作者;郑晓敏
1 引言
近年来,我国面临的网络安全形势日益严峻。虽然交通运输行业未遭受严重的网络安全事件,但从已掌握的情况来看,行业信息安全形势不容乐观,存在着安全管理制度不完善、安全意识薄弱、安全风险隐患较多、防控措施不足、专业人员缺乏等突出问题。交通运输行业网络与信息安全已成为影响交通运输现代化发展、国家安全和社会稳定的重要因素。为全面提升交通运输行业信息安全管理水平,交通运输部自07年以来出台了大量行业信息安全管理政策,并相继开展了行业信息安全检查、信息安全通报等工作。交通运输行业信息安全管理平台以行业信息安全管理工作当前及未来一段时期发展需求为基础,以国家信息安全相关政策为依据,充分应用信息化技术,为行业信息安全管理工作提供服务与支撑。
2交通运输行业信息安全管理平台需求分析
交通运输行业信息安全管理平台建设的目的主要是为行业信息安全管理相关工作提供信息化支撑手段。交通运输行业目前主要开展的工作包括:信息安全检查、信息安全等级保护、网络与信息安全信息通报等工作,平台应对各项工作提供任务下达、任务执行上报、总结分析等基础功能。
2.1 交通运输行业信息安全工作开展概况
(1)交通运输行业信息安全检查工作
目前,交通运输行业信息安全检查工作主要为落实国家信息安全管理相关部门政策,以查促建、以查促管、以查促改、以查促防,增强安全意识,落实安全责任,深入分析安全风险,系统评估安全状况,全面排查安全隐患,进一步健全安全管理制度,完善安全防护措施,提升自主可控水平和安全防护能力,预防和减少网络安全事件的发生,切实保障行业重要网络与信息系统安全稳定运行。
(2)交通运输行业信息安全等级保护工作
为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定《信息安全等级保护管理办法》,2007年由四部委以公通字[2007] 43号文印发。交通运输部于2007年转发行业各单位,全面推进交通运输行业信息安全等级保护管理工作开展。
(3)交通运输行业信息安全通报工作
信息通报是信息安全管理体制中的重要环节,发挥着跨部门、多层级的信息交流与共享平台的作用,是协调有关部门、整合多方资源,实现综合防控、主动防范的重要载体。2012年,交通运输部启动交通运输行业网络与信息安全信息通报试点工作,在总结试点经验基础上,印发《交通运输行业网络与信息安全信息通报管理办法》,全面建立交通运输行业网络
与信息安全信息通报机制并顺利开展相关工作。
2.2 交通运输行业信息安全管理工作流程及问题分析
(1)交通运输行业信息安全管理工作流程
传统的交通运输行业信息安全管理工作开展流程包括任务部署、下发、接受三个阶段。通常而言,各项工作任务部署以国家或行业相关政策为依据,由行业信息安全主管部门研究形成相关文件,根据各项任务性质,采用公文、邮件、电话或传真的形式下达省级行业信息安全主管部门或部直属单位信息安全管理部门。各单位接收上级下发任务后,根据工作要求,视情况组织办公室、信息中心或保密办等部门相关人员落实。传统的交通运输行业信息安全管理工作开展流程如下图所示:
(2)问题分析
交通运输行业传统的信息安全管理工作流程主要存在以下问题。
工作部署:行业信息安全主管部门主要采用传统的纸质或电子文件方式分发,接收渠道多头,任务传达渠道不畅通,不利于工作部署。
工作过程:由图1可知,传统的行业信息安全管理工作难于形成闭环,工作部署任务下达后,工作开展过程难跟踪,工作结果反馈不及时,工作沟通效果差。
工作效果:传统的行业信息安全管理工作落实及开展情况大量依靠人工填报和分析工作数据,人工编写工作报告,人工考核工作成效,工作执行效率低。
2.3 交通运输行业信息安全管理工作平台开发目标
(1)畅通行业信息安全管理工作沟通渠道
