關(guān)于基層稅務(wù)信息安全工作的思考(修改)

1、關(guān)于改進(jìn)基層稅務(wù)機(jī)關(guān)信息安全工作的思考 張慧卿 郭丹旻內(nèi)容提要：基層稅務(wù)機(jī)關(guān)信息安全是稅務(wù)信息化工作的一項(xiàng)重要工作，但是由于資金投入、人員配備等影響因素，基層稅務(wù)機(jī)關(guān)的信息安全工作一直存在較大的安全隱患，這將直接影響到稅務(wù)的信息化建設(shè)和日常稅務(wù)工作的正常開展，筆者從基層稅務(wù)機(jī)關(guān)信息安全工作內(nèi)容出發(fā)，闡述了發(fā)生基層稅務(wù)信息安全問題及其原因，并提出相應(yīng)的改進(jìn)建議，從而有針對性地提高基層稅務(wù)機(jī)關(guān)信息安全。 隨著稅收電子政務(wù)發(fā)展，稅務(wù)工作不論是對外服務(wù)還是內(nèi)部行政均需要信息系統(tǒng)的有利支持，稅務(wù)信息化已經(jīng)成為其他稅收業(yè)務(wù)工作的重要依托和基礎(chǔ)保證。稅務(wù)信息安全是稅務(wù)信息化建設(shè)的重要組成部分，是稅務(wù)機(jī)關(guān)工作

2、的重要安全保障。信息安全作為信息化建設(shè)的重要組成部分，牽涉到稅收業(yè)務(wù)工作的全部流程環(huán)節(jié)，從業(yè)務(wù)數(shù)據(jù)的錄入到數(shù)據(jù)信息的傳輸與保密，再到數(shù)據(jù)信息的處理與備份都會(huì)涉及，因此必須引起重視?；鶎佣悇?wù)機(jī)關(guān)信息安全是稅務(wù)信息安全的一項(xiàng)重要內(nèi)容，但是由于資金投入、人員配備等影響因素，基層的信息安全工作一直存在較大的安全隱患，這直接影響到稅務(wù)的信息化建設(shè)和日常稅務(wù)工作的正常開展，為了做實(shí)做好稅務(wù)信息安全工作，應(yīng)該進(jìn)一步加強(qiáng)對基層信息安全的管理，按照信息安全一體化的要求和安全風(fēng)險(xiǎn)等級(jí)管理的要求，結(jié)合基層稅務(wù)工作的特點(diǎn)和難點(diǎn)，逐步完善基層稅務(wù)部門信息化安全建設(shè)。 一、 基層稅務(wù)機(jī)關(guān)信息安全的基本內(nèi)容 （一） 基礎(chǔ)設(shè)

3、施的安全 基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行是開展信息安全工作的前提和基礎(chǔ)，其信息基礎(chǔ)設(shè)施包括網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、防火墻設(shè)備、服務(wù)器、供電設(shè)備、終端計(jì)算機(jī)及各種傳輸介質(zhì)。基礎(chǔ)設(shè)施的安全運(yùn)行主要包括：1.各種設(shè)備本身的安全，如：防火、防盜、防破壞；2.物理介質(zhì)中信息存儲(chǔ)和傳輸?shù)陌踩?.設(shè)備的可靠性，包括設(shè)備的質(zhì)量、設(shè)備的備份，出現(xiàn)故障能在短時(shí)間內(nèi)恢復(fù)等。 （二） 信息應(yīng)用的安全 信息應(yīng)用的安全是開展信息安全工作的重要保障和有力手段，信息應(yīng)用的安全包括：1.網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定性。業(yè)務(wù)數(shù)據(jù)能夠及時(shí)有效的通過網(wǎng)絡(luò)進(jìn)行傳輸，且傳輸?shù)臄?shù)據(jù)信息不被篡改活丟失；2.各應(yīng)用系統(tǒng)的用戶名和密碼的安全管理，具有操作權(quán)限的用戶名不

