◎文/马金红 马男男
一、税务机关日常信息安全管理工作现状分析
(一)天津市税务系统日常信息安全管理模式
近年来,天津市的税务信息化建设水平处于国内比较领先的地位,本着“集中领导、统一规划,分级管理”的指导思想,税务系统信息化建设取得了显着成绩。呈现出以“一体化”为根本,以大数据为基础,以应用带动发展,以发展促进应用的特点,为推动天津市税收事业发展做出了突出贡献。
作为信息化建设的重要组成部分,天津市税务系统历来高度重视信息安全工作,加强组织领导,建立健全安全制度体系,通过多种形式宣传和强化信息安全意识。通过购买安全设备,安全服务切实提高,信息安全防护水平处于全市其他系统前列。天津税务系统的信息安全工作呈现以下几个特点:
一是基础设施建设不断增强。建设全市税收数据处理中心,提高全市数据集中和处理能力;建立市局和蓟州区两个应急备份中心,提高数据安全保障能力;建成全市税收信息化资源综合管理服务平台,提高对信息系统的监控和保障能力。
二是信息安全体系建设不断完善。秉持“统一规划建设、全面综合防御、技术管理并重、保障运行安全”的基本方针,成立市局级网络安全与信息化领导小组,主要领导担任组长,对全系统的信息安全工作进行统一领导。信息安全管理体系总体架构分为五个层次,第一层是总体策略;第二层次由人员安全管理办法、信息系统建设管理办法和信息系统运行维护管理办法组成;第三、四层次由若干实施规范和流程细则组成,实现对三个管理办法的分解和细化;最后一个层次为记录表单。各项信息安全制度的制定和定期更新由市局信息部门负责,并报网络安全与信息化领导小组批准实施,各基层税务机关遵照执行。
三是各层级信息安全管理不断强化。市局信息部门统一负责本系统网络和信息系统的安全运行维护管理工作,对所辖各基层税务机关安全防护体系的运行维护管理工作进行监督、检查和考核。主要表现在:终端安全方面。对全系统终端统一部署桌面安全管理系统和防病毒软件,开展漏洞扫描、入侵检测等措施实现远程监控和管理。内网安全方面。由市局信息部门统一负责内网网络的建设、运维及防护。基层税务机关负责本单位内部内网日常管理维护工作,实现两级管理,保障税收业务正常开展。数据安全方面。建立市级数据中心,实现全市税收数据的集中存储和管理,由市局负责数据安全保障。信息资产管理方面。基层税务机关负责本单位的资产安全,市局信息部门负责网络、机房等重要部位资产以及信息资产的安全管理。日常运维方面。市局负责机关本级信息系统运维并负责指导基层税务机关对本单位内部信息系统的运维工作。
(二)天津市河东税务局日常信息安全管理现状
1.河东税务局日常信息安全管理的主要特点
河东税务局的信息系统主要由个人计算机、打印机、服务器、网络设备以及连接的网络组成。网络系统分为内网区和外网区。内网联通各级税务机关,税务干部通过内网访问内部各种应用。内网通过市局、总局与人民银行等第三方实现互联;外网主要用于税务干部日常访问互联网。数量繁多的信息化设备、纷繁多样的应用系统和庞大的网络带来了潜在的安全风险,特别是在当前金税三期全面上线的背景下,基层税务机关在信息化建设中的统筹规划、开发、实施等职能逐渐弱化,取而代之的,网络与信息安全管理的职责不断加强,面临着全新的变化与挑战。
多年来,河东税务局按照市局信息部门的统一安排部署,认真落实“四防”工作要求,一是进一步推进 “人防”,做好信息安全教育培训工作;二是不断完善“制防”,推进信息安全管理制度建设;三是稳步提升“技防”,借助科技手段加强终端防护;四是持续保障“物防”,扎实做好信息资产管理。从人员安全管理和信息系统运行维护管理两方面入手,不断推进日常信息安全管理体系建设。河东税务局日常信息安全管理的主要特点:
