稅務(wù)信息安全精選(五篇)
發(fā)布時間:2023-10-11 17:27:55
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術(shù),我們?yōu)槟鷾蕚淞瞬煌L格的5篇稅務(wù)信息安全,期待它們能激發(fā)您的靈感。
篇1
關(guān)鍵詞:稅務(wù)系統(tǒng);網(wǎng)絡(luò);信息;安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 11-0000-02
目前,全國各級稅務(wù)機關(guān)已形成以計算機網(wǎng)絡(luò)為依托的征管格局,隨著稅務(wù)信息化建設(shè)的不斷蓬勃發(fā)展,網(wǎng)絡(luò)與信息安全的風險也逐漸顯露。隨著電子信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)與信息安全面臨越來越嚴峻和復雜的形勢,各種安全事件層出不窮,病毒破壞和黑客入侵等安全隱患會使我們丟失數(shù)據(jù),會造成機密數(shù)據(jù)泄漏,會使我們的業(yè)務(wù)癱瘓,危害極大。無論是外部有意的攻擊,還是內(nèi)部無意的誤操作,任何安全問題都可能導致安全事故,由此所帶來的損失與嚴重后果都將無法估量。因此,加強稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息系統(tǒng)安全顯得尤為重要。
一、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風險分析
隨著我國各行業(yè)信息化程度的不斷提高,利用計算機系統(tǒng)進行各類犯罪活動的案件每年以較大的速度遞增,在稅務(wù)系統(tǒng)也出現(xiàn)了利用稅收管理系統(tǒng)進行犯罪的案件。例如,2003年原國稅局干部吳芝剛虛開增值稅專用發(fā)票的“京城第一稅案”,就是吳芝剛利用操作員安全意識不強,盜用其密碼進入系統(tǒng)篡改發(fā)票發(fā)售權(quán)限,將增值稅專用發(fā)票非法賣給犯罪團伙。盡管目前在稅務(wù)系統(tǒng)計算機犯罪案件發(fā)生率很小,但不能因此放松警惕,防微杜漸做好網(wǎng)絡(luò)與信息安全工作至關(guān)重要。根據(jù)對稅務(wù)系統(tǒng)網(wǎng)絡(luò)和信息安全的研究分析,威脅稅務(wù)系統(tǒng)網(wǎng)絡(luò)信息安全的因素主要有以下方面:
(一)網(wǎng)絡(luò)與信息安全意識淡薄
目前稅務(wù)系統(tǒng)相當部分工作人員缺乏網(wǎng)絡(luò)信息安全意識。很多人以為自己計算機上安裝有殺毒軟件,就不會存在安全問題,總覺得信息安全工作離自己很遙遠,和自己沒關(guān)系。缺乏網(wǎng)絡(luò)信息安全知識,如不按規(guī)定使用移動存儲介質(zhì)甚至內(nèi)外網(wǎng)混用等等,都可能導致計算機病毒入侵或“黑客”攻擊,對網(wǎng)絡(luò)與信息安全構(gòu)成威脅。
(二)計算機病毒的危害
計算機病毒是對稅務(wù)系統(tǒng)網(wǎng)絡(luò)信息安全最為常見、影響最為廣泛的威脅。幾乎沒有計算機沒有感染過病毒,計算機病毒通常通過移動存儲介質(zhì)等感染計算機,并能通過網(wǎng)絡(luò)迅速傳播。稅務(wù)系統(tǒng)一臺計算機感染病毒,就可能造成病毒在整個辦公內(nèi)網(wǎng)計算機中迅速傳播,輕則堵塞網(wǎng)絡(luò),影響稅務(wù)信息系統(tǒng)的正常運行,重則破壞系統(tǒng),造成無法估量的直接和間接損失。
(三)計算機犯罪的危害
計算機犯罪對網(wǎng)絡(luò)和信息安全的威脅顯而易見,危害極大。常見的計算機犯罪有內(nèi)部人員泄露信息、竊取他人密碼、越權(quán)訪問和外部“黑客”攻擊等。比如“黑客”通過某種方式侵入稅務(wù)系統(tǒng)辦公內(nèi)網(wǎng),就可能破壞稅務(wù)信息系統(tǒng)或竊取機密數(shù)據(jù),造成極大的危害。
(四)移動存儲介質(zhì)使用的風險
目前光盤、優(yōu)盤、移動硬盤等移動存儲介質(zhì)使用非常普遍,大量內(nèi)部信息通過移動介質(zhì)存儲傳播。一方面移動介質(zhì)如果不受控,會形成泄密隱患;另一方面納稅人報送涉稅信息帶來的移動存儲介質(zhì)需要接入辦公內(nèi)網(wǎng),如果疏忽了病毒和木馬的查殺,就存在著將計算機病毒和木馬等惡意程序傳入辦公內(nèi)網(wǎng)的安全風險。
(五)網(wǎng)絡(luò)技術(shù)本身的缺陷
網(wǎng)絡(luò)技術(shù)本身存在的技術(shù)缺陷,使網(wǎng)絡(luò)容易成為受攻擊的目標,從而對稅務(wù)系統(tǒng)網(wǎng)絡(luò)信息安全形成威脅。目前各級稅務(wù)機關(guān)組建廣域網(wǎng)通常租用電信或聯(lián)通的網(wǎng)絡(luò)線路,不法分子就可能通過公共網(wǎng)侵入稅務(wù)系統(tǒng)網(wǎng)絡(luò)或者通過公共網(wǎng)對稅務(wù)系統(tǒng)網(wǎng)絡(luò)進行竊聽、攻擊。
(六)自然災害襲擊
例如火災、地震、雷擊等自然災害都可能使計算機及網(wǎng)絡(luò)設(shè)備遭到破壞,影響系統(tǒng)正常運行。
(七)人為無意失誤
工作人員防范意識不強,工作中“圖方便”,如操作員安全配置不當,不按要求設(shè)置口令,隨意把自己的用戶給他人使用等等問題,雖然不是主觀故意,但可能造成較大危害,對網(wǎng)絡(luò)與信息安全帶來威脅。
二、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風險的防范對策
網(wǎng)絡(luò)與信息安全風險,需要從人、管理、技術(shù)等以下幾個方面進行防范:
(一)必須加強信息安全教育
“人是網(wǎng)絡(luò)信息安全系統(tǒng)的重要組成部分”,要保障網(wǎng)絡(luò)與信息系統(tǒng)的安全,需要全體稅務(wù)干部的參與。通過在稅務(wù)機關(guān)全體工作人員中開展信息安全普及教育,對信息化專業(yè)人員加強信息安全專業(yè)培訓,提高各級人員的信息安全意識,共同防范網(wǎng)絡(luò)與信息安全風險。
