1、稅務(wù)內(nèi)部網(wǎng)絡(luò)信息安全建設(shè)信息安全部分信息安全的由來隨著當(dāng)今社會的迅猛發(fā)展，信息本身的屬性發(fā)生了變化，成為了一項(xiàng)與實(shí)物屬性相同的，對組織具有價(jià)值的資產(chǎn)。正因?yàn)檫@種屬性的變化，使得以各種形式存在著的信息成為了需要適當(dāng)保護(hù)的對象。由此，信息安全的概念也于近年來被各機(jī)關(guān)單位廣泛認(rèn)知及重視，并提上議程。信息安全的概念信息安全，是指信息本身的機(jī)密性(Confidentiality)、完整性(Intergrity)和可用性(Availability)的保持。機(jī)密性，是指確保信息沒有非授權(quán)的泄漏，不被非授權(quán)的個(gè)人、組織和計(jì)算機(jī)程序使用；完整性，是指確保信息沒有遭到篡改和破壞；可用性，是指確保擁有授權(quán)的用戶或程

2、序可以及時(shí)、正常使用信息。針對信息安全的上述三種特性，所能保障信息安全的措施分為兩類，即防范威脅：防范有可能破壞系統(tǒng)正常功能的潛在的人或事物；以及降低風(fēng)險(xiǎn)：降低來自外界的對系統(tǒng)危害的可能性。產(chǎn)生信息安全問題的原因產(chǎn)生信息安全問題的原因主要由外因和內(nèi)因兩部分構(gòu)成外因具體來講分為兩種，一是環(huán)境因素，即火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害；斷電、潮濕、溫度、鼠蟻蟲害；軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。二是對手因素，即為達(dá)到政治及經(jīng)濟(jì)目的恐怖分子，商業(yè)間諜，犯罪團(tuán)伙，外國情報(bào)機(jī)構(gòu)，以及以破壞為樂趣的某些社會型及娛樂型黑客，通過身份假冒、密碼猜測、漏洞利用、拒絕服務(wù)、惡意代碼、數(shù)據(jù)竊聽、物理破

3、壞、社會工程等手段達(dá)到目的。內(nèi)因也分為兩種，一是技術(shù)因素，即物理環(huán)境問題、網(wǎng)絡(luò)結(jié)構(gòu)問題、系統(tǒng)軟件漏洞、應(yīng)用軟件漏洞、安全防護(hù)措施不到位。二是管理因素，即安全意識薄弱、安全制度不健全、組織機(jī)構(gòu)不健全、安全職責(zé)不落實(shí)。產(chǎn)生內(nèi)因的因素很多，如各單位使用的系統(tǒng)越來越復(fù)雜，越來越開放的互聯(lián)網(wǎng)絡(luò)，以及復(fù)雜的社會人群等，但最重要的一點(diǎn)是操作及管理人員自身對信息安全的意識沒有足夠的重視。技術(shù)很重要，但技術(shù)不是一切；信息系統(tǒng)很重要，但只有服務(wù)于組織業(yè)務(wù)使命才有意義。一言以蔽之：外因是條件，內(nèi)因是關(guān)鍵。保障信息安全的必要和措施由于信息化程度的日益提高，業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)越來越依賴于信息系統(tǒng)，信息系統(tǒng)也就由此成為了一個(gè)

4、組織或機(jī)構(gòu)生存和發(fā)展的關(guān)鍵性因素，因此，信息系統(tǒng)的安全風(fēng)險(xiǎn)也成為了組織風(fēng)險(xiǎn)的一部分，所以，為了保障組織機(jī)構(gòu)完成其使命，必須加強(qiáng)信息安全保障，抵抗這些風(fēng)險(xiǎn)。信息是依賴與承載它的信息技術(shù)系統(tǒng)存在的，需要在技術(shù)層面部署完善的控制措施。首先，信息系統(tǒng)是由人來建設(shè)使用和維護(hù)的，需要通過有效的管理手段約束人。其次，今天系統(tǒng)安全了明天未必安全，需要貫穿系統(tǒng)生命周期的工程過程。再次，信息安全的對抗，歸根結(jié)底是人員知識、技能和素質(zhì)的對抗，需要建設(shè)高素質(zhì)的人才隊(duì)伍。然而，信息安全由于本身載體的特殊性，并不可能100%安全，而且隨著安全性的逐步提高，所花費(fèi)的成本也相應(yīng)的急速增長，一味的追求過度的信息安全，會使代價(jià)過

