前言:想要寫(xiě)出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇運(yùn)維管理保障體系范文,相信會(huì)為您的寫(xiě)作帶來(lái)幫助,發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。
即使這樣,如下安全問(wèn)題依然擺在了很多企業(yè)面前:安全設(shè)備部署了很多,安全制度流程也建立了,但從整體角度看,仍然是各自為戰(zhàn),仿佛信息安全問(wèn)題只是IT部門(mén)的事情,與其他人無(wú)關(guān),這就使得無(wú)法形成整體有效的安全防護(hù);一邊是業(yè)務(wù)應(yīng)用越來(lái)越復(fù)雜,一邊是安全設(shè)備和制度不斷增加,如果安全設(shè)備和制度做多了,業(yè)務(wù)部門(mén)抱怨太繁瑣,但如果不做這么多,又怕出現(xiàn)安全問(wèn)題,左右為難。
那么,出現(xiàn)這些問(wèn)題的根源是什么呢?我們?cè)缇椭溃ㄔO(shè)安全系統(tǒng)不僅僅是技術(shù)問(wèn)題,也是管理問(wèn)題。而信息安全服務(wù)的主要目標(biāo)就是更好的支撐IT應(yīng)用系統(tǒng)的效果和效率,也就是說(shuō),信息安全的主要目的是通過(guò)信息安全管理體系、技術(shù)體系以及運(yùn)維體系的綜合有效建設(shè),讓IT應(yīng)用系統(tǒng)能夠達(dá)到更好的運(yùn)營(yíng)效果以及更高的效率。而如何綜合而有效的建立信息安全保障體系,成為了擺在每個(gè)企業(yè)面前的課題。
合規(guī)是重中之重
信息安全標(biāo)準(zhǔn)是確保信息安全產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)、生產(chǎn)、建設(shè)、使用和測(cè)評(píng)過(guò)程中保持一致性、可靠性、可控性、先進(jìn)性和符合性的技術(shù)規(guī)范和依據(jù),其不僅關(guān)系到國(guó)家的信息安全,也是保護(hù)國(guó)家利益、促進(jìn)產(chǎn)業(yè)發(fā)展的一種重要手段,同時(shí)更是信息安全保障體系中的重要組成部分,是政府進(jìn)行宏觀管理的重要依據(jù)。
我國(guó)在這方面雖然起步較晚,但也制定了一批符合中國(guó)國(guó)情的信息安全標(biāo)準(zhǔn),同時(shí)在一些重點(diǎn)行業(yè)還頒布了一批信息安全的行業(yè)標(biāo)準(zhǔn),尤其是國(guó)家等級(jí)保護(hù)制度和分級(jí)保護(hù)制度是我國(guó)在進(jìn)行信息安全保障體系建設(shè)中的重要依據(jù)。
因此,企業(yè)只有在信息安全保障體系建設(shè)過(guò)程中依據(jù)相關(guān)標(biāo)準(zhǔn)進(jìn)行合規(guī)性分析,通過(guò)安全風(fēng)險(xiǎn)評(píng)估,然后比對(duì)相關(guān)標(biāo)準(zhǔn)中所涉及的技術(shù)要求、管理要求、測(cè)評(píng)要求,才能明確得出建設(shè)的方向和重點(diǎn),了解目前系統(tǒng)中存在的問(wèn)題和改進(jìn)的方法,同時(shí)明確在管理、部署和運(yùn)維過(guò)程中信息安全管理的相關(guān)制度、流程和需要持續(xù)改進(jìn)的目標(biāo)。
此外,相關(guān)標(biāo)準(zhǔn)還為企業(yè)明確了進(jìn)行信息安全保障體系建設(shè)的方法,只有遵循這種方法才能做到“有法可依、有章可循”。
安全咨詢是橋梁
前面提到,信息安全建設(shè)的主要目的是讓IT應(yīng)用系統(tǒng)能夠達(dá)到更好的運(yùn)行效果,并提高系統(tǒng)的運(yùn)行效率,也就是說(shuō),要讓信息安全保障體系成為IT應(yīng)用系統(tǒng)的有效支撐。然而,不同政府或企業(yè)的具體業(yè)務(wù)環(huán)境和流程各不相同,所以也不是每個(gè)政府或企業(yè)都可以使用一個(gè)統(tǒng)一的模板。不同的組織在建立與完善信息安全保障體系時(shí),必須根據(jù)自己的業(yè)務(wù)特點(diǎn)和具體情況以及IT應(yīng)用的實(shí)際情況,采取不同的步驟和方法。此外,還要注意,信息安全不僅涉及安全管理和技術(shù)層面的問(wèn)題,還會(huì)涉及到治理機(jī)制、業(yè)務(wù)流程、人員管理、企業(yè)文化等內(nèi)容。
這就使得,企業(yè)要運(yùn)用風(fēng)險(xiǎn)的方法來(lái)決定信息安全體系建設(shè)的目標(biāo)和步驟。這個(gè)過(guò)程實(shí)際上是需要專(zhuān)業(yè)資深的安全服務(wù)人員對(duì)目標(biāo)的業(yè)務(wù)特點(diǎn)、IT應(yīng)用實(shí)際情況和具體管理方式進(jìn)行現(xiàn)場(chǎng)調(diào)研、符合性分析、相關(guān)的風(fēng)險(xiǎn)評(píng)估等操作的,尤其是對(duì)關(guān)鍵業(yè)務(wù)應(yīng)用的深入了解和分析,只有這樣才能與標(biāo)準(zhǔn)比對(duì)形成安全基線和框架參考。
而且,在建設(shè)過(guò)程中,還要不斷與相關(guān)負(fù)責(zé)人(決策人員、安全管理員、網(wǎng)絡(luò)安全維護(hù)人員)進(jìn)行深入溝通,以便發(fā)現(xiàn)安全隱患、找出關(guān)注重點(diǎn),并提出有效的策略建議,最終才能運(yùn)用風(fēng)險(xiǎn)的方法來(lái)決定體系建設(shè)的目標(biāo)和步驟,并一步一步實(shí)施完成。通過(guò)這一點(diǎn)我們不難看出,信息安全咨詢貫穿于整個(gè)信息安全體系建設(shè)的過(guò)程中,是聯(lián)系實(shí)際需求和建設(shè)目標(biāo)的橋梁。
實(shí)際落地是關(guān)鍵
信息安全技術(shù)體系是利用技術(shù)手段實(shí)現(xiàn)了技術(shù)層面的安全保護(hù),是整個(gè)信息安全保障體系中非常重要的一部分。很多政府和企業(yè)都部署過(guò)一些技術(shù)防護(hù)手段,但這些防護(hù)手段是不是符合相關(guān)標(biāo)準(zhǔn)和關(guān)鍵業(yè)務(wù)的需求,是不是把風(fēng)險(xiǎn)控制到了一個(gè)可控的水平,我們就不得而知了。
因此,在信息安全保障體系建立過(guò)程中,一定要依照標(biāo)準(zhǔn)來(lái)選擇技術(shù)防護(hù)手段,同時(shí)實(shí)現(xiàn)技術(shù)手段的落地是關(guān)鍵。而要實(shí)現(xiàn)技術(shù)手段的落地,就要兼顧以下幾點(diǎn):選擇的技術(shù)產(chǎn)品要滿足政府或企業(yè)實(shí)際環(huán)境、IT應(yīng)用和管理流程制度等客觀條件;選擇的技術(shù)產(chǎn)品要具有易維護(hù)、管理簡(jiǎn)便的特點(diǎn),并要能夠保持先進(jìn)性;選擇的技術(shù)產(chǎn)品要能夠滿足應(yīng)用變化的需要,并適應(yīng)技術(shù)的不斷發(fā)展。即保障可用性、適用性和持續(xù)性。
安全意識(shí)是必須
在很多政府部門(mén)和企業(yè)中普遍存在這樣一個(gè)問(wèn)題,仿佛信息安全只是IT部門(mén)的事情,其他業(yè)務(wù)部門(mén)大多采取了“事不關(guān)己,高高掛起”的態(tài)度,這勢(shì)必會(huì)造成安全天天喊,但是總沒(méi)有明顯效果的局面。
可以說(shuō),建設(shè)信息安全保障體系是企業(yè)內(nèi)的一次“安全革命”,通過(guò)培訓(xùn),不僅僅要讓每個(gè)人都提高對(duì)安全事件處理的管理水平和技術(shù)水平,更重要的是讓每個(gè)人都擁有“信息安全人人有責(zé)”的意識(shí)。
同時(shí),這場(chǎng)“安全革命”給企業(yè)帶來(lái)了新的知識(shí)和管理模式,企業(yè)必須通過(guò)培訓(xùn)將整個(gè)信息安全保障體系的相關(guān)知識(shí)轉(zhuǎn)移到每位員工身上,讓他們對(duì)整個(gè)體系逐步達(dá)到從接受到適應(yīng),再到最終掌握。只有這樣才能讓整個(gè)信息安全保障體系真正應(yīng)用起來(lái),并真正起到效果。
