信息安全集成服务
| 项目概述 | |||||||||
| 根据信息系统的安全需求,在新建信息系统或已有信息系统中,采用信息系统安全工程的方法论,将各设备进行统一安全规划,使资源达到充分共享,实现集中、高效、便利的管理。从而使建设完成后的信息系统满足建设方或使用方的实际安全需求和安全合规需求。 | |||||||||
| 建设原则 | |||||||||
| 在进行安全集成解决方案设计时将遵循以下设计原则: | |||||||||
|
❖ 清晰定义模型的原则 |
|||||||||
| 在设计信息安全保障体系时,首先要对信息系统进行模型抽象,这样既能相对准确地描述信息体系的各个方面的内容及其安全现状,又能代表绝大多数地区和各种类型的信息系统。把信息系统各个内容属性中与安全相关的属性抽取出来,建立“保护对象框架”、“安全措施框架”、“整体保障框架”等安全框架模型,从而相对准确地描述信息系统的安全属性和安全保护的逻辑思维。 | |||||||||
|
❖ 分域防护、综合防范的原则 |
|||||||||
| 任何安全措施都不是绝对安全的,都可能被攻破。为预防攻破一层或一类保护的攻击行为无法破坏整个信息系统,需要合理划分安全域和综合采用多种有效措施,进行多层和多重保护。 | |||||||||
|
❖ 需求、风险、代价平衡的原则 |
|||||||||
| 对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理需求、风险与代价的关系,等级保护,适度防护,做到安全性与可用性相容,做到技术上可实现,经济上可执行。 | |||||||||
|
❖ 技术与管理相结合原则 |
|||||||||
| 信息安全涉及人、技术、操作等各方面要素,单靠技术或单靠管理都不可能实现。因此在考虑信息系统信息安全时,必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。 | |||||||||
| ❖ 动态发展和可扩展原则 | |||||||||
| 随着网络攻防技术的进一步发展,网络安全需求会不断变化,以及环境、条件、时间的限制,安全防护一步到位,一劳永逸地解决信息安全问题是不现实的。信息安全保障建设可先保证基本的、必须的安全性和良好的安全可扩展性,今后随着应用和网络安全技术的发展,不断调整安全策略,加强安全防护力度,以适应新的网络安全环境,满足新的信息安全需求。 | |||||||||
| 建设方案 | |||||||||
|
