【IT168 资讯】6月7日消息,随着国外SOX法案、国内《国家信息化领导小组关于加强信息安全保障工作的意见》(中发办[2003]27号)等国际、国内信息安全相关政策的相继问世,快速推进了国际、国内信息安全行业的发展,防火墙、入侵检测及入侵防御、防病毒网关及病毒预警系统、漏洞扫描系统、异常流量、终端管理、身份权限认证管理系统、网站违规信息扫描系统、网络行为审计等安全产品不断诞生,政府企事业单位的信息安全保障体系日益丰富,但是信息安全管理工作却犹如泰山压顶长久不见效率提升,政府企事业单位里的客户们开始不断地抱怨信息安全管理工作太多、信息安全管理人手严重不足并且希望着能有方法来缓解这种现状。
其实这个问题的出现是信息安全保障体系建设过程中的必经阶段。政府企事业单位安全保障体系建设的初期,通常仅配置了防火墙、入侵检测及入侵防御等很少量安全设备,通常只需少量的人来应对安全设备运行维护的单一化工作内容即可;但是当政府企事业单位安全保障体系随着安全相关政策不断丰富时,安全设备种类越来越多,运行维护工作量大增、安全管理人员协作沟通协作大增、安全设备监测到的安全问题查处等新工作内容应运而生。这种情形下工作效率必然会降低,而且想通过简单的增加人员化解也是不可能的。
国内政府企事业单位按照行业来看,许多行业目前信息安全保障体系都逐渐开始迈入这个必经阶段,并开始了解决方案探索建设,例如运营商、能源、税务、烟草等等行业。最近紧接这些行业的探索脚步,公安行业信息安全保障体系建设也开始频繁发出了安全管理方案探索建设信号,这个拥有上百万终端节点和上千名安全管理人员的大行业似乎比其他行业特点更鲜明:探索思路严谨、重视程度高行动速度快、建设过程有据可依。
公安行业信息安全管理方案的探索规划从2010年就已经开始了。经过一段时间的前期准备调研已经形成了指导实际安全管理建设的规范性要求。据了解公安行业信息安全管理规范所反映的安全管理思路是一个“技术”加“规范”的缜密管理思路。技术上要求建立一套综合化的信息安全管理平台,以这套平台作为信息安全管理的技术支撑,为安全管理人员提供集中监测、业务管理、综合分析等功能,辅助安全管理工作开展从而提高信息安全管理效率。
2012年从网上陆续公开的一系列综合信息安全管理平台项目招标可以看到,全国各地开始在规范的指导下金锣密鼓进行第一批探索性建设,有公安部招标的项目、河南公安招标的项目、吉林公安招标的项目、甘肃公安招标项目等等,2013年建设力度和覆盖范围有望更大。目前公安各项目建设成果和评价情况尚无公开信息,但是按照公安行业历史信息安全建设思路所有这些项目成果评价都会按照规范符合性进行。
总之针对信息安全管理的探索,公安行业已经在国内行业中后发领先,其正在以如火如荼之势展开探索,也必将引领国内其他行业安全管理探索建设。