福建地稅借助HP服務(wù)搭建完整的安全體系
作者:
佚名 來源:
HP 發(fā)布時間:2006年02月21日 點(diǎn)擊數(shù):
福建地稅���,面向40萬納稅戶�,年稅收額約250億元���。為建立一套完整的安全體系����,投入3000余萬元���,其中1/6 用于聘用 “外腦”����。據(jù)稱����,這是目前國內(nèi)最大規(guī)模的地稅信息安全項(xiàng)目����。
惠普����,在此安全項(xiàng)目的管理體系和技術(shù)體系規(guī)劃建立中,扮演著總教頭和代理人的角色�。在全球提供多層次、全方位的安全服務(wù)��,在信息安全領(lǐng)域擁有超過29項(xiàng)的專利�����、50位國際信息安全系統(tǒng)認(rèn)證(CISSP)專家�、世界級的安全中心以及完善的安全方法論。
序幕:置身火山口
2000年便建成了覆蓋全省九個地市的網(wǎng)絡(luò)系統(tǒng)��,開發(fā)了全省統(tǒng)一的征收應(yīng)用系統(tǒng)�,走在全國地稅信息化的前列。
然而���,隨著各部門日常工作對信息系統(tǒng)的依賴性日益增長����,福建地稅的領(lǐng)導(dǎo)發(fā)現(xiàn):信息化在顯著提高工作質(zhì)量與效率的同時���,也帶來或暴露出一些嚴(yán)重的安全隱患����。
國家稅務(wù)總局的一領(lǐng)導(dǎo)曾將信息安全問題比作“火山口”——不發(fā)作則已,一發(fā)作就是大問題��。去年初,沖擊波病毒讓全球不少企業(yè)蒙受巨大損失����,也讓福建地稅不幸“中招”���,從而強(qiáng)烈感受到“坐在火山口上”的忐忑與被動——系統(tǒng)網(wǎng)絡(luò)出現(xiàn)阻塞,業(yè)務(wù)一度被迫中斷�����。
第一幕:借助外援
其實(shí)��,福建地稅早在2001年開始醞釀:建立一個高起點(diǎn)�、高標(biāo)準(zhǔn)的一攬子安全解決方案���,使自身能變“被動應(yīng)對”為“主動防范”?���!皼_擊波”的沖擊����,更堅(jiān)定了他們的決心和步伐��。
所謂一攬子的安全解決方案�����,與今天業(yè)界盛行的“全方位安全”一脈相承,福建地稅這先人一步的認(rèn)識來自實(shí)踐�����,也來自黨組領(lǐng)導(dǎo)班子的多次討論��。為了保證規(guī)劃建設(shè)的完整與準(zhǔn)確��,福建地稅的領(lǐng)導(dǎo)班子還決定引入國際安全咨詢服務(wù)商。HP安全服務(wù)就這樣走進(jìn)了福建地稅的生活�,兩者2002年9月結(jié)成合作伙伴關(guān)系��,并正式啟動了信息安全系統(tǒng)項(xiàng)目工程��。
在被問及選擇惠普服務(wù)的原因時,福建省地方稅務(wù)局信息技術(shù)處陳海濤處長總結(jié)說:惠普不僅能夠提供包括安全技術(shù)和安全管理在內(nèi)的全方位解決方案���,并且非常注重管理制度和技術(shù)體系的共同配合����;此外����,惠普在安全咨詢和項(xiàng)目管理方面還擁有成熟的方法論、先進(jìn)的工具以及經(jīng)驗(yàn)豐富的安全咨詢實(shí)施隊(duì)伍���。這些在今天說起來更是他的心得與體會。
福建地稅當(dāng)時頗具慧眼����,因?yàn)閲鴥?nèi)知曉惠普安全服務(wù)的用戶并不多���。中國惠普有限公司資深安全咨詢顧問李丹作為福建地稅的項(xiàng)目經(jīng)理����,在她四年前加入HP之前獵頭找上門來時她也很驚訝:“難道惠普也涉足信息安全領(lǐng)域嗎���?”當(dāng)她加入惠普以后發(fā)現(xiàn),惠普在全球信息安全領(lǐng)域擁有非常多的成功案例����,并且通過一套優(yōu)秀的知識共享體系,將豐富的知識與經(jīng)驗(yàn)帶到了中國���。
第二幕:體系再造
在項(xiàng)目實(shí)施過程中�����,惠普參照ISO17799/BS7799國際安全標(biāo)準(zhǔn),在調(diào)查�、評估和科學(xué)分析的基礎(chǔ)上幫助福建地稅構(gòu)筑了一整套完善的信息安全管理體系和技術(shù)體系��。服務(wù)內(nèi)容包括:安全現(xiàn)狀評估���、安全策略創(chuàng)建��、安全策略實(shí)施����、安全意識規(guī)范化�����、安全產(chǎn)品綜合評測與選型、安全統(tǒng)一平臺建設(shè)及系統(tǒng)應(yīng)用安全加固等。
