稅務資訊系統建設安全管理平台的研究(三)

2021-09-05 05:08:01 字數 2869 閱讀 8507

【注】作為該系列文章的最後一篇,本文首發於本人的51cto部落格。文章對

稅務系統安全管理平台的建設規劃提出了一些思路和建議。

參考:需求分析與總體設計

建設一套全面的稅務安全管理體系是乙個系統工程,牽涉到單位的方方面面,不僅是安全管理部門的事情,也不僅是資訊中心的事情,還涉及到各個業務部門,甚至單位中的每個個人。同時,建立安全管理體系本身也涉及到技術、流程、組織和人員等諸多要素,相互關聯,缺一不可。因此,必須充分認識到安全管理體系建設的複雜性,同時要獲得單位高階管理層的理解和支援,總體規劃一定要到位,切忌重建設輕規劃。

1)、安全管理體系設計

在管理層的支援下,各局資訊中心首先要結合本單位的現狀與未來發展規劃,以及自身業務特點,按照等級保護的基本要求,借鑑

iaft

的框架,設計出總體安全管理體系。這個體系應該包括組織和人員、流程、技術等各個方面。

2)、安全管理平台設計

然後,基於安全管理平台的總體設計思路和功能組成,從實際需求出發,設計出安全管理體系之下的稅務系統安全管理平台設計方案。這個總體方案重點對安全管理的技術方案進行設計,形成一套安全管理體系的技術支撐平台,並滿足需求、切合實際。

3)、安全管理平台落實規劃

稅務系統安全管理平台設計方案不可能一步到位,需要進行合理規劃,分階段實施,分步驟落實。每一步都要明確實施的範圍、目標,預期要達成的效果,並進行可行性分析和論證。一般建議分2~

4步來落實。

安全管理體系的建立和安全管理平台的選型、部署、運維與使用不僅僅是乙個技術問題,還涉及到組織、人員和流程等方方面面。因此,安全管理平台一定要避免「重建設,輕使用」的誤區。只要規劃明確、管理範圍界定清楚、目標清晰,依據科學的技術指標,遵循合理的選型過程,就能夠搭建好乙個安全管理平台。但是,如何使用好這個安全管理平台,則需要在日常運維工作中不斷地磨合、梳理,逐步建立起適用的工作流程。同時,還需要相應的專業技術人才,以及合格的運維管理隊伍。

因此,建設稅務系統安全管理平台,一定要技術與服務並重,建設與運維並舉,在規劃、選型等各個階段都要關注安全管理平台運維服務部分的內容,避免出現「建起來,用不起來的」尷尬。

需要指出的是,如果說技術選型可以制定出一套硬指標的話,那麼,服務選型都是軟指標。這些軟指標如何在後續的安全管理運維使用過程中體現出來,是具有挑戰性的。

如前所述,建設安全管理平台是一項技術含量高,對單位組織和配套流程要求高的工作。經過多年的資訊化建設和資訊保安建設,稅務系統已經積累了大量的安全運維與管理經驗,有的單位也初步建立起了一支專業化的安全運維與服務隊伍。但是,大部分單位目前的實際情況仍然難以滿足安全管理平台運維使用的需要,在技術和人員方面都存在較大的差距。

因此,稅務系統在建設安全管理平台的過程中,要充分借助外腦,充分利用外部資源,使用代維服務,運維外包的模式。在專案規劃和建設階段,可以借助外腦,利用外部諮詢專家和實施顧問定規劃、定應急預案、定運維流程;在系統運維使用階段,可以借助運維外包,利用外包方駐場工程師充實現有的運維隊伍,利用外包方專家協助進行應急響應、安全事件分析與取證。

在利用外部資源的同時,客戶自身也要建立一支精幹的專業安全運維管理團隊,不斷吸取外部資源提供的經驗,逐步提公升自身的專業技術水平和安全運維能力,並做好相應的代維監督管理工作。

