《税务内部信息安全》由会员分享,可在线阅读,更多相关《税务内部信息安全(9页珍藏版)》请在金锄头文库上搜索。
1、书山有路勤为径,学海无涯苦作舟。税务内部信息安全 税务内部网络信息安全建设 信息安全部分 一信息安全的由来 随着当今社会的迅猛发展,信息本身的属性发生了变化,成为了一项与实物属性相同的,对组织具有价值的资产。正因为这种属性的变化,使得以各种形式存在着的信息成为了需要适当保护的对象。由此,信息安全的概念也于近年来被各机关单位广泛认知及重视,并提上议程。 二信息安全的概念 信息安全,是指信息本身的机密性(confdetialiy)、完整性(itrriy)和可用性(availabiity)的保持。 机密性,是指确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用;完整性,是指确保信息没有
2、遭到篡改和破坏;可用性,是指确保拥有授权的用户或程序可以及时、正常使用信息。 针对信息安全的上述三种特性,所能保障信息安全的措施分为两类,即防范威胁:防范有可能破坏系统正常功能的潜在的人或事物;以及降低风险:降低来自外界的对系统危害的可能性。 三产生信息安全问题的原因 产生信息安全问题的原因主要由外因和内因两部分构成 外因具体来讲分为两种,一是环境因素,即火灾、地震、意外事故等环境危害或自然灾害;断电、潮湿、温度、鼠蚁虫害;软件、硬件、数据、通讯线路等方面的故障。二是对手因素,即为达到政治及经济目的恐怖分子,商业间谍,犯罪团伙,外国情报机构,以及以破坏为乐趣的某些社会型及娱乐型黑客,通过身份假
3、冒、密码猜测、漏洞利用、拒绝服务、恶意代码、数据窃听、物理破坏、社会工程等手段达到目的。 内因也分为两种,一是技术因素,即物理环境问题、网络结构问题、系统软件漏洞、应用软件漏洞、安全防护措施不到位。二是管理因素,即安全意识薄弱、安全制度不健全、组织机构不健全、安全职责不落实。 产生内因的因素很多,如各单位使用的系统越来越复杂,越来越开放的互联网络,以及复杂的社会人群等,但最重要的一点是操作及管理人员自身对信息安全的意识没有足够的重视。技术很重要,但技术不是一切;信息系统很重要,但只有服务于组织业务使命才有意义。一言以蔽之:外因是条件,内因是关键。 四保障信息安全的必要和措施 由于信息化程度的日
4、益提高,业务目标的实现越来越依赖于信息系统,信息系统也就由此成为了一个组织或机构生存和发展的关键性因素,因此,信息系统的安全风险也成为了组织风险的一部分,所以,为了保障组织机构完成其使命,必须加强信息安全保障,抵抗这些风险。 信息是依赖与承载它的信息技术系统存在的,需要在技术层面部署完善的控制措施。首先,信息系统是由人来建设使用和维护的,需要通过有效的管理手段约束人。其次,今天系统安全了明天未必安全,需要贯穿系统生命周期的工程过程。再次,信息安全的对抗,归根结底是人员知识、技能和素质的对抗,需要建设高素质的人才队伍。 然而,信息安全由于本身载体的特殊性,并不可能100%安全,而且随着安全性的逐
5、步提高,所花费的成本也相应的急速增长,一味的追求过度的信息安全,会使代价过高,从而得不偿失。因此,风险总是存在着的,系统永不停、网络永不断、数据永不丢是不可能的,所能做到的,就是通过风险评估的适度安全。 税务方面的信息安全对于税务系统的工作人员,信息安全分为两种。一是保护涉及国家秘密或者税收工作秘密的数据不被窃取、篡改或破坏。这些需要税务人员重点保护的信息包括:涉及国家秘密的信息;内部工作文件(包括起草中未发布的政策性文件);业务数据(如纳税人的涉税信息、发票信息、统计分析数据等);内部行政信息(如人事、财务、纪检、监察等信息);其它不宜公开或遭到破坏后严重影响工作的内部信息等。二是保障个人工
