安全(启明星辰产品)解决方案.doc

安全(启明星辰产品)解决方案.doc安全解决方案的使命就是在先进的理念与方法论的指导下,综合运用安全技术、产品、工具,提供客户化的服务,全面系统地解决客户面临的安全问题。 1. 理念与方法论理念与方法论主要关注如何将各种安全要素有效地配合来满足安全需求。一个解决方案中最核心的部分是解决方案所基于的理念与方法论, 它好比解决方案的神经中枢。尤其是对那些看起来相似的安全需求, 基于不同的理念与方法论会得到大相径庭的安全解决方案。良好安全理念和方法论力图挖掘和把握信息安全的本质规律,以便为客户提供可行的,易实施的安全解决方案。 2. 需求获取客户的安全需求是整个解决方案的起源和持续的推动力。没有对客户本身、客户的行业、客户的业务、客户系统的安全需求做详细和准确的分析之前, 不可能得到切合实际的解决方案。在需求分析过程中,会采用多种需求分析方法。比如, BDH 方法,就是从业务、分布、层次等三个方向进行分解, 同时考虑业务分解后的各要素之间的内在联系, 力求完整而准确地获取客户的安全需求。 3. 安全措施安全措施是解决方案中具体的方法、技术、服务和产品等的集合,但又不是简单的堆砌。一个解决方案除了要有正确的安全理念和方法作为基础, 全面、清晰地把握客户安全需求之外, 还要对可用的各种安全措施( 产品与服务) 的特点有准确的了解和把握,深刻理解各种措施之间的内在联系,取长补短,充分发挥服务和产品的特性,最终提供有效的实施方案。 4. 安全实现安全实现是解决方案的最后一步。所谓“行百里者半九十”,优秀的安全解决方案必须通过完美地实现才能真正生效,满足客户的安全需求。在努力完善理念和方法论的同时,要注重安全实现与执行。从项目管理、质量保障等方面全面加强。二、解决方案指导思路三观安全包括:微观安全、宏观安全和中观安全。三观安全的一个典型模型就是上图的执行模型。上面的执行模型分为底层的实现层, 体现为安全部件, 即安全产品和规范化的安全服务; 中间的运营层, 体现为对于安全产品的集成管理和各种安全任务的流程管理; 顶层的决策层, 包括决策支持、残余风险确认,以及顶尖上的“使命”。任何安全系统、安全项目、安全工作都要在三个层次体现和实现:都要上传到决策层,以确保决策层的支持和指导,并且能够保证对于机构真正使命的支撑和达成; 都要下达到实现层, 以确保所有问题都落实得非常具体, 达成安全要求; 而且还要通过运营层, 协调、控制、反馈、管理实现层的安全要素, 已达成决策层的安全使命和决策。从微观到中观是一个协调管理的过程。从中观到宏观是一个总体监控的过程。从宏观到中观是一个全局指导的过程,从中观到微观是一个控制和配置的过程. 事实上,同一安全要素可能同时包括了微观、中观、宏观三个层次的内容。例如安全策略中, 执行流程是微观的内容, 规范是中观的内容, 而安全策略的基本方针则是宏观的内容。三、电信运营商网络安全需求分析目前影响电信运营商的主要安全事件主要表现为: 全网爆发性的蠕虫和病毒对于全网的拒绝服务攻击对于支撑网和 OA 网的入侵软硬件设备的故障导致系统重大灾难从技术层面来看,运营商最关注的安全属性可以归结为: 在设计电信运营商网络安全系统的过程中,都充分考虑各项措施对于上面安全目标属性的直接和间接支撑。力图将安全的能力侧重在这些重要的点上。同时,未来的安全建设也要持续考虑上面的目标属性要求,而且还要不断检