-
计算机数量众多,管理控制能力不强,无法执行指定的安全规则。
-
涉密信息存储保护困难,容易通过移动存储设备、光驱和带用存储能力的设备泄漏出去。
-
涉密信息传输保护能力不强,容易通过网络或者带用网络功能的设备泄漏出去。
-
涉密信息存取保护有限,容易被非法人员盗取、篡改和伪造数据。
-
涉密信息依附设备保护不足,在发生丢失的情况下造成信息泄漏。
-
涉密信息外带交流控制有限,容易操成信息的外泄。
-
涉密信息和有关资源授权管理体系不完善,缺少细力度的控制,容易造成人员越权访问资源、文件资料失控泄密和个人隐私受到侵犯等问题。
-
网络条件滥用情况严重,通过使用BT或者P2P等软件大量占用有限网络带宽,影响工作正常运行。
-
网络发布违法国家法律的言论或者访问非法网站,给企业造成危害。
-
通过网络和存储设备给企业网络带来病毒和木马等恶意软件或者引入网络攻击,严重影响工作运行,甚至对企业带来沉重的经济损失。
-
通过Modem拨号、ADSL拨号或者无线拨号方式私自建立网络连接绕过单位边界网络安全管理设备(如防火墙等)。
-
私自将外部计算机设备(如笔记本等)通过交换机或者对等网接入企业网络,带来病毒和木马,盗取涉密信息数据。
-
远程访问服务资源,无法进行有效的信息等级保护。
业务导向安全架构
信息化的目的是促进业务工作的发展,因此信息安全的目的应该是促进信息化的建设,保障业务工作的顺利的发展。于是这就要求必须从业务的角度来考虑安全防护体系的建设,构建业务导向的安全架构。
在构建业务导向的安全架构的时候,有几点必须予以注意:
-
管理模式:管理模式是一项业务的运作基础。不同的业务模式有不同的管理模式,不同的管理模式必然会影响信息化建设以及安全建设。
-
业务适应性:信息化的快速发展,要求安全体系必须具有足够的适应性来快速适应新业务的安全需求。
-
业务连续性:业务连续性是指系统的高可靠性和关键业务运行的持续性。
-
标准符合性:是否符合国家或业界的安全要求和安全标准,是评价一项业务安全建设的要素之一。
-
投资回报率:衡量投资回报率的指标的多样性对安全建设提出不同的需求。
-
业务安全准则:每种业务其安全条件是不同,需要根据具体的业务安全需求建立相应的安全体系。
综合考虑以上几点因素,建设相适应的安全体系,是面向业务的安全架构的精髓。
建立业务导向安全体系
应该看到,不同的业务有不同的安全要求,相同的业务不同部分对信息数据有不同的安全权限,因此需要对业务进行等级化管理,对业务划分出不同的安全域:相同的安全域有基本相同的安全权限;不同的安全域有不同的安全权限。一般来说,在业务建设过程中,可进行如下几种区域划分:
从上图可以看出,业务中可以划分出互联网区、移动办公区、安全域区、对外业务区、业务外联区、级联边界区、虚拟网络区和内部资源保护区(深圳信宏四季科技有限公司针对每种区域分别提出了不同的解决方案)。
SecEInfo(安极)信息安全系统
深圳信宏四季科技有限公司具有丰富的网络边界安全和信息内容安全的理论,具有先进的信息安全解决方案。信宏四季的SecEInfo(安极)信息安全系统具有信息安全技术的前瞻性和先进性,该产品具有如下安全特点:
-
基于SecEInfo信息安全平台,构建集中管理的信息安全解决方案;
-
结合认证授权、数据保密、网络等级管理、设备安全管理、网络系统安全、监控审计和云安全技术,构建完备统一的信息安全解决方案;
-
认证的对象多样化,包括用户人员、网络设备、计算机和存储设备等,实现网络安全认证体系;
-
认证的方式多样化和高扩展性,包括用户名/密码和数字证书认证方式;使用USB KEY实现双因子认证;采用PAM机制,能够多认证并存;开放代理API接口,实现与第三方应用集成;开放服务API接口,能够实现多种认证方法;
-
全面的信息资源访问授权管理,包括计算机终端、计算机外设、打印机、网络设备、存储设备和服务器资源等,根据策略实施主动防御。
-
采用透明的存储加密技术,不改变企业已有的网络拓扑,也不影响已有业务流程和用户操作习惯,为各种业务应用搭建安全的环境而不影响各种专业应用系统,如ERP、PDM、CAD和OA等。
-
依据国家保密局《涉及国家秘密的信息系统分级保护技术标准》和ISO27001/ISO17799/ISO7799,提供完善的涉密网等级管理功能,按照不同的安全条件将网络划分成不同的网络安全域,设定数据访问权限,对数据的存储、使用、传输和销毁等整个生命周期提供完整的控制管理。
-
提供基于计算机、用户和应用的上网行为管理,对访问Internet Web,邮件和P2P等进行细粒度的访问控制。
-
提供云安全功能,保证全范围的集中安全控制。
-
提供了详细的审计记录。
- 适应大规模部署,支持多级管理、负载均衡和分布式部署等特性。