(二)強化安全管理
要加強稅務(wù)機關(guān)內(nèi)部控制,改進網(wǎng)絡(luò)信息安全管理中的薄弱環(huán)節(jié),防范內(nèi)部人員有意犯罪或無意失誤造成的網(wǎng)絡(luò)信息安全風險。各級稅務(wù)機關(guān)要建立健全網(wǎng)絡(luò)與信息安全組織機構(gòu),逐步建立健全各種網(wǎng)絡(luò)與信息安全制度,明確崗位責任與分工,把各項工作及責任落實到人。要把強化管理與技術(shù)手段相結(jié)合來防止內(nèi)部人員有意犯罪和無意失誤,從內(nèi)部嚴防各類安全事件的發(fā)生。
(三)強化安全技術(shù)
1.科學使用計算機防病毒軟件防范計算機病毒
各級稅務(wù)機關(guān)的計算機設(shè)備,要使用統(tǒng)一的正版計算機防病毒軟件,指派專人進行計算機防病毒監(jiān)控,及時處理計算機病毒威脅。其中,移動存儲介質(zhì)管理是計算機病毒防范的重點和難點。光盤、優(yōu)盤、移動硬盤等移動存儲介質(zhì)是病毒和木馬的重要傳播途徑,不管好移動存儲介質(zhì),就不可能做到病毒和木馬的有效防控。必須加強管理,對所有的外來軟件或盤片,必須先查殺病毒、木馬,才能接入辦公內(nèi)網(wǎng)進行安裝和使用。
2.做好辦公內(nèi)網(wǎng)與互聯(lián)網(wǎng)的完全隔離
篇2
1管理維護人員少
我局信息系統(tǒng)管理維護工作主要由計算機中心負責,下設(shè)軟件科、系統(tǒng)科、綜合科共14名在編人員。信息系統(tǒng)的維護管理工作主要由系統(tǒng)科4名人員負責。一方面在開展系統(tǒng)維護工作時人手不足,無法覆蓋到區(qū)縣;另一方面由于新技術(shù)更新較快,人員對新知識與新技術(shù)的掌握不足,不利于有效的開展信息安全維護管理工作。
2系統(tǒng)漏洞影響大
稅務(wù)信息系統(tǒng)對數(shù)據(jù)完整性與服務(wù)實時性高要求非常高,當今漏洞挖掘技術(shù)極大縮短系統(tǒng)漏洞的發(fā)現(xiàn)周期,經(jīng)常性對核心應用系統(tǒng)進行升級補丁將對系統(tǒng)數(shù)據(jù)完整性與保障系統(tǒng)服務(wù)及時性造成一定的風險。
3黑客攻擊與計算機病毒傳播路徑廣
我局內(nèi)部業(yè)務(wù)網(wǎng)已連接到全市23個下屬單位,黑客可通過任何一個單位對我局核心業(yè)務(wù)應用發(fā)起攻擊。同時隨著移動互聯(lián)網(wǎng)的快速發(fā)展,wfif、手機連接到終端計算機等都有可能成為業(yè)務(wù)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的接口,使我局核心業(yè)務(wù)應用遭受到互聯(lián)網(wǎng)的攻擊。同時移動存儲介質(zhì)不安全的使用方式、工作員通過互聯(lián)網(wǎng)下載的軟件等都有可能導致病毒大規(guī)模傳播。
二、新形勢稅務(wù)信息安全管理工作實踐
1信息安全管理工作分解,明確分工與職責
我局信息安全工作的未來發(fā)展方向與符合我局實際情況的管理要求、監(jiān)督指導執(zhí)行層落實工作信息安全工作、考評執(zhí)行層與支撐層的工作績效。為全局的信息安全保障工作發(fā)揮著規(guī)劃、指導、監(jiān)督、考評作用,推動我局各項信息安全管理工作得以落實。執(zhí)行層由各區(qū)縣局單位指派在編工作人員擔任,目前我局在各區(qū)縣局設(shè)立信息崗,由具備一定計算機基礎(chǔ)知識的工作人員擔任。主要工任務(wù)是按照市局的管理要求開展日常的信息安全維護工作,并處理常規(guī)信息安全問題、向其他工作人員宣傳市局既定的管理要求,提高全員的信息安全意識。通過執(zhí)行層開展的信息安全工作,使市局規(guī)劃的各項信息安全管理要求在基層得到落實。為提高執(zhí)行層的工作能力,市局定期集中工作人員開展培訓,傳達市局信息安全工作思路、講解工作中涉及的信息安全技術(shù)、宣傳信息安全形勢等。支撐層由第三方公司擔任,為使我局信息安全管理工作更高效,我局將信息系統(tǒng)各項技術(shù)維護工作外包給各技術(shù)領(lǐng)域有一定實力的公司,由公司安排具備工作經(jīng)驗與能力的專業(yè)技術(shù)人員常駐我局,開展技術(shù)維護工作。我局管理人員根據(jù)制定的管理要求對各公司的維護工作進行考評。
2周期性檢測,評估安全風險
漏洞挖掘技術(shù)很大程度的縮短了系統(tǒng)漏洞的發(fā)現(xiàn)周期,對稅務(wù)系統(tǒng)是個非常大的安全隱患,常規(guī)的運行維護難以發(fā)現(xiàn)深層次的安全漏洞。因此我局將對信息系統(tǒng)及終端計算機的安全檢測列入周期性的工作計劃,不流于風險評估與等級保護測評的工作形式。以實質(zhì)性的發(fā)現(xiàn)系統(tǒng)與終端安全漏洞為手段;以采取有效、可靠、安全的處置方法,降低系統(tǒng)安全風險為目標。將安全檢測工作委托第三方專業(yè)的公司定期開展,將檢查結(jié)果轉(zhuǎn)交各類技術(shù)的維護公司進行處理。并對安全專業(yè)公司的檢測能力,各類技術(shù)維護公司的處置能力納入到統(tǒng)一考評體系,確保我局安全漏洞檢測的全面性、準確性,問題處理的正常性、有效性。3建立以制度為依據(jù)、以技術(shù)為支撐的監(jiān)督、管理工作流程為解決我局終端數(shù)量多、地域分布廣、安全管理難度大的難題,管理層經(jīng)討論、研究針對終端安全及網(wǎng)絡(luò)邊界管理的方法,論證管理要求與技術(shù)實現(xiàn)的可行性,制定終端安全管理與網(wǎng)絡(luò)邊界管理的總體綱領(lǐng)策略。并測試、采購符合我局安全管理需求的安全技術(shù)實施部署。市局下發(fā)針對性的安全管理要求文件,安全技術(shù)根據(jù)市局管理要求部署基本的控制與審計策略。為更好的發(fā)揮技術(shù)平臺的管理功效,市局將基本安全管理策略之外的管理權(quán)限下放到各區(qū)縣局,由各單位根據(jù)自身實際情況制定管理規(guī)則。市局根據(jù)平臺產(chǎn)生的數(shù)據(jù),對違規(guī)使用資源、違規(guī)操作的個人與單位進行監(jiān)督與通報,并納入對各單位的考評。通過管理要求與技術(shù)平臺的有機結(jié)合,使我局各項信息安全管理制度得到落實,并定期召集各單位對信息安全管理工作的經(jīng)驗進行交流與推廣,提高全局的信息安全管理水平。
