信息系統(tǒng)安全建設(shè)“四化”趨勢(shì)漸顯

國(guó)內(nèi)信息化建設(shè)起步于上世紀(jì)90年代，經(jīng)過多年的發(fā)展，各組織單位信息化建設(shè)取得了突破性進(jìn)展，信息系統(tǒng)順利完成由局部應(yīng)用到全面覆蓋、由輔助管理到支撐生產(chǎn)經(jīng)營(yíng)、由分布處理到數(shù)據(jù)集中的轉(zhuǎn)變，開始步入成熟階段。

在信息化建設(shè)的過程中，同時(shí)也進(jìn)行了信息系統(tǒng)安全建設(shè)。信息系統(tǒng)安全建設(shè)一般經(jīng)過分散建設(shè)階段、系統(tǒng)化建設(shè)階段、一體化建設(shè)階段。在不同的階段，采取不同的安全技術(shù)與解決方案，但無論在哪一個(gè)階段，信息系統(tǒng)安全理念都不會(huì)發(fā)生根本性的變化。本文通過總結(jié)信息系統(tǒng)安全建設(shè)的經(jīng)驗(yàn)，提出了信息系統(tǒng)安全“四化”建設(shè)的理念與方法論，即產(chǎn)品方案化、方案業(yè)務(wù)化、業(yè)務(wù)透明化、服務(wù)產(chǎn)品化。

產(chǎn)品方案化

產(chǎn)品方案化著重強(qiáng)調(diào)某個(gè)安全產(chǎn)品在整個(gè)信息系統(tǒng)安全整體解決方案中的角色，以及所解決的具體問題。

產(chǎn)品方案化以方案提供者的角度提出，讓用戶明確安全產(chǎn)品不是解決所有的安全問題，而是滿足整體解決方案某一個(gè)點(diǎn)的問題。如防火墻主要解決內(nèi)外網(wǎng)安全隔離，或安全域的劃分與隔離;網(wǎng)絡(luò)審計(jì)主要對(duì)網(wǎng)絡(luò)行為進(jìn)行記錄與追蹤，解決內(nèi)網(wǎng)合規(guī)問題。

產(chǎn)品方案化的前提是讓用戶對(duì)信息系統(tǒng)安全體系框架有一個(gè)清晰的認(rèn)識(shí)，知道進(jìn)行信息系統(tǒng)安全防護(hù)需要建設(shè)怎樣的安全體系架構(gòu)，而目前現(xiàn)狀已經(jīng)滿足哪些要求?還有哪些沒有滿足?從而明確該產(chǎn)品在安全體系架構(gòu)中的作用，以及該產(chǎn)品的重要性和緊迫性如何?

對(duì)于信息系統(tǒng)安全體系架構(gòu)，在等級(jí)保護(hù)制度沒有執(zhí)行之前，一般按照IATF標(biāo)準(zhǔn)通過安全域的劃分來構(gòu)建信息系統(tǒng)安全體系架構(gòu)，以及等級(jí)保護(hù)制度的執(zhí)行，使國(guó)內(nèi)政府、企事業(yè)單位進(jìn)行信息系統(tǒng)安全建設(shè)有所依據(jù)。等級(jí)保護(hù)從計(jì)算安全環(huán)境、邊界安全、通信安全、安全管理中心四個(gè)方面闡述了如何構(gòu)建安全體系架構(gòu)。通過信息系統(tǒng)安全等級(jí)保護(hù)架構(gòu)圖，可以非常清晰每個(gè)產(chǎn)品在等級(jí)保護(hù)整體解決方案中的角色與作用，從而很容易提供產(chǎn)品方案化的解決方案。

方案業(yè)務(wù)化

信息系統(tǒng)安全是一個(gè)比較宏觀的概念，信息系統(tǒng)安全的目的是業(yè)務(wù)系統(tǒng)安全，保障業(yè)務(wù)系統(tǒng)的可用性和安全性，是進(jìn)行信息系統(tǒng)安全建設(shè)的最終目標(biāo)。同時(shí)，以業(yè)務(wù)系統(tǒng)安全為目標(biāo)，可以使解決方案的工作目標(biāo)更明確，具體安全措施的粒度更細(xì)。