運(yùn)維平臺(tái)是手段
隨著煙草行業(yè)信息化快速發(fā)展及云計(jì)算、虛擬化、移動(dòng)應(yīng)用等新興技術(shù)運(yùn)用,使煙草行業(yè)的信息安全面臨新的挑戰(zhàn),主要表現(xiàn)在以下幾點(diǎn)。
1.1核心軟硬件被國(guó)外壟斷,嚴(yán)重威脅行業(yè)信息安全
當(dāng)前,煙草行業(yè)的信息系統(tǒng)基礎(chǔ)設(shè)施,包括主機(jī)、存儲(chǔ)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等幾乎還很大程度上依賴(lài)于國(guó)外品牌,使得煙草行業(yè)信息系統(tǒng)比較容易被國(guó)外掌控,威脅煙草行業(yè)信息安全。
1.2傳統(tǒng)互聯(lián)網(wǎng)威脅向煙草行業(yè)輻射
隨著電子商務(wù)的快速發(fā)展,煙草行業(yè)信息系統(tǒng)由半封閉的行業(yè)內(nèi)網(wǎng)向互聯(lián)網(wǎng)轉(zhuǎn)變,網(wǎng)上訂貨、網(wǎng)上營(yíng)銷(xiāo)等新型業(yè)務(wù)與互聯(lián)網(wǎng)結(jié)合日益緊密,同樣面臨的網(wǎng)絡(luò)攻擊和威脅形勢(shì)日益復(fù)雜嚴(yán)峻,傳統(tǒng)互聯(lián)網(wǎng)威脅(如病毒、木馬等)也必將危及行業(yè)信息安全。
1.3新技術(shù)的應(yīng)用使行業(yè)信息安全面臨更大挑戰(zhàn)
隨著云計(jì)算、虛擬化、移動(dòng)應(yīng)用等新興技術(shù)的快速發(fā)展和應(yīng)用,極大地影響了信息系統(tǒng)的運(yùn)行和服務(wù)方式,互聯(lián)網(wǎng)服務(wù)的開(kāi)放性特點(diǎn)對(duì)煙草行業(yè)信息安全工作提出嚴(yán)峻的挑戰(zhàn)。
2煙草行業(yè)信息安全發(fā)展方向
近期,為處理好安全和發(fā)展的關(guān)系,適應(yīng)信息技術(shù)發(fā)展形勢(shì)需要,提出以安全保發(fā)展、以發(fā)展促安全是未來(lái)一段時(shí)間信息安全建設(shè)和管理的重要方向。
2.1堅(jiān)持自主安全可控,健全行業(yè)信息安全體系
信息安全自主可控作為行業(yè)信息化發(fā)展的重要保障,加大安全可靠的先進(jìn)技術(shù)應(yīng)用力度,提升對(duì)核心技術(shù)的自主掌控能力,保障行業(yè)信息化建設(shè)穩(wěn)步推進(jìn),健全以防為主、軟硬結(jié)合的行業(yè)網(wǎng)絡(luò)安全體系。強(qiáng)化網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全,加大安全可控關(guān)鍵軟硬件的應(yīng)用比例,確保行業(yè)信息化高效安全平穩(wěn)運(yùn)行。
2.2堅(jiān)持等級(jí)保護(hù),提高安全管理水平
執(zhí)行國(guó)家信息安全等級(jí)保護(hù)制度,以安全策略為核心,堅(jiān)持技術(shù)和管理相結(jié)合,構(gòu)建與行業(yè)信息化發(fā)展協(xié)調(diào)一致的行業(yè)網(wǎng)絡(luò)安全體系。
2.3強(qiáng)化安全運(yùn)維機(jī)制,提升安全保障能力
目前,行業(yè)信息安全保障尚未全面融入信息化的“建管用”的各個(gè)環(huán)節(jié),需要進(jìn)一步建設(shè)、健全行業(yè)網(wǎng)絡(luò)安全保障體系,落實(shí)安全運(yùn)維機(jī)制,提升安全綜合防范能力。
2.4完善應(yīng)急處置體系,保證系統(tǒng)安全穩(wěn)定運(yùn)行
加強(qiáng)日常信息安全監(jiān)控,進(jìn)一步完善信息安全應(yīng)急處置機(jī)制,充分評(píng)估信息系統(tǒng)面臨的威脅,并制訂覆蓋各類(lèi)信息系統(tǒng)、各種信息安全事件的應(yīng)急預(yù)案并進(jìn)行演練,提升信息系統(tǒng)預(yù)警、應(yīng)急處置和恢復(fù)能力,保障業(yè)務(wù)系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行。
2.5煙草行業(yè)信息安全建設(shè)思路
隨著國(guó)家、行業(yè)主管單位對(duì)信息安全認(rèn)識(shí)和要求的不斷深入,煙草行業(yè)信息系統(tǒng)綜合安全防范能力需要通過(guò)建立自主可控的信息安全技術(shù)體系;細(xì)化和完善信息安全法規(guī)制度、標(biāo)準(zhǔn)規(guī)范、流程細(xì)則的管理體系;和以“常態(tài)化”為目標(biāo),包括階段性運(yùn)維、日常運(yùn)維、應(yīng)急工作三個(gè)角度的安全運(yùn)維體系設(shè)計(jì),從而提高信息系統(tǒng)信息安全綜合防范能力。
2.6建立系統(tǒng)安全基線,提升系統(tǒng)基礎(chǔ)防護(hù)能力
國(guó)家局針對(duì)信息安全工作下發(fā)了如《信息安全保障體系建設(shè)規(guī)范》《行業(yè)單位等級(jí)保護(hù)建設(shè)規(guī)范》等一系列的規(guī)范標(biāo)準(zhǔn),同時(shí)以“三全工作”“安全檢查”為抓手推動(dòng)信息安全保障體系的建設(shè)。但由于缺乏具體的操作層面的指南,各行業(yè)單位對(duì)標(biāo)準(zhǔn)規(guī)范和安全建設(shè)尚不能有效落地,不能執(zhí)行到具體的業(yè)務(wù)系統(tǒng)以及所屬的主機(jī)、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)設(shè)施層面。為保證信息系統(tǒng)整體安全水平,防止因?yàn)楦黝?lèi)系統(tǒng)、設(shè)備的安全配置不到位而帶來(lái)安全風(fēng)險(xiǎn),有必要針對(duì)信息系統(tǒng)建立其基本的安全要求(安全基線),確保信息系統(tǒng)具有基本的安全保護(hù)能力。
2.7建立自主可控信息安全技術(shù)體系
自主可控是信息安全的根本保障。建立自主可控的信息安全技術(shù)體系可以從以下方面著手:一是制訂行業(yè)信息安全技術(shù)產(chǎn)品準(zhǔn)入要求,啟動(dòng)核心信息技術(shù)產(chǎn)品的信息安全檢查和認(rèn)證工作;二是加強(qiáng)對(duì)產(chǎn)品或系統(tǒng)的漏洞檢測(cè)和代碼審查,及時(shí)發(fā)現(xiàn)系統(tǒng)安全隱患,同時(shí)明確國(guó)外進(jìn)口產(chǎn)品在使用過(guò)程的責(zé)任和義務(wù);三是建立煙草行業(yè)新技術(shù)的安全標(biāo)準(zhǔn)規(guī)范,明確新技術(shù)的使用、運(yùn)維和管理的方法和范圍。
2.8不斷完善行業(yè)信息安全標(biāo)準(zhǔn)規(guī)范體系
目前煙草行業(yè)已經(jīng)陸續(xù)了一系列行業(yè)信息安全標(biāo)準(zhǔn)和規(guī)范,但是相對(duì)于信息化的快速發(fā)展來(lái)說(shuō)還存在滯后性。制定、完善和細(xì)化行業(yè)信息安全標(biāo)準(zhǔn)規(guī)范,對(duì)于煙草信行業(yè)信息安全具有重要意義。例如,針對(duì)信息系統(tǒng)的建設(shè),應(yīng)制訂包含在信息系統(tǒng)規(guī)劃設(shè)計(jì)、開(kāi)發(fā)建設(shè)、運(yùn)行維護(hù)和停用廢棄等全生命周期的安全標(biāo)準(zhǔn)規(guī)范;針對(duì)移動(dòng)應(yīng)用,應(yīng)制訂包含由移動(dòng)終端、移動(dòng)網(wǎng)絡(luò)、移動(dòng)平臺(tái)、業(yè)務(wù)應(yīng)用構(gòu)成的移動(dòng)安全框架和建設(shè)標(biāo)準(zhǔn)規(guī)范,為煙草行業(yè)的移動(dòng)應(yīng)用建設(shè)提供指導(dǎo);針對(duì)煙草行業(yè)數(shù)據(jù)安全,應(yīng)建立包括數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)分布、數(shù)據(jù)操作、數(shù)據(jù)備份和恢復(fù)在內(nèi)數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范,為合理保護(hù)和利用行業(yè)數(shù)據(jù)提供指導(dǎo);針對(duì)第三方服務(wù)外包,制定第三方服務(wù)機(jī)構(gòu)服務(wù)質(zhì)量基本評(píng)價(jià)指標(biāo)體系。
