设计思路与方法

在制定企业自己的信息安全制度前，需清晰了解国家的法律法规及上级单位的制度。

信息安全制度主要应包括如下内容：

• 信息安全的木桶原则；

• 信息安全的整体性原则；

• 安全性评价与平衡原则；

• 标准化与一致性原则；

• 技术与管理相结合原则；

• 统筹规划，分步实施原则；

• 等级性原则；

• 动态发展原则；

• 易操作性原则；

安全能力框架

"安全不是口号、不是漏洞、不是产品。安全到底是什么？安全传递的是一种信任，而这种信任来自于企业自身的安全能力"。

信息安全体系设计总体思路：针对企业防护对象框架，通过企业组织体系、管理体系、技术体系的建设，逐步建立企业风险识别能力、安全防御能力、安全检测能力、安全响应能力与安全恢复能力，最终实现风险可见化，防御主动化，运行自动化的安全目标，保障企业业务的安全。

企业安全能力框架设计我们参考了NIST Cybersecurity Framework的核心内容，简称为IPDRR模型。

安全能力框架 IPDRR能力框架模型包括风险识别（Identify）、安全防御（Protect）、安全检测（Detect）、安全响应（Response）和安全恢复（Recovery）五大能力。 IPDRR能力框架实现了"事前、事中、事后"的全过程覆盖，从原来以防护能力为核心的模型，转向以检测能力为核心的模型，支撑识别、预防、发现、响应等，变被动为主动，直至自适应（Adaptive）的安全能力。 企业安全能力框架设计我们参考了NIST Cybersecurity Framework的核心内容，简称为IPDRR模型。

信息安全三要素 信息安全三要素即构成安全三个基本元素，脱离了这三个基本元素，信息安全讲成为空谈；信息安全能力的提升应主要围绕着这三个基本元素展开; 制度：除国家法律外，应定制企业信息安全管理制度，消除各种不安全因素，防止事故的发生；将防范信息安全相关风险落实为明文规定，让网络用户明确知晓信息安全应承担的责任及义务; 工具：信息安全软硬件产品、安全警示语、安全手册等; 服务：主要有三类安全服务（产品技术服务、安全事故响应服务、安全顾问咨询服务）; 三要素在不断地作用于信息资源的过程中，实现易用性与安全性的平衡点，保障相对安全且不失最佳易用性。安全三要素在任何网络缺一不可，否则会打破平衡，影响易用性和安全性。爱科的安全方案将围绕这三要素展开。

视控用一体化设计方法 信息安全三要素是信息安全设计的基础，为了能够清晰地、有效地将三要素执行到信息活动中，并体现出三要素贯彻的优势，我们需要一套方法进行设计、实施和总结。 爱科的信息安全设计方法是：视控用一体化设计（可视可控可用）。 i. 可视：即可视化，清晰的了解安全风险，以往和当前安全风险均可知，未知风险可预测。 ii.可控：即控制能力，风险的控制能力是安全能力评判标准之一；信息资源能够在己方控制访问内，才能保障安全性。 IPDRR能力框架实现了"事前、事中、事后"的全过程覆盖，从原来以防护能力为核心的模型，转向以检测能力为核心的模型，支撑识别、预防、发现、响应等，变被动为主动，直至自适应（Adaptive）的安全能力。 企业安全能力框架设计我们参考了NIST Cybersecurity Framework的核心内容，简称为IPDRR模型。

方案介绍 爱科信息安全解决方案主要是围绕安全三要素，基于视控用的方法，提升各方面信息安全能力。因此，方案主要从安全三要素和视控用的方法展开方案叙述。 本方案采用模块化的方式设计，因此方案由主方案及六大子方案组成；子方案主要包括：物理安全子方案、网络安全子方案、主机安全子方案、数据安全子方案、终端安全子方案、云安全子方案，子方案将在第四章节介绍。

方案架构 本方案架构主要是以安全三要素和信息资源为基础，采用可视可控可用的方法。

制度建设 在制定企业自己的信息安全制度前，需清晰了解国家的法律法规及上级单位的制度。 信息安全制度主要应包括如下内容： • 网络系统数据资源的安全保护； • 网络软硬件资产管理； • 机房环境的安全运行； • 网络病毒的防治管理； • 上网信息安全管理； • 日常使用习惯管理。

设立安全专员 当前信息安全服务和产品对用户的帮助主要在技术方面，对管理的影响是有限的。用户普遍遇到的最大问题是自身资源不足，实际是"安全管理员"的缺位，其次是对基本管理体系探索的需求。

视控用设计

可视化：制度需公示，体现公开公平公正的原则，明确员工在使用IT资源和资产时的权利和义务。采用手册、墙贴和培训的形式，务必使每个人清晰的了解制度。

可控性：必须要安置一名安全专员，且具有一定管理权限，起到监管及监督的作用。采用技术手段和管理手段落实制度。

可用性：简单明了的制度才可有效落实，偶尔采用演习、抽查的方式可以确保制度可用；制度落实到位是信息安全的基本保障，也是IT资产可用的保障。

制度提升响应能力及防御能力：建立安全制度主要目的是提升安全响应能力和安全防御能力。为提高这两方面能力主要需要进行以下制度的制定并落实。

方案特点

本方案具有以下特点：

全面性：本方案从多个维度设计，从整体和立体的角度分析，构建整体信息安全体系，力求做到细致无遗漏。

规范性：帮助客户在符合国家标准的前提下建立标准化的安全体系架构，将国际通行的安全体系标准推行到企业安全体系架构中。

灵活性：本方案采用模块化设计，一个主体方案和五个子方案，方案中各模块可根据具体特点简化或扩展；方案实施方便，对网络和系统影响极小。

独特性：采用独特的方法设计，真正从客户角度出发，提升客户信息安全能力为目标。

经济性：本方案旨在帮助用户提示整体安全能力，而非从产品角度出发，建议用户结合自身特点以最经济实用的方式提示信息安全水平。

客户收益

在应用爱科信息安全解决方案后，客户可以得到如下收益：

优化安全管理框架本方案的运用可以补充和优化安全体系框架，将以往反应性的安全体系优化为防御为基础自动化的安全体系架构。

建立安全管理制度制度的建立让安全管理体系有法可依；管理者和用户能够清晰明确，权责分明。

建立事件响应机制自动化的安全事件响应和恢复机制的建立，能够快速有效的应对安全事件，减少安全事件给企业带来的损失。

安全产品最优配置配置最优化、产品利用率最佳化，投资回报比最大化。

改进信息安全服务良好的信息安全服务除了是安全运维的保障，也是给信息安全上了一道保险；让用户能够放心使用网络资源，享用网络资源。

提升整体安全能力提升信息安全能力是采用本方案的最大收益，避免依赖厂商或设备疲于解决安全问题，达到自如地处理安全事件的能力。