5、高，從而得不償失。因此，風(fēng)險(xiǎn)總是存在著的，系統(tǒng)永不停、網(wǎng)絡(luò)永不斷、數(shù)據(jù)永不丟是不可能的，所能做到的，就是通過風(fēng)險(xiǎn)評估的適度安全。稅務(wù)方面的信息安全對于稅務(wù)系統(tǒng)的工作人員，信息安全分為兩種。一是保護(hù)涉及國家秘密或者稅收工作秘密的數(shù)據(jù)不被竊取、篡改或破壞。這些需要稅務(wù)人員重點(diǎn)保護(hù)的信息包括：涉及國家秘密的信息；內(nèi)部工作文件（包括起草中未發(fā)布的政策性文件）；業(yè)務(wù)數(shù)據(jù)（如納稅人的涉稅信息、發(fā)票信息、統(tǒng)計(jì)分析數(shù)據(jù)等）；內(nèi)部行政信息（如人事、財(cái)務(wù)、紀(jì)檢、監(jiān)察等信息）；其它不宜公開或遭到破壞后嚴(yán)重影響工作的內(nèi)部信息等。二是保障個(gè)人工作用的計(jì)算機(jī)軟硬件可以持續(xù)穩(wěn)定運(yùn)行。具體就是保障個(gè)人計(jì)算機(jī)中、打印機(jī)前、個(gè)人

6、的存貯介質(zhì)（U盤）、紙質(zhì)文件、個(gè)人有權(quán)訪問的服務(wù)器，如公文系統(tǒng)等當(dāng)中存放的信息的安全。隨著科技的發(fā)展，現(xiàn)階段，稅收業(yè)務(wù)高度依賴信息化。稅收信息系統(tǒng)作為國家重要信息系統(tǒng)經(jīng)過十多年建設(shè)，已進(jìn)入快速發(fā)展期，網(wǎng)絡(luò)上運(yùn)行的關(guān)鍵信息系統(tǒng)逐年增多。稅收管理系統(tǒng)不斷升級、流程優(yōu)化；網(wǎng)上辦稅業(yè)務(wù)快速發(fā)展、為納稅人服務(wù)手段豐富；信息管稅對管理決策提供支撐；稅務(wù)部門與外部單位的聯(lián)網(wǎng)快速增長。但是，現(xiàn)今稅務(wù)機(jī)關(guān)信息安全的形式并不是完全樂觀的。首先，隨著稅務(wù)部門信息化程度的不斷提高，信息資產(chǎn)價(jià)值迅速提高；其次，內(nèi)、外部威脅不斷加大，安全事件的發(fā)生從未間斷；再次，經(jīng)過稅務(wù)機(jī)關(guān)高層領(lǐng)導(dǎo)重視，信息安全管理力度不斷加強(qiáng)，風(fēng)險(xiǎn)容

