第一篇:國稅系統網絡信息安全存在的問題
隨著國稅系統信息化建設的發展,特別是“金稅工程”的實施,在全國建立了總局---省局---地市局---區縣局四級廣域網絡,全國各級國稅機關以計算機網絡為依托的征管格局已基本定型,在稅務信息化建設不斷蓬勃發展的同時,網絡與信息安全的風險也逐年顯露。
一、國稅系統網絡信息安全存在的問題
1、物理安全上存在的問題。物理安全主要指信息化系統、設備、工作環境等在物理上采取的保護措施。國稅系統在物理安全上存在的問題主要表現在機房建設、局域網建設規劃上,隨著各地基本建設的不斷投入和完善,省市縣的機房和網絡建設趨于完善,但根據縣一級的實際情況,機房雖然配備有專門的防雷、防火設備,但沒有防水、防潮設施。縣一級的機房網絡設備和部分服務器和上級機房同樣是24小時開機,機房屬于夜間和雙修日無人值守,一旦出現突發事故,不能在第一時間處理,這樣存在許多安全上的隱患。
2、網絡安全上存在的問題。網絡安全主要是指網絡訪問、使用、操作的安全,它是信息化安全中最普遍的內容,主要包括:病毒危害和訪問安全。在開放網絡環境下,計算機病毒的危害比以往要大得多,特別是近幾年,通過網絡進行傳播的病毒數量急劇增長,危害范圍也不斷擴大。對付計算機病毒的最好的方法是安裝防病毒軟件,綜合征管軟件自2005年6月上線后,我省國稅系統先后部署過兩個網絡版的防病毒軟件,現在部署的是國稅系統專用版的瑞星網絡版的殺毒軟件,可以實時查殺病毒、智能安裝,快速方便地升級。然而,殺軟不是萬能的,就我局實際情況網絡安全人員雖然對全局所有在用計算機安裝了網絡版的瑞星殺毒軟件,但依然存在我局網絡被ARP攻擊后網絡帶寬被大幅占用,影響了稅收正常業務的開展,還有就是近期在我市出現的針對“MS08-67內存漏洞”的蠕蟲病毒出現影響到FTP、網語等工具及其他網絡資源的正常使用和訪問。訪問安全是指對設備、資源、信息和服務訪問權限的安全控制。訪問安全也是最常見的安全問題,國稅網絡缺少必要的權限管理,人人都可以通過網絡訪問到各服務器和路由器。造成許多安全上的隱患。
3、信息安全上存在的問題。信息安全主要是指信息交換安全。網上申報、網上認證的發展推動了信息安全需求。這兩種情況都需要對連接者身份進行嚴格驗證,防止非法用戶的進入,為了防止傳輸過程中的信息被竊聽,要求登錄用戶名和密碼以及數據在傳輸過程中進行有效的加密。為了增強信息安全,需要對登錄信息和納稅申報信息進行安全審計記錄,從而可以對非法入侵進行跟蹤,并分析系統的安全狀況。
4、管理安全上存在的問題。管理安全是指通過加強安全管理來保證物理安全、網絡安全和信息安全措施的實現。信息化安全是一項系統工程,如果沒有有效的安全管理,其他的任何努力都形同虛設。信息化安全需要一個完善的安全管理體系,從安全管理組織、制度、措施上都要制定一整套相應的規范。如應急預案、機房安全制度、密碼制度等均應全方面的完善,從而杜絕網絡安全上的漏洞。
5、網絡及信息系統安全意識存在的問題。網絡及信息系統安全問題很多時候都出在內部,許多典型的網絡入侵事件都是借助于內部人員才得以實觀的,而我們國稅系統的一般工作人員,網絡及信息系統安全意識差,個別人就根本沒有安全意識,計算機隨便裝載各種游戲軟件,不經殺毒隨便使用外來U盤、軟盤、光盤等現象普遍存在。
二、解決網絡信息安全的對策
信息化安全問題不存在一勞永逸的解決方案,提出的任何安全對策也只能是更好地預防問題的出現,盡量減少安全問題對正常業務的影響。針對我局國稅系統信息化建設的特點和存在問題的分析,可以歸納出“三大對策”,即完善已建設高可用性網絡、已部署的安全防護系統和已建立的安全保障體系。
1、建設設高可用性網絡。建設高可用性網絡就是要建設具有高性能和高可靠性的信息化基礎網絡設施,實現信息化物理安全和網絡安全。建設高可用性網絡的主要措施涵蓋信息化硬件和軟件以及需要重點考慮的災難恢復。(1)信息化硬件。信息化硬件包括網絡設備、服務器、布線、機房設備等。要保證信息化網絡的高可用性,在設備選擇上必須堅持高性能和高可靠性,在系統設計上也要充分考慮網絡和設備的冗余備份。在網絡設備上,應盡可能選用可靠性高,有相對冗余的中心交換機:服務器應選用帶冗余電源的,硬盤應選用能做RAIDl,RAID5等高可靠性的磁盤陣列:機房設備必須用UPS供電,保證設備的持續、穩定運行。(2)信息化軟件。信系化軟件主要包括操作系統、數據庫、應用程序等。應盡量選用性能好安全性高的操作系統,個人計算機操作系統基本選用WindowsXP,服務器操作系統優先選用Windows 2000 Server系統。(3)災難恢復。隨著信息化進程的深入,國稅系統對計算機設備的依賴度也越來越大、對稅務系統而言,最珍貴的不是信息化設備或系統:而是存儲的各種文檔和數據庫信息。所以災難恢復是信息化安全中很重要的一個組成部分,必須想法保證數據存儲的可靠性,保證網絡服務和應用在故障時能盡快恢復。對國稅系統而言,災難恢復保護的地方主要是關鍵數據庫和文件服務器。關鍵數據庫一般是指存儲納稅申報信息CTAIS數據庫、金稅數據庫,文件服務器主要是指辦公自動化所依賴的服務器,它存儲國稅系統管理過程中所需的重要文檔和資料。先進的典型災難恢復系統是由集群服務器、存儲設備和相關軟件組成,當系統部分設備發生災難時可以保持服務的連續性并自動恢復或盡可能恢復最近的數據。典型災難恢復系統的一個重要特點就是災難恢復系統里的設備要做到地理分散,才能真正應對災難的發生。
2、完善部署安全防護系統。部署安全防護系統主要指通過操作系統安全使用和部署安全防護軟件,實現信息化網絡安全和信息安全。(1)防病毒系統。常見的計算機病毒主要是針對微軟的操作系統,對國稅系統而言,對付病毒的重要手段是部署網絡防病毒系統。網絡防病毒系統由防病毒主程序和客戶端以及其他輔助應用組成,它可以通過管理平臺監測、分發部署防病毒客戶端,這種功能意味著可以統一并實施全系統內的反病毒策略,并封鎖整個系統內病毒的所有入口點。因為計算機病毒是動態發展的,到目前為止尚未發現“萬能”防病毒系統,所以我們能做到只能是及時地更新病毒庫。要有效地對付計算機病毒,除了部署防病毒系統外,還要配合其他手段維護系統安全,做好數據備份是關鍵,并且要及時升級殺毒軟件的病毒庫,還要做好災難恢復。(2)防火墻。防火墻是目前最重要的信息安全產品,它可以提供實質上的網絡安全,它承擔著對外防御來自互聯網的各種攻擊,對內輔助用戶安全策略的實施的重任,是用戶保護信息安全的第一道屏障,在信息化安全中應給予高度重視。通過配置安全策略,防火墻主要承擔以下作用:禁止外部網絡對國稅系統內部網絡的訪問,保護國稅網絡安全。現在的防火墻在功能上不斷加強,如可以實現流量控制、病毒檢測、VPN功能等,但是防火墻的主要功能仍然是通過包過濾來實現訪問控制。防火墻的使用通常并不能避免來自內部的攻擊,而且由于數據包都要通過防火墻的過濾,增加了網絡延遲,降低了網絡性能,要想充分發揮防火墻的作用,還要與其他安全產品配合使用。(3)入侵檢測。大部分入侵檢測系統主要采用基于包特征的檢測技術來實現,它們的基本原理是:對網絡上的數據包進行復制,與內部的攻擊特征數據庫進行匹配比較,如果相符即產生報警或響應。檢測到入侵事件后,產生報警,并把報警事件計入日志,日后可以通過日志分析確定網絡的安全狀態,發現系統漏洞等。