从去年开始,信息安全等级保护制度就已经成为关键行业建立信息安全保障体系的基本制度。然而,用户在贯彻实施等级保护制度时,产业界却非常迷茫:等级保护制度强调的是用户根据自己信息的重要性划分不同的保护级别,那么,提供技术和产品的厂商能做什么呢?在应用和产业之间,似乎存在着难以跨越的鸿沟。
跨越鸿沟
联想是最早关注等级保护制度的厂商之一,从2003年开始,就投入了大量的人力物力研究等级保护制度,并积极参加国家信息安全等级保护标准的研究工作,根据等级保护制度原则和具体实践经验,最终研究出“等级化安全体系”框架,首次在制度与应用之间巨大的鸿沟上架起了一座桥梁:通过“等级化安全体系”的概念和方法,很好地将制度、产品和服务有机地整合在一起。
联想网域安全总监田野先生介绍,“等级化安全体系”是根据不同用户在不同阶段的需求、业务特性及应用重点,利用等级化与体系化相结合的安全体系设计方法,在遵循国家等级保护制度的同时,将等级化安全理念融会到产品、方案及应用中,建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。建立“等级化安全体系”要分三步走:“定级—>管理要求—>建设方案”。联想网御还分别针对行业及中小型用户量身定做了等级化安全体系方案和等级保护方案,用产品构建等级化安全体系,包括联想网御产品研发战略的等级化思路、多NP万兆级防火墙等级化服务平台、SOC安全管理等级化平台等。可谓从方案、产品、技术角度将该体系落到了实处。
确定核心策略
5月11日,联想网御在北京发布了2005财年的业务策略,确定以“等级化安全体系”为核心全面展开。
联想网御总经理任增强介绍,之所以会把等级化安全体系作为业务的核心发展策略,一方面是积极支持和响应国家相关政策、紧随国家安全建设的步伐;另一方面也是基于长期对市场发展和客户应用需求的深入分析以及领先的技术积累。
一些数据表明,信息安全产业近两年虽然发展迅速,但并没有预期得那样快,安全投入和增长率低于预测。造成这种投资不足的现象主要基于两方面原因:一是强制性政策支持不足,另一方面是安全建设的有效性不足。人们在安全建设中还存在一些困惑,例如,对安全建设,投资多少是合适的?如何应对尚未处理的安全风险?等等。为此,在理解国家相应政策及标准的前提下,经过一些有益的研究和实践探索,认为等级化安全体系对于解决安全建设中的相关问题是一种行之有效的方法,能帮助人们做到心中有数、建设有序、控制有力。
推广试点
为了推广上述概念,5月18日,联想网御在广州拉开了历时3个多月,在全国的30个城市举办的主题为“等级安全 网御神州”的全国技术巡礼的帷幕。
这是国内第一家安全厂商在对国家等级保护相关政策及用户需求做了深入的理论研究和实践探索的基础上,配合国家安全建设的步骤,率先将该理论作为业务的战略思想,充分显示了联想网御在安全理念、方案、产品、技术方面的前瞻性。
据悉,今年国务院信息化办公室的重点工作之一就是推动等级保护工作的落实,并从试点开始。广东江门是中国第一个电子政务等级保护国家级试点单位,而它正是在联想网域“等级化安全体系”思路的帮助下完成的。我们将继续关注这一试点工程的进展情况。我们有理由预测,经过等级保护制度的建设,中国的信息安全产业必将迎来高速发展。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
移动安全培训迫在眉睫
移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。
-
公司网络安全:别忽略数据
分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。
-
新数据对信息治理和安全至关重要
公司已经意识到,为了平衡经济和性能效率,使用移动设备和云计算这样的技术,信息安全投资至关重要。
-
业务流程管理可有效控制影子IT
Derek Lonsdale是PA Consulting集团的IT转型和精益方面的专家,本文中,他将分享业务流程如何帮助企业有效避免影子IT。