1 税务信息安全建设现状与新挑战
伴随着我国税务信息化建设的不断深入,税务信息系统的安全防护水平相应地得到了持续提升,当今的税务系统在安全领域面临比以往更为复杂的局面,税务信息系统的安全建设已经从过去的局部优化阶段进入了整体优化阶段,从过去的以网络为核心的防护体系建设进入了以业务系统为核心的防护体系建设阶段。
为了应对不断变化的安全威胁,税务系统先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、终端管理、数据库审计系统等单一类安全产品和系统。这种被动的安全建设过程就像是挖壕沟,为了抵御某一方面的安全威胁,不断地把壕沟挖深,并挖出了一条又一条的壕沟。由于这些安全系统都仅仅防堵来自某个方面的安全威胁,于是形成了一个个安全防御孤岛,无法产生协同效应。
另一方面,随着金税三期工程的深入推进,税务系统的安全防护重点正在从过去的网络和终端转移到应用和数据上面来。对于税务系统而言,构建在IT基础架构之上的数据和应用才是最核心的信息资产。未来的安全防护体系建设必须在加强对IT基础架构安全防护的基础上,着重做好对包括应用和数据在内的业务信息系统的安全防护。以业务为核心的安全防护体系正在形成。
此外,税务系统日益迫切的信息系统等级保护、审计和内控,以及不断增强的业务持续性需求,也对当前税务系统的安全管理提出了严峻的挑战。
上述各种因素表明,税务系统亟需建立一套横向的、贯穿孤立的安全防线的、以税务重要业务系统为保护对象的整体性安全管理平台,实现对全网IT资源的安全运行进行集中管理,真正让税务系统管理者把握整体安全态势,实现有效地协同防御,并符合等级保护及相关安全审查控制要求。
2 现有安全管理平台建设的局限
事实上,上述不断凸显的需求不仅是税务系统所独有,其他信息化安全建设水平较高的行业和单位也正面临类似的困局。为了应对这些挑战,国内出现了多种建设集中化安全管理平台的思路和实践。
总的来说,安全管理平台是一套以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中管理系统。
通过安全管理平台的建设,税务系统可以实现安全管理工作从分散到集中的跨越,从微观到宏观的提升,为构建税务系统的整体安全防护体系奠定基础。
但是,一些税务单位早期的安全管理平台建设实践,以及国内其他行业的类似建设实践表明,现在的安全管理平台建设过程中存在一些局限,尤其是难以满足税务系统的实际需求,从而阻碍了这项工作的推进。这些局限主要体现在以下四个方面:
1)信息来源单一,安全分析不全面,分析结果缺乏指导性
安全管理平台的一项核心功能就是将来自不同IT资源的信息汇聚起来,进行范式化和关联分析,实现整体安全与风险的评估。但在实际环境中,往往由于缺少必要的信息输入,以及获取必要信息的相关手段,从而导致分析结果缺乏说服力。这种信息缺失是多方面的。例如,传统的安全管理平台基本处于被动运行状态,仅仅被动接收设备的日志信息,对系统和设备的可用性和健康状态无法做到主动和有效监控。当用户的网络和系统出现故障后,安全管理平台无法收集到相关事件,其分析结果必定大打折扣。
2)只关注设备资产的安全,而没有关注关键业务系统的安全
对于税务系统而言,最宝贵的资产不是网络设备和主机设备,而是他们所承载的应用和数据!我们进行一轮又一轮的安全防护体系建设,最终的防护对象不是网络本身,而是网络所承载的税务业务信息系统。这些业务系统的运行好坏、安全与否、系统中的各类数据是否安全可靠才是各级税务单位信息中心和领导所关注的核心问题。如果网络一切运行正常,但是应用和数据遭到破坏,谈何安全。不幸的是,传统的安全管理平台局限于对网络、主机等设备资产的安全监控与管理,而忽视了对其上运行的业务系统的安全监控与管理,尤其是重要业务系统的安全保护。传统安全管理平台所存在的这种局限性不仅是理念上的,也是技术上的,如果不变革现有的平台技术架构,不可能适应业务发展的需要。
3)片面强调了发现安全问题的技术过程,而忽略了处理安全问题的运维流程
当前大部分安全管理平台都把技术力量投入到了事件采集和分析上。这些技术固然重要,但都是属于安全威胁及问题的发现阶段的技术。当前的安全管理平台大都忽略了帮助用户处理和解决这些已知安全问题的过程。结果,很多管理员通过安全管理平台获悉安全问题后,无所适从,不知如何处理,进而产生了对安全管理平台运用效果的质疑。
4)自成一体,封闭管理,缺乏与其他管理系统的整合协同
