股票/基金&
担当信息安全使命 天融信获通报机制技术支持单位称号
　　北京 (中国商业电讯)－－日，国家网络与信息安全信息通报中心授予天融信公司“国家网络与信息安全信息通报机制技术支持单位”。国家网络与信息安全信息通报中心是国家级的网络和信息安全信息通报出口，天融信从2008年起，已经连续获得此项殊荣，既是对天融信在信息安全领域做出卓越贡献的褒奖，也是对天融信加强技术研发、拓展安全动态分享的一种激励。　　目前，天融信公司已经持续在国家网络安全领域做出多项卓越贡献，包括北京奥运会、上海、深圳大运会，神州飞船与天宫一号的太空对接项目信息系统安全保障等在内的诸多大型项目都有天融信的安全防御体系在其中发挥作用。大数据、云计算、移动互联、智慧城市、三网融合等新技术、新应用和新商业模式的广泛出现，国家对相关信息安全建设也提出了新要求。尤其是，近期的斯诺登事件，让更加关注信息安全建设，关注对突发性信息安全事件的把控。　　目前，天融信拥有从桌面到网络边界的整套安全感知技术和产品的解决方案，并以“感知安全”为出发点，建立了前沿安全研究中心、阿尔法实验室、企业博士后流动站、安全分析实验室、安全云服务中心，形成了五位一体的企业级安全感知系统，可及时应对瞬息万变的安全问题。依托于完备的感知体系，天融信出色完成了国家网络与信息安全信息通报中心技术支持任务，并且对我国信息安全建设提出了更有成效的建议，帮助国家各行业和机关单位构建应对信息安全威胁的强大防御网络。　　在国内网络安全领域，天融信拥有最大的客户群体，基于广大客户的信任，天融信作为国内领先的信息安全产品与服务解决方案提供商，有责任有义务完成国家交付的各项信息安全保障任务，提升国家网络的安全能力，为国家网络与信息安全做出更多贡献，保障客户网络及业务不受安全威胁困扰。　　关于天融信　　天融信（TOPSEC）是中国领先的信息安全产品与服务解决方案提供商。基于创新的 “可信安全架构”以及业界领先的信息安全产品与服务，天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性，帮助用户构建安全能力，提升业务价值。如欲了解更多信息，请登录.cn/ 。
07/04 00:4806/26 01:1906/25 13:0706/25 11:2706/19 09:1505/20 13:51
暂无专家推荐本文
同时转发到我的微博
将自动提交到和讯看点，
请输入您的观点并提交。
请输入您的观点 168字以内
同时转发到我的微博置顶我的观点
科技精品推荐
每日要闻推荐
精彩焦点图鉴
　　【免责声明】本文仅代表作者本人观点，与和讯网无关。和讯网站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。信息安全 使命必达 | 新华三与河北省信息安全测评中心签署战略合作协议
8月3日，紫光旗下新华三集团（以下简称“新华三”）与河北省信息安全测评中心（以下简称“河北测评中心”）正式签署战略合作协议，双方将在平等合作、优势互补的基础上，围绕安全漏洞分析和威胁情报共享进行深入合作。新华三集团副总裁、安全产品线总裁张力，河北省信息安全评测中心主任牛占冀共同出席签约仪式。
双方签署战略合作协议
河北省信息安全测评中心是专门从事信息技术安全测试和风险评估的权威职能机构。新华三与河北测评中心的合作，旨在提高漏洞防护水平，防范漏洞所引发的安全隐患，保障互联网的安全运行。未来，双方还将共同开展云安全技术的联合攻关、研发与测试工作，共同探索云计算环境下的整体安全解决方案，挖掘和探索大数据技术在安全态势感知中的落地和应用。
新华三集团安全产品线副部长刘云峰，河北代表处代表邓伟、产品副主任蒋啸龙，以及河北测评中心副主任黄亮等人出席本次活动，并见证战略合作协议的签署。
早在今年4月，新华三就曾与华中评测中心签署战略合作协议，本次与河北信息安全测评中心的签约，标志着新华三大安全的生态合作战略得到更多合作伙伴的认可，新华三在信息安全领域的实力得到进一步加强。
新华三大安全，具备业界最全面的安全交付能力，可提供35类、近300款产品和专业的安全咨询评估服务团队，并且具备以客户为导向的需求快速响应能力，从底层信息安全基础设施到顶层设计为国家和企业提供安全可信的防护。
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点肩负历史使命 建设网络强国－－网信业界热议习近平总书记在网络安全和信息化工作座谈会上的重要讲话