4、被其他人員使用，發(fā)生錯(cuò)誤的假信息產(chǎn)生。3.各應(yīng)用系統(tǒng)的穩(wěn)定運(yùn)行，保證正常稅收業(yè)務(wù)的有序開展。（三） 數(shù)據(jù)信息的安全 保證數(shù)據(jù)信息的安全是開展信息安全工作的最終目的，數(shù)據(jù)信息安全包括：1.信息的完整性。如信息流從進(jìn)入信息系統(tǒng)始終保持信息的真實(shí)有效，不會(huì)被非法刪除、篡改、丟失等，以及因病毒而遭到破壞無法讀??；2.信息的保密性。如信息不會(huì)被非法泄露、拷貝、竊取等；3.信息的不可否認(rèn)性。系統(tǒng)操作人員無法越權(quán)操作以及否認(rèn)自己已完成的操作，保證系統(tǒng)操作無法否認(rèn)。 二、 基層稅務(wù)機(jī)關(guān)信息安全面臨的問題 （一） 電源供電引發(fā)的信息安全隱患 一方面，基層單位用電管理的缺位，造成電子設(shè)備用電混亂，基層稅務(wù)部門普遍

5、沒有專業(yè)用電指導(dǎo)人員，用電操作存在盲目性，導(dǎo)致用電操作不當(dāng)給信息安全造成隱患，如機(jī)房弱電系統(tǒng)是否采用綜合布線；配線柜內(nèi)供電線路是否完好；配線柜內(nèi)供電線路是否了解控制面板；地板下的線路是否用管道包裹等，市電是否很好接地等；另一方面部分基層單位的供電傳輸系統(tǒng)老化，UPS供電設(shè)備老化，外部供電電源管理混亂等原因，引發(fā)供電存在不穩(wěn)定的風(fēng)險(xiǎn)，造成機(jī)器設(shè)備的毀損； （二） 基礎(chǔ)設(shè)施引發(fā)的信息安全隱患 信息化基礎(chǔ)設(shè)施是信息安全運(yùn)行的基礎(chǔ)環(huán)境，它的好壞直接影響信息安全開展。目前基層稅務(wù)機(jī)關(guān)的信息化基礎(chǔ)設(shè)施存在很大的隱患，一是區(qū)縣級(jí)以下機(jī)房硬件設(shè)施不配套，網(wǎng)絡(luò)設(shè)備運(yùn)行環(huán)境條件差，機(jī)房工作環(huán)境有待改善與規(guī)范。機(jī)房

6、供電安全無法保證，機(jī)房設(shè)備未作等電位連接并接地，地板下線路未能用金屬管道（鋼管或者金屬軟管）包裹，個(gè)別機(jī)房空調(diào)效果不好，溫度偏高?；鶎佣悇?wù)所環(huán)境差距較大，有些單位沒有專用的機(jī)房，網(wǎng)絡(luò)設(shè)備獨(dú)立的存放空間，有的網(wǎng)絡(luò)設(shè)備架設(shè)在辦稅服務(wù)廳；有的網(wǎng)絡(luò)設(shè)備運(yùn)行環(huán)境中沒有制冷設(shè)備，造成設(shè)備在高溫環(huán)境下運(yùn)行；有的網(wǎng)絡(luò)設(shè)備運(yùn)行環(huán)境中沒有靜電板，沒有接地線；有的網(wǎng)絡(luò)設(shè)備運(yùn)行環(huán)境中沒有配備UPS電源，存在掉電安全隱患；因?yàn)闆]有專用機(jī)房，在開放的設(shè)備運(yùn)行環(huán)境中，沒有設(shè)專門的防盜設(shè)施，安全情況不理想，人來人往，衛(wèi)生環(huán)境得不到保障。二是部分電子設(shè)備老化。UPS電源和網(wǎng)絡(luò)交換機(jī)以及服務(wù)器是縣區(qū)級(jí)機(jī)房的主要設(shè)備，也是檔次最高

