一、方案背景
2003年中辦發[2003]27號文(《國家信息化領導小組關于加強信息安全保障工作的意見》)中明確指出:“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南”。根據國家信息化領導小組的統一部署和安排,我國將在全國范圍內全面開展信息安全等級保護工作,之后相關主管部門也相繼推出了許多政策與措施,2004年11月四部委聯合簽署《關于信息安全等級保護工作的實施意見》(公通字[2004]66號),2005年9月國信辦簽發《關于轉發《電子政務信息安全等級保護實施指南》的通知》(國信辦[2004]25號),2005年公安部標準《基本要求》、《定級指南》、《實施指南》、《測評準則》等相繼頒布,2006年1月四部委會簽《關于印發信息安全等級保護管理辦法的通知》(公通字[2006]7號),這些政策的相繼出臺為國內金融機構等單位實施信息安全等級保護工作提供了指導與要求。
二、需求分析
金融信息系統是技術密集、資金密集、大型復雜、網絡化的人機系統,隨著全球信息技術的快速發展,信息科技在金融系統中的應用越來越廣,金融機構對信息系統的依賴程度也越來越大,與此同時,金融機構所面臨的信息科技風險也隨之增大。面對金融體系改革與WTO國際結軌的雙重壓力,以及網絡黑客的攻擊與不法組織的蓄意破壞,風險的抵御能力還有待提高,為此國家相關部門也在積極促進信息安全等級保護工作的推進,意在促進國內金融體系建立起信息安全保障機制,以增強抵御外界風險的能力,防止金融系統風險的發生。
金融行業進行信息化建設起步較早,但傳統的安全管理方式是將分散在各地、不同種類的安全防護系統分別進行管理,各系統單獨保護,相互沖突和割裂,形成信息孤島,導致安全信息分散,互不相通,安全策略難以保持一致;此外,各安全系統單獨建設,造成分散、低水平重復投資,在建立長效機制方面也考慮較少,難以做到可持續運行、發展和完善;這種傳統的管理運行方式已成為許許多多安全隱患的根源,因此金融系統對信息安全體系的建設既存在符合政策合規性管理的要求,又存在自身安全保障體系建設的需求。
三、方案描述
啟明星辰信息技術有限公司根據金融系統實際的安全需求出發,在全面體現GB17859-1999的等級化標準思想的基礎上,以公安部《信息系統安全保護等級定級指南》和《信息系統安全等級保護測評準則》等相關標準與指南為主要指導,充分吸收近年來安全領域出現的信息系統安全保障理論模型和技術框架(如IATF等)、信息安全管理標準ISO/IEC 17799:2000和ISO/IEC TR 13335系列標準,根據金融行業的特點和信息化現狀,運用業界權威的安全風險評估標準與模型,結合啟明星辰多年的安全風險評估經驗與實踐,從組織保障層面(人)、運營管理保障層面(過程)以及技術實現與保障層面(技術)三個層面(簡稱PPT)提出了基于等級保護的信息安全保障體系整體框架和設計方案。
四、方案整體架構
啟明星辰基于等級保護的金融信息安全保障體系整體架構如下圖所示:
 |
1. 技術先進性與可靠性
采用的技術具有前瞻性,能夠滿足同類信息系統跨平臺的移植和推廣要求。同時,遵循國家有關計算機信息系統安全標準和規定,符合金融行業資產系統的接入模式、接口規范、帶寬要求和性能要求,盡量不影響業務處理性能、網絡性能和拓撲結構。
2. 技術安全和管理安全并重
信息系統的安全保密從來就不單純是技術問題,技術安全與管理安全并重,管理安全的思想將一直貫穿在平臺的設計、實施、運行、管理、維護、創新和發展的各個方面。
3. 可維護性及易用性強
從具體的應用角度出發,滿足業務和管理的需要。一方面,安全系統本身易于集中管理、可維護的,另一方面,安全系統對其管理對象的管理是方便的、簡單的,同時,安全措施的采用不會影響原有系統的正常運行。
4. 具有良好的可擴展性
平臺的設計已考慮到網絡系統及各種安全技術的發展狀況和趨勢,確保平臺在設計、實施、運行、管理、維護等各個階段既能夠滿足現在已部署的安全產品的集中管理,也能夠滿足未來將要部署的各類安全產品的集中管理。此外,系統平臺設計采取成熟的技術和模塊經驗,在完成本期工程之后可以以之為基礎擴展至其它系統。
5. 互聯、互通、互操作性好
設計平臺既要實現平臺自身各個子系統互聯、互通、互操作性,又要通過監控平臺和采集引擎的方式與所管理的各個系統(網絡安全設備、主機、網絡設備)有機地通過該平臺實現互聯、互通、互操作。
