项目背景：

某石油公司组织结构决定了众多的IT系统在多部门分散管理，而且内部信息源多样，但网络外部出口缺乏统一监管，给企业信息安全带来较大的隐患，为解决网络管控和信息访问的诸多安全问题，邀请华胜天成为其提供相关安全咨询服务，并建立和加固安全门户系统。

服务周期为三个月，分为两个技术实施组，分别负责门户系统研发和安全咨询、加固服务。安全服务的过程包括调研、建议、POC、实施、评审、改进等多个步骤，由南方科创的项目经理、咨询顾问、安全架构师、网络工程师、主机工程师、应用工程师等多工种参与，在客户各级别人员的密切配合下，最终为客户提交安全评估结果并依据结果对外网门户系统进行安全加固。

解决方案：

基于“真正的安全是可管理的安全”服务理念，南方科创有针对性地组合信息资产分析服务、风险分析与评估服务、安全增强与加固服务、整体规划与安全策略开发服务这几个服务组件，为客户进行系统的评估和安全改造工作。

信息资产分析服务：

企业信息与网络系统是企业关键基础设施之一，保护关键基础设施的前提条件就是要了解企业有哪些信息资产，分门别类地分析企业信息资产状况，并建议相应资产的安全级别，为企业IP地址改造、VLAN改造、安全域划分和等级保护做准备。

• 明确企业全部信息资产的类型、内容、位置、状况；
• 摸清企业信息系统的无形资产和有形资产；
• 建议信息资产的保护级别，为IP地址改造、VLAN改造、安全域划分、网络安全保护和实现等级保护做准备。

风险分析与评估服务：

信息安全旨在保护信息资产以免受威胁，对企业来说，解决信息安全的首要问题就是明白企业信息系统目前与未来的风险所在，充分评估这些风险可能带来的威胁与影响的程度，即信息系统的风险分析。安全风险分析与评估可从以下几个方面进行：

• 基于机构/部门之间信息安全和日常工作与应用的区别，确认最关键的资产；
• 分析企业内部或者企业和企业之间的共享互操作性，同时进行信息资产之间的相互依赖性的分析；
• 基于对关键资产的确认和共享互操作性的分析，系统管理员、操作者、安全专家对网络脆弱性进行评估，进行风险的识别；
• 风险的度量。

此外，在风险分析过程中，人是最为关键的因素，需要详细考察形形色色的不同类型的人，他们对信息系统的安全有着极其重要的影响。

安全增强与加固服务：

在安全风险分析与评估过程中，会发现网络、主机、应用系统等存在大量的问题，如：弱点漏洞、不恰当的配置、有意识的违规操作、恶意代码、蠕虫或木马等，这就是风险所在、威胁所在。

安全系统的建设还需要一个过程，如何解决这些问题，堵住这些弱点漏洞，这就是要尽快进行安全增强与加固，将这些弱点漏洞、威胁风险进行增强、加固与处置。

• 对网络系统设备进行加固与增强；
• 对主机系统进行安全加固与增强；
• 对数据库与中间件系统进行加固与增强；
• 对应用系统进行加固与增强；
• 对桌面系统进行加固与增强。

整体规划与安全策略开发服务：

安全策略是信息系统安全的灵魂与核心，是企业为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总和。一个企业信息系统没有安全策略是不可言喻的。根据我们的实践经验，企业级安全策略可以从三个层面来考虑开发制定，包括抽象安全策略、全局自动安全策略和局部执行策略。

对绝大多数的企业来说，没有必要考虑那么全面。但对于企业信息系统，开发全面的整体的安全策略是必要的。

在内容方面，安全策略必须明确我们要保护什么，确定保护的内容；明确如何去保护，确定保护的方法与技术手段；明确有谁去实施，承担什么责任，确定责任与分工；同时，要明确处理问题后如何应对，确定后果处理方法等。这些就是安全策略中每一项策略的具体的内容。

开发安全策略时，要注意充分考虑制定安全策略的优先次序，充分考虑企业内部因素对安全策略的影响，不要指望能够制定一个绝对正确和详细的策略，我们没有能力提前预知问题的所有情况和细节。我们既要充分意识到今天好的能够实施的策略比明年伟大策略要好，同时还要考虑实现安全策略可能的投资。安全策略力求简洁，可实施，具有可操作性。一个十分完美的而不可操作的安全策略是没有任何用处的。制定一个不能够实施的安全策略等于没有安全策略。

方案特点和优势：

• 遵循业界流行和国际领先的方法论；
• 南方科创强大的系统集成和产品支持的经验基础；
• 专业安全服务实施经验；
• 规划、实施、运维和培训等全方位服务。

客户收益：

通过项目实施，为客户建立完整的信息与网络系统的安全防护体系，在相关安全法律、法规、政策的支持与指导下，通过制定客户化的安全策略，采用合适的安全技术,进行制度化的安全管理，保障信息与网络系统稳定可靠地运行，确保信息与网络资源受控合法地使用。同时，为用户开发了系列安全文档，总结了安全工程实施经验，为企业信息系统建立了安全的边界保护。