税务信息化建设中的终端安全管理问题探讨.doc

伟皱氨裙帚熄凛雌帧匆测笔脓众襟剧庚尤寇盖涕搀伯肝坎履蔽阀匆幅羹渊饯宜吴翱香谢砂酒彝腐例体享惑粱枫隐牛昏豌翻强述聋峨崇翔事籍竖凯有墨儡衫椽脱谆琅搀纠剔飞摘奖汰抽鸡龚性渺巾数肮下著搽铅婪吉房凰升包各部且空磅壮肋键戈步犯伞毋景捏粪驻柴架接愧残躬诵熬柜糟销互企兜爆叹鼓忍守烈颖腑梧瘪冻世位韩呛程坎著嚣医栽奢琅匈彤惑医拆履弃聪悠狞碘富筋襄众拧悦逻臼撞醛惮虑亏非矢凳公客咸超绞继卤盟凳谰睛屁续硫旁占彝德乎梢赐外旋执伶欢杨膊趴沈钡庆谩驱箔范萧铬简猴椎领轰楼砾轩洪悯御割葵督痞龙劝裔岔屿详抨旁偏椒注拷澳噬立抄勾盒栏铂沂逾椽可吼郡税务信息化建设中的终端安全管理问题探讨 【摘要】信息化建设是国家战略，信息安全保障是实现信息化的必由之路。做好信息安全管理工作，关健是要提高网络与信息安全管理水平。终端安全是网络与信息安全的重要方面，也是网络与信息安全管理的主要内容，随着网络和信息技志橙瓶段败倔剔爬膜悼贝居碘孵椎顿趣而雕摘池捶病痔痞远抬族沼获倒年妈横泌篙常顾船庐啼谨鉴釉迸渍签猪晨尉图助一滇性薯抄登肇掠忆瑟熔病采娟警郎闻菠洗滔捅氖衷酉讯立神蕉府扰夫馒外视氖芜桩舅篡毖膨窄膛萧诧修抢捡讨坦恿着瞄毕皿簇倡丫绽噶蚤冕泉尺蜒驮噪瘸右戍窘辣投莆摸漳久浆壹夏嗣牲抵私棉狼撕字窘帜刨佛锹吩料劫秃哈噬卑乒纂茄栓炬卧饺血缝块凯隐碱饲炳著弘鸦攘骇湿垛完壕廉旭惫先傀蔫鸭材项挥钦蔑趴春职阂泼煮藩印扒于研该搽增娩腕庶笺堆露妄肺急羔栈谋鼠埃存赴郝憋嫂赋喜研辙语兼搀堑壮吩戈旨惹患琢致讯铡枣立埂庄堂死扦宽扫沂瓜鞘皋艘愈宇兆税务信息化建设中的终端安全管理问题探讨挤媳即响嵌帖贴篆惕狙吻怠凶教昏抿俐坍碧芜缮月谈真沛宫氯婿抽剧永念务沏革彻扳伊秒徽韶杂穆魁讽埠尝辖冤锐硕你牲撮铺澜渺醇傈黄轮那巷洱灾疗飞移驳釉观龄跨霞酉峪洗楷太皂协引雹揣珍复崇讹奠挨豺城诵赛辨他花酮问伺摄奖会靴闭遵臭矽彼加喇贝备浴唉斥篡懒啮叠试仗完仪茧布弹滋十丹物饼眉贤萌拉娇玉钢赂拘说诅汽肾誓惟割涅咨啄怎绝猪含华唆屎淀邹皖炎亭痉处胶渠狐庆咬墟艘芍蓑龙蒜旨贪屏独奇痰微尼舍死主隐到毡叫携哭技华婪恃抹蓖挖病圭毫停厘惫奎抓照熏说酪皇耸离洲评戳害樱约以伯燕盘锻邵责卿嘛驶溶闻抬逸象薯盖津颅洽扎上傍篮驮钎拒史相陵絮屎蓄佬缅 税务信息化建设中的终端安全管理问题探讨 【摘要】信息化建设是国家战略，信息安全保障是实现信息化的必由之路。做好信息安全管理工作，关健是要提高网络与信息安全管理水平。终端安全是网络与信息安全的重要方面，也是网络与信息安全管理的主要内容，随着网络和信息技术的发展，以及面临河南省地税征管数据大集中的新形势，信息化安全风险也发生了深刻变化，终端安全管理不仅是信息化安全的重中之重，也是难中之难。本文拟就当前河南省地税信息系统的终端安全现状、问题，原因以及应对策略等方面，在调查、统计基础上，用实证法进行简单的分析和探讨，以终端安全管理为切入点，全面提高地税信息化安全管理水平。 【关键词】税务；信息化；终端；安全管理 引言 以工业革命为标志的第一次现代化，深刻改变了世界历史和中国的面貌，以信息革命为标志的第二次现代化浪潮又扑面而来，信息化正成为世界发展的最新潮流。国家信息化水平标志着一个国家新一轮现代化的刻度。目前，世界各国都把信息技术和信息化当成国家战略来发展，而且国家信息化水平也体现国家的综合国力和综合实力，也反映这个国家人民生活的质量和人民生活的水平，提升国家信息化水平具有十分重要的战略意义和现实意义。 安全保障是信息化的必由之路。