基層稅務機關(guān)日常信息安全管理體系探析

◎文/馬金紅 馬男男

一、稅務機關(guān)日常信息安全管理工作現(xiàn)狀分析

（一）天津市稅務系統(tǒng)日常信息安全管理模式

近年來，天津市的稅務信息化建設水平處于國內(nèi)比較領(lǐng)先的地位，本著“集中領(lǐng)導、統(tǒng)一規(guī)劃，分級管理”的指導思想，稅務系統(tǒng)信息化建設取得了顯著成績。呈現(xiàn)出以“一體化”為根本，以大數(shù)據(jù)為基礎，以應用帶動發(fā)展，以發(fā)展促進應用的特點，為推動天津市稅收事業(yè)發(fā)展做出了突出貢獻。

作為信息化建設的重要組成部分，天津市稅務系統(tǒng)歷來高度重視信息安全工作，加強組織領(lǐng)導，建立健全安全制度體系，通過多種形式宣傳和強化信息安全意識。通過購買安全設備，安全服務切實提高，信息安全防護水平處于全市其他系統(tǒng)前列。天津稅務系統(tǒng)的信息安全工作呈現(xiàn)以下幾個特點：

一是基礎設施建設不斷增強。建設全市稅收數(shù)據(jù)處理中心，提高全市數(shù)據(jù)集中和處理能力；建立市局和薊州區(qū)兩個應急備份中心，提高數(shù)據(jù)安全保障能力；建成全市稅收信息化資源綜合管理服務平臺，提高對信息系統(tǒng)的監(jiān)控和保障能力。

二是信息安全體系建設不斷完善。秉持“統(tǒng)一規(guī)劃建設、全面綜合防御、技術(shù)管理并重、保障運行安全”的基本方針，成立市局級網(wǎng)絡安全與信息化領(lǐng)導小組，主要領(lǐng)導擔任組長，對全系統(tǒng)的信息安全工作進行統(tǒng)一領(lǐng)導。信息安全管理體系總體架構(gòu)分為五個層次，第一層是總體策略；第二層次由人員安全管理辦法、信息系統(tǒng)建設管理辦法和信息系統(tǒng)運行維護管理辦法組成；第三、四層次由若干實施規(guī)范和流程細則組成，實現(xiàn)對三個管理辦法的分解和細化；最后一個層次為記錄表單。各項信息安全制度的制定和定期更新由市局信息部門負責，并報網(wǎng)絡安全與信息化領(lǐng)導小組批準實施，各基層稅務機關(guān)遵照執(zhí)行。

三是各層級信息安全管理不斷強化。市局信息部門統(tǒng)一負責本系統(tǒng)網(wǎng)絡和信息系統(tǒng)的安全運行維護管理工作，對所轄各基層稅務機關(guān)安全防護體系的運行維護管理工作進行監(jiān)督、檢查和考核。主要表現(xiàn)在：終端安全方面。對全系統(tǒng)終端統(tǒng)一部署桌面安全管理系統(tǒng)和防病毒軟件，開展漏洞掃描、入侵檢測等措施實現(xiàn)遠程監(jiān)控和管理。內(nèi)網(wǎng)安全方面。由市局信息部門統(tǒng)一負責內(nèi)網(wǎng)網(wǎng)絡的建設、運維及防護?；鶎佣悇諜C關(guān)負責本單位內(nèi)部內(nèi)網(wǎng)日常管理維護工作，實現(xiàn)兩級管理，保障稅收業(yè)務正常開展。數(shù)據(jù)安全方面。建立市級數(shù)據(jù)中心，實現(xiàn)全市稅收數(shù)據(jù)的集中存儲和管理，由市局負責數(shù)據(jù)安全保障。信息資產(chǎn)管理方面。基層稅務機關(guān)負責本單位的資產(chǎn)安全，市局信息部門負責網(wǎng)絡、機房等重要部位資產(chǎn)以及信息資產(chǎn)的安全管理。日常運維方面。市局負責機關(guān)本級信息系統(tǒng)運維并負責指導基層稅務機關(guān)對本單位內(nèi)部信息系統(tǒng)的運維工作。

