税务网络信息安全(精选8篇)
税务网络信息安全 第1篇
2.1建立严格的安全管理制度
规章制度是各项工作顺利开展的标准准则,税务系统也是如此,通过建立严格的安全管理制度,有助于建设税务系统网络,提高税务系统的安全性,促进税务系统工作的顺利开展。税务信息系统对数据信息的安全性具有较高的要求,建立严格的安全管理制度,需要从以下几个方面着手,第一,需要加强领导,明确按照上级信息管理部门的要求建立规章制度,根据税务系统的特点与相关情况,制定出完善的业务部门与信息部门的规章制度,根据系统权限,对管理办法进行分配与制约,健全管理体制,采用负责制方式进行管理,即明确责任,谁赋予,谁负责,加强管理。第二,需要对各个科室以及分局进行分别管理,将责任落实到个人,要求每台计算机都需要具有专人负责,需要进行操作系统加密,还需要设置密码,防火墙等,通过设置层层权限,确保信息的安全性,消除安全隐患。除此之外,为了防止口令外泄,需要实行口令即责任原则,对口令泄露,执法过错等问题进行追究,明确责任人,加强管理,建立严格的安全管理制度。
2.2建立安全响应体系,加强基础资金投入
一方面,建立安全响应体系,可以对相关信息与数据进行备份,可以最大可能保护税务信息的安全性,最大可能防止意外的发生,发挥了重要的作用。因此,建立安全响应体系,对重要信息数据进行双重备份发挥了重要的作用,首先,需要在上级税务机关进行备份,要求上级税务机关代为备份管理,以免出现意外情况,有备无患。其次,需要在本级税务机关进行备份,确保数据的安全性,最大可能保证数据信息的可恢复性。除此之外,还需要对各部门进行分类,制定分类的标准,为每一类计算机都做一个镜像,并单独放在计算机上,保证在计算机系统遭受破坏时,可以第一时间进行恢复,提高税务信息系统的安全性。另一方面,加强基础资金投入,通过加大资金投入,可以增加防雷措施,改造电路,将老化设备进行替换更新,降低计算机出现故障的可能性,将计算机突然故障导致数据丢失的可能性降到最低。加强资金基础投入,需要要求上级税务机关设立专项资金,加大基础资金的投入,专款专用,提高税务系统硬件设施,为税务系统的发展创造有利的条件。
2.3计算机病毒的防范方案
计算机病毒侵入是影响税务信息系统的安全性的主要问题,因此,做好计算机病毒的防范工作十分重要,制定计算机病毒防范方案,做好防范工作具有重要的意义。第一,做好预防措施,查杀病毒是一种被动的方式,预防病毒才能够更好的对付计算机病毒,才能有效地扫描并清除计算机病毒,做好防范工作,因此,利用传统的方式进行改变,以防治为主十分重要。第二,选择优秀的防病毒软件,现阶段,税务系统的应用水平不高,主要采用单机版杀毒,很难对网络病毒进行彻底的消除,可见,防病毒是一个动态的,技术对抗过程,选择优秀的计算机病毒软件,可以做好维护功能,为用户提供方便。除此之外,病毒更新速度较快,杀毒软件的病毒库更新速度也较快,需要选择优秀的防病毒软件,有效解决计算机病毒侵入问题。第三,安装防火墙,做好以网为本,进行多层防御。防治网络病毒,可以透过网络管理pc机,发挥网络的唤醒功能,进行扫描,检查病毒情况,做好防范工作,形成覆盖全网的防御体系,安装防火墙,做好安全防线,利用防火墙进行监控,及时发现病毒,及时消灭病毒,做好防御工作。第四,需要及时安装操作系统,目前,大多数病毒都是针对操作系统漏洞的,主要对数据库的漏洞进行攻击,因此,安装操作系统,对数据库进行补充十分重要,是降低病毒攻击几率的主要方式,会提高税务信息系统的安全性,通过程序升级,防范风险,保证税务信息系统的安全性。
3网络攻击的防范方案
互联网常见的攻击手段与防范方法主要分为以下几种,第一,扫描攻击,目前,常见的攻击形式就是扫描攻击,常见的扫描攻击方式就是探测tcp、探测bogus、无碎片标记等,扫描攻击主要依靠一些特殊的扫描包,获取一些重要的信息,达到攻击目的。面对这种攻击,需要加强防火墙设置,对一些不明安装包进行阻截,保护数据信息,降低攻击的几率。第二,木马攻击,木马攻击是一种十分常见的攻击方式,主要分为两个部分,第一部分,主要安装在被攻击的主机上,由攻击者自己操控,木马病毒打开一个缺口后,可以对主机进行监控,对计算机网络进行攻击。第二部分,对客户端服务器进行攻击,造成网络瘫痪。针对木马攻击,最为常见的就是禁止内外网主动连接,以此达到阻断外部链接的目的,组织外部与内部机器的通信,使木马病毒无法发动攻击。
4身份鉴别的解决方案
首先,在税务信息系统接受网上申报过程中,需要严格按照申报流程办事,需要保证信息的保密性与完整性,需要确保身份的确定性,保证发送方不可以否认。其次,需要颁发数字证书,通过颁发数字证书,发挥数字证书的强大功能,合理利用其密钥系统,发挥重要作用,达到身份鉴别的目的。保证发送信息出除接收方与发送方外,无他人窃取,保证信息过程不被篡改,保证发送方对信息不能抵赖。最后,需要采用自己的私钥对数据进行处理,确保信息的安全性,在利用数字证书进行加密后,用户也需要自己进行加密,保证信息的安全性,有效进行身份鉴别。
5总结
综上所述,税务信息系统建设工作是一个长期的,艰巨的工作,任重而道远,加强信息系统建设,提升税务系统的安全性尤为重要,是保障信息安全,维护网络稳定,提高税收准确性,保证税收工作顺利开展实施的关键,需要税务工作者共同努力,为税务系统网络与信息安全建设贡献力量。
参考文献:
[1]陆长虹,侯整风.金税工程(三期)信息安全保障体系的研究[J].微计算机信息,(6).
[2]徐炜,陶翔,徐国永.税收信息化建设中PKI技术的应用研究[J].计算机工程与设计,(9).
[3]朱永高.税务网络与信息安全问题浅析[J].企业经济,(4).
[4]黄俊波.浅析税务系统网络与信息安全风险及防范[J].现代经济信息,(6):2-3.
[5]李小明.浅析税务系统网络与信息安全建设[J].民营科技,2010(1):116.