　　新华社北京４月２０日电 题：肩负历史使命　建设网络强国－－网信业界热议习近平总书记在网络安全和信息化工作座谈会上的重要讲话
　　新华社记者
　　１９日上午，中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平在京主持召开网络安全和信息化工作座谈会并发表重要讲话。他强调，在践行新发展理念上先行一步，让互联网更好造福国家和人民。
　　习近平总书记的重要讲话在全国网信系统、网信企业和相关研究机构中引起强烈反响。网信业界的专家、学者、企业家和网信系统的工作人员纷纷表示，习近平总书记的讲话高屋建瓴，清晰勾勒出了中国网信大战略的轮廓，指出了网信事业承载的历史使命，厘清了必须正确认识、把握和处理的关键性问题，为中国建设网络强国指明了方向。
　　高屋建瓴的战略眼光　振奋人心的前进号角
　　“我深深感觉到，互联网的春天要来了。”１９日上午，走出人民大会堂东大厅，复旦大学网络空间治理研究中心副主任沈逸由衷地说。
分享到看荐
大家都在看
正在加载中...信息安全规划设计论文 - 信息安全论文
|||||||||||||
您现在的位置：&&>&&>&&>&&>&正文
阅读次数：人次
信息安全规划设计论文
随着信息技术的不断发展，全球业务链已经越来越依赖信息技术。与信息技术相关的安全问题成为威胁业务链的重要构成部分。传统的信息安全保护在“木桶原理”的指导下，不断修补短板，却缺乏全面、系统的安全规划设计。本文的目的是通过CISP的知识体系架构建立基础的信息安全规划设计模型，为组织提供一套有效的参考和依据。
理解CISP知识体系
CISP的核心在于将保障贯穿于整个知识体系。保障应覆盖整个信息系统生命周期，通过技术、管理、工程过程和人员，确保每个阶段的安全属性（保密性、完整性和可用性）得到有效控制，使组织业务持续运行。IT作为保障业务的重要手段和工具成为传统保障目的的核心。由于风险会影响业务的正常运行，因此，降低风险对业务的影响是保障的主要目标（如图）。在建立保障论据的过程中，首先应该考虑的是组织业务对IT的依赖程度；其次要考虑风险的客观性；第三要考虑风险消减手段的可执行度。CISP从体系结构上提供了信息安全规划设计的良好思路和方法论，在整个课程体系中涵盖了从政策（战略层）到模型、标准、基线（战术层）的纵向线条，同时在兼顾中国国情的情况下，系统介绍国际常用评估标准、管理标准和国家相关信息安全标准与政策。
根据CISP知识体系建立安全规划设计
安全规划是信息安全生命周期管理的起点和基础，良好的规划设计可以为组织带来正确的指导和方向。根据国家《网络安全法》“第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。”
1.通过保障的思想建立安全规划背景
信息安全规划设计可以根据美国信息保障技术框架（IATF）ISSE过程建立需求，本阶段可对应ISSE中发掘信息保护需求阶段。根据“信息安全保障基本内容”确定安全需求，安全需求源于业务需求，通过风险评估，在符合现有政策法规的情况下，建立基于风险与策略的基本方针。因此，安全规划首先要熟悉并了解组织的业务特性，在信息安全规划背景设计中，应描述规划对象的业务特性、业务类型、业务范围以及业务状态等相关信息，并根据组织结构选择适用的安全标准，例如国家关键基础设施的信息安全需要建立在信息安全等级保护基础之上、第三方支付机构可选CISP知识域简图择PCI-DSS作为可依据的准则等。信息系统保护轮廓（ISPP）是根据组织机构使命和所处的运行环境，从组织机构的策略和风险的实际情况出发，对具体信息系统安全保障需求和能力进行具体描述。传统的风险评估可以基于GB/T20984《信息安全风险评估规范》执行具体的评估，评估分为技术评估与管理评估两部分。从可遵循的标准来看，技术评估通过GB/T2《信息安全等级保护技术要求》中物理安全、网络安全、系统安全、应用安全及数据安全五个层面进行评估；管理安全可以选择ISO/IEC2《信息技术信息安全管理体系要求》进行，该标准所包含的14个控制类113个控制点充分体现组织所涉及的管理风险。在工作中，可以根据信息系统安全目标来规范制定安全方案。信息系统安全目标是根据信息系统保护轮廓编制、从信息系统安全保障的建设方（厂商）角度制定的信息系统安全保障方案。根据组织的安全目标设计建设目标，由于信息技术的飞速发展以及组织业务的高速变化，一般建议建设目标以1-3年为宜，充分体现信息安全规划设计的可实施性，包括可接受的成本、合理的进度、技术可实现性，以及组织管理和文化的可接受性等因素。
