税务信息安全范文
发布时间:2023-10-09 17:42:17
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的5篇税务信息安全范例,将为您的写作提供有力的支持和灵感!
篇1
我局信息系统管理维护工作主要由计算机中心负责,下设软件科、系统科、综合科共14名在编人员。信息系统的维护管理工作主要由系统科4名人员负责。一方面在开展系统维护工作时人手不足,无法覆盖到区县;另一方面由于新技术更新较快,人员对新知识与新技术的掌握不足,不利于有效的开展信息安全维护管理工作。
2系统漏洞影响大
税务信息系统对数据完整性与服务实时性高要求非常高,当今漏洞挖掘技术极大缩短系统漏洞的发现周期,经常性对核心应用系统进行升级补丁将对系统数据完整性与保障系统服务及时性造成一定的风险。
3黑客攻击与计算机病毒传播路径广
我局内部业务网已连接到全市23个下属单位,黑客可通过任何一个单位对我局核心业务应用发起攻击。同时随着移动互联网的快速发展,wfif、手机连接到终端计算机等都有可能成为业务内网与互联网的接口,使我局核心业务应用遭受到互联网的攻击。同时移动存储介质不安全的使用方式、工作员通过互联网下载的软件等都有可能导致病毒大规模传播。
二、新形势税务信息安全管理工作实践
1信息安全管理工作分解,明确分工与职责
我局信息安全工作的未来发展方向与符合我局实际情况的管理要求、监督指导执行层落实工作信息安全工作、考评执行层与支撑层的工作绩效。为全局的信息安全保障工作发挥着规划、指导、监督、考评作用,推动我局各项信息安全管理工作得以落实。执行层由各区县局单位指派在编工作人员担任,目前我局在各区县局设立信息岗,由具备一定计算机基础知识的工作人员担任。主要工任务是按照市局的管理要求开展日常的信息安全维护工作,并处理常规信息安全问题、向其他工作人员宣传市局既定的管理要求,提高全员的信息安全意识。通过执行层开展的信息安全工作,使市局规划的各项信息安全管理要求在基层得到落实。为提高执行层的工作能力,市局定期集中工作人员开展培训,传达市局信息安全工作思路、讲解工作中涉及的信息安全技术、宣传信息安全形势等。支撑层由第三方公司担任,为使我局信息安全管理工作更高效,我局将信息系统各项技术维护工作外包给各技术领域有一定实力的公司,由公司安排具备工作经验与能力的专业技术人员常驻我局,开展技术维护工作。我局管理人员根据制定的管理要求对各公司的维护工作进行考评。
2周期性检测,评估安全风险
漏洞挖掘技术很大程度的缩短了系统漏洞的发现周期,对税务系统是个非常大的安全隐患,常规的运行维护难以发现深层次的安全漏洞。因此我局将对信息系统及终端计算机的安全检测列入周期性的工作计划,不流于风险评估与等级保护测评的工作形式。以实质性的发现系统与终端安全漏洞为手段;以采取有效、可靠、安全的处置方法,降低系统安全风险为目标。将安全检测工作委托第三方专业的公司定期开展,将检查结果转交各类技术的维护公司进行处理。并对安全专业公司的检测能力,各类技术维护公司的处置能力纳入到统一考评体系,确保我局安全漏洞检测的全面性、准确性,问题处理的正常性、有效性。3建立以制度为依据、以技术为支撑的监督、管理工作流程为解决我局终端数量多、地域分布广、安全管理难度大的难题,管理层经讨论、研究针对终端安全及网络边界管理的方法,论证管理要求与技术实现的可行性,制定终端安全管理与网络边界管理的总体纲领策略。并测试、采购符合我局安全管理需求的安全技术实施部署。市局下发针对性的安全管理要求文件,安全技术根据市局管理要求部署基本的控制与审计策略。为更好的发挥技术平台的管理功效,市局将基本安全管理策略之外的管理权限下放到各区县局,由各单位根据自身实际情况制定管理规则。市局根据平台产生的数据,对违规使用资源、违规操作的个人与单位进行监督与通报,并纳入对各单位的考评。通过管理要求与技术平台的有机结合,使我局各项信息安全管理制度得到落实,并定期召集各单位对信息安全管理工作的经验进行交流与推广,提高全局的信息安全管理水平。
三、新形势税务信息安全管理探索方向
