浅析构建信息安全运维体系.docVIP

项目管理人员继续教育论文 第 PAGE 1页 共 NUMPAGES 6页 浅析构建信息安全运维体系 周晓梅－201071037 TIME \@ yyyy年M月d日 2010年12月26日 摘要：交通运输行业经过大规模信息化建设，信息系统数量成倍增加，业务依赖性增强，系统复杂度提高，系统安全问题变得更加突出、严重。建设系统信息安全运维管理体系，对保证交通运输行业信息系统的有效运行具有重要意义。 关键词：信息系统 安全运维体系 构建 安全不仅仅是一个技术问题，更是一个管理问题。实际上，在整个IT产品的生命周期中，运营阶段占了整个时间和成本的70% - 80% 左右，剩下的时间和成本才是花费在产品开发(或采购)上面。以往我们听说三分技术、七分管理是突出管理的重要性，而这个管理则是大部分的精力花费在运营方面。随着信息安全管理体系和技术体系在政府或企业领域的信息安全建设中不断推进，占信息系统生命周期70% - 80%的信息安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段，政府或企业运维人员需要管理越来越庞大的IT系统这样的情况下，信息安全运维体系建设已经被提到了一个空前的高度上。 任何为了信息安全所采取的任何安全措施，不管是技术方面的还是管理方面的，都是为了保障整个信息资产的安全，安全运维体系就是以全面保障信息资产安全为目的，以信息资产的风险管理为核心，建立起全网统一的安全事件监视和响应体系，以及保障这一体系正确运作的管理体系。 一、面临的问题 “十一五”以来，我国交通运输行业和部级信息化建设工作发展迅猛，取得了长足的进步，而部级信息化建设和管理工作中存在的一些问题和矛盾也日益凸显。当前部级信息化项目来源较多、资金筹措渠道复杂、建设和运行维护单位众多，而信息化标准规范体系不完善，由于缺乏有效的技术管理规范，非基本建设项目的建设实施还存在管控盲区，现有标准规范贯彻执行不足，系统建设实施过程中存在安全和质量风险，并对系统运行维护形成障碍，整体运行安全存在隐患。 目前，交通运输部已经基本建成了包含了电子政务外网、内网、机要网以及交通行业专网的四级网络，围绕着交通重要数据和信息建立了100多个应用系统。部级信息化专职运维人员近40人，分散在6个单位（网管中心、海事局、部公安局、公路院、交科院、中交网）各自运维应用系统。虽然购置了技术类安全设备、制定了部分安全制度规范，但部网站被攻击、邮件帐户被控制等安全事件仍然时有发生。究其原因，是未建设完整的信息安全运维体系。 国务院及相关主管机构公安部近几年先后颁布了27号，43号、61号、1429号等相关文件和意见，高度重视信息安全。交通运输部结合信息系统安全等级保护和分级保护工程，按照信息安全保障体系建设中运维体系建设的要求，遵循ITIL（最佳实践指导）、ISO/IEC 27000系列服务标准、等级保护和分级保护制度等相关标准，着手建立一整套信息安全运维服务管理体系。 二、安全运维模式的选择 当前在通行的解决方案上，主要存在着两种安全运维管理的方式: (1)安全运维外包:安全运维外包服务是将自身的安全运维管理工作外包给外部专业的安全管理服务商，依赖外部的力量未完成自身的安全运维管理任务。通常称之为安全运维外包服务(Outsourcing ManagedSecurity Services)，有时候也直接称之为管理的安全服务(MSS， Managed Security Services)。 (2)安全运维中心:大部分的单位会选择依靠自身的力量来完成安全运维工作。当信息系统具备一定的规模之后，为了有效地完成安全运维，就必须建设自己的安全管理与运维中心，这个安全管理与运维中心在专业术语上就称之为安全运维中心或安全运营中心(SOC， SecurityOperations Center) 。 鉴于交通运输部信息安全的保护需求，建设安全运维中心是适合的选择。 三、安全运维体系构建方案 安全管理运维平台是以资产管理为基础，风险管理为核心，事件管理为主线，辅以有效的管理、监视与响应功能，为用户构建动态的可信安全管理体系。具有极强的开放性与可移植性，在统一安全管理框架下实现对各种系统、应用、设备、安全产品的集中管理和监控，减轻管理员的操作负担，提高管理效率。系统具有智能处理海量事件，快速判断，应对网络威胁的强大功能。 （一）体系结构 安全管理运维平台是协助实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽。安全管理运维平台是一种安全管理的形式，它的职能分成管理层面的职能和技术层面的职能，安全管理运维平台将有效地将的策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起，保持一致。 安全管理运维平台在整个安全体