7、的設(shè)備，這些設(shè)備中都存在超期服務(wù)的現(xiàn)象，而一旦發(fā)生故障都將對正常的業(yè)務(wù)工作造成影響。UPS超期服務(wù)帶來供電安全風(fēng)險(xiǎn)，一旦出現(xiàn)問題危及機(jī)房的所有信息設(shè)備以及終端計(jì)算機(jī)，不但造成物資財(cái)產(chǎn)的毀損而且造成重要數(shù)據(jù)的丟失，嚴(yán)重影響正常業(yè)務(wù)的開展；網(wǎng)絡(luò)設(shè)備超期服務(wù)帶來網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險(xiǎn)，網(wǎng)絡(luò)設(shè)備一旦出現(xiàn)問題，將無法進(jìn)行數(shù)據(jù)通訊，各種信息系統(tǒng)將無法運(yùn)行，嚴(yán)重影響各項(xiàng)業(yè)務(wù)的開展；服務(wù)器停機(jī)風(fēng)險(xiǎn)，造成單個(gè)的業(yè)務(wù)系統(tǒng)出現(xiàn)問題，不但影響工作，同時(shí)造成業(yè)務(wù)系統(tǒng)的數(shù)據(jù)丟失，同時(shí)存在服務(wù)器得不到補(bǔ)充和更換，使用PC替代服務(wù)器的現(xiàn)象普遍。（三） 自然災(zāi)害引發(fā)的信息安全隱患 隨著自然環(huán)境的惡化，近年來雷電、山洪等自然災(zāi)害越來

8、越嚴(yán)重，直接威脅到人類生命財(cái)產(chǎn)的安全，對電子設(shè)備、網(wǎng)絡(luò)設(shè)備、供電系統(tǒng)的破壞更為嚴(yán)重。北京市的遠(yuǎn)郊區(qū)縣部分基層稅務(wù)部門地處山區(qū)，一旦發(fā)生山洪高發(fā)地帶，信息設(shè)備不同程度會(huì)遭受自然災(zāi)害的損壞。（四） 日常操作引發(fā)的信息安全問題 1. 基層人員防病毒意識(shí)較差，引發(fā)計(jì)算機(jī)病毒傳播擴(kuò)散可能性較大。我局每一臺(tái)計(jì)算機(jī)都安裝了諾頓網(wǎng)絡(luò)防病毒軟件，并啟用了實(shí)時(shí)監(jiān)控系統(tǒng)，基層人員誤以為任何帶病毒的數(shù)據(jù)進(jìn)入系統(tǒng)都會(huì)被攔截，因此經(jīng)常隨意將移動(dòng)存儲(chǔ)設(shè)備在內(nèi)外網(wǎng)間拷貝數(shù)據(jù)。其實(shí)不然，防病毒軟件主要是對已知病毒起到防護(hù)作用，經(jīng)常將外部使用的移動(dòng)設(shè)備在內(nèi)部系統(tǒng)內(nèi)混用，容易將新病毒帶入內(nèi)部信息系統(tǒng)，一旦發(fā)生危害，影響非常嚴(yán)重。2

9、.存在同一用戶名、密碼多人使用的情況。日常工作中由于系統(tǒng)使用人員安全意識(shí)不強(qiáng)以及為方便工作，經(jīng)常發(fā)生讓其他人員代為操作的情況，基層稅務(wù)人員將自己的用戶名、密碼告知他人或與別人共享使用的情況時(shí)有發(fā)生。3. 業(yè)務(wù)系統(tǒng)安全管理缺位。核心征管業(yè)務(wù)系統(tǒng)中，業(yè)務(wù)部門管理與技術(shù)部門授權(quán)之間的權(quán)限監(jiān)督制約作用較弱，表現(xiàn)在系統(tǒng)的操作應(yīng)用沒有規(guī)范的崗責(zé)體系，業(yè)務(wù)部門要什么權(quán)限就通知信息部門賦予什么權(quán)限，造成操作人員越權(quán)操作修改信息系統(tǒng)中數(shù)據(jù)時(shí)很難發(fā)現(xiàn)。4.數(shù)據(jù)備份抗風(fēng)險(xiǎn)等級(jí)不高，數(shù)據(jù)備份的方式單一。個(gè)別單位數(shù)據(jù)備份策略不完整，數(shù)據(jù)未實(shí)行異機(jī)備份，數(shù)據(jù)備份頻率偏低等。三、 基層稅務(wù)機(jī)關(guān)信息安全問題產(chǎn)生的原因（一）

