浅析税务国税系统网络与信息安全隐患及对策

浅析税务国税系统网络与信息安全隐患及对策

■　周德宣

随着互联网的飞速发展和信息技术的不断创新，尤其是云计算、物联网和移动互联网等技术的发展和进步，全球的智能化和数字化水平已经推进到一个新的阶段，计算机网络已成为各个行业领域的重要载体。随着各种应用、各类数据都以网络来传递，一场网络与信息安全保卫战在全球已悄然打响，每一个国家、每一个部门都无一例外的加入其中，攻击与反攻击、保密与窃密、维稳与破坏的斗争日益剧烈，国税部门如何在这场战斗中立于不败之地，做好自我防卫，已成为国税系统信息化工作的一项重要课题。

一、国税系统内部网络安全现状

经过三期的税务系统网络与信息安全防护体系建设，各级国税部门都设立了信息安全领导小组及办公室，信息安全管理组织体系初步建立，为信息安全工作的深入开展提供了组织保障。研究制定了国税系统信息安全标准体系框架、国税系统网络与信息安全管理岗位及其职责等安全制度，明确了国税干部的信息安全操作规范，信息安全管理制度和规范体系已基本形成。国税系统内配备了防火墙、杀毒软件、入侵检测、安全审计、桌面防护、网络准入等各类安全产品来加强信息安全工作，系统安全防护能力显著提升。逐步开展信息安全检查、风险评估等工作，初步掌握了国税系统信息安全管理工作状况，明确了信息系统防护重点。积极开展国税系统信息安全宣传月，通过举办信息安全专题讲座等形式加强信息安全教育，国税干部职工的信息安全意识有效增强，信息安全技能逐步提高。

但是在信息安全工作中，矛盾双方并不处在对称地位。对抗的攻击一方往往处于先发主动位置，在攻击时间、方式、目标对象等方面具有主动选择的先发优势；而被攻击一方则处在“防不胜防”的被动态势，对于一些安全产品来说主要是针对外部网络可能遭受到安全威胁而采取的措施，在内部网络上的使用虽然针对性强，但往往有很大的局限性。由于内部网络的高性能、多应用、涉密信息分散的特点，各种安全防护产品和手段通常只能解决安全威胁的部分问题，还没有形成多层次的、严密的、相互协同工作的安全体系。

二、国税系统网络与信息安全存在的主要问题

随着税收信息技术的飞速发展，国税系统已构建起了自己强大的信息系统，这其中包含了海量的数据资源和完备的网络构架，当前网络已成为国税系统日常工作不可或缺的基础系统，不仅大量的内部文件和信息通过网络来传递，而且牵涉到纳税人、银行等其他部门的一些信息也要通过网络来交换和共享，网络的开放共享，使得国税部门重要的信息资源处于一种高风险的状态，目前国税信息系统在网络与信息安全中主要存在以下几个方面的隐患：

（一）信息安全意识不够深入

从国税系统整体来看，仍然存在着对信息安全的重要性和紧迫性认识不足，对信息安全防患意识还较为薄弱，存在着“重应用，轻安全”的倾向。部分领导干部还存在着口头重视，实际忽视；会上重视，会后忽视的现象；有些国税干部存有侥幸心理，认为灾难不会降临到自己头上，病毒防火墙不用，文件随意共享，密码不设置，数据不备份，造成网络与信息安全的重重危机，从而导致安全事件的发生；对网络与信息安全认识上存在片面性，认为计算机网络与信息安全完全是技术部门的事，与己无关。事实上，计算机网络与信息安全是一项综合性很强的系统工程，需要每个国税干部共同参与管理与建设；新的安全管理技术对传统的计算机操作模式带来冲击，甚至产生冲突，致使很多人难以接受，形成抵触情绪。

（二）自然环境引起的不安全因素

自然环境如温度、强电、强磁场等都会对计算机网络产生巨大的影响，尤其是存放大量专用设备和服务器的的机房，其防火、防雷、防水等方面的防护及监控就显的尤为重要。一些基层单位在防范自然灾害和环境影响方面的投入很少，网络设备和信息数据易受自然灾害（火灾、雷击）及环境（温度、湿度、承重）的影响，信息的安全性、完整性和可用性受到很大威胁。

（三）存储介质和用户管理存在安全隐患

存储介质管理缺乏有效的控管手段，对存储介质在内外网传输数据的过程尚未做到实时控管。当前国税系统检测到的病毒和木马又大多都来自移动介质，其管理中存在的隐患不容小觑。应用系统用户、口令管理有待加强，系统内部还存在着私自为外单位建立应用系统用户、私自使用未经审查的外单位软件等现象，用户权限管理、密码管理还比较薄弱。对应用服务器而言，很多技术人员习惯用出生日期、身份证号、电话号码等作为密码，甚至沿用软件的初始密码，多人共用一个密码的现象非常普遍，用户、口令的管理有待进一步加强。

