随着税收信息化建设的不断深入, 省局进行数据信息集中管理后,基层税收日常工作的开展对国税内部网络的依赖性更加明显,保障税收征管信息的安全是信息中心工作的重中之重,税收信息安全工作应当纳入重要的议事日程。笔者认为当前日常的信息安全工作主要是防范对计算机信息系统的破坏、病毒的攻击以及利用计算机进行的职务犯罪活动。只有充分认识到所面临的问题,做好应急预案,加强防备,才能有效地防范计算机病毒的攻击和人为的犯罪,在突发事件来临时做到处事不惊。
一、税收信息安全面临的问题
1、对安全管理认识不高。在税收信息化建设过程中,有些单位和个人存在重应用、轻防范的问题,认为信息安全方面是信息中心的事,与已无关,放松了安全管理。特别是基层计算机系统的信息安全防护能力较差,随着网络技术的发展,高科技犯罪时有发生,计算机病毒、黑客的攻击能力也会不断增强,基层计算机系统成为整个网络安全的薄弱环节。
2、本身安全意识差。部分人员心中没有意识到数据安全和网络安全重要性,随意乱设共享又不设安全权限,不经检查随意拷贝外来文件等都对网络安全带来威胁。
3、用户口令保密不严。有的不按规定更新口令;有的不加掩饰地将口令密码录入,使口令密码公开化;有的为了方便将口令密码给他人随意操作,形成办事、审批一人完成,会给犯罪分子可乘之机。
4、存储介质带来隐患。由于科技的发展,现在纳税人使用U盘、移动硬盘等移动存储介质进行抄报税、上报纳税资料的情况增多,这不仅给信息中心带来工作压力,又给计算机系统安全带来风险。
5、无法预期的灾难。地震、火灾、不稳定电压等都可能对设备或信息数据造成无法挽回的损失,这类灾难性的事故虽然发生的几率非常小,但是破坏程度非常大,通常是不可逆转的,会为系统运行造成重大影响。
6、税收信息安全知识的缺乏。
目前很大一部分税务干部的计算机知识薄弱,对计算机的信息安全策略更是缺乏,一些安全设置不会操作,计算机的安全应用能力跟不上网络信息化飞速发展的要求,有待进一步培训提高。
二、加强税收信息安全管理的对策
1、提高认识加强管理。信息安全源于有效的管理,不管信息安全技术有多先进,都只是实现信息安全管理的手段而已。随着税务信息化程度的不断提高,税收管理工作越来越依赖于税务信息系统。各级领导要重视信息安全工作,认识到信息安全不只是一个技术问题,信息安全管理的职责也不只局限于技术部门,信息安全管理是一个需要领导层重视、全员参与的工程,只有从上至下都对信息安全工作有了了解和重视,才能有效保障税收信息的安全。
2、建立健全信息安全管理责任制。要制定相应的税收信息安全管理制度,口令密码管理制度等,建立健全信息安全管理责任制。建立严密的计算机管理规章制度和监督机制,形成内部各层人员、各职能部门、各应用系统的相互制约关系,杜绝内部安全隐患;制定严格的操作规程,根据职责分离和对人负责的原则,各负其责,不能超越自己的管辖范围。特别要强调的是,信息系统安全管理制度中应包含信息保密管理制度,明确工作人员在处理、保存和传输保密数据时的正确做法,确保受保护信息不会在非授权的情况下被修改和公开。
3、要建立网络防病毒体系。完善信息安全防范制度,实现安全管理一体化,切实落实安全目标责任。一是对计算机网络、操作系统、应用数据逐层建立安全防范体系,实行集中管理,分散控制,使危险点、风险点尽量化整为零,要级级设防,层层设防,在多方面结合运用多种手段来防范攻击。二是特别应该注意要严格按要求对系统进行定期维护和防毒软件的升级,要经常检查防毒软件是否有效,正确安装瑞星网络版杀毒软件,设置自动升级、定时杀毒;禁止从软盘、光驱引导。从软盘、光驱引导,不仅能传播计算机病毒,还可以使一些安全措施形同虚设。三是要加强移动介质的管理,不要随意使用外来软盘、光盘、U盘等移动介质,确因工作需要,要经检测无病毒后方能使用。四是要加强互联网的管理,内外网用同一台计算机操作的必须要按照规定安装安全部门指定的隔离卡,做好内部网络与互联网的完全物理隔离,对外网的文件数据要进行严格的计算机病毒检查后才能使用,防止计算机病毒的传播。五是安装启用WSUS服务器,将每台计算机自动更新打开,让windows及时更新系统漏洞补丁,加强系统自身防范。六是加强口令管理、定期更换口令和用户密码。因为一旦在CMOS中设置了开机口令,只要不是太简单,在开机时被攻破几乎是不可能的,而且要攻击开机口令必须在本机上才能进行;各类软件的用户密码要保密,禁止非受权使用;设置屏幕保护口令,当不使用机器时,屏幕保护口令不仅能保持工作现场,还能有效地防止非授权者使用自己的计算机,避免对计算机的安全构成威胁。
4、要建立网络安全紧急响应体系。杀病毒软件不是万能的,有些文件在杀毒后不能打开或运行,有些文件可能已被病毒破坏,这些问题促使我们建立防治病毒的紧急救援机制,构筑好反病毒的最后一道防线。建立紧急救援机制要制定详细、周密的灾难恢复计划,对病毒入侵可能造成的后果进行风险分级评估,做好相应的数据备份。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生改变。因此,我们需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,做好日常数据备份工作,专人负责,防范安全突发事件。这就需要制定紧急事件应对措施,并定期演练,一旦发生系统的破坏、文件数据的丢失,也能够在最短的时间内恢复网络以及服务器的正常工作。
5、安装网络实时监测软件。在局域网络的出入口安装防火墙并不能解决局域网络内部的攻击,解决局域网络内部的攻击光靠操作系统、应用系统本身的安全机制是不够的,还必须为此配备专用的安全工具,网络实时监测软件是一个比较好的选择。网络实时监测软件安装在局域网络的任意位置,监测着所在网络的整个共享网段,它的基本功能是通过监听网络上的数据流,对用户指定的网络资源情况、网络状态和网络操作进行记录,供日后查询、审计;分析网络上的数据流,对网络违规事件跟踪、实时报警、阻断连接。恰当配置网络检测系统既可对付局域网络内部人员的攻击,也可对付来自其它局域网的攻击。
6、要建立有效的备份系统。各级税务部门对重要的相关数据都要进行备份,并推行异机、异地备份制度,确保在出现问题时能够将数据及时有效恢复。要加强对硬件的安全防护,充分做好网络硬件的储备工作,一旦发生网络硬件故障,能及时恢复网络畅通。认真做好计算机设备的防火、防盗、防湿、防尘及防雷击等工作,保持硬件干净整洁,温湿度适宜,通风良好。
7、要加强人员的安全培训。安全意识和相关技能的培训是税务系统安全管理中重要的内容,其实施力度将直接关系到税务系统安全策略被理解的程度和被执行的效果。为了保证信息系统安全策略的成功有效地实施,应当对各级管理人员、操作人员、技术人员进行信息安全知识培训,使他们牢固树立技术的先进永远是相对的,决不能有单纯依赖于先进技术和先进设备的思想,真正认识到信息系统安全的重要性和解决这一问题的长期性、艰巨性及复杂性。通过培训,要使信息安全工作负责人或各级管理人员重点了解、掌握信息安全的整体策略及目标、信息安全体系的构成、管理制度的制定等;每个操作人员,要重点学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等,提高税务干部的信息安全防范意识和技能。