10、基層稅務(wù)機(jī)關(guān)的信息安全意識(shí)與信息安全管理要求存有差距由于基層稅務(wù)人員缺少基本的信息安全宣傳和教育，廣大基層稅務(wù)干部對信息安全的工作內(nèi)容概念模糊，對信息安全工作理解程度不高，對信息安全的重要性缺乏認(rèn)識(shí)，對開展信息安全工作缺乏責(zé)任意識(shí)。大部分基層稅務(wù)人員對“信息安全是什么、為什么要做好信息安全工作、怎么做才能確保信息安全”等內(nèi)容的認(rèn)識(shí)和理解存在偏差，認(rèn)為信息安全工作與個(gè)人日常工作無關(guān)，存在麻痹思想和僥幸心理，因此在落實(shí)信息安全的管理制度和措施時(shí)，出現(xiàn)忽視和敷衍應(yīng)付的現(xiàn)象。（二） 基層稅務(wù)機(jī)關(guān)的信息安全制度和運(yùn)維機(jī)制與信息安全管理要求存有差距 信息安全管理是一項(xiàng)技術(shù)與制度相結(jié)合的管理機(jī)制，它需要信息

11、安全人員在已有的技術(shù)條件下，嚴(yán)格執(zhí)行與之配套的技術(shù)規(guī)范和管理流程。目前基層稅務(wù)機(jī)關(guān)的信息安全管理制度均是參照市局的運(yùn)維制度制定的，因此存在與基層工作特點(diǎn)不相適應(yīng)的情況，同時(shí)由于沒有統(tǒng)一的指導(dǎo)規(guī)范和標(biāo)準(zhǔn)，造成各個(gè)基層單位在執(zhí)行信息安全制度時(shí)標(biāo)準(zhǔn)不一，流程規(guī)范落實(shí)水平相差較大。由于基層稅務(wù)機(jī)關(guān)缺乏針對信息安全崗責(zé)相對應(yīng)的考評機(jī)制和考核標(biāo)準(zhǔn)，因此各基層單位落實(shí)信息安全工作的力度和執(zhí)行情況也存在較大的差距。（三） 基層稅務(wù)機(jī)關(guān)的信息安全人員及基礎(chǔ)設(shè)施與信息安全管理要求存有差距 在信息安全人員方面，基層稅務(wù)機(jī)關(guān)的技術(shù)人員比較匱乏，技術(shù)水平有待提高。一方面由于崗位交流，基層稅務(wù)機(jī)關(guān)各崗位都存在缺人的情況，

12、因?yàn)楣ぷ髦行南蚨愂展芾砥频戎?、客觀原因，造成基層稅務(wù)部門信息技術(shù)人員配備不合理。如西站分局在職職工65人，下轄兩個(gè)稅務(wù)所，1個(gè)稽查局，6個(gè)內(nèi)部科室，有PC機(jī)70臺(tái)，廣域網(wǎng)接點(diǎn)1個(gè)，網(wǎng)絡(luò)設(shè)備若干，沒有1名電工，信息負(fù)責(zé)部門只有1名專業(yè)計(jì)算機(jī)管理人員。近年來，引進(jìn)計(jì)算機(jī)相關(guān)專業(yè)畢業(yè)生2人，均不在計(jì)算機(jī)管理崗位上；各部門的計(jì)算機(jī)管理員均為兼職，基本均為其他非計(jì)算機(jī)專業(yè)人員擔(dān)任。另一方面信息安全涉及內(nèi)容廣泛，只靠信息安全人員是不夠的。特別是信息安全技術(shù)發(fā)展迅速，基層稅務(wù)機(jī)關(guān)信息安全人員的專業(yè)技術(shù)水平遠(yuǎn)遠(yuǎn)跟不上信息化發(fā)展的需要，想做好工作往往也是心有余力不足。 在信息安全資金投入方面，基層稅務(wù)機(jī)關(guān)也存