（二）天津市河東稅務局日常信息安全管理現(xiàn)狀

1.河東稅務局日常信息安全管理的主要特點

河東稅務局的信息系統(tǒng)主要由個人計算機、打印機、服務器、網(wǎng)絡設備以及連接的網(wǎng)絡組成。網(wǎng)絡系統(tǒng)分為內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)。內(nèi)網(wǎng)聯(lián)通各級稅務機關(guān)，稅務干部通過內(nèi)網(wǎng)訪問內(nèi)部各種應用。內(nèi)網(wǎng)通過市局、總局與人民銀行等第三方實現(xiàn)互聯(lián)；外網(wǎng)主要用于稅務干部日常訪問互聯(lián)網(wǎng)。數(shù)量繁多的信息化設備、紛繁多樣的應用系統(tǒng)和龐大的網(wǎng)絡帶來了潛在的安全風險，特別是在當前金稅三期全面上線的背景下,基層稅務機關(guān)在信息化建設中的統(tǒng)籌規(guī)劃、開發(fā)、實施等職能逐漸弱化,取而代之的,網(wǎng)絡與信息安全管理的職責不斷加強,面臨著全新的變化與挑戰(zhàn)。

多年來，河東稅務局按照市局信息部門的統(tǒng)一安排部署，認真落實“四防”工作要求，一是進一步推進 “人防”，做好信息安全教育培訓工作；二是不斷完善“制防”，推進信息安全管理制度建設；三是穩(wěn)步提升“技防”，借助科技手段加強終端防護；四是持續(xù)保障“物防”，扎實做好信息資產(chǎn)管理。從人員安全管理和信息系統(tǒng)運行維護管理兩方面入手，不斷推進日常信息安全管理體系建設。河東稅務局日常信息安全管理的主要特點：

一是上級指導，統(tǒng)一管理。作為基層單位，河東稅務局的信息安全工作納入天津市稅務系統(tǒng)信息安全整體框架體系中集中管理。由市局信息部門統(tǒng)一領(lǐng)導、統(tǒng)一規(guī)劃。

二是數(shù)據(jù)通過網(wǎng)絡傳輸?shù)绞芯郑偩郑?shù)據(jù)中心，集中處理和儲存。河東稅務局本身不存放數(shù)據(jù)，將基層業(yè)務產(chǎn)生的所有數(shù)據(jù)通過網(wǎng)絡實時傳輸?shù)绞芯郑偩郑?shù)據(jù)中心，由市局（總局）負責數(shù)據(jù)的存儲、備份、災備，建立健全數(shù)據(jù)安全機制。

三是情況復雜，管理難度大。作為基層單位，河東稅務局處于管理層級末端，終端數(shù)量與信息安全管理人員數(shù)量匹配失衡，稅務干部年齡層次偏大，信息安全意識和技能千差萬別，安全形勢復雜，管理難度大。

2.河東稅務局日常信息安全管理工作的具體做法

一是建立分級管理各負其責的工作機制。河東稅務局將信息安全管理工作擺在與組織收入同樣的高度去安排落實。成立由一把局長任組長，其他班子成員為副組長，各綜合科室主要負責人為成員的 “網(wǎng)絡安全與信息化工作領(lǐng)導小組”，并下設辦公室，分管信息化工作的副局長任辦公室主任，信息科科長、辦公室主任任副主任、各部門副職任辦公室成員。全面負責全局網(wǎng)絡信息安全及信息化建設工作。形成了自上而下分級管理，各負其責的工作機制。

二是建立適應本單位的信息安全管理制度。先后制定下發(fā)《計算機信息系統(tǒng)及網(wǎng)絡安全保密管理制度》、《網(wǎng)絡與網(wǎng)絡安全應急保障工作綜合預案》、《計算機機房管理制度》、《電教室管理制度》、《信息技術(shù)科管理員職責》、《科所計算機管理員職責》、《網(wǎng)站管理辦法》、《安全接入和上網(wǎng)行為管理系統(tǒng)安全策略配置管理辦法》、《業(yè)務崗位權(quán)限管理辦法》等一系列制度規(guī)定。嚴格按照既定的管理制度和市局的信息安全工作要求加強日常的教育、管理、監(jiān)督和檢查。

三是提高信息安全責任意識。每年年初，組織全局干部、科所長、分管局長自下而上逐級簽訂《網(wǎng)絡信息安全責任書》，明確信息安全要求，提高信息安全責任意識。每個部門有信息安全員，負責本部門網(wǎng)絡安全日常工作。定期開展信息安全培訓，普及信息安全意識和技能，明確信息安全管理要求，教育廣大稅務干部養(yǎng)成良好的計算機、網(wǎng)絡使用習慣。印制《信息化知識手冊》，努力提高稅務干部信息安全技能。