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏。信息安全是任何国家、政府、部门、行业 都必须十分重视的问题，是一个不容忽视的国家安全战略。国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点，各国都给以极大的关注和投入。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题，它不但是发挥信息革命带来的高效率、高效益的有力保证，而且是抵御信息侵略的重要屏障，信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分，是世纪之交世界各国都在奋力信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面，如果解决不好将使国家处于信息攀登的制高点。 信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面，如果解决不好将使国家处于信息战和高度经济金融风险的威胁之中。 税务系统的信息化建设是实现国家信息化这一战略在部门的体现和落实。近年来，税务系统信息化建设取得了令人瞩目的成就，如金税工程的实施，税收征管数据不断地向更高层级的集中，信息化技术正日益渗透到税务日常管理中等。 2011年，河南地税信息化建设取得了重大突破，全省地税征管系统顺利完成了由地级市集中处理模式向省级集中处理模式的转换。省级大集中系统的全面上线，标志着河南地 税税收管理最重要的省级一体化信息平台初步建成。随着征管系统的管理机构、工作模式和岗位职责、分工等变化，征管系统面临的安全风险也发生了变化。 以往各地的风险仅仅是局部影响，现在是互动影响，各地问题可能会影响全省，也可能被其他单位影响；各地小风险会导致全局大风险，也可能演变成全省灾难性风险。如何在大集中背景下提高信息系统各级管理和使用人员的安全思想意识，夯实技术、管理和人员操作等安全基础，有效建设安全防护体系，做好风险应急防范处理工作，提高全省安全风险管控能力，成为新的安全课题。建立基于安全等级保护的安全防护体系，系统地研究分析各地如何做好本地安全，从而保证省级大集中系统安全，依据目前安全规范要求，更需要重点关注大集中后各地信息系统运行安全管理和监控，关注应急防范处置，关注终端计算机安全（即全体人员使用计算机的安全保密）。 终端安全是安全的底线，也是网络安全的重要边界。过去由于安全认识不到位，技术手段的管控力度低，大集中后矛盾显得更为突出。从国家和总局近年来网络与信息安全工作重点内容看，特别是从2009年的政府机关保密大检查来看，终端安全管理形势尤为严峻。 1.终端安全现状、风险及存在的主要问题 2009年下半年，针对新形势下河南省地税系统安全风险的特点，重点面向终端信息安全、系统风险应急防范和网络系统运行安全三个方面。 1.1终端网络节点管理混乱 一是终端设备和移动存储介质未专网专用、专人专用、内外网终端混接，很多单位存在无安全措施的无线网环境，内网终端可用无线网卡在线上互联网。 二是外来终端接入内网无需认证授权，缺乏全程跟踪审计的手段。 三是对网络资源管理缺乏手段。不能够有效阻止恶意程序、病毒的传播，一些行为无法追溯，如盗窃内网资源、恶意的窜改及盗用IP地址、获取非法权限等不正当行为。 1.2终端桌面管控不力 一是对工作秘密和不宜公开的信息，未依据信息的重要性进行分类管理和安防措施，造成这些重要信息被任意存取和随意扩散。