【摘要】本系列文章針對稅務系統信息安全建設的現狀與挑戰提出了一個新型的面向稅務業務信息系統的安全管理平臺模型，詳細闡述了稅務安全管理平臺的設計思路、總體架構、價值和應用模式，給出了建設稅務安全管理平臺的規劃建議，并通過實際案例加以說明。作為系列文章的第三篇，本文對稅務系統安全管理平臺的建設規劃提出了一些思路和建議。

1 建設規劃的關鍵思路

1.1 整體規劃、分步實施、逐步落實的思路

建設一套全面的稅務安全管理體系是一個系統工程，牽涉到單位的方方面面，不僅是安全管理部門的事情，也不僅是信息中心的事情，還涉及到各個業務部門，甚至單位中的每個個人。同時，建立安全管理體系本身也涉及到技術、流程、組織和人員等諸多要素，相互關聯，缺一不可。因此，必須充分認識到安全管理體系建設的復雜性，同時要獲得單位高級管理層的理解和支持，總體規劃一定要到位，切忌重建設輕規劃。

1、安全管理體系設計

在管理層的支持下，各局信息中心首先要結合本單位的現狀與未來發展規劃，以及自身業務特點，按照等級保護的基本要求，借鑒IAFT的框架，設計出總體安全管理體系。這個體系應該包括組織和人員、流程、技術等各個方面。

2、安全管理平臺設計

然后，基于安全管理平臺的總體設計思路和功能組成，從實際需求出發，設計出安全管理體系之下的稅務系統安全管理平臺設計方案。這個總體方案重點對安全管理的技術方案進行設計，形成一套安全管理體系的技術支撐平臺，并滿足需求、切合實際。

3、安全管理平臺落實規劃

稅務系統安全管理平臺設計方案不可能一步到位，需要進行合理規劃，分階段實施，分步驟落實。每一步都要明確實施的范圍、目標，預期要達成的效果，并進行可行性分析和論證。一般建議分2～4步來落實。

1.2 技術與服務并重，建設與運維并舉的思路

安全管理體系的建立和安全管理平臺的選型、部署、運維與使用不僅僅是一個技術問題，還涉及到組織、人員和流程等方方面面。因此，安全管理平臺一定要避免“重建設，輕使用”的誤區。只要規劃明確、管理范圍界定清楚、目標清晰，依據科學的技術指標，遵循合理的選型過程，就能夠搭建好一個安全管理平臺。但是，如何使用好這個安全管理平臺，則需要在日常運維工作中不斷地磨合、梳理，逐步建立起適用的工作流程。同時，還需要相應的專業技術人才，以及合格的運維管理隊伍。

因此，建設稅務系統安全管理平臺，一定要技術與服務并重，建設與運維并舉，在規劃、選型等各個階段都要關注安全管理平臺運維服務部分的內容，避免出現“建起來，用不起來的”尷尬。

需要指出的是，如果說技術選型可以制定出一套硬指標的話，那么，服務選型都是軟指標。這些軟指標如何在后續的安全管理運維使用過程中體現出來，是具有挑戰性的。

1.3 充分利用代維服務，借助外腦

如前所述，建設安全管理平臺是一項技術含量高，對單位組織和配套流程要求高的工作。經過多年的信息化建設和信息安全建設，稅務系統已經積累了大量的安全運維與管理經驗，有的單位也初步建立起了一支專業化的安全運維與服務隊伍。但是，大部分單位目前的實際情況仍然難以滿足安全管理平臺運維使用的需要，在技術和人員方面都存在較大的差距。

因此，稅務系統在建設安全管理平臺的過程中，要充分借助外腦，充分利用外部資源，使用代維服務、運維外包的模式。在項目規劃和建設階段，可以借助外腦，利用外部咨詢專家和實施顧問定規劃、定應急預案、定運維流程；在系統運維使用階段，可以借助運維外包，利用外包方駐場工程師充實現有的運維隊伍，利用外包方專家協助進行應急響應、安全事件分析與取證。

在利用外部資源的同時，客戶自身也要建立一支精干的專業安全運維管理團隊，不斷吸取外部資源提供的經驗，逐步提升自身的專業技術水平和安全運維能力，并做好相應的代維監督管理工作。

2 技術平臺選型過程建議

稅務系統安全管理平臺的建設是一項系統工程，應該先做好安全管理體系的規劃，并制定出當前階段的任務目標、范圍，以及預期達成的效果。然后，才可以進入安全管理技術平臺選型階段。安全管理技術平臺選型過程建議按照以下步驟進行：

1、建立安全管理平臺衡量關鍵指標體系

在安全管理平臺選型的時候，第一步是要建立衡量安全管理平臺的關鍵指標體系。用戶根據當前階段的任務目標和范圍，從選型指標庫中選取合適的指標，包括技術指標和服務指標兩類，并賦予相應的權重，構成本次選型的關鍵指標體系。

這個階段的工作成果輸出是：一個包括關鍵指標體系的打分表。

2、篩選供應商，確定備選平臺

這個階段的工作是根據那份關鍵指標體系和打分表對供應商進行比較、打分。根據供應商的平臺技術水平和服務水平篩選出優選的供應商，并圈定2～4個備選平臺。

需要注意的是，選擇供應商與選擇安全管理平臺是有區別的，選擇安全管理平臺重點關注的是是否能夠滿足技術指標體系，而選擇供應商重點關注的是供應商的安全管理平臺實施能力，以及滿足服務指標體系的程度。

這個階段的工作輸出是：出具安全管理平臺供應商的服務指標體系符合性報告，確定備選供應商和備選平臺。

3、依照技術指標體系對備選平臺進行POC驗證性測試

在確定備選安全管理平臺后，就要根據事先制定的關鍵技術指標，對2～4家備選平臺進行驗證性測試。

POC（Proof of Concept）測試，即驗證性測試，是指根據預設的系統功能和性能技術指標，在模擬環境下，進行真實的數據運行，對備選系統進行功能滿足度的測試。同時，通過對備選系統進行性能測算，估算出真實環境下的性能和系統承載能力。

在這個階段，用戶要自行搭建模擬環境，并在安全管理平臺供應商的配合下，搭建起測試平臺，進行測試。一般每個平臺的測試周期約為1～2周。測試完畢，要出具測試報告和技術指標體系符合性報告。

在進行驗證性測試的時候，可以僅針對優先級別標記為高或者是必須滿足的技術指標項進行測試，這樣有助于測試過程的快速收斂。

4、綜合評判

根據第二階段和第三階段的工作成果，對安全管理平臺供應商和平臺作出綜合評判，并打分。

5、商務談判、招投標

在這個階段，用戶進行商務招標，可以選擇公開招標，或者邀標，等等。

總之，由于安全管理平臺技術相對比較復雜，涉及面廣泛，因此安全管理平臺選型應該慎重行事，前期準備工作盡量充分、完備。