全面体检 防患未然--榕基风险管理系统
来源:中国计算机安全 更新时间:2012-04-13

 

  中办发[2003]27号文件和黄菊同志在全国信息安全保障工作会议中的讲话,都表明国家高度重视信息安全风险评估工作,并进一步明确了信息安全风险评估在国家信息安全保障工作中的地位和作用。

  而且大多数企业都已认识到信息技术在支持其业务目标中扮演的关键角色。但如今高度连接的IT基础结构存在于一个敌对性不断增加的环境中——攻击的频率越来越高,而要求的反应时间越来越短。如果未能前瞻性地管理安全,就可能因为违反诸如“萨班斯——奥克斯利法案”(Sarbanes-Oxley Act)等监管规则,违背信托和法律责任而将管理层和整个企业置于风险之中。

  榕基企业在加强风险管理理论的基础上,结合多年来在风险评估领域的经验,充分提炼不同行业用户的安全需求,开发出具有自主知识产权的榕基风险管理系统RJ-RMS。RJ-RMS参考了ISO17799、ISO 13335等国际标准,并从前期的榕基企业信息系统安全服务体系PASME模型中提炼出先进的风险管理模型EPRV。它贯穿于整个信息系统生命周期,完整的风险管理流程由四个主要阶段组成:评估风险(Evaluate)、解决方案(Project)、实施加固(Reinforce)、验证效果(Validate)。它通过实施风险管理计划中的四个阶段,建立一个持续的过程以评定安全风险,让企业能够以最具有成本效益的方式运行,并且将已知的业务风险降低到可接受的水平。当受保护系统的业务目标和特性发生变化或面临新的风险时,需要再次进入上述四个阶段,构成了一个螺旋式上升的循环,使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险。

  RJ-RMS能够通过丰富详实的资产管理、高效智能的隐患扫描、权威的风险评估模型、灵活高效的补丁分发、详尽的实施验证报表、开放的风险管理平台以及即时追踪和持续改进,来确保行业用户业务的可持续发展。RJ-RMS还结合了处于国际领先地位的RJ-iTop网络隐患扫描系统,是国际上唯一集合了网络型和主机型漏洞扫描技术的产品,高效的扫描引擎以及智能的扫描技术保证了产品对于系统漏洞检测的准确率。而且产品内置的漏洞信息和补丁信息,由榕基企业网络安全研究小组长期跟踪和维护,涵盖了常见的网络设备、操作系统、数据库和应用程序等,并且通过每周一次及时有效的升级保证它的完整性。

  RJ-RMS的评估结果包含了企业的核心安全机密,一旦泄密将带来灾难性的后果。故其自身的安全性也是非常重要的,必须有严格明确的用户管理、权限分配、访问控制以及通信加密等措施。而且自评估也有利于保密,有利于降低风险评估的费用,有利于提高本单位的风险评估能力与信息安全知识。所以,该解决方案正是提供给有自评估需求的行业用户进行风险评估实践管理和运作的有力工具,从而实现交互式与自动化的风险管理过程,实现由“委托评估”到“自评估”的转变。

  RJ-RMS构建的开放型风险管理平台,也强调要技术与管理并重,相辅相成,动态平衡的原则。它可以灵活地结合企业自身业务流的特点,识别和管理系统生命周期中的安全风险,指导行业用户制订企业安全策略。对此,技术支持部经理余精彩先生表示,这就好比用户通过医术精湛的家庭医生和安全有效的自备药品,自身就能够及时做出诊断结论,开出治疗处方,并遵从家庭医生的建议服用有效的药品,真正做到药到病除,还能根据环境影响及健康状况实时进行全面体检,防患于未然。