2.9建立安全運(yùn)維管理服務(wù)體系
一是建立運(yùn)維監(jiān)控指標(biāo)體系。通過(guò)對(duì)信息系統(tǒng)安全運(yùn)維水平的層次化監(jiān)控指標(biāo)的建立,得到該業(yè)務(wù)系統(tǒng)的安全運(yùn)維水平評(píng)級(jí),以此來(lái)表明該業(yè)務(wù)系統(tǒng)的安全運(yùn)維體系的建設(shè)成熟度。同時(shí)還應(yīng)將表示安全運(yùn)維水平的各個(gè)指標(biāo)項(xiàng)建立針對(duì)某類(lèi)安全事件的度量標(biāo)準(zhǔn)。建立監(jiān)控指標(biāo)不僅應(yīng)當(dāng)包括傳統(tǒng)的各種系統(tǒng)資源使用率、數(shù)據(jù)和應(yīng)用工作狀態(tài)等,同時(shí)要加強(qiáng)對(duì)運(yùn)維監(jiān)控中發(fā)現(xiàn)的各種異常現(xiàn)象的監(jiān)控分析,對(duì)風(fēng)險(xiǎn)隱患及時(shí)處理,同時(shí)根據(jù)運(yùn)行分析結(jié)果動(dòng)態(tài)評(píng)估系統(tǒng)的處理能力,動(dòng)態(tài)優(yōu)化系統(tǒng)資源配置。二是完善安全運(yùn)維和管理工作。安全運(yùn)維和管理工作應(yīng)包含在信息系統(tǒng)規(guī)劃設(shè)計(jì)、開(kāi)發(fā)建設(shè)、運(yùn)行維護(hù)和停用廢棄等各環(huán)節(jié),落實(shí)系統(tǒng)建設(shè)全生命周期各環(huán)節(jié)的安全指標(biāo)和流程要求,做到基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)與安全防護(hù)設(shè)施同步規(guī)劃、同步建設(shè)、同步運(yùn)行。三是完善應(yīng)急處置機(jī)制,保障業(yè)務(wù)連續(xù)性。隨著行業(yè)數(shù)據(jù)的集中,各類(lèi)信息系統(tǒng)整合的不斷推進(jìn),信息系統(tǒng)的技術(shù)體系日趨復(fù)雜,需要在日常運(yùn)維過(guò)程中積累、提高對(duì)各種技術(shù)的把握、優(yōu)化能力。充分評(píng)估各類(lèi)信息系統(tǒng)潛在的威脅,并制訂和完善各類(lèi)信息安全事件的應(yīng)急預(yù)案,并定期開(kāi)展應(yīng)急演練。
2.10開(kāi)展信息安全風(fēng)險(xiǎn)態(tài)勢(shì)感知體系研究
風(fēng)險(xiǎn)態(tài)勢(shì)感知體系是具有宏觀的角度對(duì)行業(yè)的整體網(wǎng)絡(luò)安全防護(hù)能力進(jìn)行評(píng)估,同樣也應(yīng)對(duì)整體安全管理水平進(jìn)行評(píng)估,為提升信息系統(tǒng)整體安全防護(hù)能力提供決策支持;同時(shí)風(fēng)險(xiǎn)態(tài)勢(shì)感知體系應(yīng)具備兩個(gè)維度的態(tài)勢(shì)感知能力。一方面,從安全本身的發(fā)展變化入手,通過(guò)對(duì)事件和威脅的分析來(lái)評(píng)估當(dāng)前網(wǎng)絡(luò)的整體安全態(tài)勢(shì),包括地址熵態(tài)勢(shì)分析、熱點(diǎn)事件分析和威脅態(tài)勢(shì)分析;另一方面,從信息系統(tǒng)所需要達(dá)成的安全管理水平入手,通過(guò)對(duì)一系列管理指標(biāo)的度量,來(lái)評(píng)估當(dāng)前信息系統(tǒng)的安全管理水平;建設(shè)完備的信息安全風(fēng)險(xiǎn)感知體系,是提高煙草領(lǐng)域信息安全的重要途徑之一。風(fēng)險(xiǎn)態(tài)勢(shì)感知體系的建設(shè)應(yīng)按照信息安全等級(jí)保護(hù)的相關(guān)要求,建設(shè)針對(duì)信息系統(tǒng)所有的基礎(chǔ)設(shè)施包括終端、網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)、物理各個(gè)方面,以及信息系統(tǒng)在業(yè)務(wù)處理過(guò)程中的身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)與內(nèi)容安全、監(jiān)控審計(jì)、備份恢復(fù)等各個(gè)環(huán)節(jié)的信息安全風(fēng)險(xiǎn)態(tài)勢(shì)感知體系,提高信息系統(tǒng)的信息安全保障能力,提高信息安全事件的預(yù)警及防范能力。
3結(jié)語(yǔ)
鐵路信息安全建設(shè)和運(yùn)行必須結(jié)合鐵路信息化實(shí)際情況,從管理和技術(shù)兩個(gè)層面綜合保證鐵路信息系統(tǒng)的運(yùn)行操作安全,保障鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的運(yùn)行安全,并最終保障鐵路運(yùn)輸業(yè)務(wù)及運(yùn)輸服務(wù)的安全。鐵路信息安全保障體系結(jié)構(gòu)見(jiàn)圖1。管理和技術(shù)是鐵路信息安全保障體系的兩個(gè)要素,是保證鐵路信息系統(tǒng)及其所支撐的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)安全建設(shè)和運(yùn)行的必要條件。在這兩個(gè)安全要素中,管理是核心,是基礎(chǔ),它影響和決定技術(shù)的選擇以及技術(shù)標(biāo)準(zhǔn)規(guī)范;反過(guò)來(lái),技術(shù)也會(huì)影響到信息安全管理方式和管理制度的具體形式,降低管理成本。在安全管理層面中,國(guó)家和鐵路行業(yè)的信息安全方針政策法規(guī)是鐵路信息安全建設(shè)和安全運(yùn)維的管理基礎(chǔ);鐵路信息安全管理制度是信息安全方針政策法規(guī)在鐵路信息安全日常工作中的具體要求體現(xiàn);鐵路信息安全組織保障是落實(shí)鐵路信息安全方針政策法規(guī)、執(zhí)行鐵路信息安全管理制度的崗位職責(zé)基礎(chǔ)和人員保障;信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育是鐵路信息安全方針政策法規(guī)和鐵路信息安全管理制度得以高效、準(zhǔn)確地落實(shí)和執(zhí)行的保證。管理安全保證不僅通過(guò)方針政策法規(guī)、組織保障、管理制度、意識(shí)培養(yǎng)培訓(xùn)教育等形式直接對(duì)鐵路業(yè)務(wù)提供安全支持和保障外,還通過(guò)對(duì)信息安全技術(shù)的影響間接地保護(hù)鐵路業(yè)務(wù)安全。鐵路信息安全方針政策法規(guī)和管理制度等因素是制定鐵路信息安全技術(shù)標(biāo)準(zhǔn)和規(guī)范的重要基礎(chǔ),同時(shí),它們也會(huì)對(duì)信息安全方案的設(shè)計(jì)、產(chǎn)品選擇和采購(gòu)方式產(chǎn)生不同程度的影響。在安全管理控制下,只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下,執(zhí)行規(guī)定的操作流程;鐵路信息系統(tǒng)操作流程安全包括鐵路信息系統(tǒng)的建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動(dòng)的流程和操作安全,它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中各主要階段的過(guò)程安全。鐵路信息系統(tǒng)由鐵路外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)以及若干生產(chǎn)專(zhuān)網(wǎng)組成,鐵路的各種應(yīng)用業(yè)務(wù)都直接運(yùn)行在這些系統(tǒng)之上,為了更好地支撐這些業(yè)務(wù)系統(tǒng)的安全運(yùn)行,支持鐵路統(tǒng)一的安全管理,在鐵路信息系統(tǒng)中還包括災(zāi)備中心、數(shù)字證書(shū)系統(tǒng)、集中管理及認(rèn)證授權(quán)中心等安全基礎(chǔ)設(shè)施系統(tǒng)或安全平臺(tái),這些安全基礎(chǔ)設(shè)施及其所服務(wù)的鐵路應(yīng)用業(yè)務(wù)系統(tǒng)的運(yùn)行安全是鐵路運(yùn)輸業(yè)務(wù)及服務(wù)正常安全運(yùn)行的環(huán)境保障。