三、新形勢稅務(wù)信息安全管理探索方向
信息安全管理工作在設(shè)計上需成體系、在落實上需有支撐,這項工作有著一定的復雜性、周密性與完整性。并非依靠制定一系列的管理規(guī)定,或部署完善的信息安全技術(shù)就能立即提高信息安全管理水平。而是需要規(guī)劃整體的安全管理方針與目標;根據(jù)方針與目標制定基礎(chǔ)的保障框架;逐步完成基礎(chǔ)保障框架中的管理、技術(shù)與過程建設(shè);并在運行維護中不斷的找出管理、技術(shù)與過程建設(shè)存在的不足,并進行改進,使信息安全管理水平不斷的提高,逐漸形成適合我局的信息安全管理體系。目前我局制定信息安全管理的基本方針是建立以風險管理為核心的信息安全管理體系。在該方針的指導下,我局計劃建立的基本信息安全保障框架為:
(1)以采取一切手段發(fā)現(xiàn)整體信息系統(tǒng)中存在的安全問題為基礎(chǔ)。
(2)以評估發(fā)現(xiàn)的問題對信息系統(tǒng)可能產(chǎn)生的安全風險為支撐。
(3)以找出問題的有效、可靠、安全處置機制為保障。
(4)以監(jiān)督、評估問題處置的有效性,降低安全風險為目標。因此在已定的安全保障框架下,管理層還需繼續(xù)探索符合我局實際情況的信息安全管理方法,以管理有效方法為基礎(chǔ)制定管理策略、以管理策略為依據(jù)選購安全技術(shù)、以安全技術(shù)為支撐開展具體管理工作、以具體管理工作為監(jiān)督推動管理落實、以管理落實效果為依據(jù)檢驗管理方法、以優(yōu)化管理方法目標提高安全管理效益。
四、結(jié)語
篇3
[關(guān)鍵詞]稅務(wù)信息;信息安全;安全管理;風險評估
doi:10.3969/j.issn.1673 - 0194.2015.24.160
[中圖分類號]F812.42 [文獻標識碼]A [文章編號]1673-0194(2015)24-0-03
科學技術(shù)發(fā)展變革了傳統(tǒng)的稅收管理模式,稅務(wù)管理信息化成為了稅收征管業(yè)務(wù)工作的重要依托和基礎(chǔ)保證。稅務(wù)信息安全管理是稅務(wù)信息管理的重要內(nèi)容,是稅務(wù)機關(guān)工作的重要安全保障,它涉及稅務(wù)信息的采集、整理、貯存、傳輸、反饋及應用等全過程,因此必須引起重視。而基層稅務(wù)信息安全管理是稅務(wù)信息安全的一項重要內(nèi)容,其隨著技術(shù)的突飛猛進,政府簡政放權(quán)的深入以及依法治稅的全面推進,面臨的技術(shù)管理風險、行政管理風險及涉紛管理風險日益凸顯,形勢日益嚴峻。如何在既按照信息安全一體化的要求和安全風險等級管理的要求,又結(jié)合基層稅務(wù)工作的特點和難點,做好基層稅務(wù)信息安全管理工作顯得尤為重要。為實現(xiàn)國家職能、促進稅收現(xiàn)代化、保障納稅人信息權(quán)利,有必要對基層稅務(wù)信息安全管理所面臨的難題進行分析,并提出相應策略。
1 實施稅務(wù)信息安全管理的重要意義
稅務(wù)信息是國家稅務(wù)決策、稅收計劃制定與調(diào)整的重要依據(jù),是稅務(wù)機關(guān)稅收征管工作的必要支撐,也是納稅人信息權(quán)利的核心內(nèi)容,因而其安全管理具有重要意義。
稅務(wù)信息安全管理有利于維護并促進國家職能的實現(xiàn)。稅收是實現(xiàn)國家宏觀調(diào)控職能的重要手段,而這一手段必須借助和運用稅務(wù)信息才能達到。因為稅務(wù)信息管理一方面能使信息正確地反映經(jīng)濟稅源和稅收進度情況,為制定國民經(jīng)濟和社會發(fā)展計劃及調(diào)整國民經(jīng)濟結(jié)構(gòu)提供可靠依據(jù)。另一方面,可了解納稅人的經(jīng)濟活動狀況,并掌握國民經(jīng)濟發(fā)展變化情況,鑒定稅收政策與經(jīng)濟發(fā)展需要是否相適應,以便迅速做出明智的決策,有效地發(fā)揮稅收調(diào)節(jié)經(jīng)濟的作用。換言之,如果稅務(wù)信息安全無法得到保障的話,既無法實現(xiàn)稅收為國家籌集財政收入的職能,也將使國家以稅收進行宏觀調(diào)控經(jīng)濟的政策大打折扣,影響經(jīng)濟與社會的發(fā)展。
稅務(wù)信息安全管理有利于稅務(wù)機關(guān)稅收征管的現(xiàn)代化。稅務(wù)信息安全管理是稅收征管的組成部分,正確、及時、安全的稅務(wù)信息是把握財政發(fā)展和稅務(wù)管理客觀規(guī)律的鑰匙,有利于實現(xiàn)稅務(wù)管理科學化、現(xiàn)代化,使稅務(wù)管理工作從經(jīng)驗走向科學,以適應社會和經(jīng)濟形勢發(fā)展對稅務(wù)管理的要求;有利于提高稅務(wù)管理水平和稅務(wù)管理效率,做到努力開發(fā)稅源,盡力足額征收,增加稅收收入;有利于提高稅務(wù)管理隊伍的素質(zhì),強化信息意識,掌握信息技術(shù),開展稅務(wù)管理工作,適應社會主義市場經(jīng)濟體制下的稅務(wù)管理需要。
稅務(wù)信息安全管理有利于納稅人權(quán)利的保障。從納稅人角度而言,稅收是納稅人根據(jù)法律的規(guī)定及程序向稅務(wù)機關(guān)提供納稅申報資料并繳納稅款的過程。在此過程中,不論是納稅人提供的納稅申報資料,還是稅務(wù)機關(guān)依法定職權(quán)收集的信息,不可避免的會涉及到納稅人的商業(yè)秘密(客戶資料、銷購價格、專利技術(shù)等),正常生產(chǎn)經(jīng)營信息(生產(chǎn)經(jīng)營范圍、工商稅務(wù)登記證件號等),個人隱私(個人及家庭身份信息、社會關(guān)系等),涉稅負面信息(欠稅記錄、稅務(wù)處罰信息等),一旦這些信息的泄露不僅會對企業(yè)的正常經(jīng)營帶來嚴重影響,而且還會給個人和家庭生活帶來惡性干擾,甚至還有可能引起詐騙和金融犯罪。因此,稅務(wù)信息安全管理是納稅人權(quán)利的重要保障。
2 基層稅務(wù)信息安全管理的難題
2.1 基層稅務(wù)信息安全管理存在的風險