如果它與防火墻等其他安全產品配合使用,可以在入侵發生時,使防火墻聯動,暫時阻斷非法連接,保護網絡不受侵害。在部署此類產品時要注意進行性能優化,盡量避免屏蔽沒有價值的檢測規則。(4)操作系統安全使用。在信息化網絡中,操作系統的安全使用是保證網絡安全的重要環節,試想如果你打算與同事共享一個文件夾,可是你又沒有加密碼,共享的文件就會變成公開的文件。操作系統安全使用主要包括以下幾方面內容:用戶密碼管理、系統漏洞檢測、信息加密等。用戶密碼管理無論是對個人還是整個系統都是很重要的。用戶密碼管理有許多的原則要遵守,最重要的就是不要使用空密碼,如當你使用Windows系列產品時,如果不幸你使用空密碼,局域網中的任何人都可以隨意訪問你的計算機資源。如果你是系統管理員,制定嚴謹的用戶密碼策略是首要任務之一。漏洞檢測對關鍵服務器的操作系統是極為重要的。任何操作系統都不可避免地存在安全漏洞,操作系統的漏洞總是不斷地被發現并公布在互聯網上,爭取在黑客沒有攻擊你的主機之前及時發現并修補漏洞是極為關鍵的。另外一種類型的漏洞并不是系統固有的,而是由于系統安裝配置缺陷造成的,同樣應引起足夠重視。對服務器而言,關閉不需要的服務或端口也是必要的。即使網絡很安全了,需要保密的信息在存儲介質上的加密仍然是必要的,因為任何網絡不能保證百分之百的安全。使用Windows系列操作系統時,盡量使用NTFS分區,對重要信息起用加密保護功能,這樣就算是信息意外泄露,也無法破解。
3、建立安全保障體系。安全保障體系主要是指:對信息化安全管理的整套體制,包括管理組織、制度、措施等,通過安全管理,保證物理安全、網絡安全和信息安全措施的實現。(1)建立安全管理機構和管理制度。建立安全管理機構,確定安全管理人員,建立安全管理制度、維護和維修管理制度及安全考核制度,建立責任和監督機制,實行分權制約,優先授權,進行系統設備、網絡設備和存儲設備的安全管理,建立工作記錄,詳細記載運行情況。(2)制定安全應急預案。在國稅系統網絡中,小的安全問題可能比較容易解決,但是嚴重的安全問題對稅收工作的影響是很大的,如系統設備故障或大范圍病毒感染等,這時的問題處理起來會特別復雜,有必要針對特定的安全問題制定安全應急預案。安全應急預案主要確定安全應急處理時的領導組織結構,解決問題的思路、方法和步驟,做好事前準備,不至于遇到問題時慌了神而手忙腳亂。(3)加強網絡管理。加強網絡管理是信息化安全的重要環節,網絡管理的內容主要包括:操作系統安全策略的維護和檢查、系統和數據的備份、防火墻路由器等的安全檢查、審計分析網絡安全事件日志、設備和系統的日常維護等。只有加強網絡管理,才能保證網絡的安全可靠運行。(4)加強網絡及信息系統安全宣傳教育。安全問題很多時候都出在內部,許多典型的網絡入侵事件都是借助于內部人員才得以實觀的,而且嚴格的安全策略大多是針對外部的,所以應高度重視內部安全。除了從技術上盡量保證安全以外,通過加強宣傳,增加工作人員的安全和遵紀守法意識,讓廣大工作人員自覺地參與到安全保護中來,認真執行安全策略,減少安全漏洞,信息化安全才有保證。
總之,信息化安全問題是一個嚴峻的問題,特別是隨著廣域網和互聯網應用的發展,安全問題變得更加突出。安全問題是融入到信息化建設的整個過程中的,它是一項系統工程,只有通過“建設高可用性網絡,部署安全防護系統,建立安全保障體系”,信息化安全才能得到最好的保證。李俊宇.《信息安全技術基礎》冶金工業出版社.2004.12 《計算機網絡安全》袁德明,喬月圓電子工業出版社2007年6月
《計算機網絡信息安全理論與實踐教程》蔣建春,西安電子科技大學出版社 2005年9月
《網絡信息安全技術》周明全 呂林濤 李軍懷2003年出版社:西安電子科技大學出版社
第二篇:試論國稅系統信息安全管理
試論國稅系統信息安全管理
目前,我國電子政務建設正穩步展開,電子政務已經成為政府管理改革和創新的最強動力和最有力手段。在電子政務發展的進程中,信息安全問題成為阻礙其發展的重要因素之一。政務信息比商務信息更加敏感,它涉及到公民的個人隱私、商業機密乃至國家安全,一旦丟失、破壞,不僅會造成巨大的經濟損失,還會危及國家安全、社會穩定,甚至人民生存。
國稅信息化建設起步相對較早,經歷了從最初的低平臺征管信息系統到現在的CTAIS2.0、監控分析及輔助決策應用的三個階段。每個階段以發展業務應用為主,安全性的考慮欠充分。在建設“國稅信息安全保障體系”之前,我們對國稅信息系統的整體安全狀況還不能完全了解,是否符合國家相應的法律法規和標準的要求也還不明確。
目前的電子國稅運行模式,借助第三方力量,將總局、省、市、縣國稅三級虛擬專網連接在一起,實現了跨省市數據共享和聯網核查。面對如此多的國稅節點,網絡連接的安全性和不同網絡節點之間數據傳輸的安全性還不能得到穩定可靠的保證。對于不同的國稅節點,其網絡規模和業務系統存在著極大的差別,相應的,應該根據實際情況和等級原則對其采用的安全保護措施進行明確的劃分。
廣東省國稅局目前推廣運用的CTAIS2.0是以科學化、精細化管理要求為總攬,以“執法規范、征收率高、成本降低、社會滿意”為系統功能目標,以流程再造等現代管理理論為指導,體現國家稅務總局關于金稅三期的部署要求,全面覆蓋基層國稅機關稅收征管操作層和各級國稅管理機關稅收管理層應用,全面增進稅收征管質量和效率的提高。但CTAIS2.0的網絡安全性又如何呢?到目前為止還是個未知數。有一點可以肯定,現有的安全管理制度主要集中在“靜態”的安全性方面,缺乏對安全風險等動態安全問題的管理要求,特別是與CTAIS2.0系統安全運行相適應的各種管理制度和機制尚未建立和完善,還不能適應CTAIS2.0系統的安全運行管理要求,難以實現“誰主管誰負責,誰運營誰負責”的目標,難以實現風險分擔和轉移的目標。同時,國稅內部人員的安全意識還相對淡薄,迫切需要對現狀進行一次全面的摸底調查,敲響國稅系統信息安全防范的警鐘。
一、構建國稅信息安全管理體系的思路
如果把信息系統安全管理長效機制比喻成一個整體的話,那么可以形象的把日常保障機制看成是核心軀干,這是我們主要的、核心的工作;應急響應機制就好比是安全帽,沒有這個安全帽,我們就可能在突發事件中遭遇傷害;監督檢查機制和考核評價機制好比是左右手,是我們工作中的主要著力點和手段,只有兩手齊用才能更好的發揮作用;教育培訓機制可以看作是兩條腿,是我們信息安全工作的基礎和不斷前進的動力。
而在這每一部分中,組織保障是骨架,沒有這個骨架的支撐,安全工作就沒有存在的空間;制度建設是肌肉,沒有肌肉或是肌肉不健全,我們的安全工作就沒有力度;機制是血脈,沒有血脈或供血不足我們的安全工作就缺乏生機和活力。
二、建立健全日常保障機制
1、組織上:完善信息安全組織體系,落實信息安全管理責任
(1)進一步完善省市組織架構。主要有:一是在決策層面引入“專家咨詢組”的概念,即成立由國稅務上級局、兄弟國稅、社會三方面的專家組成的“專家咨詢組”,在有關重大的信息系統安全項目和工程時,將“專家咨詢組”的意見一并提交,以供決策參考;二是在管理層面明確信息中心為監督管理的職能部門;三是在執行層面明確信息系統的其它相關科室為安全策略的具體執行部門,強化其它科室和信息中心的協調配合機制,各部門按規定盡職盡責,以形成完備的省市信息安全組織體系。
