君子以泽,完美世界官网,盗墓笔记小说

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案

稅務系統(tǒng)安全管理平臺建設需求分析與總體設計

本系列文章針對稅務系統(tǒng)信息安全建設的現(xiàn)狀與挑戰(zhàn)提出了一個新型的面向稅務業(yè)務信息系統(tǒng)的安全管理平臺模型，詳細闡述了稅務安全管理平臺的設計思路、總體架構、價值和應用模式，給出了建設稅務安全管理平臺的規(guī)劃建議，并通過實際案例加以說明。作為系列文章的第一篇，本文對稅務系統(tǒng)所需的安全管理平臺進行了需求分析與總體設計。

成都創(chuàng)新互聯(lián)電話聯(lián)系：028-86922220，為您提供成都網站建設網頁設計及定制高端網站建設服務，成都創(chuàng)新互聯(lián)網頁制作領域十余年，包括陽臺護欄等多個行業(yè)擁有豐富的網站維護經驗，選擇成都創(chuàng)新互聯(lián)，為企業(yè)保駕護航！

1.稅務信息安全建設現(xiàn)狀與新挑戰(zhàn)

伴隨著我國稅務信息化建設的不斷深入，稅務信息系統(tǒng)的安全防護水平相應地得到了持續(xù)提升，當今的稅務系統(tǒng)在安全領域面臨比以往更為復雜的局面，稅務信息系統(tǒng)的安全建設已經從過去的局部優(yōu)化階段進入了整體優(yōu)化階段，從過去的以網絡為核心的防護體系建設進入了以業(yè)務系統(tǒng)為核心的防護體系建設階段。

為了應對不斷變化的安全威脅，稅務系統(tǒng)先后部署了防病毒系統(tǒng)、防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、終端管理、數據庫審計系統(tǒng)等單一類安全產品和系統(tǒng)。這種被動的安全建設過程就像是挖壕溝，為了抵御某一方面的安全威脅，不斷地把壕溝挖深，并挖出了一條又一條的壕溝。由于這些安全系統(tǒng)都僅僅防堵來自某個方面的安全威脅，于是形成了一個個安全防御孤島，無法產生協(xié)同效應。

另一方面，隨著金稅三期工程的深入推進，稅務系統(tǒng)的安全防護重點正在從過去的網絡和終端轉移到應用和數據上面來。對于稅務系統(tǒng)而言，構建在IT基礎架構之上的數據和應用才是最核心的信息資產。未來的安全防護體系建設必須在加強對IT基礎架構安全防護的基礎上，著重做好對包括應用和數據在內的業(yè)務信息系統(tǒng)的安全防護。以業(yè)務為核心的安全防護體系正在形成。

此外，稅務系統(tǒng)日益迫切的信息系統(tǒng)等級保護、審計和內控，以及不斷增強的業(yè)務持續(xù)性需求，也對當前稅務系統(tǒng)的安全管理提出了嚴峻的挑戰(zhàn)。

上述各種因素表明，稅務系統(tǒng)亟需建立一套橫向的、貫穿孤立的安全防線的、以稅務重要業(yè)務系統(tǒng)為保護對象的整體性安全管理平臺，實現(xiàn)對全網IT資源的安全運行進行集中管理，真正讓稅務系統(tǒng)管理者把握整體安全態(tài)勢，實現(xiàn)有效地協(xié)同防御，并符合等級保護及相關安全審查控制要求。

2.現(xiàn)有安全管理平臺建設的局限

事實上，上述不斷凸顯的需求不僅是稅務系統(tǒng)所獨有，其他信息化安全建設水平較高的行業(yè)和單位也正面臨類似的困局。為了應對這些挑戰(zhàn)，國內出現(xiàn)了多種建設集中化安全管理平臺的思路和實踐。

總的來說，安全管理平臺是一套以資產為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，建立一套實時的資產風險模型，協(xié)助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中管理系統(tǒng)。

通過安全管理平臺的建設，稅務系統(tǒng)可以實現(xiàn)安全管理工作從分散到集中的跨越，從微觀到宏觀的提升，為構建稅務系統(tǒng)的整體安全防護體系奠定基礎。

