风险评估：信息安全赢在起点——联想网御助力某移动公司实施全面风险评估

维普资讯 http://www.cqvip.com 翁　纛嚣　誊　篝糖誊｜　市场　舞案　风险评估：信息安全赢在起点　——联想网御助力某移动公司实施全面风险评估　网络的网元进行摸底调查，调查和统计该移动公　近年来，随着企事业单位信息化进程的飞速发展，对　信息系统的依赖性日益增长，信息安全的风险也逐步加大，信息安全　多年的实践表明，风险评估足信息安全建设的　ＴＣＰ／ＩＰ网络所包含的信息资产（包含物理环境、｝　备、主机、应用软件、业务系统、数据、人员、标准流ｉ　起点，町以帮助信息系统用户摸清家底，顺利进行信息系　统规划和建没，重视风险评估工作，将帮助用户信息安全　赢在起点。从国家角度而言，２００３年，国家信息化领导小绢佰颁发２７号文件　关于加强信息安全保障工作的意见》，意　羹　见中对我国信息安全保障　作做出原则性战略性的规定，辫　要求之　便是实行风险评估。　棼鬻。　妻差竺　曼　警　某　竺　覃　兰麓。　Ｔ　甘谴　从　圣雨古日ｎ白；ｈ一爪士厶　什翻抹　垌翱Ｉ船　鬻≯１。ｉ　Ｉ＝ｔ　Ｉ１』——　矗口　＾ｈ十／　垌ｌＵ　｝　寸　Ｉ＝　ｌ　．ｒ　，八Ｔ　ｆ　山　０　ｌ甍　鞋　导　Ｊ甘’Ｊ＇　｛忧方稼　１），　“司经　寸对Ｉ－ｔＪ　ｕ八　囊索ｙ∞　ｆ兰自奔Ｊ　Ｘ今土，　广‘高　１嘶Ｊ川Ｈ　规　：　，　绂　选择了由联想网御帮助　‘日已头她　阻　佰。　作　闻佶自厶蠕　、，唑相同翩，　团孛住自由　心成立ｒ信息安全风险评估联合实验室，参与了国家　信　息安全风险评估指南　、　信息安全风险管理指南　的编写，　孽　是国家风险评估的支撑单位，其信息安全风险评估服务综　．　．．　．．．．　．　ｌ　……●’～　１…‘　…＾　ｕ　’，　…●…‘、　…、　ｒ……　¨　作为决泶参考，　．ｆ　Ｉ＾＾　‘　—　，为用户、，田　．丁ｌ、一步控制和降低安全风险、改吾　ｌ　Ｊ　－Ｉｆ舢ｆ－ｒ＾＾…　一—＊　安全状况、实施信息系统的风险管理提供依据。　服务流程，为公司的信息系统制订了个性化风险评估方案，　即先实施全面深度安全评估，再进行半年定期周期性安全　评估。　１全面深度安全评估　■　为了更清晰地了解某移动公司信息系统的目前状况，联　■：　想网御首先为该移动公司进行ｒ一次全面深度评估，包括信　麓凌　息资产调查和安全评估，并建立了资产管理和风险信息库。　ｌｌ　１．１信息资产调查　信息资产调查是以ＩＴ设备为基本单位，调查设备　的基本属性，如　地址、设备型号、版号、所存储的信　鍪　息、连接方式等，以得到信息资产列表及资产信息库。在　项目实施中，联想网御首先对该移动公司的全部　囊曼≥童０　＿ｌＩ＝誊　孽　。　■　明确其现有状况、配置情况和管理情况，并对所有ｆ　产按照标准进行资产赋值。　广　］　——　一　碥定　碉　佑对　匝　尹　、　霞霍目目曩摹ｌ啊　－■●●■＿　　圈圜口豳　，　蓝童“：§　ｊ＿　１ｌｆ，　Ｆｊ　『　ｌ　Ｉ｛一　．　．二　—　一　…　一　——一　ｎ　】　ＩＪＩ　Ｊｊ　腿　＃音｛｜　Ｆ　前青全牡　支档卜——～１安垒工作持续改进建议书　｝　图１风险评估流程图　对基本情况摸清以后＇联想网御对该移动公司　拓扑结构调查和现有安全系统调查，拓扑结构调查童　㈣…Ｉ　……一一—…　…●　司亘！：　ＩｉＩ｛ｕＩＩ—　伯　　订—　Ｈ编硐—删现　艾　埂自　巴佰　右士厶　凸复，　—　Ｉ　』Ｌ八Ｊ，址Ｊ茴、　Ｉ　．辆母　１　喜　入侵检测系统等）的部署情况和使用情况；同时了詹　１．２安全评估　根据该移动公司信息系统的特点，联想网御综　ｒ具评估、人工评估、网络架构评估、渗透性测试、　评估和管理评估手段对该移动公司的信息系统进行　度的评估，发现系统漏洞，找出系统面临的安全威　险，并给出指导建议。根据该移动公司现有的安全桶　范和业务对安全的要求，联想网御具体分析面临的Ｊ　评估现有系统的技术和管理方面的弱点，明确所有１　ＩＰ网络面临的安全风险和隐患。在评估过程中，要　包含外部威胁，例如黑客攻击和病毒等，也包含内部Ｊ　例如内部人员误操作、不作为、滥用、软件漏洞、泄　导致的风险。　１．