13、在較大的缺口。信息系統(tǒng)大集中后，信息化人才和資金也相應(yīng)的向市局集中，以確保信息系統(tǒng)的穩(wěn)定運(yùn)行。信息安全管理出現(xiàn)上重下輕的情況，市局的信息安全較基層稅務(wù)機(jī)關(guān)信息安全更受重視，造成基層稅務(wù)機(jī)關(guān)信息化專項(xiàng)資金投入不足。而信息化建設(shè)一次性資金投入后需要有后續(xù)的維護(hù)資金投入，而基層稅務(wù)信息化建設(shè)資金投入存在嚴(yán)重缺口，造成信息安全設(shè)備老化嚴(yán)重，如：西站分局的機(jī)房空調(diào)設(shè)備、UPS電源設(shè)備、網(wǎng)絡(luò)核心交換機(jī)，均存在超期服役的現(xiàn)象。機(jī)房硬件不配套，設(shè)備老化，都與資金投入不足有關(guān)。四、 進(jìn)一步改進(jìn)基層稅務(wù)機(jī)關(guān)信息安全工作的建議基層稅務(wù)部門信息系統(tǒng)的穩(wěn)定運(yùn)行是各項(xiàng)日常稅務(wù)工作開展的基礎(chǔ)條件，因此進(jìn)一步改進(jìn)基層稅務(wù)機(jī)關(guān)

14、信息安全工作，堵塞信息安全漏洞成為稅務(wù)系統(tǒng)信息化建設(shè)的重要內(nèi)容和重要舉措，當(dāng)然信息安全建設(shè)本身就是一項(xiàng)復(fù)雜的系統(tǒng)工程和長期的工作任務(wù)，需要逐步完善基層稅務(wù)部門信息化安全建設(shè)。（一）以加強(qiáng)信息安全宣傳教育為抓手，提高基層稅務(wù)機(jī)關(guān)人員的信息安全意識(shí) 通過廣泛深入宣傳，不斷普及信息安全知識(shí)，使廣大基層稅務(wù)人員認(rèn)識(shí)到信息安全是稅收工作正常而一切業(yè)務(wù)工作的基礎(chǔ)，是保障稅收各項(xiàng)工作順利完成的重要前提，進(jìn)而增強(qiáng)稅務(wù)干部信息安全意識(shí)，牢固樹立信息安全第一的思想，提高發(fā)現(xiàn)影響信息安全的現(xiàn)象和行為的敏銳性和警惕性，切實(shí)增強(qiáng)維護(hù)信息安全的主動(dòng)性和積極性?；鶎佣悇?wù)機(jī)關(guān)領(lǐng)導(dǎo)要強(qiáng)化安全責(zé)任意識(shí)，充分認(rèn)識(shí)信息安全的重要性，

15、切實(shí)增強(qiáng)緊迫感和責(zé)任感。 信息安全人員要消除麻痹思想和僥幸心理，不可有絲毫的疏忽，牢記“信息安全無小事”，以身作則，忠于職守，加強(qiáng)細(xì)節(jié)管理，嚴(yán)格落實(shí)各項(xiàng)信息安全管理制度，做好機(jī)房運(yùn)行管理和安全體系建設(shè)。（二）以建立基層信息安全機(jī)制為目標(biāo)，完善基層信息安全運(yùn)維體系 技術(shù)是基礎(chǔ)，制度是保障，沒有認(rèn)真負(fù)責(zé)的人員，沒有健全的機(jī)制，再好的基礎(chǔ)設(shè)施也保證不了信息系統(tǒng)的正常運(yùn)行。因此，要針對信息安全的薄弱環(huán)節(jié)、關(guān)鍵環(huán)節(jié)、易忽視的環(huán)節(jié)，制定、修改、完善具體、操作性強(qiáng)的制度或目標(biāo)考核責(zé)任制，通過機(jī)制來強(qiáng)化信息安全。1.以區(qū)縣局為單位建立和完善信息安全機(jī)制。基層單位應(yīng)成立信息安全工作領(lǐng)導(dǎo)小組，并明確崗位職責(zé)，要針

16、對信息安全的薄弱環(huán)節(jié)、關(guān)鍵環(huán)節(jié)、易忽視的環(huán)節(jié)，制定、修改完善信息安全管理制度，通過信息安全保障機(jī)制保證各項(xiàng)信息安全的落實(shí)。2.完善安全事故的報(bào)告及處理制度，明確安全事故發(fā)生后的報(bào)告時(shí)限、上報(bào)流程及預(yù)處理方案，將安全事故的影響降低到最低。建立計(jì)算機(jī)信息安全講評制度，信息化部門利用每月一次的工作例會(huì)，對各科室信息安全情況、桌面防護(hù)系統(tǒng)注冊情況和防病毒軟件安裝情況進(jìn)行點(diǎn)評。3.完善規(guī)范的運(yùn)維管理制度。一是對基層信息安全設(shè)備的運(yùn)行、維護(hù)應(yīng)做好詳細(xì)的記錄，以便后來接手此項(xiàng)工作的人員備查和參考。主要包括：UPS主機(jī)運(yùn)行情況的記錄以及維護(hù)方法；機(jī)房溫、濕度的詳細(xì)記錄；網(wǎng)絡(luò)與安全設(shè)備的配置文檔；網(wǎng)管系統(tǒng)異常情

