稅務(wù)系統(tǒng)信息安全策略

稅務(wù)系統(tǒng)信息安全策略論文編號：6G21112101稅務(wù)系統(tǒng)信息安全策略劉宏斌李懷永內(nèi)容題要：隨著稅收信息化程度不斷提高，稅收工作對信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。本文主要通過分析稅務(wù)信息化的網(wǎng)絡(luò)安全的重要性和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息存在的安全問題來提出稅務(wù)信息化的網(wǎng)絡(luò)安全實施方案。關(guān)鍵詞：稅務(wù)信息化、信息安全、安全策略稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第1頁。計算機軟硬件技術(shù)的發(fā)展和互聯(lián)網(wǎng)技術(shù)的普及，為電子稅務(wù)的發(fā)展奠定了基礎(chǔ)。尤其是國家金稅工程的建設(shè)和應用，使稅務(wù)部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務(wù)可以最大限度地確保國家的稅收收入，但卻面臨著系統(tǒng)安全性的難題。雖然我國稅務(wù)信息化建設(shè)自開始金稅工程以來，取得了長足進步，極大提高了稅務(wù)工作效率和質(zhì)量。但稅務(wù)系統(tǒng)本身也暴露出了一系列要改進的問題，各種應用軟件自成體系、重復開發(fā)、信息集中程度低。隨著信息化水平的不斷提高，基于信息網(wǎng)絡(luò)及計算機的犯罪事件也日益增加。稅務(wù)系統(tǒng)所面臨的信息網(wǎng)絡(luò)安全威脅不容忽視。建立稅務(wù)管理信息化網(wǎng)絡(luò)安全體系，要求人們必須提高對網(wǎng)絡(luò)安全重要性的認識，增強防范意識，加強網(wǎng)絡(luò)安全管理，采取先進有效的技術(shù)防范措施。本文主要通過分析稅務(wù)信息化的網(wǎng)絡(luò)安全威脅和內(nèi)部網(wǎng)網(wǎng)絡(luò)信息管理的安全策略和技術(shù)來提出稅務(wù)信息化的網(wǎng)絡(luò)安全實施方案。稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第1頁。一、稅務(wù)機關(guān)信息安全的重要性稅收是國家財政收入的重要途徑，相關(guān)的稅務(wù)系統(tǒng)業(yè)務(wù)要求其具有準確性、公證性和完整性的特點，隨著稅收信息化程度不斷提高，稅收工作對信息系統(tǒng)的依賴性不斷增大，稅務(wù)信息安全顯得更加重要。稅務(wù)信息系統(tǒng)已經(jīng)覆蓋到全國鄉(xiāng)鎮(zhèn)，點多面廣，信息安全防范難度加大，稅務(wù)機關(guān)信息系統(tǒng)安全基礎(chǔ)條件不足、管理力量薄弱，成為稅務(wù)信息安全的重點和難點。因此保證稅務(wù)信息系統(tǒng)的安全性意義重大。稅務(wù)系統(tǒng)作為電子政務(wù)系統(tǒng)的一部分，屬國家基礎(chǔ)信息建設(shè)，其基本特點是：網(wǎng)絡(luò)地域廣、信息系統(tǒng)服務(wù)對象復雜；稅務(wù)信息具有數(shù)據(jù)集中、安全性要求高；應用系統(tǒng)的種類較多，網(wǎng)絡(luò)系統(tǒng)安全設(shè)備數(shù)量大，種類多，管理難度大。稅務(wù)系統(tǒng)是一個及其龐大復雜的系統(tǒng)，從業(yè)務(wù)上有國稅、地稅之分，從地域來說通過總局、省局、市局數(shù)據(jù)中心的三層數(shù)據(jù)分布和總局、省局、市局及縣/區(qū)級、分局/所五層網(wǎng)絡(luò)管理結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)點眾多、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)出口不計其數(shù)、操作系統(tǒng)種類繁多、應用系統(tǒng)五花八門、網(wǎng)絡(luò)機構(gòu)極其復雜。