【摘要】本系列文章针对税务系统信息清静建设的现状与挑战提出了一个新型的面向税务营业信息系统的清静治理平台模子,�,�,�,�,�,详细叙述了税务清静治理平台的设计思绪、总体架构、价值和应用模式,�,�,�,�,�,给出了建设税务清静治理平台的妄想建议,�,�,�,�,�,并通过现实案例加以说明�。。�。�。。。。作为系列文章的第一篇,�,�,�,�,�,本文对税务系统所需的清静治理平台举行了需求剖析与总体设计�。。�。�。。。。
税务信息清静建设现状与新挑战
陪同着我国税务信息化建设的一直深入,�,�,�,�,�,税务信息系统的清静防护水平响应地获得了一连提升,�,�,�,�,�,当今的税务系统在清静领域面临比以往更为重大的时势,�,�,�,�,�,税务信息系统的清静建设已经从已往的局部优化阶段进入了整体优化阶段,�,�,�,�,�,从已往的以网络为焦点的防护系统建设进入了以营业系统为焦点的防护系统建设阶段�。。�。�。。。。
为了应对一直转变的清静威胁,�,�,�,�,�,税务系统先后安排了防病毒系统、防火墙、入侵检测系统、误差扫描系统、终端治理、数据库审计系统等简单类清静产品和系统�。。�。�。。。。这种被动的清静建设历程就像是挖壕沟,�,�,�,�,�,为了抵御某一方面的清静威胁,�,�,�,�,�,一直地把壕沟挖深,�,�,�,�,�,并挖出了一条又一条的壕沟�。。�。�。。。。由于这些清静系统都仅仅防堵来自某个方面的清静威胁,�,�,�,�,�,于是形成了一个个清静防御孤岛,�,�,�,�,�,无法爆发协同效应�。。�。�。。。。
另一方面,�,�,�,�,�,随着金税三期工程的深入推进,�,�,�,�,�,税务系统的清静防护重点正在从已往的网络和终端转移到应用和数据上面来�。。�。�。。。。关于税务系统而言,�,�,�,�,�,构建在IT基础架构之上的数据和应用才是最焦点的信息资产�。。�。�。。。。未来的清静防护系统建设必需在增强对IT基础架构清静防护的基础上,�,�,�,�,�,着重做好对包括应用和数据在内的营业信息系统的清静防护�。。�。�。。。。以营业为焦点的清静防护系统正在形成�。。�。�。。。。
别的,�,�,�,�,�,税务系统日益迫切的信息系统品级�;;�;�;ぁ⑸蠹坪湍诳兀�,�,�,�,�,以及一直增强的营业一连性需求,�,�,�,�,�,也对目今税务系统的清静治理提出了严肃的挑战�。。�。�。。。。
上述种种因素批注,�,�,�,�,�,税务系统亟需建设一套横向的、贯串伶仃的清静防地的、以税务主要营业系统为�;;�;�;すぞ叩恼逍郧寰仓卫砥教ǎ�,�,�,�,�,实现对全网IT资源的清静运行举行集中治理,�,�,�,�,�,真正让税务系统治理者掌握整体清静态势,�,�,�,�,�,实现有用地协同防御,�,�,�,�,�,并切合品级�;;�;�;ぜ跋喙厍寰采蟛榭刂埔�。。�。�。。。。
现有清静治理平台建设的局限
事实上,�,�,�,�,�,上述一直凸显的需求不但是税务系统所独吞,�,�,�,�,�,其他信息化清静建设水平较高的行业和单位也正面临类似的困局�。。�。�。。。。为了应对这些挑战,�,�,�,�,�,海内泛起了多种建设集中化清静治理平台的思绪和实践�。。�。�。。。。
总的来说,�,�,�,�,�,清静治理平台是一套以资产为焦点,�,�,�,�,�,以清静事务治理为要害流程,�,�,�,�,�,接纳清静域划分的头脑,�,�,�,�,�,建设一套实时的资产危害模子,�,�,�,�,�,协助治理员举行事务剖析、危害剖析、预警治理和应急响应处置惩罚的集中治理系统�。。�。�。。。。
