周英辉

摘要:文章以税务系统网络建设为切入点,结合天津地税局网络,重点分析了基层税务机关网络与信息管理中存在的安全风险并提出相应对策。

关键词:税务机关;网络与信息安全;局域网漏洞

中图分类号:X178文献标识码:A

文章编号:1674-1145(2009)27-0194-02

始于1994年的“金税工程”,是整个税收管理信息系统的总称,目的在于通过先进的计算机网络技术,实现税务系统信息共享,全面加强对税收各税种、各环节的监控和管理。

随着“金税工程”的逐步实施,天津地税局已建成以市局为核心,覆盖全市各区县地税局/所的内部网。全市地税综合征管系统、税管员系统、财务管理系统等主要业务系统依托网络均实现了市级集中运行,网络在提高数据传输效率,实现数据集中、数据共享、数据综合利用及分析决策等方面发挥着越来越重要的作用。在各种安全系统的严密监控和安全制度的保障下,来自核心网络外部的安全威胁大大减小,与之相反,来自基层税务机关内部的网络安全风险日渐凸显。如何做好新形势下基层税务机关网络与信息安全工作,已成为各级信息化管理人员所面临的一个重要课题。

一、信息安全防范的宏观任务及内容

信息安全的任务是多方面的,根据当前信息安全的现状,信息安全防范的主要任务是:从安全技术上,进行全面的安全漏洞检测和分析,制定防范措施和完整的解决方案;合理建设配置防火墙、网络防病毒软件、入侵检测、安全认证等安全系统;从安全管理上,建立完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。

信息安全防范内容包括:网络安全,保障各种网络资源稳定可靠地运行、受控合法地使用;信息安全,保障存储、传输、应用的机密性、完整性、抗否认性、可用性,其他安全,病毒防治、预防内部犯罪等。

二、基层税务机关网络与信息安全存在的风险

(一)网络结构存在的安全风险

基层税务机关局域网与税务骨干网之间尚未建立有效的安全区域划分。在这种结构下,基层局域网用户可直接访问市级核心应用系统,对核心应用服务器的安全构成严重威胁。同时,局域网出口进出流量无法得到有效的过滤和监控,一旦网内出现病毒或其他方式引发的异常流量,可能对核心网络产生冲击造成网络拥塞,对核心应用系统正常的数据传输构成威胁。

(二)局域网中潜在的安全风险

局域网中潜在的安全风险主要表现在:一是计算机操作系统漏洞引发风险。目前税务机关办公用计算机均使用微软Windows操作系统,由于税务系统严格实行内外网物理隔离,内网操作系统无法自动进行系统补丁更新,局域网内计算机存在遭受系统漏洞攻击的风险。二是缺乏有效的局域网准入监管手段,局域网用户安防范意识薄弱。外来网络设备或用户可较容易地接入基层税务机关局域网进而进入内部核心网络,对核心网络与信息安全构成严重威胁。局域网内便携设备和移动存储介质的使用未得到有效监控。部分用户安全意识不强,使用移动便携设备和移动存储介质时,在未经过必要的安全检查的情况下将外部数据直接带入内部局域网,同时将内部数据带出局域网,为木马、蠕虫等病毒进入税务系统内网提供了方便,同时也增加了内部信息外泄的风险。三是计算机IP地址和计算机名称管理不规范。缺乏对IP地址的统一规划,IP地址档案不全,计算机设备名称无任何意义,发生安全事件后无法及时定位到具体设备及相关责任人。四是计算机操作人员因经常接收纳税人报送电子数据资料,而存在感染计算机病毒或内部信息外泄的风险。

(三)制度建设和技术水平上存在的风险

随着网络应用形式的不断发展、各种新型病毒及攻击形式的出现,网络安全问题日趋多样化复杂化。目前,虽然各基层税务机关都制定了本单位信息安全管理制度,但仍存在制度建设相对滞后,条例规范不具体不完善的现象。同时,网络与信息安全管理作为一个大课题,涉及知识面较广,基层信息化管理人员技术水与安全管理要求还存在一定差距,专业知识更新速度滞后于信息化的发展,独立发现处理安全隐患或安全事件的能力不足,这也成为了基层网络与信息安全潜在的风险。

