当前位置: 主页 > 产品中心 > 安全管理 >

信息安全服务平台

网站管理员 2015-01-21

需求背景

信息安全需要管理。这种管理不是对信息安全的单个要素进行碎片式的管理,而是要重注管理好各个要素之间的关系。信息安全本身是一个有机的整体,信息安全技术体系是企业的重要基础设施,只有把信息安全的管理放在企业的大视野中看待,才能找到更加合适的管理手段和方式。

从我国的实际状况看,当前我国信息安全管理体制机制中主要存在四个突出问题:

一是协调机制不力,统筹推进困难。由于信息安全管理涉及全局,渗透、融合到各个领域,因此,加强协调就显得尤为重要。目前,我国信息安全工作中跨部门、跨地区以及中央和地方间的协调,主要依靠上级开会以及相关单位间采取“就事论事”的办法进行。这种协调方式会造成两大问题:一是集中开会次数有限,只能就重大问题进行商议决策,闭会期间没有明确的协调制度,信息安全建设中需要高层协调解决的重大问题无法有效推进;二是重大事项部门间缺乏政策配合流程,依靠各相关职能部门间主办机构和公务人员一事一议的协调模式,协调成本高,随意性强,容易出现薄弱环节。

二是部门各自为政,防护水平不一。在信息安全各领域中,信息安全管理和信息安全专业服务面临的问题尤为严重。我国信息安全管理目前处于各自管理,上级检查的状态,客观上对信息安全相对集中监督管理提出了更高的要求。但是,企业网络安全保障体系目前均为各单位自行建设,信息安全专业服务单位也都是各单位自行采购,不但形成一系列信息安全“孤岛”和“烟囱”,无法综合利用全部信息安全防护资源形成立体纵深安全框架,也导致了各单位防护水平不一,形成防护短板,信息安全资源也难以灵活调动共享。因此,尽快建立一个强有力的统筹协调机制,加强对企业信息安全防护与管理的统筹,遏制企业信息安全建设与管理中的各自为政、水平不一现象,显得尤为紧迫。

三是条块矛盾突出,综合效能低下。随着我国信息化深入推进,中央部门与地方协调发展的矛盾也日益突出。尤其在信息安全领域,目前中央各部门自上而下的“条”与地方的“块”之间缺乏有效的结合机制,形成信息安全建设纵强横弱、条块分割的局面。从条条看,不仅是中央垂直管理部门,而且越来越多的非垂直管理部门也开始把系统和网络安全管理直接延伸到基层甚至社区,形成了企业“上面千条线、下面万根针”的局面,使潜在的“信息孤岛”风险进一步加剧,安全风险进一步加大。从块块看,各部门网络和系统信息安全保障自成体系,上级监管部门多头管理,地方企业信息安全保障统筹困难,统一应用和管理难以实现,财力也不堪重负。如果不尽快建立有效的条块结合机制,企业信息安全实现集约发展的难度将越来越大,短板效应进一步加剧,最终导致整体安全防护水平难以有效提升。

四是重技术、轻管理。随着国家对信息安全的不断重视,等级保护政策的不断推进,各单位在信息安全建设中大量采购安全设备用于构建信息安全防护技术体系。随着信息安全攻击技术的不断提升,绕过或避免安全设备直接发出告警的攻击越来越多,更加需要专业人员定期对多台设备进行分析才能够发现攻击的痕迹。也对信息安全管理和专业信息安全服务提出了更高要求。但是在信息安全管理与服务方面,缺少相应的投入,监管部门受限于自身安全专业人员的数量,也仅能每年开展一次监督检查工作。而信息安全管理是一个持续的过程,需要持续监控、维护,特别是一些制度的落实也绝非一次检查就能够发现问题。从建设单位角度,既有地方政府工信委、公安管理,也有系统内上级单位管理,管理标准也不尽相同,而且目前上级单位大量工作在于监督检查,真正的指导、管理职能没有发挥,导致建设单位对要求理解不到位,工作做不到位,信息安全成为了一个确保不出事即可的工作内容,相关投入难以取得显著成绩,也就无法取得真正的重视。

平台架构

信息安全服务平台主要包括四个方面:安全管控对象层、平台核心功能模块层、第三方服务商接入层、管控主体层。实现了自上而下的信息支撑,明明白白管控;完成自上而下的管控驱动,层层责任清晰。