6、作用的计算机软硬件可以持续稳定运行。具体就是保障个人计算机中、打印机前、个人的存贮介质(u盘)、纸质文件、个人有权访问的服务器,如公文系统等当中存放的信息的安全。 随着科技的发展,现阶段,税收业务高度依赖信息化。税收信息系统作为国家重要信息系统经过十多年建设,已进入快速发展期,网络上运行的关键信息系统逐年增多。税收管理系统不断升级、流程优化;网上办税业务快速发展、为纳税人服务手段丰富;信息管税对管理决策提供支撑;税务部门与外部单位的联网快速增长。 但是,现今税务机关信息安全的形式并不是完全乐观的。首先,随着税务部门信息化程度的不断提高,信息资产价值迅速提高;其次,内、外部威胁不断加大,安全事件
7、的发生从未间断;再次,经过税务机关高层领导重视,信息安全管理力度不断加强,风险容忍空间也逐步缩小;最后,通过安全检查、安全评估得出结论,税务机关网络与信息安全具备一定的防护能力,但是信息系统脆弱性在不同(地方)位置普遍存在 国家税务机关的网络系统一般分为内网和外网。内网和外网之间实行严格的逻辑隔离,防止内网秘密信息泄露到外网,防止来自外网的威胁攻击内网。应严格防止内网网间的非法网络互通。 各级税务机关内网是全国税务系统重要的组成部分之一,承载着税收业务、行政办公等类业务应用系统。内网连接着全国所有的省级国税局和地税局,我们把这种连接称为纵向连接;内网还连接着人民银行、海关、公安、质检、市委市府
8、等其它机构,我们把这种连接称为横向连接。外网连接着互联网,承载着网上办税系统和126税收服务系统,向广大纳税人和社会提供纳税申报、税款征收和税收政策咨询等服务,还承载着电子邮件等互联网应用系统。一旦疏于防范互联网风险很可能引入内网。纳税人服务、征收管理、监督检查、行政管理、税收数据统计分析等业务工作直接依赖于诸多应用系统的正常稳定运行,应用系统开发过程如果忽略安全因素,造成软件存在安全漏洞或功能缺陷将直接影响有关工作的正常运行。 税务部门可能面临的信息安全威胁主要有: 1、外部人员通过互联网利用木马等攻击手段窃取、篡改或破坏个人计算机中存放的敏感信息; 、外部人员非法接入税务系统内网或直接操作
9、内网计算机窃取、篡改或破坏敏信息; 、外部人员盗窃笔记本电脑、u盘等移动计算和存储设备窃取敏感信息; 4、病毒通过网络或移动介质传播造成个人计算机无法正常使用或数据破坏; 5、内部工作人员由于误操作等过失行为导致敏感信息丢失或被破坏; 6、内部工作人员由于利益驱使,利用工作之便窃取他人个人计算机中工作敏感信息。 当前税务信息安全保密工作面临的形势,对税务系统信息安全保密工作进行再动员、再部署,总结了引发信息安全保密问题的主要主观原因:思想上不重视,对信息安全的严峻形势认识不足,制度不健全,管理乏力,技术手段不强,技术防范措施跟不上。一些领导干部和工作人员信息安全与保密的意识还比较淡薄,存在“重
10、应用、轻安全”的倾向,对网络环境下信息安全和保密的重要性认识不足,安全保密这根弦绷得不紧。有的认为自己不属涉密岗位,保密工作无关紧要,殊不知即使不属涉密岗位,工作中也会经常接触到一些涉密的内容,如不注意也会泄密。有的不了解网络窃密的方式和途径,认为只要保管好计算机就不会泄密,实际上现在网络窃密技术高超,无孔不入,很容易就被窃密。有的缺乏基本的保密防范知识和技能,不知道如何做好保密工作。更有甚者,明知道保密的要求,却有章不循,有禁不止。 机关内个人引发安全事件的常见具体行为主要有:1非法外联:使用内网计算机接入外网 移动介质混用:将外部u盘、外网移动硬盘等移动存储介质直接接入内网机,将内网专用的
11、移动存储介质直接接入外网计算机属于个人的u盘用于办公环境或将单位配发的工作用u盘在个人、亲友的计算机上使用 3个人口令管理不当:登录密码复杂度不够 登录密码长时间不更换 将个人密码告诉其他的人 4不及时备份重要信息:将重要文件存放在一台电脑或一个存储介质中,长时间不进行备份 防病毒软件使用不当:没有安装防病毒软件6没有对操作系统进行基本的安全设置7不良的上网习惯:使用工作机访问与工作无关的网站 随意下载或安装来路不明的软件 点击来路不明的电子邮件附件或网络链接 9不注意通信场合:在即时通信系统(如、ms)、网络论坛或个人博客中谈论涉及工作秘密的话题 将带有工作敏感信息的笔记本电脑或u盘携带到不