(2)細化職能科室崗位職責與授權:一是明確界定信息中心內各責任崗位的職責范圍與內容,進行合理的工、授權。即各崗位與信息系統安全相關人員、執行人員、監督人員的職責定義清晰,各崗位角色必須被指定到人,如系統管理、系統安全、網絡管理、網絡安全、系統維護、應急響應、病毒防范、安全審計等工作都要有具體人員擔任;二是制定監督管理崗位與具體執行崗位共同協作的職責管理規定。設立崗位目標,對各崗位協調配合的工作效果建立分析、評價、改進的具體工作規范;三是明確不能同時兼任的崗位,按合理的人員需求計劃、調派各個崗位工作人員。如有權管理訪問控制的工作人員不能同時兼任安全審計工作、系統管理員與數據庫管理員不能同時兼任等。
2、制度上:逐步建立和完善省市三級信息系統安全制度體系
即以“總綱類”來明確方向策略,以“制度類”來分類管理,以“細表類”進行規范補充的三級制度體系。具體實施規劃如下:
第一級:省局總體信息安全策略方針、綱領性文件。
省局的信息安全總體策略方針、綱領性文件包括兩部分,第一部分為總體方針,即國家相關法規,包括:《國家標準信息技術安全技術信息系統安全保障等級評估準則》、《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國電子簽名法》;國家稅務總局制定的“國稅信息系統安全管理規定”及其配套管理規定。這部分重點陳述了國稅信息系統安全保障的目的、適用范圍、安全管理意圖及指導原則,為省局信息系統安全各個方面提供高層指導;第二部分是在第一部分的基礎上,以“省局信息系統安全管理規定實施細則”的形式對省局信息系統各方面的安全提出具體的原則和要求,是對省局信息系統安全總體方針的細化。
根據省局實際情況和安全工作的形勢變化,由信息中心負責對“省局信息系統安全管理規定實施細則”及時進行制定和修改工作。
第二級:各崗位的工作規范、制度與管理性指南。在內容和形式上遵循第一級策略方針文件,對信息系統日常運行、管理工作、使用等方面起到分類管理、規范、指導的基礎性作用。
一是按照第一級省局總體策略方針文件的要求所制定的某些信息安全制度文件、工作規范等。如:信息中心應重點檢查組織崗位責任方面、業務持續性方面的規章制度,包括《脆弱性檢測與風險評估制度》、《應急響應制度》等等;網絡中心重點檢查物理安全、運行安全方面的規章制度,包括:《系統機房安全管理制度》、《來訪人員接待管理辦法》、《涉密區域管理規定》、《系統數據日常備份和管理制度》、《系統病毒防治管理制度》、《網絡監測與事件匯報制度》等。
二是按照第一級省局總體策略方針文件制定的全面的基礎性信息安全制度文件與可操作的程序指南類文件。指覆蓋信息安全方方面面,包括文件管理、人事管理、軟件開發與維護方面、資產管理、物理安全、通信與運行、訪問控制、變更控制、業務持續性等的文件,如:《訪問控制權限分配與授權規程》、《安全事故處理流程》、《新設備采購規程》、《資產報廢處理流程》、《應急響應與災難恢復實施程序》等。指南文件包括:《系統安裝操作指南》、《系統安全配置操作指南》、《日常備份與恢復操作指南》、《普通用戶系統使用指南》等等,這部分由信息中心進行檢查并指導協助相關職能科室完善。
三是將制度要求落到實處的一系列計劃、規劃類文件,包括:《安全意識培養、培訓與考核計劃》、《信息安全保障長期規劃(3-5年)》、《業務持續性計劃》。
四是為有效監督策略、制度規范與程序指南的正確實施,要求補充實施規范監督、審計評估工作的制度程序計劃文件,包括《安全審計管理制度》、《安全審計實施規程》、《安全管理體系運行狀況檢查計劃》等。
后面這兩部分主要是由信息中心根據必要性和緊迫性進行檢查和完善。
第三級:各類表格、執行文本和過程記錄。主要指在信息系統運行保障過程中,按第二級制度文件的要求制定的一系列幫助記錄以及起補充作用的記錄實施步驟、內容、結果的表格和說明。這些表單文件和過程記錄,主要是為監控安全控制措施和管理體系運作的有效性,計劃從以下幾方面完善:
一是根據第二級制度文件制定、細化第三級過程表格文件,主要包括實施第二級制度文件中需要使用的表格和文件,如:《崗位授權任務書》、《各類系統運行、配置情況記錄表單》、《各類設備檢修記錄單》、《各類故障維修紀錄表單》、《事件、事故處理過程紀錄表單與報告模版》等。
二是在工作過程中建立一套完整地的堅持數據、日志和記錄的收集和保存的程序。
三是根據策略、計劃、制度規范要求對記錄進行定量的比對、分析、控制、測試和驗證分析。
四是針對測試、審計、評估報告按照制度流程要求制定改進策略,并相應更新文件體系。
以上這些細表類的制定工作主要是由各職能科室在制定第二級制度規范時初步完成,再由信息中心對制定出的各項制度規范進行逐一細致檢查,并協調、督促各科室在實踐中逐項落實,同時在實際工作中觀察、記錄、備案實際執行效果。
3、管理上:將風險管理理念引入信息系統安全管理工作,提高自查與完善能力
對省、市局信息系統所面臨的威脅及其影響以及信息系統脆弱性及其發生的可能性進行評估。由信息中心采用規范的評估流程、有效的評估方法,組織、協調、指導省、市各信息系統安全相關科室(人員)定期或不定期的對省、市信息系統進行風險評估,每一次風險評估將重新復審系統的安全風險和已實施的安全控制的效果。按照這種方法,結合總局的風險評估活動,在省市信息系統安全管理周期內重復往至,循環不息,以不斷提高自我完善的能力。
三、建立健全應急響應機制
信息中心負責積極推動全省信息系統安全等級保護工作,制定并完善《全省信息系統安全等級評定辦法》;逐步實行省市信息系統安全風險評估;協調運行網絡,對《省、市信息系統安全應急處理預案》進行不斷完善,提高基礎信息網絡和重要信息系統的抗毀性與災難恢復能力;制定《省、市信息系統應用軟件安裝管理規定》,對網絡中沒有經過總局安全認定的軟件進行清查。
針對基礎信息網絡的突發性、大規模安全事件,各相關部門負責建立程序化的處理流程以及信息安全事故報告制度,信息中心在有條件的情況下,適當針對應急預案組織進行適當規模的演練;加大省、市局投入,有針對性的逐步建立備份恢復系統。
四、建立健全監督檢查機制
國稅各部門建立《信息系統安全監督檢查工作規范》,明確信息系統安全檢查的內容、方式、范圍和時間,針對不同時期的情況,采用合適的檢查方案。采取多種形式組成信息系統安全監督檢查隊伍,積極與辦公室、其它隸屬單位協商配合,臨時抽調技術人員、兼職安全人員組成由總局技術處與辦公室聯合檢查組、或者是由總局職能部門牽頭隸屬單位參加的檢查組,按照“工作規范”定期或者不定期的對省、市局的信息系統安全狀況進行的檢查、抽查、互查。
信息中心在已有的《省市信息系統安全運行情況通報》的基礎上,進一步強化省、市局信息安全情況通報機制;加強對省市信息系統安全人員法律和業務的培訓,逐步建立考核合格后持證上崗制度,切實提高信息系統安全人員安全監督意識和業務管理水平,建立起覆蓋全省的信息系統安全監督管理隊伍和體系。
