圖注 安全管理技術(shù)(支撐)平臺功能組成

“一庫”是指IT基礎(chǔ)資源庫，包括業(yè)務(wù)系統(tǒng)庫、資產(chǎn)庫、配置庫、補丁庫、弱點庫、策略庫、規(guī)則庫、知識庫，等等。IT資源庫包含了安全管理平臺運轉(zhuǎn)起來的基礎(chǔ)數(shù)據(jù)，也是安全管理平臺運轉(zhuǎn)起來的驅(qū)動力之一。對于安全管理平臺而言，應(yīng)該具備IT資源庫信息的維護功能，例如資產(chǎn)維護功能，包括資產(chǎn)的增刪改查等。

“四中心”包括了運行監(jiān)控中心、安全審計中心、風(fēng)險管理中心和運維管理中心。

運行監(jiān)控中心負責(zé)對IT資源的運行狀況、可用性和業(yè)務(wù)連續(xù)性進行持續(xù)監(jiān)測。運行監(jiān)控中心應(yīng)該能夠?qū)θW(wǎng)各類IT資源(網(wǎng)絡(luò)、安全、主機、終端、服務(wù)、應(yīng)用、業(yè)務(wù)等)進行實時監(jiān)控，采集各種性能和狀態(tài)參數(shù)，建立業(yè)務(wù)健康指標體系，全面監(jiān)控IT資源可用性。運行監(jiān)控中心產(chǎn)生的各類告警信息一方面可以送入運維管理中心觸發(fā)事件響應(yīng)流程，另一方面可以送入安全審計中心，作為可用性事件參與安全威脅與風(fēng)險分析。特別地，安全運行監(jiān)控中心所需的監(jiān)控信息可以來自于現(xiàn)有的網(wǎng)絡(luò)或應(yīng)用管理系統(tǒng)。

安全審計中心最核心的工作就是對收集上來的全網(wǎng)安全日志及事件，以及安全監(jiān)控中心發(fā)來的可用性告警進行關(guān)聯(lián)分析，發(fā)現(xiàn)外部入侵，識別內(nèi)部違規(guī)。安全審計中心的核心組件是SIEM(Security Information and Event Management，安全信息與事件管理)系統(tǒng)。

風(fēng)險管理中心通過風(fēng)險評估過程和風(fēng)險計算方法實現(xiàn)對IT資源風(fēng)險的定量化計算，獲得可衡量的安全風(fēng)險，并進行相應(yīng)的風(fēng)險控制。風(fēng)險是資產(chǎn)價值、弱點度量值與威脅度量值根據(jù)量化算法而得到的一個量化的安全檢測結(jié)果。典型的風(fēng)險評估過程和計算方法可以參照《GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》來實現(xiàn)。

運維管理中心與前面三個中心有所不同。安全監(jiān)控中心、安全審計中心和風(fēng)險管理中心主要是從技術(shù)角度發(fā)現(xiàn)、識別和度量安全威脅與風(fēng)險，而運維管理中心則主要用于借助流程化的手段去響應(yīng)風(fēng)險，消減風(fēng)險，并幫助運維人員建立起一套例行化、常態(tài)化的風(fēng)險管理機制。

運維管理中心兩個最關(guān)鍵的流程分別是巡檢流程和應(yīng)急響應(yīng)流程。巡檢流程作為一個正常處理工作流，指導(dǎo)運維人員根據(jù)預(yù)先制定好的工作計劃和任務(wù)，定期開展IT信息系統(tǒng)安全檢查，主動發(fā)現(xiàn)安全隱患，提前采取有效措施，防范未然，并做好記錄。應(yīng)急響應(yīng)流程作為一個異常處理工作流，協(xié)助運維人員在發(fā)生突發(fā)事件后，根據(jù)預(yù)先制定好的應(yīng)急處置預(yù)案和處理流程，進行突發(fā)事件響應(yīng)、評估、通報、提升、取證、上報、改進等一系列操作，并記錄在案。

除了“一庫四中心”，一個較完備的安全運維管理平臺還應(yīng)該包括一個“安全管理門戶”。運維人員或者管理層用戶訪問這個門戶，可以看到安全相關(guān)的各類通告發(fā)文，可以進入安全論壇進行交流，可以借助知識門戶了解和使用各類安全知識、經(jīng)驗、案例等。