17、況記錄；防病毒殺毒軟件安裝運(yùn)行及病毒定義升級(jí)記錄，以及病毒危害情況記錄；服務(wù)器系統(tǒng)應(yīng)用數(shù)據(jù)備份情況。二是定期對影響信息安全的設(shè)施進(jìn)行檢修和維護(hù)，包括UPS電源專業(yè)維護(hù)部門、機(jī)房空調(diào)專業(yè)維修部門、電路維護(hù)部門、消防部門的專業(yè)人員每年至少一次的檢修和保養(yǎng)。4.建立業(yè)務(wù)與技術(shù)相結(jié)合的管理崗責(zé)體系。按照信息系統(tǒng)的用戶權(quán)限管理制度，從制度和技術(shù)兩方面建立相應(yīng)的安全防范機(jī)制，制定行之有效的與業(yè)務(wù)部門和技術(shù)部門相適應(yīng)的管理員工作規(guī)范，可以有效的防范信息系統(tǒng)操作人員對信息數(shù)據(jù)的非法操作、盜出重要信息等情況。通過明確崗位信息安全管理責(zé)任，制定管理崗位責(zé)任制及有關(guān)措施，加強(qiáng)內(nèi)部安全管理，從而大大消除人為信息安全隱

18、患。5.建立安全運(yùn)維考核。通過定期考核機(jī)房運(yùn)行管理情況，填寫機(jī)房運(yùn)行維護(hù)考核表可以加強(qiáng)基礎(chǔ)設(shè)施環(huán)境的管理。序號(hào)考核項(xiàng)目是否備注1是否有機(jī)房運(yùn)行管理制度2是否有機(jī)房建設(shè)工程文檔（設(shè)備使用手冊、工程文檔等）3是否有機(jī)房監(jiān)控系統(tǒng)4是否有專業(yè)人員管理電源、UPS、空調(diào)等設(shè)備5機(jī)房衛(wèi)生環(huán)境情況是否潔凈6機(jī)房面積大小是否合理7是否有配備除塵設(shè)備8是否有機(jī)房值班制度9是否有機(jī)房門禁系統(tǒng)10是否采取防雷、防靜電、消防、漏水檢測及接地保護(hù)等措施11是否配備機(jī)房專用空調(diào)12是否有機(jī)房溫度及濕度記錄情況13弱電系統(tǒng)是否采用綜合布線14電線是否采取雙路接入15配線柜內(nèi)供電線路是否完好16地板下的線路是否用管道包裹（三）以加大信息安全技術(shù)培訓(xùn)力度為手段，優(yōu)化基層信息安全人才隊(duì)伍。信息安全涉及稅務(wù)信息化的各個(gè)環(huán)節(jié)，需要掌握的技術(shù)水平應(yīng)與信息安全崗位相適應(yīng)，因此要樹立信息安全人才分級(jí)管理的理念，合理調(diào)整人員比例，逐步優(yōu)化基本技術(shù)人員、專業(yè)技術(shù)人員占專業(yè)管理人員的比例。信息安全技術(shù)發(fā)展日新月異，唯有不斷開展更新知識(shí)培訓(xùn)，才能適應(yīng)信息崗位的需要。要增強(qiáng)培訓(xùn)的針對性，針對現(xiàn)有專業(yè)技術(shù)人才的不同層次、特點(diǎn)，開展好不同內(nèi)容和方法的差別化、特色化培訓(xùn)。積極組織各種專題講座和培訓(xùn)班，有針對性地培訓(xùn)現(xiàn)有信息管理人員，不斷提高培訓(xùn)質(zhì)量。要通過技術(shù)人員崗