2安全保障體系要素
在鐵路信息系統(tǒng)中,無(wú)論是系統(tǒng)的建設(shè)、運(yùn)行、災(zāi)難恢復(fù)、事件處置等活動(dòng),還是其支撐的運(yùn)輸業(yè)務(wù)和服務(wù)等系統(tǒng)目標(biāo),都離不開(kāi)管理和技術(shù)兩個(gè)安全要素的綜合保證,其中管理是核心,在安全管理措施的控制下,只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下,執(zhí)行規(guī)定的操作流程。
2.1鐵路信息安全管理體系
鐵路信息安全管理體系必須以國(guó)家信息安全相關(guān)法規(guī)、政策和標(biāo)準(zhǔn)以及鐵路相關(guān)法規(guī)政策為基礎(chǔ)和依據(jù)。按照GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB/T22080—2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081—2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》等國(guó)家標(biāo)準(zhǔn)和指南,結(jié)合我國(guó)鐵路實(shí)際情況,將鐵路信息安全管理體系劃分為11個(gè)安全控制類(lèi)別,其中包括信息安全政策、信息安全組織、資產(chǎn)業(yè)務(wù)、信息安全環(huán)境、設(shè)備使用、通信網(wǎng)絡(luò)、配置授權(quán)、安全事件處置、安全運(yùn)維、安全合規(guī)和災(zāi)備恢復(fù)等管理內(nèi)容;在11個(gè)安全控制類(lèi)別的基礎(chǔ)上,建立鐵路信息安全管理制度框架,如鐵路信息資產(chǎn)管理制度、互聯(lián)網(wǎng)訪問(wèn)管理制度、人員安全培訓(xùn)制度、機(jī)房管理制度、產(chǎn)品準(zhǔn)入制度、系統(tǒng)運(yùn)維制度、安全事件處理流程規(guī)定、介質(zhì)管理制度、電子郵件使用管理規(guī)定、鐵路軟件開(kāi)發(fā)管理流程規(guī)定等(見(jiàn)圖2)。
2.2鐵路信息安全技術(shù)框架
鐵路信息安全技術(shù)框架是鐵路信息安全保障體系的重要組成內(nèi)容,主要包括安全管理、身份管理、授權(quán)管理、災(zāi)備管理、監(jiān)控審計(jì)、可信保證等技術(shù)機(jī)制(見(jiàn)圖3)。管理安全是統(tǒng)領(lǐng)鐵路信息安全保障的綱領(lǐng),綱舉才能目張,構(gòu)建一個(gè)全路信息系統(tǒng)可視化管理平臺(tái),以便對(duì)網(wǎng)絡(luò)、計(jì)算機(jī)設(shè)備、應(yīng)用系統(tǒng)部署、操作用戶及角色、運(yùn)維狀態(tài)等關(guān)鍵信息進(jìn)行全局的監(jiān)控,提高對(duì)系統(tǒng)中安全問(wèn)題及其隱患的發(fā)現(xiàn)、分析和防范能力。由全路統(tǒng)一身份管理平臺(tái)、授權(quán)管理機(jī)制和責(zé)任認(rèn)定構(gòu)成的鐵路網(wǎng)絡(luò)信任管理體系是保障鐵路信息安全可信和安全的前提。全路災(zāi)難備份和恢復(fù)策略管理是鐵路信息系統(tǒng)可信、安全和業(yè)務(wù)可持續(xù)性的后盾。以密碼技術(shù)為基礎(chǔ)的可信計(jì)算技術(shù)為軟硬件資源的安全和隔離提供了結(jié)構(gòu)化保證,為計(jì)算環(huán)境的可信可靠(完整性)提供了有效的判別手段,為關(guān)鍵數(shù)據(jù)提供了可信安全存儲(chǔ),為分布式計(jì)算的安全機(jī)制一致性和網(wǎng)絡(luò)接入控制提供了遠(yuǎn)程可信證明方法。可信計(jì)算技術(shù)是構(gòu)建鐵路信息安全保障體系的基礎(chǔ)支撐。
2.3鐵路信息安全的組織保證
鐵路信息系統(tǒng)安全應(yīng)該在組織上加以保證。在具體組織形式上應(yīng)該由中國(guó)鐵路總公司(簡(jiǎn)稱(chēng)總公司)主管領(lǐng)導(dǎo)和部門(mén)具體負(fù)責(zé)鐵路信息安全的領(lǐng)導(dǎo)和組織工作,由相關(guān)專(zhuān)業(yè)職能部門(mén)分工協(xié)作,在鐵路信息化的整體工作布局中設(shè)置專(zhuān)門(mén)機(jī)構(gòu)和崗位、明確相關(guān)職責(zé)、配備信息安全專(zhuān)業(yè)技術(shù)和管理人員,確保信息安全管理制度的有效落實(shí)和信息安全技術(shù)機(jī)制的可操作性。鐵路信息安全組織保證框架見(jiàn)圖4。總公司信息安全主管部門(mén)應(yīng)該包括以下職能機(jī)構(gòu):法規(guī)政策標(biāo)準(zhǔn)管理機(jī)構(gòu)負(fù)責(zé)制定鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范,并負(fù)責(zé)鐵路業(yè)務(wù)應(yīng)用密碼的管理工作;安全建設(shè)運(yùn)維管理機(jī)構(gòu)根據(jù)鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范,參與鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的設(shè)計(jì)、開(kāi)發(fā)和運(yùn)維審核和監(jiān)管工作;信息安全風(fēng)險(xiǎn)管理機(jī)構(gòu)負(fù)責(zé)對(duì)進(jìn)入鐵路信息系統(tǒng)的相關(guān)產(chǎn)品進(jìn)行測(cè)評(píng)認(rèn)證,對(duì)運(yùn)行系統(tǒng)進(jìn)行安全監(jiān)控,負(fù)責(zé)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理工作;安全事件處置管理機(jī)構(gòu)負(fù)責(zé)對(duì)系統(tǒng)緊急事件進(jìn)行處理,對(duì)輿情進(jìn)行綜合分析,并根據(jù)事件性質(zhì)和處理結(jié)果對(duì)事件進(jìn)行通報(bào);安全保密培訓(xùn)服務(wù)中心負(fù)責(zé)全路的信息安全法律法規(guī)、政策標(biāo)準(zhǔn)、安全意識(shí)和安全技能的培訓(xùn)提高工作,負(fù)責(zé)組織安排和協(xié)調(diào)社會(huì)力量以及高校等培訓(xùn)機(jī)構(gòu)具體實(shí)施常態(tài)化信息安全培訓(xùn)工作;安全災(zāi)備恢復(fù)管理機(jī)構(gòu)負(fù)責(zé)重要信息系統(tǒng)的運(yùn)行和數(shù)據(jù)備份實(shí)施工作,并在系統(tǒng)出現(xiàn)嚴(yán)重故障后,迅速協(xié)調(diào)相關(guān)部門(mén)恢復(fù)服務(wù)或業(yè)務(wù)數(shù)據(jù),保障關(guān)鍵業(yè)務(wù)服務(wù)的運(yùn)行連續(xù)性。各鐵路局(公司)應(yīng)該參照總公司信息安全管理組織結(jié)構(gòu),設(shè)置相關(guān)部門(mén)或相關(guān)專(zhuān)職崗位,并有鐵路局(公司)領(lǐng)導(dǎo)具體分管信息安全工作。鐵路局(公司)信息安全工作應(yīng)該在總公司統(tǒng)一組織、協(xié)調(diào)和安排下開(kāi)展具體工作。
2.4鐵路信息系統(tǒng)安全基礎(chǔ)設(shè)施