信息安全管理工作在设计上需成体系、在落实上需有支撑,这项工作有着一定的复杂性、周密性与完整性。并非依靠制定一系列的管理规定,或部署完善的信息安全技术就能立即提高信息安全管理水平。而是需要规划整体的安全管理方针与目标;根据方针与目标制定基础的保障框架;逐步完成基础保障框架中的管理、技术与过程建设;并在运行维护中不断的找出管理、技术与过程建设存在的不足,并进行改进,使信息安全管理水平不断的提高,逐渐形成适合我局的信息安全管理体系。目前我局制定信息安全管理的基本方针是建立以风险管理为核心的信息安全管理体系。在该方针的指导下,我局计划建立的基本信息安全保障框架为:
(1)以采取一切手段发现整体信息系统中存在的安全问题为基础。
(2)以评估发现的问题对信息系统可能产生的安全风险为支撑。
(3)以找出问题的有效、可靠、安全处置机制为保障。
(4)以监督、评估问题处置的有效性,降低安全风险为目标。因此在已定的安全保障框架下,管理层还需继续探索符合我局实际情况的信息安全管理方法,以管理有效方法为基础制定管理策略、以管理策略为依据选购安全技术、以安全技术为支撑开展具体管理工作、以具体管理工作为监督推动管理落实、以管理落实效果为依据检验管理方法、以优化管理方法目标提高安全管理效益。
篇2
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10406-02
On the Information Security Policy and Management of Tax Information Management System
HUANG Jian-qun
(Xi'an Shiyou University, Xi'an 710065, China)
Abstract: In this paper, first, points out that information on the importance of the tax system through the presentation of tax information management systems, Concludes with the tax information security and management solutions, The program in improving safety and reliability of tax information has some referential significance.
Key words: tax systems; information security; security policy
税收是国家财政收入的重要途径,相关的税务系业务要求其具有准确性、公证性和完整性的特点,因此保证税务信息系统的安全性意义重大。税务系统作为电子政务系统的一部分,属国家基础信息建设,其基本特点是:网络地域广、信息系统服务对象复杂;税务信息具有数据集中、安全性要求高;应用系统的种类较多,网络系统安全设备数量大,种类多,管理难度大。
税务系统是一个及其庞大复杂的系统,从业务上有国税、地税之分,从地域来说又有国家级、省级、地市级、区县四级。网络结点众多、网络设备和网络出口不计其数、操作系统种类繁多、应用系统五花八门、网络机构极其复杂。面对如此复杂的系统,其内部安全隐患随处可见,经过不断的研究和探索,目前已经积累了大量解决税务系统信息基础设施安全的方法和经验,形成一整套税务系统的安全保障方法,相关安全保障的体系也在不断完善和发展中。
1 网络信息安全在税务系统中的重要性
计算机软硬件技术的发展和互联网技术的普及,为电子税务的发展奠定了基础。尤其是国家金税工程的建设和应用,使税务部门在遏止骗税和税款流失上取得了显著成效。电子税务可以最大限度地确保国家的税收收入,但却面临着系统安全性的难题。