通过清静治理平台的建设,�,�,�,�,�,税务系统可以实现清静治理事情从疏散到集中的跨越,�,�,�,�,�,从微观到宏观的提升,�,�,�,�,�,为构建税务系统的整体清静防护系统涤讪基础�。。�。�。。。。
可是,�,�,�,�,�,一些税务单位早期的清静治理平台建设实践,�,�,�,�,�,以及海内其他行业的类似建设实践批注,�,�,�,�,�,现在的清静治理平台建设历程中保存一些局限,�,�,�,�,�,尤其是难以知足税务系统的现实需求,�,�,�,�,�,从而阻碍了这项事情的推进�。。�。�。。。。这些局限主要体现在以下四个方面:
1)信息泉源简单,�,�,�,�,�,清静剖析不周全,�,�,�,�,�,剖析效果缺乏指导性
清静治理平台的一项焦点功效就是未来自差别IT资源的信息汇聚起来,�,�,�,�,�,举行范式化和关联剖析,�,�,�,�,�,实现整体清静与危害的评估�。。�。�。。。。但在现真相形中,�,�,�,�,�,往往由于缺少须要的信息输入,�,�,�,�,�,以及获取须要信息的相关手段,�,�,�,�,�,从而导致剖析效果缺乏说服力�。。�。�。。。。这种信息缺失是多方面的�。。�。�。。。。例如,�,�,�,�,�,古板的清静治理平台基本处于被动运行状态,�,�,�,�,�,仅仅被动吸收装备的日志信息,�,�,�,�,�,对系统和装备的可用性和康健状态无法做到自动和有用监控�。。�。�。。。。当用户的网络和系统泛起故障后,�,�,�,�,�,清静治理平台无法网络到相关事务,�,�,�,�,�,其剖析效果肯定大打折扣�。。�。�。。。。
2)只关注装备资产的清静,�,�,�,�,�,而没有关注要害营业系统的清静
关于税务系统而言,�,�,�,�,�,最名贵的资产不是网络装备和主机装备,�,�,�,�,�,而是他们所承载的应用和数据!我们举行一轮又一轮的清静防护系统建设,�,�,�,�,�,最终的防护工具不是网络自己,�,�,�,�,�,而是网络所承载的税务营业信息系统�。。�。�。。。。这些营业系统的运行优劣、清静与否、系统中的种种数据是否清静可靠才是各级税务单位信息中心和向导所关注的焦点问题�。。�。�。。。。若是网络一切运行正常,�,�,�,�,�,可是应用和数据遭到破损,�,�,�,�,�,谈何清静�。。�。�。。。。不幸的是,�,�,�,�,�,古板的清静治理平台局限于对网络、主机等装备资产的清静监控与治理,�,�,�,�,�,而忽视了对其上运行的营业系统的清静监控与治理,�,�,�,�,�,尤其是主要营业系统的清静�;;�;�;�。。�。�。。。。古板清静治理平台所保存的这种局限性不但是理念上的,�,�,�,�,�,也是手艺上的,�,�,�,�,�,若是不厘革现有的平台手艺架构,�,�,�,�,�,不可能顺应营业生长的需要�。。�。�。。。。
3)片面强调了发明清静问题的手艺历程,�,�,�,�,�,而忽略了处置惩罚清静问题的运维流程
目今大部分清静治理平台都把手艺实力投入到了事务收罗和剖析上�。。�。�。。。。这些手艺虽然主要,�,�,�,�,�,但都是属于清静威胁及问题的发明阶段的手艺�。。�。�。。。。目今的清静治理平台大都忽略了资助用户处置惩罚息争决这些已知清静问题的历程�。。�。�。。。。效果,�,�,�,�,�,许多治理员通过清静治理平台获悉清静问题后,�,�,�,�,�,无所适从,�,�,�,�,�,不知如那里置,�,�,�,�,�,进而爆发了对清静治理平台运用效果的质疑�。。�。�。。。。
