篇一:什么是信息安全服务
信息安全服务
目录 什么是信息安全服务
信息安全服务的作用
选择信息安全服务的基本的法则
对信息安全服务商的基本要求
信息安全服务商的面临的问题
我国信息安全服务的重点发展方向
什么是信息安全服务
信息安全服务的作用
选择信息安全服务的基本的法则
对信息安全服务商的基本要求
信息安全服务商的面临的问题
我国信息安全服务的重点发展方向
展开
编辑本段什么是信息安全服务
信息安全服务是指适应整个安全管理的需要,为企业、政府提供全面或部分信息安全解决方案的服务。信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施。
编辑本段信息安全服务的作用
目前,国内政府和企业中信息安全建设多处在较初级的阶段,缺乏信息安全的合理规划,也普遍缺乏相应的安全管理机制,这些问题受到整体管理水平和信息化水平的限制,在短期内很难根本改变。当前国内的信息安全服务商纷纷提出了自己的安全服务体系,一般都包括信息安全评估、加固、运维、教育、风险管理等。这些西方背景的先进的理念在吸引用户的同时,给用户造成了很大的迷茫,很多用户购买安全服务的直接动机是应付当前的安全事件、满足管理层的意志或减轻来自内外的舆论压力,服务形式内容和现实需求之间存在较大落差。
必须承认当前信息安全服务对用户的帮助主要在技术方面,对管理的影响是有限的。用户普遍遇到的最大问题是自身资源不足,实际是“安全管理员”的缺位,其次是对基本管理体系探索的需求。从用户的角度来看,信息安全服务能带来的实际好处包括:弥补用户人力的不足,弥补用户技术的不足,弥补用户信息的不足,弥补用户管理思想的不足。这些服务内
容主要通过服务团队特别是一线人员传递到用户的手中,服务人员的技术技能和态度将直接决定用户的收益。
编辑本段选择信息安全服务的基本的法则
1、谨慎选择厂商和服务内容
用户在选择服务商的时候,遇到的困惑之一是服务厂商的服务内容的同质化,市场排名或成本因素往往成了选择的主要标准,这是不理性的。真正重要因素是服务商的安全现状和安全目标的理解和认可程度,并能否针对性地提出合理的服务内容和方案;服务人员的技能考察非常重要,取得安全服务资格的厂商并不一定能具有真正的服务能力,用户方的负责人员和实际服务人员的深入交流一般会提供鉴别的依据;服务商的服务管理能力和信用等也是考察的要点。
2、引导与监控安全服务进程
在安全服务的实施过程中,需要用户的积极参与。虽然在服务契约签订时,双方已经初步确定了服务的内容和目标,但这些内容和目标往往是抽象的,高素质的服务人员会依此主动发现问题,提供合理的建议,普通服务人员常常不具备这种能力。但无论哪种情况,用户的引导和监控都是必要的,服务商对用户的信息系统的认识程度是有限的,能够介入的范围也很狭窄,用户应当用需求或目标来引导和监控服务的实施,甩手掌柜式的用户会导致安全服务的效力无法发挥和自身能力的停滞。
3、善于放大安全服务的效力
信息安全服务是一项借用外脑的活动,一般用户更情愿在软硬件系统的购买上投入资金,却对安全服务比较质疑,原因是认为服务既是无形的,又不创造经济效益。其实,用户是可以将安全服务的效力放大的,如果仅把安全服务看作是仅对it部门的服务,那效力就仅限于一个部门,如果为更大的范围服务,就会取得更大的效力,如安全预警。另外创造性的服务也可带来经济上的效益,一个合理的安全建设方案可能会带来实际的成本的节约,一个安全管理的认可,可能会带来企业形象的提升,甚至一项安全增值业务可能会带来直接的收益。
编辑本段对信息安全服务商的基本要求
信息安全的特点决定了对信息安全服务商有较高的要求,我们将之分为管理要求、技术要求和高级要求,其中管理原则和技术原则主要基于实践应急反应层面,高级要求主要针对安全管理、安全策略和发展层面。 管理要求
* 信息安全要求建立一个24小时不间断反应。
* 能够建立一个针对不同攻击的正确行动方案。
* 能够保证及时、快速反应系统。
* 能够提供规范和详细的对自身和对客户培训体系。
* 、贴近被服务体系和对客户零干扰目标。
技术要求
* 拥有一定的监控技术,能够方便、简单、易操作地安装到所有接入设备和系统中。
* 监控设备不会影响和干扰已有的安全设备和软件的正常使用性能,并且不会引入新的安全隐患。
* 监控设备应当具有升级能力,并且能够进行方便的升级。 * 具有监控数据分析与处理技术。
* 具有知识库或专家库支持应急事件决策技术。
* 具有系统容灾与恢复的技术。
高级要求
* 先进原则:全面掌握和紧跟国际先进的信息安全管理和技术并有一套体系贯彻到服务系统中。
* 全面原则:掌握了全国的国内信息安全的标准和政策并有足够力度体现到服务体系中。