但是，一些稅務單位早期的安全管理平臺建設實踐，以及國內其他行業(yè)的類似建設實踐表明，現(xiàn)在的安全管理平臺建設過程中存在一些局限，尤其是難以滿足稅務系統(tǒng)的實際需求，從而阻礙了這項工作的推進。這些局限主要體現(xiàn)在以下四個方面：

1）信息來源單一，安全分析不全面，分析結果缺乏指導性

安全管理平臺的一項核心功能就是將來自不同IT資源的信息匯聚起來，進行范式化和關聯(lián)分析，實現(xiàn)整體安全與風險的評估。但在實際環(huán)境中，往往由于缺少必要的信息輸入，以及獲取必要信息的相關手段，從而導致分析結果缺乏說服力。這種信息缺失是多方面的。例如，傳統(tǒng)的安全管理平臺基本處于被動運行狀態(tài)，僅僅被動接收設備的日志信息，對系統(tǒng)和設備的可用性和健康狀態(tài)無法做到主動和有效監(jiān)控。當用戶的網絡和系統(tǒng)出現(xiàn)故障后，安全管理平臺無法收集到相關事件，其分析結果必定大打折扣。

2）只關注設備資產的安全，而沒有關注關鍵業(yè)務系統(tǒng)的安全

對于稅務系統(tǒng)而言，最寶貴的資產不是網絡設備和主機設備，而是他們所承載的應用和數據！我們進行一輪又一輪的安全防護體系建設，最終的防護對象不是網絡本身，而是網絡所承載的稅務業(yè)務信息系統(tǒng)。這些業(yè)務系統(tǒng)的運行好壞、安全與否、系統(tǒng)中的各類數據是否安全可靠才是各級稅務單位信息中心和領導所關注的核心問題。如果網絡一切運行正常，但是應用和數據遭到破壞，談何安全。不幸的是，傳統(tǒng)的安全管理平臺局限于對網絡、主機等設備資產的安全監(jiān)控與管理，而忽視了對其上運行的業(yè)務系統(tǒng)的安全監(jiān)控與管理，尤其是重要業(yè)務系統(tǒng)的安全保護。傳統(tǒng)安全管理平臺所存在的這種局限性不僅是理念上的，也是技術上的，如果不變革現(xiàn)有的平臺技術架構，不可能適應業(yè)務發(fā)展的需要。#p#

3）片面強調了發(fā)現(xiàn)安全問題的技術過程，而忽略了處理安全問題的運維流程

當前大部分安全管理平臺都把技術力量投入到了事件采集和分析上。這些技術固然重要，但都是屬于安全威脅及問題的發(fā)現(xiàn)階段的技術。當前的安全管理平臺大都忽略了幫助用戶處理和解決這些已知安全問題的過程。結果，很多管理員通過安全管理平臺獲悉安全問題后，無所適從，不知如何處理，進而產生了對安全管理平臺運用效果的質疑。

4）自成一體，封閉管理，缺乏與其他管理系統(tǒng)的整合協(xié)同

當前，不僅是網絡安全的集中化管理，稅務系統(tǒng)也正在積極地進行網絡運行的集中化管理、終端準入與安全的集中化管理，甚至是基于ITIL的IT運維管理系統(tǒng)建設。如何在做好網絡集中管理、安全集中管理和運維管理建設的同時，正確梳理好三者之間的關系，確保不出現(xiàn)新的"管理孤島"，也是擺在稅務系統(tǒng)IT基礎設施管理與運營建設者們面前的一個問題。當前的安全管理平臺大都自成一體，沒有考慮到其他管理系統(tǒng)之間的關系，停留在自我封閉管理的層次上，難以適應稅務系統(tǒng)大集中、大平臺、大運維的總體發(fā)展思路。