虽然我国税务信息化建设自开始金税工程以来,取得了长足进步,极大提高了税务工作效率和质量。但税务系统本身也暴露出了一系列要改进的问题,各种应用软件自成体系、重复开发、信息集中程度低。随着信息化水平的不断提高,基于信息网络及计算机的犯罪事件也日益增加。税务系统所面临的信息网络安全威胁不容忽视。建立税务管理信息化网络安全体系,要求人们必须提高对网络安全重要性的认识,增强防范意识,加强网络安全管理,采取先进有效的技术防范措施。
2 税务系统安全建设
如何保证信息在传递过程中的安全性对税务系统来说至关重要,任何网络设备或者解决方案的漏洞都会对税务系统造成很大影响。如何成功处理信息安全问题,使国家税务系统在充分利用信息技术的同时,保障系统的安全,对税务系统建设具有极大意义。信息安全的建设涉及到信息赖以存在和传递的一切设施和环境。构筑这个体系的目的是保证信息的安全,不仅需要信息技术的努力与突破,还需要相关政策、法律、管理等方面提供的有力保障,同时也需要提高操作信息系统的工作人员的安全意识。
2.1 税务系统安全防护体系
税务系统安全防护体系保证了系统在生命期内处于动态的安全状态,确保系统功能正确,不受系统规模变化的影响,性能满意,具有良好的互操作性和强有力的生存能力等。
税务信息系统安全模型提供了必要的安全服务和措施,增加了动态特性,强调了各因素之间关系的重要性。该模型是一种实时的、动态的安全理论模型,是实施信息安全保障的基础。在模型基础上建立安全体系架构随着环境和时间改变,框架和技术将会主动实时动态的调整,从而确保税务系统的信息安全。
2.2 税务系统风险评估
税务系统信息安全保障的目的是确保系统的信息免受威胁,但绝对的安全并不可能实现,只能通过一定的控制措施将系统受到威胁的可能性降到一个可接受的范围内。风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。风险评估用来确认税务系统的安全风险及大小,即利用适当的风险评估技术,确定税务系统资产的风险等级和优先风险控制顺序。
风险评估是信息安全管理体系的基础,为降低网络的风险、实施风险管理及风险控制提供了直接依据。系统风险评估贯穿于系统整个生命期的始终,是系统安全保障讨论最为重要的一个环节。
3 税务信息系统整体安全构架
一般税务信息系统所采用的安全架构模型如图1所示。
从安全结构模型可以看出,该安全架构主要分为三部分:网络系统基础防御体系、应用安全体系和安全管理体系。网络系统基础防御体系是一个最基本的安全体系,主要从物理级、网络级、系统级几个层次采取一系列统一的安全措施,为信息系统的所有应用提供一个基础的、安全的网络系统运行环境。
该体系的主要安全建设范围如下:
1) 物理级安全:主要提供对系统内部关键设备、线路、存储介质的物理运行环境安全,确保系统能正常工作。
2) 网络级安全:在网络层上,提供对系统内部网络系统、广域网连接和远程访问网络的运行安全保障,确保各类应用系统能在统一的网络安全平台上可靠地运作。
3) 系统级安全:主要是从操作系统的角度考虑系统安全措施,防止不法分子利用操作系统的一些BUG、后门取得对系统的非法操作权限。
4 信息安全管理策略
4.1 安全管理平台
信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。信息安全管理实行安全等级保护制度,制定安全等级划分标准和安全等级的保护办法。从管理的角度,将系统中的各类安全管理工具统一到一个平台,并对各种安全事件、报警、监控做统一处理,发现各类安全问题的相关性,按照预定义的安全策略,进行自动的流程化处理,从而大为缩短发现问题、解决问题的时间,减少了人工操作的工作量,提高安全管理工作的效率。
通过技术手段,构建一个专门的安全管理平台,将各类安全管理工具集成在这个统一的平台上,对信息系统整体安全架构的实施进行实时监视并对发现的问题或安全漏洞从技术角度进行分析,为安全管理策略的调整提供建议和反馈信息。统一的安全管理平台将有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监视和管理,从而提高安全管理工作的效率。
4.2 物理安全策略