4)自成一体,�,�,�,�,�,关闭治理,�,�,�,�,�,缺乏与其他治理系统的整合协同
目今,�,�,�,�,�,不但是网络清静的集中化治理,�,�,�,�,�,税务系统也正在起劲地举行网络运行的集中化治理、终端准入与清静的集中化治理,�,�,�,�,�,甚至是基于ITIL的IT运维治理系统建设�。。�。�。。。。怎样在做好网络集中治理、清静集中治理和运维治理建设的同时,�,�,�,�,�,准确梳理好三者之间的关系,�,�,�,�,�,确保不泛起新的“治理孤岛”,�,�,�,�,�,也是摆在税务系统IT基础设施治理与运营建设者们眼前的一个问题�。。�。�。。。。目今的清静治理平台大都自成一体,�,�,�,�,�,没有思量到其他治理系统之间的关系,�,�,�,�,�,停留在自我关闭治理的条理上,�,�,�,�,�,难以顺应税务系统大集中、大平台、大运维的总体生长思绪�。。�。�。。。。
面临上述清静治理平台建设历程中泛起的新挑战,�,�,�,�,�,以及现有清静治理平台的局限性,�,�,�,�,�,必需对清静治理平台举行重新熟悉,�,�,�,�,�,形成一套新的平台架构和项目建设思绪�。。�。�。。。。对此,�,�,�,�,�,本文提出了一套建设税务信息系统清静治理平台(Tax Security Management Platform,�,�,�,�,�,TSMP)的手艺架构总体设计计划,�,�,�,�,�,以及配套的妄想建设计划�。。�。�。。。。
税务信息系统清静治理平台总体设计
设计指导原则
构建税务系统集中化清静治理平台(TSMP)需遵照以下设计指导原则:
1) 切合国家、行业的相关执律例则和指引
平台的设计遵照国家和税务总局关于信息系统品级化�;;�;�;さ南喙厥忠找蠛蜕杓埔螅�,�,�,�,�,切合税务系统清静防护总体要求�。。�。�。。。。
2) 切合金税三期的总体建设妄想
平台的设计切合金税三期的一体化建设原则,�,�,�,�,�,即“将信息系统作为一个整体统筹妄想,�,�,�,�,�,建设统一的应用架构、统一的数据架构、统一的网络平台、统一的硬件设施平台、统一的清静系统、统一的运行维护系统等基础架构平台�。。�。�。。。。”
3) 能够有用兼容税务已有清静治理类产品及系统,�,�,�,�,�,并且阻止未来爆发新的清静治理孤岛
平台的设计能够将税务系统现有的种种清静治理类产品及系统整合起来,�,�,�,�,�,例如终端治理系统、清静审计系统、防火墙集中治理系统,�,�,�,�,�,等等�。。�。�。。。。同时,�,�,�,�,�,平台应该具有开放性和延展性,�,�,�,�,�,能够兼容新的简单类清静治理系统,�,�,�,�,�,始终维持统一清静治理平台的职位,�,�,�,�,�,阻止爆发新的清静治理孤岛�。。�。�。。。。别的,�,�,�,�,�,平台还要能够与税务系统在建或者妄想建设的网络治理系统、运维治理系统举行对接和协同事情�。。�。�。。。。
总体设计思绪
税务系统清静治理平台的总体设计思绪是:以税务营业信息系统清静防护为焦点,�,�,�,�,�,依托于现有的网络及应用清静防护手艺、产品和系统,�,�,�,�,�,从监控、审计、危害和运维四个维度构建起一套集中化、流程化、系统化的周全清静治理手艺平台及其配套的组织系统和运作系统,�,�,�,�,�,实现税务系统一样平常清静治理运维事情的标准化、例行化,�,�,�,�,�,并融入到税务系统整体运行维护系统之中�。。�。�。。。。
