《税务信息化建设中的终端安全管理问题探讨.doc》由会员分享,可在线阅读,更多相关《税务信息化建设中的终端安全管理问题探讨.doc(5页珍藏版)》请在金锄头文库上搜索。
1、税务信息化建设中的终端安全管理问题探讨【摘要】信息化建设是国家战略,信息安全保障是实现信息化的必由之路。做好信息安全管理工作,关健是要提高网络与信息安全管理水平。终端安全是网络与信息安全的重要方面,也是网络与信息安全管理的主要内容,随着网络和信息技术的发展,以及面临河南省地税征管数据大集中的新形势,信息化安全风险也发生了深刻变化,终端安全管理不仅是信息化安全的重中之重,也是难中之难。本文拟就当前河南省地税信息系统的终端安全现状、问题,原因以及应对策略等方面,在调查、统计基础上,用实证法进行简单的分析和探讨,以终端安全管理为切入点,全面提高地税信息化安全管理水平。【关键词】税务;信息化;终端;安
2、全管理引言以工业革命为标志的第一次现代化,深刻改变了世界历史和中国的面貌,以信息革命为标志的第二次现代化浪潮又扑面而来,信息化正成为世界发展的最新潮流。国家信息化水平标志着一个国家新一轮现代化的刻度。目前,世界各国都把信息技术和信息化当成国家战略来发展,而且国家信息化水平也体现国家的综合国力和综合实力,也反映这个国家人民生活的质量和人民生活的水平,提升国家信息化水平具有十分重要的战略意义和现实意义。安全保障是信息化的必由之路。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战
3、略。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,各国都给以极大的关注和投入。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题,它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是抵御信息侵略的重要屏障,信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国都在奋力信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面,如果解决不好将使国家处于信息攀登的制高点。信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面,如果解决不好将使国家处于信息战和高度
4、经济金融风险的威胁之中。税务系统的信息化建设是实现国家信息化这一战略在部门的体现和落实。近年来,税务系统信息化建设取得了令人瞩目的成就,如金税工程的实施,税收征管数据不断地向更高层级的集中,信息化技术正日益渗透到税务日常管理中等。2011年,河南地税信息化建设取得了重大突破,全省地税征管系统顺利完成了由地级市集中处理模式向省级集中处理模式的转换。省级大集中系统的全面上线,标志着河南地税税收管理最重要的省级一体化信息平台初步建成。随着征管系统的管理机构、工作模式和岗位职责、分工等变化,征管系统面临的安全风险也发生了变化。以往各地的风险仅仅是局部影响,现在是互动影响,各地问题可能会影响全省,也可能
5、被其他单位影响;各地小风险会导致全局大风险,也可能演变成全省灾难性风险。如何在大集中背景下提高信息系统各级管理和使用人员的安全思想意识,夯实技术、管理和人员操作等安全基础,有效建设安全防护体系,做好风险应急防范处理工作,提高全省安全风险管控能力,成为新的安全课题。建立基于安全等级保护的安全防护体系,系统地研究分析各地如何做好本地安全,从而保证省级大集中系统安全,依据目前安全规范要求,更需要重点关注大集中后各地信息系统运行安全管理和监控,关注应急防范处置,关注终端计算机安全(即全体人员使用计算机的安全保密)。终端安全是安全的底线,也是网络安全的重要边界。过去由于安全认识不到位,技术手段的管控力度