信息技術(shù)飛速發(fā)展,尤其是大數(shù)據(jù)時代的到來,基層稅務(wù)信息安全技術(shù)管理風險與日俱增。科學技術(shù)水平日新月異,移動互聯(lián)網(wǎng)、虛擬化、云技術(shù)、大數(shù)據(jù)應用等新技術(shù)層出不強。此類技術(shù)的應用對于專業(yè)技術(shù)的要求較高,安全保障措施也較為嚴密,但現(xiàn)有的稅務(wù)信息安全管理的軟硬件、制度、頂層設(shè)計、稅務(wù)人員素質(zhì)、社會要求等方面無法適應其方便、快捷、高效的特點,使得稅務(wù)信息暴露在數(shù)據(jù)的海洋,極易造成信息被盜取、被非法病毒所侵入,稅務(wù)信息安全技術(shù)管理必然風險激增。
改革不斷深化,尤其是簡政放權(quán)要求逐步提高,基層稅務(wù)信息安全行政管理風險突飛猛進。全面深化改革的推進,行政管理被要求回歸理性簡政放權(quán),實現(xiàn)由權(quán)力管制到權(quán)利治理,基層稅務(wù)部門必然面臨著工作重心后移及執(zhí)法風險加大的交匯壓力,后續(xù)管理將成為稅務(wù)部門工作的一種常態(tài)。稅務(wù)管理信息化是保證后續(xù)管理科學、有效、規(guī)范進行的基本方式且根本保障,而稅務(wù)信息安全管理是稅務(wù)管理信息化的基礎(chǔ),是故稅務(wù)信息安全管理必然成為稅收征收與管理過程的基礎(chǔ)和支撐。稅務(wù)管理信息化下稅務(wù)信息不論是頻率還是數(shù)量均不斷提高,數(shù)量和質(zhì)量相生相克,前者的增多必然導致后者的下降,稅務(wù)信息安全行政管理風險驟升。
依法治稅加強,尤其是納稅人權(quán)利意識的覺醒,基層稅務(wù)信息安全管理涉紛風險不斷提高。隨著經(jīng)濟、社會以及文化的不斷發(fā)展,納稅人權(quán)利意識在不斷覺醒,私權(quán)保護、正當程序、公平正義成為了普遍訴求。納稅人信息是稅務(wù)信息安全管理的重要內(nèi)容之一,包含著巨大的商業(yè)價值,稅務(wù)機關(guān)在采集、保管和使用納稅人信息過程中往往由于安全措施不到位而導致納稅人權(quán)利受到損害事件時有發(fā)生,甚至誘發(fā)違法犯罪。近些年來,由于稅務(wù)信息安全管理不善帶來的稅務(wù)糾紛呈水漲船高之勢,納稅人訴諸法律途徑的越來越多,基層稅務(wù)部門涉議、涉訴風險不斷提高。
2.2 基層稅務(wù)信息安全管理面臨的困境
2.2.1 稅務(wù)信息安全管理意識淡薄
稅務(wù)管理信息化在我國方興未艾,關(guān)于稅務(wù)信息安全的理解、保護方法、風險防范手段等社會所知甚微。就稅務(wù)部門而言,大部分基層稅務(wù)工作人員對于稅務(wù)信息安全管理是什么、稅務(wù)信息安全管理意義是什么、怎樣實現(xiàn)稅務(wù)信息安全管理等內(nèi)容的認識與理解存在偏差,主觀地認為稅務(wù)信息安全與稅務(wù)部門的核心業(yè)務(wù)無關(guān),是一種簡單的信息存儲與傳輸,意義不大。甚至是一提到稅務(wù)信息安全,不少人就當然的認為是病毒和黑客,而往往忽視內(nèi)部人員的過錯或故意行為等因素。就納稅人而言,大部分納稅人抱有這樣的態(tài)度,就是只要按照法定規(guī)定和法定程序上繳完稅,其他的就與自己沒有多大干系,稅務(wù)信息安全管理也是如此,因而往往不配合稅務(wù)信息的收集等工作。由于少數(shù)人的安全意識淡薄和管理不善,會影響整個稅務(wù)信息系統(tǒng)的安全性。
2.2.2 稅務(wù)信息安全管理方式滯后
整體上看,基層稅務(wù)信息安全管理還主要是依靠單一的技術(shù)方法,稅務(wù)信息保密措施少、身份認證未得到全面應用、缺少路由安全和防止入侵的技術(shù)措施,難以適應稅務(wù)信息安全管理的要求。首先,稅務(wù)信息技術(shù)管理方式賴以生存的硬件設(shè)施可靠性、穩(wěn)定性不足,缺少日常維護及安全配套措施。其次,稅務(wù)信息技術(shù)管理核心之處的軟件設(shè)施開放性強,比如,內(nèi)部網(wǎng)路終端信息共享范圍廣、操作系統(tǒng)主要是國外研發(fā)的,內(nèi)外網(wǎng)機器存在混用現(xiàn)象,極大增加了稅務(wù)信息安全風險。最后,采集數(shù)據(jù)分散,不能形成有效共享,普遍存在“信息孤島”現(xiàn)象;業(yè)務(wù)信息不能通過計算機有效流轉(zhuǎn),自動化管理過程隔離;尤其是信息缺乏高效的數(shù)據(jù)監(jiān)控措施,沒有形成科學的內(nèi)、外監(jiān)督體系,不斷遭受黑客攻擊,還出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象等。
2.2.3 稅務(wù)信息安全管理制度不完善
稅務(wù)信息采集、整理、貯存、傳輸、反饋及應用等過程中安全管理的理念并未得到貫徹,稅務(wù)信息安全管理制度還不全面、缺乏體系性、可操作性也不強。具體來講,一是缺乏強有力的稅務(wù)信息安全管理領(lǐng)導制度。一般而言,基層稅務(wù)信息安全管理主要是由稅務(wù)信息中心實施,與其他內(nèi)設(shè)機構(gòu)之間是并列關(guān)系,信息安全管理無法滲透到稅收征管的其他環(huán)節(jié)。二是缺乏科學的稅務(wù)信息安全事故預防、報告及處理制度,各基層稅務(wù)部門普遍缺失完備的信息安全事故報告程序與預防處理方案,稅務(wù)信息安全事故的預防、處理沒有可持續(xù)的制度支撐。三是缺乏規(guī)范的稅務(wù)信息安全管理考核制度,基層稅務(wù)信息安全崗位與責任相適應的考核標準,機制不規(guī)范,致使信息安全管理深度與力度得不到有效落實。此外,信息安全責任制度還需進一步細化和完善。
2.2.4 信息安全風險管理機制存在缺陷
稅務(wù)信息化下,稅務(wù)信息安全風險有來自基礎(chǔ)設(shè)施毀損的風險,有技術(shù)應用帶來的風險,有人為操作引發(fā)的風險,可謂無處不在、無時不有。但目前基層稅務(wù)機關(guān)并沒有形成體系化的稅務(wù)信息安全風險識別、評估、控制等管理機制。就稅務(wù)信息安全風險識別而言,稅務(wù)信息并未被確定成為一種資產(chǎn),因而缺乏稅務(wù)信息必要的分類管理。同時,這種安全風險識別僅局限于技術(shù)硬件故障或錯誤、技術(shù)軟件故障或錯誤、技術(shù)淘汰等技術(shù)層面,而對于其他層面的信息安全威脅鮮有涉及。就稅務(wù)信息安全風險評估而言,由于專業(yè)技術(shù)和人才的缺乏,加之評估頻率與方法不當,很難真正分析出信息安全風險的高低,影響到控制措施的選擇。就稅務(wù)信息安全風險控制而言,由于識別與評估分析中的不健全,使得風險控制策略選擇失去了可信基礎(chǔ),致使避免、轉(zhuǎn)移、緩解及接受等風險控制策略無從選擇。