* 高手原则:有掌握最新的信息安全实践技术和防范技术,遇到特发情况能够解决问题的高手或专家存在。
* 团队原则:团队有明确分工和侧重点,基本人员全部掌握一般的服务方法和解决普遍性问题。
编辑本段信息安全服务商的面临的问题
国内每个信息服务商都有自己的生存方式,站在用户的角度考虑,认为有两个问题不能回避:
1、服务能力建设。
安全服务的根本意义在于帮助用户以较低的成本实现高效的信息安全体系。缺乏具有合格技能和创造性的队伍,这是信息安全服务面临的最大问题。虽然安全服务这个市场的坚冰已经撬动,但对安全服务的评价仍在进行中。大量的服务项目在照搬概念、教条式地开展,服务人员不能发现、解决用户的实际问题,更不说为用户提供个性化的服务。在安全服务行业刚刚萌芽之际,遭遇用户的集体遗弃将会是致命的。
2、观念更新。
信息安全服务商如果要赢得用户的认可,就必须具备两个基本观念:一个是信息安全是为信息化服务的,不能离开对用户信息化脉搏的把握。从“安全就是防火墙”,到“安全三大件”,到“三分技术七分管理”用户和服务商都在思索信息安全建设的途径。因为“提升安全管理水平”似
乎在中国实行困难后,安全服务惨淡的困守在网络安全、主机安全这两个孤岛上,随着信息化基础设施的渐入尾声,这两个领域能为用户带来的价值日渐式微。应用的安全日益成为用户关注的重点,身份认证、信息防扩散、电子签章、电子交易等成为一个个热点领域,安全服务商需要革新观念,将服务进一步专业化和细化,才能在有所作为,打破目前安全服务市场的同质化局面。另一个基本观念是每个用户的安全需求是个性化的,没有放之四海皆准的定律,经验的积累和再利用是必要的,但必须创造性地使用。
编辑本段我国信息安全服务的重点发展方向
通过对国家标准、政策法规的研究与知识的积累;通过对各行业特点及业务流程特点的研究及工程经验的总结分析;通过对新技术的研究与运用;通过对市场发展动态的统计分析,预计我国未来安全服务市场将会有广阔的发展前景。与此同时,通过对安全服务市场发展趋动因素的分析,安全服务体系将包括安全咨询、等级测评、风险评估、安全审计、运维管理、安全培训等几个重点方向,用户更需要的是有针对性的、个性化的、模块化的、可供用户任意选择的、周全的安全服务体系。
安全咨询服务
安全咨询服务的发展趋势将向行业化的方向发展,针对性更强,咨询服务内容更细。具体会体现在政府、银行、企业等几个重点领域。咨询服务的内容将以行业特点为核心,从技术、运维、管理、策略等方面提供具有针对性的安全技术与管理咨询服务。
例如:针对企业提供信息安全管理体系ISMS建设咨询、IT服务管理体系ITSM建设咨询与企业IT内审咨询;针对国家政府信息化建设提供等级保护建设相关咨询服务,包括政务系统定级、系统规划、系统建设及运维管理的咨询等。
等级测评服务
针对国家政务信息系统的等级测评服务将会向自动化的方向快速发展。利用新技术开发自动化的等级测评工具,以降低测评难度、加快测评速度、提高测评准确性。利用自动化的专业等级测评系统对政务信息系统进行等级测评是未来技术的发展方向也是等级测评服务的发展方向。 风险评估服务
风险评估服务可帮助用户了解自身网络信息系统的安全状况:通过资产重要性分析明确需要重点保护的资产信息;通过系统弱点分析、威胁分析、安全措施的有效性分析确定各项资产所面临的真实安全威胁问题。
由于风险评估的流程复杂、技术难度大、历时久、周期长等问题,严重困扰着行业用户风险评估工作的实施。因此,开展针对性强、自动化、模块化的风险评估工具是未来风险评估服务发展的主要方向。它可以降低风险评估的难度,提升风险评估的效率,保障风险评估的准确性,更便于用户实施网络信息系统的自评估工作,降低风险管理成本。
安全审计服务
安全审计服务将严格以安全政策或标准为基础,用于测定现行保护措施整体状况,同时检验是否妥善执行现有的保护措施。安全审计的目的在于了解现有环境是否已根据既定的安全策略得到妥善的保护。安全审计服务可能使用安全审计工具和不同的审核手段,以找出安全问题漏洞,因此安全审计需要多种技术作为支持。安全审计是需要反复进行的检查程序,以确保适当的安全措施已切实执行。因此,安全审计的进行次数会比安全风险评估的周期性更强,是风险评估服务的有效补充。
信息系统安全审计服务可协助用户确保系统安全策略运行在有效控制措施之下。从技术、管理和人员等多个方面,帮助客户加强内部控制,建立合规性机制,应对合规性审查,预计安全审计服务是未来信息安全服务行业发展的重点方向。
运维管理服务
应急响应是运维管理中的典型服务之一,可有效降低用户因突发安全事件造成的损失,可有效帮助用户及时准确定位安全事件并对安全事件进行处置,降低用户损失。应急响应主要针对突发的网络故障、病毒爆发、网络入侵、主机故障、软件故障等事件。目前,运维管理服务已逐渐将应急响应和系统维护、安全加固、安全检查等工作融为一体。