2.信息系统安全保障评估框架下的概要设计
概要设计的主要任务是把背景建立阶段中所获得的需求通过顶层设计进行描述。本阶段可对应ISSE中定义信息保护系统，通过概要设计将安全规划设计基于GB/T06《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》进行模块化划分，并且描述安全规划设计的组织高层愿景与设计内涵；在概要设计中，还应该描述每个模块的概要描述与设计原则。设计思路是从宏观上描述信息安全规划设计的目的、意义以及最终目标并选择适用的模型建立设计原则。本部分主要体现信息安全保障中信息系统安全概念和关系。根据《网络安全法》相关规定，顶层设计可以建立在信息安全等级保护的基础上，综合考虑诸如建立安全管理组织、完善预警与应急响应机制、确保业务连续性计划等方面GB/T06《信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》提供了一个优秀的保障体系框架。该标准给出了信息系统安全保障的基本概念和模型，并建立了信息系统安全保障框架。该标准详细给出了信息系统安全保障的一般模型，包括安全保障上下文、信息系统安全保障评估、信息系统保护轮廓和信息系统安全目标的生成、信息系统安全保障描述材料；信息系统安全保障评估和评估结果，包括信息系统保护轮廓和信息系统安全目标的要求、评估对象的要求、评估结果的声明等。信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。策略体现的是组织的高层意旨，模型与措施作为战术指标分别为中层和执行层提供具体的工作思路和方法，以完成设计的具体实现。当信息安全满足所定义的基本要素后，为每个层面的设计提出概要目标，并在具体的设计中将其覆盖整个安全规划中。
3.实现建立在宏观角度的合规性通用设计
通用设计可对应ISSE中设计系统体系结构，本阶段是整个安全规划设计的核心部分，本阶段必须全面覆盖背景建立阶段所获得的安全需求，满足概要设计阶段所选择的模型与方法论，全面、系统的描述安全目标的具体实现。通用安全设计是建立在宏观角度上的综合性设计，设计首先将各个系统所产生的共同问题及宏观问题统一解决，有效降低在安全建设中的重复建设和管理真空问题。在通用设计中，重点针对组织信息安全管理体系和风险管理过程的控制元素，从系统生命周期考虑信息安全问题。（1）管理设计在信息安全管理体系ISMS过程方法论中，可遵循的过程方法是PDCA四个阶段：首先，需要在P阶段解决信息系统安全的目标、范围的确认，并且获得高层的支持与承诺。安全管理的实质就是风险管理，管理设计应紧紧围绕风险建立，所以，本阶段首要的任务是为组织建立适用的风险评估方法论。其次，管理评估中所识别的不可接受风险是本阶段主要设计依据。通过D环节，需要解决风险评估的具体实施以及风险控制措施落实，风险评估仅能解决当前状态下的安全风险问题，因此，必须建立风险管理实施规范，当组织在一定周期（例如1年）或者组织发生重大变更时重新执行风险评估，风险评估可以是自评估，也可以委托第三方进行。本环节的设计必须涵盖管理风险中所有不可接受风险的具体处置，从实现而言，重点关注管理机构的设置与体系文件的建立和落实。第三个环节是建立有效的内审机制和监测机制，没有检测就没有改进，通过设计审计体系完成对信息安全管理体系的动态运行。第四个环节，即A环节，是在完成审计之后针对组织是否有效执行纠正措施的落实设计审计跟踪和风险再评估过程。A环节既是信息安全管理体系的最后一个环节，也是新的PDCA过程的推动力。（2）技术设计技术设计主要是建立在组织平均安全水平基础上，应可适用于组织所有的系统和通用的技术风险。设计可遵循多种技术标准体系，首先建立基于信息安全等级保护的五个层面技术设计要求。通过美国信息保障技术框架建立“纵深防御”原则，其具体涉及在访问控制技术和密码学技术支撑下的物理安全、网络安全、系统安全、应用安全和数据安全。技术设计可在原有的技术框架下建立云安全、大数据安全等专项技术安全设计，也可在网络安全中增加虚拟网络安全设计等方式，应对新技术领域的安全设计。技术设计可以包括两个主要手段：第一，技术配置。技术配置是在现有的技术能力下通过基于业务的安全策略和合规性基线进行安全配置。常见的手段包括补丁的修订、安全域的划分与ACL的设计、基于基线的系统配置等手段；第二，技术产品。