四是加強網(wǎng)絡與信息資產(chǎn)管理。建立機房巡檢和登記制度。密切關(guān)注機房環(huán)境和設備運行情況，做好巡檢記錄。信息部門設置專人負責信息資產(chǎn)管理，使用資產(chǎn)管理軟件建立詳細的資產(chǎn)臺賬，根據(jù)人員變動和資產(chǎn)增減及時調(diào)整臺賬并實地核對，做到底數(shù)清、賬目明、賬實符。對信息資產(chǎn)的維修、報廢實行嚴格的登記審批制度，嚴格按照規(guī)定保管、銷毀。

五是定期開展信息安全自查。在局網(wǎng)絡與信息安全領(lǐng)導小組領(lǐng)導下，定期對日常信息安全管理工作進行自查，從制度建設、組織保障、教育培訓、信息資產(chǎn)、安全防護、數(shù)據(jù)安全、網(wǎng)絡防護、應急保障等方面制定詳細的檢查清單，查找薄弱環(huán)節(jié)和安全隱患，對發(fā)現(xiàn)的問題制定整改措施，堵塞安全漏洞，織密信息安全防護網(wǎng)。

六是加強數(shù)據(jù)安全及備份管理。系統(tǒng)權(quán)限管理實行業(yè)務主管部門和信息部門雙重把關(guān)、嚴格規(guī)范管理、相互監(jiān)督的工作機制。需求部門填寫 《權(quán)限設置修改單》，逐級審批，由信息部門完成權(quán)限配置和修改。實現(xiàn)權(quán)限管理痕跡化，可追溯。同時嚴格落實數(shù)據(jù)安全管理規(guī)定。對所有計算機終端設置開機密碼、屏保密碼，杜絕非稅務人員接觸內(nèi)網(wǎng)計算機。要求稅務人員離開工位必須鎖屏。制定數(shù)據(jù)備份的規(guī)則和程序，規(guī)范備份的時間、內(nèi)容、訪問控制。由專人負責進行定期備份，并將備份數(shù)據(jù)與數(shù)據(jù)源隔離存儲，確保備份數(shù)據(jù)存儲安全。

七是按照統(tǒng)一規(guī)定做好終端防護。按照市局統(tǒng)一規(guī)劃、統(tǒng)一部署的原則配置網(wǎng)絡設備，嚴格做到內(nèi)外網(wǎng)設備物理隔離。啟用移動存儲介質(zhì)安全策略，為每名稅務干部配備專用安全U盤，對于非認證U盤，通過擺渡工具進行訪問，防范外來病毒入侵風險。通過網(wǎng)康上網(wǎng)行為管理系統(tǒng)，對接入互聯(lián)網(wǎng)計算機進行安全策略設定和日常監(jiān)管。實行實名認證和IP與Mac地址綁定，嚴禁訪問與工作無關(guān)的網(wǎng)站，嚴格上網(wǎng)行為管理，防范來自互聯(lián)網(wǎng)的安全威脅。

二、基層稅務機關(guān)日常信息安全管理工作存在的主要問題及原因

稅務干部信息安全意識的逐漸提升以及稅收信息化建設的不斷深入，為財稅系統(tǒng)信息安全提供了強有力的保障。但由于思想認識、安全管理、人員素質(zhì)、安全技術(shù)應用等多方面的原因，基層稅務機關(guān)的信息安全管理工作還存在一些問題，嚴重時將危及正常稅收業(yè)務的開展，不能不引起關(guān)注和重視。

（一）存在的主要問題及主要表現(xiàn)

1.信息安全制度和規(guī)定落實不到位。主要表現(xiàn)在：由于人為原因，部分終端安全防護措施形同虛設，業(yè)務資料，私人信息混用；開機口令、業(yè)務系統(tǒng)口令不按規(guī)定進行設置和定期更換等。

2.信息安全管理機制不健全。主要表現(xiàn)在：一是基層稅務機關(guān)信息安全管理力量薄弱，信息安全管理專職人員少，缺乏科學指導，管理手段單一；二是信息安全管理缺位，管理職責難落實，僅依靠信息部門，未建立起跨部門協(xié)作機制。

3.數(shù)據(jù)安全存在隱患。主要表現(xiàn)在：一是基層用戶保密意識不強，為方便工作，將賬號口令與他人共享或借與他人；二是各應用系統(tǒng)崗責體系不規(guī)范，業(yè)務部門需要什么權(quán)限就通知信息部門賦予什么權(quán)限，如果操作員越權(quán)修改系統(tǒng)信息，很難及時發(fā)現(xiàn)；三是數(shù)據(jù)備份方式單一，備份文件的有效性難以保證。