运维管理服务将保持快速增长的发展态势,2005年市场整体规模已达到23.32亿元。运维管理服务已成为推动市场增长的强劲动力。2005-2009年,中国运维管理服务市场的年均复合增长率将达到20.3%。2009年的整体市场规模将接近80亿元。针对广阔的市场前景,驻地安全运维服务、周期性巡检服务、渗透评估服务、安全加固服务将成为安全运维管理服务的重点方向。
安全培训服务
随着信息安全行业的发展,越来越多的企业开始注重企业员工的安全意识培训与网络运维服务人员的安全技术培训。据相关报告,我国74.9%的企业把“信息化人才培训”列为工作重点,企业在实施安全解决方案的同时,其中的一个重点将是帮助企业培训员工树立必要的安全观念。安全培训可使企业员工提高安全意识,增强安全技能与突发安全事件的应对能
篇二:安全服务与安全机制
安全服务与安全机制
摘要:安全服务是指计算机网络提供的安全防护措施。国际标准化组织(ISO)定义了以下
几种基本的安全服务:认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。
安全机制是用来实施安全服务的机制。安全机制既可以是具体的、特定的,也可以是通用的。主要的安全机制有以下几种:加密机制、数字签名机制、访问控制机制、数据完整性机制、认证交换机制、流量填充机制、路由控制机制和公证机制等。
引言:现在是信息化社会,越来越多的用到各种电子产品,这不可避免的涉及到安全问题。
而安全产品的的生产要有一些规范以及标准,于是了解一些安全服务以及安全机制就显得尤为必要。下文针对安全服务与安全机制进行了一些探讨。
正文:
一、 安全服务:
安全服务是指计算机网络提供的安全防护措施。国际标准化组织(ISO)定义了以下几种基本的安全服务:认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。 1、认证服务
确保某个实体身份的可靠性,可分为两种类型。一种类型是认证实体本身的身份,确保其真实性,称为实体认证。实体的身份一旦获得确认就可以和访问控 制表中的权限关联起来,决定是否有权进行访问。口令认证是实体认证中—种最常见的方式。另一种认证是证明某个信息是否来自于某个特定的实体,这种认证叫做 数据源认证。数据签名技术就是一例。 2、访问控制
访问控制的目标是防止对任何资源的非授权访问,确保只有经过授权的实体才能访问受保护的资源。
3、数据机密性服务
数据机密性服务确保只有经过授权的实体才能理解受保护的信息、在信息安全中主要区分两种机密性服务:数据机密性服务和业务流机密性服务,数据机密 性服务主要是采用加密手段使得攻击者即使窃取了加密的数据也很难推出有用的信息;业务流机密性服务则要使监听者很难从网络流量的变化上推出敏感信息。 4、数据完整性服务
防止对数据未授权的修改和破坏。完整性服务使消息的接收者能够发现消息是否被修改,是否被攻击者用假消息换掉。 5、不可否认服务
根据ISO的标准,不可否认服务要防止对数据源以及数据提交的否认。它有两种可能:数据发送的不可否认性和数据接收的不可否认性。这两种服务需要比较复杂的基础设施的持,如数字签名技术。 二、 安全机制:
安全机制是用来实施安全服务的机制。安全机制既可以是具体的、特定的,也可以是通用的。主要的安全机制有以下几种:加密机制、数字签名机制、访问控制机制、数据完整性机制、认证交换机制、流量填充机制、路由控制机制和公证机制等。
加密机制用于保护数据的机密性。它依赖于现代密码学理论,一般来说加/解密算法是公
开的,加密的安全性主要依赖于密钥的女全性和强度。有两种加密机制,一种是对称的加密机制,—种是非对称的加密机制。
数字签名机制是保证数据完整性及不可否认性的一种重要手段。数字签名在网络应用中的作用越来越重要。它可以采用特定的数字签名机制生成,也可以通过某种加密机制生成。 访问控制机制与实体认证密切相关。首先,要访问某个资源的实体应成功通过认证,然后访问控制机制对该实体的访问请求进行处理,查看该实体是否具有访问所请求资源的权限,并做出相应的处理。
数据完整性机制用于保护数据免受未经授权的修改,该机制可以通过使用一种单向的不可逆函数——散列函数来计算出消息摘要(Message Digest),并对消息摘要进行数字签名来实现。
流量填充机制针对的是对网络流量进行分析的攻击。有时攻击者通过对通信双方的数据流量的变化进行分析,根据流量的变化来推出一些有用的信息或线索。 路由控制机制可以指定数据通过网络的路径。这样就可以选择一条路径,这条路径上的节点都是可信任的,确保发送的信息不会因通过不安全的节点而受到攻击。