6、低,大集中后矛盾显得更为突出。从国家和总局近年来网络与信息安全工作重点内容看,特别是从2009年的政府机关保密大检查来看,终端安全管理形势尤为严峻。1.终端安全现状、风险及存在的主要问题2009年下半年,针对新形势下河南省地税系统安全风险的特点,重点面向终端信息安全、系统风险应急防范和网络系统运行安全三个方面。1.1终端网络节点管理混乱一是终端设备和移动存储介质未专网专用、专人专用、内外网终端混接,很多单位存在无安全措施的无线网环境,内网终端可用无线网卡在线上互联网。二是外来终端接入内网无需认证授权,缺乏全程跟踪审计的手段。三是对网络资源管理缺乏手段。不能够有效阻止恶意程序、病毒的传播,一些行
7、为无法追溯,如盗窃内网资源、恶意的窜改及盗用IP地址、获取非法权限等不正当行为。1.2终端桌面管控不力一是对工作秘密和不宜公开的信息,未依据信息的重要性进行分类管理和安防措施,造成这些重要信息被任意存取和随意扩散。终端外围设备、端口的使用疏于管理,泄露事件时有发生,因缺乏有效监控和审计,也无从追溯相关责任人;二是随意安装游戏软件、股票软件、P2P等非工作用软件,不仅降低工作效率,也存在安全威胁;三是终端设备发生补丁漏洞未及时升级安装,防病毒软件不能正常工作、网络流量异常、非法设置和软件等情况,不能及时发现,及时阻断。1.3终端风险预警和处置措施不全一是安全孤岛大量存在,对安全事件的发生只有在终
8、端本地才能发现,而且往往是事件发生并引起不良后果后才进行处理,而且只能是现场和手动处理;二是对终端设备运行缺乏有效的全过程全生命周期的监控管理,对安全事件的发生没有一整套联动的预警、告警和事件发生后的实时处置机制;三是对病毒、蠕虫、黑客的引入点和违规接入设备,不能快速有效的的定位,不能及时、准确地切断安全事件发生点和网络。2.终端信息安全管理难的原因分析由于全省终端计算机管理具有点多、面广、量大的特点,加之地税部门安全管理技术人员少,终端安全风险种类多、事件多、处理和管理复杂,使得目前地税终端安全管理处于一种疲于应付、无序的境况。对于终端安全风险和隐患,目前主要依赖于制度和使用者行为信用进行被
9、动式防范,主动防范控制把握较难实施。在全省地税管理大集中形势下,基于安全等级保护要求的终端安全防护和管理体系还没有建立到位,主要原因在以下几方面。2.1计算机应用多年,终端安全管理意识缺乏税务系统的信息化建设已经取得了长足的进步,应用水平较大幅度的提高。但对于信息安全,尤其是终端安全意识仍然缺乏。一是缺乏规范统一的终端安全管理制度。部分单位的税务干部信息安全的严重性认识不足,或者仅局限于某一方面,没有形成一个合理的信息安全指导思想。没有制定必要的信息安全教育与培训计划,已开展的信息安全教育与培训针对性欠缺,工作人员安全检查评估工作开展较少,未形成制度化。二是重视硬件投入,轻视安全管理。各单位普
10、遍采用高性能的硬件设备和信息化技术依托的信息安全系统,不断地提高安全管理效能。但相应的信息化安全管理措施不到位,对安全管理人员和操作人员的安全工作规范和要求不具体,安全管理制度更新不及时,对发生安全事件责任追究不力。三是缺乏安全管理的系统性规划。部分单位的安全管理模式仍是传统的管理方法,出现了问题才去补救,是一种就事论事、静态的管理,不是建立在安全风险评估基础上的动态的持续改进管理方法。2.2现有终端安全管理系统部署较少,功能缺失严重据统计,近几年,全省部分地区相继购买了不同厂商的桌面管理或准入控制系统9个产品种类,在使用终端安全产品的单位中,就河南省而言,仅有市级6个,县级18个,市级单位管
11、控1940个终端,县级单位管控3711终端数,性价比较低。三分之二的省辖市和县没有部署任何终端管理软件,已经部署的桌面管理或准入控制系统也基本不能满足现有安全管理的需要,功能缺失严重。全省安全检查评估报告反映出各地终端安全管理存在着很多问题,一些问题相对还比较严重,各地现在应用的9种终端安全管理软件均无法防护、发现和管控这些风险。终端安全运维管理仍处于无序状态,上级机关也无法发现和及时了解下级单位情况,而且各地应用的终端安全管理软件基本上不支持分级部署和集中监控,大部分只能在局域网中部署,终端安全管理的体系和功能严重欠缺,安全风险管理的能力达不到省级大集中后的安全管理要求。2.3现有终端安全管
