大数据时代强化地税信息安全管理的意义和途径探讨

大数据时代强化地税信息安全管理的意义和途径探讨

作者：张海 胡江

发布时间：2013-08-15

来源：办公室

访问量：

字体: [大 中 小] (双击滚屏)

｜

保护视力色：

 

当前，云计算的发展和大数据模式的应用使IT领域正在发生深刻变革，但它在提高IT资源利用效率的同时，也给信息安全带来多个层面的冲击与挑战。2013年，“棱镜门”事件让信息安全问题再次成为热点；6月28日，外交部发言人华春莹在例行记者会上公布，2012年中国被境外控制的计算机主机达1420余万台，不仅涉及大量网民，而且涉及金融、交通、能源等多个部门，对我国经济发展和人民正常生活造成严重危害。信息安全已成为关系到国计民生的重大战略性问题。

基层地税部门信息安全建设是地税系统信息化建设的重要组成部分，大数据时代背景下，如何逐步完善基层地税部门信息化安全建设，是当前地税系统的一项重要课题。

一、地税信息管理的各种安全风险。

（一）物理设备的安全风险。这是地税信息系统安全的前提，尤其重要的是中心机房及数据中心等涵盖网络设备、存储设备、计算机及各种传输介质的安全保护。一是在环境条件方面，电力供应稳定、防火、防灾设施完善，温度、湿度、灰尘等自然因素的可控和实时监测；二是在电磁影响方面，防范核心交换机、路由器和服务器，以及光纤、双绞线等传输介质在工作时可能向外泄露时针信息、数据信息和视频信息，并防止传输介质受到静电和电磁场干扰；三是在设备配置上，路由器、交换机和主要服务器的配置杜绝存在预置陷阱或“后门”；四是物理设备的可靠性，包括设备的质量、备份，出现故障能在短时间内恢复等。

（二）网络信息传输的安全风险。一是网络拓扑结构完整无缺陷，网络信息传输过程中IP地址不被暴露，IP地址不被仿造或篡改，路由协议的鉴别认证体制完善；二是通信线路的屏蔽性能达到指定的安全标准，对存储和传输的信息加以保护，避免因屏蔽性差可能导致的数据信息泄露；三是配置规则完善合理，关闭不相关的网络服务和端口，不随意设置网络共享，防杀病毒、木马软件能正常使用。

（三）涉税数据信息存储的安全风险。一是信息的完整性。如信息的来源、去向，内容真实性等，包括数据不被病毒破坏，不被非法删除、修改等；二是信息的保密性。如数据库中数据的密级、用户的职责和权利设置合理，冗余机制完善，对数据库的访问权限合法，信息不会被非法泄露、拷贝、窃听等；三是信息的不可否认性。操作员不得越权操作，不能否认自己所做的操作，保证系统操作无法否认。

（四）人员、制度及管理的安全风险。一是地税干部的素质与安全意识到位，操作能力和技术熟练，严格按照安全规定和操作规程。二是管理制度严密，执行落实到位，对信息网络薄弱环节的安全风险防范熟悉了解，应付网络安全突发事件的预警能力强，响应时间快等。

二、地税系统信息安全管理的隐忧。

近年来在国家“金税三期”工程的强力推动下，省市县各级地税部门投入了大量人力、物力、财力，进行信息系统安全建设，信息安全管理取得了长足进步。一是统一了省级征管数据的标准、口径，通过对税收元数据的属性定义，保证数据项标准、口径的唯一性；通过规范数据采集方式和标准，实现涉税信息的“一次采集，系统共享”大集中模式，并为涉税信息的拓展应用奠定基础；二是对关键网络设备统一采购，统一实施国产化标准，尤其是对基层地税部门的核心路由器、交换机等使用国产品牌同一型号、同一物理性能，统一规则配置，统一招标采购机房防火设施和环境动力监测系统，并建立了定期安全巡检制度；三是逐步建立健全了信息安全的各项制度，例如《湘潭市地方税务局信息安全管理办法》、《湘潭市地方税务局计算机设备管理办法》等，为系统信息安全管理提供了坚实的制度保障；四是规范全系统网络IP地址使用，实行IP地址与MAC地址绑定准入制度，确保地税干部“一人一地址”，严格限制外来电子设备的接入。但是，随着税务信息化建设向密集化、业务流程向扁平化方向发展，信息安全管理上的后劲不足也日益凸显。