在加強日常安全監督管理的基礎上,信息中心應改變單一的、運動式的安全監督檢查方式,從重點監督檢查信息系統實體安全,轉變為重點監督檢查安全責任制的建立與落實狀況,以及安全標準規范的落實和執行情況;從以告知性的檢查為主,轉變為以隨機抽查及巡查為主。加大對業務現場、基層單位等安全薄弱環節的監督管理力度。運行科、網絡科以強化安全監督的技術手段為著力點,充分利用信息網絡技術,健全完善信息系統重大安全事故報告和信息處理系統,定期公布信息系統安全不良記錄,增強安全輿論監督力度。認真查處事故,強化責任追究,堅持事故原因未查清不放過、責任人員未處理不放過、整改措施未落實不放過、有關人員未受到教育不放過的“四不放過”原則,對于重特大信息安全事故不僅要追究事故直接責任人的責任,同時要追究有關負責人的領導責任。
五、建立健全教育培訓機制
一是學習互助機制。由信息中心負責牽頭組織信息安全培訓及研討。培訓對象由其他職能科室的技術人員、省市局的兼職技術人員組成,學習探討安全方面的新技術、新知識,強化本單位人員的安全培訓工作。
二是紀律約束機制。逐步建立“凡培訓必考”等制度,加強紀律約束,促使相關崗位人員自覺主動加強學習。
三是宏觀指導機制。按照受培訓人員的不同層次、不同崗位的特點,科學制定相應的教育培訓目標,加強對基層單位教育培訓工作的宏觀指導,避免出現教育培訓目標層次性不突出、指導性不強、實用性不強、難以滿足培訓需求多樣性等問題。
四是資源整合機制。充分利用國稅系統內部、社會方面的資源,采取面授、自學、以及網絡教學等多種方式,創新培訓手段,以此提高安全教育培訓的實效。
五是省、市局基層建設綱要,對于國稅業務系統以及相關應用管理項目,定期地開展與信息安全保障相關的應急演練培訓,針對事故應變、配置管理以及持續性運行維護和災難恢復等突發事件強化相關角色的應變能力。
六、建立健全考核評估機制
在省、市局設立信息安全考核目標,對信息系統安全工作協調合作的效果建立評價標準;由信息中心擔當監督的角色,負責監督各項工作過程和結果,并對執行效果予以考核評估,考核結果在進行設備配置、計劃設定、年終評議時有所參考。
應按以下原則構建考核評估體系:一是注重考核評估內容的科學性。根據反饋的情況和實際效果對考核指標進行不斷修正;二是增強考核評估指標的針對性。既充分考慮省局的整體要求,又針對不同單位、不同崗位、不同層次的要求,提出不同的具體要求。三是提高考核評估的可操作性。制訂科學合理、明確具體的指標體系,便于在實際操作中運用。四是擴大考核評估的群眾性。把基層反映的意見作為重要標準,把握好效率與安全的辨證關系,將安全工作落到實處。
第三篇:國稅系統信息化建設存在的問題及對策
隨著國稅系統信息化建設的不斷深入,信息化已經成為征管改革的重要推動力量,經過幾年的探索和實踐,所有的稅收征管業務納入到計算機統一管理,實現了計算機對稅收征管全過程、全方位的監控,構建了一個各項執法權互相聯系、互相制約、互相監督、責任明確的執法機制。信息化是一項系統工程,任何一方面都不能偏廢,信息化安全也是信息化建設的關
鍵環節。如果信息化網絡不安全,人們使用網絡的積極性會喪失,開放的網絡最終會走向封閉,信息化就失去意義。隨著互聯網日益蓬勃的發展和以市地為單位集中征收的實現,國稅網絡應用的范圍在不斷擴大,如網上申報、網上認證、網上信息性服務,通過廣域網實現國稅機關內部資源共享、統一管理等,國稅信息化網絡不再是單純意義上的,而更多的則是基于internet的網絡和應用。網絡開放了,安全問題就更加嚴峻,特別是某些安全問題如病毒、攻擊和入侵等必須引起我們的高度重視。>
一、國稅系統信息安全存在的“短板”
從××國稅系統的實際情況出發,對照國稅信息化高性能、高可靠性的要求,目前××國稅在信息安全上還存在以下五大問題。
1、物理安全上存在的問題。物理安全主要指信息化系統、設備、工作環境等在物理上采取的保護措施。××國稅系統在物理安全上存在的問題主要表現在機房建設、局域網建設缺乏規劃,基本沒有專門的防雷、防火、防水、防潮設施。機房中重要設備塵土覆蓋,存在許多安全上的隱患。
2、網絡安全上存在的問題。網絡安全主要是指網絡訪問、使用、操作的安全,它是信息化安全中最普遍的內容,主要包括:病毒危害和訪問安全。在開放網絡環境下,計算機病毒的危害比以往要大得多,特別是近幾年,通過互聯網進行傳播的病毒數量急劇增長,危害范圍也不斷擴大。對付計算機病毒的最好的方法是安文秘雜燴網防病毒軟件,國稅系統最好具備網絡版的防病毒軟件,可以實時查殺病毒、智能安裝,快速方便地升級。然而,當前在使用的防病毒軟件基本上是單用戶版的,容易造成長時間不升級,在管理上也不方便。訪問安全是指對設備、資源、信息和服務訪問權限的安全控制。訪問安全也是最常見的安全問題,××國稅網絡缺少必要的權限管理,人人都可以通過網絡訪問到各服務器和路由器。雖然網管人員可以通過外部防火墻限制外部用戶訪問內網,也可以限制內部用戶瀏覽互聯網的權限和時間,但是由于××縣局與省局、市局無內部防火墻隔離,全國的國稅廣域網用戶都可以通過網絡訪問××國稅的路由器和服務器,造成許多安全上的隱患。
3、信息安全上存在的問題。信息安全主要是指信息交換安全。網上申報、網上認證的發展推動了信息安全需求。這兩種情況都需要對連接者身份進行嚴格驗證,防止非法用戶的進入,為了防止傳輸過程中的信息被竊聽,要求登錄用戶名和密碼以及數據在傳輸過程中進行有效的加密。為了增強信息安全,需要對登錄信息和納稅申報信息進行安全審計記錄,從而可以對非法入侵進行跟蹤,并分析系統的安全狀況。這一塊工作我們還沒有很好的開展起來。
4、管理安全上存在的問題。管理安全是指通過加強安全管理來保證物理安全、網絡安全和信息安全措施的實現。信息化安全是一項系統工程,如果沒有有效的安全管理,其他的任何努力都形同虛設。信息化安全需要一個完善的安全管理體系,從安全管理組織、制度、措施上都要制定一整套相應的規范。××國稅自從通過is09000認證以來,信息中心的制度建設已日趨完善,但網絡信息安全方面的制度如應急預案、機房安全制度、密碼制度等相對較少,沒有從制度上來杜絕網絡安全上的漏洞。
5、網絡及信息系統安全意識存在的問題。網絡及信息系統安全問題很多時候都出在內部,許多典型的網絡入侵事件都是借助于內部人員才得以實觀的,而我們國稅系統的一般工作人員,網絡及信息系統安全意識差,個別人就根本沒有安全意識,計算機隨便裝載各種游戲軟件,不經殺毒隨便使用外來u盤、軟盤、光盤等。
二、加高“短板”的對策
信息化安全問題不存在一勞永逸的解決方案,提出的任何安全對策也只能是更好地預防問題的出現,盡量減少安全問題對正常業務的影響。針對××國稅系統信息化建設的特點和存在問題的分析,可以歸納出“三大對策”,即建設高可用性網絡、部署安全防護系統和建立安全保障體系。
1、建設高可用性網絡。建設高可用性網絡就是要建設具有高性能和高可靠性的信息化基礎網絡設施,實現信息化物理安全和網絡安全。建設高可用性網絡的主要措施涵蓋信息化硬件和軟件以及需要重點考慮的災難恢復。(1)信息化硬件。信息化硬件包括網絡設備、服務器、布線、機房設備等。要保證信息化網絡的高可用性,在設備選擇上必須堅持高性能和高可靠性,在系統設計上也要充分考慮網絡和設備的冗余備份。在網絡設備上,應盡可能選用可靠性高,有相對冗余的中心交換機:服務器應選用帶