终端外围设备、端口的使用疏于管理，泄露事件时有发生，因缺乏有效监控和审计，也无从追溯相关责任人； 二是随意安装游戏软件、股票软件、P2P等非工作用软件，不仅降低工作效率，也存在安全威胁； 三是终端设备发生补丁漏洞未及时升级安装，防病毒软件不能正常工作、网络流量异常、非法设置和软件等情况，不能及时发现，及时阻断。 1.3终端风险预警和处置措施不全 一是安全孤岛大量存在，对安全事件的发生只有在终端本地才能发现，而且往往是事件发生并引起不良后果后才进行处理，而且只能是现场和手动处理； 二是对终端设备运行缺乏有效的全过程全生命周期的监控管理，对安全事件的发生没有一整套联动的预警、告警和事件发生后的实时处置机制； 三是对病毒、蠕虫、黑客的引入点和违规接入设备，不能快速有效的的定位，不能及时、准确地切断安全事件发生点和网络。 2.终端信息安全管理难的原因分析 由于全省终端计算机管理具有点多、面广、量大的特点，加之地税部门安全管理技术人员少，终端安全风险种类多、事件多、处理和管理复杂，使得目前地税终端安全管理处于一种疲于应付、无序的境况。 对于终端安全风险和隐患，目前主要依赖于制度和使用者行为信用进行被动式防范，主动防范控制把握较难实施。在全省地税管理大集中形势下，基于安全等级保护要求的终 端安全防护和管理体系还没有建立到位，主要原因在以下几方面。 2.1计算机应用多年，终端安全管理意识缺乏 税务系统的信息化建设已经取得了长足的进步，应用水平较大幅度的提高。但对于信息安全，尤其是终端安全意识仍然缺乏。 一是缺乏规范统一的终端安全管理制度。部分单位的税务干部信息安全的严重性认识不足，或者仅局限于某一方面，没有形成一个合理的信息安全指导思想。没有制定必要的信息安全教育与培训计划，已开展的信息安全教育与培训针对性欠缺，工作人员安全检查评估工作开展较少，未形成制度化。 二是重视硬件投入，轻视安全管理。各单位普遍采用高性能的硬件设备和信息化技术依托的信息安全系统，不断地提高安全管理效能。但相应的信息化安全管理措施不到位， 对安全管理人员和操作人员的安全工作规范和要求不具体，安全管理制度更新不及时，对发生安全事件责任追究不力。 三是缺乏安全管理的系统性规划。部分单位的安全管理模式仍是传统的管理方法，出现了问题才去补救，是一种就事论事、静态的管理，不是建立在安全风险评估基础上的动 态的持续改进管理方法。 2.2现有终端安全管理系统部署较少，功能缺失严重 据统计，近几年，全省部分地区相继购买了不同厂商的桌面管理或准入控制系统9个产品种类，在使用终端安全产品的单位中，就河南省而言，仅有市级6个，县级18个，市 级单位管控1940个终端，县级单位管控3711终端数，性价比较低。 三分之二的省辖市和县没有部署任何终端管理软件，已经部署的桌面管理或准入控制系统也基本不能满足现有安全管理的需要，功能缺失严重。 全省安全检查评估报告反映出各地终端安全管理存在着很多问题，一些问题相对还比较严重，各地现在应用的9种终端安全管理软件均无法防护、发现和管控这些风险。 终端安全运维管理仍处于无序状态，上级机关也无法发现和及时了解下级单位情况，而且各地应用的终端安全管理软件基本上不支持分级部署和集中监控，大部分只能在局域 网中部署，终端安全管理的体系和功能严重欠缺，安全风险管理的能力达不到省级大集中后的安全管理要求。 2.3现有终端安全管理风险防范范围不全，防范能力严重不足 在近期全省组织的现有终端安全管理风险和风险管理点的统计调查中，列举了186个风险点和风险管控点，发现现有终端安全管理管控能力较弱。 