企业信息安全解决方案

一.安全建设原则

1、完整性

网络安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。单一的安全产品对安全问题的发现处理控制等能力各有优劣，从安全性的角度考虑需要不同安全产品之间的安全互补，通过这种对照、比较，可以提高系统对安全事件响应的准确性和全面性。

2、经济性

根据保护对象的价值、威胁以及存在的风险，制定保护策略，使得系统的安全和投资达到均衡，避免低价值对象采用高成本的保护，反之亦然。

3、动态性

随着网络脆弱性的改变和威胁攻击技术的发展，使网络安全变成了一个动态的过程，静止不变的产品根本无法适应网络安全的需要。所选用的安全产品必须及时地、不断地改进和完善，及时进行技术和设备的升级换代，只有这样才能保证系统的安全性。

4、专业性

攻击技术和防御技术是网络安全的一对矛盾体，两种技术从不同角度不断地对系统的安全提出了挑战，只有掌握了这两种技术才能对系统的安全有全面的认识，才能提供有效的安全技术、产品、服务，这就需要从事安全的公司拥有大量专业技术人才，并能长期的进行技术研究、积累，从而全面、系统、深入的为用户提供服务。

5、可管理性

由于国内的一些企业独有的管理特色，安全系统在部署的时候也要适合这种管理体系，如分布、集中、分级的管理方式在一个系统中同时要求满足。

6、标准性

遵守国家标准、行业标准以及国际相关的安全标准，是构建系统安全的保障和基础。

7、可控性

这就要求对安全产品本身的安全性和产品的可客户化。

8、易用性

安全措施要由人来完成，如果措施过于复杂，对人的要求过高，一般人员难以胜任，有可能降低系统的安全性。

二、安全建设策略

通过以上的几个指导原则，我们在实际实施的时候采用如下策略：
采用不同的安全产品优势互补。以有效的保证系统在出现安全问题时，能从不同的侧面有所反映，这样可以更全面的放映系统的安全现状，有利于系统安全的全面性。

使用不同等级的安全产品进行集成，在不同的网络环境使用与之相应的等级的安全产品，可以有效的减少系统投资。
在产品选型时，需要厂家可以提供客户化支持服务产品。只有这样才能保证系统的安全是可以用户化的，才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进。使产品更加适合用户的实际需要，而不是一般的通用性产品。

采用可以提供分级、分布、集中管理控制并可进行互动的产品。由于网络和系统的复杂性，对相应产品的管理控制提出了更高的要求，不但可以进行集中、分布的管理控制，还能够进行分级的管理控制以适应大规模网络的需要，同时不同安全产品之间应能够进行有效的互动，以提高系统的防御能力。

在选择产品时需要保证符合相应的国际、国内标准，尤其是国内相关的安全标准。如国内的安全等级标准、漏洞标准，以及国际的CVE、ISO13335、ISO15408、ISO17799等标准。

产品在使用上应具有友好的用户界面，并且可以进行相应的客户化工作，使用户在管理、使用、维护上尽量简单、直观。

三、部署方案