当前,不仅是网络安全的集中化管理,税务系统也正在积极地进行网络运行的集中化管理、终端准入与安全的集中化管理,甚至是基于ITIL的IT运维管理系统建设。如何在做好网络集中管理、安全集中管理和运维管理建设的同时,正确梳理好三者之间的关系,确保不出现新的“管理孤岛”,也是摆在税务系统IT基础设施管理与运营建设者们面前的一个问题。当前的安全管理平台大都自成一体,没有考虑到其他管理系统之间的关系,停留在自我封闭管理的层次上,难以适应税务系统大集中、大平台、大运维的总体发展思路。
面对上述安全管理平台建设过程中出现的新挑战,以及现有安全管理平台的局限性,必须对安全管理平台进行重新认识,形成一套新的平台架构和项目建设思路。对此,本文提出了一套建设税务信息系统安全管理平台(Tax Security Management Platform,TSMP)的技术架构总体设计方案,以及配套的规划建设方案。
3 税务信息系统安全管理平台总体设计
3.1 设计指导原则
构建税务系统集中化安全管理平台(TSMP)需遵循以下设计指导原则:
1) 符合国家、行业的相关法律法规和指引
平台的设计遵循国家和税务总局关于信息系统等级化保护的相关技术要求和设计要求,符合税务系统安全防护总体要求。
2) 符合金税三期的总体建设规划
平台的设计符合金税三期的一体化建设原则,即“将信息系统作为一个整体统筹规划,建立统一的应用架构、统一的数据架构、统一的网络平台、统一的硬件设施平台、统一的安全体系、统一的运行维护体系等基础架构平台。”
3) 能够有效兼容税务已有安全管理类产品及系统,并且避免将来产生新的安全管理孤岛
平台的设计能够将税务系统现有的各类安全管理类产品及系统整合起来,例如终端管理系统、安全审计系统、防火墙集中管理系统,等等。同时,平台应该具有开放性和延展性,能够兼容新的单一类安全管理系统,始终维持统一安全管理平台的地位,避免产生新的安全管理孤岛。此外,平台还要能够与税务系统在建或者规划建设的网络管理系统、运维管理系统进行对接和协同工作。
3.2 总体设计思路
税务系统安全管理平台的总体设计思路是:以税务业务信息系统安全防护为核心,依托于现有的网络及应用安全防护技术、产品和系统,从监控、审计、风险和运维四个维度构建起一套集中化、流程化、体系化的全面安全管理技术平台及其配套的组织体系和运作体系,实现税务系统日常安全管理运维工作的标准化、例行化,并融入到税务系统整体运行维护体系之中。
在上述总体设计思路中,构建安全管理平台的四个维度十分关键。
监控——通过对税务系统IT资源中包括网络设备、安全设备、主机和应用在内的节点进行统一运行监控,保障IT资源的整体运行安全,及时发现网络和系统主机的故障和性能瓶颈。
审计——通过实时获取IT资源中的各类安全信息,进行关联分析,实现IT资源的安全态势感知,对内部违规和外部入侵行为进行审计,验证业务系统及其IT支撑系统的合规性。
风险——将业务系统的威胁信息汇集到一起,通过风险评估获得可测量的安全风险,展示出税务系统全局性安全风险态势。
运维——借助运维流程支撑平台和标准化的运维流程指导管理人员处理安全问题,实施有效的安全控制措施。
这四个维度紧紧围绕重要税务业务信息系统,协助税务单位信息中心工作人员对税务业务系统进行全方位的运行监控、安全审计、风险评估和运行维护。
上述四个维度的结合就构成了安全管理的技术(支撑)平台。但是要做到真正的安全管理,光靠技术是不行的,根据IATF理论,还需要组织和流程,也就是所谓的人、流程、技术三者缺一不可。这里,人也叫组织。
人的问题,不是靠软件系统去解决的,是靠制度和意识。但是流程问题是可以靠技术来支撑的。流程是经验和制度的固化,是一种长效机制的体现。流程要靠人去执行。流程可以有一个技术平台来支撑,叫做“运维管理”,并可以整合到安全管理技术支撑平台中。
税务系统的安全管理平台总体设计思路表明,要构建一套完整的安全管理体系,不仅要有一套完备的安全管理技术平台,还需要相应的组织和人员,以及顺畅的运维流程。
3.3 技术平台总体功能设计
根据税务系统安全管理平台的总体设计思路,作为技术部分的安全管理技术(支撑)平台的功能组成至少应该包括“一库四中心”,总体功能设计如下图所示:
图注 安全管理技术(支撑)平台功能组成
“一库”是指IT基础资源库,包括业务系统库、资产库、配置库、补丁库、弱点库、策略库、规则库、知识库,等等。IT资源库包含了安全管理平台运转起来的基础数据,也是安全管理平台运转起来的驱动力之一。对于安全管理平台而言,应该具备IT资源库信息的维护功能,例如资产维护功能,包括资产的增删改查等。
“四中心”包括了运行监控中心、安全审计中心、风险管理中心和运维管理中心。
