基层税务机关网络与信息安全风险及对策.docxVIP

?

?

基层税务机关网络与信息安全风险及对策

?

?

周英辉

摘要:文章以税务系统网络建设为切入点,结合天津地税局网络,重点分析了基层税务机关网络与信息管理中存在的安全风险并提出相应对策。

关键词:税务机关;网络与信息安全;局域网漏洞

:X178:A

:1674-1145(2009)27-0194-02

始于1994年的“金税工程”,是整个税收管理信息系统的总称,目的在于通过先进的计算机网络技术,实现税务系统信息共享,全面加强对税收各税种、各环节的监控和管理。

随着“金税工程”的逐步实施,天津地税局已建成以市局为核心,覆盖全市各区县地税局/所的内部网。全市地税综合征管系统、税管员系统、财务管理系统等主要业务系统依托网络均实现了市级集中运行,网络在提高数据传输效率,实现数据集中、数据共享、数据综合利用及分析决策等方面发挥着越来越重要的作用。在各种安全系统的严密监控和安全制度的保障下,来自核心网络外部的安全威胁大大减小,与之相反,来自基层税务机关内部的网络安全风险日渐凸显。如何做好新形势下基层税务机关网络与信息安全工作,已成为各级信息化管理人员所面临的一个重要课题。

一、信息安全防范的宏观任务及内容

信息安全的任务是多方面的,根据当前信息安全的现状,信息安全防范的主要任务是:从安全技术上,进行全面的安全漏洞检测和分析,制定防范措施和完整的解决方案;合理建设配置防火墙、网络防病毒软件、入侵检测、安全认证等安全系统;从安全管理上,建立完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。

信息安全防范内容包括:网络安全,保障各种网络资源稳定可靠地运行、受控合法地使用;信息安全,保障存储、传输、应用的机密性、完整性、抗否认性、可用性,其他安全,病毒防治、预防内部犯罪等。

二、基层税务机关网络与信息安全存在的风险

(一)网络结构存在的安全风险

基层税务机关局域网与税务骨干网之间尚未建立有效的安全区域划分。在这种结构下,基层局域网用户可直接访问市级核心应用系统,对核心应用服务器的安全构成严重威胁。同时,局域网出口进出流量无法得到有效的过滤和监控,一旦网内出现病毒或其他方式引发的异常流量,可能对核心网络产生冲击造成网络拥塞,对核心应用系统正常的数据传输构成威胁。

(二)局域网中潜在的安全风险

局域网中潜在的安全风险主要表现在:一是计算机操作系统漏洞引发风险。目前税务机关办公用计算机均使用微软Windows操作系统,由于税务系统严格实行内外网物理隔离,内网操作系统无法自动进行系统补丁更新,局域网内计算机存在遭受系统漏洞攻击的风险。二是缺乏有效的局域网准入监管手段,局域网用户安防范意识薄弱。外来网络设备或用户可较容易地接入基层税务机关局域网进而进入内部核心网络,对核心网络与信息安全构成严重威胁。局域网内便携设备和移动存储介质的使用未得到有效监控。部分用户安全意识不强,使用移动便携设备和移动存储介质时,在未经过必要的安全检查的情况下将外部数据直接带入内部局域网,同时将内部数据带出局域网,为木马、蠕虫等病毒进入税务系统内网提供了方便,同时也增加了内部信息外泄的风险。三是计算机IP地址和计算机名称管理不规范。缺乏对IP地址的统一规划,IP地址档案不全,计算机设备名称无任何意义,发生安全事件后无法及时定位到具体设备及相关责任人。四是计算机操作人员因经常接收纳税人报送电子数据资料,而存在感染计算机病毒或内部信息外泄的风险。

(三)制度建设和技术水平上存在的风险

随着网络应用形式的不断发展、各种新型病毒及攻击形式的出现,网络安全问题日趋多样化复杂化。目前,虽然各基层税务机关都制定了本单位信息安全管理制度,但仍存在制度建设相对滞后,条例规范不具体不完善的现象。同时,网络与信息安全管理作为一个大课题,涉及知识面较广,基层信息化管理人员技术水与安全管理要求还存在一定差距,专业知识更新速度滞后于信息化的发展,独立发现处理安全隐患或安全事件的能力不足,这也成为了基层网络与信息安全潜在的风险。

三、如何有效防范应对基层税务机关网络与信息风险

(一)优化网络结构,降低网络安全风险

对现有网络结构进行优化,进行网络边界安全区域划分,制定严格的网络访问控制策略,使基层局域网与骨干网边界进出数据得到有效的过滤与监控,降低税务系统各级网络中非法访问及异常流量带来的安全风险。

(二)强化局域网管理,确保信息安全

管理上,一是要继续严格实行税务系统内外网物理隔离制度,加强局域网准入管理。制定严格的计算机内部网准入制度,所有接入内部网的计算机必须在各级信息部门登记,统一分配IP地址、网关等参数,安装操作系统补丁,安装统一的网络版防病毒软件,严禁任何人私自将计算机设备接入内部网运行。二是要加强IP地址使用管理,规范计算机设备名称命名。制订IP地址管理方案,建立IP