4.安全軟件與業(yè)務系統(tǒng)之間存在沖突。主要表現(xiàn)在：稅收業(yè)務系統(tǒng)與安全軟件在設計時缺乏統(tǒng)一規(guī)劃，造成使用上存在互相沖突的現(xiàn)象，實際工作中通常采取犧牲部分安全設置確保稅收業(yè)務系統(tǒng)正常應用的折中辦法，存在信息安全隱患。

5.終端防護存在漏洞。主要表現(xiàn)在：由于稅務專網(wǎng)的限制，操作系統(tǒng)補丁更新不及時，殺毒軟件病毒庫更新滯后，存在安全隱患。

（二）存在問題的原因分析

1.思想認識存在誤區(qū)

“思想決定行動”，認識問題是造成日常信息安全管理工作中諸多問題的根源。比如安全制度落實不力、信息保密意識淡薄、不良操作習慣等。

（1）信息安全防范意識缺失

“重應用，輕管理”的思維模式在基層稅務干部中根深蒂固，只關(guān)心業(yè)務辦理，很少考慮 “這樣操作會對系統(tǒng)造成什么樣的危害？”等安全隱患。思想上的不重視體現(xiàn)在日常工作中就會存在一些不良的操作習慣。

（2）信息安全的危害性認識不充分

不懂得安全性與便利性之間的辯證關(guān)系，為圖省事，走捷徑,系統(tǒng)不設防、數(shù)據(jù)不備份、賬號隨意共享。認為安全事故是小概率事件，不會因為偶爾的違規(guī)操作而發(fā)生，思想麻痹大意。部分干部認為信息安全工作僅僅是技術(shù)部門的事，于是不關(guān)注信息安全。每個稅務干部都有責任和義務確保信息安全是各部門密切合作的系統(tǒng)性工程。

2.信息安全防范管理和技術(shù)保障存在薄弱環(huán)節(jié)

（1）制度方面

信息安全制度體系還不健全，對于一些新情況、新問題還存在制度盲點，需要進行新增或修改。有些總局或市局下發(fā)的制度文件比較宏觀，專業(yè)性較強，基層單位在貫徹時“本地化改造”程度不夠，造成宣傳和執(zhí)行效果受到影響。

制度執(zhí)行剛性不夠，獎懲措施不到位。出現(xiàn)違規(guī)操作主要以口頭提醒為主，只要不發(fā)生安全事故便從輕處理，違規(guī)成本低使得制度執(zhí)行效果大打折扣。

（2）人員方面

基層稅務機關(guān)信息部門技術(shù)力量薄弱。通常3至5人，雖有信息安全分工，但一人多崗，未配備專門的信息安全技術(shù)人員，很難做到全天候監(jiān)控，時時監(jiān)測。且參加業(yè)務培訓機會少，知識更新慢。隨著終端數(shù)量的不斷增加，信息安全工作的“供需”矛盾愈加突出。

（3）信息安全技術(shù)方面

現(xiàn)有的信息安全防護措施在某些方面還存在不盡如人意的地方。比如瑞星殺毒防病毒系統(tǒng)對于新變異病毒的查殺能力顯得有些滯后，并且按照現(xiàn)有瑞星殺毒軟件的運行機制，即使已經(jīng)殺掉病毒，管理中心仍然會上報病毒數(shù)量，使得全局病毒量激增。造成的后果便是基層單位不敢使用瑞星殺毒軟件，使得該系統(tǒng)只有防毒功能而無殺毒效果。

部分稅收業(yè)務系統(tǒng)開發(fā)設計時沒有充分考慮基本安全防護措施或者由于新舊技術(shù)兼容問題，造成新開發(fā)上線的系統(tǒng)與現(xiàn)有安全防護系統(tǒng)之間存在沖突。

三、改善基層稅務機關(guān)日常信息安全管理工作的思考

（一）建立健全日常信息安全管理機制

1.建立完善日常信息安全的責任機制

明確各層面稅務人員日常信息安全工作中的責任。部門領(lǐng)導負領(lǐng)導責任、信息技術(shù)人員負責管理監(jiān)督責任、一般干部負個人責任，形成“信息安全人人有責、人人參與”的良好氛圍。實行信息安全責任追究制度，嚴格信息安全績效考評管理，克服“好人主義”，提高制度執(zhí)行剛性，確保各項制度規(guī)定落到實處。

