文档介绍:安全服务及整体安全�解决方案
北京盛港世纪科技有限公司
安全服务事业部经理
张玉山
议题
信息安全及信息安全政策
盛港科技公司介绍
盛港科技安全服务介绍
盛港科技安全解决方案
总结
第一部分
信息安全及信息安全政策
什么是信息安全
信息安全的定义(ISO17799):
Information security is characterized here as the preservation of:
Confidentiality
Integrity
Availability
信息安全的三个特征:
保密性:确保只有被授权的人才可以访问信息;
完整性:确保信息和信息处理方法的准确性和完整性;
可用性:确保在需要时,被授权的用户可以访问信息和相关
的资产。
什么是信息安全
六项安全要求CIARAA (ISO13335)
保密性 Confidentiality
完整性 Integrity
可用性 Availability
可靠性 Reliability
认证性 Authenticity
审计性 Accountability
信息安全的发展历程
第一阶段:通信保密(ComSEC)
上世纪40年代-70年代
第二阶段:计算机安全(CompSEC)
上世纪70-80年代
重点是确保计算机系统中硬件、软件及正在处理、存储、传输信息的机密性、完整性
TCSEC
第三阶段:信息技术安全(ITSEC)
上世纪90年代以来
重点需要保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。强调信息的保密性、完整性、可控性、可用性
主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKI、VPN、
第四阶段:信息安全保障(IA)
中办发[2003]27号文件
信息安全保障本质上是风险管理的工作,信息安全风险和事件不可能完全避免,关键在于如何控制、化解和规避风险。
27号文件提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。”
风险管理时效性
安全建设的三个层次
安全管理运行中心(SOC)
实时的风险管理
安全策略、评估加固
定期的风险管理
安全产品部署
解决部分紧急问题,“急药猛药”
相对静态的风险管理
第二部分
盛港科技公司介绍