一是上级指导,统一管理。作为基层单位,河东税务局的信息安全工作纳入天津市税务系统信息安全整体框架体系中集中管理。由市局信息部门统一领导、统一规划。
二是数据通过网络传输到市局(总局)数据中心,集中处理和储存。河东税务局本身不存放数据,将基层业务产生的所有数据通过网络实时传输到市局(总局)数据中心,由市局(总局)负责数据的存储、备份、灾备,建立健全数据安全机制。
三是情况复杂,管理难度大。作为基层单位,河东税务局处于管理层级末端,终端数量与信息安全管理人员数量匹配失衡,税务干部年龄层次偏大,信息安全意识和技能千差万别,安全形势复杂,管理难度大。
2.河东税务局日常信息安全管理工作的具体做法
一是建立分级管理各负其责的工作机制。河东税务局将信息安全管理工作摆在与组织收入同样的高度去安排落实。成立由一把局长任组长,其他班子成员为副组长,各综合科室主要负责人为成员的 “网络安全与信息化工作领导小组”,并下设办公室,分管信息化工作的副局长任办公室主任,信息科科长、办公室主任任副主任、各部门副职任办公室成员。全面负责全局网络信息安全及信息化建设工作。形成了自上而下分级管理,各负其责的工作机制。
二是建立适应本单位的信息安全管理制度。先后制定下发《计算机信息系统及网络安全保密管理制度》、《网络与网络安全应急保障工作综合预案》、《计算机机房管理制度》、《电教室管理制度》、《信息技术科管理员职责》、《科所计算机管理员职责》、《网站管理办法》、《安全接入和上网行为管理系统安全策略配置管理办法》、《业务岗位权限管理办法》等一系列制度规定。严格按照既定的管理制度和市局的信息安全工作要求加强日常的教育、管理、监督和检查。
三是提高信息安全责任意识。每年年初,组织全局干部、科所长、分管局长自下而上逐级签订《网络信息安全责任书》,明确信息安全要求,提高信息安全责任意识。每个部门有信息安全员,负责本部门网络安全日常工作。定期开展信息安全培训,普及信息安全意识和技能,明确信息安全管理要求,教育广大税务干部养成良好的计算机、网络使用习惯。印制《信息化知识手册》,努力提高税务干部信息安全技能。
四是加强网络与信息资产管理。建立机房巡检和登记制度。密切关注机房环境和设备运行情况,做好巡检记录。信息部门设置专人负责信息资产管理,使用资产管理软件建立详细的资产台账,根据人员变动和资产增减及时调整台账并实地核对,做到底数清、账目明、账实符。对信息资产的维修、报废实行严格的登记审批制度,严格按照规定保管、销毁。
五是定期开展信息安全自查。在局网络与信息安全领导小组领导下,定期对日常信息安全管理工作进行自查,从制度建设、组织保障、教育培训、信息资产、安全防护、数据安全、网络防护、应急保障等方面制定详细的检查清单,查找薄弱环节和安全隐患,对发现的问题制定整改措施,堵塞安全漏洞,织密信息安全防护网。
六是加强数据安全及备份管理。系统权限管理实行业务主管部门和信息部门双重把关、严格规范管理、相互监督的工作机制。需求部门填写 《权限设置修改单》,逐级审批,由信息部门完成权限配置和修改。实现权限管理痕迹化,可追溯。同时严格落实数据安全管理规定。对所有计算机终端设置开机密码、屏保密码,杜绝非税务人员接触内网计算机。要求税务人员离开工位必须锁屏。制定数据备份的规则和程序,规范备份的时间、内容、访问控制。由专人负责进行定期备份,并将备份数据与数据源隔离存储,确保备份数据存储安全。
七是按照统一规定做好终端防护。按照市局统一规划、统一部署的原则配置网络设备,严格做到内外网设备物理隔离。启用移动存储介质安全策略,为每名税务干部配备专用安全U盘,对于非认证U盘,通过摆渡工具进行访问,防范外来病毒入侵风险。通过网康上网行为管理系统,对接入互联网计算机进行安全策略设定和日常监管。实行实名认证和IP与Mac地址绑定,严禁访问与工作无关的网站,严格上网行为管理,防范来自互联网的安全威胁。