税务网络信息安全 第2篇
现阶段,已经进入了信息时代,网络无处不在,越来越多的人利用网络进行工作,生活,娱乐,网络发挥了重要的作用,将网络与税务工作相结合,建立税务信息系统十分重要,可以加强税务系统的安全性,提高税务工作效率与质量,确保税收的合理性,维护国家的切身利益。由此可见,加强税务系统网络与信息安全建设十分重要,可以提升税务的安全性,健全信息安全建设,发挥重要的作用。
1税务系统网络存在的问题
经过调查研究发现,税务信息系统主要存在以下几点隐患,第一,税收征管软件的加密度不高,很容易受到攻击,防火墙也很容易被破解,部分密码保密性较差,甚至趋近于公开,其中的数据很容易被修改,从而导致出现数据不准确,无法核实等问题。第二,目前,虽然计算机技术快速发展,我国已经进入了信息时代,但是,还没有达到一人一台计算机的地步,一台计算机多是由多个人进行操作的,因此,职能划分不清,无法对相关内容进行严格的执行,极易出现问题,计算机网络的监控行为无法发挥重要的作用,影响了税务系统网络的安全性,不利于税务网络系统的安全开展。第三,税务局没有备用服务器,一旦服务器出现故障,网络就会陷入瘫痪,无法顺利开展税务工作,面临较多问题,降低了税务工作的安全性。加上征管数据庞大,软件备份无法满足,需要用磁带与光盘进行备份,还需要购买一些其他设备,还有设备比较昂贵,大部分单位都没有,因此,一旦出现故障,极易造成网络瘫痪,无法进行数据备份,极易出现数据丢失问题。第四,税收电子化,随着信息技术的快速发展,税收电子化成为一种趋势,网络的安全性直接会影响到税收的准确性,关系到税收的数据,会直接影响局域网的应用范围,会造成计算机网站被病毒侵入等问题影响税务系统的安全性。税务系统网络安全存在的问题主要可以分为3大类,第一类,计算机病毒,计算机病毒是影响计算机工作的主要问题,会影响互联网传播的速度,甚至会造成计算机的瘫痪,可见,计算机病毒是税务系统网络安全中存在的.主要问题。税务系统的内部网络会受到较大的冲击,影响国家机密数据的安全性,无法规避病毒带来的危险性。第二类,网络攻击,税务系统的网络主要采用tcp/ip协议,极易受到网络攻击,会影响系统内部网络的安全性,导致税务系统不够严密,面临着更大的危险。第三类,身份验证,通过身份验证,可以实现网上办公,提高政府办事效率,提高税收的准确性,保证公文的机密性与合法性,保证数据无法篡改,但是身份验证也存在安全隐患,身份无法明确,影响信息的安全性。
浅议税务系统网络安全现状与对策 第3篇
在税务机关中, 计算机网络与传输的应用通常被划分成为两个部分:一个是内部网络即在税务单位系统中进行内部网络互联的广域网;另外一个部分是与民用网络相连接的www网络。
内部网络则是由总局、省局、地市局、县区局、乡所构成的五层四级网络系统, 网络的拓扑结构是星型网络, 主干网采用的是光纤传输, 网络地址使用A类地址, C类掩码, 从而为税务系统的办公自动化以及各个终端用户提供信息传输的通道。
在税务系统内部进行链接的广域网, 主干网使用Cisco路由器和通信公司光纤线路, 使用ATM相连接。为保证通讯通道随时畅通所以设置了备用线路, 备份线路主要采用了华为路由器以及电信公司光纤线路, 使用MPLS方式进行链接。与外连接的互联网主要为电子报税和银行的数据交换提供信息传输渠道。连接Internet的局域网部分由Web Server、DNSServer、Proxy S erver、防火墙、交换机和若干客户终端组成, 通过该网络为内部人员提供Web和Email服务, 并提供Internet上的Web主页。
2 目前税务网络系统主要存在的安全威胁
由于税务网络系统的廉洁形式多样且终端分部不均匀以及网络在使用中存在着开放性、互联性的特点, 从而容易导致网络受到黑客、病毒、非法窃听、截包、DOs拒绝服务、分布式拒绝服务、口令攻击、地址欺骗、TCP盗用等攻击, 从而导致税务系统内部数据泄漏、数据的完整性遭到破坏、以及正常用户无法使用服务、网络系统被滥用。就此我们可以分析出税务系统网络与信息安全威胁主要来自外部网络和内部网络。
2.1 外部网络导致的安全威胁
由于Internet网络具有开放与自由的特性, 同时税务内部网络是与internet网络互联的, 因此局域网络更加容易面临严重的安全威胁。假如局域网与外部网络互连的时候没有采取相应的安全防护措施, 非常容易遭受到来自外部网络的各种攻击。同时非法入侵者还会使用网络截包、监听、钓鱼等方法来获取内部网络用户的用户ID以及登陆口令等相关的信息, 从而利用盗取的权限来非法登陆内部网络来窃取网络中的数据与信息。另外还可以通过发送大量数据包来对内部外部网络服务器进行攻击, 从而导致服务器超过负荷而引起拒绝服务, 严重时可能导致系统瘫痪。
2.2 网络内部引起的安全威胁
网络内部引起的安全威胁主要是由于局域网管理人员将内部网络的拓扑结构、管理员口令以及系统的相关信息泄露给外部人员或者内部员工因为熟悉服务器、程序、脚本或者系统的漏洞, 或者非法使用外部网络导致相关重要信息泄露, 非授权进入数据库、越权删除或者修改数据, 这类安全威胁都将对整个网络系统的安全运行以及数据的完整性与可用性造成极大威胁。
3 网络系统安全策略
安全策略是指在一个特定的环境里, 为保证提供一定级别的安全保护所奉行的基本思想。
建立和完善税务网络与信息安全的策略, 就需要从多方面来考虑, 对安全检测的评估、对安全体系机构、安全管理措施以及网络安全的标准。在为了确保税务信息系统能够持续可靠的运行就需要在税务网络信息系统的整个运行周期内在技术、管理、网络实施、运行等多个方面来进行安全保障。
4 税务网络系统安全防护的主要措施
伴随着网络化的身日, 人们在享受网络的开放性与共享性的同时, 也由于网络的安全性问题遭受到来自网络的攻击与破坏, 出现诸多问题例如数据被非法窃取、网络服务器不能够提供有效的服务, 数据遭受到破坏等等。随着这类问题的日益增多网络安全技术也越来越受到人们的重视由此推动了诸如物理控制、访问控制、数据加密、防火墙、病毒的防护等各种网络安全的防护理论与方法的蓬勃发展。
4.1 物理控制
对服务器、路由器、转发器、线路等关键性物理设备设施要制定严格的安全管理规章制度, 做到合理设计、安全放置防火防水防盗, 做到出现问题有应急预案, 断电有不间断电源措施。
4.2 访问控制
为了能够保护税务系统的数据与信息能够不被非授权用户非法访问、修改或删除, 所以必须对信息系统与数据进行控制访问。税务系统的访问控制主要是在于建立与使用正规的规程来合理分配权限, 通过对工作人员进行安全培训增强安全意识。主要采取的措旖:计算机访问控制、应用程序访问控制、权限管理、口令管理、账号管理。
4.3 数据传输安全保护
数据传输安全的保护主要是要求保护网络上传输的数据的安全, 防止被非法用户窃听或者无意中泄露。
主要采用以下几种方法。
(1) 数字签名技术, 任何良好的安全系统必须包括加密, 这已成为既定的事实。现行的主要加密类型有私钥加密与公钥加密技术。数字签名指的是数据信息接收者需要通过来证实数据发送方确实无误的一种方法主要通过加密算法以及数字证书来实现的。
(2) 身份认证, 通过对用户的合法性以及权限来进行认证, 从而防止有非授权用户获取对网络系统的访问与修改权限, 并且可以有效的防止用户越权查询数据库, 可以有效的防止用户越权查询到无权查看的信息。主要采用的方法是身份认证与报文认证。