在上述总体设计思绪中,�,�,�,�,�,构建清静治理平台的四个维度十分要害�。。�。�。。。。
监控——通过对税务系统IT资源中包括网络装备、清静装备、主机和应用在内的节点举行统一运行监控,�,�,�,�,�,包管IT资源的整体运行清静,�,�,�,�,�,实时发明网络和系统主机的故障和性能瓶颈�。。�。�。。。。
审计——通过实时获取IT资源中的种种清静信息,�,�,�,�,�,举行关联剖析,�,�,�,�,�,实现IT资源的清静态势感知,�,�,�,�,�,对内部违规和外部入侵行为举行审计,�,�,�,�,�,验证营业系统及其IT支持系统的合规性�。。�。�。。。。
危害——将营业系统的威胁信息搜集到一起,�,�,�,�,�,通过危害评估获得可丈量的清静危害,�,�,�,�,�,展示出税务系统全局性清静危害态势�。。�。�。。。。
运维——借助运维流程支持平台和标准化的运维流程指导治理职员处置惩罚清静问题,�,�,�,�,�,实验有用的清静控制步伐�。。�。�。。。。
这四个维度牢牢围绕主要税务营业信息系统,�,�,�,�,�,协助税务单位信息中心事情职员对税务营业系统举行全方位的运行监控、清静审计、危害评估和运行维护�。。�。�。。。。
上述四个维度的连系就组成了清静治理的手艺(支持)平台�。。�。�。。。。可是要做到真正的清静治理,�,�,�,�,�,光靠手艺是不可的,�,�,�,�,�,凭证IATF理论,�,�,�,�,�,还需要组织和流程,�,�,�,�,�,也就是所谓的人、流程、手艺三者缺一不可�。。�。�。。。。这里,�,�,�,�,�,人也叫组织�。。�。�。。。。
人的问题,�,�,�,�,�,不是靠软件系统去解决的,�,�,�,�,�,是靠制度和意识�。。�。�。。。。可是流程问题是可以靠手艺来支持的�。。�。�。。。。流程是履历和制度的固化,�,�,�,�,�,是一种长效机制的体现�。。�。�。。。。流程要靠人去执行�。。�。�。。。。流程可以有一个手艺平台来支持,�,�,�,�,�,叫做“运维治理”,�,�,�,�,�,并可以整合到清静治理手艺支持平台中�。。�。�。。。。
税务系统的清静治理平台总体设计思绪批注,�,�,�,�,�,要构建一套完整的清静治理系统,�,�,�,�,�,不但要有一套完整的清静治理手艺平台,�,�,�,�,�,还需要响应的组织和职员,�,�,�,�,�,以及顺畅的运维流程�。。�。�。。。。
手艺平台总体功效设计
凭证税务系统清静治理平台的总体设计思绪,�,�,�,�,�,作为手艺部分的清静治理手艺(支持)平台的功效组成至少应该包括“一库四中心”,�,�,�,�,�,总体功效设计如下图所示:
图注 清静治理手艺(支持)平台功效组成
“一库”是指IT基础资源库,�,�,�,�,�,包括营业系统库、资产库、设置库、补丁库、弱点库、战略库、规则库、知识库,�,�,�,�,�,等等�。。�。�。。。。IT资源库包括了清静治理平台运转起来的基础数据,�,�,�,�,�,也是清静治理平台运转起来的驱动力之一�。。�。�。。。。关于清静治理平台而言,�,�,�,�,�,应该具备IT资源库信息的维护功效,�,�,�,�,�,例如资产维护功效,�,�,�,�,�,包括资产的增删改查等�。。�。�。。。。
“四中心”包括了运行监控中心、清静审计中心、危害治理中心和运维治理中心�。。�。�。。。。