3 基層稅務(wù)信息安全管理的應對
3.1 加大信息安全管理教育培訓,更新稅務(wù)信息安全管理理念
應當認識到,稅務(wù)信息安全管理既是國家信息安全管理的有機構(gòu)成,也是基層稅務(wù)工作的重要組成部分,它涵蓋稅收信息的采集、整理、存儲、傳輸、反饋、開發(fā)及應用等全過程,不僅可以加強稅收收入的規(guī)劃性,有效發(fā)揮稅收促進生產(chǎn),調(diào)節(jié)、監(jiān)督經(jīng)濟的作用,還能衡量稅收分配是否合理,稅負負擔是否平衡,保障納稅人的權(quán)利。因此,基層稅務(wù)部門要摒棄稅務(wù)信息安全管理不重要的觀念,提高對稅務(wù)信息安全的認識,充分了解稅務(wù)信息安全管理的內(nèi)容、作用及方法,以此更新稅務(wù)信息安全管理理念。稅務(wù)信息安全管理意識之所以淡薄,原因在于信息安全管理教育與培訓少,稅務(wù)信息安全管理專業(yè)人才匱乏。對此,一方面要靈活多樣地培訓學習形式,綜合平衡信息安全相關(guān)項目,提高稅務(wù)工作人員的信息安全意識與能力水平;另一方面,要建立稅務(wù)信息安全管理培訓機制,通過組織開展多層次、多方位的信息安全培訓,提高安全員信息安全防范技能,培養(yǎng)稅務(wù)信息安全管理骨干。此外,稅收普法宣傳教育中還要強化納稅人信息安全意識。
3.2 綜合內(nèi)外部控制手段,實現(xiàn)稅務(wù)信息安全管理方式多元化
稅務(wù)信息安全管理是一個系統(tǒng)工程,涉及信息技術(shù)體系、信息風險管理及組織管理框架等諸多方面,面對終端規(guī)模大、地域分布廣、技術(shù)類型多的現(xiàn)實,單純的依靠外部技術(shù)手段無法實現(xiàn)稅務(wù)信息安全管理,需要內(nèi)部控制措施予以協(xié)同,多元化的管理方法才能更好地、更有效地保障稅務(wù)工作人員完成信息安全管理工作。首先,完善稅務(wù)信息安全技術(shù)手段,做好信息安全防護體系建設(shè)和運行管理。不論是采取何種技術(shù)手段進行稅務(wù)信息管理,都要建立完備的病毒防范、身份鑒別與訪問控制、入侵檢測及信息加密等信息安全管理技術(shù)體系,定時檢查并更新硬件設(shè)備以確保其可靠性與穩(wěn)定性。其次,要克服“唯技術(shù)論”的傾向,稅務(wù)部門要建立統(tǒng)一的信息安全保障中心,保證稅務(wù)信息安全集中和集成管理,努力形成完整的數(shù)據(jù)安全與備份體系。最后,完善稅務(wù)信息安全管理內(nèi)部控制手段,以減輕由于內(nèi)部人員道德風險、系統(tǒng)資源風險所造成的信息危害。主要是采用人機聯(lián)控的控制方式,通過實施一系列的控制活動和保護措施,以實現(xiàn)對與稅務(wù)信息安全相關(guān)的人與物的管理,并最大限度地保障稅務(wù)信息安全。
3.3 完善稅務(wù)信息安全管理框架,健全稅務(wù)信息安全管理制度
借鑒信息安全管理一般理論,完整的稅務(wù)信息安全管理框架包括定義稅務(wù)信息安全政策、定義稅務(wù)信息安全管理范圍、進行稅務(wù)信息安全風險評估、確定管理目標和選擇管理措施、準備稅務(wù)信息安全適用性聲明、建立相關(guān)文檔、文檔的嚴格管理及安全事件記錄回饋。針對目前稅務(wù)信息安全管理框架的不完善,稅務(wù)部門應嚴格按照信息安全管理框架,制定完善的信息安全規(guī)章、明確管理范圍、風險、目標、措施等予以完善。與此同時,還要健全稅務(wù)信息安全管理相關(guān)制度。一是建議基層稅務(wù)機關(guān)應成立信息安全領(lǐng)導小組,各區(qū)局、科室、所都應明確專人負責稅務(wù)信息安全的管理,以健全稅務(wù)信息安全管理領(lǐng)導制度;二是建議明確安全事故預防任務(wù)、報告時限與程序、處理方法與措施,以健全稅務(wù)信息安全事故預防、報告及處理制度;三是建議制定規(guī)范、可行的信息安全管理考核機制,明確規(guī)定每個稅務(wù)工作人員在信息安全方面應承擔的責任、保密要求以及違約責任,以健全稅務(wù)信息安全管理責任制度。總之,就是要建立安全管理機構(gòu),確定安全管理人員,建立安全管理制度,建立責任和監(jiān)督機制,切實保障稅務(wù)信息安全管理有效開展。
3.4 實施稅務(wù)信息分類管理,健全稅務(wù)信息安全風險管理機制
信息化時代,信息無處不在,不同的信息管理有著不同的安全要求,稅務(wù)信息也是如此。因此,要充分實現(xiàn)稅務(wù)信息的安全管理就必須對者紛繁復雜的稅務(wù)信息進行分類,不同的稅務(wù)信息實施不同的安全管理戰(zhàn)略,這樣才能提高稅務(wù)信息安全管理的效率。根據(jù)信息系統(tǒng)組成部分不同,可將稅務(wù)信息安全管理分為員工(正式與非正式)、稅務(wù)征管過程、數(shù)據(jù)、軟件和硬件(系統(tǒng)設(shè)備及外設(shè)、網(wǎng)絡(luò)組件)等幾大部分,在此基礎(chǔ)上健全稅務(wù)信息安全風險管理機制。首先,通過建立健全稅務(wù)信息分類與價值評估、安全調(diào)查、威脅識別與評估、漏洞識別等制度以健全稅務(wù)信息安全風險識別機制。其次,通過由業(yè)務(wù)、技術(shù)和管理等方面的專家、學者、工作骨干等人員組成的團隊定期對稅務(wù)信息安全風險進行評估,確定風險的大小并制定科學的安全預算。最后,構(gòu)建完備的稅務(wù)信息安全管理措施以防止信息安全的發(fā)生,在科學的風險估測基礎(chǔ)上,選擇“知己知彼”的風險控制策略。也就是說,稅務(wù)信息安全管理需要在稅務(wù)信息分類管理的基礎(chǔ)上,通過健全信息安全風險識別、評估以及控制策略選擇等機制予以最充分的實現(xiàn)。
主要參考文獻
[1]王春東.信息安全管理[M].武漢:武漢大學出版社,2008.