面對如此復雜的系統(tǒng)，其內(nèi)部安全隱患隨處可見，經(jīng)過不斷的研究和探索，目前已經(jīng)積累了大量解決稅務(wù)系統(tǒng)信息基礎(chǔ)設(shè)施安全的方法和經(jīng)驗，形成一整套稅務(wù)系統(tǒng)的安全保障方法，相關(guān)安全保障的體系也在不斷完善和發(fā)展中。二、稅務(wù)系統(tǒng)內(nèi)部網(wǎng)存在的安全問題稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第2頁。稅務(wù)信息化的網(wǎng)絡(luò)為計算機內(nèi)部網(wǎng)，內(nèi)部網(wǎng)是獨立于其他任何網(wǎng)絡(luò)的獨立網(wǎng)絡(luò),這里所謂的獨立是指的物理上的獨立,因此保證保密內(nèi)部網(wǎng)的網(wǎng)絡(luò)與信息安全也具有特有的要求。稅務(wù)內(nèi)網(wǎng)安全的問題主要表現(xiàn)為：稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第2頁。1、物理地域廣。內(nèi)網(wǎng)設(shè)備地理位置分散，內(nèi)網(wǎng)用戶水平參差不齊，承載業(yè)務(wù)不同，安全需求各異，從而決定了內(nèi)網(wǎng)安全建設(shè)的復雜性和多元性；2、網(wǎng)絡(luò)邊界的擴大。遠程撥號用戶、移動辦公用戶、VPN用戶、分支機構(gòu)、合作伙伴、供應商、無線局域網(wǎng)等等已經(jīng)大大地擴展了網(wǎng)絡(luò)的邊界，使得邊界保護更加困難；稅務(wù)分局、稅務(wù)所等分支機構(gòu)的局域網(wǎng)與上級稅務(wù)骨干網(wǎng)的連接，無論采用ADSL、XDSL寬帶，還是采用DDN、SDH專線，基本沒有路由安全和防止入侵的技術(shù)措施。3、病毒/蠕蟲/特洛伊木馬。病毒蠕蟲大規(guī)模泛濫、新的蠕蟲不斷出現(xiàn)，給內(nèi)網(wǎng)用戶帶來損失，以及網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后，不能做到及時地阻斷、隔離；一般是以尋找后門、竊取密碼和重要文件為主，還可以對電腦進行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強的隱蔽性、突發(fā)性和攻擊性。由于具有很強的隱蔽性，用戶往往是在自己的密碼被盜、機密文件丟失的情況下才知道自己中了木馬。部分內(nèi)部網(wǎng)絡(luò)終端缺少有效的安全防護，業(yè)務(wù)資料和私人信息混存，不設(shè)開機口令，沒有讀寫控制，業(yè)務(wù)系統(tǒng)登錄口令簡單且長期不變，移動存儲設(shè)備不按規(guī)定使用，病毒和垃圾信息充斥。稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第3頁。4、身份欺騙。內(nèi)網(wǎng)安全防范措施相對脆弱，不能有效抵御來自內(nèi)外部的入侵和攻擊的問題，安全策略不能得到及時地分發(fā)和執(zhí)行，最終導致安全策略形同虛設(shè)；主要方式有：IP欺騙、ARP欺騙、DNS欺騙、Web欺騙、電子郵件欺騙、源路由欺騙（通過指定路由，以假冒身份與其他主機進行合法通信或發(fā)送假報文，使受攻擊主機出現(xiàn)錯誤動作）、地址欺騙（包括偽造源地址和偽造中間站點）等。稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第3頁。5、內(nèi)網(wǎng)非法主機外聯(lián)。非法主機的接入、內(nèi)部網(wǎng)非法通過Modem、無線網(wǎng)卡非法外聯(lián)等的安全防范不足從而引入安全風險。