建立及时、高效、安全的网络安全管理工作沟通渠道,快速下达工作指令,及时更新工作开展情况,部门之间、上下单位之间可充分有效的进行工作沟通。
(2)全面、及时掌握行业信息安全工作状况
经由网络安全管理工作采集的所有安全相关数据准确、完备,有变化时能够得到及时的更新。
(3)科学合理的考核各单位信息安全工作开展情况
通过各项任务执行情况统计分析,获取准确、详实的工作数据和安全相关数据,为行业信息安全主管部门科学合理考核各单位的网络安全管理工作提供参考依据。
2.4交通运输行业信息安全管理工作平台需求分析
2.4.1 平台服务对象分析
由于平台主要服务于交通运输行业信息安全管理工作,因此不应开放给社会公众。按照下管一级的行业管理现状,平台主要的用户类型主要分为部级用户、部直属单位用户、省厅用户及系统管理用户。其中,系统管理用户负责平台后台统一维护处理。
考虑到省厅和部直属单位对下属报送单位的管理需求,由省厅和部直属单位提交扩展点需求,以省厅、直属单位作为其扩展点的管理单位,实现平台用户扩展。
2.4.2服务对象需求分析
(1)部级用户需求分析
部级用户主要是行业信息安全主管部门,有统筹协调、监督指导行业信息安全管理工作的职能。部署行业信息安全管理相关工作时,主要涉及政策文件制定、印发,执行情况跟踪,统计分析。行业信息安全管理工作对时效性要求较强,传统依靠公文流转的形式无疑会影响各项工作的执行情况,不利于行业信息安全主管部门掌握相关工作开展情况。针对当前主要开展的工作,分析部级用户需求如下。
交通运输行业信息安全检查工作主要对行业各单位信息安全隐患和安全漏洞进行全面排查,并对信息安全状况和防护水平进行分析评估。因此,部级用户的主要需求包括信息安全检查工作的部署、任务下达、检查工作情况跟踪,检查结果统计分析。
交通运输行业信息安全等级保护工作中,部级用户主要职能有指导监督行业信息系统定级和备案工作、组织开展全国联网行业信息系统的定级备案工作。因此,部级用户对平台的功能需求包括:定级备案测评工作部署,各单位定级备案及测评工作落实情况跟踪了解,定级备案测评工作开展情况的阶段性统计分析。
交通运输行业信息安全通报工作中,部级用户主要职能有指导和部署通报工作开展。根据相关要求,平台应提供通报工作开展情况统计分析,重大事件处置情况管理、预警信息发布及处置管理等功能。
(2)省级用户、部直属单位用户需求分析
省级用户及部直属单位在行业信息安全管理工作中主要起着上传下达的作用,接受上级部门相关指令并具体落实本单位相关工作,省级用户还需指导和督促辖区内直管单位、下级单位相关工作开展。根据各项工作开展要求,分析省级用户及部直属单位用户需求如下。
交通运输行业信息安全检查工作中,省级用户及部直属单位用户的主要需求包括信息安全检查工作任务及时接收分配、检查工作情况上报,本单位检查结果统计分析。
交通运输行业信息安全等级保护工作中,省级用户及部直属单位用户的主要需求包括:定级备案测评工作落实情况上报,本单位、本辖区(省级用户)定级备案测评工作开展情况的阶段性统计分析。
交通运输行业信息安全通报工作中,省级用户及部直属单位用户的主要需求包括根据部发文件要求,及时完成各单位安全状况分类上报、重大事件处置情况上报、预警信息处置情况上报等功能。
(3)系统管理用户需求分析
系统管理用户主要进行系统的用户及权限管理,应根据用户的各项工作开展的组织架构、管理权限和性质,对用户进行角色分类。通过角色管理的方式,对具体业务用户进行统一的身份认证和权限管理。
3交通运输行业信息安全管理工作平台体系框架研究
3.1交通运输行业信息安全管理工作平台业务系统设计
