信息安全合规监测解决方案.doc

. .
. 息系统平安。〞
?信息平安产业“十二五〞开展规划?重点开展工作指出：“重点开展系统及网络脆弱性评估工具、平安配置核查类工具、信息平安等级保护支撑工具、信息系统风险评估工具、信息平安技术与产品的标准符合性评估工具，以及其他信息平安管理与效劳支撑工具产品。〞，并明确指出“网络与信息平安配置监测技术〞为重点开展的关键信息平安技术。
信息平安合规监测技术研究
信息系统平安开展趋势
随着信息化的开展，业务人员的平安意识和平安技能也在逐步提高。最直接的表达为：传统以平安事件和新兴平安技术为主要驱动的平安建立模式，已经逐渐演进为以业务平安需求为驱动的主动式平安建立模式。
从安开展动态来分析，NIST推出了一套SCAP框架来促进平安建立的执行，SCAP是一种用开放性标准实现自动化脆弱性管理、衡量和策略符合性评估的方法。SCAP结合了一系列用来枚举软件缺陷和平安配置问题的开放性标准，SCAP利用这些标准衡量系统以寻找系统的脆弱性，并通过自动化的工具来进展检查和评估。此框架和工具在美国得到大量的应用和高度评价。
. .
. .word.
国际法中将陆地和海洋进展划分的分界限被称为基线〔Baseline〕。随着计算机的开展，基线被引入计算机领域，并将其定义为操作系统某一时期的配置的标准。微软将基线的概念引入操作系统平安防护，建立微软平安防护体系，详细描述了实现平安运行的相关配置设置，微软平安防护体系中平安基线的元素包括：
① 效劳和应用程序设置。例如：只有指定用户才有权启动效劳或运行应用程序。
② 操作系统组件的配置。例如：Internet信息效劳〔IIS〕自带的所有样本文件必须从计算机上删除。
③ 权限和权利分配。例如：只有管理员才有权更改操作系统文件。
④ 管理规那么。例如：计算机上的administrator密码每30天换一次。
传统基于网络的防护虽依然是根底，但关注点逐渐转向对于数据内容、应用本身、用户身份和行为平安的管理。日益增长的IT资产数量，无论硬件设施还是各类软件，高效平安的管理已成为大型企业关注的话题。企业多年来的平安投资，是否产生了价值？这使企业开场考虑如何正确了解和评价企业平安风险，以及衡量平安工作成效的标准，并更加关注平安的监控和综合性分析的价值。威胁的不断开展变化，使企业认识到平安投入的长期性，同时也更愿意获得在节约投资、加强主动性防御的平安建立方面的借鉴。以技术平台支撑的合规管理工作正在越来越受到重视。
随着信息技术的快速开展和广泛应用，根底信息网络和重要信息系统平安、信息资源平安以及个人信息平安等问题与日俱增，应用平安日益受到关注，?信息平安产业“十二五〞开展规划?明确提出主动防御技术成为信息平安技术开展的重点，信息平安产品与效劳演化为多技术、多产品、多功能的融合，多层次、全方位、全网络的立体监测和综合防御趋势不断加强，信息平安开展趋势朝系统化、网络化、智能化、效劳化方向开展。。
. .
. .word.
①、向系统化、主动防御方向开展
信息平安保障逐步由传统的被动防护转向“监测-响应式〞的主动防御，信息平安技术正朝着构建完整、联动、可信、快速响应的综合防护防御系统方向开展。
②、向网络化、智能化方向开展
计算机技术的重心从计算机转向互联网，互联网正在逐步成为软件开发、部署、运行和效劳的平台，对高效防X和综合治理的要求日益提高，信息平安向网络化、智能化方向开展。
③、向效劳化方向开展
信息平安产业构造正从技术、产品主导向技术、产品、效劳并重调整，平安效劳逐步成为信息平安产业开展重点。
平安合规技术研究
平安基线标准
充分依据信息平安技术体系和管理体系，借鉴ISO27002、ISO-20000、SOX、等级保护等技术和管理标准内容，创新