二、基层税务机关日常信息安全管理工作存在的主要问题及原因
税务干部信息安全意识的逐渐提升以及税收信息化建设的不断深入,为财税系统信息安全提供了强有力的保障。但由于思想认识、安全管理、人员素质、安全技术应用等多方面的原因,基层税务机关的信息安全管理工作还存在一些问题,严重时将危及正常税收业务的开展,不能不引起关注和重视。
(一)存在的主要问题及主要表现
1.信息安全制度和规定落实不到位。主要表现在:由于人为原因,部分终端安全防护措施形同虚设,业务资料,私人信息混用;开机口令、业务系统口令不按规定进行设置和定期更换等。
2.信息安全管理机制不健全。主要表现在:一是基层税务机关信息安全管理力量薄弱,信息安全管理专职人员少,缺乏科学指导,管理手段单一;二是信息安全管理缺位,管理职责难落实,仅依靠信息部门,未建立起跨部门协作机制。
3.数据安全存在隐患。主要表现在:一是基层用户保密意识不强,为方便工作,将账号口令与他人共享或借与他人;二是各应用系统岗责体系不规范,业务部门需要什幺权限就通知信息部门赋予什幺权限,如果操作员越权修改系统信息,很难及时发现;三是数据备份方式单一,备份文件的有效性难以保证。
4.安全软件与业务系统之间存在冲突。主要表现在:税收业务系统与安全软件在设计时缺乏统一规划,造成使用上存在互相冲突的现象,实际工作中通常采取牺牲部分安全设置确保税收业务系统正常应用的折中办法,存在信息安全隐患。
5.终端防护存在漏洞。主要表现在:由于税务专网的限制,操作系统补丁更新不及时,杀毒软件病毒库更新滞后,存在安全隐患。
(二)存在问题的原因分析
1.思想认识存在误区
“思想决定行动”,认识问题是造成日常信息安全管理工作中诸多问题的根源。比如安全制度落实不力、信息保密意识淡薄、不良操作习惯等。
(1)信息安全防范意识缺失
“重应用,轻管理”的思维模式在基层税务干部中根深蒂固,只关心业务办理,很少考虑 “这样操作会对系统造成什幺样的危害?”等安全隐患。思想上的不重视体现在日常工作中就会存在一些不良的操作习惯。
(2)信息安全的危害性认识不充分
不懂得安全性与便利性之间的辩证关系,为图省事,走捷径,系统不设防、数据不备份、账号随意共享。认为安全事故是小概率事件,不会因为偶尔的违规操作而发生,思想麻痹大意。部分干部认为信息安全工作仅仅是技术部门的事,于是不关注信息安全。每个税务干部都有责任和义务确保信息安全是各部门密切合作的系统性工程。
2.信息安全防范管理和技术保障存在薄弱环节
(1)制度方面
信息安全制度体系还不健全,对于一些新情况、新问题还存在制度盲点,需要进行新增或修改。有些总局或市局下发的制度文件比较宏观,专业性较强,基层单位在贯彻时“本地化改造”程度不够,造成宣传和执行效果受到影响。
制度执行刚性不够,奖惩措施不到位。出现违规操作主要以口头提醒为主,只要不发生安全事故便从轻处理,违规成本低使得制度执行效果大打折扣。
(2)人员方面
基层税务机关信息部门技术力量薄弱。通常3至5人,虽有信息安全分工,但一人多岗,未配备专门的信息安全技术人员,很难做到全天候监控,时时监测。且参加业务培训机会少,知识更新慢。随着终端数量的不断增加,信息安全工作的“供需”矛盾愈加突出。
(3)信息安全技术方面
现有的信息安全防护措施在某些方面还存在不尽如人意的地方。比如瑞星杀毒防病毒系统对于新变异病毒的查杀能力显得有些滞后,并且按照现有瑞星杀毒软件的运行机制,即使已经杀掉病毒,管理中心仍然会上报病毒数量,使得全局病毒量激增。造成的后果便是基层单位不敢使用瑞星杀毒软件,使得该系统只有防毒功能而无杀毒效果。