分析行业信息安全管理平台用户需求可知,业务应用系统总体上应考虑信息采集及统计分析功能实现。根据交通运输行业信息安全管理工作开展实际情况,建设与各项工作对应的应用系统,即交通运输行业信息安全通报系统、信息安全等级保护管理系统、信息安全检查系统,在此基础上,为服务于行业信息安全管理决策,建设信息安全决策支持系统。系统总体结构如图2所示。
(1)交通运输行业信息安全通报系统
通报系统开发应以((交通运输行业网络与信息安全信息通报管理办法》为依据,实现行业网络安全情况通报。系统主要由部级管理和省级上报子系统组成,各子系统功能设计上应满足上传下达的对应关系。具体应具备安全状况报送、信息安全预警管理、重大信息安全事件管理等功能。
(2)交通运输行业信息安全等级保护工作管理系统
主要对行业各单位信息安全等级保护工作情况进行管理。主要功能包括各单位定级、备案、测评等基础信息采集,分类分项统计分析等功能。
(3)交通运输行业信息安全检查系统
系统开发应以国家、行业信息安全检查工作要求为基础,具备一定的扩展性。主要功能包括信息安全检查基础信息采集、检查工作执行情况报告、单位自评竹及统计分析等功能。
(4)行业信息安全决策支持系统
根据交通运输行业信息安全通报系统、行业信息安全等级保护工作管理系统、行业信息安全检查系统相关信息,刘行业信息安全管理与技术水平进行评估,为行业信息安全相关决策提供数据支撑。
3.2平台总体框架研究
交通运输行业信包安全管理工作平台应以系统用户相关1二作开展实际要求为基础,采用B/S梨构进行开发设计。软硬件支撑层应根据业务量核算,配置主机存储设备、操作系统、应用中间件。根据平台应用情况和系统开发要求,合理采用信息化技术。
数据资源层主要建设行业基础信包库和行业专家知识库,为各项工作开展提供基础的数据支撑。
业务层主要根据行业信息安全管理工作需求,实现相关的业务应用,具体包括信息安全检查、信息安全通报和信息安全等级保护工作业务应用。
展币层上耍面向平台不同的用户提供系统应用服务界面展币,提供各项统计分析的图表展示。
4交通运输行业信息安全管理平台实施
牛台主要服务下行业信息安全管理工作,按照横向到边,纵向到底的及下管一级的管理原则,平台架构设计上应根据层级没置管理权限,并按照管理权限设置信息安全工作功能。
根据《交通运输行业信息安全等级保护管理总则》中对行业信自,安全管理职责设置,平台主要按照部、省两级管理架构进行部署。省级平台主要服务于本省(本地区)信息安垒管理相关上作,实现奉省各地市级行业信息安全通报、榆查、等级保护工作管理功能,实现相关数据统计、汇总和分析。省级平台由各省行业信息安全主管部门负责软硬件支撑环境建设及维护,负责平台日常使用。部级平台实现行业信息安全通报、检查,等级保护上作管理功能,完成省级平台及都属单位数据汇总分析,为行业信息安全管理工作提供决策支持。平台统一开发完成后,省级平台的部署可由各地方交通运输主管部门信息安全责任单位负责,平台设计开发单位应提出部署环境要求,指导各单位部署实施。
5结语
交通运输行业信息安全管理平台对规范交通运输行业信息安全管理流程、提高行业信息安全管理效率和管理水平具有重要意义。行业信息安全管理平台不仅是信息安全管理工作的重要工具,也是行业各级信息安全管理人员沟通交流的渠道。平台的建设不能一蹴而就,而应与交通运输行业信息安全管理工作的需求相呼应,可扩展,可调整,切实成为行业信息安全管理工作的支撑手段。
6【摘要】本文以交通运输行业信息安全管理工作现状为基础,分析了行业信息安全管理工作流程及存在的问题,以切实为信息安全检查、信息安全等级保护、网络与信息安全信息通报等工作提供技术支撑为目标,从部级用户、省级及交通运输部部属单位、系统管理员等角度,对交通运输行业信息安全管理平台进行了详细的用户需求分析,并与用户需求相对应,研究设计交通运输行业信息安全管理平台系统功能架构、总体架构研究,并对平台实施思路进行了分析。
下一篇:返回列表