(3) 虚拟专用网络 (VPN) 技术。VPN技术主要提供在公网上的安全的双向通讯, 采用透明的加密方案以保证数据的完整性和保密性。
4.4 防火墙技术
防火墙在实质上是通过使用硬件技术与软件技术相结合, 通过在外部网络与内部网络之间建立一个安全屏障, 来抵抗外部网络的安全威胁, 来保护内部网络可以避免非法用户入侵, 控制客户机和真实服务器之间的通讯, 主要包括以下几方面的功能。
(1) 隔离不信任网段间的直接通讯。
(2) 拒绝非法访问。
(3) 系统认证。
(4) 日志功能。
在计算机网络中设置防火墙后, 可以有效防止非法访问, 保护重要主机上的数据, 提高网络的安全性。
4.5 入侵检检测系统
入侵检测的技术是通过检测并报告系统中没有授权或者异常状况的一种计算机系统安全技术, 通过预先设置安全策略, 来对比检测网络中是否存在违反网络安全策略的行为的技术, 并在入侵检测系统中记录与审核未被安全策略所准许的活动, 并限制此类活动, 从而保证整个系统的安全。
在税务的网络入侵检测系统中, 应该采用多种检测手段, 混合入侵检测系统, 在网络中采用基于主机的入侵检测和基于网络的入侵检测系统, 从而能够全方位多层次的构建起一个整套的主动防御体系。
4.6 其他措施
其他措施通过利用信息过滤、数据镜像、容错、网络安全监视、数据备份和审计跟踪等方法来实现的。
5 结语
浅谈电子税务系统的信息安全 第4篇
我国的税务信息化从建设到普及已经逐渐地得到了人们的认可和应用。税务信息化在带给人们方便快捷的同时,它的安全问题也令人关注。随着计算机和网络的发展普及,重要信息变得非常容易被获取,网络攻击也变得越来越便利。电子税务系统作为一个典型的广域网系统,开放共享的特点使其面临着各种各样的威胁和攻击。因此建立一个电子税务信息安全管理体系,采取综合防范的措施,确保系统安全、可靠、畅通地运行是非常有必要的。
一、信息安全的概念
信息安全是指确保以电磁信号为主要形式的、在计算机网络化(开放互连)系统中进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性,与人、网络、环境有关的技术安全、结构安全和管理安全的总和。人指的是信息系统的主题,包括各类用户、支持人员,以及技术管理和行政管理人员。网络则指以计算机、网络互连设备、传输介质、信息内容及其操作系统、通信协议和应用程序所构成的物理的与逻辑的完整体系。环境则是系统稳定和可靠运行所需要的保障体系,包括建筑物、机房、动力保障与备份,以及应急与恢复体系。
二、电子税务系统面临的信息安全威胁
(一)物理安全隐患
各种突发灾害、运行环境或硬件本身及相关元器件的缺陷会对电子税务系统信息安全构成威胁。随着技术的进步,各种免费工具及代码的出现,网络设备的漏洞很容易被发现和利用,现在针对防火墙、交换机和路由器等网络连接设备的攻击越来越多。通信线路也会受到窃听、拨号进入,还有冒名顶替等的威胁,电磁辐射泄露也会导致信息失密。
(二)网络平台面临的安全威胁
电子税务系统通过网络平台连接外网后,一方面面临来自外网节点的越权访问、恶意攻击和病毒入侵,另一方面面临来自税务系统同级、上级和下级节点的越权访问、恶意攻击和病毒入侵。
(三)应用系统数据面临的威胁
数据库弱口令及默认用户名易被破解:操作系统的安全级别低,缺乏对关键业务主机操作系统用户权限的严格控制;数据库管理方式和管理流程编制不得当,不能实时监控数据库系统的运行情况;黑客利用已知漏洞攻击系统等。
(四)人为因素及管理的缺陷
来自电子税务系统内部用户的安全威胁同样是不容忽视的一部分。税务部门内部员工对本单位网络结构以及系统软件的应用比较熟悉,自己攻击或泄露重要信息,都会对系统的安全造成很大的威胁。此外,缺少信息安全管理的技术规范,缺少定期的安全测试与检查,更缺少安全监控,也是对系统安全的很大威胁。
三、电子税务系统信息安全的防护措施
(一)物理安全措施
作为电子税务系统的硬件基础,物理安全是信息安全的第一道防线。物理安全包括环境、设备及线路的安全,主要是指防盗、防火、防静电、防雷击以及防电磁泄漏。要根据接入网络设备的数量、功耗和负载等及时地对设备进行扩容扩充,并做好冗余备份工作。加强设备管理和维护工作,建立报警系统,以确保所有设备处于最佳运行状态。
(二)网络安全措施
网络层面安全防御的重点主要是阻断外部用户的恶意攻击和非法访问。可以探讨有关下述方面的安全策略来抵御不断发展的安全威胁。
1.合理布局网络结构。网络结构布局的合理与否,也会影响网络的安全性。对税务系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、技术指标、安全保密程度等进行合理分布,统一整合外联网络,可以在内外网的边界建立隔离区(DMZ),以免局部安全性较低的网络系统造成的威胁,传播到整个网络系统。
2.访问控制。网络需要防范非法用户的非法访问和合法用户的非授权访问。非法用户的非法访问也就是黑客或间谍的攻击行为。访问控制是网络安全防范和保护的主要策略和重要手段。访问控制策略主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制以及防火墙控制。
3.病毒防护。配备从服务器到单机的整套防病毒软件,和一些防恶意程序软件并做到及时升级,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护,以确保整个电子税务系统的业务数据不受到病毒的破坏,日常工作不受病毒的侵扰。
4.主动防御。防火墙可以对所有的访问进行严格控制(允许、禁止、报警),但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其他攻击。所以,为确保网络更加安全,必须配备入侵检测系统,对透过防火墙的攻击进行检测,并做相应的反应(记录、报警、阻断)。
(三)数据安全
数据安全包括数据传输安全、数据存储安全以及数据的备份和恢复三个方面。数据传输安全是指在传输过程中保护数据信息的机密性和完整性,以防被他人截获、修改,具体可通过数据加密技术、数字签名及VPN等技术来实现。数据存储安全是指要保证存储在服务器或终端上的数据的安全,对于要求保密的重要数据,如纳税人的交易密码,需加密后再存储。数据备份和恢复可以确保存系统遭到攻击或因自然因素导致数据不可用时,利用备份的数据进行恢复。对重要数据信息可以采取上级税务机关代为备份和本级税务机关异地备份的双重备份方式,最大限度的保证数据信息的可恢复性。通过制订可靠的数据备份与恢复策略,保证税务业务系统提供服务的及时性、连续性。
(四)电子税务系统的信息安全管理
对于电子税务系统建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
建立健全信息安全管理和防范制度,不断完善系统的操作规程,严格规范工作人员的操作行为和水平。
四、结束语
电子税务系统的信息安全是一项长期、系统的工程,不仅仅是通过技术手段来建立信息安全的多层防护策略,还要通过建立健全信息安全管理机制、提高工作人员的安全意识,才能确保电子税务系统的安全、稳定、高效运行。
参考文献
[1]方美琪.电子商务概论[M].北京:清华大学出版社,2000.
[2]谭荣华,徐夫田,谢波峰.我国税务信息化建设的七大重点[J].涉外税务,2002,10:26-30.
[3]杨茂云.信息与网络安全使用教程[M].电子工业出版社,2007.