[2]賀志東.稅務(wù)管理學[M].上海:立信會計出版社,2003.
[3]羅四平.稅務(wù)信息安全的內(nèi)部控制研究[D].北京:中央財經(jīng)大學,2012.
篇4
【關(guān)鍵詞】物聯(lián)網(wǎng);智慧水利;信息安全
基于互聯(lián)網(wǎng)+的水利物聯(lián)網(wǎng)建設(shè)蓬勃發(fā)展,水利物聯(lián)網(wǎng)系統(tǒng)信息安全保護問題倍加突出,應加大研究和建設(shè)力度,一個物聯(lián)網(wǎng)系統(tǒng)應該包括三個邏輯層:感知層、網(wǎng)絡(luò)層(又稱為傳輸層)與處理應用層。
1感知層安全設(shè)計
物聯(lián)網(wǎng)的感知層主要用于感知環(huán)境信息。在智慧水利物聯(lián)網(wǎng)系統(tǒng)中,感知層包括傳感器節(jié)點和匯聚節(jié)點(又稱為感知層網(wǎng)關(guān)節(jié)點)構(gòu)成。1.1安全算法的選取針對感知層安全保護,選取RECTANGLE密碼算法,這是一種輕量級密碼算法。RECTANGLE算法的整體結(jié)構(gòu)是SP網(wǎng)絡(luò),總輪數(shù)為25輪,最后再增加一個子密鑰異或操作。每一輪變換包含三個步驟:輪子密鑰加Ad-dRoundKey(ARK),列替換SubColumn(SC),行移位ShiftRow(SR)。而且,RECTANGLE算法能極好地支持軟件、硬件環(huán)境,都能很容易和高效實現(xiàn)突出的性能。針對8位AVR微處理器、16位MSP微控制器、32-位ARM處理器、64位x64處理器平臺上的實現(xiàn)顯示,RECTANGLE具有讓人印象深刻的軟件實現(xiàn)性能。1.2傳感器節(jié)點的公鑰密碼算法需求分析傳感器節(jié)點的密碼算法和處理器實施方案在具體應用中還要解決密鑰管理問題。匯聚節(jié)點較傳感節(jié)點有著更多資源,但在公鑰密碼算法的選取上,必須滿足一定的輕量級或近輕量級特征。根據(jù)分析,基于橢圓曲線的密碼算法可以通過一定技術(shù)處理達到低資源需求的性能。可以根據(jù)美國國家標準局(NIST)標準對性能測試結(jié)果和實際需求選擇合適對硬件平臺來實現(xiàn)感知層數(shù)據(jù)的安全保護。
2網(wǎng)絡(luò)層和處理應用層設(shè)計
2.1網(wǎng)絡(luò)層設(shè)計水利物聯(lián)網(wǎng)項目的實施地點一般在荒郊野外,因此聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)層一般采用3G或4G移動通信。物聯(lián)網(wǎng)號碼段的3G或4G模塊的網(wǎng)絡(luò)傳輸速度可以是目前移動通信系統(tǒng)的網(wǎng)絡(luò)傳輸速度的數(shù)倍,而且可以為更多的用戶提供服務(wù)。2.2處理應用層設(shè)計物聯(lián)網(wǎng)的處理應用層就是一個數(shù)據(jù)處理中心,而智慧水利物聯(lián)網(wǎng)系統(tǒng)的處理應用層由兩層處理構(gòu)成,即本地云計算處理平臺和向云計算中心。本地云處理平臺,是指用于水利監(jiān)控數(shù)據(jù)處理的平臺,可以是水利監(jiān)控服務(wù)機構(gòu)自己的數(shù)據(jù)處理平臺,也可以是地方市政信息服務(wù)平臺。云計算處理中心的數(shù)據(jù)是綜合處理后的數(shù)據(jù),數(shù)據(jù)用于全國范圍的水利數(shù)據(jù)分析,用于科學地制定政策和防護措施等。
3整體安全方案設(shè)計
智慧水利物聯(lián)網(wǎng)系統(tǒng)的安全體系傳感器節(jié)點不分種類,都需要實現(xiàn)RECTANGLE算法和一種橢圓曲線密碼算法,建議使用SM2國密標準算法。匯聚節(jié)點除了需要實現(xiàn)RECTANGLE算法和ECC算法外,還需要使用3G/LTE模塊實現(xiàn)對數(shù)據(jù)對遠程傳輸。3.1傳感節(jié)點與匯聚節(jié)點之間的安全協(xié)議1)當傳感器節(jié)點向匯聚節(jié)點抄報數(shù)據(jù)時,需要將數(shù)據(jù)進行加密。通過公鑰密碼算法與對稱密碼算法相結(jié)合的方式,可以實現(xiàn)對數(shù)據(jù)的機密性保護,其步驟如下:傳感器節(jié)點獲取感知數(shù)據(jù)m;隨機產(chǎn)生會話密鑰k;傳感器節(jié)點用匯聚節(jié)點的公鑰加密會話密鑰k,得到HK;用k加密數(shù)據(jù)m,得到c=Ek(m,T),其中T是時間戳;將(HK|c)發(fā)送給匯聚節(jié)點;匯聚節(jié)點首先使用自己的私鑰解密HK,得到會話密鑰k;使用k解密c,得到(m,T)=Dk(c);檢查時間戳T是否在被允許對范圍內(nèi),若是,則接受數(shù)據(jù)m,否則丟棄。通過上述步驟,傳感器節(jié)點可以將抄報數(shù)據(jù)m安全發(fā)送給匯聚節(jié)點。2)當匯聚節(jié)點需要向傳感器節(jié)點發(fā)送指令數(shù)據(jù)d時,可通過如下步驟完成:匯聚節(jié)點產(chǎn)生指令數(shù)據(jù)d,或從上位服務(wù)器獲取指令數(shù)據(jù)d;使用上次與目標感知節(jié)點通信的會話密鑰k(如果這是第一次通信,則使用感知節(jié)點的出場密鑰k0);匯聚節(jié)點產(chǎn)生隨機數(shù)IV作為初始向量,使用會話密鑰k加密數(shù)據(jù)d和IV,得到c=Ek(d,IV,T),其中T為時間戳;將(IV|c)發(fā)送給傳感器節(jié)點;傳感器節(jié)點使用k解密c,得到(d,IV’,T)=Dk(c);比較IV=IV’是否成立。如果不成立,則停止執(zhí)行;檢查時間戳T是否在被允許的范圍內(nèi),如果是,則執(zhí)行指令d,否則丟棄。通過上述步驟,匯聚指令可以將一個指令信息安全地發(fā)送給傳感器節(jié)點。3.2匯聚節(jié)點與本地云平臺之間的安全協(xié)議匯聚節(jié)點與本地云平臺之間使用3G/LTE移動通信協(xié)議。在LTE的認證協(xié)議使用了UMTSAKA協(xié)議,具體的流程圖見圖1。3.3本地云平臺與云計算中心之間的安全協(xié)議在本地云平臺與云計算中心之間的通信,使用IPSec協(xié)議的隧道模式,這種模式使得在本地云平臺與水利部云計算中心之間通過密鑰協(xié)商,建立安全隧道,之后的數(shù)據(jù)通信便可通過這一安全隧道來完成。