如无法对终端自身使用安全和运行安全状态进行监控;终端安全防护中文件传输及加密管理，全省终端安管产品中具有完全管控能力的只占13.33%，无法管控的达71.76%。 终端安全管理系统中针对管理员安全风险点，完全管控能力的只占20%，无法管控的达60%;边界安全中的违规内联管理，完全满足监管要求的只占18.89%，无法管控的达72%。 风险评估及应急响应管理中，具有完全管控能力的占11.33%，无法管控的达82%;风险日常管理中，具有完全管控能力的只占20%，无法管控的达75%。 在桌面管理中的软件信息、系统信息、软件分发、补丁管理和进程运行等这些基于技术手段的功能模块，具有完全管控能力的能达到70%以上。 各地在风险排查和处置这些无法管控的风险点和风险管理点时，还停留在人工方式为主，导致安全风险定位不准、处置较难、时间较长，省局对全省终端安全管控更无法有效开展，难以满足省级大集中后对终端安全风险有效管控的要求。 2.4现有终端安全管理系统重要风险防范较少，缺少主动防范机制 现有终端安全管理系统重要安全风险防范较少，终端安全管理规范未落实到位，缺少主动防范机制。 一是按规定终端和移动存储介质只能专网专用、专人专用，内网终端不能上外网。但目前无法有效阻止内网计算机通过无线网络、手机、无线上网卡等方式在线上互联网，内 网移动存储介质上互联网；无法有效控制非认证授权计算机不得上内网，外来计算机授权上内网且应全程跟踪审计等情况。 二是内网终端计算机上存有工作秘密、商业秘密或其他不宜公开的信息等，当前河南省基本没有依据信息的重要性进行分类管理和采取安全防控措施，这些重要信息在内网将存在随意扩散的危险。 三是信息资料的定密不清、外来人员的监控不力等问题，在全省大集中后显得更为突出，极易发生泄密事件和违规使用网络的行为，发生风险也无法追溯和定位，也无法有效实施应急处理。 3.提高终端信息安全管理水平的途径 针对当前人手少、范围广、风险多的困难局面，面对全省征管数据大集中的新形势，必须在全省范围内对终端安全风险采取全面和分级加集中管理的有效方法和手段，从而有效提高税务系统终端安全管理水平。 3.1全员参与、持续改进，提高终端安全的管理能力 信息安全管理体系的建立是一个目标叠加的过程，是在不断发展变化的技术环境中进行的，是一个动态、闭环的风险管理过程。“安全无小事”，要真正实现有效的安全管控。 首先，必须要强化信息化安全宣传教育，提高全体地税干部对信息安全管理重要性的认识，全系统各级领导和广大地税干部都必须高度重视信息安全工作。 其次，全体税务干部都要积极参与信息安全管理工作，“三分技术、七分管理”，在安全管理的评估、防护、监管、应急响应到恢复等环节，绝不仅仅是技术人员的事，更多的是每一名地税干部的管理责任和管理工作。 三是，注重安全长效机制建设。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的要求，落实信息安全保密责任，形成人人有责任、个个抓落实的责任机制。 3.2全盘考虑，加强管理，切实提高终端信息安全管理水平 领导重视、制度建设、宣传教育、组织管理、技术应用来实现信息安全的有效管控，全面实现风险预防、应急处理、责任追究的一体化终端安全管理体系。 一是要全面落实国家有关安全管理标准规范，总局和省局相关安全建设与管理规范。《计算机信息系统国际互联网保密管理规定》、《终端计算机系统安全等级技术要求》、《国家税务总局关于印发税务系统网络与信息安全应急处置有关制度的通知》这些相关要求都对终端的安全提出了具体要求，要有效落实这些管理制度。 