面對上述安全管理平臺建設過程中出現(xiàn)的新挑戰(zhàn)，以及現(xiàn)有安全管理平臺的局限性，必須對安全管理平臺進行重新認識，形成一套新的平臺架構和項目建設思路。對此，本文提出了一套建設稅務信息系統(tǒng)安全管理平臺（Tax Security Management Platform，TSMP）的技術架構總體設計方案，以及配套的規(guī)劃建設方案。

3.稅務信息系統(tǒng)安全管理平臺總體設計

3.1.設計指導原則

構建稅務系統(tǒng)集中化安全管理平臺（TSMP）需遵循以下設計指導原則：

1）.符合國家、行業(yè)的相關法律法規(guī)和指引

平臺的設計遵循國家和稅務總局關于信息系統(tǒng)等級化保護的相關技術要求和設計要求，符合稅務系統(tǒng)安全防護總體要求。

2）.符合金稅三期的總體建設規(guī)劃

平臺的設計符合金稅三期的一體化建設原則，即"將信息系統(tǒng)作為一個整體統(tǒng)籌規(guī)劃，建立統(tǒng)一的應用架構、統(tǒng)一的數據架構、統(tǒng)一的網絡平臺、統(tǒng)一的硬件設施平臺、統(tǒng)一的安全體系、統(tǒng)一的運行維護體系等基礎架構平臺。"

3）.能夠有效兼容稅務已有安全管理類產品及系統(tǒng)，并且避免將來產生新的安全管理孤島

平臺的設計能夠將稅務系統(tǒng)現(xiàn)有的各類安全管理類產品及系統(tǒng)整合起來，例如終端管理系統(tǒng)、安全審計系統(tǒng)、防火墻集中管理系統(tǒng)，等等。同時，平臺應該具有開放性和延展性，能夠兼容新的單一類安全管理系統(tǒng)，始終維持統(tǒng)一安全管理平臺的地位，避免產生新的安全管理孤島。此外，平臺還要能夠與稅務系統(tǒng)在建或者規(guī)劃建設的網絡管理系統(tǒng)、運維管理系統(tǒng)進行對接和協(xié)同工作。

3.2.總體設計思路

稅務系統(tǒng)安全管理平臺的總體設計思路是：以稅務業(yè)務信息系統(tǒng)安全防護為核心，依托于現(xiàn)有的網絡及應用安全防護技術、產品和系統(tǒng)，從監(jiān)控、審計、風險和運維四個維度構建起一套集中化、流程化、體系化的全面安全管理技術平臺及其配套的組織體系和運作體系，實現(xiàn)稅務系統(tǒng)日常安全管理運維工作的標準化、例行化，并融入到稅務系統(tǒng)整體運行維護體系之中。#p#

在上述總體設計思路中，構建安全管理平臺的四個維度十分關鍵。

監(jiān)控--通過對稅務系統(tǒng)IT資源中包括網絡設備、安全設備、主機和應用在內的節(jié)點進行統(tǒng)一運行監(jiān)控，保障IT資源的整體運行安全，及時發(fā)現(xiàn)網絡和系統(tǒng)主機的故障和性能瓶頸。

審計--通過實時獲取IT資源中的各類安全信息，進行關聯(lián)分析，實現(xiàn)IT資源的安全態(tài)勢感知，對內部違規(guī)和外部入侵行為進行審計，驗證業(yè)務系統(tǒng)及其IT支撐系統(tǒng)的合規(guī)性。

風險--將業(yè)務系統(tǒng)的威脅信息匯集到一起，通過風險評估獲得可測量的安全風險，展示出稅務系統(tǒng)全局性安全風險態(tài)勢。

運維--借助運維流程支撐平臺和標準化的運維流程指導管理人員處理安全問題，實施有效的安全控制措施。

這四個維度緊緊圍繞重要稅務業(yè)務信息系統(tǒng)，協(xié)助稅務單位信息中心工作人員對稅務業(yè)務系統(tǒng)進行全方位的運行監(jiān)控、安全審計、風險評估和運行維護。

上述四個維度的結合就構成了安全管理的技術（支撐）平臺。但是要做到真正的安全管理，光靠技術是不行的，根據IATF理論，還需要組織和流程，也就是所謂的人、流程、技術三者缺一不可。這里，人也叫組織。

