税务内部信息安全
论文编号:6g21112101
税务系统信息安全策略
刘宏斌李怀永
内容题要:
随着税收信息化程度不断提高,税收工作对信息系统的依赖性不断增大,税务信息安全显得更加重要。本文主要通过分析税务信息化的网络安全的重要性和内部网网络信息存在的安全问题来提出税务信息化的网络安全实施方案。
关键词:税务信息化、信息安全、安全策略
计算机软硬件技术的发展和互联网技术的普及,为电子税务的发展奠定了基础。尤其是国家金税工程的建设和应用,使税务部门在遏止骗税和税款流失上取得了显著成效。电子税务可以最大限度地确保国家的税收收入,但却面临着系统安全性的难题。虽然我国税务信息化建设自开始金税工程以来,取得了长足进步,极大提高了税务工作效率和质量。但税务系统本身也暴露出了一系列要改进的问题,各种应用软件自成体系、重复开发、信息集中程度低。随着信息化水平的不断提高,基于信息网络及计算机的犯罪事件也日益增加。税务系统所面临的信息网络安全威胁不容忽视。建立税务管理信息化网络安全体系,要求人们必须提高对网络安全重要性的认识,增强防范意识,加强网络安全管理,采取先进有效的技术防范措施。本文主要通过分析税务信息化的网络安全威胁和内部网网络信息管理的安全策略和技术来提出税务信息化的网络安全实施方案。
一、税务机关信息安全的重要性
税收是国家财政收入的重要途径,相关的税务系统业务要求其具有准确性、公证性和完整性的特点,随着税收信息化程度不断提高,税收工作对信息系统的依赖性不断增大,税务信息安全显得更加重要。税务信息系统已经覆盖到全国乡镇,点多面广,信息安全防范难度加大,税务机关信息系统安全基础条件不足、管理力量薄弱,成为税务信息安全的重点和难点。因此保证税务信息系统的安全性意义重大。税务系统作为电子政务系统的一部分,属国家基础信息建设,其基本特点是:网络地域广、信息系统服务对象复杂;税务信息具有数据集中、安全性要求高;应用系统的种类较多,网络系统安全设备数量大,种类多,管理难度大。税务系统是一个及其庞大复杂的系统,从业务上有国税、地税之分,从地域来说通过总局、省局、市局数据中心的三层数据分布和总局、省局、市局及县/区级、分局/所五层网络管理结构。网络结点众多、网络设备和网络出口不计其数、操作系统种类繁多、应用系统五花八门、网络机构极其复杂。面对如此复杂的系统,其内部安全隐患随处可见,经过不断的研究和探索,目前已经积累了大量解决税务系统信息基础设施安全的方法和经验,形成一整套税务系统的安全保障方法,相关安全保障的体系也在不断完善和发展中。
二、税务系统内部网存在的安全问题
税务信息化的网络为计算机内部网,内部网是独立于其他任何网络的独立网络,这里所谓的独立是指的物理上的独立,因此保证保密内部网的网络与信息安全也具有特有的要求。税务内网安全的问题主要表现为:
1、物理地域广。内网设备地理位置分散,内网用户水平参差不齐,承载业务不同,安全需求各异,从而决定了内网安全建设的复杂性和多元性;
2、网络边界的扩大。远程拨号用户、移动办公用户、vpn用户、分支机构、合作伙伴、供应商、无线局域网等等已经大大地扩展了网络的边界,使得边界保护更加困难;税务分局、税务所等分支机构的局域网与上级税务骨干网的连接,无论采用adsl、xdsl宽带,还是采用ddn、sdh专线,基本没有路由安全和防止入侵的技术措施。
3、病毒/蠕虫/特洛伊木马。病毒蠕虫大规模泛滥、新的蠕虫不断出现,给内网用户带来损失,以及网络出现病毒、蠕虫攻击等安全问题后,不能做到及时地阻断、隔离;一般是以寻找后门、窃取密码和重要文件为主,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、突发性和攻击性。由于具有很强的隐蔽性,用户往往是在自己的密码被盗、机密文件丢失的情况下才知道自己中了木马。部分内部网络终端缺少有效的安全防护,业务资料和私人信息混存,不设开机口令,没有读写控制,业务系统登录口令简单且长期不变,移动存储设备不按规定使用,病毒和垃圾信息充斥。
4、身份欺骗。内网安全防范措施相对脆弱,不能有效抵御来自内外部的入侵和攻击的问题,安全策略不能得到及时地分发和执行,最终导致安全策略形同虚设;主要方式有:ip欺骗、arp欺骗、dns欺骗、web欺骗、电子邮件欺骗、源路由欺骗(通过指定路由,以假冒身份与其他主机进行合法通信或发送假报文,使受攻击主机出现错误动作)、地址欺骗(包括伪造源地址和伪造中间站点)等。
5、内网非法主机外联。非法主机的接入、内部网非法通过modem、无线网卡非法外联等的安全防范不足从而引入安全风险。有的终端在内部网和互联网之间来回换用,一些只应在内部网上运行的操作系统、应用软件和业务数据没有与互联网实行“隔离”,存在潜在风险。
6、缺乏上网行为管理监控。缺乏对内网用户行为(收发邮件,web页面访问,文件上传下载等等)进行监控的手段,导致组织机密信息和隐私泄漏。内部网上设备和信息共享范围广,信息发布和公开比较随意,不少重要或敏感信息只有发布没有管理,缺少防止恶意攻击信息系统和窃取保密信息的技术手段和措施。内外网间的安全解决方案和选购的设备等,不少没有经过权威部门的检测和认定,系统运行中缺少严格的跟踪监控,存在安全隐患。
7、其他安全威胁缓冲区溢出。缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上,一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。
三、税务信息化的网络安全实施方案
1、做好信息安全风险评估
为确保税务信息资产的安全,应定期组织业务、技术和管理等专业人员进行信息安全风险评估,制定科学的安全预算。
信息安全评估应着重于以下问题:
此处内容需要权限查看
会员免费查看参考文献:
(1)戴宗坤,罗万伯等.信息系统安全[m].电子工业出版社,2002.(2)黄章勇.信息安全概论.2005年第1版.出版社:北京邮电大学出版社,2005:7-58(3)孙锐,王纯.信息安全原理及应用.2003年7月第1版.清华大学出版社,2003:17-21(4)王聪生.信息与网络安全中的若干问题.电力信息化[j],2004(7).(5)白岩,甄真,伦志军,周芮.计算机网络信息管理及其安全.现代情报[j],2006,8(8).(6)王纯斌.浅议计算机网络信息安全管理.哈尔滨市委党校学报[j],2006(9).(7)赵月霞.信息网络安全设计与应用.宁夏电力[j],2004(1).(8)陈月波.网络信息安全[m].武汉:武汉理工大学出版社,2005.(9)钟乐海,王朝斌,李艳梅.网络安全技术[m].北京:电子工业出版社,2003.(10)张千里.网络安全基础与应用[m].北京:人民邮电出版社,2007.(11)吴金龙,蔡灿辉,王晋隆.网络安全[m].北京:高等教育出版社,2004.(12)熊心志.计算机网络信息安全初探.计算机科学.2006,33卷.b12期:60-62(13)网络信息安全及防范技术分析.中国科技信息.2006,16期:149-151
(作者单位:盘锦市大洼县国税局)