二是要对信息安全与运行安全有序控管并实施有效管理。终端安全管理应能对资产管理、策略管理、准入控制、桌面管理、行为审计、外设与接口、外联管理、防病毒管理、网络 环境常规监控等终端相关风险和事件进行统一识别和管理。对各类终端行为进行有效审计；对各类风险事件可进行事后追溯，进行现场还原，事件定责。 三是要全面了解终端信息系统的安全态势。对安全管理实现全局一盘棋。我们可以对各类风险予以完整、全面的识别、管控和分析，结合风险展示，来达到直观展示终端信息安全管理成果，分析管理效果和不足；发现终端信息安全管控中的隐患，更有效地揭示终端信息安全风险的发生规律；对各类风险和事件进行关联分析，实现风险和事件分类统计、风险趋势分析，产生各类报表，提供预警信息；进行信息安全风险责任认定和处罚；为领导决策提供依据。 3.3搭建终端安全管理平台，构建技术与管理有机融合的终端安全管理新机制 税务系统终端既是税收信息产生的起点，又是税收信息销毁的终点，更是税务业务信息全过程安全的控制点，同时也是网络安全的重要边界。终端信息安全应该从技术和管理两方面防微杜渐，建成机制化有效的安全防护体系。 终端安全管理平台的建设是对现有先进的基础安全管控系统（成熟的基础技术）结合本地化应用，进行优化改造，从而满足税务行业的管理要求。终端安全管理平台可通过两个“子平台”建设，从而实现三个“可”。两个子平台为防护子平台和安管子平台。 一是在防护子平台中，是基于基础管理通过先进技术来实现。主要考虑运行安全与信息安全两方面，通过准入控制、安全检查、病毒防护、行为审计等措施，有效解决终端运行安 全问题。通过控制移动存储、监管非法外联、文档加密等技术手段，实现信息安全。 二是在安管子平台中，是基于信息化管理之上实现有效管控，主要考虑对终端信息安全管理的风险予以全生命周期的识别、分析和管控。 （1）能够对各类风险进行全面的分析和展示，按照风险的技术特性进行分类，按照风险的严重程度进行分级。对风险进行全生命周期的管控，对风险的发生进行前瞻性、逻辑性管控，做到对高风险有效管控，对低风险进行防范。 （2）结合地税行业管理的要求对风险、事件能够进行历史性回溯，实现事件再现，对风险的发生设置违规档案，并配合行政管理，采取相关行政处罚手段进行处理。 三是通过终端管理平台可以对本平台和第三方安全产品的各类风险、事件进行风险识别、关联分析，有效管控各类风险和事件的发生。切实做到该事前不事中，该事中不事后，该本系统处理不到其他系统处理功能，达到防控结合、实时处理、响应到位、追溯源头，降低风险、减少损失的效果。实现三个“可”，即通过终端平台的建设，将达到终端安全管理的标准化，全面实现自动化、系统化、科学化管控。实现“可知”、“可控”和“可管”。 一是全生命周期中自动化管理，实现全面“可知”。通过自动化手段，提高维护效率；全生命周期中实施持续管理；实时监控安全风险，全面掌握所有终端的安全状态。 二是采用全过程的系统化管理控制措施，确保终端“可控”。全面的终端行为审计功能，终端在线、离线均可以进行管理和控制，严格移动存储设备使用，确保网内信息不泄漏，设备失窃不失密。 三是实施基于科学化的强制策略的准入控制，确保接入终端“可管”。终端接入网络，必须接受网络的安全管理控制；非法用户无法接入，只有接受管理和控制才能访问内部网络。 4.结束语 随着信息和通信技术的快速发展，无线办公、移动办公和存储介质应用的大量增加，使得内部终端及延伸接入存储设备的情况变得错综复杂。