稅務信息系統建設安全管理平臺的研究（三）

【注】做爲該系列文章的最後一篇，本文首發於本人的51CTO博客。文章對稅務系統安全管理平臺的建設規劃提出了一些思路和建議。

參考：系列文章第一篇：需求分析與整體設計

系列文章第二篇：應用模式分析

稅務信息系統建設安全管理平臺的研究（三）——建設規劃思路

 

1       建設規劃的關鍵思路

1.1     總體規劃、分步實施、逐步落實的思路

建設一套全面的稅務安全管理體系是一個系統工程，牽涉到單位的方方面面，不只是安全管理部門的事情，也不只是信息中心的事情，還涉及到各個業務部門，甚至單位中的每一個我的。同時，創建安全管理體系自己也涉及到技術、流程、組織和人員等諸多要素，相互關聯，缺一不可。所以，必須充分認識到安全管理體系建設的複雜性，同時要得到單位高級管理層的理解和支持，整體規劃必定要到位，切忌重建設輕規劃。

1）、安全管理體系設計

在管理層的支持下，各局信息中心首先要結合本單位的現狀與將來發展規劃，以及自身業務特色，按照等級保護的基本要求，借鑑IAFT的框架，設計出整體安全管理體系。這個體系應該包括組織和人員、流程、技術等各個方面。

2）、安全管理平臺設計

而後，基於安全管理平臺的整體設計思路和功能組成，從實際需求出發，設計出安全管理體系之下的稅務系統安全管理平臺設計方案。這個整體方案重點對安全管理的技術方案進行設計，造成一套安全管理體系的技術支撐平臺，並知足需求、切合實際。

3）、安全管理平臺落實規劃

稅務系統安全管理平臺設計方案不可能一步到位，須要進行合理規劃，分階段實施，分步驟落實。每一步都要明確實施的範圍、目標，預期要達成的效果，並進行可行性分析和論證。通常建議分2～4步來落實。

1.2     技術與服務並重，建設與運維並舉的思路

安全管理體系的創建和安全管理平臺的選型、部署、運維與使用不只僅是一個技術問題，還涉及到組織、人員和流程等方方面面。所以，安全管理平臺必定要避免「重建設，輕使用」的誤區。只要規劃明確、管理範圍界定清楚、目標清晰，依據科學的技術指標，遵循合理的選型過程，就可以搭建好一個安全管理平臺。可是，如何使用好這個安全管理平臺，則須要在平常運維工做中不斷地磨合、梳理，逐步創建起適用的工做流程。同時，還須要相應的專業技術人才，以及合格的運維管理隊伍。

所以，建設稅務系統安全管理平臺，必定要技術與服務並重，建設與運維並舉，在規劃、選型等各個階段都要關注安全管理平臺運維服務部分的內容，避免出現「建起來，用不起來的」尷尬。

須要指出的是，若是說技術選型能夠制定出一套硬指標的話，那麼，服務選型都是軟指標。這些軟指標如何在後續的安全管理運維使用過程當中體現出來，是具備挑戰性的。

1.3     充分利用代維服務，藉助外腦

如前所述，建設安全管理平臺是一項技術含量高，對單位組織和配套流程要求高的工做。通過多年的信息化建設和信息安全建設，稅務系統已經積累了大量的安全運維與管理經驗，有的單位也初步創建起了一支專業化的安全運維與服務隊伍。可是，大部分單位目前的實際狀況仍然難以知足安全管理平臺運維使用的須要，在技術和人員方面都存在較大的差距。

所以，稅務系統在建設安全管理平臺的過程當中，要充分藉助外腦，充分利用外部資源，使用代維服務，運維外包的模式。在項目規劃和建設階段，能夠藉助外腦，利用外部諮詢專家和實施顧問定規劃、定應急預案、定運維流程；在系統運維使用階段，能夠藉助運維外包，利用外包方駐場工程師充實現有的運維隊伍，利用外包方專家協助進行應急響應、安全事件分析與取證。

在利用外部資源的同時，客戶自身也要創建一支精幹的專業安全運維管理團隊，不斷吸收外部資源提供的經驗，逐步提高自身的專業技術水平和安全運維能力，並作好相應的代維監督管理工做。

2       技術平臺選型過程建議

稅務系統安全管理平臺的建設是一項系統工程，應該先作好安全管理體系的規劃，並制定出當前階段的任務目標、範圍，以及預期達成的效果。而後，才能夠進入安全管理技術平臺選型階段。安全管理技術平臺選型過程建議按照如下步驟進行：

1）、創建安全管理平臺衡量關鍵指標體系

在安全管理平臺選型的時候，第一步是要創建衡量安全管理平臺的關鍵指標體系。用戶根據當前階段的任務目標和範圍，從選型指標庫中選取合適的指標，包括技術指標和服務指標兩類，並賦予相應的權重，構成本次選型的關鍵指標體系。

這個階段的工做成果輸出是：一個包括關鍵指標體系的打分表。

2）、篩選供應商，肯定備選平臺

這個階段的工做是根據那份關鍵指標體系和打分表對供應商進行比較、打分。根據供應商的平臺技術水平和服務水平篩選出優選的供應商，並圈定2～4個備選平臺。

須要注意的是，選擇供應商與選擇安全管理平臺是有區別的，選擇安全管理平臺平臺重點關注的是是否可以知足技術指標體系，而選擇供應商重點關注的是供應商的安全管理平臺實施能力，以及知足服務指標體系的程度。

這個階段的工做輸出是：出具安全管理平臺供應商的服務指標體系符合性報告、肯定備選供應商和備選平臺。

3）、依照技術指標體系對備選平臺進行POC驗證性測試

在肯定備選安全管理平臺後，就要根據事先制定的關鍵技術指標，對2～4家備選平臺進行驗證性測試。

POC（Proof of Concept）測試，即驗證性測試，是指根據預設的系統功能和性能技術指標，在模擬環境下，進行真實的數據運行，對備選系統進行功能知足度的測試。同時，經過對備選系統進行性能測算，估算出真實環境下的性能和系統承載能力。

在這個階段，用戶要自行搭建模擬環境，並在安全管理平臺供應商的配合下，搭建起測試平臺，進行測試。通常每一個平臺的測試周期約爲1～2周。測試完畢，要出具測試報告和技術指標體系符合性報告。

在進行驗證性測試的時候，能夠僅針對優先級別標記爲高或者是必須知足的技術指標項進行測試，這樣有助於測試過程的快速收斂。

4）、綜合評判

根據第二階段和第三階段的工做成果，對安全管理平臺供應商和平臺做出綜合評判，並打分。

5）、商務談判、招投標

這個階段，用戶進入商務招標階段。能夠選擇公開招標，或者邀標，等等。

總之，因爲安全管理平臺技術相對比較複雜，涉及面普遍，所以安全管理平臺選型應該慎重行事，前期準備工做盡可能充分、完備。

 【本系列文章完】