【摘要】本系列文章针对税务系统信息安全建设的现状与挑战提出了一个新型的面向税务业务信息系统的安全管理平台模型,详细阐述了税务安全管理平台的设计思路、总体架构、价值和应用模式,给出了建设税务安全管理平台的规划建议,并通过实际案例加以说明。作为系列文章的第三篇,本文对税务系统安全管理平台的建设规划提出了一些思路和建议。
1 建设规划的关键思路
1.1 整体规划、分步实施、逐步落实的思路
建设一套全面的税务安全管理体系是一个系统工程,牵涉到单位的方方面面,不仅是安全管理部门的事情,也不仅是信息中心的事情,还涉及到各个业务部门,甚至单位中的每个个人。同时,建立安全管理体系本身也涉及到技术、流程、组织和人员等诸多要素,相互关联,缺一不可。因此,必须充分认识到安全管理体系建设的复杂性,同时要获得单位高级管理层的理解和支持,总体规划一定要到位,切忌重建设轻规划。
1、安全管理体系设计
在管理层的支持下,各局信息中心首先要结合本单位的现状与未来发展规划,以及自身业务特点,按照等级保护的基本要求,借鉴IAFT的框架,设计出总体安全管理体系。这个体系应该包括组织和人员、流程、技术等各个方面。
2、安全管理平台设计
然后,基于安全管理平台的总体设计思路和功能组成,从实际需求出发,设计出安全管理体系之下的税务系统安全管理平台设计方案。这个总体方案重点对安全管理的技术方案进行设计,形成一套安全管理体系的技术支撑平台,并满足需求、切合实际。
3、安全管理平台落实规划
税务系统安全管理平台设计方案不可能一步到位,需要进行合理规划,分阶段实施,分步骤落实。每一步都要明确实施的范围、目标,预期要达成的效果,并进行可行性分析和论证。一般建议分2~4步来落实。
1.2 技术与服务并重,建设与运维并举的思路
安全管理体系的建立和安全管理平台的选型、部署、运维与使用不仅仅是一个技术问题,还涉及到组织、人员和流程等方方面面。因此,安全管理平台一定要避免“重建设,轻使用”的误区。只要规划明确、管理范围界定清楚、目标清晰,依据科学的技术指标,遵循合理的选型过程,就能够搭建好一个安全管理平台。但是,如何使用好这个安全管理平台,则需要在日常运维工作中不断地磨合、梳理,逐步建立起适用的工作流程。同时,还需要相应的专业技术人才,以及合格的运维管理队伍。
因此,建设税务系统安全管理平台,一定要技术与服务并重,建设与运维并举,在规划、选型等各个阶段都要关注安全管理平台运维服务部分的内容,避免出现“建起来,用不起来的”尴尬。
需要指出的是,如果说技术选型可以制定出一套硬指标的话,那么,服务选型都是软指标。这些软指标如何在后续的安全管理运维使用过程中体现出来,是具有挑战性的。
1.3 充分利用代维服务,借助外脑
如前所述,建设安全管理平台是一项技术含量高,对单位组织和配套流程要求高的工作。经过多年的信息化建设和信息安全建设,税务系统已经积累了大量的安全运维与管理经验,有的单位也初步建立起了一支专业化的安全运维与服务队伍。但是,大部分单位目前的实际情况仍然难以满足安全管理平台运维使用的需要,在技术和人员方面都存在较大的差距。
因此,税务系统在建设安全管理平台的过程中,要充分借助外脑,充分利用外部资源,使用代维服务、运维外包的模式。在项目规划和建设阶段,可以借助外脑,利用外部咨询专家和实施顾问定规划、定应急预案、定运维流程;在系统运维使用阶段,可以借助运维外包,利用外包方驻场工程师充实现有的运维队伍,利用外包方专家协助进行应急响应、安全事件分析与取证。
在利用外部资源的同时,客户自身也要建立一支精干的专业安全运维管理团队,不断吸取外部资源提供的经验,逐步提升自身的专业技术水平和安全运维能力,并做好相应的代维监督管理工作。
2 技术平台选型过程建议
税务系统安全管理平台的建设是一项系统工程,应该先做好安全管理体系的规划,并制定出当前阶段的任务目标、范围,以及预期达成的效果。然后,才可以进入安全管理技术平台选型阶段。安全管理技术平台选型过程建议按照以下步骤进行:
1、建立安全管理平台衡量关键指标体系
在安全管理平台选型的时候,第一步是要建立衡量安全管理平台的关键指标体系。用户根据当前阶段的任务目标和范围,从选型指标库中选取合适的指标,包括技术指标和服务指标两类,并赋予相应的权重,构成本次选型的关键指标体系。
这个阶段的工作成果输出是:一个包括关键指标体系的打分表。
2、筛选供应商,确定备选平台
这个阶段的工作是根据那份关键指标体系和打分表对供应商进行比较、打分。根据供应商的平台技术水平和服务水平筛选出优选的供应商,并圈定2~4个备选平台。
需要注意的是,选择供应商与选择安全管理平台是有区别的,选择安全管理平台重点关注的是是否能够满足技术指标体系,而选择供应商重点关注的是供应商的安全管理平台实施能力,以及满足服务指标体系的程度。
这个阶段的工作输出是:出具安全管理平台供应商的服务指标体系符合性报告,确定备选供应商和备选平台。
3、依照技术指标体系对备选平台进行POC验证性测试
在确定备选安全管理平台后,就要根据事先制定的关键技术指标,对2~4家备选平台进行验证性测试。
POC(Proof of Concept)测试,即验证性测试,是指根据预设的系统功能和性能技术指标,在模拟环境下,进行真实的数据运行,对备选系统进行功能满足度的测试。同时,通过对备选系统进行性能测算,估算出真实环境下的性能和系统承载能力。
在这个阶段,用户要自行搭建模拟环境,并在安全管理平台供应商的配合下,搭建起测试平台,进行测试。一般每个平台的测试周期约为1~2周。测试完毕,要出具测试报告和技术指标体系符合性报告。
在进行验证性测试的时候,可以仅针对优先级别标记为高或者是必须满足的技术指标项进行测试,这样有助于测试过程的快速收敛。
4、综合评判
根据第二阶段和第三阶段的工作成果,对安全管理平台供应商和平台作出综合评判,并打分。
5、商务谈判、招投标
在这个阶段,用户进行商务招标,可以选择公开招标,或者邀标,等等。
总之,由于安全管理平台技术相对比较复杂,涉及面广泛,因此安全管理平台选型应该慎重行事,前期准备工作尽量充分、完备。