随着互联网络的普及发展，政治、经济、军事、文化、科技和教育等社会各领域面临的威胁风险日益增多，对安全的需求越来越迫切。网络安全、信息安全已经成为保障机构安全乃至国家安全、社会安全的关键。在政府部门、科研机构，相关厂商和媒体的大力推动下，信息安全迅速全面升温．安全观念正逐渐深入人心．各个政府部门、科研机构、企事业单位纷纷加大了信息安全研发、建设、实施力度。

从信息安全的内涵来看，信息安全是一个安全保障的概念。随着Internet的进一步普及和发展．它在社会生活中的地位日益提升．所面临的威胁也越来越多．原来单纯的网络安全概念已经发生了改变．正逐渐向网络信息安全保障演化。信息安全保障更强调全面性、普及性、健壮性、及时性。安全程度不能用绝对的数字来表示，而应在模糊逻辑基础上尽可能地去量化。

同时．由于黑客攻击手法层出不穷，技术水平不断提高．相应的安全防御技术也必须同步跟进．否则原有的防范措施就可能由于落后而失效．从而导致整个信息安全保障的失败。因此信息安全保障不能仅仅依赖产品．也不能只停留在‘三分技术、七分管理”的概念上，安全不应该作为一个目标去看待，而应该作为一个过程去考虑。应该把信息安全保障看作是一个由风险分析、策略制定、设计、实施、评估、改进、监控预警和应急等若干阶段构成的螺旋式上升的安全管理过程。

此外．信息安全应该是一个动态防御体系。网络安全是一个比较复杂的问题．它涉及到网络边界、网络基础设施、核心业务和桌面等多个层次，涵盖路由器、交换机、防火墙、接入服务器、操作系统、数据库、DNS、WWW、MAIL以及其它一些关键应用系统。静态的安全产品不可能解决动态的安全问题．应该使之客户化、可定义、可管理．需要在客户化的、可操作的安全策略的基础上．构建一个综合考虑了安全需求、技术、管理、相关法律法规等各方面因素的、全面的、多层次的、组件化的安全防御体系。该体系不是各个安全组件的简单叠加，而是组件之间相互协同．实现安全资源的集中管理、统一审计和信息共享的动态防御体系。

正如没有包治百病的药一样．客观来讲不存在一个适合于所有用户的、能够解决所有安全问题的所谓“总体解决方案”。一个好的安全解决方案应该是根据用户的业务模式、业务目标、安全需求等为用户“量身定制”的．以“安全的人”为核心的方案。

正是基于上述理念．我们提出了客户化安全保障服务(C-SAS）的概念：客户化，就是网络安全现状分析客户化、安全需求分析客户化、安全策略设计客户化、防御体系构建客户化、管理客户化、培训客户化、响应客户化。从实质上看．安全保障就是指人（法律法规教育．技能培训．物理安全．人事安全，系统安全管理）依靠技术（保障框架．安全标准．评估．认证．产品）．执行安全操作（风险评估．实时监控．入侵检测．报警响应，灾难恢复．审核审计）来保障信息安全。

安全的核心是风险管理和控制．安全保障的目的则是把用户所面临的风险降到用户所能接受的程度．并针对可能发生的安全事件进行分析．同时制定应急的响应措施。服务是可管理的产品．更是一项系统工程。做好服务，需要具有丰富经验的专家帮助完成设计策略、体系模型、等级保护、专业培训、管理制度等的开发和完善：需要“自主可控”的安全产品作基础；需要良好的攻防实验环境以实现动态响应；需要具有开发和攻防经验的专门培训的人员来构筑安全防御体系；需要良好项目实施经验的队伍来实现安全工程的实施和维护。而要达到这个目标．就必须具备雄厚的人才储备、深厚的技术积累、先进的安全理

[1] [2] [3] 下一页