IT 信息安全服务

china-along

     任何安全过程都是一个不断重复改进的循环过程，它主要包含风险管理、安全策略、方案设计、安全要素实施。这也是安融公司倡导的网络信息安全周期。

• 风险评估管理：对企业网络中资产、威胁、漏洞等内容进行评估，获取安全风险的客观数据；
• 安全策略：指导企业进行安全行为的规范，明确信息安全的尺度；
• 方案设计：参照风险评估结果，依据安全策略及网络实际的业务状况，进行安全方案设计；
• 安全要素实施：包括方案设计中的安全产品及安全服务各项要素的有效执行。
• 安全管理与维护：按照安全策略以及安全方案进行日常的安全管理与维护，包括变更管理、事件管理、风险管理和配置管理。
• 安全意识培养：帮助企业培训员工树立必要的安全观念。

信息安全概述

　　随着网络的日益普及，互联网上的浏览、访问的增加，网络被攻击的可能性也随之增大。 90 年代早期，正是由于 Internet 的开放性和商业化才促使网络技术迅速发展。但开放性却带来了各类网络安全问题。由于 TCP/IP 协议本身设计的开放性与不安全性，使得采用了这一的通信标准和信息流通模式的网络也具有先天的安全缺陷。安全问题对于任何企业都是一项挑战，以下各个方面都涉及到安全：

• 保护企业的知识产权、商标、竞争优势；
• 维护企业的声誉、品牌和客户信任；
• 提高 IT 系统的可用性，尽量降低受黑客攻击而引起的停机时间；
• 黑客攻击正在指数级地增长，而且越来越复杂；
• 网络犯罪每一天都在发生。

　　安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：

• 直接损失：丢失订单，减少直接收入，损失生产率；
• 间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市制或政治声誉；
• 法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。

在世界 100 强的大公司中，一种新的病毒可以引起 36 小时的停机时间，造成的直接损失可能达到数百万美元。而安全问题所造成的用户数据泄漏（如信用卡信息），则有可能立即丢失客户群。

在极端情况下甚至可能导致企业倒闭。

目前几乎所有的企业都意识到了安全的重要性，也都在积极推动信息安全建设。一种常见的安全建设方式如下：

发现问题 --> 进行安全项目投资 --> 寻找产品 --> 制定方案 --> 产品实施

　　但这种头痛医头脚痛医脚的方式很快便暴露其弊端，随着业务系统的发展和多样性安全需求的提出，就会出现产品兼容问题、集成问题、扩展问题、管理问题，难以支持业务发展，安全状况也没有得到明显改善。

　　随着信息安全技术和理论的发展，已经逐步形成了一个共识：安全问题是一个动态的、整体的、持续性的问题。基于以上共识，出于从最大程度上提高信息系统整体安全的水平和预防安全事件发生的角度来考虑，信息系统安全建设不能仅仅局限于若干安全产品的简单意义上的集成，企业迫切需要的是一种全方位的安全服务，从技术、人员和管理流程三个方面构建完善的安全体系。

完善的安全体系：

 

在安全方案设计过程和方案的实施中， ALONG 公司将遵循和参照最新的、最权威的、最具有代表性的国家和国际信息安全标准。这些安全标准包括：

• ISO/IEC 17799 Information technology-Code of practice for information security management
• ISO/IEC 13335 Information technology- Guidelines for The Management of IT Security
• ISO/IEC 15408 Information technology- Security techniques - Evaluation criteria for IT security
• 国家标准、行业标准和国际标准组织颁布的其他安全标准

ALONG 在该解决方案中提供的服务包括：

• 风险管理服务：风险评估、入侵测试、入侵管理
• 安全战略服务：安全策略、安全意识、安全调查
• 安全基础结构服务：安全方案设计、安全流程管理、系统安全加固
• 安全技术实施服务：入侵检测、安全扫描、病毒防范、访问控制、身份认证、单一用户登录、防火墙、公共密钥基础设施（ PKI ）

ALONG 安全解决方案给用户带来的益处

• 增强企业业务安全策略的自信
• 提高企业实施安全策略的竞争优势
• 增强企业员工、业务合作伙伴和客户对企业的信任度和忠诚度
• 提高企业关键业务系统的可用性和可靠性
• 降低企业信息安全管理成本
• 帮助企业在正确的领域进行正确的安全投资
• 明确了解使用什么措施缩小安全差距
• 为其他外部系统提供安全基准