有的終端在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間來回換用，一些只應在內(nèi)部網(wǎng)上運行的操作系統(tǒng)、應用軟件和業(yè)務(wù)數(shù)據(jù)沒有與互聯(lián)網(wǎng)實行“隔離”，存在潛在風險。6、缺乏上網(wǎng)行為管理監(jiān)控。缺乏對內(nèi)網(wǎng)用戶行為（收發(fā)郵件，Web頁面訪問，文件上傳下載等等）進行監(jiān)控的手段，導致組織機密信息和隱私泄漏。內(nèi)部網(wǎng)上設(shè)備和信息共享范圍廣，信息發(fā)布和公開比較隨意，不少重要或敏感信息只有發(fā)布沒有管理，缺少防止惡意攻擊信息系統(tǒng)和竊取保密信息的技術(shù)手段和措施。內(nèi)外網(wǎng)間的安全解決方案和選購的設(shè)備等，不少沒有經(jīng)過權(quán)威部門的檢測和認定，系統(tǒng)運行中缺少嚴格的跟蹤監(jiān)控，存在安全隱患。7、其他安全威脅緩沖區(qū)溢出。緩沖區(qū)溢出是指當計算機程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，一小部分數(shù)據(jù)或者一套指令的溢出就可能導致一個程序或者操作系統(tǒng)崩潰。三、稅務(wù)信息化的網(wǎng)絡(luò)安全實施方案1、做好信息安全風險評估稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第4頁。稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第4頁。信息安全評估應著重于以下問題：（1）確定可能對信息資產(chǎn)造成危害的威脅，包括計算機病毒、黑客和自然災害等。（2）通過歷史資料和專家的經(jīng)驗確定威脅實施的可能性。（3）對可能受到威脅影響的信息資產(chǎn)確定其價值、敏感性和嚴重性，以及相應的級別，確定所有信息資產(chǎn)的重要程度。（4）對最重要的、最敏感的信息資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞。（5)準確了解網(wǎng)絡(luò)和系統(tǒng)的安全現(xiàn)狀。（6)明晰網(wǎng)絡(luò)和系統(tǒng)的安全需求。（7）確定網(wǎng)絡(luò)和系統(tǒng)的安全策略。（8）制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案。（9）向上級提交安全保障體系建設(shè)的意見和建議。（10)通過項目實施和培訓，培養(yǎng)自己的安全技術(shù)骨干及隊伍。2、加強信息安全管理信息安全“三分技術(shù)，七分管理”，安全管理是信息安全的核心，建立健全安全管理制度是安全管理的關(guān)鍵。規(guī)范化的安全管理，能夠最大限度地遏制或避免各種危害，是保障計算機信息安全的最重要環(huán)節(jié)。（1）建立健全信息安全管理組織，明確領(lǐng)導體制和工作機制。稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第5頁。（2）建立健全信息安全管理制度,落實安全防范責稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第5頁。（3）廣泛開展計算機信息安全宣傳，提高全員信息安全意識，建立信息安全培訓機制，組織開展多層次、多方位的信息安全培訓，提高全員信息安全防范技能。（4）開展經(jīng)常性的安全檢查，切實整改安全隱患，不斷改進信息安全管理工作。（5）科學評定信息系統(tǒng)及信息資產(chǎn)的重要級別，確定信息安全工作重點，制定近、中、遠期信息安全工作規(guī)劃。3、完善信息安全技術(shù)手段信息安全離不開安全技術(shù)的實施和安全技術(shù)防范體系的建立?；鶎訂挝灰詤f(xié)助和配合總局、省局統(tǒng)一的信息安全體系建設(shè)為主，自主建設(shè)為輔，且以內(nèi)網(wǎng)和內(nèi)部的防范為重點。