稅務系統安全管理平台的建設是一項系統工程,應該先做好安全管理體系的規劃,並制定出當前階段的任務目標、範圍,以及預期達成的效果。然後,才可以進入安全管理技術平台選型階段。安全管理技術平台選型過程建議按照以下步驟進行:

1)、建立安全管理平台衡量關鍵指標體系

在安全管理平台選型的時候,第一步是要建立衡量安全管理平台的關鍵指標體系。使用者根據當前階段的任務目標和範圍,從選型指標庫中選取合適的指標,包括技術指標和服務指標兩類,並賦予相應的權重,構成本次選型的關鍵指標體系。

這個階段的工作成果輸出是:乙個包括關鍵指標體系的打分表。

2、篩選**商,確定備選平台

這個階段的工作是根據那份關鍵指標體系和打分表對**商進行比較、打分。根據**商的平台技術水平和服務水平篩選出優選的**商,並圈定2~

4個備選平台。

需要注意的是,選擇**商與選擇安全管理平台是有區別的,選擇安全管理平台平台重點關注的是是否能夠滿足技術指標體系,而選擇**商重點關注的是**商的安全管理平台實施能力,以及滿足服務指標體系的程度。

這個階段的工作輸出是:出具安全管理平台**商的服務指標體系符合性報告、確定備選**商和備選平台。

3、依照技術指標體系對備選平台進行

poc驗證性測試

在確定備選安全管理平台後,就要根據事先制定的關鍵技術指標,對2~

4家備選平台進行驗證性測試。

poc(proof of concept

)測試,即驗證性測試,是指根據預設的系統功能和效能技術指標,在模擬環境下,進行真實的資料執行,對備選系統進行功能滿足度的測試。同時,通過對備選系統進行效能測算,估算出真實環境下的效能和系統承載能力。

在這個階段,使用者要自行搭建模擬環境,並在安全管理平台**商的配合下,搭建起測試平台,進行測試。一般每個平台的測試週期約為1~

2周。測試完畢,要出具測試報告和技術指標體系符合性報告。

在進行驗證性測試的時候,可以僅針對優先級別標記為高或者是必須滿足的技術指標項進行測試,這樣有助於測試過程的快速收斂。

4、綜合評判

根據第二階段和第三階段的工作成果,對安全管理平台**商和平台作出綜合評判,並打分。

5、商務談判、招投標

這個階段,使用者進入商務招標階段。可以選擇公開招標,或者邀標,等等。

總之,由於安全管理平台技術相對比較複雜,涉及面廣泛,因此安全管理平台選型應該慎重行事,前期準備工作盡量充分、完備。

【本系列文章完】

稅務資訊系統建設安全管理平台的研究(三)

注 作為該系列文章的最後一篇,本文首發於本人的51cto部落格。文章對 稅務系統安全管理平台的建設規劃提出了一些思路和建議。參考 需求分析與總體設計 建設一套全面的稅務安全管理體系是乙個系統工程,牽涉到單位的方方面面,不僅是安全管理部門的事情,也不僅是資訊中心的事情,還涉及到各個業務部門,甚至單位中...

稅務資訊系統建設安全管理平台的研究(二)

注 本文已經在 上發表,現同時發表在本人部落格上,這裡略有改動。在建設稅務系統安全管理平台的過程中,不可避免的會遇到其他種類的管理系統或者平台,例如終端管理系統 資料庫審計系統 網路管理系統 運維管理系統,等等。稅務系統安全管理平台必須正確處理好與各個管理系統之間的關係,確保不出現新的管理孤島,不增...

資訊系統建設成功的幾個觀點

第 一 高層領導參與。之前我負責過乙個世界500強企業自然美的專案。合同前完後,需求調研時,我就加入了自己很多的設計 從經驗和假想中而來 等到設計確認時,總得不到乙個能說上話人。給我答覆是,上報,討論。後來也就不了了之。我的工作於是變成提供方案,等待確認 然後修改方案,無回執 按照無反饋的設計開發下...