12、理风险防范范围不全,防范能力严重不足在近期全省组织的现有终端安全管理风险和风险管理点的统计调查中,列举了186个风险点和风险管控点,发现现有终端安全管理管控能力较弱。如无法对终端自身使用安全和运行安全状态进行监控;终端安全防护中文件传输及加密管理,全省终端安管产品中具有完全管控能力的只占13.33%,无法管控的达71.76%。终端安全管理系统中针对管理员安全风险点,完全管控能力的只占20%,无法管控的达60%;边界安全中的违规内联管理,完全满足监管要求的只占18.89%,无法管控的达72%。风险评估及应急响应管理中,具有完全管控能力的占11.33%,无法管控的达82%;风险日常管理中,具有完全
13、管控能力的只占20%,无法管控的达75%。在桌面管理中的软件信息、系统信息、软件分发、补丁管理和进程运行等这些基于技术手段的功能模块,具有完全管控能力的能达到70%以上。各地在风险排查和处置这些无法管控的风险点和风险管理点时,还停留在人工方式为主,导致安全风险定位不准、处置较难、时间较长,省局对全省终端安全管控更无法有效开展,难以满足省级大集中后对终端安全风险有效管控的要求。2.4现有终端安全管理系统重要风险防范较少,缺少主动防范机制现有终端安全管理系统重要安全风险防范较少,终端安全管理规范未落实到位,缺少主动防范机制。一是按规定终端和移动存储介质只能专网专用、专人专用,内网终端不能上外网。但
14、目前无法有效阻止内网计算机通过无线网络、手机、无线上网卡等方式在线上互联网,内网移动存储介质上互联网;无法有效控制非认证授权计算机不得上内网,外来计算机授权上内网且应全程跟踪审计等情况。二是内网终端计算机上存有工作秘密、商业秘密或其他不宜公开的信息等,当前河南省基本没有依据信息的重要性进行分类管理和采取安全防控措施,这些重要信息在内网将存在随意扩散的危险。三是信息资料的定密不清、外来人员的监控不力等问题,在全省大集中后显得更为突出,极易发生泄密事件和违规使用网络的行为,发生风险也无法追溯和定位,也无法有效实施应急处理。3.提高终端信息安全管理水平的途径针对当前人手少、范围广、风险多的困难局面,
15、面对全省征管数据大集中的新形势,必须在全省范围内对终端安全风险采取全面和分级加集中管理的有效方法和手段,从而有效提高税务系统终端安全管理水平。3.1全员参与、持续改进,提高终端安全的管理能力信息安全管理体系的建立是一个目标叠加的过程,是在不断发展变化的技术环境中进行的,是一个动态、闭环的风险管理过程。“安全无小事”,要真正实现有效的安全管控。首先,必须要强化信息化安全宣传教育,提高全体地税干部对信息安全管理重要性的认识,全系统各级领导和广大地税干部都必须高度重视信息安全工作。其次,全体税务干部都要积极参与信息安全管理工作,“三分技术、七分管理”,在安全管理的评估、防护、监管、应急响应到恢复等环
16、节,绝不仅仅是技术人员的事,更多的是每一名地税干部的管理责任和管理工作。三是,注重安全长效机制建设。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的要求,落实信息安全保密责任,形成人人有责任、个个抓落实的责任机制。3.2全盘考虑,加强管理,切实提高终端信息安全管理水平领导重视、制度建设、宣传教育、组织管理、技术应用来实现信息安全的有效管控,全面实现风险预防、应急处理、责任追究的一体化终端安全管理体系。一是要全面落实国家有关安全管理标准规范,总局和省局相关安全建设与管理规范。计算机信息系统国际互联网保密管理规定、终端计算机系统安全等级技术要求、国家税务总局关于印发税务系统网络与信息安全应急处置有关制度的通知这些相关要求都对终端的安全提出了具体要求,要有效落实这些管理制度。二是要对信息安全与运行安全有序控管并
