深度服务模型
当前信息安全有三个发展特点:一个特点是信息技术的与信息安全技术是强烈耦合在一起的,信息技术脱离了安全保障已经不能发挥其应有的作用,甚至信息安全已经脱离了单纯的安全保障纯技术观点,它已经同领土安全、人口安全一样成为了一个国家安全的重要组成部分,成为国家的生存和发展战略。第二个特点是安全和服务的融合,也就是“安全服务化”。以服务为契机,将传统的产品服务、工程服务进行整合并增加以风险发现、风险预警、风险控制和风险化解为目的的风险服务,形成当今最新的安全意识潮流。第三个特点是信息安全技术在实现上与业务进行紧密结合在一起。信息安全已经不再是传统的单一安全的概念,而是在网络层、应用层、管理层与系统密切配合,在业务流和信息流中,在应用的使用平台中、在应用的访问控制系统中都需要切入安全的要素,需要将对称加密技术、非对称加密技术、身份认证与授权技术、审计和合规性检查等这些单一的先进技术与业务充分结合并联动起来,从而保障信息从产生、传输、应用、保存到消亡这一全生命周期内的安全。
基于这三个特点,我们认为:目前安全服务的内容已经发生了深刻变化。经过多年的安全市场培育,用户对网络安全的认识越来越深入,以纵深防御体系为代表的技术解决方案已比较成熟。用户对安全的关注越来越聚焦到应用,应用成为用户唯一真正能够掌握的资源。当网络安全这种“筑高墙”的战略在实践中越来越受到挑战的时候,以应用驱动(Application Driven Services--ADS)为目的的深度服务是解决当前新形式下的安全问题的一种新的方法和战略。
深度服务 深度安全(“Application Driven Services To Deep Security――ADSTDS”)表达了卫士通的一种转变,即从传统的安全厂商转变到以用户应用需求为满足目标的安全服务提供商。这种转变将产品挪到后台,将服务推到前台,硬性的东西退居二线,软性的东西提升上来。深度服务的核心价值就在于它是一种“面向客户业务的安全服务”。提供面向客户业务的安全服务,需要有很高的用户信任度,能为用户提供持续的服务。
1.“深度服务 深度安全”的内容
卫士通公司提供的深度服务安全服务是全生命期的安全服务,它包括系统建设的规划阶段、确定需求阶段、设计阶段、实施阶段、支持阶段和废弃阶段。这些阶段都涵盖在工程过程、保障过程和风险管理过程中,每一个阶段都会有相应的安全服务活动。安全服务根据信息系统安全工程过程分为三个彼此联系的安全服务过程,分别是安全工程服务、安全保障服务和安全风险服务。安全风险服务识别资产或信息系统面临的风险,并对这些风险进行优先级排序;针对风险问题,安全工程服务阶段要确定和实施安全解决方案;而安全保障服务则负责建立安全解决方案的可信性,并向用户转达安全的可信性。深度安全服务内容如下图所示。
深度安全服务内容模型
根据前面描述的深度服务流程、深度服务安全服务内容,同时结合等级保护制度,卫士通提供等级保护制度下的信息系统全生命的深度安全服务。下面主要介绍等级保护制度下的信息系统专家咨询服务、信息安全保障体系服务、安全策略体系服务、风险评估服务、安全加固服务、安全集成服务。
风险评估
等级保护专家咨询服务
结合国家相关政策,根据企业、单位和部门的实际网络和应用,提供等级保护政策咨询、不同等级间互联方案、等级保护技术措施和管理测评认证等方面的专家咨询服务。
等级保护下的风险评估服务
国家政策、标准、指南对信息系统的不同安全保护等级已提出基本要求,但是,不同的信息系统有其特殊性和复杂性,通过风险评估对信息系统特殊性进行评估,进而调整信息系统的等级保护基本要求,从而提取出信息系统的安全需求。等级保护下的风险评估服务如下所示。
等级保护下的风险评估服务
风险评估包括三个子服务:
1)信息系统的资产分析与统计;