（1）病毒防范：建立嚴密的、全方位的、統(tǒng)一的網(wǎng)絡(luò)病毒防范系統(tǒng)，實行統(tǒng)一的殺毒組件分發(fā)、維護、更新和報警等，重點防控網(wǎng)絡(luò)終端、移動存儲設(shè)備的病毒入侵和傳染。（2）身份鑒別與訪問控制：嚴格設(shè)定所有應用系統(tǒng)用戶的崗位和權(quán)限，改變傳統(tǒng)的用戶名加口令的辦法，使用基于密碼技術(shù)、生物統(tǒng)計技術(shù)等新型的、可靠的電子身份鑒別技術(shù)，把好進入系統(tǒng)的第一道關(guān)卡，防止非授權(quán)用戶進入各級信息系統(tǒng)。稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第6頁。（3）安全審計：對網(wǎng)絡(luò)的Web瀏覽、Web發(fā)布、郵件、即時通信、FTP和遠程登錄等行為進行全面審計，對重要數(shù)據(jù)庫的訪問對象、訪問時間稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第6頁。（4）入侵檢測：對內(nèi)部網(wǎng)中主要的網(wǎng)段進行實時入侵監(jiān)測，動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應，及時發(fā)現(xiàn)網(wǎng)上攻擊行為并作出得當?shù)奶幹?。?）信息加密：對重要信息資料、數(shù)據(jù)進行加密存儲和傳輸，防止重要信息被篡改、偽造、竊取和泄漏。稅務(wù)機關(guān)要立足實際，切實解決好人員、資金、技術(shù)問題，把信息安全管理工作放在應有位置，逐步實現(xiàn)信息安全的規(guī)范化、制度化管理，不斷建立和完善信息安全技術(shù)防范體系，為稅收征管信息化提供有力的安全保障。結(jié)束語解決信息系統(tǒng)的安全不是一個獨立的項目問題，安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術(shù)標準、管理規(guī)范等，是整個信息系統(tǒng)安全建設(shè)的依據(jù)?，F(xiàn)有的安全保障體系一般基于深度防御技術(shù)框架，若能進一步利用現(xiàn)代信息處理技術(shù)中的人工智能技術(shù)、嵌入式技術(shù)、主動技術(shù)、實時技術(shù)等，將形成更加完善的信息安全管理體系。稅務(wù)信息安全直接關(guān)系到稅收信息化建設(shè)的成敗，必須引起稅務(wù)機關(guān)和每一位稅務(wù)人的重視?？茖W技術(shù)的發(fā)展不一定能對任何事物的本質(zhì)和現(xiàn)象都產(chǎn)生影響，技術(shù)只有與先進的管理思想、管理體制相結(jié)合，才能產(chǎn)生巨大的效益。參考文獻：稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第7頁。戴宗坤,羅萬伯等.信息系統(tǒng)安全[M].電子工業(yè)出版社，稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第7頁。黃章勇.信息安全概論.2005年第1版.出版社:北京郵電大學出版社,2005:7-58孫銳,王純.信息安全原理及應用.2003年7月第1版.清華大學出版社,2003:17-21王聰生.信息與網(wǎng)絡(luò)安全中的若干問題.電力信息化[J],2004(7).白巖,甄真,倫志軍,周芮.計算機網(wǎng)絡(luò)信息管理及其安全.現(xiàn)代情報[J],2006,8(8).王純斌.淺議計算機網(wǎng)絡(luò)信息安全管理.哈爾濱市委黨校學報[J],2006(9).趙月霞.信息網(wǎng)絡(luò)安全設(shè)計與應用.寧夏電力[J],2004(1).陳月波.網(wǎng)絡(luò)信息安全[M].武漢：武漢理工大學出版社，2005.鐘樂海，王朝斌，李艷梅.網(wǎng)絡(luò)安全技術(shù)[M].北京：電子工業(yè)出版社,2003.張千里.網(wǎng)絡(luò)安全基礎(chǔ)與應用[M].北京：人民郵電出版社,2007.吳金龍,蔡燦輝,王晉隆.