（四）计算机病毒对涉税信息安全的冲击

在危及信息系统安全的诸多因素中，计算机病毒一直排在重要位置。国税信息化应用中，由于信息的来源渠道多样性，如网上传输数据，外部存储器传输数据等，不可避免地受到计算机病毒的侵扰，像木马、蠕虫等常见病毒如果发现不及时将可能成为传播源，造成成百上千的计算机终端中毒，而每一个终端都有可能成为“肉鸡”，传播更多的计算机，从而危害整个网络，因此计算机病毒的防治是税收信息安全保障的重要一环，计算机病毒的感染及一些恶意软件的攻击一直是威胁信息安全的主要因素。

（五）操作系统及软件的漏洞和“后门”始终存在

目前国内信息化技术严重依赖国外，而国外厂商的操作系统、数据库、中间件、浏览器等基础性软件都大量地在国税信息系统中使用，这些软件或多或少存在一些安全漏洞，使得恶意攻击者有机可乘。软件的“后门”都是软件公司设计，编程人员为了自己方便而设置的，一般不为外人所知，但一旦“后门”洞开，其后果将不堪设想。

（六）网络窃密、泄密威胁日益严重

随着综合国力不断增强和国际地位显著提高，我国已成为各种情报窃密活动的重点目标。国内外敌对势力通过发达的互联网对我国进行网络窃密，已经成为国内外敌对势力窃取我国家机密的重要途径。而国税信息系统作为我国重要信息系统之一，也同样面临来自敌对势力的安全威胁，如随着信息技术的广泛应用，目前国税系统除纸质文件外，以“三盘一机”（光盘、U盘、硬盘和计算机）为代表的新型涉密载体被大量使用，由于涉密信息系统保密管理和技术防护薄弱，保密监管不到位，很容易发生窃密、泄密行为，尤其是随着网络窃密方式的日益复杂多样，固定电话、移动电话、传真机、复印机、打印机、U盘等这些我们工作和生活中常见的物品，如果使用不当，都可能成为窃密泄密的"桥梁"。

（七）安全防护体系建设还处于初级阶段

经过三期的安全防护体系建设,各级国税部门已经配备和购买了相当数量的安全设备和产品,但由于没有统一规划,缺乏上层系统性安全架构设计,所使用的安全设备也只是“头痛医头,脚痛医脚”,安全系统也是“各司其职”,工作区域相对独立,没有统一的安全平台,不能对安全事件集中预警,深入跟踪,主动防范,动态联动,纵深防御的效果较差。

（八）信息安全人才培养重视不够

信息化程度越高，对人才的需求也越高，各级国税部门在信息化过程中都或多或少的存在着重设备轻人才的现象。信息安全工作需要大批既熟悉计算机网络知识和税务知识，又同时掌握信息安全知识和法律知识的人才，如果没有高层次、高技术的复合型人才支持和运作，网络税收、信息安全只会是一句空话，人员问题已成为信息安全工作的一个不容忽视的问题。

三、解决国税系统网络与信息安全问题的建议

如何有效管理网络，提高系统的可靠性、保密性、完整性，保证数据及网络系统得安全使用，最大限度地利用网络资源，已是当前迫切需要解决的问题。笔者认为，只有全面增强安全意识，提高技术以及管理水平，建立健全安全管理制度，层层落实安全责任制，做到措施有力、责任到人、技术保障到位、故障处理及时，才能确保税收业务的正常、有序、高效运行。

（一）增强安全意识，提高信息安全管理技能

一是提高全员信息安全意识。通过培训和宣传，不断普及信息安全知识，使国税干部了解信息安全是税收工作正常而高效运转的基础，是保障税收各项工作顺利完成的重要前提，提高维护网络与信息安全的主动性和积极性，做到人人有责任，个个抓落实。

二是加强“网络态势感知”的研究和应用。态势感知技术就是在一定的时空条件下，对环境因素进行获取、理解以及对其未来状态进行预测。在未来的国税系统信息安全工作中，将利用现代化的信息化技术，积极采集和整合各类网络安全类数据，并加以综合利用，实时、准确地显示整个网络态势状态，检测出潜在、恶意的攻击行为，并加以预防和防范，提前发现问题和解决问题。

三是不断充实信息安全专业人才。作为国税系统信息化时代“报国安邦”的信息安全事业，目前专业人才匮乏已经到了极为紧迫的境地，必须要考虑到国税系统信息安全管理、技术特点，及时补充专业信息安全人员，只有专业性人才才能提升信息安全工作的整体水平。

