国税系统网络信息安全存在的问题.docx

1、国税系统网络信息安全存在的问题国税系统网络信息安全存在的问题随着国税系统信息化建设的发展，特别是“金税工程”的实施，在全国建立了总局-省局-地市局-区县局四级广域网络，全国各级国税机关以计算机网络为依托的征管格局已基本定型，在税务信息化建设不断蓬勃发展的同时，网络与信息安全的风险也逐年显露。一、 国税系统网络信息安全存在的问题1、物理安全上存在的问题。物理安全主要指信息化系统、设备、工作环境等在物理上采取的保护措施。国税系统在物理安全上存在的问题主要表现在机房建设、局域网建设规划上，随着各地基本建设的不断投入和完善，省市县的机房和网络建设趋于完善，但根据县一级的实际情况，机房虽然配备有专门的防

2、雷、防火设备，但没有防水、防潮设施。县一级的机房网络设备和部分服务器和上级机房同样是24小时开机，机房属于夜间和双修日无人值守，一旦出现突发事故，不能在第一时间处理，这样存在许多安全上的隐患。 2、网络安全上存在的问题。网络安全主要是指网络访问、使用、操作的安全，它是信息化安全中最普遍的内容，主要包括：病毒危害和访问安全。在开放网络环境下，计算机病毒的危害比以往要大得多，特别是近几年，通过网络进行传播的病毒数量急剧增长，危害范围也不断扩大。对付计算机病毒的最好的方法是安装防病毒软件，综合征管软件自2005年6月上线后，我省国税系统先后部署过两个网络版的防病毒软件，现在部署的是国税系统专用版的瑞

3、星网络版的杀毒软件，可以实时查杀病毒、智能安装，快速方便地升级。然而，杀软不是万能的，就我局实际情况网络安全人员虽然对全局所有在用计算机安装了网络版的瑞星杀毒软件，但依然存在我局网络被ARP攻击后网络带宽被大幅占用，影响了税收正常业务的开展，还有就是近期在我市出现的针对MS08-67内存漏洞的蠕虫病毒出现影响到FTP、网语等工具及其他网络资源的正常使用和访问。访问安全是指对设备、资源、信息和服务访问权限的安全控制。访问安全也是最常见的安全问题，国税网络缺少必要的权限管理，人人都可以通过网络访问到各服务器和路由器。造成许多安全上的隐患。 3、信息安全上存在的问题。信息安全主要是指信息交换安全。网

4、上申报、网上认证的发展推动了信息安全需求。这两种情况都需要对连接者身份进行严格验证，防止非法用户的进入，为了防止传输过程中的信息被窃听，要求登录用户名和密码以及数据在传输过程中进行有效的加密。为了增强信息安全，需要对登录信息和纳税申报信息进行安全审计记录，从而可以对非法入侵进行跟踪，并分析系统的安全状况。4、管理安全上存在的问题。管理安全是指通过加强安全管理来保证物理安全、网络安全和信息安全措施的实现。信息化安全是一项系统工程，如果没有有效的安全管理，其他的任何努力都形同虚设。信息化安全需要一个完善的安全管理体系，从安全管理组织、制度、措施上都要制定一整套相应的规范。如应急预案、机房安全制度、

5、密码制度等均应全方面的完善，从而杜绝网络安全上的漏洞。5、网络及信息系统安全意识存在的问题。网络及信息系统安全问题很多时候都出在内部，许多典型的网络入侵事件都是借助于内部人员才得以实观的，而我们国税系统的一般工作人员，网络及信息系统安全意识差，个别人就根本没有安全意识，计算机随便装载各种游戏软件，不经杀毒随便使用外来U盘、软盘、光盘等现象普遍存在。二、解决网络信息安全的对策 信息化安全问题不存在一劳永逸的解决方案，提出的任何安全对策也只能是更好地预防问题的出现，尽量减少安全问题对正常业务的影响。针对我局国税系统信息化建设的特点和存在问题的分析，可以归纳出“三大对策”，即完善已建设高可用性网络、