税务网络信息安全 第5篇
浅析税务系统网络与信息安全风险及防范
摘要:随着税务系统信息化的快速发展,税收征管向科学化、精细化迈进,税收工作对网络与信息系统的`依赖性越来越大,税务系统网络与信息安全问题日渐凸显.本文通过对税务系统信息化建设现状进行分析,找出其存在的风险及安全需求,从制度和技术的角度提出构建税务系统网络与信息安全保障体系的建议.作 者:黄俊波 作者单位:彝良县地方税务局,云南昭通,657600期 刊:现代经济信息 Journal:MODERN ECONOMIC INFORMATION年,卷(期):,“”(6)分类号:X9关键词:网络与信息安全 安全意识 网上申报 PKI 风险评估
税务网络信息安全 第6篇
《税务系统网络与信息安全管理岗位及其职责》
编制说明
《税务系统网络与信息安全管理岗位及其职责》是税务系统网络与信息安全管理体系框架中的文档之一,这个文档是依据《税务系统网络与信息安全总体策略》的相关要求编写,目的是为了初步建立税务系统网络与信息安全管理岗位,明确安全管理人员的职责。
但由于各级税务系统(总局、省局、地市局、区县级局)具有不同的特点,没有一种模式适用所有的组织,而且由于人员的限制,特别是地市局及区县级局中人员的限制,通常没有特定的专职人员来担任本文档中描述的众多安全管理角色。因此,本文档的适用范围确定在总局、各省局、各地市局,对区县级局不适用,各区县级局可由其上级地市局根据具体情况做相应要求。
本《税务系统网络与信息安全管理岗位及其职责》文档共包括二章内容,第一章为管理角色与职责,描述了税务系统网络与信息安全管理组织架构,以及主要的信息安全管理角色与职责;第二章为管理岗位及设置原则,示例列出信息技术部门中主要信息安全管理岗位,并描述了税务系统网络与信息安全管理岗位设置原则。
税务系统网络与信息安全管理岗位及其职责
税务系统网络与信息安全管理岗位及其职
责
(试行稿)
国家税务总局信息中心 二〇〇四年十月
税务系统网络与信息安全管理岗位及其职责
目录
一、税务系统网络与信息安全管理角色与职责.....................................1 1.1 信息安全领导小组.....................................................1 1.2 信息安全管理部门.....................................................2 1.3 具体执行管理角色.....................................................3 安全管理员............................................................3 主机系统管理员........................................................3 网络管理员............................................................4 数据库管理员..........................................................4 应用管理员............................................................4 安全审计员............................................................5 病毒防护员............................................................5 密钥管理员(包括证书管理员、证书操作员)..............................5 资产管理员............................................................5 安全保卫员(机房安全员)..............................................5 安全协调人员..........................................................5 人事管理人员..........................................................5 安全法律顾问..........................................................6
二、税务系统网络与信息安全管理岗位及设置原则.................................6 2.1 信息安全管理岗位.....................................................6 安全管理员岗位........................................................6 网络系统管理员岗位....................................................6 应用管理员岗位........................................................6 2.2 安全岗位设置原则.....................................................7 多人负责原则..........................................................7 任期有限原则..........................................................7 职责分离原则..........................................................7 工作分开原则..........................................................7 权限随岗原则..........................................................7
税务系统网络与信息安全管理岗位及其职责
一、税务系统网络与信息安全管理角色与职责
为有效实施信息安全管理,保障和实施税务系统的信息安全,在税务系统内部应该建立自己的信息安全管理组织架构。
信息安全管理组织架构是实施系统安全,进行安全管理的必要保证。根据税务系统编制体系现状以及人员结构,信息安全管理组织架构纵向涵盖总局、省局、地市局三级,总局对省局、省局对地市局在信息化建设与安全管理运行方面,应起到指导与监管的作用。在一个机构中,安全角色与责任的不明确是实施信息安全过程中的最大障碍,建立安全组织与落实责任是实施信息安全管理的第一步。因此,总局、省局、地市局每一级应设置相应职能部门和人员负责各级信息系统安全管理工作。具体的信息安全组织和管理角色及其职责描述如下。
1.1 信息安全领导小组
信息安全是全国税务系统工作人员必须共用承担的责任,一般来说,各级税务系统首先应建立信息安全领导小组。信息安全领导小组是各级税务系统网络与信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对本单位最高领导负责,信息安全领导小组是一个常设机构,负责本单位信息安全工作的宏观管理。
