网络安全
 

BEIJING BHWY SCIENCE AND TECHNOLOGY CO., LTD. 
Add:Le Xianghui Building Chaoyang District, Beijing
TEL : 010-53512681
Fax : 010-60603032
Email : Int_yuhui@126.com 
Site :  www.bjbhwy.com

 
网络安全

Current position:Index > 网络安全

                          网络安全解决方案

安全行业有句行话,“三分技术,七分管理”,意为安全技术应该从属于管理。不少安全厂商在推销自己的产品时,常常只强调自己的产品有多好,却没有向客户说明产品是否适用于目标企业的实际环境。其实安全技术也好,安全产品也好,都是必须从属于安全管理,只能因管理而技术,从安全技术和产品的使用去推导安全管理应该怎么做,就是本末倒置了。因此,假如把企业的信息安全计划比作一艘船,信息安全管理就如同灯塔,指挥着船往哪里走,怎么走,如果舵手不按照灯塔的指示走,船就很可能触礁沉没(安全项目方案失败,或达不到想要的效果)。

       信息安全管理,都是围绕着实现信息资产的A-I-C属性而设计和实施的。所谓的A-I-C,即信息资产的三个重要属性:可用性,保证信息资产对授权的用户随时可用;完整性,保证信息资产不受有意或无意的未授权修改;保密性,保证信息资产不受未经授权的访问。经典的安全目标还应包含目标性、执行性、效益性、时效性、适应性、全局性、合规性7个信息安全管理属性。
MetInfo enterprise content manager system | MetInfo CMS
金融行业解决方案 
1.银行信息系统概述
      银行系统包括人民银行、银监会以及下属各部门和各国有商业银行、股份制银行以及银联等银行机构的信息系统,其安全状况直接关系到国家安全和社会公共利益。银行业务信息化在全国范围内是走在前面的。从规划的角度看,银行的信息安全建设与银行的整个电子化、信息化和网络化密切相关,把金融风险监管现代化和金融电子化、信息化和网络化风险的监管密切结合起来,是搞好银行信息安全建设的根本思路。
      1) 银行业务运营信息化安全情况
      对于各商业银行,主要涉及银行价值管理信息系统、资源管理信息系统、银行产品服务管理信息系统、银行风险监管系统、银行客户管理信息系统、银行电子商务管理系统(网络银行系统、银行自助系统等)、银行网关和办公系统、银行管理中心、银行运营中心系统(呼叫服务中心、电子票据中心、信息交换中心等)、银行开发中心系统以及灾备中心系统等。对于这些业务信息系统,由于银行系统有高度的安全意识,领导重视,银行系统的安全工作开展的较早,制定了相关的标准和规范,进行了安全规划并部分进行了实施。广泛的采用了防火墙、入侵检测系统、加密等关键安全产品建立了基础的安全防护和监控系统,但由于缺乏资金,使得安全建设仍然存在很多不足,存在许多安全隐患和问题。
      2)银行网络系统安全情况
      当前银行网络系统安全问题重要表现在数据大集中后的安全,突出的问题是应急灾备系统建设、体系内多系统之间的隔离、生产专网与公网隔离、访问行为控制、外包服务、关键节点安全、大规模入侵检测和防护和隐蔽通道、安全培训等方面问题。当前计算机应用日益广泛、计算机日趋网络化,系统的安全性漏洞也随之增加。多年以来,银行迫于竞争的压力,不断扩大电子化网点、推出电子化新品种,忽略了计算机管理制度和安全措施的建设,使计算机安全问题日益突出。另一方面计算机知识日益普及,金融网络向国际化发展,计算机犯罪技术也在不断提高,利用计算机犯罪的案件呈逐年上升趋势,这也迫切要求银行信息系统具有更高的安全防范体系。
2.业务挑战
      1)人员问题:
      • 信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信息泄漏等问题
      • 特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感数据
      • 内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流动等
      2)技术问题:
      • 病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务运作
      3) 法律问题:
      • 网络滥用,员工发表政治言论、访问非法网站
      • 法制不健全,行业不正当竞争(如:窃取机密,破坏企业的业务服务)
3.解决之道
      以风险管理为核心,预防为主,技术手段为支撑,围绕信息和信息系统生命周期,逐步建立由安全组织、管理规定和技术指南、运行和技术防护手段构成的具有自主创新能力和拓展能力的安全体系。
 