6、已部署的安全防护系统和已建立的安全保障体系。1、建设设高可用性网络。建设高可用性网络就是要建设具有高性能和高可靠性的信息化基础网络设施，实现信息化物理安全和网络安全。建设高可用性网络的主要措施涵盖信息化硬件和软件以及需要重点考虑的灾难恢复。（1）信息化硬件。信息化硬件包括网络设备、服务器、布线、机房设备等。要保证信息化网络的高可用性，在设备选择上必须坚持高性能和高可靠性，在系统设计上也要充分考虑网络和设备的冗余备份。在网络设备上，应尽可能选用可靠性高，有相对冗余的中心交换机：服务器应选用带冗余电源的，硬盘应选用能做RAIDl，RAID5等高可靠性的磁盘阵列：机房设备必须用UPS供电，保证设备的

7、持续、稳定运行。（2）信息化软件。信系化软件主要包括操作系统、数据库、应用程序等。应尽量选用性能好安全性高的操作系统，个人计算机操作系统基本选用WindowsXP，服务器操作系统优先选用Windows 2000 Server系统。（3）灾难恢复。随着信息化进程的深入，国税系统对计算机设备的依赖度也越来越大、对税务系统而言，最珍贵的不是信息化设备或系统：而是存储的各种文档和数据库信息。所以灾难恢复是信息化安全中很重要的一个组成部分，必须想法保证数据存储的可靠性，保证网络服务和应用在故障时能尽快恢复。对国税系统而言，灾难恢复保护的地方主要是关键数据库和文件服务器。关键数据库一般是指存储纳税申报信息

8、CTAIS数据库、金税数据库，文件服务器主要是指办公自动化所依赖的服务器，它存储国税系统管理过程中所需的重要文档和资料。先进的典型灾难恢复系统是由集群服务器、存储设备和相关软件组成，当系统部分设备发生灾难时可以保持服务的连续性并自动恢复或尽可能恢复最近的数据。典型灾难恢复系统的一个重要特点就是灾难恢复系统里的设备要做到地理分散，才能真正应对灾难的发生。2、完善部署安全防护系统。部署安全防护系统主要指通过操作系统安全使用和部署安全防护软件,实现信息化网络安全和信息安全。（1）防病毒系统。常见的计算机病毒主要是针对微软的操作系统，对国税系统而言，对付病毒的重要手段是部署网络防病毒系统。网络防病毒系

9、统由防病毒主程序和客户端以及其他辅助应用组成，它可以通过管理平台监测、分发部署防病毒客户端，这种功能意味着可以统一并实施全系统内的反病毒策略，并封锁整个系统内病毒的所有入口点。因为计算机病毒是动态发展的，到目前为止尚未发现“万能”防病毒系统，所以我们能做到只能是及时地更新病毒库。要有效地对付计算机病毒，除了部署防病毒系统外，还要配合其他手段维护系统安全，做好数据备份是关键，并且要及时升级杀毒软件的病毒库，还要做好灾难恢复。（2）防火墙。防火墙是目前最重要的信息安全产品，它可以提供实质上的网络安全，它承担着对外防御来自互联网的各种攻击，对内辅助用户安全策略的实施的重任，是用户保护信息安全的第一道

10、屏障，在信息化安全中应给予高度重视。通过配置安全策略，防火墙主要承担以下作用：禁止外部网络对国税系统内部网络的访问，保护国税网络安全。现在的防火墙在功能上不断加强，如可以实现流量控制、病毒检测、VPN功能等，但是防火墙的主要功能仍然是通过包过滤来实现访问控制。防火墙的使用通常并不能避免来自内部的攻击，而且由于数据包都要通过防火墙的过滤，增加了网络延迟，降低了网络性能，要想充分发挥防火墙的作用，还要与其他安全产品配合使用。（3）入侵检测。大部分入侵检测系统主要采用基于包特征的检测技术来实现，它们的基本原理是：对网络上的数据包进行复制，与内部的攻击特征数据库进行匹配比较，如果相符即产生报警或响应。