4安全性分析
4.1感知層的安全性分析感知層之間的通信協(xié)議分為上行數(shù)據(jù)安全協(xié)議和下行指令安全協(xié)議。前提是假定安全協(xié)議中所使用的密碼算法是安全的。1)對上行數(shù)據(jù)安全協(xié)議,考慮非法獲取攻擊、假冒攻擊、偽造攻擊、和重放攻擊的成功可能性。由于上行數(shù)據(jù)和下行數(shù)據(jù)都使用加密處理,攻擊者能從密文中獲得原始消息的可能性可以忽略;偽造攻擊者無法獲取會話密鑰,因此無法成功偽造數(shù)據(jù)。2)對于下行數(shù)據(jù)的安全性,其結(jié)果與上行數(shù)據(jù)類似。需要特別說明的是,下行數(shù)據(jù)使用加密技術(shù)實現(xiàn)了數(shù)據(jù)的完整性保護,使得重放攻擊完全沒有機會成功,即使在時間戳合法范圍內(nèi),也因為不能制造出新的有效的IV而失敗。4.2傳輸層和處理應用層的安全性分析傳輸層使用了國際標準的3G/LTE移動通信技術(shù),無論3G還是LTE,都可以保證數(shù)據(jù)傳輸安全。對處理應用層則歸結(jié)為一個云平臺的安全性。
5結(jié)語
篇5
[關(guān)鍵詞] 水務(wù);網(wǎng)絡(luò)信息安全;管理
[中圖分類號] F272.7 [文獻標識碼] A [文章編號] 1673 - 0194(2013)20- 0054- 03
0 引 言
隨著上海水務(wù)信息化工作的快速推進和不斷深化,電子政務(wù)、數(shù)字水務(wù)、水務(wù)公共信息平臺、水資源管理系統(tǒng)等信息化成果有力推動了水務(wù)的現(xiàn)代化建設(shè)。網(wǎng)絡(luò)平臺作為信息化建設(shè)和信息化成果應用的重要基礎(chǔ)平臺, 支撐起了巨大的IT價值,是水務(wù)IT價值實現(xiàn)的根本和基礎(chǔ)。在互聯(lián)網(wǎng)快速發(fā)展的背景下,網(wǎng)絡(luò)攻擊手段日益增多,信息系統(tǒng)所面臨的安全風險也越來越多,如何確保網(wǎng)絡(luò)信息安全已成為水務(wù)信息化進程中的一項重要工作。
1 現(xiàn)狀分析
上海水務(wù)網(wǎng)絡(luò)由中國水利信息網(wǎng)接入網(wǎng)、市防汛水務(wù)專網(wǎng)、市政務(wù)外網(wǎng)接入網(wǎng)、辦公局域網(wǎng)、無線專網(wǎng)等網(wǎng)絡(luò)組成,實現(xiàn)了上連國家防總、水利部、全國流域機構(gòu),中連全市各委辦局、下連所有局屬單位以及全市各區(qū)縣防汛指揮部,系統(tǒng)承載了防汛報訊系統(tǒng)、電子政務(wù)系統(tǒng)、水務(wù)公共信息平臺、視頻會議系統(tǒng)、視頻監(jiān)控、水務(wù)熱線、水資源管理系統(tǒng)等重要水務(wù)防汛應用。
為確保網(wǎng)絡(luò)運行安全和系統(tǒng)應用正常,水務(wù)網(wǎng)絡(luò)實施了一系列的安全防護措施,主要包括:在網(wǎng)絡(luò)邊界處部署安全訪問控制設(shè)備,如防火墻、上網(wǎng)行為設(shè)備等,建立了安全的通信連接,確保數(shù)據(jù)訪問合法并在有效的安全管理控制之下,同時作為抵御外部威脅的第一道防線,有效檢測和防御惡意入侵;在網(wǎng)絡(luò)核心部位和重要區(qū)域部署了入侵檢測設(shè)備,分析網(wǎng)絡(luò)傳輸數(shù)據(jù),檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象;開展計算環(huán)境安全管理,主要內(nèi)容包括操作系統(tǒng)策略管理、統(tǒng)一病毒防護管理、安全補丁管理等。
2 面臨的安全風險
2.1 信息系統(tǒng)缺乏同步安全建設(shè)
信息化進程中,普遍存在重建設(shè)輕管理,重應用功能輕安全防護,導致信息系統(tǒng)在建設(shè)過程中沒有充分考慮信息安全防護措施和管理要求,通常在安全測評階段,根據(jù)相應的測評指標,臨時、被動地實施相關(guān)安全防護措施,雖然滿足了測評的基本要求,但是安全措施比較零散,缺乏體系和相互關(guān)聯(lián),甚至實施的安全措施治標不治本,安全隱患重重。
2.2 未充分發(fā)揮安全產(chǎn)品防御作用
當前,信息安全已深入到業(yè)務(wù)行為關(guān)聯(lián)和信息內(nèi)容語義范疇。防火墻的訪問控制、入侵檢測的預警判斷、網(wǎng)閘的數(shù)據(jù)傳輸控制以及安全審計信息的合規(guī)性判斷均來自應用安全策略要求,信息安全產(chǎn)品更多的是面向應用層面的信息安全控制。但是由于系統(tǒng)開發(fā)缺乏明確的安全需求,造成了信息安全產(chǎn)品針對其實施的安全策略權(quán)限開放過大或無安全策略,安全告警無法有效判斷,使得部分產(chǎn)品形同虛設(shè),不能充分發(fā)揮其防御作用。
2.3 軟件漏洞
軟件漏洞是信息安全問題的根源之一,易引發(fā)信息竊取、資源被控、系統(tǒng)崩潰等安全事件。軟件漏洞主要涉及操作系統(tǒng)漏洞、數(shù)據(jù)庫系統(tǒng)漏洞、中間件漏洞、應用程序漏洞等。操作系統(tǒng)、數(shù)據(jù)庫等廠商會不定期針對漏洞相應的補丁,但是,由于應用系統(tǒng)運行對程序開發(fā)環(huán)境的依賴度較高,補丁升級存在較大安全風險和不確定性,使得應用部門通常不實施操作系統(tǒng)等相關(guān)補丁升級工作。此外,應用程序本身也普遍缺失安全技術(shù),存在諸多未知安全漏洞等問題。
2.4 網(wǎng)絡(luò)病毒
計算機病毒是數(shù)據(jù)安全的頭號大敵,根據(jù)國家計算機病毒應急處理中心的《2011年全國信息網(wǎng)絡(luò)安全狀況與計算機及移動終端病毒疫情調(diào)查分析報告》,2011年全國計算機病毒感染率為48.87%,雖呈下降態(tài)勢,但是病毒帶來的危害越來越大。
2.5 黑客攻擊
國家互聯(lián)網(wǎng)應急中心(CNCERT)的最新數(shù)據(jù)顯示,中國遭受境外網(wǎng)絡(luò)攻擊的情況日趨嚴重。CNCERT抽樣監(jiān)測發(fā)現(xiàn),2013年1月1日至2月28日不足60天的時間里,境外6 747臺木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制了中國境內(nèi)190萬余臺主機。在信息系統(tǒng)漏洞頻出的情況下,面向有組織的黑客攻擊行為,現(xiàn)有的技術(shù)防護和安全管理措施捉襟見肘。