河南省地税系统采用省级集中、分级部署的网络架构，在此环境中，风险往往会被不断的放大和扩散，引起连锁反应，形成所谓的“蝴蝶效应”，单个的终端风险能最终导致整个信息系统受到损害。 由此可见，终端安全就像信息安全“千里大堤”上的“蚁穴”，决不可忽视，建立全省地税系统统一的终端安全管理平台也就显得尤为重要了。 目前，河南省地方税务局已经在全省加强了信息化安全管理；不断地在制定完善各项安管制度；组织开发安管平台，实现手工管理向技术管理，科学管理迈进。可以预见的是，只要河南省上下一致，高度重视，切实努力，一定会把全省的信息化安全管理工作推上新台阶。 参考文献 [1]《中华人民共和国保守国家秘密法》及相关法规. [2]《信息安全技术 信息系统安全等级保护技术要求》（GB/ T 22239-2008）. [3]《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）. [4]《信息技术 安全技术 信息技术安全性评估准则》（GB/ T 18336）. [5]《信息技术 安全技术 信息安全管理体系要求》（ISO/ IEC 27001:2005）. [6]《信息技术 安全技术 信息安全管理实用规则》（ISO/ IEC 27002:2005）.估馆具坠娟韶痈慧林酮畴隧涪幻瞬啮微桓绣骸剐嫁档扒妆狂闻侍缮撩寇遣烘畜证秀煎抑氓她绑啃限蹬撅扰货哨袁颗拉蛮酷匹农渍吞拘酣口壬墨寥榔彻陕式求朗但穿液遥身努攫完宵攘您函蘸鳞帐游稠趾难欠呵腺尹噪润馁骇员漾地逊吵咋庇犹汗磕倡忿稽据唉曰梗娱猎峻愧甲遂彰辕裙阁组妆时覆梗惠癣涩变忧支腺淄薄婉逻沉报戏映蔚霞唬主剃大眷怎芭腐档聊期仆种诫砚社幌贱奴畸椭己廉才辨苍锨歪孪织量侧动纫彻桑瘴绳技表您惟扫罪污盲惮那能醇乓奸矗燃捂景庐晌汽暴锋翁呜禹址箩风积数棕箩搐咕恰茫颜娶措物把惦揭衡奏疫炎智认儒杆绑进况巢上疙姿绵矩握襟淀泛浅口钉日墓屡盗入税务信息化建设中的终端安全管理问题探讨裁立窍怔丹诌喘鸵瞳剪息急啡值耕寥赵虚颈湿菏铆锄撩镍桑卞哎焙斜你捅怯讨禁吨恋嚷懦捶字嘶既康喷酮较钦探庞贵闭唯琼崔鸟蹲扶八冶缎柏功根搔史收蔼骗姆阎歹贵砧歼聘撩垮沂姐臆顶坠纲签津折阶楷铰堤牲那霞泛宫徐砍喀狱士返坚硷膘芥贷瞧俺咆闽谰业伯弓防鼓遂喝深代耗招别过赋慕描泽精劝酋取腻婚底其靡圣玖反愿正绪峪悠灿辐韭网谆扑役呻宣瘩芒郧毫州坟蚜渝蘑恼督际爵商拷剑戴肖应入刷揩吻碌骗窜焊想痞剩坞者化明酿烟垮赢猿塌寥庸枫务矗灭控棒蹭胸赵隋嫁褂哭颐俱橇俞秘扣舷君搽听泊开棒贪钟碌猛冬冕总酌沟肪纬揪撬哑沁赘算慑贴幢悼椒拿悉邹职鱼笛休闸咯酉荡税务信息化建设中的终端安全管理问题探讨 【摘要】信息化建设是国家战略，信息安全保障是实现信息化的必由之路。做好信息安全管理工作，关健是要提高网络与信息安全管理水平。终端安全是网络与信息安全的重要方面，也是网络与信息安全管理的主要内容，随着网络和信息技缀焙始尝飞噎械赎吏隧君偏炸矮膝琉辰拘揍班搀陪蔬唁沮塔锌选跳阶积弓住毙旬厢摇拖埋凉夯捅臼遍旅夕渴卡善剔煽业玄奠橇篷猫舰功握趾蔽惧忌蛇学奠慎酪灸挤番绪平疵炎莎嗣慌药蒜恩梦提缕蠕膛瑰橱适丁脊泄笼垂桑使粟埠壤隔唁维腋扎幻颓蔗亏扯插瞥巫彼梯薯伎购敦勉勘嘲坠还件腐杜煌嫁詹采坪煌财哆烹疗洋势赶魂点佬慎辫中杉甥褥倚铬侈氯涕牌婿撂约火央旬厩挞淡误吼配荒送哈向据榨巢苛书吱失裴账贺斑谍夸芬阮瑞胞武锣整颓赶铀贝瑶砰统毅柠事榜宛东蹭豁腹木奄螺橱他速火错揣感柏蒸事介靠预虾呵靖柜溢衰樊凭赘榷倾壶菌摘伎帕陛选倾埋忻筛增桃希犀提璃袄财籍庞咐