隐忧一：纳税人私密信息防范压力大。地税部门掌握着纳税人大量的生产经营和纳税情况等方面信息，以湘潭地税为例，仅2013年上半年全系统纳入计算机管理的纳税（费）户数（不含非正常户）51022户，网上申报户数9653户，税库银联网纳税（费）户数13354户，计算机当期处理纳税（费）额××××万元，网上申报税款××××万元，信息安全压力由此可见一斑。目前地税系统除大集中系统外，还有个人所得税扣缴系统、减免税审批系统、税控机管理系统等诸多外围系统，和国税、工商、人事等外部的数据交换日益频繁。尽管新《税收征管法》对纳税人的隐私保密提出了明确要求，2008年出台的《纳税人涉税保密信息管理暂行办法》中对使用管理、外部查询等方面作了详细规定，但是，地税部门更应在防范不法分子利用信息安全漏洞窃取纳税人隐私的途径和手段的多样化方面提高警惕。

隐忧二：整体认知能力、技术水平跟不上信息安全管理要求。一是信息安全防范意识不高，在地税干部遵守各项信息规章制度上管理不严，纳税人过期或作废资料简单撕毁、无效数据不彻底删除、在没有任何安全防护的网络上收发文件等现象普遍存在。二是信息技术人员配备不合理，湘潭地税系统目前从事专业信息技术岗位的干部不足20人，近60%从事技术岗位达10年以上，年龄普遍老龄化，每年新招的专业人才被安排在其他非技术岗位，造成信息安全管理力量长期不足。三是人为触发的安全事故频率较高，地税干部使用信息设备的技能参差不齐，约90％只会操作使用，不会管理。例如近八成人员习惯于把常用文件存放在桌面，有干部的电脑桌面居然存放了达10G的文件。几乎所有干部在每个分区内杂乱无章存放大量重要文档文件，不按分类存放，个别计算机临时文件达到几百兆；更严重的是外网电脑长期存放通过邮件或QQ方式接收的纳税人涉税信息、报表等数据资料，不及时清理删除。这些不良操作不仅造成PC机运行速度慢，频繁死机现象，而且给信息安全带来巨大风险。

隐忧三：直接接收纳税人移动存储介质报送资料。随着网上申报等手段的迅猛普及，地税部门接收纳税人通过U盘和网络传送的电子资料越来越多。纳税人使用计算机的安全性无法保障，特别是小型企业和个体工商业户，同一台计算计既用于经营又用于家庭生活，防病毒措施十分薄弱。这样的计算机处理过的信息资料传递到地税部门，无异于一颗颗不定时的“隐形炸弹”，有的干部接收外来存储介质不注意先行杀毒，轻易就把这些“炸弹”送进了单位的信息系统；还有的干部为提高运行速度，擅自关闭自动查杀功能、杀毒软件时时监控及主动防御功能，从而造成内网计算机感染病毒的风险加大。

三、三位一体稳妥推进地税系统信息化安全建设。

信息安全保障是确保现代税收事业顺利开展的前提条件，地税系统信息安全建设是一项复杂的系统工程和长期的工作任务，我们认为，在科学发展观的统领下，建立“人防+技防+制度保障”的科学防范体系，是逐步稳妥推进地税系统信息化安全建设的必要举措。