12、安全或人员复杂的场合(如车站、机场、超市等)。 有些局机关对于信息安全的管理制度还不健全,有的虽然制定了制度,但是形同虚设,在实践中未认真地贯彻落实。管理松懈的现象也比较突出。如聘用的外来公司人员能随意应用工作用计算机,来局办事人员或无关人员也能轻易登录局内办公网,督促检查工作力度不够,上级一检查就动一动,不查就忽视了,缺乏经常性的监督检查。系统规模扩大,技术风险也随之加大;计算机病毒的种类和数量增加,破坏性增强,扩散和变种速度加快;随着网络互联互通的发展,跨地区、跨国界的网络攻击呈增多态势。攻击的技术工具和手段越来越多,操作越来越简单,所需成本远低于防御成本,信息安全攻防之间呈易攻难守之势。
13、 我们通过税务系统网络与信息安全防护体系建设,虽然已经在全系统范围内初步建立了一套信息安全防护和监控技术体系,可以检测和防止一些网络攻击,但是在一些技术细节上仍然存在许多亟待排除的安全隐患。比如,应用系统开发重功能,轻安全;安全产品重安装,轻使用。 因此,税务机关考虑安全技术体系,应该从机关行政部门,机关业务部门,纳税服务厅,技术部门等汇总之后添加安全措施。并建立起有效的信息安全机制。 建立有效的信息安全管理机制,需要()高层领导的参与与有关部门的协调配合,形成组织体系。(2)需要制定覆盖范围全面,切实可行的规章制度。(3)要提高人员意识和技能,建立奖惩措施,使得信息安全管理机制能够有效的落实
14、。 要保护好税务机关信息安全,首要措施是要建立起础防护体系及运行管理办法,从最基础的防火墙、入侵检测、防病毒、漏洞扫描到稍高级别的桌面管理、网络审计、病毒预警、内部信息掌控、有害行为判断分析再到最高级别的网络准入、数据库审计、上网行为管理等。 其次是要建章立制,确立信息安全责任划分原则,设立信息安全领导小组,作为各级税务系统网络与信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对本单位最高领导负责,信息安全领导小组是一个常设机构,负责本单位信息安全工作的宏观管理。主要工作为:落实税务系统安全建设的总体规划;制定本单位安全规划并监督落实;负责组织细化上级规章制度,制定相应程序指南,并监督
15、落实规章制度;负责本单位信息系统安全管理层以上的人员权限授予工作;审阅本单位信息安全报告;组织重大安全事故查处与汇报工作等。 在信息安全领导小组的基础上,各级税务系统网络与信息安全管理应该由本机构信息安全相关的若干管理部门共同完成,例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。 信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持,在技术上对信息系统和信息系统安全保障承担管理责任。 业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。 行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作,共同对信息系统的建设和运行维护承担管理责任。同时,税务普通干部的信息安全责任也不容忽视。信息安全不仅是领导和管理部门的责任。普通干部要做到:遵守安全制度,拥有足够的安全意识基本的操作技能良好的行为习惯报告发现的安全漏洞和事件。做到做到四禁止,三不准,三必须,即 禁止用非涉密机处理涉密文件; 禁止移动存储介质未经处理在内、外网之间交叉使用;禁止在外网上处理和存放内部文件资料;禁止用插头转