人的問題，不是靠軟件系統(tǒng)去解決的，是靠制度和意識。但是流程問題是可以靠技術來支撐的。流程是經驗和制度的固化，是一種長效機制的體現(xiàn)。流程要靠人去執(zhí)行。流程可以有一個技術平臺來支撐，叫做"運維管理"，并可以整合到安全管理技術支撐平臺中。

稅務系統(tǒng)的安全管理平臺總體設計思路表明，要構建一套完整的安全管理體系，不僅要有一套完備的安全管理技術平臺，還需要相應的組織和人員，以及順暢的運維流程。

3.3.技術平臺總體功能設計

根據稅務系統(tǒng)安全管理平臺的總體設計思路，作為技術部分的安全管理技術（支撐）平臺的功能組成至少應該包括"一庫四中心"，總體功能設計如下圖所示：

圖注安全管理技術（支撐）平臺功能組成

"一庫"是指IT基礎資源庫，包括業(yè)務系統(tǒng)庫、資產庫、配置庫、補丁庫、弱點庫、策略庫、規(guī)則庫、知識庫，等等。IT資源庫包含了安全管理平臺運轉起來的基礎數據，也是安全管理平臺運轉起來的驅動力之一。對于安全管理平臺而言，應該具備IT資源庫信息的維護功能，例如資產維護功能，包括資產的增刪改查等。#p#

"四中心"包括了運行監(jiān)控中心、安全審計中心、風險管理中心和運維管理中心。

運行監(jiān)控中心負責對IT資源的運行狀況、可用性和業(yè)務連續(xù)性進行持續(xù)監(jiān)測。運行監(jiān)控中心應該能夠對全網各類IT資源（網絡、安全、主機、終端、服務、應用、業(yè)務等）進行實時監(jiān)控，采集各種性能和狀態(tài)參數，建立業(yè)務健康指標體系，全面監(jiān)控IT資源可用性。運行監(jiān)控中心產生的各類告警信息一方面可以送入運維管理中心觸發(fā)事件響應流程，另一方面可以送入安全審計中心，作為可用性事件參與安全威脅與風險分析。特別地，安全運行監(jiān)控中心所需的監(jiān)控信息可以來自于現(xiàn)有的網絡或應用管理系統(tǒng)。

安全審計中心最核心的工作就是對收集上來的全網安全日志及事件，以及安全監(jiān)控中心發(fā)來的可用性告警進行關聯(lián)分析，發(fā)現(xiàn)外部入侵，識別內部違規(guī)。安全審計中心的核心組件是SIEM（Security Information and Event Management，安全信息與事件管理）系統(tǒng)。

風險管理中心通過風險評估過程和風險計算方法實現(xiàn)對IT資源風險的定量化計算，獲得可衡量的安全風險，并進行相應的風險控制。風險是資產價值、弱點度量值與威脅度量值根據量化算法而得到的一個量化的安全檢測結果。典型的風險評估過程和計算方法可以參照《GB/T 20984-2007信息安全技術信息安全風險評估規(guī)范》來實現(xiàn)。

運維管理中心與前面三個中心有所不同。安全監(jiān)控中心、安全審計中心和風險管理中心主要是從技術角度發(fā)現(xiàn)、識別和度量安全威脅與風險，而運維管理中心則主要用于借助流程化的手段去響應風險，消減風險，并幫助運維人員建立起一套例行化、常態(tài)化的風險管理機制。

運維管理中心兩個最關鍵的流程分別是巡檢流程和應急響應流程。巡檢流程作為一個正常處理工作流，指導運維人員根據預先制定好的工作計劃和任務，定期開展IT信息系統(tǒng)安全檢查，主動發(fā)現(xiàn)安全隱患，提前采取有效措施，防范未然，并做好記錄。應急響應流程作為一個異常處理工作流，協(xié)助運維人員在發(fā)生突發(fā)事件后，根據預先制定好的應急處置預案和處理流程，進行突發(fā)事件響應、評估、通報、提升、取證、上報、改進等一系列操作，并記錄在案。

