税务信息系统建设安全管理平台的研究（三）

时间 2020-08-20

标签税务信息系统建设安全管理平台研究栏目系统安全繁體版

原文原文链接

【注】做为该系列文章的最后一篇，本文首发于本人的51CTO博客。文章对税务系统安全管理平台的建设规划提出了一些思路和建议。安全

参考：系列文章第一篇：需求分析与整体设计框架

系列文章第二篇：应用模式分析运维

税务信息系统建设安全管理平台的研究（三）——建设规划思路

1 建设规划的关键思路

1.1 总体规划、分步实施、逐步落实的思路

建设一套全面的税务安全管理体系是一个系统工程，牵涉到单位的方方面面，不只是安全管理部门的事情，也不只是信息中心的事情，还涉及到各个业务部门，甚至单位中的每一个我的。同时，创建安全管理体系自己也涉及到技术、流程、组织和人员等诸多要素，相互关联，缺一不可。所以，必须充分认识到安全管理体系建设的复杂性，同时要得到单位高级管理层的理解和支持，整体规划必定要到位，切忌重建设轻规划。ide

1）、安全管理体系设计性能

在管理层的支持下，各局信息中心首先要结合本单位的现状与将来发展规划，以及自身业务特色，按照等级保护的基本要求，借鉴IAFT的框架，设计出整体安全管理体系。这个体系应该包括组织和人员、流程、技术等各个方面。测试

2）、安全管理平台设计spa

而后，基于安全管理平台的整体设计思路和功能组成，从实际需求出发，设计出安全管理体系之下的税务系统安全管理平台设计方案。这个整体方案重点对安全管理的技术方案进行设计，造成一套安全管理体系的技术支撑平台，并知足需求、切合实际。设计

3）、安全管理平台落实规划orm

税务系统安全管理平台设计方案不可能一步到位，须要进行合理规划，分阶段实施，分步骤落实。每一步都要明确实施的范围、目标，预期要达成的效果，并进行可行性分析和论证。通常建议分2～4步来落实。blog

安全管理体系的创建和安全管理平台的选型、部署、运维与使用不只仅是一个技术问题，还涉及到组织、人员和流程等方方面面。所以，安全管理平台必定要避免“重建设，轻使用”的误区。只要规划明确、管理范围界定清楚、目标清晰，依据科学的技术指标，遵循合理的选型过程，就可以搭建好一个安全管理平台。可是，如何使用好这个安全管理平台，则须要在平常运维工做中不断地磨合、梳理，逐步创建起适用的工做流程。同时，还须要相应的专业技术人才，以及合格的运维管理队伍。

所以，建设税务系统安全管理平台，必定要技术与服务并重，建设与运维并举，在规划、选型等各个阶段都要关注安全管理平台运维服务部分的内容，避免出现“建起来，用不起来的”尴尬。

须要指出的是，若是说技术选型能够制定出一套硬指标的话，那么，服务选型都是软指标。这些软指标如何在后续的安全管理运维使用过程当中体现出来，是具备挑战性的。

1.3 充分利用代维服务，借助外脑

如前所述，建设安全管理平台是一项技术含量高，对单位组织和配套流程要求高的工做。通过多年的信息化建设和信息安全建设，税务系统已经积累了大量的安全运维与管理经验，有的单位也初步创建起了一支专业化的安全运维与服务队伍。可是，大部分单位目前的实际状况仍然难以知足安全管理平台运维使用的须要，在技术和人员方面都存在较大的差距。

所以，税务系统在建设安全管理平台的过程当中，要充分借助外脑，充分利用外部资源，使用代维服务，运维外包的模式。在项目规划和建设阶段，能够借助外脑，利用外部咨询专家和实施顾问定规划、定应急预案、定运维流程；在系统运维使用阶段，能够借助运维外包，利用外包方驻场工程师充实现有的运维队伍，利用外包方专家协助进行应急响应、安全事件分析与取证。

在利用外部资源的同时，客户自身也要创建一支精干的专业安全运维管理团队，不断吸收外部资源提供的经验，逐步提高自身的专业技术水平和安全运维能力，并作好相应的代维监督管理工做。

2 技术平台选型过程建议

税务系统安全管理平台的建设是一项系统工程，应该先作好安全管理体系的规划，并制定出当前阶段的任务目标、范围，以及预期达成的效果。而后，才能够进入安全管理技术平台选型阶段。安全管理技术平台选型过程建议按照如下步骤进行：

1）、创建安全管理平台衡量关键指标体系

在安全管理平台选型的时候，第一步是要创建衡量安全管理平台的关键指标体系。用户根据当前阶段的任务目标和范围，从选型指标库中选取合适的指标，包括技术指标和服务指标两类，并赋予相应的权重，构成本次选型的关键指标体系。

这个阶段的工做成果输出是：一个包括关键指标体系的打分表。

2）、筛选供应商，肯定备选平台

这个阶段的工做是根据那份关键指标体系和打分表对供应商进行比较、打分。根据供应商的平台技术水平和服务水平筛选出优选的供应商，并圈定2～4个备选平台。

须要注意的是，选择供应商与选择安全管理平台是有区别的，选择安全管理平台平台重点关注的是是否可以知足技术指标体系，而选择供应商重点关注的是供应商的安全管理平台实施能力，以及知足服务指标体系的程度。

这个阶段的工做输出是：出具安全管理平台供应商的服务指标体系符合性报告、肯定备选供应商和备选平台。

3）、依照技术指标体系对备选平台进行POC验证性测试

在肯定备选安全管理平台后，就要根据事先制定的关键技术指标，对2～4家备选平台进行验证性测试。

POC（Proof of Concept）测试，即验证性测试，是指根据预设的系统功能和性能技术指标，在模拟环境下，进行真实的数据运行，对备选系统进行功能知足度的测试。同时，经过对备选系统进行性能测算，估算出真实环境下的性能和系统承载能力。

在这个阶段，用户要自行搭建模拟环境，并在安全管理平台供应商的配合下，搭建起测试平台，进行测试。通常每一个平台的测试周期约为1～2周。测试完毕，要出具测试报告和技术指标体系符合性报告。

在进行验证性测试的时候，能够仅针对优先级别标记为高或者是必须知足的技术指标项进行测试，这样有助于测试过程的快速收敛。

4）、综合评判

根据第二阶段和第三阶段的工做成果，对安全管理平台供应商和平台做出综合评判，并打分。

5）、商务谈判、招投标

这个阶段，用户进入商务招标阶段。能够选择公开招标，或者邀标，等等。

总之，因为安全管理平台技术相对比较复杂，涉及面普遍，所以安全管理平台选型应该慎重行事，前期准备工做尽可能充分、完备。