物理安全是对计算机网络系统中的设备、设施及相关的数据存储介质提供的安全保护,使其免受各类自然灾害及人为导致的破坏。物理安全防范是系统安全架构的基础,对系统的正常运行具有重要的作用。
当然,信息系统安全不是一成不变的,它是一个动态的过程。随着安全攻击和防范技术的发展,安全策略也必须分阶段进行调整。日常的安全工作要靠合理的制度和对制度的遵守来实现。只有建立良好的信息安全管理机制,做到技术与管理良好配合,才能长期、有效地防范信息系统的风险。
5 网络信息安全所采取的主要措施
目前网络信息安全所采取的主要措施是使用一系列的安全技术来防止对信息系统的非授权使用。讨论税务系统安全策略问题时,相关人员往往倾向于防火墙、入侵检测系统等实际的安全设备。其实,造成系统安全问题的本质是税务信息系统本身存在脆弱性。任何信息系统都不可避免的存在或多或少的脆弱性,而且这些脆弱性都是潜在的,无法预知。系统出现脆弱性的根本原因是由于系统的复杂性使得系统存在脆弱性的风险成正比,系统越复杂,系统存在的脆弱性的风险就越大,反之亦然。
安全防御的总策略为:1)建立网络边界和安全域防护系统,防止来自系统外部的攻击和对内部安全访问域进行控制;2)建立基于整个网络和全部应用的安全基础设施,实现系统的内部的身份认证、权限划分、访问控制和安全审计;3)建立全系统网络范围内的安全管理与响应中心,强化网络可管理、安全可维护、事件可响应;4)进行分级纵深安全保护,构成系统网络统一的防范与保护、监控与检查、响应与处置机制。
6 结束语
解决信息系统的安全不是一个独立的项目问题,安全策略包括各种安全方案、法律法规、规章制度、技术标准、管理规范等,是整个信息系统安全建设的依据。现有的安全保障体系一般基于深度防御技术框架,若能进一步利用现代信息处理技术中的人工智能技术、嵌入式技术、主动技术、实时技术等,将形成更加完善的信息安全管理体系。
税务信息安全直接关系到税收信息化建设的成败,必须引起税务机关和每一位税务人的重视。科学技术的发展不一定能对任何事物的本质和现象都产生影响,技术只有与先进的管理思想、管理体制相结合,才能产生巨大的效益。
参考文献:
[1] 蔡皖东.信息安全工程与管理[M].西安:西安电子科技大学出版社,2004.
[2] 谭思亮.网络与信息安全[M].北京:人民邮电出版社,2002.
[3] 谭荣华.税务信息化简明教程[M].北京:中国人民大学出版社,2001.
[4] 李涛.网络安全概论[M].北京:电子工业出版社,2004.
[5] 朱建军,熊兵.网络安全防范手册[M].北京:人民邮电出版社,2007.
篇3
税务信息化有利于提高宏观决策的科学性和宏观调控的效率。涉税信息是进行制定税收政策、实施宏观调控的依据,是否拥有足够的信息是宏观决策与调控能否成功的前提。税务信息化的发展将改变税务信息生产方式,提高税务信息的生产效率和精确程度,这样,一方面能为税收政策的制订提供更为充足的信息,另一方面能改善宏观调控中的传导机制,并实现调控效果的及时反馈。
通过信息化的安全建设,使得增值税复杂的管理性和操作性要求得到支撑,使得增值税税制和以增值税为主体的整个新税制在中国运行良好。此外,通过信息化的安全建设,有效实现了上级对下级的监控,制约了自由裁量权,一方面执法水平提高、各项税收政策更加落实,另一方面税务系统内部上级行政管理的要求更加落实。
二、当前,我国税务信息化建设存在的安全隐患
随着我国税收信息化的迅速发展,信息安全问题变得日益严峻。从税务部门来看,些税务局没有备用服务器,外部备份设备少,一旦出现故障,很容易造成网络瘫痪或数据丢失。随着局域网、广域网、INTERNET的大范围应用,数据的接收、传送很容易传染计算机病毒。
(一)部分税务人员信息安全意识不强
随着税务信息化进程的不断加快和电脑技术、电脑知识技能的日渐普遍,广大税务人员逐渐认识到了信息化的重要性,但是由于传统观念、手工操作习惯等方面的束缚,不少税务人员对税务信息的安全意识还比较弱,缺乏全面、深刻的领悟能力。突出表现在:他们不了解信息技术对整个社会经济所带来的冲击,看不到税务信息建设的安全重要性,认为税务信息的安全与他们无关,甚至有透露里面重要信息的人员,以为仅仅是一些数据无关紧要。由于对税务信息安全建设的认识能力不够,存在着诸多的误区,也就直接导致拉在实际的工作中,税务信息安全建设问题频频出现“人为”的漏洞。