7、忍空間也逐步縮小;最后，通過安全檢查、安全評估得出結(jié)論，稅務(wù)機(jī)關(guān)網(wǎng)絡(luò)與信息安全具備一定的防護(hù)能力，但是信息系統(tǒng)脆弱性在不同（地方）位置普遍存在。、國家稅務(wù)機(jī)關(guān)的網(wǎng)絡(luò)系統(tǒng)一般分為內(nèi)網(wǎng)和外網(wǎng)。內(nèi)網(wǎng)和外網(wǎng)之間實(shí)行嚴(yán)格的邏輯隔離，防止內(nèi)網(wǎng)秘密信息泄露到外網(wǎng)，防止來自外網(wǎng)的威脅攻擊內(nèi)網(wǎng)。應(yīng)嚴(yán)格防止內(nèi)網(wǎng)網(wǎng)間的非法網(wǎng)絡(luò)互通。各級稅務(wù)機(jī)關(guān)內(nèi)網(wǎng)是全國稅務(wù)系統(tǒng)重要的組成部分之一，承載著稅收業(yè)務(wù)、行政辦公等類業(yè)務(wù)應(yīng)用系統(tǒng)。內(nèi)網(wǎng)連接著全國所有的省級國稅局和地稅局，我們把這種連接稱為縱向連接；內(nèi)網(wǎng)還連接著人民銀行、海關(guān)、公安、質(zhì)檢、市委市府等其它機(jī)構(gòu)，我們把這種連接稱為橫向連接。外網(wǎng)連接著互聯(lián)網(wǎng)，承載著網(wǎng)上辦稅系統(tǒng)和1

8、2366稅收服務(wù)系統(tǒng)，向廣大納稅人和社會提供納稅申報(bào)、稅款征收和稅收政策咨詢等服務(wù)，還承載著電子郵件等互聯(lián)網(wǎng)應(yīng)用系統(tǒng)。一旦疏于防范互聯(lián)網(wǎng)風(fēng)險(xiǎn)很可能引入內(nèi)網(wǎng)。納稅人服務(wù)、征收管理、監(jiān)督檢查、行政管理、稅收數(shù)據(jù)統(tǒng)計(jì)分析等業(yè)務(wù)工作直接依賴于諸多應(yīng)用系統(tǒng)的正常穩(wěn)定運(yùn)行，應(yīng)用系統(tǒng)開發(fā)過程如果忽略安全因素，造成軟件存在安全漏洞或功能缺陷將直接影響有關(guān)工作的正常運(yùn)行。稅務(wù)部門可能面臨的信息安全威脅主要有：1、外部人員通過互聯(lián)網(wǎng)利用木馬等攻擊手段竊取、篡改或破壞個(gè)人計(jì)算機(jī)中存放的敏感信息；2、外部人員非法接入稅務(wù)系統(tǒng)內(nèi)網(wǎng)或直接操作內(nèi)網(wǎng)計(jì)算機(jī)竊取、篡改或破壞敏信息；3、外部人員盜竊筆記本電腦、U盤等移動計(jì)算和存

9、儲設(shè)備竊取敏感信息；4、病毒通過網(wǎng)絡(luò)或移動介質(zhì)傳播造成個(gè)人計(jì)算機(jī)無法正常使用或數(shù)據(jù)破壞；5、內(nèi)部工作人員由于誤操作等過失行為導(dǎo)致敏感信息丟失或被破壞；6、內(nèi)部工作人員由于利益驅(qū)使，利用工作之便竊取他人個(gè)人計(jì)算機(jī)中工作敏感信息。當(dāng)前稅務(wù)信息安全保密工作面臨的形勢，對稅務(wù)系統(tǒng)信息安全保密工作進(jìn)行再動員、再部署，總結(jié)了引發(fā)信息安全保密問題的主要主觀原因：思想上不重視，對信息安全的嚴(yán)峻形勢認(rèn)識不足，制度不健全，管理乏力，技術(shù)手段不強(qiáng)，技術(shù)防范措施跟不上。一些領(lǐng)導(dǎo)干部和工作人員信息安全與保密的意識還比較淡薄，存在“重應(yīng)用、輕安全”的傾向，對網(wǎng)絡(luò)環(huán)境下信息安全和保密的重要性認(rèn)識不足，安全保密這根弦繃得不緊