11、检测到入侵事件后，产生报警，并把报警事件计入日志，日后可以通过日志分析确定网络的安全状态，发现系统漏洞等。如果它与防火墙等其他安全产品配合使用，可以在入侵发生时，使防火墙联动，暂时阻断非法连接，保护网络不受侵害。在部署此类产品时要注意进行性能优化，尽量避免屏蔽没有价值的检测规则。（4）操作系统安全使用。在信息化网络中，操作系统的安全使用是保证网络安全的重要环节，试想如果你打算与同事共享一个文件夹，可是你又没有加密码，共享的文件就会变成公开的文件。操作系统安全使用主要包括以下几方面内容：用户密码管理、系统漏洞检测、信息加密等。用户密码管理无论是对个人还是整个系统都是很重要的。用户密码管理有许多的

12、原则要遵守，最重要的就是不要使用空密码，如当你使用Windows系列产品时，如果不幸你使用空密码，局域网中的任何人都可以随意访问你的计算机资源。如果你是系统管理员，制定严谨的用户密码策略是首要任务之一。漏洞检测对关键服务器的操作系统是极为重要的。任何操作系统都不可避免地存在安全漏洞，操作系统的漏洞总是不断地被发现并公布在互联网上，争取在黑客没有攻击你的主机之前及时发现并修补漏洞是极为关键的。另外一种类型的漏洞并不是系统固有的，而是由于系统安装配置缺陷造成的，同样应引起足够重视。对服务器而言，关闭不需要的服务或端口也是必要的。即使网络很安全了，需要保密的信息在存储介质上的加密仍然是必要的，因为任

13、何网络不能保证百分之百的安全。使用Windows系列操作系统时，尽量使用NTFS分区，对重要信息起用加密保护功能，这样就算是信息意外泄露，也无法破解。3、建立安全保障体系。安全保障体系主要是指：对信息化安全管理的整套体制，包括管理组织、制度、措施等，通过安全管理，保证物理安全、网络安全和信息安全措施的实现。（1）建立安全管理机构和管理制度。建立安全管理机构，确定安全管理人员，建立安全管理制度、维护和维修管理制度及安全考核制度，建立责任和监督机制，实行分权制约，优先授权，进行系统设备、网络设备和存储设备的安全管理，建立工作记录，详细记载运行情况。（2）制定安全应急预案。在国税系统网络中，小的安全

14、问题可能比较容易解决，但是严重的安全问题对税收工作的影响是很大的，如系统设备故障或大范围病毒感染等，这时的问题处理起来会特别复杂，有必要针对特定的安全问题制定安全应急预案。安全应急预案主要确定安全应急处理时的领导组织结构，解决问题的思路、方法和步骤，做好事前准备，不至于遇到问题时慌了神而手忙脚乱。（3）加强网络管理。加强网络管理是信息化安全的重要环节，网络管理的内容主要包括：操作系统安全策略的维护和检查、系统和数据的备份、防火墙路由器等的安全检查、审计分析网络安全事件日志、设备和系统的日常维护等。只有加强网络管理，才能保证网络的安全可靠运行。（4）加强网络及信息系统安全宣传教育。安全问题很多时

15、候都出在内部，许多典型的网络入侵事件都是借助于内部人员才得以实观的，而且严格的安全策略大多是针对外部的，所以应高度重视内部安全。除了从技术上尽量保证安全以外，通过加强宣传，增加工作人员的安全和遵纪守法意识，让广大工作人员自觉地参与到安全保护中来，认真执行安全策略，减少安全漏洞，信息化安全才有保证。总之，信息化安全问题是一个严峻的问题，特别是随着广域网和互联网应用的发展，安全问题变得更加突出。安全问题是融入到信息化建设的整个过程中的，它是一项系统工程，只有通过“建设高可用性网络，部署安全防护系统，建立安全保障体系”，信息化安全才能得到最好的保证。李俊宇.信息安全技术基础冶金工业出版社.2004.12计算机网络安全袁德明，乔月圆电子工业出版社2007年6月计算机网络信息安全理论与实践教程蒋建春，西安电子科技大学出版社 2005年9月网络信息安全技术周明全 吕林涛 李军怀2003年出版社：西安电子科技大学出版社