本文针对天融信整合的信息安全建设办法，从整合的四个层面“技术的整合、管理与技术的整合、全过程服务保障的整合、以及整合推动的产业整合”，讲述了天融信在为用户进行安全解决方案规划和建设中所参考的原则与方法。

随着用户信息化的不断发展，信息安全问题日益突出，为了有效保障信息系统的安全，用户也进行了相关的安全建设，但是从过去的建设效果来看并不理想，很多用户即使购买了安全产品，部署了安全设备，但还是发生了安全问题。

为此，天融信提出了“整合提升价值，服务保障安全”的总体战略，通过整合，为用户搭建可互联互通，可管理，可持续运维的安全保障体系，真正发挥系统的安全保障能力，提升安全系统的价值，保障用户信息系统的安全。

首先我们来看当前的安全建设存在的安全问题，总结起来有以下几点：

1. 当前发生的各类安全事件表明：安全形势不容乐观，安全威胁日益复杂，因此进行安全建设已是当前信息化发展的必然要求；

2. 传统的安全建设中，往往存在重硬件、轻服务的情况，安全建设的重点在于买设备，轻视了对全局性策略的规划与执行，出现安全建设的反复投资，存在安全技术与产品不断堆积与安全功能无法用到实处，甚至引发新安全漏洞出现等现象；

3. 从厂商的角度，即使一些用户比较重视策略的规划与监控，但由于目前各个厂商之间的技术壁垒，技术之间无法有效互联互通，导致即使规划了全局性的安全策略也无法执行起来；

4. 这种技术壁垒导致了虽然用户有系统性的建设规划，但是没有互联互通的技术做支撑，也没有整合的管理和服务做保障，使得规划往往只停留在纸面上；

5. 绝大部分用户无能力根据自身业务系统安全保障需求制定全面的、合理的、结构化的信息安全保障体系建设规划，导致用户只能“头痛医头，脚痛医脚”，这种建设根本无法对抗当前多变的网络环境以及层出不穷的安全威胁。

对应前面的安全问题，不难看出，信息安全发展已经呈现出以下的大安全趋势：

1. 单一技术无法保障用户真正的安全，必须构建纵深防护体系；

2. 构建纵深防护体系的实质是能力建设，评价纵深防护体系效能须以健全信息安全方针与策略为指导，整合防护能力、监控能力、运维能力，消除各种安全技术与设备间的壁垒；

3. 全局性安全策略的有效执行是安全保障体系发挥能力的关键；

4. 互联互通的技术平台、管理平台是全局性安全策略的要素，因此必须实现技术的、管理的和服务的整合，才能有效保障体系发挥能力，形成动态的安全相关的风险反映与处置机制，保障业务在安全环境下运行生产；

5. 安全服务在整个安全保障体系中，必须与技术平台和管理平台密切合作，才能真正实现全局性安全策略的管理。

根据这些趋势的发展，不难看出，“整合”是安全建设的有效手段，没有整合，就无从谈起“纵深防护”，也无法真正保障用户的安全。

天融信根据多年在安全建设方面取得的成功经验，提出四个层面的“整合”，包括：

1. 技术的整合

实现自有产品之间的互联互通，以及与第三方厂商技术的互联互通，打破技术间的壁垒，形成真正可联动防御的技术防护平台，从而有效提升防护能力；
2. 管理与技术的整合

通过整合安全管理与安全防护系统，安全事件监控与安全策略管理，形成以”全局性策略”为核心的安全保障系统。主要手段是构建全局性的安全管理平台，该平台通过两种途径来实现对安全技术的监管：一方面通过策略发布平台，将策略能够下发到各个安全产品中，并被各个安全产品执行起来;另一方面通过对各个产品收集的访问信息，进行关联分析，并迅速定位问题，同时验证策略的有效性，并对存在问题的策略进行调整，有力保障了各个安全产品能够真正在网络中发挥出作用，形成策略-事件-策略的管理闭环。从而有效提升监控相应能力；

3. 过程服务保障的整合

以全面风险管理为核心，以过程保障为目标，整合安全服务的资源，通过平台化的管理工具(安全运营平台)，对用户的业务系统进行风险管理与运维保障，从而有效提升运维保障能力；

4. 产业的整合

通过与集成商、网络供应商、测评机构、主管部门等的合作，形成产业的联盟，为业务系统的运行提供可靠的运维环境，使用户信息系统真正做到”长治久安“。

正是通过四个层面的整合，才能真正打破技术间的壁垒：通过可互联互通的安全技术平台，使各种防护措施相互配合，协调工作，真正实现以“业务”为核心的安全保障体系;通过动态的安全事件监控，不断检验策略的有效性和安全性，实现以“策略”为核心的安全管理，使各个技术环节都能够执行统一的安全策略，真正做到步调一致，协同防范的目标;通过引入专业的安全服务队伍，利用平台化的安全管理工具，对网络进行有效的运维，及时应对网络中突发的各类安全事件，保障用户信息系统的“长治久安”;在实现了技术、管理和服务的整合后，通过多个层面的协同、协作、协调，形成产业的联盟，共同为保障用户的信息安全发挥作用。

(责任编辑：)