鐵路信息系統(tǒng)必須依賴(lài)于鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施作為其安全支撐基礎(chǔ)。鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施不僅可以落實(shí)鐵路集中統(tǒng)一安全管理的要求,提高鐵路信息系統(tǒng)的安全水平,還能有效降低鐵路信息安全的建設(shè)和運(yùn)維成本。鐵路信息安全基礎(chǔ)設(shè)施包括鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心、鐵路業(yè)務(wù)應(yīng)用密碼管理中心、數(shù)字證書(shū)系統(tǒng)、集中安全管理及認(rèn)證授權(quán)中心、安全監(jiān)控中心、安全隔離平臺(tái)、信息安全培訓(xùn)平臺(tái)以及鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)(見(jiàn)圖5)。鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心可以將由于系統(tǒng)重大故障或破壞帶來(lái)的業(yè)務(wù)中斷降低到最小程度,提高鐵路的服務(wù)水平;鐵路業(yè)務(wù)應(yīng)用密碼管理中心是保護(hù)鐵路重要數(shù)據(jù)安全和業(yè)務(wù)安全的基礎(chǔ)保證,同時(shí)它也是全路統(tǒng)一信任體系的技術(shù)基礎(chǔ);鐵路數(shù)字證書(shū)系統(tǒng)可以在全路范圍內(nèi)建立統(tǒng)一的身份認(rèn)證體系,提高鐵路的信息安全集中管理能力,降低安全管理成本;鐵路集中管理及認(rèn)證授權(quán)中心通過(guò)全路集中的信息安全平臺(tái)實(shí)現(xiàn)高效、統(tǒng)一的安全管理,保證安全策略的快速一致化部署;鐵路信息系統(tǒng)安全監(jiān)控中心可以對(duì)鐵路信息系統(tǒng)的安全運(yùn)行狀態(tài)進(jìn)行監(jiān)控,掌握鐵路信息系統(tǒng)的運(yùn)行態(tài)勢(shì),從而實(shí)現(xiàn)在鐵路信息系統(tǒng)中防患于未然,有效降低系統(tǒng)安全風(fēng)險(xiǎn);鐵路安全隔離平臺(tái)是隔離鐵路內(nèi)部服務(wù)網(wǎng)和外部服務(wù)網(wǎng)的安全措施,它保證了鐵路安全生產(chǎn)網(wǎng)絡(luò)的正常運(yùn)行;鐵路信息安全培訓(xùn)平臺(tái)對(duì)保證提高鐵路員工的信息安全意識(shí)、培養(yǎng)安全素養(yǎng)極為重要,是人員安全的必要保證;鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)對(duì)鐵路了解社會(huì)評(píng)價(jià)、改善鐵路社會(huì)化服務(wù)水平、提高鐵路形象至為關(guān)鍵。
2.5鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理
要搞好鐵路信息系統(tǒng)的信息安全管理,離不開(kāi)相關(guān)人員的安全意識(shí)培養(yǎng)、技能培訓(xùn)和專(zhuān)業(yè)教育。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育分別針對(duì)不同層次和專(zhuān)業(yè)的人員而設(shè)。信息安全意識(shí)培養(yǎng)通過(guò)對(duì)信息安全術(shù)語(yǔ)、議題和基本概念的宣傳、宣導(dǎo),吸引一般人群對(duì)信息安全的關(guān)注,幫助人們了解信息安全所關(guān)注的問(wèn)題,并能因此產(chǎn)生正確的響應(yīng);信息安全培訓(xùn)讓信息系統(tǒng)相關(guān)人員獲得相關(guān)的技能和必備的資質(zhì),使其在信息安全管理、設(shè)計(jì)、開(kāi)發(fā)、建設(shè)、運(yùn)維、操作、評(píng)估和使用等方面滿足與信息安全相關(guān)的崗位職能要求,培訓(xùn)可以分為初級(jí)、中級(jí)和高級(jí)等多個(gè)層次;信息安全教育則從信息安全專(zhuān)業(yè)理論、技術(shù)、經(jīng)驗(yàn)等方面培養(yǎng)信息安全專(zhuān)家,與信息安全培訓(xùn)一樣,這種信息安全教育也應(yīng)分為初級(jí)、中級(jí)和高級(jí)等多個(gè)層次。為降低信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育的管理和運(yùn)作成本,鐵路信息安全資質(zhì)認(rèn)證也可以和國(guó)家其他部門(mén)的資質(zhì)認(rèn)證機(jī)構(gòu)合作,對(duì)一些可信度高、有較高權(quán)威的信息安全資質(zhì)證書(shū)采取等同認(rèn)可方法。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理框架見(jiàn)圖6。鐵路信息安全意識(shí)培養(yǎng)、培訓(xùn)和教育管理可分為兩方面:一方面是針對(duì)全部相關(guān)人員的信息安全意識(shí)培養(yǎng)。安全意識(shí)培養(yǎng)是一個(gè)長(zhǎng)期的宣傳和貫導(dǎo)工作,可以通過(guò)制度獎(jiǎng)懲、危機(jī)教育、標(biāo)語(yǔ)口號(hào)等方式建立普遍的信息安全概念,推廣信息安全文化;另一方面是針對(duì)崗位定義不同的信息安全資質(zhì)要求,并這對(duì)這些資質(zhì)要求建立相對(duì)應(yīng)的信息安全技能和專(zhuān)業(yè)培訓(xùn)、教育,為了滿足這些資質(zhì)培訓(xùn)教育工作,總公司必須建立相關(guān)的培訓(xùn)和認(rèn)證機(jī)制,設(shè)置相關(guān)的機(jī)構(gòu)。
2.6系統(tǒng)流程及操作安全保證
系統(tǒng)流程和操作安全是指鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動(dòng)的流程和操作安全,它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中主要階段的過(guò)程安全。在鐵路信息安全建設(shè)和運(yùn)行過(guò)程中,要制定并依托相關(guān)的鐵路網(wǎng)絡(luò)與信息安全管理制度、技術(shù)標(biāo)準(zhǔn)規(guī)范和組織部門(mén)機(jī)構(gòu),對(duì)系統(tǒng)的安全設(shè)計(jì)、產(chǎn)品測(cè)評(píng)準(zhǔn)入、安全工程等過(guò)程進(jìn)行安全管控,從根本上杜絕系統(tǒng)在結(jié)構(gòu)上的安全缺陷、嚴(yán)防不合規(guī)的產(chǎn)品進(jìn)入系統(tǒng)、保證系統(tǒng)建設(shè)施工的安全規(guī)范;在鐵路信息系統(tǒng)的日常運(yùn)行過(guò)程中,也必須建立系統(tǒng)風(fēng)險(xiǎn)監(jiān)控、評(píng)估和控制的管理和技術(shù)體系,通過(guò)專(zhuān)業(yè)專(zhuān)職的機(jī)構(gòu)和部門(mén),對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控、對(duì)系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行定期或不定期的評(píng)估;對(duì)安全事件進(jìn)行預(yù)案規(guī)劃、演練和應(yīng)急處置,避免重大安全事件的發(fā)生;對(duì)系統(tǒng)服務(wù)或重要數(shù)據(jù)實(shí)施安全災(zāi)備,最大程度地減少系統(tǒng)故障帶來(lái)的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)中斷時(shí)間,減小風(fēng)險(xiǎn)后果。鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)流程見(jiàn)圖7。
3結(jié)束語(yǔ)