公证机制由通信各方都信任的第三方提供。由第三方来确保数据完整性、数据源、时间及目的地的正确。
三、两者之间的关系:
表1-1 安全服务与安全机制的关系
机制联合使用;而“.”则表示不适合。
结论:X.800所定义的安全服务的标准为生产一些安全产品提供了一个参考方向与基础,
也就是说安全产品必须包括安全服务中的一些特性才能称之为“安全的”,而安全机制则是
为了制定安全服务所依循的基础。 参考文献:
《密码编码学与网络安全——原理与实践》 William Stallings 《信息安全学》 周广学
《信息安全概论》秦科,晏华等 《维基百科》等
篇三:安全服务方案
苏州市高新区实验小学
信息安全服务体系
建
设
方
案
江苏国瑞信安科技有限公司
2011年11月
目 录
1 项目概述....................................................................................................................................... 3
1.1 项目建设背景 .................................................................................................................... 3
1.2 项目目标 ............................................................................................................................ 3
1.3 项目建设原则 .................................................................................................................... 3
2 信息安全服务解决方案 ............................................................................................................... 4
2.1 信息安全服务内容大纲 .................................................................................................... 4
2.2 信息安全服务实施方案 .................................................................................................... 4
2.2.1 门户网站安全防护 ................................................................................................ 4
2.2.2 网络边界安全防护 ................................................................................................ 4
2.2.3 信息安全产品防护 ................................................................................................ 5
2.2.4 服务器的安全防护 ................................................................................................ 5
2.2.5 网络设备安全防护 ................................................................................................ 6
2.2.6 终端设备安全防护 ................................................................................................ 7