網(wǎng)絡(luò)安全[M].北京：高等教育出版社,2004.熊心志.計算機網(wǎng)絡(luò)信息安全初探.計算機科學.2006,33卷.B12期:60-62網(wǎng)絡(luò)信息安全及防范技術(shù)分析.中國科技信息.2006,16期:149-151稅務(wù)系統(tǒng)信息安全策略全文共稅務(wù)系統(tǒng)信息安全策略全文共9頁，當前為第8頁。（作者單位：盤錦市大洼縣國稅局）個人工作業(yè)務(wù)總結(jié)本人于2009年7月進入新疆中正鑫磊地礦技術(shù)服務(wù)有限公司(前身為“西安中正礦業(yè)信息咨詢有限公司”)，主要從事測量技術(shù)工作，至今已有三年。在這寶貴的三年時間里，我邊工作、邊學習測繪相專業(yè)書籍，遇到不懂得問題積極的請教工程師們，在他們耐心的教授和指導下，我的專業(yè)知識水平得到了很到的提高，并在實地測量工作中加以運用、總結(jié)，不斷的提高自己的專業(yè)技術(shù)水平。同時積極的參與技術(shù)培訓學習，加速自身知識的不斷更新和自身素質(zhì)的提高。努力使自己成為一名合格的測繪技術(shù)人員。在這三年中，在公司各領(lǐng)導及同事的幫助帶領(lǐng)下，按照崗位職責要求和行為規(guī)范，努力做好本職工作，認真完成了領(lǐng)導所交給的各項工作，在思想覺悟及工作能力方面有了很大的提高。

在思想上積極向上，能夠認真貫徹黨的基本方針政策，積極學習政治理論，堅持四項基本原則，遵紀守法，愛崗敬業(yè)，具有強烈的責任感和事業(yè)心。積極主動學習專業(yè)知識，工作態(tài)度端正，認真負責，具有良好的思想政治素質(zhì)、思想品質(zhì)和職業(yè)道德。

在工作態(tài)度方面，勤奮敬業(yè)，熱愛本職工作，能夠正確認真的對待每一項工作，能夠主動尋找自己的不足并及時學習補充，始終保持嚴謹認真的工作態(tài)度和一絲不茍的工作作風。

在公司領(lǐng)導的關(guān)懷以及同事們的支持和幫助下，我迅速的完成了職業(yè)角色的轉(zhuǎn)變。一、回顧這四年來的職業(yè)生涯，我主要做了以下工作：1、參與了新疆庫車縣新疆庫車縣胡同布拉克石灰?guī)r礦的野外測繪和放線工作、點之記的編寫工作、1:2000地形地質(zhì)圖修測、1:1000勘探剖面測量、測繪內(nèi)業(yè)資料的編寫工作，提交成果《新疆庫車縣胡同布拉克石灰?guī)r礦普查報告》已通過評審。2、參與了庫車縣城北水廠建設(shè)項目用地壓覆礦產(chǎn)資源評估項目的室內(nèi)地質(zhì)資料編寫工作，提交成果為《庫車縣城北水廠建設(shè)項目用地壓覆礦產(chǎn)資源評估報告》，現(xiàn)已通過評審。3、參與了《新疆庫車縣巴西克其克鹽礦普查》項目的野外地質(zhì)勘查工作，參與項目包括：1:2000地質(zhì)測圖、1:1000勘查線剖面測量、測繪內(nèi)業(yè)資料的編寫工作；最終提交的《新疆庫車縣康村鹽礦普查報告》已通過評審。4、參與了新疆哈密市南坡子泉金礦2009年度礦山儲量監(jiān)測工作，項目包括：野外地質(zhì)測量與室內(nèi)地質(zhì)資料的編寫，提交成果為《新疆哈密市南坡子泉金礦2009年度礦山儲量年報》，現(xiàn)已通過評審。5、參與了《新疆博樂市渾德倫切亥爾石灰?guī)r礦勘探》項目的野外地質(zhì)勘查工作，項目包括：1:5000地質(zhì)填圖、1:2000勘探剖面測量、測繪內(nèi)業(yè)資料的編寫工作，最終提交《新疆庫車縣胡同布拉克石灰?guī)r礦普查報告》評審已通過。6、參與了《新疆博樂市五臺石灰?guī)r礦9號礦區(qū)勘探》項目的野外地質(zhì)勘查工作，項目包括：1:2000地質(zhì)測圖、1:1000勘探剖面測量、測繪內(nèi)業(yè)資料的編寫工作，并繪制相應圖件。7、參與了《新疆博樂市托特克斜花崗巖礦詳查報告》項目的野外地質(zhì)勘查工作，項目包括：1:2000地質(zhì)測圖、1:1000勘探剖面測量、測繪內(nèi)業(yè)資料的編寫工作，并繪制相應圖件。通過以上的這些工作，我學習并具備了以下工作能力：

1、通過實習，對測繪這門學科的研究內(nèi)容