最重要地，運維人員通過門戶可以登錄到各自的“個人桌面”中。在個人桌面中，可以顯示與該運維人員相關(guān)的預(yù)警、告警、待辦事宜、計劃任務(wù)，顯示他所負責(zé)的業(yè)務(wù)系統(tǒng)的安全狀況總覽，可以快速開展與其相關(guān)的各項安全運維工作。

3.4 運維流程設(shè)計

稅務(wù)系統(tǒng)安全管理平臺不僅是一個技術(shù)平臺，還包括依托于這個技術(shù)平臺的運維流程和組織人員體系，安全管理平臺的日常運維工作必須遵循相應(yīng)的流程?？傮w上，稅務(wù)系統(tǒng)安全管理平臺的運維流程可以劃分為正常處理流程和異常處理流程兩大類，最關(guān)鍵的正常處理流程是巡檢流程和預(yù)警通告流程，而最關(guān)鍵的異常處理流程是應(yīng)急響應(yīng)流程。

1)巡檢流程

巡檢流程作為一個正常處理工作流，指導(dǎo)運維人員根據(jù)預(yù)先制定好的工作計劃和任務(wù)，定期開展IT信息系統(tǒng)安全檢查，主動發(fā)現(xiàn)安全隱患，提前采取有效措施，防范未然，并做好記錄。

2)預(yù)警通告流程

作為一個正常處理工作流，預(yù)警通告流程主要包括預(yù)警信息和通告信息的發(fā)布、審核和督辦。安全預(yù)警通告的一般性信息應(yīng)包括最新的安全技術(shù)動態(tài)、安全公告，病毒信息，漏洞信息等內(nèi)容，并貫穿稅務(wù)系統(tǒng)的總局、省局和地市局。

3)應(yīng)急響應(yīng)流程

應(yīng)急響應(yīng)流程作為一個異常處理工作流，協(xié)助運維人員在發(fā)生突發(fā)事件后，根據(jù)預(yù)先制定好的應(yīng)急處置預(yù)案和處理流程，進行突發(fā)事件響應(yīng)、評估、通報、提升、取證、上報、改進等一系列操作，并記錄在案。

4 稅務(wù)系統(tǒng)安全管理平臺的價值體現(xiàn)

從整體而言，稅務(wù)系統(tǒng)安全管理平臺的建立為稅務(wù)用戶提供了一套可查、可信、可見的安全體系，讓用戶網(wǎng)絡(luò)安全由被動響應(yīng)變?yōu)橹鲃禹憫?yīng)，由單點防御變?yōu)槿娣烙?，由分散的管理變?yōu)榧泄芾?，成為?gòu)建統(tǒng)一業(yè)務(wù)支撐管理體系的技術(shù)和流程支撐平臺。

借助安全管理平臺，稅務(wù)用戶可以建設(shè)一個專門的安全運營監(jiān)控機房，并設(shè)立一個監(jiān)控運維中心。一線運維管理人員在監(jiān)控中心，可以通過大屏幕實時掌控全網(wǎng)的整體運行狀況和安全狀況，并及時接收預(yù)警和告警信息，進行應(yīng)急響應(yīng)處理。同時，監(jiān)控中心的信號也可以傳到網(wǎng)絡(luò)和安全管理人員及其相關(guān)領(lǐng)導(dǎo)的辦公室，高級管理人員可以通過瀏覽器界面登錄到系統(tǒng)的監(jiān)控界面，掌握一線人員的實際運維情況，及時進行工作指導(dǎo)。

總之，通過建設(shè)一體化的安全管理平臺，用戶具有以下明顯的收益和意義：

1) 真正建立起一套全面的安全管理平臺和管理體系，包括技術(shù)平臺、管理策略和流程。擺脫過去被動地部署各種安全設(shè)備卻又無法提高安全防御效率的惡性循環(huán);

2) 大大提升安全管理人員的工作效率，提升安全運維工作的水平;

3) 真正有效地建立符合等級化保護要求的安全管理體系。

hanrui