运行监控中心认真对IT资源的运行状态、可用性和营业一连性举行一连监测�。。�。�。。。。运行监控中心应该能够对全网种种IT资源(网络、清静、主机、终端、效劳、应用、营业等)举行实时监控,�,�,�,�,�,收罗种种性能和状态参数,�,�,�,�,�,建设营业康健指标系统,�,�,�,�,�,周全监控IT资源可用性�。。�。�。。。。运行监控中心爆发的种种告警信息一方面可以送入运维治理中心触发事务响应流程,�,�,�,�,�,另一方面可以送入清静审计中心,�,�,�,�,�,作为可用性事务加入清静威胁与危害剖析�。。�。�。。。。特殊地,�,�,�,�,�,清静运行监控中心所需的监控信息可以来自于现有的网络或应用治理系统�。。�。�。。。。
清静审计中心最焦点的事情就是对网络上来的全网清静日志及事务,�,�,�,�,�,以及清静监控中心发来的可用性告警举行关联剖析,�,�,�,�,�,发明外部入侵,�,�,�,�,�,识别内部违规�。。�。�。。。。清静审计中心的焦点组件是SIEM(Security Information and Event
Management,�,�,�,�,�,清静信息与事务治理)系统�。。�。�。。。。
危害治理中心通过危害评估历程和危害盘算要领实现对IT资源危害的定量化盘算,�,�,�,�,�,获得可权衡的清静危害,�,�,�,�,�,并举行响应的危害控制�。。�。�。。。。危害是资产价值、弱点怀抱值与威胁怀抱值凭证量化算法而获得的一个量化的清静检测效果�。。�。�。。。。典范的危害评估历程和盘算要领可以参照《GB/T 20984-2007信息清静手艺 信息清静危害评估规范》来实现�。。�。�。。。。
运维治理中心与前面三其中心有所差别�。。�。�。。。。清静监控中心、清静审计中心和危害治理中心主要是从手艺角度发明、识别和怀抱清静威胁与危害,�,�,�,�,�,而运维治理中心则主要用于借助流程化的手段去响应危害,�,�,�,�,�,消减危害,�,�,�,�,�,并资助运维职员建设起一套例行化、常态化的危害治理机制�。。�。�。。。。
运维治理中心两个最要害的流程划分是巡检流程和应急响应流程�。。�。�。。。。巡检流程作为一个正常处置惩罚事情流,�,�,�,�,�,指导运维职员凭证预先制订好的事情妄想和使命,�,�,�,�,�,按期开展 IT信息系统清静检查,�,�,�,�,�,自动发明清静隐患,�,�,�,�,�,提前接纳有用步伐,�,�,�,�,�,提防未然,�,�,�,�,�,并做好纪录�。。�。�。。。。应急响应流程作为一个异常处置惩罚事情流,�,�,�,�,�,协助运维职员在爆发突发事务后,�,�,�,�,�,凭证预先制订好的应急处置惩罚预案和处置惩罚流程,�,�,�,�,�,举行突发事务响应、评估、转达、提升、取证、上报、刷新等一系列操作,�,�,�,�,�,并纪录在案�。。�。�。。。。
除了“一库四中心”,�,�,�,�,�,一个较完整的清静运维治理平台还应该包括一个“清静治理门户”�。。�。�。。。。运维职员或者治理层用户会见这个门户,�,�,�,�,�,可以看到清静相关的种种通密告文,�,�,�,�,�,可以进入清静论坛举行交流,�,�,�,�,�,可以借助知识门户相识和使用种种清静知识、履历、案例等�。。�。�。。。。
最主要地,�,�,�,�,�,运维职员通过门户可以登录到各自的“小我私家桌面”中�。。�。�。。。。在小我私家桌面中,�,�,�,�,�,可以显示与该运维职员相关的预警、告警、待效劳宜、妄想使命,�,�,�,�,�,显示他所认真的营业系统的清静状态总览,�,�,�,�,�,可以快速开展与其相关的各项清静运维事情�。。�。�。。。。