运行监控中心负责对IT资源的运行状况、可用性和业务连续性进行持续监测。运行监控中心应该能够对全网各类IT资源(网络、安全、主机、终端、服务、应用、业务等)进行实时监控,采集各种性能和状态参数,建立业务健康指标体系,全面监控IT资源可用性。运行监控中心产生的各类告警信息一方面可以送入运维管理中心触发事件响应流程,另一方面可以送入安全审计中心,作为可用性事件参与安全威胁与风险分析。特别地,安全运行监控中心所需的监控信息可以来自于现有的网络或应用管理系统。
安全审计中心最核心的工作就是对收集上来的全网安全日志及事件,以及安全监控中心发来的可用性告警进行关联分析,发现外部入侵,识别内部违规。安全审计中心的核心组件是SIEM(Security Information and Event Management,安全信息与事件管理)系统。
风险管理中心通过风险评估过程和风险计算方法实现对IT资源风险的定量化计算,获得可衡量的安全风险,并进行相应的风险控制。风险是资产价值、弱点度量值与威胁度量值根据量化算法而得到的一个量化的安全检测结果。典型的风险评估过程和计算方法可以参照《GB/T 20984-2007信息安全技术 信息安全风险评估规范》来实现。
运维管理中心与前面三个中心有所不同。安全监控中心、安全审计中心和风险管理中心主要是从技术角度发现、识别和度量安全威胁与风险,而运维管理中心则主要用于借助流程化的手段去响应风险,消减风险,并帮助运维人员建立起一套例行化、常态化的风险管理机制。
运维管理中心两个最关键的流程分别是巡检流程和应急响应流程。巡检流程作为一个正常处理工作流,指导运维人员根据预先制定好的工作计划和任务,定期开展IT信息系统安全检查,主动发现安全隐患,提前采取有效措施,防范未然,并做好记录。应急响应流程作为一个异常处理工作流,协助运维人员在发生突发事件后,根据预先制定好的应急处置预案和处理流程,进行突发事件响应、评估、通报、提升、取证、上报、改进等一系列操作,并记录在案。
除了“一库四中心”,一个较完备的安全运维管理平台还应该包括一个“安全管理门户”。运维人员或者管理层用户访问这个门户,可以看到安全相关的各类通告发文,可以进入安全论坛进行交流,可以借助知识门户了解和使用各类安全知识、经验、案例等。
最重要地,运维人员通过门户可以登录到各自的“个人桌面”中。在个人桌面中,可以显示与该运维人员相关的预警、告警、待办事宜、计划任务,显示他所负责的业务系统的安全状况总览,可以快速开展与其相关的各项安全运维工作。
3.4 运维流程设计
税务系统安全管理平台不仅是一个技术平台,还包括依托于这个技术平台的运维流程和组织人员体系,安全管理平台的日常运维工作必须遵循相应的流程。总体上,税务系统安全管理平台的运维流程可以划分为正常处理流程和异常处理流程两大类,最关键的正常处理流程是巡检流程和预警通告流程,而最关键的异常处理流程是应急响应流程。
1)巡检流程
巡检流程作为一个正常处理工作流,指导运维人员根据预先制定好的工作计划和任务,定期开展IT信息系统安全检查,主动发现安全隐患,提前采取有效措施,防范未然,并做好记录。
2)预警通告流程
作为一个正常处理工作流,预警通告流程主要包括预警信息和通告信息的发布、审核和督办。安全预警通告的一般性信息应包括最新的安全技术动态、安全公告,病毒信息,漏洞信息等内容,并贯穿税务系统的总局、省局和地市局。
3)应急响应流程
应急响应流程作为一个异常处理工作流,协助运维人员在发生突发事件后,根据预先制定好的应急处置预案和处理流程,进行突发事件响应、评估、通报、提升、取证、上报、改进等一系列操作,并记录在案。
4 税务系统安全管理平台的价值体现
从整体而言,税务系统安全管理平台的建立为税务用户提供了一套可查、可信、可见的安全体系,让用户网络安全由被动响应变为主动响应,由单点防御变为全面防御,由分散的管理变为集中管理,成为构建统一业务支撑管理体系的技术和流程支撑平台。
借助安全管理平台,税务用户可以建设一个专门的安全运营监控机房,并设立一个监控运维中心。一线运维管理人员在监控中心,可以通过大屏幕实时掌控全网的整体运行状况和安全状况,并及时接收预警和告警信息,进行应急响应处理。同时,监控中心的信号也可以传到网络和安全管理人员及其相关领导的办公室,高级管理人员可以通过浏览器界面登录到系统的监控界面,掌握一线人员的实际运维情况,及时进行工作指导。
总之,通过建设一体化的安全管理平台,用户具有以下明显的收益和意义:
1) 真正建立起一套全面的安全管理平台和管理体系,包括技术平台、管理策略和流程。摆脱过去被动地部署各种安全设备却又无法提高安全防御效率的恶性循环;
2) 大大提升安全管理人员的工作效率,提升安全运维工作的水平;
3) 真正有效地建立符合等级化保护要求的安全管理体系。