您的位置: 网界网 > 周报全文 > 正文

[周报全文]解密“深度”安全服务

2007年07月24日 15:17:10 | 作者:吴鸿钟博士 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:深度服务加强了对用户应用的关注和了解,是对传统安全服务模式的一种深化。

标签
安全服务
 

【CNW.com.cn 专稿】深度服务加强了对用户应用的关注和了解,是对传统安全服务模式的一种深化。

关注深度服务

当前信息安全有三个发展特点:第一个特点是信息技术与信息安全技术的强烈耦合;第二个特点是安全和服务的融合,也就是“安全服务化”。第三个特点是信息安全技术在实现上与业务紧密结合在一起。从这三个特点不难看出,信息安全已经不再是传统的单一安全的概念,其中最热门的安全服务,其内容本身已经发生了深刻变化。

笔者认为,当前用户对安全的关注越来越聚焦到应用,应用成为用户唯一真正能够掌握的资源。当网络安全这种“筑高墙”的战略在实践中越来越受到挑战的时候,以应用驱动为目的的“深度服务”是解决当前新形式下安全问题的一种新方法。

目前,深度服务规范规定了全生命周期的安全服务,它包括系统建设的规划阶段、确定需求阶段、设计阶段、实施阶段、支持阶段和废弃阶段。这些阶段都涵盖在工程过程、保障过程和风险管理过程中,每一个阶段都会有相应的安全服务活动。

可实现的模型

根据前面描述的服务流程、安全服务内容,同时结合等级保护制度,一套信息系统全生命周期的深度安全服务至少要包括以下几个方面:

等级保护专家咨询服务

结合国家相关政策,根据企业、单位和部门的实际网络和应用,提供等级保护政策咨询、不同等级间互联方案、等级保护技术措施和管理测评认证等方面的专家咨询服务。

等级保护下的风险评估服务

等级保护下的风险评估包括三个子服务:第一,信息系统的资产分析与统计;第二,信息系统的威胁分析,包括对各种物理的、网络的、介质的、管理和运行中的威胁的分析;第三,信息系统的脆弱性分析与漏洞扫描。

等级化的安全保障体系设计服务

根据信息系统安全等级保护制度(信息系统分层、分级、分域)、IATF(信息保障技术框架)、ISSE(信息系统安全工程)和PDCA(计划、实施、检测、响应)管理过程等标准和规范,定制一整套等级化信息安全保障体系。

等级化的安全策略体系服务

根据企业的安全现状和安全目标,制订等级化安全策略、技术规范、安全管理制度、安全操作流程等标准规范文件(+微信关注网络世界),并设计相应的等级化安全策略实施方案。

深度服务的特色

从流程上看,深度服务和传统安全服务的区别是:

第一,在资产调研前增加了工作流和信息流的调研。深度服务以应用为驱动,而应用最核心的内容是业务的流向和信息的流向。在信息调研的基础上,才能确定信息的敏感属性;在业务流的分析基础上,才能解决网络的传输安全问题。

第二,风险分析或风险评估将漏洞扫描作为其基本的服务形式,漏洞扫描利用工具对系统的脆弱性进行了识别,是一种定量的分析方法;而风险分析的方法从总体上看是一种将定性的分析方法。定性和定量的有机结合,是深度服务的亮点。

第三,安全系统建设将安全加固作为其中的一个典型内容,这在传统的信息安全建设中是没有的。(本文作者为卫士通公司副总工程师)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]