总局信息安全领导小组负责全国税务系统网络与信息安全总体规划与决策,并领导总局信息系统安全建设、运行、维护和管理等工作;省局信息安全领导小组负责组织落实上层决策,制定本省决策,并领导本省信息安全工作;地市局信息安全领导小组负责落实上层决策,制定本地市决策,并领导本地市信息安全工作。各级信息安全领导小组的组长一般由各级税务系统的高层领导挂帅,并结合与信息安全相关各职能部门的主要负责人参加。各级信息安全领导小组的职责是:
1. 总局信息安全领导小组负责领导制定全国税务系统网络与信息安全建设的总体规划并审议监督各省级安全工作规划的制定与实施;负责制定总局信息安全总体策略并审批总局信息系统安全策略以及各省级上报的安全策略;负责领导制定总局与信息系统安全相关的规章制度;负责总局信息系统安全管理层以上的人员权限授予工作;负责审阅总局信息安全
第1页
税务系统网络与信息安全管理岗位及其职责
工作报告;负责全国税务系统重大安全事故查处与汇报工作。
2. 省局信息安全领导小组负责领导落实全国税务系统安全建设的总体规划,制定本省建设规划并监督各地市级安全工作规划的制定与实施;在全国税务系统网络与信息安全总体方针的指导下,负责组织制定本省信息系统安全策略并审批地方局上报的信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本省信息系统安全管理层以上的人员权限授予工作;负责审阅省局信息安全工作报告;负责本省重大安全事故查处与汇报工作。
3. 地市局信息安全领导小组负责领导落实本省信息系统安全建设规划,制定地市局级安全规划;在全国税务系统网络与信息安全总体方针以及省级相关策略文件的指导下,负责组织制定审批本地市信息系统安全策略;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本地市信息系统安全管理层以上的人员权限授予工作;负责审阅地市局信息安全工作报告;负责本地市重大安全事故查处与汇报工作。
1.2 信息安全管理部门
在信息安全领导小组的基础上,各级税务系统网络与信息安全管理应该由本机构信息安全相关的若干管理部门共同完成,例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。
信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持,在技术上对信息系统和信息系统安全保障承担管理责任。业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作,共同对信息系统的建设和运行维护承担管理责任。
为明确安全职责,应在相关管理部门中指定对信息安全负责的主管,这些主管共同贯彻执行税务系统安全工作的方针政策、规章制度及有关的技术标准、规范和方案,并监督安全策略的落实。
第2页
税务系统网络与信息安全管理岗位及其职责
1.3 具体执行管理角色
对于信息系统建设和运行维护的具体执行,应该有相应的安全管理岗位,但由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,不宜在本文档中直接定义具体的安全岗位,而只是定义了相应的安全角色和职责,各具体机构根据实际情况设置相应安全岗位,具体的安全角色和职责的描述如下。安全管理员
负责对安全产品购置提供建议,负责组织制定各种安全产品策略与配置规则,负责跟踪安全产品投产后的使用情况;
负责指导并监督系统管理员(包括主机系统管理员、网络管理员、数据库管理员和应用管理员等)及普通用户与安全相关的工作;
负责组织信息系统的安全风险评估工作,并定期进行系统漏洞扫描,形成安全评估报告;
根据本机构的信息安全需求,定期提出本机构的信息安全改进意见,并上报信息安全管理部门主管;
定期查看信息安全站点的安全公告,跟踪和研究各种信息安全漏洞和攻击手段,在发现可能影响信息安全的安全漏洞和攻击手段时,及时做出相应的对策,通知并指导系统管理员进行安全防范;
负责组织审议各种安全方案、安全审计报告、应急计划以及整体安全管理制度;
负责参与安全事故调查。主机系统管理员
负责主机操作系统的安全配置(包括及时修补系统漏洞)和日常审计,系统应用软件的安装,从系统层面实现对用户与资源的访问控制; 协助安全管理员制定主机操作系统的安全配置规则,并落实执行; 负责主机设备的日常管理与维护,保持系统处于良好的运行状态; 为安全审计员提供完整、准确的主机系统运行活动的日志记录; 在主机系统异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
第3页
税务系统网络与信息安全管理岗位及其职责
编制主机设备的维修、报损、报废计划,报主管领导审核; 网络管理员
负责网络的部署以及网络产品、网络安全产品的配置、管理与监控,并对关键网络配置文件进行备份,及时修补网络设备的漏洞; 协助安全管理员制定网络设备安全配置规则,并落实执行;
为安全审计员提供完整、准确地记录重要网络设备和网站运行活动的运行日志;
在网络及设备异常或故障发生时,详细记载发生异常时的现象、时间和处理方式,并及时上报;
编制网络设备的维修、报损、报废等计划,报主管领导审核; 数据库管理员
对数据库系统进行安全配置,修补已发现的漏洞;
负责数据库系统的用户账号管理,对系统中所有的用户进行登记备案;对数据库系统的用户、口令的安全性进行管理;对数据库系统登录用户进行监测和分析;
负责业务数据及系统其它重要数据的备份与备份数据管理工作; 为安全审计员提供完整、准确的数据库系统运行活动的日志记录,详细记载发生异常时的现象、时间和处理方式,并及时上报; 在发生安全问题导致数据损坏或丢失时,进行数据的恢复;
根据业务发展的需求,提交数据存储介质购买或存储系统扩容计划。应用管理员
对业务应用系统进行安全配置;督促软件开发商提供补丁来修补已发现的漏洞;
对业务应用系统的用户、口令的安全性进行管理;对业务应用系统的登录用户进行监测和分析;
负责提出数据的备份要求,制定数据备份策略,督促数据库管理员按照备份方案按时完成,并恢复所需数据;
实施系统软件版本管理,应用软件备份和恢复管理。
第4页
税务系统网络与信息安全管理岗位及其职责
安全审计员
负责定期对主机系统、网络产品、应用系统的日志文件进行分析审计,发现问题及时上报;
负责对信息安全保障管理活动进行独立的监督,提供内部独立的审计和评估工作,并根据需要可以协同外部审计评估机构进行评估和认证,为决策领导提供信息系统和信息安全保障执行状况的客观评价。
病毒防护员
协助安全管理员制定病毒防范操作规程; 负责执行和监督整个系统全面的杀毒工作;
定时升级网络杀毒软件的病毒库,监督个人杀毒软件的升级工作; 实时监控重要业务系统和数据的安全,杜绝非法开放的病毒入侵途径,降低病毒侵害的影响;
及时报告上级部门病毒入侵和感染情况,提供感染频率高和严重性强的病毒的有效解决方案。
密钥管理员(包括证书管理员、证书操作员)
负责税务系统交易、传输、认证密钥的管理以及加密机的操作。资产管理员
负责信息技术部门全部资产的采购、登记、分发、回收、废弃等管理。安全保卫员(机房安全员)
负责制定和执行适当的物理安全控制;
主要负责非技术性的、常规的安全工作,如信息处理场地的保卫,办公室安全,验证出人信息中心的手续和多项规章制度的落实。
安全协调人员
负责安全项目、安全问题、安全事件、安全工作的组织协调。人事管理人员
协助安全主管确定某个职位是否需要进行安全背景调查;
第5页
税务系统网络与信息安全管理岗位及其职责
还可能负责为员工离开本单位时提供与安全相关的离职规程。安全法律顾问
负责本单位与外单位签署安全服务合同的法律咨询工作。
二、税务系统网络与信息安全管理岗位及设置原则
2.1 信息安全管理岗位