部分税收业务系统开发设计时没有充分考虑基本安全防护措施或者由于新旧技术兼容问题,造成新开发上线的系统与现有安全防护系统之间存在冲突。
三、改善基层税务机关日常信息安全管理工作的思考
(一)建立健全日常信息安全管理机制
1.建立完善日常信息安全的责任机制
明确各层面税务人员日常信息安全工作中的责任。部门领导负领导责任、信息技术人员负责管理监督责任、一般干部负个人责任,形成“信息安全人人有责、人人参与”的良好氛围。实行信息安全责任追究制度,严格信息安全绩效考评管理,克服“好人主义”,提高制度执行刚性,确保各项制度规定落到实处。
2.建立完善日常信息安全的长效机制
定期对基层税务机关开展信息安全风险评估,确定信息系统安全现状,安全需求,查找薄弱环节,有针对性地进行整改完善。提高安全防护的有序性、科学性和有效性。
3.建立完善日常信息安全的档案管理
建立信息资产的全生命周期档案,加强痕迹管理。对安全设备及系统的运行和维护做好详细的记录,以便备查和参考。
(二)增强终端安全管理
建立基于税务内网的操作系统漏洞、补丁升级平台。对所有接入内网的终端安全漏洞进行统一监测和管理,及时进行补丁的升级和分发。加快防病毒软件病毒库的更新速度,建立防范病毒入侵预案,改变现有瑞星防病毒软件的运行机制,真正发挥防毒、杀毒作用。
开发设计新的税收业务系统时,将业务需求与安全防护统一规划,统筹安排,加强系统控制,防止顾此失彼。此外,要特别考虑新系统与现有安全防护系统的兼容性。
引入最新信息安全产品和技术加强安全防护。比如改变传统用户名口令方法,使用基于密码技术、生物识别的新型身份鉴别技术;引进入侵检测与防御系统,作为传统保护机制(身份识别、访问控制等)的有效补充,完善信息安全反馈链条。
(三)从安全意识和相关技能两方面抓好信息安全教育培训
安全意识和相关技能的培训,是日常信息安全管理中一项重要内容,其实施力度将直接关系到信息安全管理工作的整体水平。信息安全培训要确保全员参与,技能培训与管理和意识培训并重。制定周密的培训计划,建立一套科学合理、持续有效信息安全培训体系,要注意培养每个税务干部的安全防护意识,注重日常良好工作习惯的养成。通过培训,提升基层税务干部的整体安全意识,逐渐形成人人关注信息安全的浓厚氛围。
对信息技术人员要定期开展信息安全知识更新培训,增强培训的针对性,让信息技术人员了解最先进的安全知识,掌握新的安全防护技能,为基层税务机关信息安全工作打下坚实基础。
(四)通过故障恢复、数据恢复实战演练强化设备及数据安全管理
数据备份的最终目的是重新利用,即备份工作的核心是恢复,一个无法恢复的备份,对任何系统来说都是毫无意义的。基层税务机关在做好数据备份的同时,一定要清醒的认识到,能够安全高效的实现备份数据的恢复,才是确保数据安全的应有之义。在日常的应急演练中,要将设备故障恢复、数据恢复作为应急演练的重点,提高恢复能力,保障税收信息系统稳定运行。同时,要突出应急演练的实战性,克服“只演不练”的形式,达到“真演真练”。明确备份数据有效性检验的方式,精心搭建系统运行环境,检验应急预案中每类故障处理的流程是否可行,使各岗位人员能够熟练掌握所需要完成的工作,提高应急保障能力。
基层税务机关的日常信息安全管理是一个综合性的大课题,涉及制度、人员、管理、技术等诸多方面。既需要顶层设计,也离不开每个基层税务干部的广泛参与,是一项长期而艰巨的任务,需要不断的进行探索。信息部门要提升站位,以高度的责任感,不断丰富防范风险的手段和措施,为税收业务的正常开展提供安全稳定的运行平台。