冗余電源的,硬盤應選用能做raidl,raid5等高可靠性的磁盤陣列:機房設備必須用ups供電,保證設備的持續、穩定運行。(2)信息化軟件。信系化軟件主要包括操作系統、數據庫、應用程序等。應盡量選用性能好安全性高的操作系統,個人計算機操作系統可以選用,服務器操作系統應優先選用unix系統。(3)災難恢復。隨著信息化進程的深入,國
稅系統對計算機設備的依賴度也越來越大、對稅務系統而言,最珍貴的不是信息化設備或系統:而是存儲的各種文檔和數據庫信息。網絡的可用性也是極為重要的,如果網絡總是有問題,誰還有信心去用它?所以災難恢復是信息化安全中很重要的一個組成部分,必須想法保證數據存儲的可靠性,保證網絡服務和應用在故障時能盡快恢復。對國稅系統而言,災難恢復保護的地方主要是關鍵數據庫和文件服務器。關鍵數據庫一般是指存儲納稅申報信息ctais數據庫、金稅數據庫,文件服務器主要是指辦公自動化所依賴的服務器,它存儲國稅系統管理過程中所需的重要文檔和資料。先進的典型災難恢復系統是由集群服務器、存儲設備和相關軟件組成,當系統部分設備發生災難時可以保持服務的連續性并自動恢復或盡可能恢復最近的數據。典型災難恢復系統的一個重要特點就是災難恢復系統里的設備要做到地理分散,才能真正應對災難的發生。××國稅系統應在××縣局建立了異地數據容災備份系統。容災系統中采用falconstor的ipstor軟件和legatoautomatedavailabilitymanager(legatocluster)。市縣局用4m光纖相連,在晚上進行數據復制。系統運行后,市局將各縣市局的ctais查詢直接指向××縣局的小型機進行查詢,此舉極大地減輕了以市局為主的征管服務器的壓力,從根本上改善了服務器征期高峰的擁塞現象,保證了市局主服務器主要正常業務的開展與運行。同時,數據的備份將在很大的程度上保證稅務工作的安全運轉,給征管數據上了“保險”。ctais異地備份的成功實現為其他系統的安全保護提供了很好的借鑒。
2、部署安全防護系統。部署安全防護系統主要指通過操作系統安全使用和部署安全防護軟件,實現信息化網絡安全和信息安全。(1)防病毒系統。常見的計算機病毒主要是針對微軟的操作系統,如果你使用其他操作系統如unix或linux,基本可以不用擔心受感染,但是仍可能成為病毒傳播源和感染對象。國稅系統中用戶網絡節點多,如果采用單機防病毒軟件,成本高,維護起來也不方便,防病毒的效果也不理想,所以對國稅系統而言,對付病毒的重要手段是部署網絡防病毒系統。網絡防病毒系統由防病毒主程序和客戶端以及其他輔助應用組成,它可以通過管理平臺監測、分發部署防病毒客戶端,這種功能意味著可以統一并實施全系統內的反病毒策略,并封鎖整個系統內病毒的所有入口點。因為計算機病毒是動態發展的,到目前為上尚未發現“萬能”防病毒系統,所以我們能做到只能是及時地更新病毒庫。要有效地對付計算機病毒,除了部署防病毒系統外,還要配合其他手段維護系統安全,做好數據備份是關鍵,并且要及時升級殺毒軟件的病毒庫,還要做好災難恢復。(2)防火墻。防火墻是目前最重要的信息安全產品,它可以提供實質上的網絡安全,它承擔著對外防御來自互聯網的各種攻擊,對內輔助用戶安全策略的實施的重任,是用戶保護信息安全的第一道屏障,在信息化安全中應給予高度重視。通過配置安全策略,防火墻主要承擔以下作用:禁止外部網絡對××國稅系統內部網絡的訪問,保護國稅網絡安全:滿足內部員工訪問互聯網的需求;對員工訪問互聯網進行審計和限制。對××國稅來說,除現在應用的internet防火墻外,還應該在與外單位包括其他國稅局、銀行等聯網的過程中沒置內部防火墻、保證××國稅內部網全部在防火墻的保護之下。
現在的防火墻在功能上不斷加強,如可以實現流量控制、病毒檢測、vpn功能等,但是防火墻的主要功能仍然是通過包過濾來實現訪問控制。防火墻的使用通常并不能避免來自內部的攻擊,而且由于數據包都要通過防火墻的過濾,增加了網延遲,降低了網絡性能,要想充分發揮防火墻的作用,還要與其他安全產品配合使用。(3)入侵檢測。大部分入侵檢測系統主要采用基于包特征的檢測技術來實現,它們的基本原理是:對網絡上的數據包進行復制,與內部的攻擊特征數據庫進行匹配比較,如果相符即產生報警或響應。檢測到入侵事件后,產生報警,并把報警事件計入日志,日后可以通過日志分析確定網絡的安全狀態,發現系統漏洞等。如果它與防火墻等其他安全產品配合使用,可以在入侵發生時,使防火墻聯動,暫時阻斷非法連接,保護網絡不受侵害。在部署此類產品時要注意進行性能優化,盡量避免屏蔽沒有價值的檢測規則。(4)操作系統安全使用。在信息化網絡中,操作系統的安全使用是保證網絡安全的重要環節,試想如果你打算與同事共享一個文件夾,可是你又沒有加密碼,共享的文件就會變成公開的文件。操作系統安全使用主要包括以下幾方面內容:用戶密碼管理、系統漏洞檢測、信息加密等。用戶密碼管理無論是對個人還是整個系統都是很重要的。用戶密碼管理有許多的原則要遵守,最重要的就是不要使用空密碼,如當你使用windowsnt/2000時,如果不幸你使用空密碼,局域網中的任何人都可以隨意訪問你的計算機資源。如果你是系統管理員,制定嚴謹的用戶密碼策略是首要任務之一。漏洞檢測對關鍵服務器的操作系統是極為重要的。任何操作系統都不可避免地存在安全漏洞,操作系統的漏洞總是不斷地被發現并公布在互聯網上,爭取在黑客沒有攻擊你的主機之前及時發現并修補漏洞是極為關鍵的。另外一種類型的漏洞并不是系統固有的,而是由于系統安裝配置缺陷造成的,同樣應引起足夠重視。對服務器而言,關閉不需要的服務或端口也是必要的。即使網絡很安全了,需要保密的信息在存儲介質上的加密仍然是必要的,因為任何網絡不能保證百分之百的安全。使用windowsnt/2000等操作系統時,盡量使用ntfs分區,對重要信息起用加密保護功能,這樣就算是信息意外泄露,也無法破解。采用vpn(虛擬專用網)。vpn是當前實現遠程訪問重要方法,它可以有效地降低廣域網通訊費用,并實現從任何位置安全地訪問國稅系統內部網絡,它也可以作為國稅系統內部重要資源訪問控制的一種手段。vpn通過internet或其他公用ip網絡實現,可以滿足遠程通訊安全的基本需求,它將通訊信息進行加密和認證傳輸,從而保證了信息傳輸的保密性、數據完整性和信息源的可靠性,實現安全的遠程端到端連接。vpn的實現主要基于以下技術:
(1)ipsec,ietf(internet工程師任務組)制定的ip安全標準。
(2)通過認證機構發放數字證書和進行第三方認證。
(3)使用共享密鑰認證用于小規模的vpn網絡。
vpn一般采用專用的設備實現,在選用vpn產品時應主要考慮幾點:可管理性、可擴展性、可靠性、兼容性和價格。
