引言
从2003年,“”就被众多的安全厂商看作新的生机和商机,然而8年过去了,安全服务似乎仍旧没有得到重视。难道事实真的如此吗?青岛市国家税务局信息中心副主任姜仁锡对于安全服务有着自己独到的见解。
业务拉动需求
中国加入以后,国家的税制也在不断变革,税务工作必须适应新的经济环境和政策环境,进一步完善中国税务信息管理系统是重中之重。一种利用信息技术为基础的纳税方式――网上报税逐渐成为主流。青岛市国家税务局信息中心副主任姜仁锡介绍到:“青岛国税局目前已实现了95%以上的纳税人能从网上直接报税,更有90%以上的税收收入直接来自网上办税。”
随着税务进程的推进,也随之凸现,目前的纳税申报系统多采用b/s结构,即所有信息都在公网上传输,而所有纳税信息是不容许被泄漏的,因此,信息安全问题就面临着极大地考验。
面对着日益严峻的安全问题,各式各样的安全防护设备开始涌进青岛市国家税务局的网络中。传统的老三样“”“防”“”,各种新贵“反防火墙”“WEB应用防火墙”以及“上网行为管理”等等都有部署。
然而,面对一个数据集中管理、业务逻辑清晰、权力责任明晰的业务平台,作为多年的信息管理人员,姜仁锡心里明白,庞大复杂的网络,单纯依靠各式各样的安全防护设备是远远不够的,再者是经验和人才的缺乏,整个网络系统在无形中就出现了一个安全缝隙。在信息安全中任何事情都不能有马虎,面对这个安全缝隙,青岛国税局信息中心感受到了前所未有的压力。
当一个组织的信息建设达到一定程度和规模后,在规避安全风险、控制安全成本及保障业务持续性的需求压力下,这个组织必然开始寻求更加专业的安全服务提供商来协助规划、制订符合自身情况的安全策略并通过有效的安全管理来消解这些压力。
青岛国税局想到了这一点,于是就有了一个大胆的想法:引进专业的安全服务人员来提升青岛国税局的网络安全管理水平。
在得到了上级的肯定后,经过考察和慎重的公开招标,青岛市国家税务局和NetEye开始携手。由此,东软NetEye专业安全服务团队正式入驻青岛市国家税务局。
安全服务源自信任
在安全服务的项目过程中,往往会有一个信任问题,东软NetEye专业安全服务团队入驻青岛市国家税务局初期也遇到了这个问题。青岛国税局的工作人员出于责任心的考虑,“武艺高强”的东软NetEye专业安全服务团队也遭到了质疑,工作人员无法配合项目的进行。
东软NetEye专业安全服务团队加大了双方沟通的力度。通过沟通,让青岛国税局的工作人员了解到,东软NetEye专业安全服务团队在安全服务的具体工作中,也经常要接触到大量的用户信息,为了保障用户信息的隐私性以及项目的连续性,稳定的安全服务队伍至关重要。东软凭借其优秀的文化,多年来保持专业人才的持续稳定。在东软,工作10年以上的员工比比皆是,工作5年以上的员工更是数不胜数,也正是这种持续性的稳定保障,让用户愿意选择东软作为可以信赖的长期合作伙伴。
“武艺高强”的东软NetEye安全服务团队拿出了自己的绝活,他们对青岛市国家税务局网络系统进行了全面的风险评估和渗透测试,确确实实找到不少以前看不到的问题。也让姜仁锡吓出了一身汗,幸好是抢在安全事故发生之前找到了这些问题,要不哪天真的发生安全事故,后果不堪设想。由此也让青岛国税局的工作人员渐渐接受了东软NetEye安全服务团队。
接下的工作,东软NetEye安全服务团队对整个网络系统进行了全面的安全加固,并帮助青岛市国家税务局进一步制定和完善了相关的安全策略和制度。
即便如此,事情并没有结束。姜仁锡介绍到,东软NetEye安全服务团队还认真地对青岛市国家税务局的工作人员进行了全面的信息安全培训,并把在渗透测试中所使用的工具等等都分享给青岛市国家税务局信息中心的工作人员,这样也在一定程度上提升了信息中心工作人员的“自检”能力。
经过一系列的工作,姜仁锡感觉到安全缝隙总算是填补了。按照姜仁锡的话来说:“请东软NetEye安全服务团队花的这些钱是真的花值了。”
手记
通过对姜仁锡先生的采访,我们了解到,青岛市国家税务局之所以能够在十几年来保持国内同行信息化建设的前列,正是因为他们对信息安全的重视。另外一方面,我们也了解到了东软NetEye安全服务中一个典型的成功案例。
曾几何时,中科院高能物理研究所许榕生教授在接受采访时谈到,我国信息安全服务存在的种种弊端:投入力度小,说的比做的多;服务供应商有“卖思想”、“卖技术”和“卖体力”之分,尤以“卖体力”最多;专业化程度不高,不仅表现在服务形式上,更体现在服务意识、服务速度和细节感受等多个方面;“有效性”低,重视服务网点的数量,忽视了更重要的服务网络的有效性和智能性;“追风”现象严重,在不景气的市场大背景下,把服务当成一根救命稻草,又缺乏做实的能力和品质。
2010年,东软安全再次发力完善和梳理安全服务业务线,将专业信息安全服务、用户应用系统安全整体解决服务、安全产品服务及深厚的服务支撑体系相融合,组建东软NetEye最新的安全服务架构,为用户提供更优秀的安全服务。
信息安全产业是一个攻防战役,时刻都在上演的战场,如此就注定它自诞生的那一刻起,就将是一个永远需要变化的动态产业。攻击方式日新月异、防御手段紧随其后,因此,在信息安全领域,没有一款静态的产品,或者一套解决方案可以让你安枕无忧,我们需要保持高度的警惕和强大的实力,以应对新的攻击和威胁。这期间,无疑需要高质量的“服务”来保障这一终极目标——用户的信息安全。