(二)计算机中出现的各种硬件问题,为黑客等网络侵入提供了可乘之机
从税务部门来看,有些税务局没有备用服务器,外部备份设备少,一旦出现故障,很容易造成网络瘫痪或数据丢失;随着局域网、广域网、取TERNET的大范围应用,数据的接收、传送很容易感染计算机病毒,防火墙可能被破解,有些密码机制不够安全等。诸如这些对计算机的外部、内部保护不够力度,会直接导致网络黑客们利用这些电脑漏洞来作案。
(三)操作人员、专业技术人员的技能有限
要使税收管理电子化的开发运用在实际工作中取得实效,要使得税务信息的管理能安全有效地运行,就需要高素质的计算机管理和技术人才,必须对税务管理的过程有一个较全面的了解,至少能够站在一个地区的税收总体工作要求和经济发展要求的角度,就需要对税收工作和税收管理电子化的开发及发展趋势有一个相对超前的认识,对税务信息安全的重要性有个全新的认识。但是,当前我国信息技术队伍和管理队伍的建设与信息化发展的要求不同步,管理队伍不健全,职能不明确,缺乏符合市场机制的足够的激励机制。对于配备完善的税务安全信息产品,由于操作人员、技术人员的技能有限,不能完全认识、运用这些安全信息产品,不能针对出现的问题及时解决。
三、完善我国税务信息化建设的整合化策略
如何成功处理信息安全问题,使国家税务系统在充分利用信息技术的同时,保障系统的安全,对税务系统建设具有极大意义。信息安全的建设涉及到信息赖以存在和传递的一切设施和环境。
(一)做好“四防”,构建信息安全保障体系
注重“人防”。要提高全体税务工作人员信息安全意识和能力,构建牢固的信息安全内部防范基础。落实“制度防范”。加强制度和标准规范的建设,规范信息安全防护工作。“提高技术防范的能力”,合理地运动信息安全技术手段,合理地运用当前高新技术,提高信息安全全方位防御能力。保障“物防”,保障信息安全工作中设备、资金的投入,确保经费到位,设备到位、后勤保障到位。
(二)加强对电子商务的税收管理
电子商务是指交易双方以国际互联网为媒介而进行的商品和劳务交易。电子商务具有全球性、流动性、隐蔽性、数字化的特点。交易不涉及现金,无需具收支凭证,以电子流代替了实物流,传统的实物交易和服务被转换成数据,在互联网上传输和交易,大量减少人力、物力,降低成本。但是也对税务信息化的建设提出了更高的要求。为此,我们可以通过修改现有的法律法规、制定新法律法规,将有关电子商务的一些特定内容,纳入法律法规的规范范围;建立专门的电子商务税务登记制度;加快税收部门自身的网络建设,尽早实现与国际互联网、网上用户、银行、海关等相关部门的连接;利用电子商务提高为纳税人服务的质量等几个方面加强对电子商务的税务管理。
(三)建立计算机技术的网络安全体系
解铃还须系铃人,计算机中出现的各种漏洞给了网络黑客们可乘之机,税务部门应建立各级技术层次的安全体系。一般税务信息系统所采用的安全架构模型如图所示。
网路级别的安全体系建构,可以采用数据备份恢复、数据日志、故障处理等对策功能,保护纳税信息的安全,以适应税收征管信息系统安全运行的需要。
系统级别的安全建构可以从计算机技术这方面加强管理,用网络系统、数据库系统和应用系统的安全机制设置,拒绝非法用户进入系统和合法用户的越权操作,避免系统遭到破坏,防止系统数据被窍取和篡改。
物理级别的安全体系建构可以从以下几个方面进行:第一采用具有容错功能的服务器和具有双机热备份技术的硬件设备,出现故障时能够迅速恢复并有适当的应急措施;第二,采用数据备份恢复、数据日志、故障处理等系统故障对策;严格执行并切实做好信息系统的安全工作,选择合适的网络管理软件进行网络管理,健全工作人员的操作规范,采取有效的身份认证、密码验证、访问限制、防火墙等计算机应用技术手段加强内部网络和数据库安全管理,保护纳税信息和办公信息的安全,以适应当前税收信息系统安全、持续稳定运行的需要。
(四)不断加强领导干部及员工队伍的安全与责任意识