政府行业解决方案

近近年随着国内电子政务的澎湃发展,政府上网掀起高潮,政务公开、资源共享等是政府信息化的必然趋势,这样就不可避免的会涉及到信息安全的问题。考虑到网络本身所固有的开放性、国际性和无组织性,政府网络在增加应用自由度的同时,政府网络对安全提出了更高的要求。
1.行业概述:
       政府机构作为国家的职能机关,其信息系统安全是跟国家安全紧密结合在一起。近年随着国内电子政务的澎湃发展,政府上网掀起高潮,政务公开、资源共享等是政府信息化的必然趋势,这样就不可避免的会涉及到信息安全的问题。考虑到网络本身所固有的开放性、国际性和无组织性,政府网络在增加应用自由度的同时,政府网络对安全提出了更高的要求。
2.安全需求分析:
       政府网络一般是为各级政府机关单位建立的统一的计算机信息网络,提供包括:数据、视频、语音、多媒体通信、视频会议、数据共享、安全防护等多种功能,满足多媒体网络通信和各直属机构的机要通信和电子办公的要求。对网络内部而言,还具有资源分类别、分级别、密级区别等特点,信息的储存、传递和使用上有严格的权限管理。严格区分涉密网络和非涉密计算机网络,对上网的信息需要进行经常性检查。
存在的问题集中体现在:
[网络中的病毒威胁]
  网络中出现过arp病毒爆发的安全事件,不能通过有效的技术手段定位病毒爆发的源头。网闸本身不具备防病毒、防木马功能,极有可能将某个联网单位病毒传播到整个内网。
[流量带宽的使用]
  网络全端口开放,缺少对整个网络流量的先分析后分配的手段和机制。
[黑客攻击]
  内网的业务系统(比如流程管理系统、OA办公系统等)和web、文件等服务器承载重要业务系统,但未做过全面的安全检查和评估,可能存在安全漏洞,导致受到恶意攻击;
[安全监控和管理]
  内网中部署了不少的安全产品,以及很多的业务系统和服务器,缺乏一个集中的安全管理平台,对安全产品和服务器各类信息事件的分析、预警,保障网络的运维。
3.目前政府网络常见的信息安全需求如下:
3.1信息的可管理性
       由于互联网上充斥有大量不良信息,政府网络在有效合理利用互联网资源的前提下,为避免政府上网的负面影响和提高机关效率,需要对信息进行一定的访问控制。而目前网络访问控制的实现方式非常多,针对各种不同的需求都有较灵活的实现手段,导致类似的安全产品种类繁多,需要专业的网络安全从业人员为客户选择最佳的实现途径,达到最好的性价比,保障客户的利益。
3.2信息的保密性和完整性
       由于政府网络上存在重要信息,对信息的保密性和完整性要求非常高。信息可能面临多层次的安全威胁,如通过电磁辐射或线路干扰等的物理威胁、泄漏或者存放机密信息的系统被攻击等威胁。同时针对网上保税等电子政务应用还要求严格保障信息的完整性,这都需要从网络安全角度整体考虑,配合统一的网络安全策略并选择相应的安全产品,保障网络的信息安全。
3.3统一的安全管理平台
       目前政府信息系统较常见的安全威胁主要来自很多无意的人为因素而造成的风险。如由于用户安全意识不强导致的病毒泛滥、帐户口令安全薄弱等,对集中统一的安全管理软件,如病毒软件管理系统、身份认证管理系统以及网络安全设备统管理软件等要求较高。因此通过安全管理平台可有效的实现全网的安全管理,同时还可以针对人员进行安全管理和培训,增强人员的安全防范意识。这就对安全管理平台和专业的网络安全服务提出了较高的要求。
4.解决之道
       圣目网络作为专业的信息安全服务提供商,一直以来的服务宗旨是“为客户创造价值”。先后给客户建设和实施了多个备受称赞的网络安全项目,并且提供了优质的安全服务。对于政府行业的信息系统,涉及对信息的完整性、保密性和可管理性等安全需求。依据圣目网络多年在信息安全防护领域安全实践的总结和对安全技术的研究,利用完整的IT安全战略管理体系来指导信息系统安全和相应支持体系的设计。分别从技术体系、组织体系和管理体系的角度来提供网络安全专业服务和整体解决方案,保障政府客户在对信息的监管的同时拥有高效、安全的网络。
  1.     对安全产品定期巡检,评估客户的安全产品有效性,为防护策略调整提供依据,并确保现有的安全产品运行正常;
  2.     不定期调整及优化安全策略、软硬件升级,保障安全产品的防护能力持续有效;
  3.     通过监控收集和分析安全事件日志,发现安全威胁,提供安全建议,降低安全风险;
  4.     通过安全通告服务,帮助客户及时了解目前业界最新的安全漏洞状况,提前预警;
  5.     安全设备的软、硬件出现运行故障的及时处理,确保项目范围内的各安全设备性能稳定,运行有效;
  6.     根据安全漏洞发布情况、安全设备厂商补丁更新发布情况等,定期或不定期对合肥中院的安全设备进行软、硬件升级操作;
  7.     根据安全设备运维工作情况,整理各项工作记录,汇总安全设备运行状况、策略调整状况、故障处理状况等。
  8.  

MetInfo enterprise content manager system | MetInfo CMS

MetInfo enterprise content manager system | MetInfo CMS