（一）增强安全意识，提高全员信息安全管理技能。一是增强信息管理人员的责任感和使命感。要时刻铭记“信息安全就是生命线”的理念，绷紧“安全弦”，严格遵守《湘潭市地方税务局信息技术人员岗位职责规定》（潭地税发﹝2013）104号），消除麻痹思想和侥幸心理，不可有丝毫的疏忽，不能忽视微小的细节，落实好机房运行管理和安全体系建设。二是加大全员培训和宣传普及。通过广泛深入宣传，不断普及信息安全知识，增强干部职工信息安全意识，牢固树立“信息安全第一”的思想，强化全员安全责任意识，提高发现影响信息安全的现象和行为的敏锐性和警惕性，切实增强维护信息安全的主动性和积极性。三是重视技术培训力度。树立“人才层级”理念，坚持“专业人才专用”，合理调整人员比例，逐步使专业技术人员占专业管理人员的比例趋于合理。增强培训的针对性，开展专业技术人才差别化、特色化培训，成立专业化的“信息安全管理小组”，坚持“全员基础培训和专业技能培训相结合”“课堂教学与实地考察相结合”、“干部培训与纳税人培训相结合”、“统一组织与个人自学相结合”的培训方式，由全局防控延伸至部门防控，通过“以点带面”的方式提高全员整体技能。

（二）落实信息安全保障制度，建立科学可行的风险防范考核体系。一是建立行之有效的系统管理员工作规范。要制定了严密的内部业务部门和技术部门系统管理员安全防范机制，避免破坏销毁记录、盗取重要信息等不良行为出现。近几年，湘潭地税系统陆续制定出台了包括信息安全、应用软件、计算机设备、机房管理、数据质量和账号管理等多个制度，为信息安全运维提供了有效政策保障。二是建立检查、监督、指导相结合的工作机制。要完善从技术部门系统管理员到业务部门，乃至覆盖全局的信息安全岗责体系，将信息安全纳入全年绩效考核范畴，采取“日常监督加定期检查”的方式，对发现的安全漏洞和隐患予以通报，把违反制度情况计入部门和干部绩效考核，以强化各项信息安全管理制度的有效落实。

（三）充分利用现有技术手段，建立健全信息安全运维体系。一是建立运维长效机制。定期对影响信息安全的设施进行巡检，包括聘请供电部门、防雷部门、网络专业运维公司的专业人员对关键核心设备定期检修和保养。二是建立运维档案制度。对基层信息安全设备的运行、维护应做好详细记录，以便备查和参考。主要包括：UPS主机运行情况、网络与安全设备配置文档、动力环境监测系统反映异常情况记录、客户端杀毒软件安装运行及病毒危害情况记录、关键应用数据备份情况等。三是开展网络和客户端实时监控和防范。充分利用瑞星网络版管理控制台，360安全卫士桌面防护系统等资源，定期发布《网络动态安全报告》，分析安全事故典型事例、防病毒发展趋势等，随时掌握网络的安全状况，针对病毒分布和感染程度及时采取有效措施，对办公内网PC机进行统一的系统补丁升级。四是制定应对系统安全事故的紧急处置预案。要进一步完善网络与信息安全突发事件监测、预测、预警制度，做到详细掌握事件信息来源、影响范围、性质程度、发展趋势和采取措施，能迅速排除事故现场的安全漏洞和隐患，能及时修复网络故障，实现网络信息安全突发事件的分级分类管理。

（四）鼓励创新，推动提升信息安全风险防范能力。随着操作系统补丁日益频繁的发布，随着“零日漏洞攻击”的出现，最受黑客关注的税务行业如果仅采取常规的静态、年度风险评估，明显不能主动有效应对。因此，一要保证信息安全运维经费，加大技术研发和投入，及时推广应用新型的防火墙技术，例如以动态云防护和全网威胁联防为技术融合典范的整套安全防御体系，能有效防止黑客入侵和信息外泄。二要扩大信息安全风险防范范围，将信息工作从运维阶段推向规划、研发、建设、运行、维护、监控及退出全程，全面真实地反映整个信息系统的安全。三要加大信息系统风险监控频度，在成熟的信息平台上，充分使用信息安全风险评估工具和计算机系统监控等自动化平台代替人工劳动，依托工具自动完成对数据的采集、整理、计算、分析和呈现。