內(nèi)蒙古煙草2011年已經(jīng)完成了硬件資源的集成整合,具有統(tǒng)一的存儲(chǔ)資源池、統(tǒng)一的計(jì)算資源池、統(tǒng)一的應(yīng)用資源池、統(tǒng)一的WEB資源池和擴(kuò)展應(yīng)用資源池。目前這樣的硬件資源環(huán)境很適合選擇基于SOA框架構(gòu)建內(nèi)蒙古煙草應(yīng)用集成平臺(tái)(如圖1所示),基于軟硬件基礎(chǔ)設(shè)施運(yùn)行,為應(yīng)用系統(tǒng)提供門(mén)戶集成、服務(wù)集成、流程集成和規(guī)則管理等服務(wù)。它遵循J2EE標(biāo)準(zhǔn)、JSR168/162、WFMC標(biāo)準(zhǔn)、安全體系和認(rèn)證標(biāo)準(zhǔn),同時(shí)也遵循煙草行業(yè)內(nèi)的標(biāo)準(zhǔn),支持消息的XML表示、事務(wù)管理、集群、可靠安全傳輸、永久存儲(chǔ)和智能路由,可為內(nèi)蒙古煙草應(yīng)用提供豐富靈活的集成開(kāi)發(fā)環(huán)境,能為內(nèi)蒙古煙草應(yīng)用集成從建模、開(kāi)發(fā)、集成、部署、運(yùn)行、監(jiān)控、維護(hù)的完整生命周期過(guò)程管理提供基礎(chǔ)環(huán)境,適用于內(nèi)蒙古煙草信息化建設(shè)中對(duì)數(shù)據(jù)集成和應(yīng)用集成的廣泛需求。基礎(chǔ)平臺(tái)可分為5個(gè)邏輯部件層和3個(gè)保障體系。5個(gè)邏輯部件層的組成及功能如下:門(mén)戶層:打破應(yīng)用系統(tǒng)之間的界限,實(shí)現(xiàn)應(yīng)用系統(tǒng)的構(gòu)件化,對(duì)應(yīng)用構(gòu)件進(jìn)行統(tǒng)一的注冊(cè)和管理,對(duì)用戶信息進(jìn)行統(tǒng)一管理,實(shí)現(xiàn)各應(yīng)用構(gòu)件的單點(diǎn)登錄、權(quán)限管理、統(tǒng)一認(rèn)證和個(gè)性化界面定制等功能。服務(wù)層:提供企業(yè)服務(wù)總線和流程管理平臺(tái)。通過(guò)企業(yè)服務(wù)總線為應(yīng)用系統(tǒng)提供業(yè)務(wù)服務(wù)集成的能力,通過(guò)服務(wù)管理實(shí)現(xiàn)服務(wù)注冊(cè)、服務(wù)存儲(chǔ)、服務(wù)生命周期管理和服務(wù)監(jiān)控管理;通過(guò)流程管理平臺(tái)提供業(yè)務(wù)流程整合的能力,實(shí)現(xiàn)流程定義、流程整合、流程編排和流程監(jiān)控功能。應(yīng)用層:將應(yīng)用拆分成構(gòu)件,形成應(yīng)用構(gòu)件池。資源層:將企業(yè)的數(shù)據(jù)和服務(wù)作為企業(yè)資源管理,將流程、信息和交互服務(wù)作為服務(wù)資源進(jìn)行管理。支撐層:包括基礎(chǔ)的應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和目錄服務(wù)器等中間件軟件,交換機(jī)、路由器、網(wǎng)絡(luò)防火墻等網(wǎng)絡(luò)基礎(chǔ)設(shè)施,以及配套的系統(tǒng)監(jiān)控管理系統(tǒng)軟件。3個(gè)保障體系分別是:標(biāo)準(zhǔn)與規(guī)范體系:與應(yīng)用集成平臺(tái)配套的標(biāo)準(zhǔn)與規(guī)范體系用以指導(dǎo)和要求各應(yīng)用系統(tǒng)的建設(shè)和管理,包括基礎(chǔ)資源標(biāo)準(zhǔn)、數(shù)據(jù)交換標(biāo)準(zhǔn)、應(yīng)用集成標(biāo)準(zhǔn)和門(mén)戶集成標(biāo)準(zhǔn)。信息安全保障體系:基于PKI/CA技術(shù)體系,對(duì)整體系統(tǒng)進(jìn)行安全加固,并參照行業(yè)要求建立信息安全保障體系,包括應(yīng)用安全管理和數(shù)據(jù)安全管理。運(yùn)維管理體系:與應(yīng)用集成平臺(tái)配套的標(biāo)準(zhǔn)與規(guī)范體系用以指導(dǎo)和要求各應(yīng)用系統(tǒng)的運(yùn)維管理,包括應(yīng)用運(yùn)維管理和平臺(tái)運(yùn)維管理。
基于SOA架構(gòu)的內(nèi)蒙古煙草應(yīng)用集成平臺(tái)的實(shí)現(xiàn)
內(nèi)蒙古煙草應(yīng)用集成不是1個(gè)獨(dú)立的技術(shù)實(shí)現(xiàn),而是1個(gè)全面的、協(xié)同合作的解決方案。通過(guò)構(gòu)建多層次的應(yīng)用集成基礎(chǔ)框架,結(jié)合目錄服務(wù)、MDA和BEPL等技術(shù)模型,實(shí)現(xiàn)內(nèi)蒙古煙草各系統(tǒng)的業(yè)務(wù)流程、應(yīng)用系統(tǒng)、數(shù)據(jù)資源無(wú)縫集成,真正做到內(nèi)蒙古煙草“大整合、高共享、流程化”。其具體實(shí)現(xiàn)如圖2所示。內(nèi)蒙古煙草應(yīng)用集成框架包括5個(gè)部分:(1)門(mén)戶集成平臺(tái):通過(guò)部署中軟國(guó)際的R1portal產(chǎn)品,實(shí)現(xiàn)建立一個(gè)跨應(yīng)用、設(shè)備和企業(yè)的統(tǒng)一集成的互動(dòng)用戶界面,使用戶可以通過(guò)任何設(shè)備從任何地方獲取所需信息。包括統(tǒng)一用戶管理、統(tǒng)一角色管理、統(tǒng)一授權(quán)管理、統(tǒng)一身份認(rèn)證和統(tǒng)一授權(quán)管理,支持個(gè)性化界面管理與面向后臺(tái)應(yīng)用的功能組裝。(2)服務(wù)集成:服務(wù)集成可分為基礎(chǔ)業(yè)務(wù)實(shí)現(xiàn)(過(guò)SOMA的服務(wù)發(fā)現(xiàn)方法進(jìn)行分析)、信息交換集成、業(yè)務(wù)流程管理和挖掘服務(wù)價(jià)值四個(gè)階段。主要建設(shè)內(nèi)容包括服務(wù)總線平臺(tái)的搭建、現(xiàn)有系統(tǒng)服務(wù)的注冊(cè),門(mén)戶相關(guān)服務(wù)的注冊(cè)等。(3)流程集成:基于BPEL的業(yè)務(wù)流程管理,實(shí)現(xiàn)企業(yè)內(nèi)部的流程、服務(wù)的整合。基于公共的流程引擎,實(shí)現(xiàn)不同系統(tǒng)間流程對(duì)接及流程攜帶的、實(shí)時(shí)數(shù)據(jù)交換服務(wù)以及多設(shè)備接入所需要的服務(wù)等,并提供豐富的應(yīng)用適配器,實(shí)現(xiàn)現(xiàn)有不同系統(tǒng)之間的流程集成和數(shù)據(jù)交換。以服務(wù)為中心的應(yīng)用集成通過(guò)流程服務(wù)來(lái)完成業(yè)務(wù)流程集成。在業(yè)務(wù)流程集成中,業(yè)務(wù)邏輯將封裝、組合成服務(wù),流程服務(wù)提供自動(dòng)執(zhí)行業(yè)務(wù)流程的能力,并滿足自動(dòng)執(zhí)行流程和人工交互流程。具體實(shí)現(xiàn)過(guò)程如圖3所示:(4)服務(wù)資源資產(chǎn)化及管理集成:提供對(duì)服務(wù)資源進(jìn)行構(gòu)件化管理(包括構(gòu)建設(shè)計(jì)、構(gòu)架開(kāi)發(fā)、構(gòu)件注冊(cè)、構(gòu)件檢索和構(gòu)件監(jiān)管等內(nèi)容)和對(duì)應(yīng)用系統(tǒng)的資產(chǎn)化管理(包括硬件/網(wǎng)絡(luò)管理、)基礎(chǔ)軟件管理、應(yīng)用軟件系統(tǒng)管理)。內(nèi)蒙古煙草應(yīng)用集成平臺(tái)中有兩種構(gòu)建服務(wù),分別是:數(shù)據(jù)服務(wù)構(gòu)建和應(yīng)用服務(wù)構(gòu)建。構(gòu)建信息包括:元信息、資源信息和部署信息。(5)系統(tǒng)安全集成:訪問(wèn)控制、身份鑒別、資源控制、安全審計(jì)等功能。
1現(xiàn)狀與問(wèn)題
1.信息安全現(xiàn)狀