篇4
[中图分类号] F272.7 [文献标识码] A [文章编号] 1673 - 0194(2013)20- 0054- 03
0 引 言
随着上海水务信息化工作的快速推进和不断深化,电子政务、数字水务、水务公共信息平台、水资源管理系统等信息化成果有力推动了水务的现代化建设。网络平台作为信息化建设和信息化成果应用的重要基础平台, 支撑起了巨大的IT价值,是水务IT价值实现的根本和基础。在互联网快速发展的背景下,网络攻击手段日益增多,信息系统所面临的安全风险也越来越多,如何确保网络信息安全已成为水务信息化进程中的一项重要工作。
1 现状分析
上海水务网络由中国水利信息网接入网、市防汛水务专网、市政务外网接入网、办公局域网、无线专网等网络组成,实现了上连国家防总、水利部、全国流域机构,中连全市各委办局、下连所有局属单位以及全市各区县防汛指挥部,系统承载了防汛报讯系统、电子政务系统、水务公共信息平台、视频会议系统、视频监控、水务热线、水资源管理系统等重要水务防汛应用。
为确保网络运行安全和系统应用正常,水务网络实施了一系列的安全防护措施,主要包括:在网络边界处部署安全访问控制设备,如防火墙、上网行为设备等,建立了安全的通信连接,确保数据访问合法并在有效的安全管理控制之下,同时作为抵御外部威胁的第一道防线,有效检测和防御恶意入侵;在网络核心部位和重要区域部署了入侵检测设备,分析网络传输数据,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象;开展计算环境安全管理,主要内容包括操作系统策略管理、统一病毒防护管理、安全补丁管理等。
2 面临的安全风险
2.1 信息系统缺乏同步安全建设
信息化进程中,普遍存在重建设轻管理,重应用功能轻安全防护,导致信息系统在建设过程中没有充分考虑信息安全防护措施和管理要求,通常在安全测评阶段,根据相应的测评指标,临时、被动地实施相关安全防护措施,虽然满足了测评的基本要求,但是安全措施比较零散,缺乏体系和相互关联,甚至实施的安全措施治标不治本,安全隐患重重。
2.2 未充分发挥安全产品防御作用
当前,信息安全已深入到业务行为关联和信息内容语义范畴。防火墙的访问控制、入侵检测的预警判断、网闸的数据传输控制以及安全审计信息的合规性判断均来自应用安全策略要求,信息安全产品更多的是面向应用层面的信息安全控制。但是由于系统开发缺乏明确的安全需求,造成了信息安全产品针对其实施的安全策略权限开放过大或无安全策略,安全告警无法有效判断,使得部分产品形同虚设,不能充分发挥其防御作用。
2.3 软件漏洞
软件漏洞是信息安全问题的根源之一,易引发信息窃取、资源被控、系统崩溃等安全事件。软件漏洞主要涉及操作系统漏洞、数据库系统漏洞、中间件漏洞、应用程序漏洞等。操作系统、数据库等厂商会不定期针对漏洞相应的补丁,但是,由于应用系统运行对程序开发环境的依赖度较高,补丁升级存在较大安全风险和不确定性,使得应用部门通常不实施操作系统等相关补丁升级工作。此外,应用程序本身也普遍缺失安全技术,存在诸多未知安全漏洞等问题。
2.4 网络病毒
计算机病毒是数据安全的头号大敌,根据国家计算机病毒应急处理中心的《2011年全国信息网络安全状况与计算机及移动终端病毒疫情调查分析报告》,2011年全国计算机病毒感染率为48.87%,虽呈下降态势,但是病毒带来的危害越来越大。
2.5 黑客攻击
国家互联网应急中心(CNCERT)的最新数据显示,中国遭受境外网络攻击的情况日趋严重。CNCERT抽样监测发现,2013年1月1日至2月28日不足60天的时间里,境外6 747台木马或僵尸网络控制服务器控制了中国境内190万余台主机。在信息系统漏洞频出的情况下,面向有组织的黑客攻击行为,现有的技术防护和安全管理措施捉襟见肘。
2.6 信息安全意识薄弱
人是信息安全工作的核心因素,其安全管理水平将直接影响信息安全保障工作。由于缺少宣传、培训和教育,用户信息安全意识较为淡薄。由于安全意识淡薄和缺乏识别潜在的安全风险,用户在实际工作中容易产生违规操作,引发信息安全问题或失泄密事件。
