国联易安： 助力“HW行动” 构建“防御综合体”

“云移大物智”时代，信息网络技术快速发展，随之而来的是愈演愈烈的网络攻击。严峻的网络安全态势，迫切需在网络安全领域具备能打硬仗的能力，“HW行动”由此应运而生。

组织的安全的核心目标是为关键资产提供可用性、完整性和机密性保护，由此可见，如何构建“防御综合体”，是降低组织面临风险的关键。

管理防御：“信息资产”分级，“人为因素”控制

首先要精准信息资产分级。根据数据的用途、数据的价值、数据泄露可能导致的损失级别，数据恢复的成本等参数，具体划分信息资产敏感级别。

其次要加强人员控制。员工在职期间，要防范内部人员外泄敏感信息、误操作引起的损失等；要加强新员工的安全意识培训，IT部门安全开发、安全运营培训，高管的权责利培训；要加强业务持续性管理，要重点关注业务连续性计划、灾难恢复性计划的方案制定与贯彻执行。

技术防御：“安全开发”重视，“安全运维”加强

首先要重视安全开发。应用程序和计算机系统开发往往是为了满足功能需求，所以，在设计和开发时既要考虑功能性，又要考虑安全性。产品的核心中应该有安全的体现，在各个层面都要加强防护。因为，产品与其他应用程序集成时开发，可能会影响到总体功能并留下安全漏洞隐患，在设计之初就考虑安全因素是必须考虑的。

其次要加强安全运维。安全运维是为了保障网络、信息系统、应用程序在安全防护的前提下运转。所以，定期的信息系统漏洞扫描、渗透测试的安全监测，系统、中间件、数据库的安全加固，Windows补丁集中自动化的补丁管理，网络、系统异常时自动短信通知的服务监控体制等都不可缺失，另外访问控制、入侵检测、日志集中管理都需要具备。

物理防御：“防微杜渐”，杜绝“三类危害”

物理安全涉及到与保护组织资源和敏感信息的实体有关的威胁、缺陷和防范措施。这些资源包括人员、工作设施、数据、设备、支持系统、介质和所需的供给品等。

与计算机和信息安全相比，物理安全方面的脆弱性、威胁和应对策略都有所不同。物理安全措施必须能够应对物理破坏、非法入侵者、环境问题、盗窃等。

物理安全所面临的威胁一般有三类。洪水、地震、火灾、台风等自然灾害；供应系统停电、通信终端等系统威胁；内部或外部未授权的访问、员工造成的错误和事故、故意破坏、盗窃等人为威胁。

结语

“HW行动”是国家应对网络安全的“重要布局”，也是对国内企业网络安全能力的一次“大阅兵”。“网络安全的本质是对抗，对抗的本质是攻防两端能力的较量”。唯有加强“管理、技术、物理”的防御综合体，才可以从根本上提高关键信息基础设施与重要信息系统网络安全防御水平。国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安董事长门嘉平博士表示。

关于国联易安

北京国联易安信息技术有限公司(原北京智恒联盟科技有限公司)简称“国联易安”，成立于2006年，拥有“国联易安”和“智恒联盟”两个品牌，是国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业。公司多项安全技术补了国内技术空白，并且在政府、金融、保密、电信运营商、军队军工、大中型企业、能源、教育、医疗电商等领域得到广泛应用。

国联易安除研发生产专业安全产品外，还为客户提供全面的检测与防护方案专家咨询、源代码安全评估、安全运维值守、智能终端安全评估、安全渗透测试、专业安全培训等专业安全服务。