一、前言

　　随着我国信息化建设的不断深入，信息安全问题日益突出。如何有效应对这些信息安全问题？如何在大力推进信息化建设的同时，建立一套行之有效的信息安全保障体系，将安全风险降低到可接受的程度，解决发展与安全的关系？2003年颁发的27号文件，明确了我国信息安全工作的指导思想、战略方针、战略目标、工作原则以及具体的工作，它是我国今后一段时期内信息安全保障工作的纲领性文件。“全网安全”就是国家、企业、个人贯彻文件精神的具体体现，也就是说国家、企业、个人要根据自己所负责信息系统的实际情况分级、分类、分阶段的实施信息安全保障措施，构建符合自己需求特色的“全网安全”解决方案。

　　二、何为“全网安全”

　　那么国家、企业、个人如何根据“中办[2003]27号文件”的精神分级、分类、分阶段的实施信息安全保障措施，构建符合自己需求特色的“全网安全”解决方案？这可以从以下几个层面来理解和操作。

　　“全网安全”要求从技术（产品）、管理（平台）、运行（服务）三个层面分别采取安全保障措施：任何一个信息系统无论信息点数量的多少、无论系统边界的大小、无论应用的复杂与否、无论重要性的高低；采取信息安全保障措施的原则都是一致的。即要从管理、技术、运行三个层面分别采取相应的控制措施。只不过不同的信息系统从分级、分类、分阶段的角度对管理、技术、运行三类控制措施的选择前后和轻重缓急有所差别。技术类控制措施的具体表现就是选择相应的信息安全产品来实现所需的安全功能；管理类控制措施侧重从安全策略、管理制度、法律法规，以及根据这些需要开发出来的各种审计平台、综合安全管理平台等实现所需的安全功能。运行类控制措施的具体表现就是专业的安全服务，包括日常的管理、监控、维护、检测、加固、优化、审计、应急、恢复等。

　　“全网安全”要求我们不仅关注信息系统的安全建设，更要关注信息系统的安全运营维护：以前我们在信息系统的安全建设方面存在重建设、轻运维的情况；在信息系统的安全建设阶段轰轰烈烈、投入大量人力物力、部署大量信息安全产品，但是在信息安全建设完成以后如何对已经建成的信息系统进行安全管理、监控、检测、加固、优化、审计、维护，通过这些手段不断强化系统的安全性，确保已建成系统动态的安全。这就要求我们以后在信息系统安全规划阶段不仅要考虑安全建设的投入，同时还要考虑安全运营维护的投入；不仅需要信息安全产品，更需要信息安全服务。

　　“全网安全”要求从保护、检测、反应、恢复反制、预警五个环节构建一个完整的信息安全综合防范体系：这可以从两个层面来理解，一方面我们要同时展开对保护、检测、反应、恢复反制、预警等几大类技术与产品的研究与开发，另一方面从信息保障体系的设计上也要综合考虑保护、检测、反应、恢复反制、预警几个环节。

　　“全网安全”要求国家、企业、个人共同构筑国家信息安全保障体系：从面对的信息安全威胁和承担的信息安全责任和义务方面来看，国家、企业和个人是不一样的。国家更多的是面对有组织的蓄意破坏，企业面对更多是来自商业方面的竞争需要；而个人则更多面临病毒、垃圾邮件、不良信息内容等方面的骚扰。但不管怎样信息系统是一个复杂的巨系统，个人、企业、国家都是这个巨系统里面的一个或者几个节点。任何一个节点的防御失效都可能会对整个系统造成巨大的影响。

　　三、天融信“全网安全”解决方案

　　作为做内最早、最专业的安全公司，天融信早在两年前就提出了联动的“全网安全”解决方案。经过两年的探索和发展，目前这一思想已经深入到天融信公司业务运作的各个层面，具体体现在如下几个方面：

　　天融信公司的战略发展方向就是实现从优秀产品供应商——优秀安全集成商——专业服务供应商的转变。这个转变使得我们不仅关注信息安全产品与平台，更关注信息安全服务。

　　天融信的业务范围涵盖信息系统的安全建设咨询、信息系统的安全运营维护、信息系统的安全认证咨询三个层面。这使得我们有能力为客户提供真正的“全网安全”解决方案。

　　天融信的业务架构包括：提供信息安全产品（技术）、信息安全平台（管理）、信息安全服务（运行）；这使得我们可以根据信息系统的实际情况分级、分类、分阶段的采取管理控制措施、技术控制措施、运行控制措施，确保信息系统的真正安全。

　　下面我们简要介绍一下天融信“全网安全”解决方案的具体内容——信息系统安全建设与运营维护。


　　如上图所示：天融信“全网安全”解决方案主要包括如下几个流程：

　　1、风险评估：

　　风险评估是信息系统安全建设的第一个环节，通过风险评估了解信息系统的基本特性、需要保护的信息资产、信息系统面临的威胁以及信息系统自身的脆弱性，从而为我们确定信息系统的安全保护等级，分级、分类、分阶段实施安全保障措施提供决策依据。

　　2、需求分析：

　　需求分析主要是根据风险评估的结果，准确提取信息系统的安全保护需求，从而有针对性地采取合适的安全控制措施满足需求。

　　3、总体规划：

　　信息系统总体规划主要是根据前面风险评估的结果和提取的安全需求实施相应的安全保障措施。按照“全网安全”的思想从管理、技术、运行三个层面采取对应的控制措施。在方案设计上充分考虑保护、检测、反应、恢复反制、预警五个环节；构建一个立体的、纵深的信息安全综合防范体系。

　　4、工程实施：

　　工程实施主要考虑如何按照设计好的方案，进行安全产品和服务的实施。另外对安全产品、技术的选择要进行严格把关，不同等级的信息系统对安全产品和服务的要求是不一样的。一方面保护等级高的信息系统需要保护能力更强的信息安全产品、响应速度更快的服务、更高的实施质量保证级别。另一方面对于保护等级较低的信息系统可以选择保护能力相对较低的安全产品、能够满足需求的服务响应级别和适当的实施质量保证级别，这样可以均衡投入。

　　5、运营维护：

　　安全运营维护重点考虑如何让已经部署的信息安全产品更好的发挥作用，如何确保已经建立起来的安全防护体系不会随着时间、环境、形式的变化逐步散失或者减弱保护能力。这需要定期对系统的安全保护能力进行检测、评估，同时要定期进行必要的优化、加固、审计、应急、恢复等。

　　6、安全认证：

　　安全认证是信息系统安全建设的一个里程碑。通过信息系统安全认证，我们可以了解前期安全建设的目的是否达到，系统所需的安全保障能力是否已经实现。

　　总之，在长达九年的信息安全实践过程中，天融信公司对信息安全产品的研究、信息系统的安全建设和运营维护都积累了许多宝贵的经验，希望这些经验能够对我国信息安全保障体系的建设有所帮助。