3 采取的管理措施
存在这些安全风险的主要原因为缺乏信息安全规划、缺乏持续改进的安全维护保障措施以及安全意识薄弱等,所以做好该部分工作是解决当前所面临安全风险的主要措施。
3.1 信息安全规划
信息安全规划是一个涉及技术、管理、法规等多方面的综合工程,是确保物理安全、网络安全、主机安全、应用安全和数据安全的系统性规划。信息安全规划既依托于信息化规划,又是信息化的重要组成部分。在信息安全规划的指导下,信息系统安全建设与管理才能有计划、有方向、有目标。信息安全规划框架如图1。
3.1.1 以信息化规划为指引,以信息化建设现状为基础
信息安全规划是以信息化规划为指引,以信息化建设现状为基础,系统性的规划信息安全架构,是信息化发展中的重要环节。信息安全规划一方面要对信息化发展现状进行深入和全面的调研,摸清家底、掌握情况,分析当前存在的安全问题和信息化发展所带来的安全需求,另一方面要紧紧围绕信息化规划,按照信息化发展战略和思路,同步考虑信息安全问题。
3.1.2 建立信息安全体系
信息安全规划需要围绕技术安全、管理安全、组织安全进行全面的考虑,建立相应的信息安全体系,确定信息安全的任务、目标、战略以及人员保障。
3.2 日常安全运维保障
3.2.1 关注互联网安全动态
互联网的快速发展使得水务网络安全与互联网安全密切相关。因此,关注互联网安全动态,及时更新或调整水务网络安全策略和防护措施,是日常安全管理工作中的一项重要工作。
3.2.2 安全态势分析
网络信息安全是一个动态发展的过程,固化的安全防护措施无法持续确保网络环境安全。定期对网络安全环境进行态势分析不仅可以掌握当前存在的问题,面临的风险,而且可以及时总结原因,制定改进策略。安全态势分析主要通过对网络设备、安全设备、主机设备及安全管理工具等策略变更信息、日志信息、安全告警信息等,经过统计和关联分析,综合评估网络系统安全状态,并判断发展变化趋势。
3.2.3 信息安全风险评估
风险评估是信息安全管理工作的关键环节。通过开展风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多问题的办法。安全风险评估的主要步骤和方法:①确定被评估的关键信息资产;②通过文档审阅、脆弱性扫描、本地审计、人员访谈、现场观测等方式,获得评估范围内主机、网络、应用等方面与信息安全相关的技术与管理信息;③对所获得的信息进行综合分析,鉴别被评估信息资产存在的安全问题与风险;④从系统脆弱性鉴别、漏洞和威胁分析、现有技术和管理措施、管理制度等方面,根据不同风险的优先级,分析、确定管理相应风险的控制措施;⑤基于以上分析的结果,形成相应的信息安全风险评估报告。
3.2.4 应急响应
应急响应是信息安全防护的最后一道防线,其主要目的是尽可能地减小和控制信息安全事件的损失,提供有效的响应和恢复。应急响应包括事先应急准备和事件发生后的响应措施两部分。事先应急准备主要包括明确组织指挥体系,预警及预防机制,应急响应流程,应急队伍、应急设备、技术资料、经费等应急保障,定期开展应急演练等工作。事件发生后的应急措施包括收集系统特征,检测病毒、后门等恶意代码,限制或关闭网络服务,系统恢复等工作。这两方面互相补充,事前应急准备为事件发生后的响应提供指导,事后的响应处置进一步促进事前准备工作的不断完善。
3.3 教育培训
人是信息安全工作的核心因素,其知识结构和应用水平将直接影响信息安全保障工作。加强相关信息安全管理人员的专业培训,以及开展面向网络用户的信息安全宣传教育、行为引导等,是提升信息安全专业化管理水平,提高信息安全意识,有效避免信息安全问题或失泄密事件发生的重要工作。
4 总 结
随着信息化进程的加快,信息系统所面临的安全风险越来越多,信息安全管理工作要求也逐步提高。持续分析、总结网络信息安全管理中存在的问题,并采取针对性的措施不断加以改进,成为保证水务信息化战略实现、不断提升水务部门管理能力和服务水平的重要基础保障工作。
主要参考文献
[1]GB/T 22239-2008,信息安全技术信息系统安全等级保护基本要求[S].
