返回首页 | 联系我们 | 友情链接
信息安全发展历程 一般风险管理模型 风险评估模型和方法            
信息安全三观论
    单一的各自为营的安全建设和安全服务具有阶段性的局限性,而通过工具或者宏观平台的解决方案可以通过整合为机构带来很多收益。风险管理、IT治理(IT资产管理)各个关键服务中的关系要素与平台可以达到互补。
    信息安全服务的对象和所处在信息安全建设中的阶段,往往与机构的相关岗位和职能紧密相关。安全服务的需求来源也与各个不同层面的岗位和岗位职能密不可分,用三关论就可以清晰地分析出不同层面的安全需求和安全目标。
    三观安全包括:微观安全、宏观安全和中观安全。



    三观安全的一个典型模型就是上图的执行模型。上面的执行模型分为底层的实现层,体现为安全部件,即安全产品和规范化的安全服务;中间的运营层,体现为对于安全产品的集成管理和各种安全任务的流程管理,安全管理系统就位于中间层;顶层的决策层,包括决策支持、残余风险确认,以及顶尖上的“使命”。
    任何安全系统、安全项目、安全工作都要在三个层次体现和实现:都要上传到决策层,以确保决策层的支持和指导,并且能够保证对于机构真正使命的支撑和达成;都要下达到实现层,以确保所有问题都落实得非常具体,达成安全要求;而且还要通过运营层,协调、控制、反馈、管理实现层的安全要素,已达成决策层的安全使命和决策。
    从微观到中观是一个协调管理的过程。从中观到宏观是一个总体监控的过程。从宏观到中观是一个全局指导的过程,从中观到微观是一个控制和配置的过程。
    我国信息安全领域的认识和发展过程是一个从微观安全起步,比如加密、防病毒、防火墙等;逐步认识到宏观安全的重要,希望了解全面地安全状况而开展风险评估;进而认识到安全执行的重要性,开始考虑安全运营系统、集中式的安全监控平台,以及和其他IT系统的综合集成等问题;最终全面地认识从微观、中观到宏观三方面的重要性。
    因此,各阶段各层级的安全建设和安全服务之间需要一个纽带,需要承上启下的将从宏观到微观荣到一个体系中,那么信息安全平台就是扮演了中观纽带式的角色,有力补充了服务循环的实体化要求。
应用为本,开放融合

    随着信息网络技术应用的飞速发展,互联网应用越来越复杂,基于网络的业务活动的发展以及全球紧急一体化进程的加快,计算机信息网络系统的安全问题也日益增多。为了解决分布在网络中的各种安全问题,我们逐步建立起来不同的安全系统,比如防病毒系统、防火墙系统、入侵检测系统等,然而,随着安全系统建设越来越大,安全防范技术越来越复杂,也出现了相应的问题:首先是安全产品部署越多,需要的安全管理人员就越多,由于人员编制的原因使安全问题无法完整和深入的解决。其次是安全产品相对独立的部署方式使各个设备独立配置、各个引擎独立的事件报警,难以形成全局的安全风险监控,安全策略和配置难于统一协调。再次是与安全相关的数据量越来越大,难以对海量数据集中储存和分析处理,从大量的、孤立的单条事件中无法准确的发现全局性的、整体的安全威胁行为。最后是难以实现全局的统一的网络安全设备综合监控、预警和安全响应处理等等。

    因此,传统的信息安全系统的运行方式成为许多安全隐患形成的根源,信息安全应该是一个多层次、多因素、综合的动态过程,要求对信息系统和组织体系进行综合思考和统一规划,需要一种新的运行方式,能将不同位置、不同安全系统中分散且海量的单一安全时间进行汇总,统一规范和分析处理,从全局的角度分析安全问题,体现安全风险状况,并形成有效的安全事件处理决策,制订统一的处理流程规范,对安全事件进行统一响应和处理。