2.2.7 密码技术安全防护 ................................................................................................ 7
2.2.8 数字证书使用情况 ................................................................................................ 7
3 公司简介及资质 ........................................................................................................................... 8
3.1 公司简介 ............................................................................................................................ 8
3.2 公司资质 ............................................................................................................................ 8
1 项目概述
1.1 项目建设背景
苏州市高新区实验小学(以下简称:新区实验小学)是苏州市地区重要性教高的教育单位,承载着相关重要的业务。而当今网络安全问题也是日益严峻,越来越多的病毒木马无孔不入,众多单位频繁遭受黑客攻击。新区实验小学领导对目前的信息化安全问题高度重视,在现有信息系统安全状况进行及时有效的信息安全服务,以保障新区实验小学所有应用系统安全稳定运行。
1.2 项目目标
建立起一套实时有效的信息安全服务体系,能根据安全要求的不断发展,升级和完善相关安全防护功能。
1.3 项目建设原则
(1)可靠性原则:能有效阻断各种常见攻击,确保新区实验小学各应用系统及网络运行稳定可靠。
(2)先进性原则:在保证系统稳定运行的基础上,使系统安全支撑环境在技术上始终与国内外的发展同步。
(3)安全性原则:系统必须有完整的防护策略和安全措施,保证系统和页面访问的稳定运行,有效抵御病毒侵入或信息篡改。
(4)可扩展性原则:系统不仅能够满足现阶段安全防护需要,而且能够根据安全要求的变化和发展进行扩展防护(维护期内),具有很好的可扩展性。
2 信息安全服务解决方案
2.1 信息安全服务内容大纲
1 信息安全组织机构
2 日常管理和管理制度
3 等级保护和风险评估
4 技术防护
5 应急管理
6 产品国产化
7 信息安全服务
8 信息安全教育
9 信息安全经费
10 安全隐患及整改
2.2 信息安全服务实施方案
2.2.1 门户网站安全防护
1) 检查门户网站的安全漏洞
对网站内容进行备份,并用专业设备对网站进行安全漏洞扫描,提交网站安全检测报告
2) 其他安全检查要求检查的内容
3) 提供整改意见报告
2.2.2 网络边界安全防护
1) 检查是否提供网络拓扑图,能够表明当前网络逻辑或者物理的拓扑结构。主
要包括网络接入服务提供商、出口设备、核心网络设备、接入设备的连接状况,越详细越好。协助提供本单位网络拓扑图
2) 检查互联网接入口安全防护设备部署情况
3) 互联网访问日志是否留存;协助做日志留存
4) 检查终端接入互联网时是否有安全信息提示
5) 是否存在终端非法外联、整改建议
2.2.3 信息安全产品防护
信息安全产品部署及使用检查目标:
了解信息安全产品的部署和使用,这些安全产品的使用情况和策略配置。 信息安全产品部署及使用检查细则:
1) 检查互联网接入口安全防护设备检查使用情况
A. 检查互联网接入口有哪些安全防护设备,提供安全设备明细
B. 检查安全防护设备的运维日志(只要查看过去是否存在宕机或者其他异
常行为),整理提供运维日志
C. 检查安全防护设备的正常运作负载状态(包括CPU、内存的负载等),提
供设备常规运行维护建议
2) 检查安全防护设备策略
A. 检查各安全防护设备的配置情况(查看使用了默认配置还是根据自主适
当配置)
B. 网络安全设备的配置备份问题(网络安全设备配置备份,以防设备发生
意外能尽快恢复运作)
C. 检查各安全防护设备的密码配置情况是否定期更换和符合密码复杂度
D. 通过一些简单的测试检查各安全防护设备的策略是否有效,是否合理
3)提供检查报告、整改建议报告
2.2.4 服务器的安全防护
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有