篇5
根据你局《通知》(镇经科通〔2011〕9号)和《昭通市工业和信息委员会关于报送2011年度下半年政府信息系统安全检查自查报告和开展抽查工作的通知》(昭工信信推〔2011〕279号)文件精神。我局对信息系统安全情况进行了自查,现将自查情况汇报如下:
一、信息安全总体情况
2011年我局信息系统安全工作与2010年相比,有了一些改进。在安全管理、落实解决方案方面加大了力度,确保在系统升级项目完成之前,现有的系统能够保持良好的运行状态。
二、2011年信息安全主要工作情况
(一)信息安全组织管理
1、成立了安全小组。明确了信息安全的主管领导和具体负责的管护人员,安全小组为管理机构。(1)制定了2011年信息安全工作方案。随着系统升级项目的进行,接处警系统信息的安全是重点考虑的问题之一。(2)进一步制定和完善了信息安全方面的制度。(3)不定期进行安全检查工作。
2、有指定的信息安全员,负责维护本单位网络安全,指导协调相关工作。
(二)日常信息安全管理
1、人员管理情况。(1)重要岗位指定保密员并签订了保密协议;各信息专员对重要文件和信息资源要做到及时备份。(2)人员离岗离职需要通过各部门审核,持有单位信息、帐户密码的,需交接清楚,单位配备的专用存储设备必须回收,人员离职后,信息安全员必须修改相关计算机设备的帐户、密码。(3)外部人员访问机房必须登记,由相关部门人员监督,带出设备需要相关部门签章。(4)违反制度规定造成信息安全事件的,视情节轻重予以相应处罚。
2、资产管理情况。(1)每个部门指定一个资产管理人员,单位设定固定资产管理员。(2)计算机及相关设备送修需报固定资产管理员,报废销毁需要做好登记。
3、各办公用计算机均已安装杀毒软件,严禁使用不可靠、不知名的办公软件。涉密计算机专人专用,用户名和密码专人持有。
4、今年年初相关股室已将信息安全经费纳入年度预算。
(三)信息安全防护管理
1、每个部门设置不同的网段。相关科室定期检查服务器运行情况,防病毒是否正常,及时排查防火墙等防护设备的故障。
2、门户网站的信息严格按照审核程序执行,防止敏感信息泄露,上传工作由局办公室专门负责。电子邮箱由专人管理,定期更新用户口令。
3、涉密和非涉密计算机物理隔离,分类明确。专用移动存储设备需登记,使用前必须先进行杀毒检查,存储设备报废需使用有效的工具进行销毁。
(四)信息安全应急管理
1、制定了应急响应预案。当网络、设备在运行中发生重大故障时,须报告相关领导。发现可疑攻击,及时追查其网络地址,并阻断。一旦发现有计算机中病毒,及时将其断网,并杀毒。
2、根据需要设置了备份服务器,以应对突发事件。
(五)信息安全检查工作
1、上一年度存在的问题主要是接处警数据拷贝安全性,今年配置了两台计算机终端专门用于处警日常查询数据和拷贝文件,避免接处警计算机使用外部存储设备。
2、部分在用设备为我局建设初期购置,存在设备陈旧、故障率高的问题,应加大对设备进行维护、保养的力度,提高防范意识。
三、检查发现中发现的主要问题及整改情况
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我局实际,今后要在以下几个方面进行整改。
1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
3、安全工作的水平还有待提高。对信息安全的管护还处于初级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。
4、工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
四、对信息安全工作的意见和建议
信息系统安全教育培训有待重视。由于我局不具备很专业的信息系统安全工作人员,对信息系统安全工作一知半解,希望相关部门能加强这方面的业务培训工作。