根据税务系统网络与信息安全管理角色与职责,相应地,税务系统组织机构内需要设置信息安全管理岗位,由于全国税务系统包括国家税务总局在内、各省局、各地市局的具体情况有所差别,所以本文档中仅列出信息技术部门中的主要信息安全管理岗位,总局、各省局及各地市局应根据本文档结合本机构的具体情况指导本机构内的岗位分工和各岗位安全职责,从而进行具体的设置。安全管理员岗位
安全管理员岗位可以是安全管理员角色和安全审计员角色的组合,同时,根据具体需要,可以兼任病毒管理员和密钥管理员的角色。也可以根据具体情况,设置多个安全管理员岗位。网络系统管理员岗位
网络系统管理员岗位可以是主机系统管理员角色和网络管理员角色的组合,同时,根据具体需要,可以兼任资产管理员的角色。也可以根据具体情况,设置多个网络系统管理员岗位。应用管理员岗位
应用管理员岗位可以是数据库管理员角色和应用管理员角色的组合。也可以根据具体情况,设置多个应用管理员岗位。
对于其他的安全角色需要设置的岗位,可以由相关安全职能部门的人员兼任,也可以单独设置岗位。
第6页
税务系统网络与信息安全管理岗位及其职责
2.2 安全岗位设置原则
为确保税务信息系统的安全,必须加强人事安全管理,提高安全管理人员的技术水平和安全意识,同时在人员岗位的设置方面要遵循以下原则。多人负责原则
对一些有较高密级的与安全有关的活动,都必须有两人或多人在场。工作人员必须由系统主管领导指派,且忠诚可靠,能胜任工作;工作人员应该认真记录签署工作情况,以证明安全工作已得到保障。
上述所指与安全有关的活动包括:硬件和软件的维护;系统软件的设计、实现和维护;处理保密信息;系统用媒介的发放与回收;访问控制用证件的发放与回收;重要程序和数据的删除和销毁等。任期有限原则
决不能由一人长期担任安全管理职务。对一些重要安全岗位的工作人员应该不定期循环任职,强制实行轮换、休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则
非经系统主管领导批准,任何信息系统的工作人员都不得打听、了解或参与其职责以外的任何与系统安全有关的事情。安全工作人员活动所涉及的范围应是受到限制的,不能越权限访问。工作分开原则
权力不能过于集中在某个人或某些人手里,在信息安全工作中,有的工作不能由一个人担任,工作分开便于相互制约。出于对安全的考虑,下面每组内的两项信息处理工作应该由不同的人员来负责:对计算机操作与计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制;访问证件的管理与其它工作;计算机操作与信息系统使用媒介的保管等。权限随岗原则
权限随岗原则。根据岗位变动情况及时调整相应的授权,做到:在岗有权、离岗失权。
税务内部信息安全 第7篇
信息安全部分
一 信息安全的由来
随着当今社会的迅猛发展,信息本身的属性发生了变化,成为了一项与实物属性相同的,对组织具有价值的资产。正因为这种属性的变化,使得以各种形式存在着的信息成为了需要适当保护的对象。由此,信息安全的概念也于近年来被各机关单位广泛认知及重视,并提上议程。
二 信息安全的概念
信息安全,是指信息本身的机密性(Confidentiality)、完整性(Intergrity)和可用性(Availability)的保持。
机密性,是指确保信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用;完整性,是指确保信息没有遭到篡改和破坏;可用性,是指确保拥有授权的用户或程序可以及时、正常使用信息。
针对信息安全的上述三种特性,所能保障信息安全的措施分为两类,即防范威胁:防范有可能破坏系统正常功能的潜在的人或事物;以及降低风险:降低来自外界的对系统危害的可能性。
三 产生信息安全问题的原因
产生信息安全问题的原因主要由外因和内因两部分构成
外因具体来讲分为两种,一是环境因素,即火灾、地震、意外事故等环境危害或自然灾害;断电、潮湿、温度、鼠蚁虫害;软件、硬件、数据、通讯线路等方面的故障。二是对手因素,即为达到政治及经济目的恐怖分子,商业间谍,犯罪团伙,外国情报机构,以及以破坏为乐趣的某些社会型及娱乐型黑客,通过身份假冒、密码猜测、漏洞利用、拒绝服务、恶意代码、数据窃听、物理破坏、社会工程等手段达到目的。
内因也分为两种,一是技术因素,即物理环境问题、网络结构问题、系统软件漏洞、应用软件漏洞、安全防护措施不到位。二是管理因素,即安全意识薄弱、安全制度不健全、组织机构不健全、安全职责不落实。
产生内因的因素很多,如各单位使用的系统越来越复杂,越来越开放的互联网络,以及复杂的社会人群等,但最重要的一点是操作及管理人员自身对信息安全的意识没有足够的重视。技术很重要,但技术不是一切;信息系统很重要,但只有服务于组织业务使命才有意义。一言以蔽之:外因是条件,内因是关键。
四 保障信息安全的必要和措施
由于信息化程度的日益提高,业务目标的实现越来越依赖于信息系统,信息系统也就由此成为了一个组织或机构生存和发展的关键性因素,因此,信息系统的安全风险也成为了组织风险的一部分,所以,为了保障组织机构完成其使命,必须加强信息安全保障,抵抗这些风险。
信息是依赖与承载它的信息技术系统存在的,需要在技术层面部署完善的控制措施。首先,信息系统是由人来建设使用和维护的,需要通过有效的管理手段约束人。其次,今天系统安全了明天未必安全,需要贯穿系统生命周期的工程过程。再次,信息安全的对抗,归根结底是人员知识、技能和素质的对抗,需要建设高素质的人才队伍。
然而,信息安全由于本身载体的特殊性,并不可能100%安全,而且随着安全性的逐步提高,所花费的成本也相应的急速增长,一味的追求过度的信息安全,会使代价过高,从而得不偿失。因此,风险总是存在着的,系统永不停、网络永不断、数据永不丢是不可能的,所能做到的,就是通过风险评估的适度安全。
税务方面的信息安全 对于税务系统的工作人员,信息安全分为两种。一是保护涉及国家秘密或者税收工作秘密的数据不被窃取、篡改或破坏。这些需要税务人员重点保护的信息包括:涉及国家秘密的信息;内部工作文件(包括起草中未发布的政策性文件); 业务数据(如纳税人的涉税信息、发票信息、统计分析数据等);内部行政信息(如人事、财务、纪检、监察等信息);其它不宜公开或遭到破坏后严重影响工作的内部信息等。二是保障个人工作用的计算机软硬件可以持续稳定运行。具体就是保障个人计算机中、打印机前、个人的存贮介质(U盘)、纸质文件、个人有权访问的服务器,如公文系统等当中存放的信息的安全。
随着科技的发展,现阶段,税收业务高度依赖信息化。税收信息系统作为国家重要信息系统经过十多年建设,已进入快速发展期,网络上运行的关键信息系统逐年增多。税收管理系统不断升级、流程优化;网上办税业务快速发展、为纳税人服务手段丰富;信息管税对管理决策提供支撑;税务部门与外部单位的联网快速增长。
但是,现今税务机关信息安全的形式并不是完全乐观的。首先,随着税务部门信息化程度的不断提高,信息资产价值迅速提高;其次,内、外部威胁不断加大,安全事件的发生从未间断;再次,经过税务机关高层领导重视,信息安全管理力度不断加强,风险容忍空间也逐步缩小;最后,通过安全检查、安全评估得出结论,税务机关网络与信息安全具备一定的防护能力,但是信息系统脆弱性在不同(地方)位置普遍存在。、国家税务机关的网络系统一般分为内网和外网。内网和外网之间实行严格的逻辑隔离,防止内网秘密信息泄露到外网,防止来自外网的威胁攻击内网。应严格防止内网网间的非法网络互通。