10、。有的認(rèn)為自己不屬涉密崗位，保密工作無關(guān)緊要，殊不知即使不屬涉密崗位，工作中也會經(jīng)常接觸到一些涉密的內(nèi)容，如不注意也會泄密。有的不了解網(wǎng)絡(luò)竊密的方式和途徑，認(rèn)為只要保管好計(jì)算機(jī)就不會泄密，實(shí)際上現(xiàn)在網(wǎng)絡(luò)竊密技術(shù)高超，無孔不入，很容易就被竊密。有的缺乏基本的保密防范知識和技能，不知道如何做好保密工作。更有甚者，明知道保密的要求，卻有章不循，有禁不止。機(jī)關(guān)內(nèi)個(gè)人引發(fā)安全事件的常見具體行為主要有：非法外聯(lián)：使用內(nèi)網(wǎng)計(jì)算機(jī)接入外網(wǎng)移動介質(zhì)混用：將外部U盤、外網(wǎng)移動硬盤等移動存儲介質(zhì)直接接入內(nèi)網(wǎng)機(jī)，將內(nèi)網(wǎng)專用的移動存儲介質(zhì)直接接入外網(wǎng)計(jì)算機(jī)屬于個(gè)人的U盤用于辦公環(huán)境或?qū)挝慌浒l(fā)的工作用U盤在個(gè)人、親友的

11、計(jì)算機(jī)上使用個(gè)人口令管理不當(dāng)：登錄密碼復(fù)雜度不夠登錄密碼長時(shí)間不更換將個(gè)人密碼告訴其他的人不及時(shí)備份重要信息：將重要文件存放在一臺電腦或一個(gè)存儲介質(zhì)中，長時(shí)間不進(jìn)行備份防病毒軟件使用不當(dāng)：沒有安裝防病毒軟件沒有對操作系統(tǒng)進(jìn)行基本的安全設(shè)置不良的上網(wǎng)習(xí)慣：使用工作機(jī)訪問與工作無關(guān)的網(wǎng)站隨意下載或安裝來路不明的軟件點(diǎn)擊來路不明的電子郵件附件或網(wǎng)絡(luò)鏈接不注意通信場合：在即時(shí)通信系統(tǒng)（如QQ、MSN）、網(wǎng)絡(luò)論壇或個(gè)人博客中談?wù)撋婕肮ぷ髅孛艿脑掝}將帶有工作敏感信息的筆記本電腦或U盤攜帶到不安全或人員復(fù)雜的場合（如車站、機(jī)場、超市等）。有些局機(jī)關(guān)對于信息安全的管理制度還不健全，有的雖然制定了制度，但是形同

12、虛設(shè)，在實(shí)踐中未認(rèn)真地貫徹落實(shí)。管理松懈的現(xiàn)象也比較突出。如聘用的外來公司人員能隨意應(yīng)用工作用計(jì)算機(jī)，來局辦事人員或無關(guān)人員也能輕易登錄局內(nèi)辦公網(wǎng)，督促檢查工作力度不夠，上級一檢查就動一動，不查就忽視了，缺乏經(jīng)常性的監(jiān)督檢查。系統(tǒng)規(guī)模擴(kuò)大，技術(shù)風(fēng)險(xiǎn)也隨之加大；計(jì)算機(jī)病毒的種類和數(shù)量增加，破壞性增強(qiáng)，擴(kuò)散和變種速度加快；隨著網(wǎng)絡(luò)互聯(lián)互通的發(fā)展，跨地區(qū)、跨國界的網(wǎng)絡(luò)攻擊呈增多態(tài)勢。攻擊的技術(shù)工具和手段越來越多，操作越來越簡單，所需成本遠(yuǎn)低于防御成本，信息安全攻防之間呈易攻難守之勢。我們通過稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全防護(hù)體系建設(shè)，雖然已經(jīng)在全系統(tǒng)范圍內(nèi)初步建立了一套信息安全防護(hù)和監(jiān)控技術(shù)體系，可以檢測和