三、如何有效防范应对基层税务机关网络与信息风险

(一)优化网络结构,降低网络安全风险

对现有网络结构进行优化,进行网络边界安全区域划分,制定严格的网络访问控制策略,使基层局域网与骨干网边界进出数据得到有效的过滤与监控,降低税务系统各级网络中非法访问及异常流量带来的安全风险。

(二)强化局域网管理,确保信息安全

管理上,一是要继续严格实行税务系统内外网物理隔离制度,加强局域网准入管理。制定严格的计算机内部网准入制度,所有接入内部网的计算机必须在各级信息部门登记,统一分配IP地址、网关等参数,安装操作系统补丁,安装统一的网络版防病毒软件,严禁任何人私自将计算机设备接入内部网运行。二是要加强IP地址使用管理,规范计算机设备名称命名。制订IP地址管理方案,建立IP地址使用档案,同时建立“科室名称+使用人名称”的计算机命名规则,确保发生安全事件后,能够迅速根据设备名称定位到具体人员。三是要加强病毒管理。加强内网便携设备和移动存储介质的使用管理,严禁将从互联网或其他地方下载的程序、文件等直接在内网运行使用,严禁在内网计算机上安装、运行、查看与工作无关的程序、文件资料等。对纳税人报送的电子数据资料,必须先进行病毒查杀处理,确认无毒后方可接收。定期通报各单位病毒感染情况,提高信息化管理人员对病毒防治工作的重视程度。

技术上,一是要加强终端设备安全管理。建立统一的内网补丁分发系统(WSUS),降低操作系统漏洞引发的安全风险。通过局域网桌面安全管理系统,建立强大的局域网安全防护体系:对未在桌面安全管理系统中注册的计算机自动进行网络阻断,彻底解决违规接入问题;通过IP地址与MAC地址绑定功能,有效防止用户私自更改IP地址而带来的安全隐患;通过硬件资源管理功能,加强计算机名称命名检查。二是要强化病毒监控管理。通过网络版防病毒软件建立全市统一的病毒防护体系,网内全部计算机统一接受服务器管理,及时升级病毒库版本,确保防病毒系统的有效性。

(三)加强宣传,提高认识

要充分利用网站、公文、会议、面对面交流等多种形式,宣传网络与信息安全工作,提高全员安全防范意识,增强做好网络与信息安全工作的责任感、紧迫感和压力感,牢固树立“安全第一”的思想,坚决克服麻痹思想和侥幸心理,积极采取各种有效措施,防止重大网络与信息安全事件的发生。

(四)完善制度,严格考核

要加强基层税务机关制度建设,按照国家税务总局“税务系统网络与信息安全防护体系运行维护管理办法”的要求,建立较为完善的基层税务机关网络与信息安全管理制度,做到各项安全管理工作有章可循。强化考核,以“谁主管谁负责,谁运行谁负责,谁使用谁负责”为原则,对基层安全防护体系建设及运行维护工作进行监督、检查和考核,以考核促落实。同时,通过各种途径加快基层信息技术人员技术更新,提高信息安全管理水平和处理安全事件的能力,将各种安全隐患消灭在萌芽之中。

(五)建立信息安全应急响应机制

建立健全基层税务局安全评估、风险上报及信息安全应急响应机制。对基层税务局网络和信息系统定期进行安全评估与分析,同时,要求基层技术人员在遇重大安全隐患或安全事件时严格按照预案做出应急响应处置,并按规定的流程及时上报上级机关。

四、结语

基层税务机关网络与信息安全管理是一项长期而艰巨的任务,需要不断地探索。各级信息化管理人员都应把责任放在首位提高安全意识,站在全局的高度深入分析评估网络和信息系统中存在的安全风险,丰富防控风险的手段和措施,以加强税务系统内部网络安全防护为重点,按照国家税务总局“税务系统信息安全体系建设的总体目标”的要求,建立多层次的、立体的网络信息安全防护体系,提高税务系统网络与信息安全管理水平,进一步加强内部网络的安全防护能力,为税务系统各项应用系统提供安全稳定的运行平台。