2.建立完善日常信息安全的長效機制

定期對基層稅務機關(guān)開展信息安全風險評估，確定信息系統(tǒng)安全現(xiàn)狀，安全需求，查找薄弱環(huán)節(jié)，有針對性地進行整改完善。提高安全防護的有序性、科學性和有效性。

3.建立完善日常信息安全的檔案管理

建立信息資產(chǎn)的全生命周期檔案，加強痕跡管理。對安全設備及系統(tǒng)的運行和維護做好詳細的記錄，以便備查和參考。

（二）增強終端安全管理

建立基于稅務內(nèi)網(wǎng)的操作系統(tǒng)漏洞、補丁升級平臺。對所有接入內(nèi)網(wǎng)的終端安全漏洞進行統(tǒng)一監(jiān)測和管理，及時進行補丁的升級和分發(fā)。加快防病毒軟件病毒庫的更新速度，建立防范病毒入侵預案，改變現(xiàn)有瑞星防病毒軟件的運行機制，真正發(fā)揮防毒、殺毒作用。

開發(fā)設計新的稅收業(yè)務系統(tǒng)時，將業(yè)務需求與安全防護統(tǒng)一規(guī)劃，統(tǒng)籌安排，加強系統(tǒng)控制，防止顧此失彼。此外，要特別考慮新系統(tǒng)與現(xiàn)有安全防護系統(tǒng)的兼容性。

引入最新信息安全產(chǎn)品和技術(shù)加強安全防護。比如改變傳統(tǒng)用戶名口令方法，使用基于密碼技術(shù)、生物識別的新型身份鑒別技術(shù)；引進入侵檢測與防御系統(tǒng)，作為傳統(tǒng)保護機制（身份識別、訪問控制等）的有效補充，完善信息安全反饋鏈條。

（三）從安全意識和相關(guān)技能兩方面抓好信息安全教育培訓

安全意識和相關(guān)技能的培訓，是日常信息安全管理中一項重要內(nèi)容，其實施力度將直接關(guān)系到信息安全管理工作的整體水平。信息安全培訓要確保全員參與，技能培訓與管理和意識培訓并重。制定周密的培訓計劃，建立一套科學合理、持續(xù)有效信息安全培訓體系，要注意培養(yǎng)每個稅務干部的安全防護意識，注重日常良好工作習慣的養(yǎng)成。通過培訓，提升基層稅務干部的整體安全意識，逐漸形成人人關(guān)注信息安全的濃厚氛圍。

對信息技術(shù)人員要定期開展信息安全知識更新培訓，增強培訓的針對性，讓信息技術(shù)人員了解最先進的安全知識，掌握新的安全防護技能，為基層稅務機關(guān)信息安全工作打下堅實基礎。

（四）通過故障恢復、數(shù)據(jù)恢復實戰(zhàn)演練強化設備及數(shù)據(jù)安全管理

數(shù)據(jù)備份的最終目的是重新利用，即備份工作的核心是恢復，一個無法恢復的備份，對任何系統(tǒng)來說都是毫無意義的?；鶎佣悇諜C關(guān)在做好數(shù)據(jù)備份的同時，一定要清醒的認識到，能夠安全高效的實現(xiàn)備份數(shù)據(jù)的恢復，才是確保數(shù)據(jù)安全的應有之義。在日常的應急演練中，要將設備故障恢復、數(shù)據(jù)恢復作為應急演練的重點，提高恢復能力，保障稅收信息系統(tǒng)穩(wěn)定運行。同時，要突出應急演練的實戰(zhàn)性，克服“只演不練”的形式，達到“真演真練”。明確備份數(shù)據(jù)有效性檢驗的方式，精心搭建系統(tǒng)運行環(huán)境，檢驗應急預案中每類故障處理的流程是否可行，使各崗位人員能夠熟練掌握所需要完成的工作，提高應急保障能力。

基層稅務機關(guān)的日常信息安全管理是一個綜合性的大課題，涉及制度、人員、管理、技術(shù)等諸多方面。既需要頂層設計，也離不開每個基層稅務干部的廣泛參與，是一項長期而艱巨的任務，需要不斷的進行探索。信息部門要提升站位，以高度的責任感，不斷豐富防范風險的手段和措施，為稅收業(yè)務的正常開展提供安全穩(wěn)定的運行平臺。