隨著信息化建設(shè)的推進(jìn),我校信息化建設(shè)初具規(guī)模,軟硬件設(shè)備配備完成,運(yùn)行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚,承擔(dān)網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專(zhuān)業(yè)技術(shù)人員達(dá)20余人;針對(duì)重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護(hù)手段,保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運(yùn)行,具備了基本的安全防護(hù)能力|6];日常運(yùn)行管理規(guī)范,按照信息基礎(chǔ)設(shè)施運(yùn)行操作流程和管理對(duì)象的不同,確定了網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障管理的角色和崗位,初步建立了問(wèn)題處理的應(yīng)急響應(yīng)機(jī)制。由網(wǎng)絡(luò)中心進(jìn)行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng),即網(wǎng)絡(luò)通信平臺(tái)、認(rèn)證計(jì)費(fèi)系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。
網(wǎng)絡(luò)通信平臺(tái)是大學(xué)各大業(yè)務(wù)平臺(tái)的基礎(chǔ)核心,是整個(gè)校園網(wǎng)的基礎(chǔ),其他應(yīng)用系統(tǒng)都運(yùn)行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認(rèn)證計(jì)費(fèi)系統(tǒng)是針對(duì)用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認(rèn)證計(jì)費(fèi)的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專(zhuān)網(wǎng)上,主要實(shí)現(xiàn)學(xué)生校園卡消費(fèi)管理,校園卡與大學(xué)網(wǎng)絡(luò)有3個(gè)物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng),系統(tǒng)中存儲(chǔ)著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁(yè)網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對(duì)外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù),目前郵件系統(tǒng)注冊(cè)用1.2面臨的主要問(wèn)題
通過(guò)等級(jí)保護(hù)差距分析和風(fēng)險(xiǎn)評(píng)估,目前大學(xué)所面臨的信息安全風(fēng)險(xiǎn)和主要問(wèn)題如下:
(1)高校領(lǐng)域沒(méi)有總體安全標(biāo)準(zhǔn)指引,方向不明確,缺少主線。
(2)對(duì)國(guó)際國(guó)內(nèi)信息安全法律法規(guī)缺乏深刻意識(shí)和認(rèn)識(shí)。
(3)信息安全機(jī)構(gòu)不完善,缺乏總體安全方針與策略,職責(zé)不夠明確。
(4)教職員工和學(xué)生數(shù)量龐大,管理復(fù)雜,人員安全意識(shí)相對(duì)薄弱,日常安全問(wèn)題多。
()建設(shè)投資和投入有限,運(yùn)維和管理人員的信息安全專(zhuān)業(yè)能力有待提高。
(6)內(nèi)部管理相對(duì)松散,缺乏安全監(jiān)管及檢查機(jī)制,無(wú)法有效整體管控。
(7)缺乏信息安全總體規(guī)劃,難以全面提升管理
(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運(yùn)行管理手段,無(wú)法提高安全運(yùn)維能力。
2建設(shè)思路
2.1建設(shè)原則和工作路線
學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護(hù),分級(jí)分域、強(qiáng)化控制,保障核心、提升管理,支撐應(yīng)用、規(guī)范運(yùn)維。
依據(jù)這一總體原則,我們的信息安全體系建設(shè)工作以風(fēng)險(xiǎn)評(píng)估為起點(diǎn),以安全體系為核心,通過(guò)對(duì)安全工作生命周期的理解從風(fēng)險(xiǎn)評(píng)估、安全體系規(guī)劃著手,并以解決方案和策略設(shè)計(jì)落實(shí)安全體系的各個(gè)環(huán)節(jié),在建設(shè)過(guò)程中逐步完善安全體系,以安全體系運(yùn)行維護(hù)和管理的過(guò)程等全面滿足安全工作各個(gè)層面的安全需求,最終達(dá)到全面、持續(xù)、突出重點(diǎn)的安全保障。
2.2體系框架
信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GBT22239-2008、《信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》(征求意見(jiàn)稿),并吸納了IATF模型[7]中“深度防護(hù)戰(zhàn)略,,理論,強(qiáng)調(diào)安全策略、安全技術(shù)、安全組織和安全運(yùn)行4個(gè)核心原則,重點(diǎn)關(guān)注計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個(gè)層次的安全防護(hù),構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系,并通過(guò)安全運(yùn)維服務(wù)和itsm[8]集中運(yùn)維管理(基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實(shí)踐),形成了集風(fēng)險(xiǎn)評(píng)估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計(jì)和違規(guī)取證于一體的安全運(yùn)維體系架構(gòu)(見(jiàn)圖2),從而實(shí)現(xiàn)并覆蓋了等級(jí)保護(hù)基本要求中對(duì)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護(hù)要求,以滿足信息系統(tǒng)全方位的安全保護(hù)需求。
(1)安全策略:明確信息安全工作目的、信息安全建設(shè)目標(biāo)、信息安全管理目標(biāo)等,是信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。
(2)安全組織:是信息安全體系框架中最重要的
各級(jí)組織間的工作職責(zé),覆蓋安全管理制度、安全管理機(jī)構(gòu)和人員安全管理3個(gè)部分。
(3)安全運(yùn)行:是信息安全體系框架中最重要的安全管理策略之一,是維持信息系統(tǒng)持續(xù)運(yùn)行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過(guò)程和人員的操作執(zhí)行,該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù),覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理2個(gè)部分。
(4)安全技術(shù):是從技術(shù)角度出發(fā),落實(shí)學(xué)校組織機(jī)構(gòu)的總體安全策略及管理的具體技術(shù)措施的實(shí)現(xiàn),是對(duì)各個(gè)防護(hù)對(duì)象進(jìn)行有效地技術(shù)措施保護(hù)。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制,針對(duì)未授權(quán)的訪問(wèn)或誤用提供自動(dòng)保護(hù),發(fā)現(xiàn)違背安全策略的行為,并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計(jì)算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺(tái)。該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù),覆蓋物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和數(shù)據(jù)層5個(gè)部分。