除了"一庫四中心"，一個較完備的安全運維管理平臺還應該包括一個"安全管理門戶"。運維人員或者管理層用戶訪問這個門戶，可以看到安全相關的各類通告發(fā)文，可以進入安全論壇進行交流，可以借助知識門戶了解和使用各類安全知識、經驗、案例等。

最重要地，運維人員通過門戶可以登錄到各自的"個人桌面"中。在個人桌面中，可以顯示與該運維人員相關的預警、告警、待辦事宜、計劃任務，顯示他所負責的業(yè)務系統(tǒng)的安全狀況總覽，可以快速開展與其相關的各項安全運維工作。

3.4.運維流程設計

稅務系統(tǒng)安全管理平臺不僅是一個技術平臺，還包括依托于這個技術平臺的運維流程和組織人員體系，安全管理平臺的日常運維工作必須遵循相應的流程?？傮w上，稅務系統(tǒng)安全管理平臺的運維流程可以劃分為正常處理流程和異常處理流程兩大類，最關鍵的正常處理流程是巡檢流程和預警通告流程，而最關鍵的異常處理流程是應急響應流程。

1）巡檢流程

巡檢流程作為一個正常處理工作流，指導運維人員根據預先制定好的工作計劃和任務，定期開展IT信息系統(tǒng)安全檢查，主動發(fā)現(xiàn)安全隱患，提前采取有效措施，防范未然，并做好記錄。

2）預警通告流程

作為一個正常處理工作流，預警通告流程主要包括預警信息和通告信息的發(fā)布、審核和督辦。安全預警通告的一般性信息應包括最新的安全技術動態(tài)、安全公告，病毒信息，漏洞信息等內容，并貫穿稅務系統(tǒng)的總局、省局和地市局。

2）應急響應流程

應急響應流程作為一個異常處理工作流，協(xié)助運維人員在發(fā)生突發(fā)事件后，根據預先制定好的應急處置預案和處理流程，進行突發(fā)事件響應、評估、通報、提升、取證、上報、改進等一系列操作，并記錄在案。

4.稅務系統(tǒng)安全管理平臺的價值體現(xiàn)

從整體而言，稅務系統(tǒng)安全管理平臺的建立為稅務用戶提供了一套可查、可信、可見的安全體系，讓用戶網絡安全由被動響應變?yōu)橹鲃禹憫蓡吸c防御變?yōu)槿娣烙?，由分散的管理變?yōu)榧泄芾?，成為構建統(tǒng)一業(yè)務支撐管理體系的技術和流程支撐平臺。

借助安全管理平臺，稅務用戶可以建設一個專門的安全運營監(jiān)控機房，并設立一個監(jiān)控運維中心。一線運維管理人員在監(jiān)控中心，可以通過大屏幕實時掌控全網的整體運行狀況和安全狀況，并及時接收預警和告警信息，進行應急響應處理。同時，監(jiān)控中心的信號也可以傳到網絡和安全管理人員及其相關領導的辦公室，高級管理人員可以通過瀏覽器界面登錄到系統(tǒng)的監(jiān)控界面，掌握一線人員的實際運維情況，及時進行工作指導。

總之，通過建設一體化的安全管理平臺，用戶具有以下明顯的收益和意義：

1).真正建立起一套全面的安全管理平臺和管理體系，包括技術平臺、管理策略和流程。擺脫過去被動地部署各種安全設備卻又無法提高安全防御效率的惡性循環(huán)；

2).大大提升安全管理人員的工作效率，提升安全運維工作的水平；

3).真正有效地建立符合等級化保護要求的安全管理體系。

【編輯推薦】

安全管理平臺（SOC平臺）的發(fā)展趨勢分析
跳出SOC看SOC
安全管理平臺：是掃帚還是干凈的屋子？
國內安全管理平臺市場回顧與2011年趨勢展望

本文名稱：稅務系統(tǒng)安全管理平臺建設需求分析與總體設計
文章分享：http://m.fisionsoft.com.cn/article/cdgjeej.html

新聞中心

其他資訊