各级税务机关内网是全国税务系统重要的组成部分之一,承载着税收业务、行政办公等类业务应用系统。内网连接着全国所有的省级国税局和地税局,我们把这种连接称为纵向连接;内网还连接着人民银行、海关、公安、质检、市委市府等其它机构,我们把这种连接称为横向连接。外网连接着互联网,承载着网上办税系统和12366税收服务系统,向广大纳税人和社会提供纳税申报、税款征收和税收政策咨询等服务,还承载着电子邮件等互联网应用系统。一旦疏于防范互联网风险很可能引入内网。纳税人服务、征收管理、监督检查、行政管理、税收数据统计分析等业务工作直接依赖于诸多应用系统的正常稳定运行,应用系统开发过程如果忽略安全因素,造成软件存在安全漏洞或功能缺陷将直接影响有关工作的正常运行。
税务部门可能面临的信息安全威胁主要有:
1、外部人员通过互联网利用木马等攻击手段窃取、篡改或破坏个人计算机中存放的敏感信息;
2、外部人员非法接入税务系统内网或直接操作内网计算机窃取、篡改或破坏敏信息;
3、外部人员盗窃笔记本电脑、U盘等移动计算和存储设备窃取敏感信息;
4、病毒通过网络或移动介质传播造成个人计算机无法正常使用或数据破坏;
5、内部工作人员由于误操作等过失行为导致敏感信息丢失或被破坏;
6、内部工作人员由于利益驱使,利用工作之便窃取他人个人计算机中工作敏感信息。
当前税务信息安全保密工作面临的形势,对税务系统信息安全保密工作进行再动员、再部署,总结了引发信息安全保密问题的主要主观原因:思想上不重视,对信息安全的严峻形势认识不足,制度不健全,管理乏力,技术手段不强,技术防范措施跟不上。一些领导干部和工作人员信息安全与保密的意识还比较淡薄,存在“重应用、轻安全”的倾向,对网络环境下信息安全和保密的重要性认识不足,安全保密这根弦绷得不紧。有的认为自己不属涉密岗位,保密工作无关紧要,殊不知即使不属涉密岗位,工作中也会经常接触到一些涉密的内容,如不注意也会泄密。有的不了解网络窃密的方式和途径,认为只要保管好计算机就不会泄密,实际上现在网络窃密技术高超,无孔不入,很容易就被窃密。有的缺乏基本的保密防范知识和技能,不知道如何做好保密工作。更有甚者,明知道保密的要求,却有章不循,有禁不止。
机关内个人引发安全事件的常见具体行为主要有: 1 非法外联:使用内网计算机接入外网 移动介质混用:将外部U盘、外网移动硬盘等移动存储介质直接接入内网机,将内网专用的移动存储介质直接接入外网计算机属于个人的U盘用于办公环境或将单位配发的工作用U盘在个人、亲友的计算机上使用 个人口令管理不当:登录密码复杂度不够
登录密码长时间不更换
将个人密码告诉其他的人 不及时备份重要信息:将重要文件存放在一台电脑或一个存储介质中,长时间不进行备份 防病毒软件使用不当:没有安装防病毒软件 6 没有对操作系统进行基本的安全设置 7 不良的上网习惯:使用工作机访问与工作无关的网站
随意下载或安装来路不明的软件 点击来路不明的电子邮件附件或网络链接 不注意通信场合:在即时通信系统(如QQ、MSN)、网络论坛或个人博客中谈论涉及工作秘密的话题
将带有工作敏感信息的笔记本电脑或U盘携带到不安全或人员复杂的场合(如车站、机场、超市等)。
有些局机关对于信息安全的管理制度还不健全,有的虽然制定了制度,但是形同虚设,在实践中未认真地贯彻落实。管理松懈的现象也比较突出。如聘用的外来公司人员能随意应用工作用计算机,来局办事人员或无关人员也能轻易登录局内办公网,督促检查工作力度不够,上级一检查就动一动,不查就忽视了,缺乏经常性的监督检查。系统规模扩大,技术风险也随之加大;计算机病毒的种类和数量增加,破坏性增强,扩散和变种速度加快;随着网络互联互通的发展,跨地区、跨国界的网络攻击呈增多态势。攻击的技术工具和手段越来越多,操作越来越简单,所需成本远低于防御成本,信息安全攻防之间呈易攻难守之势。
我们通过税务系统网络与信息安全防护体系建设,虽然已经在全系统范围内初步建立了一套信息安全防护和监控技术体系,可以检测和防止一些网络攻击,但是在一些技术细节上仍然存在许多亟待排除的安全隐患。比如,应用系统开发重功能,轻安全;安全产品重安装,轻使用。
因此,税务机关考虑安全技术体系,应该从机关行政部门,机关业务部门,纳税服务厅,技术部门等汇总之后添加安全措施。并建立起有效的信息安全机制。
建立有效的信息安全管理机制,需要(1)高层领导的参与与有关部门的协调配合,形成组织体系。(2)需要制定覆盖范围全面,切实可行的规章制度。(3)要提高人员意识和技能,建立奖惩措施,使得信息安全管理机制能够有效的落实。
要保护好税务机关信息安全,首要措施是要建立起础防护体系及运行管理办法,从最基础的防火墙、入侵检测、防病毒、漏洞扫描到稍高级别的桌面管理、网络审计、病毒预警、内部信息掌控、有害行为判断分析再到最高级别的网络准入、数据库审计、上网行为管理等。
其次是要建章立制,确立信息安全责任划分原则,设立信息安全领导小组,作为各级税务系统网络与信息安全工作的最高领导决策机构,它不隶属于任何部门,直接对本单位最高领导负责,信息安全领导小组是一个常设机构,负责本单位信息安全工作的宏观管理。主要工作为:落实税务系统安全建设的总体规划;制定本单位安全规划并监督落实;负责组织细化上级规章制度,制定相应程序指南,并监督落实规章制度;负责本单位信息系统安全管理层以上的人员权限授予工作;审阅本单位信息安全报告;组织重大安全事故查处与汇报工作等。
在信息安全领导小组的基础上,各级税务系统网络与信息安全管理应该由本机构信息安全相关的若干管理部门共同完成,例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。
信息技术部门对信息系统及信息系统安全保障提供技术决策和技术支持,在技术上对信息系统和信息系统安全保障承担管理责任。
业务应用部门对信息系统的业务处理以及业务流程的安全承担管理责任。安全保卫部门对信息系统的场地以及系统资产的防灾、防盗、防破坏等承担管理责任。
行政部门从行政上对信息安全保障执行管理工作。各个部门应与信息技术部门协作,共同对信息系统的建设和运行维护承担管理责任。同时,税务普通干部的信息安全责任也不容忽视。信息安全不仅是领导和管理部门的责任。普通干部要做到:遵守安全制度,拥有足够的安全意识 基本的操作技能 良好的行为习惯 报告发现的安全漏洞和事件。做到做到四禁止,三不准,三必须,即
禁止用非涉密机处理涉密文件;
禁止移动存储介质未经处理在内、外网之间交叉使用; 禁止在外网上处理和存放内部文件资料; 禁止用插头转换方式切换内外网; 非工作用笔记本电脑不准与内网连接; 交换工作文件不准使用个人U盘;
非税务工作人员未经许可不准使用内部网络;
所有工作用机必须设置开机口令,且口令长度不得少于8位; 所有保密设备必须粘贴保密标识;
外网向内网复制数据必须通过刻录光盘单向导入。
税务网络信息安全 第8篇
1 信息安全概述
信息安全的概念并不是最近几年才兴起的,早在很久以前,各个国家就已开始关注信息安全。20世纪40年代,各国为了保障国家通信的机密性,信息安全一词被提及。到了90年代,计算机在我国兴起,国内的很多专家学者就计算机所带来的影响进行研究。部分专家认识到计算机将会为信息安全带来的影响,因此展开了关于计算机的信息安全研究[1]。我国的一些文献表示,信息安全已被划分为多个领域,从法律、物理以及通信等多种角度来表明信息安全所涉及的范围极其广阔。欧盟国家最早看到了信息安全对于国家以及个人的重要作用,由此而实施了相关的安全政策,而我国也相继出台了关于计算机信息安全方面的法律制度。
21世纪的到来,使信息安全这一名词被推向了高潮,其在互联网的影响下不断扩大范围,多次被专家学者研究以及关注。在很多参考文献当中都曾提到了信息安全,从中国的专家学者到外国的信息学科教授,无不在自己的著作中提及信息安全,期望该方面能够得到国家的关注。如今,信息安全已不仅仅涉及到个人信息安全,还涉及到了国家安全以及商业机密。全球的各个国家都已展开了对于信息安全的研究,并制定了严格的规范和标准,以此来确保信息安全受到监督和管理[2]。