技术产品是在现有产品不能满足控制能力时通过添加新的安全产品结合原有的控制措施和产品统一部署、统一管理。在技术设计中，必须明确的原则是产品不是安全的唯一，产品也不是解决安全问题的灵丹妙药，有效的安全控制是通过对产品的综合使用和与管理、流程、人员能力相互结合，最终形成最佳的使用效果。（3）工程过程设计工程过程设计重点考虑基于生命周期每个阶段的基于安全工程考虑的流程问题，在信息系统生命周期的五个层面。信息安全问题应该从计划组织阶段开始重视，在信息系统生命周期每个阶段建立有效的安全控制和管理。工程过程包括计划组织、开发采购、实施交付、运行维护和废弃五个阶段，本阶段的设计主要通过在每个阶段建立相应的流程，通过流程设计控制生命周期各个阶段的安全风险。在计划组织（需求分析）阶段，体现信息安全工程中明确指出的系统建设与安全建设应“同步规划、同步实施”，体现《网络安全法》中“三同步”的要求。在开发采购阶段，通过流程设计实现软件安全开发的实现和实现供应链管理。实施交付阶段，关注安全交付问题，应设计安全交付流程和安全验收流程。运行维护阶段要体现安全运维与传统运维差异化，安全运维起于风险评估，应更多关注预防事件的发生，事前安全检查的基线设计、检查手段及工具的选择和使用根据设备的不同重要程度建立不同的检查周期；当系统产生缺陷或者漏洞时，设计合理的配置管理、变更管理及补丁管理等流程解决事中问题；当事件已经产生影响时，可以通过预定义的应急响应机制抑制事件并处置事件；当事件造成系统中断、数据丢失以及其他影响业务连续性后果时，能够通过规划中的灾难恢复及时恢复业务。废弃阶段通过流程控制用户系统在下线、迁移、更新过程中对包含有组织敏感信息的存储介质建立保护流程和方法，明确废弃过程中形成的信息保护责任制，并根据不同的敏感采取不同的管理手段和技术手段对剩余信息进行有效处置。（4）人员设计人员安全是信息安全领域不可或缺的层面，长期以来，过于关注IT技术的规划设计而忽略了人的安全问题，内部人员安全问题构成了组织安全的重要隐患，人为的无意失误造成的损害往往远大于人为的恶意行为。人员设计重点关注人员岗位、技术要求、背景以及培训与教育，充分体现最小特权、职责分离及问责制等原则。根据《网络安全法》第四章要求，关键基础设施应建立信息安全管理机构，并设置信息安全专职人员。在人员设计中还应充分考虑到第三方代维人员的管理及供应商管理等新问题的产生。
4.构建等级化保护的层面间设计
在通用设计中，可以基于组织平均安全水平建立规划设计，而本阶段主要为满足不同等级化业务系统的强化安全保护要求。层面间设计可以基于系统的具体特征有针对性地对系统安全性进行深度分析。本阶段的设计可以建立在信息安全等级保护的符合性原则之上。5.合理安排工程实施计划工程实施计划必须根据背景建立阶段中的建设目标，将信息安全规划设计根据组织风险优先级及成本投入等因素分期实施。安全规划设计通过技术（技术产品、技术配置）、管理（组织建设与体系文件建设）、工程过程（流程建设、流程梳理与流程控制）及人员（岗位设置、岗位原则、职责划分）四个方面设计，在每个阶段可根据组织实际情况分期实施，并合理分配工程预算。信息安全规划设计不用拘泥于某一种模式或者类型，CISP知识体系建立基于生命周期的信息安全保障体系，为信息系统安全规划设计提供了良好的参考和依据，灵活运用各种标准与模型，充分融合技术与技术产品，坚持技术与管理并重的原则，通过流程有效控制工程过程并合理部署和利用人员，实现人、技术和操作的有机结合。同时，综合运用CISP知识体系，不但可以丰富信息安全规划设计的具体实现，也可以为日常运维工作提供必要的参考。
本文永久链接：
上一篇论文： 下一篇论文：
关于本站：中国最大的权威的公务员门户网站-公务员之家创建历经7年多的发展与广大会员的积极参与,现已成为全国会员最多(95.4万名会员)、文章最多、口碑最好的公务员日常网站。荣膺搜狐、新浪等门户网站与权威媒体推荐，荣登最具商业价值网站排行榜第六位，深受广大会员好评。
公务员之家VIP会员俱乐部
在公务员之家您可以分享到最新，最具有时事和代表性的各类文章，帮助你更加方便的学习和了解公文写作技巧，我们愿与您一同锐意进取，不懈的追求卓越。
如何加入公务员之家VIP会员
第一步：先了解公务员之家，查看
第二步：或在线支付，汇款即时到帐
第三步：汇款后立刻，将您的汇款金额和流水号告诉客服老师，3分钟内系统核查完毕并发送VIP会员帐号到您的手机中，直接登陆即可。