税务信息系统建设安全管理平台方案
来源:赛迪网 更新时间:2012-04-14

   作者:叶蓬
 项目简介

从2008年至今,江西地税通过两期的安全管理运维平台的建设,已经基本建成了基于一个统一管理大平台的科学化、精细化、规范化安全管理与运维机制,使得全省各级地税信息中心部门在一个平台上实现对信息安全相关工作的管理、监控和分析,确保重要税务业务系统的安全、高效、稳定运行。

江西地税安全管理运维平台的建设过程遵循了“整体规划、分步实施、逐步落实”的建设思路,并通过反复论证和公开招标,最终选定了启明星辰承担其安全运维管理平台的建设任务。

在项目一期,江西地税主要在省局以及11个地市局进行了四个专门类管理系统的建设,包括设备管理、网络管理、终端管理、机房环境管理等等,同时初步搭建了一个管理范围涵盖全省地税IT资源及其专门类管理系统的集中安全管理平台,实现了基础的安全管理功能。通过一期建设,江西地税IT管理水平取得了较大程度的提升,发挥了省地税信息化资产整体效能,确保了省地税管理信息系统稳定持续运行,为省地税税收稳定持续增长提供了有力技术支撑。

在项目二期,江西地税主要在省局以及11个地市局安全管理平台的基础上,增加了合规管理、运维管理、知识管理和综合分析的功能,并对一期的设备管理等模块进行了升级改造。

目前,江西地税安全管理运维平台涵盖9大子系统、185个功能模块、1783个功能点,实现了包括监控、审计、风险管理和运维管理在内的集中化、全局性安全管理目标。

项目实施

正如税务系统安全管理平台建设规划中所言,实施对于安全管理平台项目而言至关重要。一个再好的技术平台,如果没有好的实施,一样可能遭受失败。

启明星辰凭借在国内安全管理领域多年的实践,形成了一套对国内客户,包括对税务行业客户行之有效的项目实施方法论,包括了实施流程、项目管理、培训、运维服务等多个方面。同时,启明星辰具有一支专业化的项目实施团队,涵盖咨询、调研、设计、开发、部署、培训、运维等安全管理平台建设的全生命周期。

下图展示了该项目的进度安排,包括开发、部署、验收、运维四大基本项目过程。

实施效果

通过前后两期的建设,江西地税的安全管理运维平台已经基本成型,并显现成效:

·平台采用精确事件采集技术准确地关联分析技术、基于业务的工作流模型和协同响应技术等,确保平台的建设符合工作实际需要,并能达到目前同类安全管理运维系统设计的先进水平。

·平台将“大运维”的理念贯穿始终,在一个统一的平台上融合了江西地税网络、系统、终端、安全、环境、流程、资产、知识库的管理,为信息系统运行维护的统一管理奠定坚实的技术支撑。

·平台数据存储在省市两级,同时又将所有数据集中到省级的平台进行监控和分析,实现信息的高度复用和共享,便于从各种不同的角度来排除安全隐患,主动发现各类安全问题。

·平台采用自动化“工作流”运维机制,结合后台的各管理模块、流程流转,提供门户式、一站式、便捷式的运维管理方式,实时了解当前运维事件解决情况和日常维护工作进展情况,提高各级地税信息技术人员的工作效率和管理水平。

·平台将管理与技术进行全面结合,实现多口径、多角度地分析利用和查询统计数据,可以为技术人员提供直观展示和操作平台,同时也为管理层进行风险控制决策提供直接依据。

·平台嵌入知识系统,有效地沉积运维经验,提供案例化的处理方式,使各级安全、管理和运维工作成为高效协调的整体;同时通过个人展示系统、社区系统等方式实现个人经验积累、经验讨论分享,提升信息管理人员的技术水平和综合素质

·平台优化了江西地税管理信息系统现有的安全、管理和运维模式,增强安全防范能力,强化了管理监督,提高了工作效率,实现安全、管理和运维的科学化、规范化、精细化。

系列文章结束语

对于税务系统而言,安全管理平台的建设既是当前信息与网络安全建设的必然选择,也是未来税务系统整体安全防护的必然要求。随着税务业务信息系统不断丰富,IT与业务的融合将愈发紧密,而安全作为支撑IT持续运行的关键要素,必然要求与税务的业务信息系统也密切联系起来,安全管理平台的业务导向将更加显著。只有将安全与业务融合,从客户业务价值的角度去进行一体化安全体系的建设,才能够真正将原来的“安全防御孤岛”和“安全信息孤岛”连成一片,形成一个企业和组织整体的、以业务为核心的IT一体化集中管理平台,实现对业务连续性的监控、业务安全性的审计和业务风险的度量。而这,正是本文提出的统一安全管理平台的主旨目标。

与此同时,税务系统安全管理平台比以往的安全管理平台更加看重平台项目的组织、规划、实施与运维,从安全管理平台全生命周期的角度去看待整体安全体系的建设,更加注重实效,并具备可行性。