 
  • 安全管控对象层

该层是整个平台的基础数据来源,收集、汇总与信息安全相关的各类信息,经简单筛选、规格化后提供平台核心模块层的各个功能使用。信息收集的方式包括自动收集与手工录入两种方式结合。收集管理的对象包括核心资产,安全管理中心(SOC)、安全产品、内部风险、外部风险等方面。

核心资产管理的是企业系统重要的资产,包括常见的服务器、网络设备等,也包括需要保护的数据、重要的服务等,是系统正常运行所必需的基础数据,也是风险管理的核心依据之一。核心资产信息的收集通过设备自动发现机制自动发现所需要管理的设备资产,但对于数据、服务等需要手工录入。

安全管理中心(SOC)管理通过收集安全管理中心(SOC)上报的信息安全告警事件与日志信息,检测发生的安全事件,从而启动相关工作流程,流程化的要求运行单位提高响应能力。

内部风险管理通过自动化收集漏洞扫描工具和基线核查工具的定期检测报告,实时的自动分析企业系统内部存在的风险,还可以通过人工录入安全管理方面存在的风险,根据当年度的信息安全工作目标与考核指标,自动化的生成安全工单,启动后续流程。外部风险管理指通过收集国内外主流漏洞库或者安全通告信息,动态的发现企业系统内部新发现漏洞的受影响情况,及时进行处置。

  • 平台核心功能模块

通过工作流引擎,将安全产品监管、风险监测、应急处置流程、安全督查、等保测评、评价考核、决策支持、风险管理各个主要业务进行标准化、流程化和自动化,结合当年度制定的安全考核指标实现系统建设目标。

  • 第三方服务商接入层

为解决运营主体单位技术能力有限、安全资源有限与统一安全要求的矛盾,引入第三方服务商接入,通过统一的平台高效率的实现信息安全服务资源的灵活调度与远程支持,包括:第三方安全运营、第三方安全检查、第三方安全咨询。通过这层功能,所有服务数据都可以被合格的第三方服务商获取,提高了优质服务单位的使用效率。

  • 管控主体层

提供人机交互界面,为系统的真正使用者提供相关功能,包括监管部门及支撑部门、执行部门及基层人员、高层领导等,不同的角色均能够及时看到其最关心的信息和需要处理的信息,真正实现自上而下的管控,


 

平台价值

通过建设信息安全服务平台,能够理顺企业信息安全工作流程,共享相关信息与资源,完善考核机制,全面推动企业信息安全工作,最终促进组织信息安全防护能力提升。

  • 完善顶层设计,明确安全目标

通过站在全局高度和视角对企业信息安全进行没设计,合理区分工作职责与重点内容,以运营、落实与提升为指导思想,明确企业具体的信息安全工作目标,合理设计考核指标,并通过定期进行的目标与指标设计,让各单位均能够拥有具体的、可实现的工作目标,安全成效看得见。

  • 建设信息安全工作机制,理顺信息安全工作流程

通过明确安全责任,设置各责任主体的互动方式,有效进行安全工作监督检查,促进管理层参与,打破原有信息安全工作僵化、混乱的局面,通过合理的工作机制,解决各单位信息安全信息交流不畅、水平差距过大导致的一系列问题,切实推动信息安全工作开展。

  • 统一信息安全服务平台支撑,实现资源调度与共享

通过建设信息安全服务平台,实现管理思路与IT技术的深度融合,固化关键活动和机制,确保信息安全工作按照设计的思路顺利开展。实现信息和资源在主管、建设、运维和使用等责任主体间共享,提高工作效率,弥补技术力量薄弱的问题,通过引入第三方服务机构远程支持,切实解决偏远地区技术力量不足、第三方服务商不够的矛盾,确保信息安全工作不出现客观原因导致的短板,各单位处于同一起跑线,让相关工作、考核机制真正有效运行。

  • 落实信息安全运营保障,促进安全保障能力不断提升

通过提供实时的信息安全事件监控与风险监测,实现信息安全工作的快速响应,提升安全处置能力,通过各单位横向对比能有效发现短板,通过与管理单位的要求对比,能够明确今后工作方向,利用PDCA循环,不断提升信息安全保障能力。