2.6 信息安全意識薄弱
人是信息安全工作的核心因素,其安全管理水平將直接影響信息安全保障工作。由于缺少宣傳、培訓和教育,用戶信息安全意識較為淡薄。由于安全意識淡薄和缺乏識別潛在的安全風險,用戶在實際工作中容易產(chǎn)生違規(guī)操作,引發(fā)信息安全問題或失泄密事件。
3 采取的管理措施
存在這些安全風險的主要原因為缺乏信息安全規(guī)劃、缺乏持續(xù)改進的安全維護保障措施以及安全意識薄弱等,所以做好該部分工作是解決當前所面臨安全風險的主要措施。
3.1 信息安全規(guī)劃
信息安全規(guī)劃是一個涉及技術(shù)、管理、法規(guī)等多方面的綜合工程,是確保物理安全、網(wǎng)絡(luò)安全、主機安全、應用安全和數(shù)據(jù)安全的系統(tǒng)性規(guī)劃。信息安全規(guī)劃既依托于信息化規(guī)劃,又是信息化的重要組成部分。在信息安全規(guī)劃的指導下,信息系統(tǒng)安全建設(shè)與管理才能有計劃、有方向、有目標。信息安全規(guī)劃框架如圖1。
3.1.1 以信息化規(guī)劃為指引,以信息化建設(shè)現(xiàn)狀為基礎(chǔ)
信息安全規(guī)劃是以信息化規(guī)劃為指引,以信息化建設(shè)現(xiàn)狀為基礎(chǔ),系統(tǒng)性的規(guī)劃信息安全架構(gòu),是信息化發(fā)展中的重要環(huán)節(jié)。信息安全規(guī)劃一方面要對信息化發(fā)展現(xiàn)狀進行深入和全面的調(diào)研,摸清家底、掌握情況,分析當前存在的安全問題和信息化發(fā)展所帶來的安全需求,另一方面要緊緊圍繞信息化規(guī)劃,按照信息化發(fā)展戰(zhàn)略和思路,同步考慮信息安全問題。
3.1.2 建立信息安全體系
信息安全規(guī)劃需要圍繞技術(shù)安全、管理安全、組織安全進行全面的考慮,建立相應的信息安全體系,確定信息安全的任務(wù)、目標、戰(zhàn)略以及人員保障。
3.2 日常安全運維保障
3.2.1 關(guān)注互聯(lián)網(wǎng)安全動態(tài)
互聯(lián)網(wǎng)的快速發(fā)展使得水務(wù)網(wǎng)絡(luò)安全與互聯(lián)網(wǎng)安全密切相關(guān)。因此,關(guān)注互聯(lián)網(wǎng)安全動態(tài),及時更新或調(diào)整水務(wù)網(wǎng)絡(luò)安全策略和防護措施,是日常安全管理工作中的一項重要工作。
3.2.2 安全態(tài)勢分析
網(wǎng)絡(luò)信息安全是一個動態(tài)發(fā)展的過程,固化的安全防護措施無法持續(xù)確保網(wǎng)絡(luò)環(huán)境安全。定期對網(wǎng)絡(luò)安全環(huán)境進行態(tài)勢分析不僅可以掌握當前存在的問題,面臨的風險,而且可以及時總結(jié)原因,制定改進策略。安全態(tài)勢分析主要通過對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備及安全管理工具等策略變更信息、日志信息、安全告警信息等,經(jīng)過統(tǒng)計和關(guān)聯(lián)分析,綜合評估網(wǎng)絡(luò)系統(tǒng)安全狀態(tài),并判斷發(fā)展變化趨勢。
3.2.3 信息安全風險評估
風險評估是信息安全管理工作的關(guān)鍵環(huán)節(jié)。通過開展風險評估工作,可以發(fā)現(xiàn)信息安全存在的主要問題和矛盾,找到解決諸多問題的辦法。安全風險評估的主要步驟和方法:①確定被評估的關(guān)鍵信息資產(chǎn);②通過文檔審閱、脆弱性掃描、本地審計、人員訪談、現(xiàn)場觀測等方式,獲得評估范圍內(nèi)主機、網(wǎng)絡(luò)、應用等方面與信息安全相關(guān)的技術(shù)與管理信息;③對所獲得的信息進行綜合分析,鑒別被評估信息資產(chǎn)存在的安全問題與風險;④從系統(tǒng)脆弱性鑒別、漏洞和威脅分析、現(xiàn)有技術(shù)和管理措施、管理制度等方面,根據(jù)不同風險的優(yōu)先級,分析、確定管理相應風險的控制措施;⑤基于以上分析的結(jié)果,形成相應的信息安全風險評估報告。
3.2.4 應急響應
應急響應是信息安全防護的最后一道防線,其主要目的是盡可能地減小和控制信息安全事件的損失,提供有效的響應和恢復。應急響應包括事先應急準備和事件發(fā)生后的響應措施兩部分。事先應急準備主要包括明確組織指揮體系,預警及預防機制,應急響應流程,應急隊伍、應急設(shè)備、技術(shù)資料、經(jīng)費等應急保障,定期開展應急演練等工作。事件發(fā)生后的應急措施包括收集系統(tǒng)特征,檢測病毒、后門等惡意代碼,限制或關(guān)閉網(wǎng)絡(luò)服務(wù),系統(tǒng)恢復等工作。這兩方面互相補充,事前應急準備為事件發(fā)生后的響應提供指導,事后的響應處置進一步促進事前準備工作的不斷完善。
3.3 教育培訓
人是信息安全工作的核心因素,其知識結(jié)構(gòu)和應用水平將直接影響信息安全保障工作。加強相關(guān)信息安全管理人員的專業(yè)培訓,以及開展面向網(wǎng)絡(luò)用戶的信息安全宣傳教育、行為引導等,是提升信息安全專業(yè)化管理水平,提高信息安全意識,有效避免信息安全問題或失泄密事件發(fā)生的重要工作。
4 總 結(jié)
隨著信息化進程的加快,信息系統(tǒng)所面臨的安全風險越來越多,信息安全管理工作要求也逐步提高。持續(xù)分析、總結(jié)網(wǎng)絡(luò)信息安全管理中存在的問題,并采取針對性的措施不斷加以改進,成為保證水務(wù)信息化戰(zhàn)略實現(xiàn)、不斷提升水務(wù)部門管理能力和服務(wù)水平的重要基礎(chǔ)保障工作。
主要參考文獻
[1]GB/T 22239-2008,信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求[S].
[2]GB/T 25058-2010,信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南[S].