2)信息系统的威胁分析,包括对各种物理的、网络的、介质的、管理和运行中的威胁的分析;
3)信息系统的脆弱性分析(含采用专业的漏洞扫描工具进行漏洞扫描);
深度安全服务与等级保护相结合,按需定制,避免了安全盲目投资与浪费。同时深度安全服务以风险评估作为出发点,以风险评估作为结束点,完成了一个基于PDCA(Plan-Do-Check-Action)的安全风险服务过程。
等级化的信息安全保障体系设计服务
根据信息系统安全等级化保护制度(信息系统分层、分级、分域)、IATF(信息保障技术框架)、ISSE(信息系统安全工程)和PDCA(计划、实施、检测、响应)管理过程等标准和规范,为客户定制一整套等级化信息安全保障体系。如下图所示。
信息系统安全保障体系服务
安全策略体系服务
等级化的安全策略体系服务
根据用户的安全现状和安全目标,为用户制订等级化安全策略、技术规范、安全管理制度、安全操作流程等标准规范文件,并设计相应的等级化安全策略实施方案。安全策略体系如下图所示。
安全策略体系服务
安全加固服务
安全加固是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。具体内容包括:
网络设备加固
网络结构调整
系统加固
数据库加固
安全策略加固
安全产品优化
安全集成服务
安全集成服务是实现安全保障体系框架中的基础性服务,以最贴近客户实际需求的安全解决方案为基础,结合标准的PMI的项目管理体系、系统安全工程成熟度模型SSE-CMM和IATF信息系统安全工程(ISSE)过程模型形成标准化安全集成服务,为客户提供从技术、运行到管理的一体化安全产品;安全集成涉及的主要产品包括:加密机、防火墙、入侵检测、防病毒、PKI/PMI、漏洞扫描、网站恢复、安全审计以及安全管理平台等实现用户安全保障体系建立的安全产品。
深度服务业务模式
2.深度服务的业务模式
基于深度服务研究内容,可以产生如下的安全服务业务。
图1.深度服务的业务
我们把这些业务的成熟度划分了等级,分别为核心业务圈、随机业务圈和未来业务圈。
核心业务也称为主流业务,包括:售前服务、安全集成、安全加固和安全评估。在保持传统的售前服务和安全集成的基础上,安全加固和安全评估使的传统业务进行了落地,使得安全服务有深刻的业务基础。
3.深度服务的规范流程
服务的流程和规范对安全服务十分重要,是安全服务成熟的标志。一个完整的深度服务流程是:
图2.深度服务的流程和规范
深度服务和传统安全服务的区别
从流程上看,深度服务和传统安全服务的区别是:
1、在资产调研前增加了工作流和信息流的调研。深度服务以应用为驱动,而应用最核心的内容是业务的流向和信息的流向,在信息调研的基础上,才能确定信息的敏感属性,在业务流的分析基础上,才能解决网络的传输安全问题,这两个问题的结合,将网络的安全和应用的安全无缝地结合起来。
2、风险分析或风险评估将漏洞扫描作为其基本的服务形式,漏洞扫描利用工具对系统的脆弱性进行了识别,是一种定量的分析方法,实践当中,这是一种比较具有说服力的安全服务;而风险分析的方法从总体上看是一种将定性的分析方法。定性和定量的有机结合,是深度服务实现的亮点。
3、实施安全系统将安全加固作为其中的一个典型内容,这在卫士通传统的信息安全建设中是没有的,通常以安全产品实施并进行策略部署的安全集成是卫士通“安全服务”的内容,虽然引入了信息系统安全工程(ISSE)的概念,但是仍为产品推销服务,实际当中,安全加固是一种更根本的安全解决方案。
由此可见,深度服务加强了对用户应用的关注和了解,并在此基础上分析系统的安全需求,增加了以风险发现、风险化解为目的的风险服务,是对传统安全服务模式的一种深化,适应了当今安全的发展特点,落实和贯彻深度服务的战略和理念,可以使卫士通安全服务水平上到一个更高的高度。
网友评论