3、建立安全保障體系。安全保障體系主要是指:對信息化安全管理的整套體制,包括管理組織、制度、措施等,通過安全管理,保證物理安全、網絡安全和信息安全措施的實現。(1)建立安全管理機構和管理制度。建立安全管理機構,確定安全管理人員,建立安全管理制度、維護和維修管理制度及安全考核制度,建立責任和監督機制,實行分權制約,優先授權,進行系統設備、網絡設備和存儲設備的安全管理,建立工作記錄,詳細記載運行情況。(2)制定安全應急方案。在國稅系統網絡中,小的安全問題可能比較容易解決,但是嚴重的安全問題對稅收工作的影響是很大的,如系統設備故障或大范圍病毒感染等,這時的問題處理起來會特別復雜,有必要針對特定的安全問題制定安全應急方案。安全應急方案主要確定安全應急處理時的領導組織結構,解決問題的思路、方法和步驟,做好事前準備,不至于遇到問題時慌了神而手忙腳亂。(3)加強網絡管理。加強網絡管理是信息化安全的重要環節,網絡管理的內容主要包括:操作系統安全策略的維護和檢查、系統和數據的備份、防火墻路由器等的安全檢查、審計分析網絡安全事件日志、設備和系統的日常維護等。只有加強網絡管理,才能保證網絡的安全可靠運行。(4)加強網絡及信息系統安全宣傳教育。安全問題很多時候都出在內部,許多典型的網絡入侵事件都是借助于內部人員才得以實觀的,而且嚴格的安全策略大多是針對外部的,所以應高度重視內部安全。除了從技術上盡量保證安全以外,通過加強宣傳,增加工作人員的安全和遵紀守法意識,讓廣大工作人員自覺地參與到安全保護中來,認真執行安全策略,減少安全漏洞,信息化安全才有保證。
總之,信息化安全問題是一個嚴峻的問題,特別是隨著廣域網和互聯網應用的發展,安全問題變得更加突出。安全問題是融入到信息化建設的整個過程中的,它是一項系統工程,因此,僅僅提供一個安全問題解決方案是不能滿足信息化安全需求的。對國稅系統而言,通過“建設高可用性網絡,部署安全防護系統,建立安全保障體系”,信息化安全才能得到最好的保證。
第四篇:國稅系統固定資產管理存在的問題及對策
國稅系統的固定資產是國稅系統正常運轉的必備條件。加強對這些資產的管理,維護其安全、完整,提高資產使用效益,是國稅機關的重要職責。國家稅務總局印發了《國家稅務局系統固定資產管理辦法》,對國稅系統的固定資產管理提出了明確的任務和具體的管理要求。但由于國稅系統購置固定資產的資金來源是財政撥款,在經費支出中列支,固定資產不計提折舊,因此,一些單位在固定資產購買、管理、核算中不按制度規范要求處理,存在賬外資產等問題,損失浪費現象時有發生。本文將就當前國稅系統固定資產管理存在的問題及對策作粗淺探討。
一、當前固定資產管理工作存在的問題
目前,由于管理要求的不斷細化,以及固定資產管理工作本身的復雜性,一些基于歷史原因和現有體制不完善之處而產生的問題逐步顯現出來。主要表現在以下幾個方面:
(一)資產調撥手續不規范。突出表現在上下級之間調撥資產的口子多,如稽查、稅政、人事、征管、信息中心等部門的信息化設備、辦公設備,有些是由上級對口部門直接調撥,其中,絕大部分的調撥設備無相關調撥手續。下級對口單位接到實物后未向管理部門及財務部門申報,導致該資產無法入賬,因此造成資產管理家底不清,給工作上造成被動。
(二)固定資產管理責任落實不到位。主要是對資產的使用者、保管者的跟蹤檢查制度落實不到位,即使將責任進行了落實,但有些部門的財產保管者也只是虛設,沒有真正做到專人負責、跟蹤監管固定資產的使用狀況等,更重要的是沒有比較完善和詳細的責任追究制度來進行約束和監督。
(三)資產管理認識不夠高。表現在一方面資產管理者的責任意識比較淡薄,認為公家的資產只要自己不帶走,不有意破壞,就沒有其他責任。另一方面表現在實際操作過程中,先購買后審批、先處置后報批、新分配后報告等現象還時有存在。
(四)歷史遺留問題不好處理。實行固定資產電算化核算是從開始的,由于當時對資產的估價不準,雖然有些可以查找原始憑證,但更多的則無法查起(如國地機構分設前的資產、調撥資產),造成了資產計價價格千差萬別。同時,隨著機構、部門的多次改革,資產的頻繁調動,也給資產的賬實核對造成了很大的麻煩。
(五)賬實不符問題依然存在。主要表現為有賬無實、有實無賬和賬實不匹配。造成賬實不符的原因,一是有些固定資產采購項目的計劃指標被挪用,形成固定資產虛列;二是會計處理上的問題,即已報廢、盤虧的固定資產未及時進行賬務處理。
(六)閑置固定資產的處置問題。主要表現為閑置房地產及閑置電子設備處置不及時,處置手續不完備,程序不規范。閑置固定資產的產生主要源于以下三種因素:一是國地稅分家時遺留的資產閑置;二是在進行征管改革的過程中,對部分農村分局(所)進行了撤并,造成了撤并機構房地產閑置;三是科技進步造成固定資產無形損耗而產生的閑置,這在電子設備的更新換代上表現得尤為突出。
二、強化固定資產管理的對策
為了防止系統內固定資產的閑置浪費,提高其使用效率的最好辦法,就是進一步加強管理和監督,做到統一政策、分級管理、加強監管、杜絕各類違紀違規問題的發生。
(一)加強固定資產的購置管理。一是對采購的固定資產,要注重分析和可行性研究,不搞盲目采購。二是完善政府采購管理體制及監督機制,并切實做到政府采購的信息公開、過程透明、行為規范、手續簡化。三是要對集中采購機構和工作人員實行全程跟蹤監督和管理,把監督機制貫徹始終,以確保采購質量。四是固定資產購置,必須歸口管理,統一購買,統一調配。
(二)加大資產日常管理力度。一是各單位應嚴格執行省局制定的固定資產管理辦法,并細化成“申報-審批-購置-核算-管理-處置”基本程序進行分段管理。購置固定資產環節重點監督需求部門是否做出購置計劃和安排相應的預算;審批環節重點監督是否按照審批權限分別審批,有無擅自增加固定資產。購置環節重點監督是否屬于政府采購范圍,是否實行了政府采購。核算環節重點監督是否及時登記有關賬冊,并側重于無償調入固定資產的登記管理。管理環節重點監督有無固定資產流失。實行“誰使用、誰保管、誰負責”和卡片對應管理,形成相互監督,相互制約;處置環節重點監督是否經過局長辦公會議研究,是否依照規定權限審批后合法處置。二是資產調撥應只由一個部門負責,并做到先開單、后提貨,統一憑財務的調撥手續辦理,不得由多部門分配、調撥。三是對重大工程建設項目,應成立專門管理小組。成員應來自財務,監察、信息中心、服務中心、專家及使用單位,共同參與項目論證、公開招標等環節的工作,并實行全程監控管理。四是杜絕“重采購,輕管理”的現象。固定資產購建完成后,對設備及時進行測試和清點,并貼上標識銘牌。驗收不合格,不得辦理結算手續,不得交付使用,并按合同條款及時向有關責任人提出
退貨或索賠。定期對設備進行盤點,核對賬、卡、物,保證賬賬、賬卡、賬物相符。要抓落實,不搞形式,不走過場,真正做到物物有人管,環環緊相連,依法辦事,照章理財。五是對精密貴重以及容易發生安全事故的儀器設備,歸口管理部門應制定具體操作規程,指定專人進行操作。
(三)完善資產核算軟件。由于國稅系統的固定資產規模龐大,種類繁多,各項管理工作僅靠傳統的手工管理、手工統計已遠不適應工作要求,必須實現管理工作的電算化,建立起包括計劃管理和核算管理等功能齊備的信息系統,將固定資產的購建、核算、處置、報廢等各項業務全部通過系統加以反映,按照管理權上收的原則設置相應系統管理權限,實現固定資產的電子化管理與實時監控。當前,雖然國稅系統有固定資產管理軟件,但該軟件與資產的管理要求還存在一定的差距。如在數據統計方面不完善,對同一內存或同一容量的計算機設備在統計上無法操作。建議針對不同的設備,在型號、特征、規格上進一步細化,提供可選項,如對計算機,可設置內存、硬盤容量、顯示器類型等指標,便于準確登記和數據查詢。同時,在實現核算電算化的前提下,可以取消手工固定資產明細賬和總賬,有利于減少手工勞動,提高工作效率。