具體分為幾個階段:一是現(xiàn)場訪談���、運(yùn)行測試和風(fēng)險評估階段,以發(fā)現(xiàn)問題����;二是創(chuàng)建安全策略階段�����,同時還進(jìn)行了廠商產(chǎn)品測試和招投標(biāo)��;三是進(jìn)行安全策略的實(shí)施和問卷調(diào)查���;最后進(jìn)行初驗(yàn)�����、試運(yùn)行和項(xiàng)目結(jié)束����。
李丹格外強(qiáng)調(diào)安全策略和安全策略實(shí)施文檔的重要性:“安全策略是福建地稅信息安全管理體系的綱領(lǐng)和框架。”雙方參照ISO17799來編制這個安全策略���,除了通用要求之外,還非常注重各級地稅領(lǐng)導(dǎo)與員工安全意識的培訓(xùn)�����,因?yàn)椴呗灾卦诼鋵?shí)�,而落實(shí)重在觀念轉(zhuǎn)變���。福建地稅的安全策略實(shí)施文檔包括:技術(shù)方案文檔、管理制度文檔����、日常維護(hù)文檔以及安全產(chǎn)品技術(shù)規(guī)范文檔���,加起來的高度在1米開外����。福建地稅的安全策略在2003年的7、8月份完成����,在今年下發(fā)到全省各地稅機(jī)構(gòu)每個員工手中��。
在技術(shù)體系規(guī)劃與建設(shè)中,惠普注重完全站在福建地稅的立場上�,對不同廠商安全產(chǎn)品進(jìn)行指標(biāo)測試,并且注重綜合測試�����、交互測試����,以保證最后性能的可實(shí)現(xiàn)性和操作性��。而后��,惠普與福建地稅共同配合��,根據(jù)產(chǎn)品測試的結(jié)果定制了四類產(chǎn)品的標(biāo)書,進(jìn)行了公開透明的招投標(biāo)�����,最后監(jiān)督具體技術(shù)產(chǎn)品的實(shí)施和完善。
第三幕:重在落實(shí)
經(jīng)過2003年全年的重點(diǎn)建設(shè)和全面推廣�,福建地稅現(xiàn)已成功構(gòu)筑起自身的信息安全體系。“今年的‘震蕩波’病毒��,就基本上沒有給我們帶來多大的影響”���,陳海濤處長說。除了面對層出不窮的網(wǎng)絡(luò)病毒,福建地稅由被動轉(zhuǎn)為主動之外�,陳海濤還非常有感觸地談到整個福建地稅的備份系統(tǒng)規(guī)范化、防火墻等安全設(shè)備的科學(xué)布局等巨大的變化。
最大的變化是觀念——福建地稅條條塊塊開始對“坐在火山口上”有了系統(tǒng)認(rèn)識�����,并且接受了安全管理�����、信息資產(chǎn)價值等新觀念。但是觀念轉(zhuǎn)變�����,依然是未來福建地稅信息安全項(xiàng)目的難點(diǎn)和重中之重�,陳海濤表示���。
最重要的工作則是落實(shí)����。整個項(xiàng)目是按ISO17799/BS7799標(biāo)準(zhǔn)來執(zhí)行的�����,為了保證落實(shí)到位,福建地稅信息安全體系計(jì)劃今年通過BS7799標(biāo)準(zhǔn)認(rèn)證�。此外,福建地稅還將建立系統(tǒng)網(wǎng)絡(luò)監(jiān)控管理中心,可以對所有的系統(tǒng)進(jìn)行監(jiān)控�����,以全面貫徹整體安全管理的理念���。
“安全無止境,安全問題和系統(tǒng)建設(shè)永遠(yuǎn)是矛與盾的關(guān)系”�,陳海濤處長表示,“我們還會不斷地深入���、補(bǔ)充和強(qiáng)化���。”
尾聲:關(guān)于“外腦”
請專業(yè)服務(wù)商來咨詢和規(guī)劃�����,并且參照ISO17799國際標(biāo)準(zhǔn)的流程����,讓福建地稅嘗到“少走彎路,而且不會走錯路”的甜頭�����。陳海濤處長表示:以后在大項(xiàng)目中,依然考慮聘請“外腦”����,以實(shí)現(xiàn)系統(tǒng)先進(jìn)性與業(yè)務(wù)實(shí)際的結(jié)合。
就記者看來,現(xiàn)階段的成功應(yīng)首先歸功于福建地稅領(lǐng)導(dǎo)意識超前、技術(shù)與資源投入到位、務(wù)實(shí)高效的工作。其次還在于惠普做到了以下幾點(diǎn):一是實(shí)施能力,惠普具有實(shí)施國際標(biāo)準(zhǔn)的豐富經(jīng)驗(yàn)與能力�;二是公立���,惠普做到了“按照客戶需要的最佳配置為其構(gòu)建整個安全架構(gòu)”�;三是知識轉(zhuǎn)移,惠普明白最后的實(shí)施還是要靠用戶自己���。
陳海濤的整體評價是:“通過這一項(xiàng)目的建設(shè),我們不僅實(shí)現(xiàn)了對全省地稅業(yè)務(wù)系統(tǒng)安全的有效監(jiān)控�,還從惠普身上學(xué)到了不少先進(jìn)的技術(shù)和豐富的IT管理經(jīng)驗(yàn)�,對我們提升整體的信息管理水平也有重要的啟發(fā)意義?����!?/FONT>