通過多年的信息化建設(shè)，業(yè)務(wù)系統(tǒng)已經(jīng)成為組織單位中職能部門工作的平臺(tái)，業(yè)務(wù)系統(tǒng)產(chǎn)生可用性事件或安全事件，直接關(guān)系到組織單位的日常工作，甚至造成經(jīng)濟(jì)損失。信息系統(tǒng)安全解決方案，一定是以業(yè)務(wù)系統(tǒng)為中心，從業(yè)務(wù)系統(tǒng)的安全防護(hù)、業(yè)務(wù)系統(tǒng)的可用性監(jiān)控、業(yè)務(wù)系統(tǒng)的行為審計(jì)、業(yè)務(wù)系統(tǒng)的運(yùn)維安全、業(yè)務(wù)系統(tǒng)的安全事件，以及業(yè)務(wù)系統(tǒng)的流量監(jiān)控等多維度來解決業(yè)務(wù)系統(tǒng)的安全問題。

因此，以安全解決方案業(yè)務(wù)化的角度去解決安全問題，不僅目標(biāo)明確，而且可以準(zhǔn)確的判斷業(yè)務(wù)系統(tǒng)是否是一個(gè)獨(dú)立的安全域，業(yè)務(wù)系統(tǒng)安全防護(hù)是否到位，從而驗(yàn)證安全解決方案是否“落地”。

業(yè)務(wù)透明化

信息系統(tǒng)安全保障體系作為業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行的基礎(chǔ)，服務(wù)于業(yè)務(wù)系統(tǒng)，但對(duì)業(yè)務(wù)系統(tǒng)的應(yīng)用需要透明，以不影響業(yè)務(wù)系統(tǒng)用戶使用習(xí)慣和業(yè)務(wù)系統(tǒng)的運(yùn)行效率為原則。

信息系統(tǒng)安全建設(shè)如果做不到業(yè)務(wù)透明化，在安全建設(shè)的過程中，一定會(huì)遇到重重阻力，難以為繼。即使由于某種原因進(jìn)行了不透明的安全建設(shè)，后期也會(huì)導(dǎo)致棄用。同時(shí)，業(yè)務(wù)不透明的安全建設(shè)，很容易因?yàn)樾畔⑾到y(tǒng)安全建設(shè)而導(dǎo)致業(yè)務(wù)系統(tǒng)的不安全。

服務(wù)產(chǎn)品化

一個(gè)完整的信息系統(tǒng)安全保障體系，由安全產(chǎn)品技術(shù)、安全管理、安全服務(wù)三大方面組成。其中安全服務(wù)包括信息系統(tǒng)安全咨詢服務(wù)、評(píng)估服務(wù)、應(yīng)急服務(wù)、加固服務(wù)、安全運(yùn)維服務(wù)等。

安全服務(wù)需要產(chǎn)品化，才能夠形成標(biāo)準(zhǔn)，保證質(zhì)量。安全服務(wù)的產(chǎn)品化集中體現(xiàn)在安全服務(wù)文檔標(biāo)準(zhǔn)化、項(xiàng)目組織標(biāo)準(zhǔn)化、服務(wù)流程標(biāo)準(zhǔn)化。

安全服務(wù)文檔不僅需要標(biāo)準(zhǔn)化，而且根據(jù)客戶的不同要進(jìn)行行業(yè)化，同時(shí)要及時(shí)更新。項(xiàng)目組織標(biāo)準(zhǔn)化體現(xiàn)在安全服務(wù)的過程中，讓專業(yè)的人做專業(yè)的事情，避免由于人員的不專業(yè)而導(dǎo)致安全服務(wù)風(fēng)險(xiǎn)加大。服務(wù)流程標(biāo)準(zhǔn)化體現(xiàn)在安全服務(wù)要有計(jì)劃、有步驟的進(jìn)行。

總之，安全服務(wù)產(chǎn)品化不僅能夠體現(xiàn)安全服務(wù)的專業(yè)性，而且能夠提高安全服務(wù)的效率，降低安全服務(wù)的風(fēng)險(xiǎn)。

在信息系統(tǒng)安全解決方案中，以安全“四化”建設(shè)為理念，不僅可以使安全解決方案目標(biāo)明確，建立符合用戶使用習(xí)慣和企業(yè)文化、可落地的安全保障體系，而且可以使安全技術(shù)和安全服務(wù)有機(jī)的融合為一體，從而高效的為信息系統(tǒng)安全穩(wěn)定運(yùn)行提供保障能力。