(四)進一步完善管理制度。一是對縣、市級的資產處置、報廢要求和操作流程等進行細化明確(主要指基建項目外的),便于下面縣市實施操作;二是對資產的保管者、使用者進一步明確職責,強化管理責任(如固定資產登記制度、固定資產保管制度、固定資產的損壞損失賠償制度等),實施責任追究;三是對資產的各項調撥、處置、報廢、新建、領用、移交等單據、文書統一格式,實行規范化管理。四是設立專職資產管理員,建產定期培訓制度,對其進行專項固定資產管理知識的宣傳和培訓,增強管理人員對資產管理重要性的認識,提高其業務技能和加強監管的能力。
(五)做好固定資產投保工作,規避資產風險。我省國稅系資產投保工作,在車輛保險方面作了有益嘗試,收到了較好的效果,有效降低了資產損失。但其他資產由于省局沒有統一投保,也沒有下撥專項經費,因此各地投保積極性不高。建議省局擴大資產投保面,特別是房屋和電子設備能統一投保的統一投保,統一投保有困難的,每年下撥專項經費讓市、縣局投保,以規避資產風險。
第五篇:縣級國稅系統信息化建設存在的問題及對策
縣級國稅系統信息化建設存在的問題及對策
隨著國稅系統信息化建設的不斷深入,信息化已經成為征管改革的重要推動力量,經過幾年的探索和實踐,所有的稅收征管業務納入到計算機統一管理,實現了計算機對稅收征管全過程、全方位的監控,構建了一個各項執法權互相聯系、互相制約、互相監督、責任明確的執法機制。信息化是一項系統工程,任何一方面都不能偏廢,信息化安全也是信息化建設的關 鍵環節。如果信息化網絡不安全,人們使用網絡的積極性會喪失,開放的網絡最終會走向封閉,信息化就失去意義。隨著互聯網日益蓬勃的發展和以市地為單位集中征收的實現,國稅網絡應用的范圍在不斷擴大,如網上申報、網上認證、網上信息性服務,通過廣域網實現國稅機關內部資源共享、統一管理等,國稅信息化網絡不再是單純意義上的,而更多的則是基于internet的網絡和應用。網絡開放了,安全問題就更加嚴峻,特別是某些安全問題如病毒、攻擊和入侵等必須引起我們的高度重視。>
一、國稅系統信息安全存在的“短板”從縣級國稅系統的實際情況出發,對照國稅信息化高性能、高可靠性的要求,目前××國稅在信息安全上還存在以下五大問題。
1、物理安全上存在的問題。物理安全主要指信息化系統、設備、工作環境等在物理上采取的保護措施。××國稅系統在物理安全上存在的問題主要表現在機房建設、局域網建設缺乏規劃,基本沒有專門的防雷、防火、防水、防潮設施。機房中重要設備塵土覆蓋,存在許多安全上的隱患。
2、網絡安全上存在的問題。網絡安全主要是指網絡訪問、使用、操作的安全,它是信息化安全中最普遍的內容,主要包括:病毒危害和訪問安全。在開放網絡環境下,計算機病毒的危害比以往要大得多,特別是近幾年,通過互聯網進行傳播的病毒數量急劇增長,危害范圍也不斷擴大。對付計算機病毒的最好的方法是安文秘雜燴網防病毒軟件,國稅系統最好具備網絡版的防病毒軟件,可以實時查殺病毒、智能安裝,快速方便地升級。然而,當前在使用的防病毒軟件基本上是單用戶版的,容易造成長時間不升級,在管理上也不方便。訪問安全是指對設備、資源、信息和服務訪問權限的安全控制。訪問安全也是最常見的安全問題,××國稅網絡缺少必要的權限管理,人人都可以通過網絡訪問到各服務器和路由器。雖然網管人員可以通過外部防火墻限制外部用戶訪問內網,也可以限制內部用戶瀏覽互聯網的權限和時間,但是由于××縣局與省局、市局無內部防火墻隔離,全國的國稅廣域網用戶都可以通過網絡訪問××國稅的路由器和服務器,造成許多安全上的隱患。
3、信息安全上存在的問題。信息安全主要是指信息交換安全。網上申報、網上認證的發展推動了信息安全需求。這兩種情況都需要對連接者身份進行嚴格驗證,防止非法用戶的進入,為了防止傳輸過程中的信息被竊聽,要求登錄用戶名和密碼以及數據在傳輸過程中進行有效的加密。為了增強信息安全,需要對登錄信息和納稅申報信息進行安全審計記錄,從而可以對非法入侵進行跟蹤,并分析系統的安全狀況。這一塊工作我們還沒有很好的開展起來。
4、管理安全上存在的問題。管理安全是指通過加強安全管理來保證物理安全、網絡安
全和信息安全措施的實現。信息化安全是一項系統工程,如果沒有有效的安全管理,其他的任何努力都形同虛設。信息化安全需要一個完善的安全管理體系,從安全管理組織、制度、措施上都要制定一整套相應的規范。××國稅自從通過is09000認證以來,信息中心的制度建設已日趨完善,但網絡信息安全方面的制度如應急預案、機房安全制度、密碼制度等相對較少,沒有從制度上來杜絕網絡安全上的漏洞。
5、網絡及信息系統安全意識存在的問題。網絡及信息系統安全問題很多時候都出在內部,許多典型的網絡入侵事件都是借助于內部人員才得以實觀的,而我們國稅系統的一般工作人員,網絡及信息系統安全意識差,個別人就根本沒有安全意識,計算機隨便裝載各種游戲軟件,不經殺毒隨便使用外來u盤、軟盤、光盤等。
二、加高“短板”的對策
信息化安全問題不存在一勞永逸的解決方案,提出的任何安全對策也只能是更好地預防問題的出現,盡量減少安全問題對正常業務的影響。針對××國稅系統信息化建設的特點和存在問題的分析,可以歸納出“三大對策”,即建設高可用性網絡、部署安全防護系統和建立安全保障體系。
1、建設高可用性網絡。建設高可用性網絡就是要建設具有高性能和高可靠性的信息化基礎網絡設施,實現信息化物理安全和網絡安全。建設高可用性網絡的主要措施涵蓋信息化硬件和軟件以及需要重點考慮的災難恢復。(1)信息化硬件。信息化硬件包括網絡設備、服務器、布線、機房設備等。要保證信息化網絡的高可用性,在設備選擇上必須堅持高性能和高可靠性,在系統設計上也要充分考慮網絡和設備的冗余備份。在網絡設備上,應盡可能選用可靠性高,有相對冗余的中心交換機:服務器應選用帶冗余電源的,硬盤應選用能做raidl,raid5等高可靠性的磁盤陣列:機房設備必須用ups供電,保證設備的持續、穩定運行。(2)信息化軟件。信系化軟件主要包括操作系統、數據庫、應用程序等。應盡量選用性能好安全性高的操作系統,個人計算機操作系統可以選用,服務器操作系統應優先選用unix系統。(3)災難恢復。隨著信息化進程的深入,國 稅系統對計算機設備的依賴度也越來越大、對稅務系統而言,最珍貴的不是信息化設備或系統:而是存儲的各種文檔和數據庫信息。網絡的可用性也是極為重要的,如果網絡總是有問題,誰還有信心去用它?所以災難恢復是信息化安全中很重要的一個組成部分,必須想法保證數據存儲的可靠性,保證網絡服務和應用在故障時能盡快恢復。對國稅系統而言,災難恢復保護的地方主要是關鍵數據庫和文件服務器。關鍵數據庫一般是指存儲納稅申報信息ctais數據庫、金稅數據庫,文件服務器主要是指辦公自動化所依賴的服務器,它存儲國稅系統管理過程中所需的重要文檔和資料。先進的典型災難恢復系統是由集群服務器、存儲設備和相關軟件組成,當系統部分設備發生災難時可以保持服務的連續性并自動恢復或盡可能恢復最近的數據。典型災難恢復系統的一個重要特點就是災難恢復系統里的設備要做到地理分散,才能真正應對災難的發生。××國稅系統應在××縣局建立了異地數據容災備份系統。容災系統中采用falconstor的ipstor軟件和legatoautomatedavailabilitymanage本文來源:文秘11
