新形势税务信息安全论文

一、新形势税务税务信息系统面临的主要信息安全挑战

1管理维护人员少

我局信息系统管理维护工作主要由计算机中心负责，下设软件科、系统科、综合科共14名在编人员。信息系统的维护管理工作主要由系统科4名人员负责。一方面在开展系统维护工作时人手不足，无法覆盖到区县；另一方面由于新技术更新较快，人员对新知识与新技术的掌握不足，不利于有效的开展信息安全维护管理工作。

2系统漏洞影响大

税务信息系统对数据完整性与服务实时性高要求非常高，当今漏洞挖掘技术极大缩短系统漏洞的发现周期，经常性对核心应用系统进行升级补丁将对系统数据完整性与保障系统服务及时性造成一定的风险。

3黑客攻击与计算机病毒传播路径广

我局内部业务网已连接到全市23个下属单位，黑客可通过任何一个单位对我局核心业务应用发起攻击。同时随着移动互联网的快速发展，wfif、手机连接到终端计算机等都有可能成为业务内网与互联网的接口，使我局核心业务应用遭受到互联网的攻击。同时移动存储介质不安全的使用方式、工作员通过互联网下载的软件等都有可能导致病毒大规模传播。

二、新形势税务信息安全管理工作实践

1信息安全管理工作分解，明确分工与职责

我局信息安全工作的未来发展方向与符合我局实际情况的管理要求、监督指导执行层落实工作信息安全工作、考评执行层与支撑层的工作绩效。为全局的信息安全保障工作发挥着规划、指导、监督、考评作用，推动我局各项信息安全管理工作得以落实。执行层由各区县局单位指派在编工作人员担任，目前我局在各区县局设立信息岗，由具备一定计算机基础知识的工作人员担任。主要工任务是按照市局的管理要求开展日常的信息安全维护工作，并处理常规信息安全问题、向其他工作人员宣传市局既定的管理要求，提高全员的信息安全意识。通过执行层开展的信息安全工作，使市局规划的各项信息安全管理要求在基层得到落实。为提高执行层的工作能力，市局定期集中工作人员开展培训，传达市局信息安全工作思路、讲解工作中涉及的信息安全技术、宣传信息安全形势等。支撑层由第三方公司担任，为使我局信息安全管理工作更高效，我局将信息系统各项技术维护工作外包给各技术领域有一定实力的公司，由公司安排具备工作经验与能力的专业技术人员常驻我局，开展技术维护工作。我局管理人员根据制定的管理要求对各公司的维护工作进行考评。

2周期性检测，评估安全风险

漏洞挖掘技术很大程度的缩短了系统漏洞的发现周期，对税务系统是个非常大的安全隐患，常规的运行维护难以发现深层次的安全漏洞。因此我局将对信息系统及终端计算机的安全检测列入周期性的工作计划，不流于风险评估与等级保护测评的工作形式。以实质性的发现系统与终端安全漏洞为手段；以采取有效、可靠、安全的处置方法，降低系统安全风险为目标。将安全检测工作委托第三方专业的公司定期开展，将检查结果转交各类技术的维护公司进行处理。并对安全专业公司的检测能力，各类技术维护公司的处置能力纳入到统一考评体系，确保我局安全漏洞检测的全面性、准确性，问题处理的正常性、有效性。3建立以制度为依据、以技术为支撑的监督、管理工作流程为解决我局终端数量多、地域分布广、安全管理难度大的难题，管理层经讨论、研究针对终端安全及网络边界管理的方法，论证管理要求与技术实现的可行性，制定终端安全管理与网络边界管理的总体纲领策略。并测试、采购符合我局安全管理需求的安全技术实施部署。市局下发针对性的安全管理要求文件，安全技术根据市局管理要求部署基本的控制与审计策略。为更好的发挥技术平台的管理功效，市局将基本安全管理策略之外的管理权限下放到各区县局，由各单位根据自身实际情况制定管理规则。市局根据平台产生的数据，对违规使用资源、违规操作的个人与单位进行监督与通报，并纳入对各单位的考评。通过管理要求与技术平台的有机结合，使我局各项信息安全管理制度得到落实，并定期召集各单位对信息安全管理工作的经验进行交流与推广，提高全局的信息安全管理水平。

三、新形势税务信息安全管理探索方向

信息安全管理工作在设计上需成体系、在落实上需有支撑，这项工作有着一定的复杂性、周密性与完整性。并非依靠制定一系列的管理规定，或部署完善的信息安全技术就能立即提高信息安全管理水平。而是需要规划整体的安全管理方针与目标；根据方针与目标制定基础的保障框架；逐步完成基础保障框架中的管理、技术与过程建设；并在运行维护中不断的找出管理、技术与过程建设存在的不足，并进行改进，使信息安全管理水平不断的提高，逐渐形成适合我局的信息安全管理体系。目前我局制定信息安全管理的基本方针是建立以风险管理为核心的信息安全管理体系。在该方针的指导下，我局计划建立的基本信息安全保障框架为：

(1)以采取一切手段发现整体信息系统中存在的安全问题为基础。

(2)以评估发现的问题对信息系统可能产生的安全风险为支撑。

(3)以找出问题的有效、可靠、安全处置机制为保障。

(4)以监督、评估问题处置的有效性，降低安全风险为目标。因此在已定的安全保障框架下，管理层还需继续探索符合我局实际情况的信息安全管理方法，以管理有效方法为基础制定管理策略、以管理策略为依据选购安全技术、以安全技术为支撑开展具体管理工作、以具体管理工作为监督推动管理落实、以管理落实效果为依据检验管理方法、以优化管理方法目标提高安全管理效益。

四、结语

信息安全管理是一门非常复杂的学科，没有最好的管理方法，只有最适合的管理机制。目前国内外提出较多的信息安全参考标准，但从实践来看这些管理标准只能提供理论性的参考，由于单位、环境、人员、机构等不同，采取的管理方法、实施手段、落实过程、部署次序等均有不同。因此单位需要结合国家法律法规、政策要求、行业特点及自身实际情况，分析当前信息安全工作的主要矛盾，制定适合的方针、策略才能使用信息安全工作有序推进。因此在参考国内外信息安全管理相关的理论基础之上，还需要不断的探索适合单位实际现状的信息安全管理之路。

作者：薛剑秋 朱岚 周建伟 刘芝月 单位：南京市地方税务局