四是加大技术培训力度。不断加强各个层次的信息安全技术培训，使各级信息安全人员掌握更多、更新的技术和知识，能应对不断发展的网络与信息安全问题，更好地适应信息安全岗位的需要。

（二）提升安全措施，保证系统安全高效运行

一是制度是信息安全管理工作的依据和保证。针对信息安全的薄弱环节、关键环节、易忽视的环节，制定、修改、完善信息安全管理制度，制度应该包括1.运行审批制度；2.日志管理制度；3.安全审计制度；4.数据保护、安全备份、灾难恢复计划；5.计算机机房及其他重要区域的出入制度；6.硬件、软件、网络、媒体的使用及维护制度；7.账户、密码、移动介质的管理制度；8.计算机病毒预防、发现、报告及清除管理制度等，通过制度来强化网络与信息安全。

二是加强核心机房和计算机设备的日常监控。深化对核心机房的科学管理，加强对信息化设备的保护，提高处理突发事件能力，强化机房制度建设，建立机房24小时值班制度，配置防火、防水、防盗、防雷电等设备，加强对空调系统、UPS系统、消防系统、机房监控系统等相关物理安全设备的监控，实现核心机房的“人防”和“物防”控制。加强设备的后期维护工作，对使用时间越长的设备越应注意，并按时购买各类专用设备的保修服务，并形成制度，加强各类设备的日常巡检工作，及时发现可能产生的问题，及时处理，及时解决。

三是强化应用系统的监控。加强主机及数据库日常维护与管理，优化后台结构，提升系统的稳定性和响应速度；深化对核心系统的实时监控和健康检查，进一步加强应用系统抗击风险的能力，不断提高信息技术人员应对IT故障的能力。

四是推进存储介质与用户管理。存储设备的管理要采用管理和技术有效结合的措施，管理制度是信息安全保密工作的保障，技术手段是信息安全保密工作的基础，要制定和严格落实相关存储介质的管理配套措施，采用安全的U盘打开方式，严格做到专盘专用，采用先进的技术手段来保证存储介质的安全性；加强密码管理，税收应用软件数据众多，各软件的用户、密码不统一，密码过多难以管理，造成基层人员不得不使用易记的，同时也是容易被破解的密码。各级用户要进一步加强对各软件的用户密码的科学设置，国税系统内部可以探索实现单点登陆，从某种意义上说，管理密码的最好方式就是减少密码；强化用户管理，合理划分用户权限，强化各类应用系统、数据库的权限管理和口令管理，防止数据被破坏和泄露。

（三）深化安全体系应用，提高纵深防御能力

一是建立计算机灾难恢复系统。灾难恢复系统是为了保障计算机系统和业务在发生灾难的情况下能够迅速地得以恢复而建立的一套完整的系统，它应该包括备份中心、计算机备份运行系统、可根据需要重置路由的数据通讯线路、电源以及数据备份等。此外灾难恢复系统还应当包括对该系统的测试和对人员的培训，这将有助于参与灾难恢复系统的系统管理员能够更好地对灾难的发生做出合理的响应。

二是建立完善的安全响应方案和应急预案。安全威胁从来就是存在的，是无法彻底消除的，只有尽可能的将其风险降到最低，所以建立完善的安全响应方案和应急预案非常重要。安全策略和应急预案要切实可行，行之有效，同时要根据实际情况的变化适时进行修改和完善，还要不时进行演练。对备用设备更加要定期进行切换试验，保证需要时的万无一失。

三是逐步完善国税信息系统安全保障体系的建设和应用。通过注重上层架构设计，加强对各类安全产品的综合利用，进一步提升安全域的边界防护能力，实现网络安全状况审计和安全行为审计，做到安全风险可预测、安全事件可追查，实现计算机病毒趋势监控与预警，强化对网络应用的安全控制，推进数据应用的安全审计，构成起有一定强度的、可动态调整的网络安全防护系统，最终建成具有较高安全防御能力、功能完善、系统化、可管理的安全防御设施。

随着互联网的不断发展，信息安全问题将会得到更广泛的重视和研究，对信息安全的防范和治理也将是一个长期的过程。网络环境下，信息安全存在的隐患将会变得更加隐秘，安全风险将会变得更加复杂。因此，只有认真分析其来源，有针对性地综合采取各种措施，才有可能最大限度的降低损失。所以，不断地学习经验和技术，同时加速信息安全人才的培养，提升广大国税干部的信息安全意识，才能推动信息安全工作朝着良性循环的方向发展。

（作者单位：省局信息中心）