从广度这个层面,会有一些平台侧面到应用层面再到准入层面,我们从深度,广度来看,这是业务安全防护体系架构,和刚才那一页差不多意思,每个层面都会做一些事情,还会加上一些安全服务,这是我们业务安全理念,不同层次产品加不同服务。那么,方案建设原则,其实我们在一些项目投入上都知道方案有一些建设原则,这些比较通用,但是我们在一些项目投入上都会犯这样的错误,首先我们具备整个木桶原理,最小投入最大产出,针对我们信息安全的一些短板做一些投入,包括整体性,讲究平衡型,还有和标准的一致性,这些都是我们容易疏忽,技术和管理结合,统筹规划,分布实施,等级性原则,发展性原则,时间原因不详细讲了。
这其实是我最难决策的,这一页比较多,因为没有办法讲到我们公司解决方案,在很多运营商审计集团层面都有采用,我们整个方案是产品+服务。首先我们会有一些防火墙在网络层面进行保护,还有一些比较传统的安全访问技术。讲到整个应用层面防护,我们有WAP产品,数据库审计,运维审计组合,能够很好的全方位监控我们整个运维操作,这是我们事后审计,取证非现场指法,非常重要的一个组成系统。当然,还会用到安全评估工具,像我们WAP扫描器,数据库扫描器,这都是我们在讲时间维度上事先层面讲到非常必要的工具。
服务就是评估加固,信息保障等等,这方面整个业务解决方案虽然不是特别新颖,但是非常适用,我们为什么提升到业务安全这个层面,其实这样方案在很大程度上就能保证业务安全,我们有实践配置,包括建设清单表格,我们用这些产品搭起整个业务防护框架,下面还会有一些可选模块放进去,做到更好防护。比方说代码审计,终端安全,还有一些网页防篡改,网页监控等等,可选模块加进去会对整个方案更加充实。整个方案优势和收益,我们的方案是集检测,防护,审计,管理相结合综合整体解决方案,符合事先,事中,事后,满足合规性要求,在某些省份也是特定指定工具,最后我们整个方案是全方位考虑,是一个综合立体的方案。
典型成功案例,是中国电信某省公司,整个案例目的是确保业务安全,形式是产品+服务,范围是企信部五BSS企业全业务系统,第一,二期项目已经完成,现在正在进行第三期项目,项目连续进行,属于未雨绸缪,没有安全业务驱动也可以把整个业务安全做的更大。产品用到我们数据库审计,综合审计系统,WEB扫描器和WEB应用防火墙。服务是我们评估,加固,培训,应急,咨询,包括项目角色项目经理,研发经理,安全服务专家,安全咨询专家,安全工程师,实施工程师,3年以来做了四个比较重要案子,小案子20几个,几乎百分之百破案率,这是给整个省公司领导继续做下去的最大动力。
最后做一个广告,安恒客户非常多,我们总部在杭州,公司目的就要五周年,在个逐步良好上升通道中。4月份杭州是一个比较好的季节,欢迎大家到杭州来玩,谢谢大家。
