安全咨询顾问服务建立在对用户的行业特点分析和信息安全标准之上的。通过技术咨询和管理咨询过程,用户将能够把握信息安全建设重点,建立起有效的信息安全管理体系。
1、安全需求方案设计
分析企业安全风险的最佳方法是定期的进行信息安全的风险评估。安全需求分析可以帮助日升天信了解和评估客户的企业财产可能会遇到的风险。要建立一个安全的防护体系,第一步就是要了解这些风险。
日升天信总结了各个行业的安全需求及业务目标和行业标准的不同,最终建立了适用于当前国情的不同行业的安全建设顾问咨询体系,通过几年安全咨询服务的经验积累公司已经拥有各行业的信息安全建设的经验并建立的相关的行业方案库,通过日升天信的行业安全咨询小组的顾问服务能直接有效的获得顾问的咨询,同时亦可以及时的借鉴行业内其他公司的一些可取做法。
2、安全管理体系制定
日升天信的安全顾问将通过需求分析、风险评估、风险处理、策略评估等各种技术手段最终为用户建立一套完整的信息安全管理体系,该体系是能够完全满足客户业务目标的而且应该是可行、有效、最佳化平衡的管理体系。遵循 PDAC 模型,管理体系的顾问咨询服务可以在其建立过程的任何阶段介入,但其整个过程的每一个环节是必不可少的,用户应该有效的记录体系建立过程中每一个阶段的输入输出记录。
3、安全体系架构设计
日升天信经过多年的信息安全建设经验总结,安全体系是保证和辅助信息安全管理体系的基础,可以通过技术层面辅助管理体系的有效落实。同时作为信息安全建设也是必不可少的一个技术环节。
包括以下内容:
对不合理的网络结构进行调整,保证层次分明、边界清晰、冗余备份、路由协议合理,统一规划IP地址、设备命名。
采用业界先进安全技术对关键业务系统和非关键业务系统进行逻辑隔离,保证各个业务系统间的安全性和高效性,例如:采用MPLS-VPN来进行对各业务系统间逻辑划分并进行互访控制。
进行QOS配置、网络其他安全方面的优化,对设备本身安全进行配置,例如:使用访问控制、身份验证配置,关闭不必要的端口、服务、协议。
等级保护咨询
保护咨询服务是依据国家信息安全等级保护政策和相关标准,基于日升天信多年来在政府、电信、金融、电力等行业所积累的安全服务知识库,通过系统识别分析、安全域划分、风险评估、等级保护评测、解决方案设计、安全管理策略设计、安全规划等服务内容,帮助客户实现信息系统定级和等级保护规划设计等内容,构建适用于行业客户的等级化安全保障体系。
4、服务内容
系统等级划分
通过系统识别分析进行子系统划分,分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度,制定细化定级规则,确定系统安全保护等级。
安全域设计
通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构,将系统分解为多个层次,建立分域保护的安全框架。
评估现状
根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。明确各层次安全域相应等级的安全差距。
等级安全指标体系设计
参照国家相关等级保护安全要求,设计等级安全指标库。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
解决方案设计
针对安全要求,建立安全技术措施库。通过等级风险评估结果,设计系统安全解决方案。
安全策略设计
针对安全要求,建立安全管理措施库。通过等级风险评估结果,进行安全策略设计。
安全规划设计