· 注重人与风险管理:企业安全培训不是鸡肋
· 2011中国SOC安全管理平台市场应用现状报告
· 税务系统安全管理平台建设需求分析与总体设计
实践等级保护 加强风险管理
摘要:本文在简要介绍信息系统风险监控与
等级保护平台建设的相关背景和目标之后,
重点描述了平台的特点以及建设成效。该平
台是“可知 - 可识 - 可知识”这一风险管
理方法论的最佳实践,同时也是等级保护平
台化、工具化的重要尝试。
关键词:信息系统 等级保护 风险管理
资产 平台
建设背景
· 国家政策的要求
· 中国长城资产管理公司的需要
建设目标
· 总体目标
· 具体目标
系统特点
· IP资产与业务域管理
· 信息安全事件管理
· IP资产脆弱性管理
· 信息安全风险监控
· 用户与权限管理
· 信息安全知识库管理
建设成效
· 平台实现的功能在很大程度上满足了等级保护3级基本要求
· 平台进行风险管理的过程和结果是“可知-可识-可知识”风险
管理方法论的最佳实践
结论
查看更多
信息安全发展历程 More...
· 信息安全服务:完美安全的必备要素
· 智能检测系统更快发现APT攻击
· 启明星辰解读电信运营商数据防泄密
· 苦练SOC“基本功”启明星辰九年磨一剑
· 安全产生价值 启明星辰网络安全专家谈移动互联网安全
· 从安全基线工具到安全服务启明星辰全力打造安全检查与服务解决方...
· 国内安全管理平台市场回顾与2011年趋势展望
· 启明星辰继续保持IDS/IPS、UTM、SOC市场份额第一
· 园区网内部安全隐患主要存在于终端
· 国内外主流信息安全标准体系
· 信息对抗理论与技术现状及发展
· RSA大会的“产业中国风”
· 启明星辰被认定为信息安全首家“国家认定企业技术中心”
· 从管理的角度思考内网安全系统的部署
信息安全保障的平台化趋势 More...
· 信息安全保障的平台化趋势
· 启明星辰第一时间提供Duqu病毒防护方案
· 防火墙技术
· 阶段性安全服务
· 防病毒
· PKI/CA
· 入侵检测系统
· 统一威胁管理系统(UTM)
· 漏洞扫描
· 终端安全管理
· 部件类产品的平台化整合
标准发展的平台化要求 More...
· ISO-17799/BS 7799信息安全管理体系
· CC–ISO15408和GB/T18336信息技术安全性评估准则
· ISO-13335 IT 安全管理指南
· ISO/IEC 21827:2002(SSE-CMM)
· ITIL和BS15000
· AS/NZS 4360风险管理
一般风险管理模型 More...
· ISO13335的风险管理模型
· AS4360的风险管理模型
风险评估模型和方法 More...
· 风险评估要素关系模型
· 风险评估过程和准备
· 风险评估的地位和意义
· 风险等级评价
· 做好风险评估,提升银行风险管理能力
· 风险管理过程模型
· 信息安全风险评估的作用范围
· 风险评估方法
· 评估工具
· 综合风险评估与管理工具
· 风险评估模型和方法概述
· 风险因素识别及程度分析
泰合安全运营中心技术介绍 More...
· 启明星辰安全管理平台连续四年位居国内市场第一
· 安全管理平台不等于SOC!
· 国内安全管理平台的未来技术发展趋势
· 51CTO交流摘录——SOC的定义
· 泰合安全管理平台产品功能
· 税务信息系统建设安全管理平台的研究与实践系列文章之三——建设...
· 启明星辰泰合安全管理平台通过国内最高级别安全测评
· 启明星辰泰合SOC安全管理平台为中央政府采购提供优质产品和服务
· 泰合安全运营中心典型部署
· 启明星辰泰合SOC入选“北京市自主创新产品”名录
· 启明星辰助力内蒙信息安全建设
· 启明星辰TSOC为烟草用户构建安全管理平台
· 泰合安全运营中心服务支持
· 泰合安全运营中心功能特色
· 启明星辰泰合信息安全运营中心介绍
信息安全管理相关文摘 More...
· 合规性管理简介
· 指标体系的平台技术实现
· 巴塞尔协议
· SOX法案
· 等级保护
运筹帷幄决胜千里_SOC在金融系统的应用
----浅谈金融行业统一安全管理平台建设
金融行业涉及国计民生和国家安全,必须建立在安全基础之上。随着金融行业信息化的发展,业务系统对信息系统的依赖程度也越来越高,信息系统安全已经成为关系到银行业务能否顺利开展的重要因素。

金融领域的科技工作已经经历了网络建设、数据大集中、网络安全基础设施建设等阶段,进入了体系化信息安全管理的阶段,需要建立一套金融组织信息安全保障体系,有效的防范和化解安全风险,统一安全问题处理规范和流程,增强金融系统的信息安全整体防范能力,以保证金融组织的信息系统平稳以及各项业务的持续开展。
中国国家信息中心 More...
需求背景
政府作为国家的职能机关,其信息系统安
全跟国家安全紧密结合在一起。信息的可
用性、可控性尤为重要。近年随着国内电
子政务的蓬勃发展,政府上网前期高潮,
政务公开、资源贡献、网上公文等是政府信息化的必然趋势,这样就不可避免的会设涉及到信息安全的问题。政府网络一般是为各级政府机关单位建立的统一的计算机信息网络,提供包括数据、视频、语音、多媒体通讯、数据共享、安全防护等多种功能,满足各直隶属组织的机要通信和电子办公的要求。
返回首页 | 关于我们 | 联系我们 | 友情链接 启明星辰 版权所有 未经许可 请勿转载 京ICP证05032414