正在阅读:详尽了解安全服务的方方面面详尽了解安全服务的方方面面

2008-11-07 17:02 出处:CNW.com.cn 作者:佚名 责任编辑:gaohongjun

  以光大银行为例,从他们部署的实际情况看,安全服务过程绝大部分依赖有经验的专业技术专家进行实施。简单来说,安全服务几乎是完全依赖人来完成,而不是设备产品来完成的专业工作。在实施过程中,专业技术专家凭借实践经验,会总结开发一些自动工具(数据采集脚本等),这些开发的自动工具只是为安全服务收集数据,而不会对被服务对象产生负面影响。

  对此门嘉平解释说,安全服务与相关安全技术是相互协调统一的。如果企业用户不能明确自己的实际需求,就应该通过专业的安全公司用安全服务手段去发现自身的隐患,切实找到相关需求,进而再去选择安全技术手段,这样其实际花费和达到的效果将是最优的。

  需要指出的是,即使选择了相关安全技术,还是需要专业的安全服务把具体安全技术真正的应用起来,充分发挥安全技术防护能力,才能充分发挥安全防护体系作用。安全服务与安全技术手段,都应该是以解决客户面临的实际问题为出发点,相互配合相互作用,才可以达到防护客户信息系统的安全需求。不难看出,用户在选择安全技术之前,需要充分、科学并合理的评价安全服务带来的实际效果。

  从技术应用上看,发现安全隐患,除了常规的风险评估手段之外,还需要对信息系统做日常安全巡检。在风险应对策略中,企业只有通过采用访问控制技术、主动监控技术、威胁过滤技术等手段搭建主动和被动相结合的安全技术防线,并通过设计相关安全管理策略和制度,才能从技术、管理、人员组织等多层次多角度建立安全防护体系。

  有意思的是,微软的安全技术专家尹川和吴鸿钟在评价安全服务应用时都提出了分层服务、深度安全的理念。

  具体来看,通过深度服务能够达到深度安全,体现在显性与隐性两种安全体验的获取上。显性的安全是指:用户能够最为明显地看到安全的效果,比如桌面计算机安装的防病毒软件,如果安装并起到作用,当其它计算机遭受病毒危害而用户的计算机安然无恙时,安全的效果立刻体现出来。又比如防火墙系统,它能直观呈现出何时有谁对用户的计算机进行了尝试性的攻击,并试图对用户的文件进行读取。再如入侵检测,它更是一种显性的安全,它能直观呈现出攻击的来临并进行预警。

  隐性的安全指得又是另外一种安全效果,这种安全效果不是轻易能够判别的,没有一定的安全知识是无从判断的。比如加密机,它的部署是透明的,对个人用户没有任何影响,它阻挡了数据在网络传输中可能被泄密的风险,但是数据究竟在传输过程中是否被窃听、修改用户很难知晓。此外,各种监控系统、审计系统,也具备隐性安全的性质。

  通过深度服务,信息安全达到一种至高的安全境界,也只有达到了显性和隐性双重安全,企业的信息系统才可能在根本上达到安全!

  安全服务的门槛

  安全服务地位、职责均非常重要,在记者看来,从事信息安全服务的安全厂商必须在业务上真正做到专业化,基于风险评估、策略开发、安装、测试和更新管理等方面的深层次和专业化,而且必须能够适应用户的业务流程。更重要的是,从事安全服务的企业应该具备用户至上的理念,在市场的角度就是要有一定的风险保障协议。

  信息安全市场是一个比较特殊的市场,企业应该提高自身的安全信念,企业本身要有“值得可信”这样的文化奋斗目标,否则最终会被市场抛弃,当然国家有关部门也要作好某些行业的安全服务准入制度,规范市场。

  安全服务同样也存在风险,只是不同的服务有不同的风险系数,因此,在安全服务中安全服务人员的技术能力和经验尤为重要,在安全服务前期一定要和用户进行良好沟通,了解用户的各种环境和应用的重要性,在安全服务时做好相关的备份和预防措施。

键盘也能翻页,试试“← →”键

为您推荐

加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品