13、防止一些網(wǎng)絡(luò)攻擊，但是在一些技術(shù)細(xì)節(jié)上仍然存在許多亟待排除的安全隱患。比如，應(yīng)用系統(tǒng)開發(fā)重功能，輕安全；安全產(chǎn)品重安裝，輕使用。因此，稅務(wù)機(jī)關(guān)考慮安全技術(shù)體系，應(yīng)該從機(jī)關(guān)行政部門，機(jī)關(guān)業(yè)務(wù)部門，納稅服務(wù)廳，技術(shù)部門等匯總之后添加安全措施。并建立起有效的信息安全機(jī)制。建立有效的信息安全管理機(jī)制，需要（1）高層領(lǐng)導(dǎo)的參與與有關(guān)部門的協(xié)調(diào)配合，形成組織體系。（2）需要制定覆蓋范圍全面，切實(shí)可行的規(guī)章制度。（3）要提高人員意識和技能，建立獎懲措施，使得信息安全管理機(jī)制能夠有效的落實(shí)。要保護(hù)好稅務(wù)機(jī)關(guān)信息安全，首要措施是要建立起礎(chǔ)防護(hù)體系及運(yùn)行管理辦法，從最基礎(chǔ)的防火墻、入侵檢測、防病毒、漏洞掃描到稍高

14、級別的桌面管理、網(wǎng)絡(luò)審計(jì)、病毒預(yù)警、內(nèi)部信息掌控、有害行為判斷分析再到最高級別的網(wǎng)絡(luò)準(zhǔn)入、數(shù)據(jù)庫審計(jì)、上網(wǎng)行為管理等。其次是要建章立制，確立信息安全責(zé)任劃分原則，設(shè)立信息安全領(lǐng)導(dǎo)小組，作為各級稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全工作的最高領(lǐng)導(dǎo)決策機(jī)構(gòu)，它不隸屬于任何部門，直接對本單位最高領(lǐng)導(dǎo)負(fù)責(zé)，信息安全領(lǐng)導(dǎo)小組是一個(gè)常設(shè)機(jī)構(gòu)，負(fù)責(zé)本單位信息安全工作的宏觀管理。主要工作為：落實(shí)稅務(wù)系統(tǒng)安全建設(shè)的總體規(guī)劃；制定本單位安全規(guī)劃并監(jiān)督落實(shí)；負(fù)責(zé)組織細(xì)化上級規(guī)章制度，制定相應(yīng)程序指南，并監(jiān)督落實(shí)規(guī)章制度；負(fù)責(zé)本單位信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作；審閱本單位信息安全報(bào)告；組織重大安全事故查處與匯報(bào)工作等。在

15、信息安全領(lǐng)導(dǎo)小組的基礎(chǔ)上，各級稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理應(yīng)該由本機(jī)構(gòu)信息安全相關(guān)的若干管理部門共同完成，例如有信息技術(shù)部門、業(yè)務(wù)應(yīng)用部門、安全保衛(wèi)部門、人事行政部門等等。信息技術(shù)部門對信息系統(tǒng)及信息系統(tǒng)安全保障提供技術(shù)決策和技術(shù)支持，在技術(shù)上對信息系統(tǒng)和信息系統(tǒng)安全保障承擔(dān)管理責(zé)任。業(yè)務(wù)應(yīng)用部門對信息系統(tǒng)的業(yè)務(wù)處理以及業(yè)務(wù)流程的安全承擔(dān)管理責(zé)任。安全保衛(wèi)部門對信息系統(tǒng)的場地以及系統(tǒng)資產(chǎn)的防災(zāi)、防盜、防破壞等承擔(dān)管理責(zé)任。行政部門從行政上對信息安全保障執(zhí)行管理工作。各個(gè)部門應(yīng)與信息技術(shù)部門協(xié)作，共同對信息系統(tǒng)的建設(shè)和運(yùn)行維護(hù)承擔(dān)管理責(zé)任。同時(shí)，稅務(wù)普通干部的信息安全責(zé)任也不容忽視。信息安全不僅是領(lǐng)導(dǎo)和管理部門的責(zé)任。普通干部要做到：遵守安全制度，擁有足夠的安全意識基本的操作技能良好的行為習(xí)慣報(bào)告發(fā)現(xiàn)的安全漏洞和事件。做到做到四禁止，三不準(zhǔn)，三必須，即禁止用非涉密機(jī)處