运维流程设计
税务系统清静治理平台不但是一个手艺平台,�,�,�,�,�,还包括依托于这个手艺平台的运维流程和组织职员系统,�,�,�,�,�,清静治理平台的一样平常运维事情必需遵照响应的流程�。。�。�。。。。总体上,�,�,�,�,�,税务系统清静治理平台的运维流程可以划分为正常处置惩罚流程和异常处置惩罚流程两大类,�,�,�,�,�,最要害的正常处置惩罚流程是巡检流程和预警通告流程,�,�,�,�,�,而最要害的异常处置惩罚流程是应急响应流程�。。�。�。。。。
1)巡检流程
巡检流程作为一个正常处置惩罚事情流,�,�,�,�,�,指导运维职员凭证预先制订好的事情妄想和使命,�,�,�,�,�,按期开展IT信息系统清静检查,�,�,�,�,�,自动发明清静隐患,�,�,�,�,�,提前接纳有用步伐,�,�,�,�,�,提防未然,�,�,�,�,�,并做好纪录�。。�。�。。。。
2)预警通告流程
作为一个正常处置惩罚事情流,�,�,�,�,�,预警通告流程主要包括预警信息和通告信息的宣布、审核和督办�。。�。�。。。。清静预警通告的一样平常性信息应包括最新的清静手艺动态、清静通告,�,�,�,�,�,病毒信息,�,�,�,�,�,误差信息等内容,�,�,�,�,�,并贯串税务系统的总局、省局和地市局�。。�。�。。。。
2)应急响应流程
应急响应流程作为一个异常处置惩罚事情流,�,�,�,�,�,协助运维职员在爆发突发事务后,�,�,�,�,�,凭证预先制订好的应急处置惩罚预案和处置惩罚流程,�,�,�,�,�,举行突发事务响应、评估、转达、提升、取证、上报、刷新等一系列操作,�,�,�,�,�,并纪录在案�。。�。�。。。。
税务系统清静治理平台的价值体现
从整体而言,�,�,�,�,�,税务系统清静治理平台的建设为税务用户提供了一套可查、可信、可见的清静系统,�,�,�,�,�,让用户网络清静由被动响应变为自动响应,�,�,�,�,�,由单点防御变为周全防御,�,�,�,�,�,由疏散的治理变为集中治理,�,�,�,�,�,成为构建统一营业支持治理系统的手艺和流程支持平台�。。�。�。。。。
借助清静治理平台,�,�,�,�,�,税务用户可以建设一个专门的清静运营监控机房,�,�,�,�,�,并设立一个监控运维中心�。。�。�。。。。一线运维治理职员在监控中心,�,�,�,�,�,可以通过大屏幕实时掌控全网的整体运行状态和清静状态,�,�,�,�,�,并实时吸收预警和告警信息,�,�,�,�,�,举行应急响应处置惩罚�。。�。�。。。。同时,�,�,�,�,�,监控中心的信号也可以传到网络和清静治理职员及其相关向导的办公室,�,�,�,�,�,高级治理职员可以通过浏览器界面登录到系统的监控界面,�,�,�,�,�,掌握一线职员的现实运维情形,�,�,�,�,�,实时举行事情指导�。。�。�。。。。
总之,�,�,�,�,�,通过建设一体化的清静治理平台,�,�,�,�,�,用户具有以下显着的收益和意义:
1) 真正建设起一套周全的清静治理平台和治理系统,�,�,�,�,�,包括手艺平台、治理战略和流程�。。�。�。。。。挣脱已往被动地安排种种清静装备却又无法提高清静防御效率的恶性循环�;;�;�;
2) 大大提升清静治理职员的事情效率,�,�,�,�,�,提升清静运维事情的水平�;;�;�;
3) 真正有用地建设切合品级化�;;�;�;ひ蟮那寰仓卫硐低�。。�。�。。。。
(泉源:918博天堂 叶蓬)
京公网安备11010802024551号