福建地税借助HP服务搭建完整的安全体系
作者:
佚名 来源:
HP 发布时间:2006年02月21日 点击数:
福建地税,面向40万纳税户,年税收额约250亿元。为建立一套完整的安全体系,投入3000余万元,其中1/6 用于聘用 “外脑”。据称,这是目前国内最大规模的地税信息安全项目。
惠普,在此安全项目的管理体系和技术体系规划建立中,扮演着总教头和代理人的角色。在全球提供多层次、全方位的安全服务,在信息安全领域拥有超过29项的专利、50位国际信息安全系统认证(CISSP)专家、世界级的安全中心以及完善的安全方法论。
序幕:置身火山口
2000年便建成了覆盖全省九个地市的网络系统,开发了全省统一的征收应用系统,走在全国地税信息化的前列。
然而,随着各部门日常工作对信息系统的依赖性日益增长,福建地税的领导发现:信息化在显著提高工作质量与效率的同时,也带来或暴露出一些严重的安全隐患。
国家税务总局的一领导曾将信息安全问题比作“火山口”——不发作则已,一发作就是大问题。去年初,冲击波病毒让全球不少企业蒙受巨大损失,也让福建地税不幸“中招”,从而强烈感受到“坐在火山口上”的忐忑与被动——系统网络出现阻塞,业务一度被迫中断。
第一幕:借助外援
其实,福建地税早在2001年开始酝酿:建立一个高起点、高标准的一揽子安全解决方案,使自身能变“被动应对”为“主动防范”。“冲击波”的冲击,更坚定了他们的决心和步伐。
所谓一揽子的安全解决方案,与今天业界盛行的“全方位安全”一脉相承,福建地税这先人一步的认识来自实践,也来自党组领导班子的多次讨论。为了保证规划建设的完整与准确,福建地税的领导班子还决定引入国际安全咨询服务商。HP安全服务就这样走进了福建地税的生活,两者2002年9月结成合作伙伴关系,并正式启动了信息安全系统项目工程。
在被问及选择惠普服务的原因时,福建省地方税务局信息技术处陈海涛处长总结说:惠普不仅能够提供包括安全技术和安全管理在内的全方位解决方案,并且非常注重管理制度和技术体系的共同配合;此外,惠普在安全咨询和项目管理方面还拥有成熟的方法论、先进的工具以及经验丰富的安全咨询实施队伍。这些在今天说起来更是他的心得与体会。
福建地税当时颇具慧眼,因为国内知晓惠普安全服务的用户并不多。中国惠普有限公司资深安全咨询顾问李丹作为福建地税的项目经理,在她四年前加入HP之前猎头找上门来时她也很惊讶:“难道惠普也涉足信息安全领域吗?”当她加入惠普以后发现,惠普在全球信息安全领域拥有非常多的成功案例,并且通过一套优秀的知识共享体系,将丰富的知识与经验带到了中国。
第二幕:体系再造
在项目实施过程中,惠普参照ISO17799/BS7799国际安全标准,在调查、评估和科学分析的基础上帮助福建地税构筑了一整套完善的信息安全管理体系和技术体系。服务内容包括:安全现状评估、安全策略创建、安全策略实施、安全意识规范化、安全产品综合评测与选型、安全统一平台建设及系统应用安全加固等。
具体分为几个阶段:一是现场访谈、运行测试和风险评估阶段,以发现问题;二是创建安全策略阶段,同时还进行了厂商产品测试和招投标;三是进行安全策略的实施和问卷调查;最后进行初验、试运行和项目结束。
李丹格外强调安全策略和安全策略实施文档的重要性:“安全策略是福建地税信息安全管理体系的纲领和框架。”双方参照ISO17799来编制这个安全策略,除了通用要求之外,还非常注重各级地税领导与员工安全意识的培训,因为策略重在落实,而落实重在观念转变。福建地税的安全策略实施文档包括:技术方案文档、管理制度文档、日常维护文档以及安全产品技术规范文档,加起来的高度在1米开外。福建地税的安全策略在2003年的7、8月份完成,在今年下发到全省各地税机构每个员工手中。
在技术体系规划与建设中,惠普注重完全站在福建地税的立场上,对不同厂商安全产品进行指标测试,并且注重综合测试、交互测试,以保证最后性能的可实现性和操作性。而后,惠普与福建地税共同配合,根据产品测试的结果定制了四类产品的标书,进行了公开透明的招投标,最后监督具体技术产品的实施和完善。
第三幕:重在落实
经过2003年全年的重点建设和全面推广,福建地税现已成功构筑起自身的信息安全体系。“今年的‘震荡波’病毒,就基本上没有给我们带来多大的影响”,陈海涛处长说。除了面对层出不穷的网络病毒,福建地税由被动转为主动之外,陈海涛还非常有感触地谈到整个福建地税的备份系统规范化、防火墙等安全设备的科学布局等巨大的变化。
最大的变化是观念——福建地税条条块块开始对“坐在火山口上”有了系统认识,并且接受了安全管理、信息资产价值等新观念。但是观念转变,依然是未来福建地税信息安全项目的难点和重中之重,陈海涛表示。
最重要的工作则是落实。整个项目是按ISO17799/BS7799标准来执行的,为了保证落实到位,福建地税信息安全体系计划今年通过BS7799标准认证。此外,福建地税还将建立系统网络监控管理中心,可以对所有的系统进行监控,以全面贯彻整体安全管理的理念。
“安全无止境,安全问题和系统建设永远是矛与盾的关系”,陈海涛处长表示,“我们还会不断地深入、补充和强化。”
尾声:关于“外脑”
请专业服务商来咨询和规划,并且参照ISO17799国际标准的流程,让福建地税尝到“少走弯路,而且不会走错路”的甜头。陈海涛处长表示:以后在大项目中,依然考虑聘请“外脑”,以实现系统先进性与业务实际的结合。
就记者看来,现阶段的成功应首先归功于福建地税领导意识超前、技术与资源投入到位、务实高效的工作。其次还在于惠普做到了以下几点:一是实施能力,惠普具有实施国际标准的丰富经验与能力;二是公立,惠普做到了“按照客户需要的最佳配置为其构建整个安全架构”;三是知识转移,惠普明白最后的实施还是要靠用户自己。
陈海涛的整体评价是:“通过这一项目的建设,我们不仅实现了对全省地税业务系统安全的有效监控,还从惠普身上学到了不少先进的技术和丰富的IT管理经验,对我们提升整体的信息管理水平也有重要的启发意义。”