4http://r(legatocluster)。市縣局用4m光纖相連,在晚上進行數據復制。系統運行后,市局將各縣市局的ctais查詢直接指向××縣局的小型機進行查詢,此舉極大
地減輕了以市局為主的征管服務器的壓力,從根本上改善了服務器征期高峰的擁塞現象,保證了市局主服務器主要正常業務的開展與運行。同時,數據的備份將在很大的程度上保證稅務工作的安全運轉,給征管數據上了“保險”。ctais異地備份的成功實現為其他系統的安全保護提供了很好的借鑒。
2、部署安全防護系統。部署安全防護系統主要指通過操作系統安全使用和部署安全防護軟件,實現信息化網絡安全和信息安全。(1)防病毒系統。常見的計算機病毒主要是針對微軟的操作系統,如果你使用其他操作系統如unix或linux,基本可以不用擔心受感染,但是仍可能成為病毒傳播源和感染對象。國稅系統中用戶網絡節點多,如果采用單機防病毒軟件,成本高,維護起來也不方便,防病毒的效果也不理想,所以對國稅系統而言,對付病毒的重要手段是部署網絡防病毒系統。網絡防病毒系統由防病毒主程序和客戶端以及其他輔助應用組成,它可以通過管理平臺監測、分發部署防病毒客戶端,這種功能意味著可以統一并實施全系統內的反病毒策略,并封鎖整個系統內病毒的所有入口點。因為計算機病毒是動態發展的,到目前為上尚未發現“萬能”防病毒系統,所以我們能做到只能是及時地更新病毒庫。要有效地對付計算機病毒,除了部署防病毒系統外,還要配合其他手段維護系統安全,做好數據備份是關鍵,并且要及時升級殺毒軟件的病毒庫,還要做好災難恢復。(2)防火墻。防火墻是目前最重要的信息安全產品,它可以提供實質上的網絡安全,它承擔著對外防御來自互聯網的各種攻擊,對內輔助用戶安全策略的實施的重任,是用戶保護信息安全的第一道屏障,在信息化安全中應給予高度重視。通過配置安全策略,防火墻主要承擔以下作用:禁止外部網絡對××國稅系統內部網絡的訪問,保護國稅網絡安全:滿足內部員工訪問互聯網的需求;對員工訪問互聯網進行審計和限制。對××國稅來說,除現在應用的internet防火墻外,還應該在與外單位包括其他國稅局、銀行等聯網的過程中沒置內部防火墻、保證××國稅內部網全部在防火墻的保護之下。
現在的防火墻在功能上不斷加強,如可以實現流量控制、病毒檢測、vpn功能等,但是防火墻的主要功能仍然是通過包過濾來實現訪問控制。防火墻的使用通常并不能避免來自內部的攻擊,而且由于數據包都要通過防火墻的過濾,增加了網延遲,降低了網絡性能,要想充分發揮防火墻的作用,還要與其他安全產品配合使用。(3)入侵檢測。大部分入侵檢測系統主要采用基于包特征的檢測技術來實現,它們的基本原理是:對網絡上的數據包進行復制,與內部的攻擊特征數據庫進行匹配比較,如果相符即產生報警或響應。檢測到入侵事件后,產生報警,并把報警事件計入日志,日后可以通過日志分析確定網絡的安全狀態,發現系統漏洞等。如果它與防火墻等其他安全產品配合使用,可以在入侵發生時,使防火墻聯動,暫時阻斷非法連接,保護網絡不受侵害。在部署此類產品時要注意進行性能優化,盡量避免屏蔽沒有價值的檢測規則。(4)操作系統安全使用。在信息化網絡中,操作系統的安全使用是保證網絡安全的重要環節,試想如果你打算與同事共享一個文件夾,可是你又沒有加密碼,共享的文件就會變成公開的文件。操作系統安全使用主要包括以下幾方面內容:用戶密碼管理、系統漏洞檢測、信息加密等。用戶密碼管理無論是對個人還是整個系統都是很重要的。用戶密碼管理有許多的原則要遵守,最重要的就是不要使用空密碼,如當你使用
windowsnt/2000時,如果不幸你使用空密碼,局域網中的任何人都可以隨意訪問你的計算
機資源。如果你是系統管理員,制定嚴謹的用戶密碼策略是首要任務之一。漏洞檢測對關鍵服務器的操作系統是極為重要的。任何操作系統都不可避免地存在安全漏洞,操作系統的漏洞總是不斷地被發現并公布在互聯網上,爭取在黑客沒有攻擊你的主機之前及時發現并修補漏洞是極為關鍵的。另外一種類型的漏洞并不是系統固有的,而是由于系統安裝配置缺陷造成的,同樣應引起足夠重視。對服務器而言,關閉不需要的服務或端口也是必要的。即使網絡很安全了,需要保密的信息在存儲介質上的加密仍然是必要的,因為任何網絡不能保證百分之百的安全。使用windowsnt/2000等操作系統時,盡量使用ntfs分區,對重要信息起用加密保護功能,這樣就算是信息意外泄露,也無法破解。采用vpn(虛擬專用網)。vpn是當前實現遠程訪問重要方法,它可以有效地降低廣域網通訊費用,并實現從任何位置安全地訪問國稅系統內部網絡,它也可以作為國稅系統內部重要資源訪問控制的一種手段。vpn通過internet或其他公用ip網絡實現,可以滿足遠程通訊安全的基本需求,它將通訊信息進行加密和認證傳輸,從而保證了信息傳輸的保密性、數據完整性和信息源的可靠性,實現安全的遠程端到端連接。vpn的實現主要基于以下技術:
(1)ipsec,ietf(internet工程師任務組)制定的ip安全標準。
(2)通過認證機構發放數字證書和進行第三方認證。
(3)使用共享密鑰認證用于小規模的vpn網絡。
vpn一般采用專用的設備實現,在選用vpn產品時應主要考慮幾點:可管理性、可擴展性、可靠性、兼容性和價格。
3、建立安全保障體系。安全保障體系主要是指:對信息化安全管理的整套體制,包括管理組織、制度、措施等,通過安全管理,保證物理安全、網絡安全和信息安全措施的實現。
(1)建立安全管理機構和管理制度。建立安全管理機構,確定安全管理人員,建立安全管理制度、維護和維修管理制度及安全考核制度,建立責任和監督機制,實行分權制約,優先授權,進行系統設備、網絡設備和存儲設備的安全管理,建立工作記錄,詳細記載運行情況。
(2)制定安全應急方案。在國稅系統網絡中,小的安全問題可能比較容易解決,但是嚴重的安全問題對稅收工作的影響是很大的,如系統設備故障或大范圍病毒感染等,這時的問題處理起來會特別復雜,有必要針對特定的安全問題制定安全應急方案。安全應急方案主要確定安全應急處理時的領導組織結構,解決問題的思路、方法和步驟,做好事前準備,不至于遇到問題時慌了神而手忙腳亂。(3)加強網絡管理。加強網絡管理是信息化安全的重要環節,網絡管理的內容主要包括:操作系統安全策略的維護和檢查、系統和數據的備份、防火墻路由器等的安全檢查、審計分析網絡安全事件日志、設備和系統的日常維護等。只有加強網絡管理,才能保證網絡的安全可靠運行。(4)加強網絡及信息系統安全宣傳教育。安全問題很多時候都出在內部,許多典型的網絡入侵事件都是借助于內部人員才得以實觀的,而且嚴格的安全策略大多是針對外部的,所以應高度重視內部安全。除了從技術上盡量保證安全以外,通過加強宣傳,增加工作人員的安全和遵紀守法意識,讓廣大工作人員自覺地參與到安全保護中來,認真執行安全策略,減少安全漏洞,信息化安全才有保證。
總之,信息化安全問題是一個嚴峻的問題,特別是隨著廣域網和互聯網應用的發展,安全問題變得更加突出。安全問題是融入到信息化建設的整個過程中的,它是一項系統工程,因此,僅僅提供一個安全問題解決方案是不能滿足信息化安全需求的。對國稅系統而言,通過“建設高可用性網絡,部署安全防護系統,建立安全保障體系”,信息化安全才能得到最好的保證。
點擊咨詢 