这些安全系统为保护客户的关键业务发挥了重要作用。

我们的实施经验包括全国范围的防火墙/VPN、分布式入侵检测、企业防病毒、服务器安全审计、网络设备安全、企业级资源访问控制、综合安全管理等项目的实施。

宏基恒信的信息安全系统建设服务包括如下内容:
客户信息系统环境调查。

设计方案审核。

方案和产品测试。

实施方案(安装流程、配置参数手册、进度计划、测试和系统割接)制订。

项目实施和控制。

客户培训和系统交接。

2.4 运行维护
为了保证客户信息安全系统的可靠和有效运行，我们为客户提供可供选择的不同级别的运行维护服务:
产品升级服务。

通过宏基恒信购买的安全产品均能通过在线的客户专区及时下载经过测试验证的产品升级。

客户系统支持。

客户可以通过在线的客户支持系统获得及时的技术支持。

现场服务。

为紧急事件和关键系统提供要求的现场服务。

客户化服务。

宏基恒信可以帮助客户建立基于WEB的安全系统运行支持应用，并提供与其它第三方产品的集成服务。

2.5 收益
为客户的信息系统安全提供了有力的支持，客户可以根据需要选择某一款产品和服务。

由于我们将主要资源集中在产品选择和服务提供，seureIT是完全以客户为中心的开放解决方案。

选择解决方案，客户能够获得以下明显收益:
适用、可靠、易用的安全产品。

开放结构与其它产品和系统兼容。

被众多成功客户认可的成熟方案。

客户为中心的优化解决方案。

专业顾问、建设和维护服务。