浅议基层国税系统信息安全面临的问题与对策
摘 要:本文从基层国税机关信息安全面临的问题着手,分析了信息安全问题所产生的根源,阐述了从思想、制度、技术和管理等方面多管齐下解决安全风险的思路和对策,提出了加快信息安全基础设施建设的必要性。
关键词:信息;安全;问题;对策
随着应用系统数据集中、资源整合工作进一步深入,基层国税机关日常要输入、传输大量的重要数据,在网络安全事件频发的今天,税务网络的安全也同样面临着严峻的挑战。
一、信息安全面临的问题
(一)信息安全教育和安全管理松懈,信息安全观念淡薄,保密意识不强。不少操作人员普遍认为只要有了杀毒软件,有了网络防火墙,内网电脑不上因特网,不使用移动存储介质,就不用担心自己的电脑会出现什么安全问题,觉得黑客、病毒离自己很遥远。由于操作者普遍没有危机感,造成各类安全管理制度执行不到位,对信息保密技术的运用持“无所谓态度”,这实际已经构成信息安全的最大隐患。
(二)安全保密制度落实不到位。笔者曾对所在单位公文处理系统空密码进行扫描,在109位用户中发现34位用户密码为空,占31%,如果加上弱口令,这个比率应该会更高。由于大部分应用系统的数据集中在省、市局,县局无法通过技术手段批量筛选出弱口令、空口令账户。笔者以为,全省弱口令、空口令用户应该不在少数。此外,诸如涉密文档不加密存储、不按规定销毁涉密文档等现象也普遍存在。
(三)移动存储介质管理存在较大安全隐患。不少税收管理员为方便工作,也会要求企业报送的部分报表均通过U盘或电子信箱传递。如此一来,U盘内外网混用就不可避免。现在提倡使用摆渡机,就是一台既不联外网也不联内网的电脑,从外网下载了资料后先拷到摆渡机上并查毒,然后将摆渡机上的资料保存到U盘或移动硬盘再拷到内网,但这种方法一方面十分繁琐,遇到时间紧张的情况就难以做到。另一方面也不能保证万无一失,因为不能保证摆渡机的彻底干净。
(四)违规登陆因特网无法及时发现。虽然实行内、外网物理隔离,但是违规通过无线网卡、宽带拔号私自上因特网的现象依然存在。部分操作人员错误的以为拔下内网网线,然后上因特网就实现了物理隔离。殊不知,在上外网的过程中,如果浏览了带木马的网页或运行了带病毒的软件,木马、病毒就会植入个人电脑,当插上内网网线,木马程序或病毒就会在整个网络中传播。
(五)瑞星病毒库、上游补丁服务器更新补丁滞后,杀毒软件实时监控功能效果有限。由于病毒库更新、补丁下发的滞后性,税务内网的病毒、木马有时不能得到及时发现并清除。笔者所在单位就曾发现08-067.d病毒,通过瑞星杀毒软件反复查杀均不能彻底清除,最后只能手工清除。据省局信息中心2008年统计,全省共查杀病毒2740536个,入侵事件236900件,形势不容乐观。
(六)缺少计算机安全策略设置。大部分计算机没有设置过本地安全策略,为图方便,大部分用户使用空口令登陆Windows。使用口令的用户,在密码复杂性、长度、更换周期方面也远远达不到安全的需要。基层单位电脑使用的操作系统一般采用默认安装,开放了所有端口,为病毒、木马入侵留下了窗口。
二、加强信息安全的对策
(一)加强信息安全宣传,树立信息安全理念。采取举办信息安全专题培训班、开辟信息安全宣传园地等多种形式进行信息安全宣传,使广大税务干部职工树立正确的安全意识、法律意识并初步掌握必备的安全技能。帮助干部牢固树立“防胜于治”的安全理念,克服麻痹思想和侥幸心理。要高度重视系统口令的重要性,省市局可以通过后台定期对空口令弱口令扫描,并将结果下发给各县局,由县局督促相关人员做好口令安全工作。
(二)加强制度落实的执行力,降低信息安全风险。大多数安全事件的发生和安全隐患的存在与其说是技术上的原因,不如说是管理上的原因。国内已经发生的许多计算机安全事件,包括计算机犯罪,技术手段并不怎么高明,主要是由于钻了管理上的漏洞。管理的关键在于人员管理,因为各种安全措施要靠人来实施,另一方面,有相当多的安全隐患出自系统内部人员。因此必须提高安全管理人员的素质,加强对系统内部人员的教育和管理。
(三)严格按规定使用移动存储介质。通过北信源桌面防护系统控制U盘使用节点,确实因工作需要使用USB接口的电脑,必须先进行病毒查杀,在确保安全的情况下方可使用。
(四)强化信息安全管理可控能力。鉴于信息系统的复杂性和使用行为的多样性,光靠技术手段是不能完全奏效的,必须要动用管理可控手段,双管齐下,所以信息安全的对策是技术与管理手段并用。加强日常网络检查,严格执行内外网物理隔离相关制度。建立必要的惩处机制,对违规外联其他网络的个人除经济处罚外,应追究其行政责任,以切实提高信息安全制度的刚性。
(五)提升信息安全的防护与对抗能力。加快更新病毒库频率,及时从微软站点下载最新补丁。建立由数字认证、安全测评、网络监控、事件通报、应急支援、灾难恢复、舆情治理等信息安全基础支撑平台和支撑体系。加快信息安全基础设施建设,在全省范围统一购置同品牌防火墙,统一设置安全策略,确保网络安全畅通。建议总局、省局层面开发如“360安全卫士”具有电脑体检功能的系统,所有税务内网的电脑均能通过该系统对个人电脑安全策略及各业务系统口令强弱进行检测,实现自我检测,自我修复功能。
(六)根据税务系统特点,向微软公司定制税务版WindowsXP操作系统,诸如本地安全策略、系统所需加载的插件等集成到操作系统。一方面方便基层安装操作系统,另一方面也减少基层税务机关安装盗版操作系统带来的风险。
下一篇:数据库安全与加密系统问题研究