()安全運(yùn)維:安全運(yùn)維服務(wù)體系架構(gòu)共分兩層,實(shí)現(xiàn)人員、技術(shù)、流程三者的完美整合,通過(guò)基于ITIL[9]的運(yùn)維管理方法,保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運(yùn)轉(zhuǎn),提升業(yè)務(wù)的可持續(xù)性,從而也體現(xiàn)了安全運(yùn)3重點(diǎn)建設(shè)工作
3.1安全滲透測(cè)試
2009年4月,學(xué)校對(duì)38個(gè)網(wǎng)站、2個(gè)關(guān)鍵系統(tǒng)和6臺(tái)主機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程滲透測(cè)評(píng)。通過(guò)測(cè)評(píng),全面、完整地了解了當(dāng)前系統(tǒng)的安全狀況,發(fā)現(xiàn)了20個(gè)高危漏洞,并針對(duì)高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險(xiǎn),根據(jù)測(cè)評(píng)結(jié)果發(fā)現(xiàn)被測(cè)系統(tǒng)存在的安全隱患。滲透測(cè)試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測(cè)評(píng)、提升權(quán)限測(cè)評(píng)、獲取代碼、滲透測(cè)評(píng)報(bào)告。
3.2風(fēng)險(xiǎn)評(píng)估和安全加固
2009年5月,依據(jù)安全滲透測(cè)試結(jié)果,對(duì)大學(xué)的六大信息系統(tǒng)進(jìn)行了安全測(cè)評(píng)。根據(jù)評(píng)估結(jié)果得出系統(tǒng)存在的安全問(wèn)題,并對(duì)嚴(yán)重的問(wèn)題提出相應(yīng)的風(fēng)險(xiǎn)控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫(xiě)、現(xiàn)場(chǎng)檢測(cè)、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險(xiǎn)分析。通過(guò)風(fēng)險(xiǎn)評(píng)估最終得出了威脅的數(shù)量和等級(jí),表1、表2為威脅的數(shù)量和等級(jí)統(tǒng)計(jì)。2009年6月和9月,基于風(fēng)險(xiǎn)評(píng)估結(jié)果,對(duì)涉及到的網(wǎng)絡(luò)設(shè)備(4臺(tái))和主機(jī)設(shè)備(14臺(tái))進(jìn)行了安全加固工作。
3.3安全體系規(guī)劃
根據(jù)前期對(duì)全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評(píng)估和了解整理出符合大學(xué)實(shí)際的安全需求,并結(jié)合實(shí)際業(yè)務(wù)要求,對(duì)學(xué)校整體信息系統(tǒng)的安全工作進(jìn)行規(guī)劃和設(shè)計(jì),并通過(guò)未來(lái)3年的逐步安全建設(shè),滿足學(xué)校的信息安全目標(biāo)及國(guó)家相關(guān)政策和標(biāo)準(zhǔn)學(xué)校依據(jù)國(guó)際國(guó)內(nèi)規(guī)范及標(biāo)準(zhǔn),參考業(yè)界的最佳實(shí)踐ISMS[10](信息安全管理體系),結(jié)合我校目前的實(shí)際情況,制定了一套完整、科學(xué)、實(shí)際的信息安全管理體系,制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。
通過(guò)信息安全管理體系的建立,使學(xué)校的組織結(jié)構(gòu)布局更加合理,人員安全意識(shí)也明顯提高,從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運(yùn)行,提高了IT服務(wù)質(zhì)量。通過(guò)制度、流程、標(biāo)準(zhǔn)及規(guī)范,加強(qiáng)了日常安全工作執(zhí)行能力,提高了信息安全保障水平。
4未來(lái)展望和下一步工作
4.1安全防護(hù)體系
根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級(jí)的需求,可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個(gè)學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個(gè)層次的安全域:第一層次安全域包括整個(gè)學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門(mén)等劃分子網(wǎng)或子系統(tǒng)。
公鑰基礎(chǔ)設(shè)施包括:CA安全區(qū):主要承載CAServer、主從LDAP、數(shù)據(jù)庫(kù)、加密機(jī)、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機(jī)等;RA注冊(cè)區(qū):主要承載各院所的RA注冊(cè)服務(wù)器,為各院所的師生管理提供數(shù)字證書(shū)注冊(cè)服務(wù)。
應(yīng)用安全支撐平臺(tái)為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略,使得信息系統(tǒng)建立在一個(gè)穩(wěn)定和高效的應(yīng)用框架上,封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù),并平滑支持業(yè)務(wù)系統(tǒng)的擴(kuò)展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪問(wèn)授權(quán)、統(tǒng)一審計(jì)管理、數(shù)據(jù)安全引擎、單點(diǎn)登錄等功能。
4.2安全運(yùn)維體系
ITSM集中運(yùn)維管理解決方案面對(duì)學(xué)校日益復(fù)雜的IT環(huán)境,整合以往對(duì)各類(lèi)設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理,實(shí)現(xiàn)了對(duì)IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過(guò)融入ITIL等運(yùn)維管理理念,達(dá)到了技術(shù)、功能、服務(wù)三方面的完全整合,實(shí)現(xiàn)了IT服務(wù)支持過(guò)程的標(biāo)準(zhǔn)化、流程化、規(guī)范化,極大地提高了故障應(yīng)急處理能力,提升了信息部門(mén)的管理效率和服務(wù)水平。
根據(jù)終端安全的需求,系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺(tái),以實(shí)現(xiàn)由管理員根據(jù)管理制度來(lái)制定各種詳盡的安全管理策略,對(duì)網(wǎng)內(nèi)所有終端計(jì)算機(jī)上的軟硬件資源、以及計(jì)算機(jī)上的操作行為進(jìn)行有效管理。實(shí)現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對(duì)終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強(qiáng)制實(shí)施、終端用戶安全狀態(tài)的集中審計(jì);對(duì)用戶事前身份和安全級(jí)別的認(rèn)證、事中安全狀態(tài)定期安全檢測(cè),內(nèi)容包括定期的安全風(fēng)險(xiǎn)評(píng)估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。
4.3安全審計(jì)體系
運(yùn)維項(xiàng)目總結(jié) 運(yùn)維工作思路 運(yùn)維培訓(xùn)總結(jié) 紀(jì)律教育問(wèn)題 新時(shí)代教育價(jià)值觀