信息安全服务
信息安全服务
随着协作业务模式、高明的犯罪攻击以及越来越复杂的 IT 基础设施的出现,现有的从战术上独立实施的安全技术已经不足以应对新的风险。企业的应对方式应跨跃多个信息安全技术领域,从战略的高度端到端的管理风险:
人员和身份识别:保障合法用户在允许的时间访问合适的资源
人员和身份识别子系统是整个信息安全系统的基础,它一方面提供了有效的访问控制能力,另一方面实现了基于人员和身份的管理。获得授权的用户可以访问基础设施,数据,信息和服务。同时,其访问范围受到了其身份和权限的控制。人员和身份的识别可以采取多种方式进行,包括物理身份证或逻辑令牌或用户标识符等。
数据和信息:保障数据在传输及整个生命周期中的安全
数据和信息子系统主要负责对分布在企业各个信息系统中的数据和信息进行安全防护。数据和信息是企业的核心资产,信息系统中的数据和信息在存储、转移、使用、传输、交换等过程中,都有可能受到安全威胁。数据和信息子系统通过对资产进行分类统计、分配属性、设定强制访问策略、审计、加密等措施实现对数据和信息的保护。
应用和流程:保障应用和业务服务的安全
应用和流程子系统负责对企业业务应用的整个生命周期进行安全防护,它涵盖了从应用的设计开发、实施到使用的整个过程,使应用在其整个生命周期中获得有效的控制和安全的保护。另外企业的应用和业务安全还需要考虑行业或地区法律法规的遵从等内容。
网络、服务器和终端:保障信息系统基础架构的安全
网络、服务器和终端子系统主要面向企业信息系统的基础架构,它通过对存在于基础架构中安全隐患的主动监控和控制,避免或减少技术设施带来的风险,确保上层应用系统的 安全和稳定 。该子系统一般会通过部署相应的安全防护产品,结合安全监控、安全管理、应急响应预案等安全措施,来达到预期安全防护的目的。
物理基础架构:保障信息系统有关物理设施和环境的安全
物理基础架构子系统负责保护企业信息系统的物理基础设施和环境。物理基础设施和环境的损坏将极大的影响企业信息系统及其业务的连续性。该子系统涉及到的内容可能包括物理访问控制设施和环境被破坏,关键物理设施的损坏或丢失等。物理基础架构安全子系统通常需要通过一个有效、集中的监控系统,实现对有关资源的集中管理和监控,包括:物理设施、员工、客户、公用场所甚至天气情况等。
在信息安全的体系中,这五个层面不是孤立的,它们是相辅相成的。博全科技依在设计信息安全系统时全面考虑信息安全体系的各个层次,并结合自身具体情况进行有所侧重的规划和设计。通过对以上安全子系统的深入分析,建立起一个强大的安全矩阵,有效的应对各种安全风险和威胁。
-
风险评估与加固
-
渗透测试
-
APP测试与加固
-
安全漏洞处理
-
安全事件管理
-
安全问题管理
-
安全配置管理
-
安全变更管理
-
系统安全状态维护
-
安全配置/策略审计
-
安全日志审计
-
机房安全巡检
-
账号、口令管理
-
冗余设备有效性
-
设备日常安全维护
-
信息系统安全检查
-
安全组织和责任宣贯
-
安全意识培训
-
安全技术培训