2 网络安全概述
网络安全的概念要比信息安全概念狭义一些,网络安全的基础是信息安全。只需要用户确保在网络环境中的信息保持在安全状态,那么,其网络就是安全的。在网络安全当中,关于网络的信息以及数据都将受到保护。而保护网络安全,就需要保障网络信息数据不会受到其他人员的恶意攻击。网络信息需要在一定的范围之内确保信息不会泄露。网络安全能够为用户提供安全的信息服务,并确保用户所接收到的信息安全可靠。用户在使用网络的过程中,期望自身的网络状态比较平稳,并确保所存储的信息完整[3]。
3 网络空间安全概述
网络空间的安全是建立在网络安全的基础之上的。该概念最早提出于20世纪80年代,当时的科幻畅销小说家在其作品中描绘了网络空间安全的景象,并对网络空间安全概念进行了具体,解释。该作家认为所谓的网络空间安全指的是计算机利用网络来存储信息,并将信息进行交换,在该虚拟的环境当中所存储的信息以及相关数据,就是网络空间信息。而在网络发达的今天,有很多破坏技术可以入侵到该空间当中,并对空间内的信息数据进行破坏。当网络虚拟空间的信息或者硬件遭受到了破坏,就意味着网络空间安全受到了威胁。国际上的很多国家都注重网络空间信息安全,越来越多的国家将一些比较机密的文件以及战略措施存储在虚拟的网络空间当中,一旦该空间遭受到不法分子的袭击,就会威胁到国家安全[4]。
4 信息安全、网络空间安全以及网络安全之间的关系
4.1 三者之间的联系
在社会信息化的今天,信息安全问题已与网络安全以及网络空间安全紧密联系在一起。网络空间所涉及的范围越广阔,信息安全技术的发展也就越快,而网络安全问题也将面临更加严峻的考验。如今,人们提及最多的就是关于信息安全方面的问题,计算机信息技术被应用在生活以及工作当中,要想仅仅接受计算机为人们带来的好处,而回避计算机带来的难题,需要人们研究计算机信息安全问题因素以及其产生的源头[5]。国家安全技术部门针对影响信息安全的相关因素进行具体研究,并实现技术突破,进而维护计算机用户的信息安全,确保计算机在我国的发展速度不被影响。国内已展开了对于信息安全方面的研究,国际上的发达国家对其的研究也不落后。早在20世纪初,美国等发达国家就已制定了关于防护信息安全、确保网络空间安全的相关防范措施,并创新了维护网络安全的技术。
4.2 三者之间的区别
从概念以及范围上来讲,信息安全、网络安全以及网络空间安全比较相似,但事实上,网络安全等相关概念还是存在着不同。信息安全最初所代表的仅仅是现实社会的信息安全,而在网络到来之际,信息安全的概念才扩展到网络范畴,在代表网络信息方面的概念时,信息安全也可以被称为网络安全。而网络安全的概念要比信息安全的范围小,其仅仅指虚拟网络中的空间。而网络空间安全又与以上两种情况不同,网络空间指的是虚拟的网域,其中与现实空间的很多范围相联系,并有所扩展。在网络空间的联系下,陆域、海域、太空以及空域等组成了公共的虚拟空间。在传统安全的范畴当中,信息安全并不是主要的组成部分[6],而在互联网出现以后,该种内涵下的信息安全受到了重视,其地位自然有所提升。新的技术为信息安全带来了新的问题,其所涉及的领域有所转变。在网络空间安全中,所谓的安全问题是不确定的,越来越复杂的网络环境促使网络空间安全充满着未知。在缺乏技术指导的前提下,网络空间存在着不稳定现象,甚至会出现大量泄露信息现象。和网络空间安全不同,网络安全的内涵比较宽泛,影响其产生的因素也有很多。当前社会,网络上的言论不受控制,网络上的政治以及经济都已形成了独特的系统,而网络水军等具有攻击性的事物则为网络安全带来新的威胁。网络安全与网络空间安全之间相互联系也相互渗透。信息安全与网络安全、网络空间安全的交互渗透形成了多元化、立体型的新领域。
5 加强对信息安全、网络安全以及网络空间安全保护的措施
首先,技术部门应从技术的角度考虑如何对网络安全实施保护。一直以来,网络安全都受到黑客的侵害,而普通用户的计算机水平比较低下,无法抵御黑客的进攻。为了抵御黑客的进攻,技术部门可以研究出能够防止黑客进攻的防火墙系统。该系统不能再如同以前一样,很容易就被黑客攻破。技术部门要创新网络安全的保护技术,从网络技术的手段来实现对网络信息安全的保护。其次,技术部门应对计算机技术进行宣传,并严格管理网络环境。普通用户可以采用培训的形式,提升自身的计算机水平,了解技术部门所研究的防火墙用途,并自行了解计算机中的一些病毒。而企业可以培养专门的计算机人才,用以管理企业的网络信息,确保企业的机密性信息不会遭到复制和泄露[7]。国家的技术部门应紧盯网络中可能出现的安全漏洞,并对网络环境进行定期检查和监测,在发现网络安全问题以后,及时予以解决。如今,计算机病毒的种类越来越多,尽管技术人员已抓紧时间研究病毒的破解之法,但还是有很多病毒在不知不觉间渗入到计算机当中。技术部门应研发出具有知识产权的计算机,早日脱离美国计算机系统的监控。在拥有了自己的系统以后,才能够对系统进行严格加密,并促使我国拥有计算机的开发自主权。除此以外,国家应重视对信息安全、网络安全以及网络空间的安全保护。国家在建立起完善的管理制度的同时,也需要建立起相应的法律法规,在技术人员发现破坏网络安全的不法分子以后,能够有对应的法律来惩罚这部分人,从一定程度上对黑客以及犯罪分子起到震慑作用。如今,保险行业已有信息类投保险种,可以对信息安全进行投保,这样在遭受到侵害以后能够获得保险公司的补偿。保险行业的参与减少了计算机用户的损失,能够减少计算机用户的顾虑,促进计算机行业的发展。
6 结语
计算机已融入到人们的生活当中,其安全性能直接关系到个人的信息安全、企业的经营状态以及国家的信息建设。因此,国家在重视计算机发展的同时,也应重视信息安全的防护工作,以此才能够使计算机信息技术长远发展下去,并确保国家、企业以及个人的信息安全。
摘要:互联网在我国的广泛使用促使信息的种类以及数量增加,而科学技术的进步则导致了信息安全受到了严重威胁。如今,计算机信息技术已被应用在各个领域当中,并受到了人们的青睐。笔者主要研究了信息安全、网络安全以及网络空间安全,从三者的释义角度出发,深入分析了三者之间的关系,期待通过对信息安全等相关知识的了解,能够实现对信息、网络以及网络空间的有效保护。
关键词:信息安全,网络安全,网络空间安全
参考文献
[1]于志刚.网络安全对公共安全、国家安全的嵌入态势和应对策略[J].法学论坛,2014,8(6):5-19.
[2]方兴东,张笑容,胡怀亮.棱镜门事件与全球网络空间安全战略研究[J].现代传播(中国传媒大学学报),2014,3(1):115-122.
[3]黄奕信.网络空间安全视角下的信息安全产业发展路径论析[J].改革与战略,2014,7(5):113-117.
[4]网络安全课题组.网络安全观视角下的网络空间安全战略构建[J].电子政务,2014,9(7):2-7.
[5]刘密霞,丁艺.“棱镜事件”折射出的中国网络空间安全问题与对策[J].电子政务,2013,10(12):48-53.
[6]杜芸.浅谈信息安全、网络安全、网络空间安全[J].网络安全技术与应用,2016,9(7):2-4.
【税务网络信息安全】相关文章:
税务系统网络安全现状与对策论文02-07
关于网络税务应用及问题的思考09-12
中国电信 “税务e 通-网络发票”05-10
新形势税务信息安全论文04-21
基层税务信息安全管理论文04-28
基层税务信息安全管理论文提纲09-04
税务信息化建设安全管理论文04-21
新形势税务信息安全论文参考文献10-10
基层税务信息安全管理论文参考文献09-18
试论税务信息系统的安全风险预防策略12-16