信息安全不仅是产品的叠加!
长久以来,很多人自觉不自觉地都会陷入技术决定一切的误区当中,尤其是那些出身信息技术行业的管理者和操作者。最早的时候,人们把信息安全的希望寄托在加密技术上面,认为一经加密,什么安全问题都可以解决。随着互连网络的发展,一段时期我们又常听到“防火墙决定一切”的论调。及至更多安全问题的涌现,入侵检测、PKI、VPN等新的技术应用被接二连三地提了出来,但无论怎么变化,还是离不开技术统领信息安全的路子。可这样的思路能够真正解决安全问题吗?也许可以解决一部分,但却解决不了根本。
之所以有这样的认识误区,原因是多方面的,大多数信息安全管理者都认为信息安全都是以技术和产品为核心的。而从客户角度来看,只有产品是有形的,是看得见摸得着的,对决策投资来说,这是至关重要的一点,而信息安全的其他方面,比如无形的管理过程,自然是遭致忽略。
正是因为有这样的错误认识,我们就经常看到:许多组织使用了防火墙、IDS、安全扫描等设备,但却没有制定一套以安全策略为核心的管理措施,致使安全技术和产品的运用非常混乱,不能做到长期有效和更新。即使组织制定有安全策略,却没有通过有效的实施和监督机制去执行,使得策略空有其文成了摆设而未见效果。
实际上对待技术和管理的关系应该有充分理性的认识:技术是实现安全目标的手段,管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个过程,是实现信息安全目标的必由之路。
在现实的信息安全管理决策当中,必须关注以下几点:
- 应该制定信息安全方针和多层次的安全策略,以便为各项信息安全管理活动提供指引和支持;
- 应该通过风险评估来充分发掘组织真实的信息安全需求;
- 应该遵循预防为主的理念;
- 应该加强人员安全意识和教育;
- 管理层应该足够重视并提供切实有效的支持;
- 应该持有动态管理、持续改进的思想;
- 应该以业务持续发展为目标,达成信息安全控制的力度、使用的便利性以及成本投入之间的平衡。
信息安全是一个管理过程。实际上,对安全技术和产品的选择运用,这只是信息安全实践活动中的一部分,只是实现安全需求的手段而已。信息安全更广泛的内容,还包括制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底,信息安全并不是技术过程,而是管理过程。
基于以上种种原因,深圳市汇安科技有限公司作为专业安全服务提供商,不仅仅局限于安全产品的提供,更专注于提供专业的安全咨询服务,深圳市汇安科技有限公司在国内率先推出了系统安全服务,解决了日常运营维护中的系统安全问题对网络建设者和运营商的困扰。
深圳市汇安科技有限公司认为:网络安全并不是按照说明书安装几个流行的网络安全产品就能解决问题的。它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略以及其他多种安全服务。
安全服务模型:深圳市汇安科技有限公司提出一种全新的信息安全建设思路,即遵循P-PADIS-T 模型(可以简称为PPT 模型)的信息安全服务体系,该服务体系汲取了PDCA、IATF、SSE-CMM等信息安全建设方法的精髓,直接针对的是已经建立了的P-POT-PDRR 信息安全体系模型,其最大的特点就是将管理和工程过程的思想很好地体现到信息安全建设中去。与可参考的其他标准方法相比,P-PADIS-T 更全面更具体更直观,也更具有可操作性。
这里,P-PADIS-T 分别代表的是Policy(策略)、Preparation(准备)、Assessment(评估)、Design(设计)、Implement(实施)、Support(支持)和Training(培训)的首字母缩写,中心思想就是:以安全策略为核心,以准备、评估、设计、实施和支持等环节的阶段性服务活动为途径,以培训为保障的完整的信息安全服务解决方案。
汇安科技信息安全服务体系模型
服务内容:目前深圳市汇安科技有限公司针对客户需求以及实际情况,提供如下专业安全服务:
安全策略服务Policy(策略)
安全评估服务Assessment(评估)
安全集成服务Design(设计)
安全运维服务Implement(实施)
- 安全巡检和审计服务
- 补丁管理和防病毒管理服务
- 安全响应服务
- 安全预警服务
- 安全扫描服务
- 安全加固和系统优化服务
- 安全事件取证服务
- 设备优化服务
- 日志分析服务
- 网络管理服务
安全咨询服务Support(支持)
- 日常安全咨询服务
- 安全方案设计服务
- 系统安全设计咨询服务
安全培训服务Training(培训)
|