３资产管理和风险信息库　维普资讯 http://www.cqvip.com 联　颊力　造　一代安全架构　销售热线：０１０－８２１６　７５８３　ＷＷＷ　ＬＥＡＤＳＥＣ　Ｃ０Ｍ　ＣＮ　｜　市场　联想网御护航川铁集团安全运营　日前，联想网御成功中标四川省铁路集团有限责任公　司（以下简称“川铁集团”）管理信息化建设项目，将为川　铁集团提供包括防火墙、ＶＰＮ安全网关在内的多种信息安全　产品及完整的信息安全解决方案，全面护航川铁集团的安　全运营。　川铁集团成立于１　９９２年，是四川省的大型企业，负责　管理四川省地方铁路企业，统一组织全省地方铁路的建设　及运营，并代表四川省参加合资铁路的建设和管理。　随着川铁集团的快速发展，其信息化办公的依赖程度　也越来越高，从２００５年起，川铁集团便开始了整个集团公　司的企业信息化基础建设，经过多年信息化建设工作的开　展，在网络基础建设及网络应用系统建设中取得了具大的　成效，但同时，整个网络系统的安全建设也面临着严峻的　挑战，为确保整个集团的ｆ１－系统能安全、稳健地运营，信　息安全及网络安全成为川铁集团管理信息化建设项目的重　要要求。　因此，通过对国内外信息安全厂商的仔细甄选，川铁　集团最终选择联想网御作为信息安全合作伙伴，联想网御　在信息资产调查和安全评估完成后，联想网御帮助用　户开发和设计一套包含信息资产管理和风险信息管理的数　据库系统，能够将本项目所产生的资产信息和风险评估信　息进行统一管理和储存，可以对该移动公司所有信息资产　及其资产风险进行关联管理。并具有资产管理和风险管理　功能，以便后续更新和持续使用。　在３个月的时间内，联想网御协助该移动公司完成全　网ＩＰ网络深度评估，获知了该移动公司在当年上半年段　ＩＰ网络的安全现状，然后在全面评估和资产管理和风险　信息库的基础上设计并建立了安全体系。　２周期性安全评估　除了为该移动公司进行全面深度安全评估，联想网御　还为该移动公司进行了周期性安全评估。　周期性安全评估工作是构建安全体系重要的组成部　分，通过定期安全评估将公司安全置于可控的环境。对该　移动公司而言，进行定期安全评估主要是为了实现以下几　个目标：获知全面评估后半年公司安全状况；更新公司信　息资产，存入公司信息资产库，获知信息资产的状态，将　资产服务等各种信息置于可控环境；定期对主要业务系统　将为川铁集团提供包括防火墙、ＶＰＮ安全网关等全系列安全　信息安全产品，同时还将为川铁集团的信息安全建设提供　完整的解决方案。采用联想网御信息安全产品及解决方案　后，将从整体上提升川铁集团的安全防护手段，保证川铁　集团业务系统的安全运行，最终建设成一个安全平台技术　保障体系。提供身份认证、访问控制和数据机密性、完整性、　可用性、可控性等安全服务，形成集防护、检测、响应于　一体的安全防护体系，实现实体安全、应用安全、系统安全、　网络安全、管理安全，以满足川铁集团网上开展业务应用　的安全需求。　依托于“下一代安全架构”的先进技术理念，联想网　御致力于帮助用户实现从边界防护到全网安全，从平台安　全到应用安全，从安全止损到安全增值的目标，同时，专　业的技术人员和完善的售后服务也保证用户采购联想网御　产品无后顾之忧。　联想网御成功中标川铁集团再次证明联想网御在四川　地区的深厚基础，为联想网御深入推进四川地区企业信息　化安全建设奠定了良好的基础。　进行渗透测试及应用安全分析，以深度分析公司各系统安　全状况，发现安全风险；提出分系统的安全解决方案。　周期性安全评估对该移动公司的运行维护中心、计费　业务中心、业务发展中心、网络部网管中心及郊运公司等５　个主要部门，近５０多个系统进行摸底调查和评估，主要工　作内容包括信息资产调查、终端设备安全评估、主机设备　人工评估、网络及安全设备人工评估、系统应用安全评估　以及渗透测试，在安全评估完成后，联想网御根据安全体　系和规划的要求，结合评估结果对用户进行了安全需求分　析，设计了系列技术（需要有详细的技术参数）和管理解　决方案，并包含相应的实施方案以及实施效果的检查方案。　通过全面深度安全评估和定期周期性安全评估，联　想网御替该客户总结了一套以安全策略为核心，以组织　保障为基础，以技术措施为工具，以运行维护为支撑的　等级化安全体系设计的方法论。凭　御的后续帮助，该移动公司完成了　和分布实施，成功建立和运行了前　性的信息安全保障体系，保证了后　的兼容性，达到了长期安全效果明　良好效果。固