税务系统安全管理平台建设应用模式分析

启明星辰 叶蓬

本系列文章针对税务系统信息安全建设的现状与挑战提出了一个新型的面向税务业务信息系统的安全管理平台模型，详细阐述了税务安全管理平台的设计思路、总体架构、价值和应用模式，给出了建设税务安全管理平台的规划建议，并通过实际案例加以说明。作为系列文章的第二篇，本文根据税务系统的实际情况，对税务系统安全管理平台的建设模式进行了具体分析。

典型应用模式

在建设税务系统安全管理平台的过程中，不可避免的会遇到其他种类的管理系统或者平台，例如终端管理系统、数据库审计系统、网络管理系统、运维管理系统，等等。税务系统安全管理平台必须正确处理好与各个管理系统之间的关系，确保不出现新的管理孤岛，不增加管理人员的工作负担，甚至还要降低总管理成本。

这些管理系统结合各个税务单位（从总局到省局、地市局等）网络建设的实际情况，以及信息中心组织结构的不同，会形成不同的应用模式。

下图显示了税务系统安全管理平台的一种典型应用模式，体现了新型的税务系统安全管理平台在税务单位运行管理体系建设中的位置及其总体相互关系。

 
如图所示，安全管理平台位于专门类安全防护产品和专门类系统管理产品之上，一方面可以直接采集IT基础资源节点的信息，另一方面可以获取这些专有系统的信息。专有安全防护产品着重针对某类威胁进行布控，属于纵向安全功能组件。例如终端管理系统着重是针对网络中的PC等桌面设备进行集中管控，数据库审计产品着重是针对访问数据库的行为进行细粒度审计。这些信息汇同其他信息一道进入安全管理平台。

在安全管理平台中，能够实现对全网设备的集中管控，不仅是终端管控，也包括网络设备、主机和应用等，终端管理系统相当于安全管理平台的一个信息输入点。类似地，安全管理平台能够实现全网的综合审计，数据库审计只是综合审计的一个维度、一个信息输入点，还包括终端审计、网络审计等维度。同理，各门类的专有系统管理产品（网元管理、主机管理等）也都相当于安全管理平台的信息输入点。

安全管理平台并没有取代这些专门类管理产品，只是分工不同。专门类管理产品作为纵向产品立足于细粒度管控，而以安全管理平台为代表的综合类管理产品则立足于全面信息采集分析，以期提供全局性故障分析、态势分析和宏观分析，以便管理员进行快速决策和响应。他们二者之间是紧密配合的关系。安全管理平台发现了问题后，可能要借助这些专门类管理产品向下实施控制策略。

再如上图所示，安全管理平台位于税务系统IT服务管理平台之下，是IT服务管理在安全管理维度的具体体现。安全管理平台的运维管理遵循与IT服务管理相同的方法论和技术架构，并着眼于安全运维相关的流程处理。安全管理平台的运维管理中心可以无缝融合到IT服务管理中去。

最后，包括IT服务管理平台、税务综合行政办公系统，以及各种专有税务业务系统在内的各种系统都统一接入到税务统一内部管理门户之中。

其他应用模式

下图则显示了另一种安全管理平台的应用模式，表明了客户在已经构建了较完善的综合网络管理系统之后如何建设安全管理平台的思路。

如图所示，如果用户已经部署了综合类网络管理系统，那么各种专门类系统管理产品不再成为安全管理平台的信息输入点，安全管理平台将可以直接与综合网管系统进行对接，获取相关的系统及网络信息。此时，安全管理平台的监控中心的大部分功能将由综合网管系统来承担。

无论采用哪种应用模式，安全管理平台在整体IT管理体系中的相对位置是固定的，即位于IT基础资源和专门类管理产品之上，位于IT服务管理平台之下。这也是安全管理平台在税务整体管理体系中的定位。