HP惠普動成長企業安全解決方案

領測軟件測試網

任何安全過程都是一個不斷重復改進的循環過程，它主要包含風險管理、安全策略、方案設計、安全要素實施。這也是惠普公司倡導的網絡信息安全周期。

風險評估管理：對企業網絡中的資產、

威脅、漏洞等內容進行評估，獲取安全風險的客觀數據；

安全策略：指導企業進行安全行為的規范，明確信息安全的尺度；

方案設計：參照風險評估結果，依據安全策略及網絡實際的業務狀況，進行安全方案設計；

安全要素實施：包括方案設計中的安全產品及安全服務各項要素的有效執行。

安全管理與維護：按照安全策略以及安全方案進行日常的安全管理與維護，包括變更管理、事件管理、風險管理和配置管理。

安全意識培養：幫助企業培訓員工樹立必要的安全觀念。

信息安全概述

隨著網絡的日益普及，互聯網上的瀏覽、訪問的增加，網絡被攻擊的可能性也隨之增大。90年代早期，正是由于Internet的開放性和商業化才促使網絡技術迅速發展。但開放性卻帶來了各類網絡安全問題。由于TCP/IP協議本身設計的開放性與不安全性，使得采用了這一的通信標準和信息流通模式的網絡也具有先天的安全缺陷。安全問題對于任何企業都是一項挑戰，以下各個方面都涉及到安全：

保護企業的知識產權、商標、競爭優勢；

維護企業的聲譽、品牌和客戶信任；

提高IT系統的可用性，盡量降低受黑客攻擊而引起的停機時間；

黑客攻擊正在指數級地增長，而且越來越復雜；

網絡犯罪每一天都在發生。

安全問題所帶來的損失遠大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失：

直接損失：丟失訂單，減少直接收入，損失生產率；

間接損失：恢復成本，競爭力受損，品牌、聲譽受損，負面的公眾影響，失去未來的業務機會，影響股票市制或政治聲譽；

法律損失：法律、法規的制裁，帶來相關聯的訴訟或追索等。

在世界100強的大公司中，一種新的病毒可以引起36小時的停機時間，造成的直接損失可能達到數百萬美元。而安全問題所造成的用戶數據泄漏（如信用卡信息），則有可能立即丟失客戶群。

在極端情況下甚至可能導致企業倒閉。

目前幾乎所有的企業都意識到了安全的重要性，也都在積極推動信息安全建設。一種常見的安全建設方式如下：

發現問題-->進行安全項目投資-->尋找產品-->制定方案-->產品實施

但這種頭痛醫頭腳痛醫腳的方式很快便暴露其弊端，隨著業務系統的發展和多樣性安全需求的提出，就會出現產品兼容問題、集成問題、擴展問題、管理問題，難以支持業務發展，安全狀況也沒有得到明顯改善。

隨著信息安全技術和理論的發展，已經逐步形成了一個共識：安全問題是一個動態的、整體的、持續性的問題�；�于以上共識，出于從最大程度上提高信息系統整體安全的水平和預防安全事件發生的角度來考慮，信息系統安全建設不能僅僅局限于若干安全產品的簡單意義上的集成，企業迫切需要的是一種全方位的安全服務，從技術、人員和管理流程三個方面構建完善的安全體系。

完善的安全體系：

在安全方案設計過程和方案的實施中，惠普公司將遵循和參照最新的、最權威的、最具有代表性的國家和國際信息安全標準。這些安全標準包括：

ISO/IEC 17799 Information technology-Code of practice for information security management

ISO/IEC 13335 Information technology- Guidelines for The Management of IT Security

ISO/IEC 15408 Information technology- Security techniques - Evaluation criteria for IT security

國家標準、行業標準和國際標準組織頒布的其他安全標準

惠普在該解決方案中提供的服務包括：

風險管理服務：風險評估、入侵測試、入侵管理

安全戰略服務：安全策略、安全意識、安全調查

安全基礎結構服務：安全方案設計、安全流程管理、系統安全加固

安全技術實施服務：入侵檢測、安全掃描、病毒防范、訪問控制、身份認證、單一用戶登錄、防火墻、公共密鑰基礎設施（PKI）

惠普安全解決方案給用戶帶來的益處

增強企業業務安全策略的自信

提高企業實施安全策略的競爭優勢

增強企業員工、業務合作伙伴和客戶對企業的信任度和忠誠度

提高企業關鍵業務系統的可用性和可靠性

降低企業信息安全管理成本

幫助企業在正確的領域進行正確的安全投資

明確了解使用什么措施縮小安全差距

為其他外部系統提供安全基準

為什么要選擇惠普

惠普連續獲得2001年和2002年Secure Computing Magazine評出的"Best Security Service Award"

惠普對安全技術的長期承諾--擁有超過29項安全專利，從20世紀80年代開始安全領域的投入

惠普在全球擁有50多位CISSP，其中中國有10位

惠普擁有世界級的安全中心，不斷跟蹤最新的黑客工具和黑客攻擊技巧，為全球客戶提供服務

惠普提供多層次、全方位的安全服務，有完善的安全方法論

惠普為大量的客戶提供了安全評估和安全策略服務，具有豐富的實踐經驗，對技術標準（ISO17799等）具有極強的實際應用能力

惠普每年在中國實施數百個大中型項目，具有豐富的項目管理經驗，中國惠普擁有30多位PMP

惠普深入了解不同廠商的安全產品，具有豐富的安全技術產品實施經驗

成功案例

福建地稅計算機安全管理項目

福建省地稅局已經建設了自有的網絡系統、業務應用系統，隨著業務應用和系統的不斷發展，安全管理問題日益突出，安全問題主要表現在日常管理、安全技術體系等方面。

為此，惠普公司不僅參照ISO17799標準為福建地稅建立了一整套完善的信息安全管理體制，并把惠普先進、完善的技術和豐富的實踐經驗傳遞給了福建地稅的技術人員，通過項目建設使信息管理中心能夠有效地監控全省地稅業務系統的安全。這一項目的意義不僅是為福建地稅的工作提供了安全保障，對福建地稅提升整體的信息管理水平也有著重要的啟發意義。

惠普整個安全解決方案包括：

安全現狀評估

安全策略創建

安全策略實施

安全意識規范化

安全風險評估

入侵檢測

安全統一平臺建設

系統應用安全加固

安全產品解決方案――根據統一的安全策略要求，進行安全產品的方案涉及和產品配置，包括防火墻、掃描器、 IDS、防病毒、身份認證、系統統一訪問控制、安全監控中心、數據備份等。

福建地稅選擇惠普的原因包括：

惠普能夠提供全方位的解決方案，包括安全管理和安全技術

惠普在安全咨詢和項目管理方面擁有成熟的方法論和先進的工具

惠普擁有經驗豐富的安全咨詢實施隊伍

文章來源于領測軟件測試網 http://www.kjueaiud.com/