國稅局信息化建設調研報告

導語：國稅局信息化建設調研報告一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1、物理安全上存在的問題。物理安全主要指信息化系統、設備、工作環境等在物理上采取的保護措施?！痢羾愊到y在物理安全上存在的問題主要表現在機房建設、局域網建設缺乏規劃，基本沒有專門的防雷、防火、防水、防潮設施。機房中重要設備塵土覆蓋，存在許多安全上的隱患。

2、網絡安全上存在的問題。網絡安全主要是指網絡訪問、使用、操作的安全，它是信息化安全中最普遍的內容，主要包括：病毒危害和訪問安全。在開放網絡環境下，計算機病毒的危害比以往要大得多，特別是近幾年，通過互聯網進行傳播的病毒數量急劇增長，危害范圍也不斷擴大。對付計算機病毒的最好的方法是安文秘雜燴網防病毒軟件，國稅系統最好具備網絡版的防病毒軟件，可以實時查殺病毒、智能安裝，快速方便地升級。然而，當前在使用的防病毒軟件基本上是單用戶版的，容易造成長時間不升級，在管理上也不方便。訪問安全是指對設備、資源、信息和服務訪問權限的安全控制。訪問安全也是最常見的安全問題，××國稅網絡缺少必要的權限管理，人人都可以通過網絡訪問到各服務器和路由器。雖然網管人員可以通過外部防火墻限制外部用戶訪問內網，也可以限制內部用戶瀏覽互聯網的權限和時間，但是由于××縣局與省局、市局無內部防火墻隔離，全國的國稅廣域網用戶都可以通過網絡訪問××國稅的路由器和服務器，造成許多安全上的隱患。

3、信息安全上存在的問題。信息安全主要是指信息交換安全。網上申報、網上認證的發展推動了信息安全需求。這兩種情況都需要對連接者身份進行嚴格驗證，防止非法用戶的進入，為了防止傳輸過程中的信息被竊聽，要求登錄用戶名和密碼以及數據在傳輸過程中進行有效的加密。為了增強信息安全，需要對登錄信息和納稅申報信息進行安全審計記錄，從而可以對非法入侵進行跟蹤，并分析系統的安全狀況。這一塊工作我們還沒有很好的開展起來。

4、管理安全上存在的問題。管理安全是指通過加強安全管理來保證物理安全、網絡安全和信息安全措施的實現。信息化安全是一項系統工程，如果沒有有效的安全管理，其他的任何努力都形同虛設。信息化安全需要一個完善的安全管理體系，從安全管理組織、制度、措施上都要制定一整套相應的規范?！痢羾愖詮耐ㄟ^is09000認證以來，信息中心的制度建設已日趨完善，但網絡信息安全方面的制度如應急預案、機房安全制度、密碼制度等相對較少，沒有從制度上來杜絕網絡安全上的漏洞。

5、網絡及信息系統安全意識存在的問題。網絡及信息系統安全問題很多時候都出在內部，許多典型的網絡入侵事件都是借助于內部人員才得以實觀的，而我們國稅系統的一般工作人員，網絡及信息系統安全意識差，個別人就根本沒有安全意識，計算機隨便裝載各種游戲軟件，不經殺毒隨便使用外來u盤、軟盤、光盤等。

二、加高“短板”的對策

信息化安全問題不存在一勞永逸的解決方案，提出的任何安全對策也只能是更好地預防問題的出現，盡量減少安全問題對正常業務的影響。針對××國稅系統信息化建設的特點和存在問題的分析，可以歸納出“三大對策”，即建設高可用性網絡、部署安全防護系統和建立安全保障體系。

1、建設高可用性網絡。建設高可用性網絡就是要建設具有高性能和高可靠性的信息化基礎網絡設施，實現信息化物理安全和網絡安全。建設高可用性網絡的主要措施涵蓋信息化硬件和軟件以及需要重點考慮的災難恢復。（1）信息化硬件。信息化硬件包括網絡設備、服務器、布線、機房設備等。要保證信息化網絡的高可用性，在設備選擇上必須堅持高性能和高可靠性，在系統設計上也要充分考慮網絡和設備的冗余備份。在網絡設備上，應盡可能選用可靠性高，有相對冗余的中心交換機：服務器應選用帶冗余電源的，硬盤應選用能做raidl，raid5等高可靠性的磁盤陣列：機房設備必須用ups供電，保證設備的持續、穩定運行。（2）信息化軟件。信系化軟件主要包括操作系統、數據庫、應用程序等。應盡量選用性能好安全性高的操作系統，個人計算機操作系統可以選用，服務器操作系統應優先選用unix系統。（3）災難恢復。隨著信息化進程的深入，國稅系統對計算機設備的依賴度也越來越大、對稅務系統而言，最珍貴的不是信息化設備或系統：而是存儲的各種文檔和數據庫信息。網絡的可用性也是極為重要的，如果網絡總是有問題，誰還有信心去用它?所以災難恢復是信息化安全中很重要的一個組成部分，必須想法保證數據存儲的可靠性，保證網絡服務和應用在故障時能盡快恢復。對國稅系統而言，災難恢復保護的地方主要是關鍵數據庫和文件服務器。關鍵數據庫一般是指存儲納稅申報信息ctais數據庫、金稅數據庫，文件服務器主要是指辦公自動化所依賴的服務器，它存儲國稅系統管理過程中所需的重要文檔和資料。先進的典型災難恢復系統是由集群服務器、存儲設備和相關軟件組成，當系統部分設備發生災難時可以保持服務的連續性并自動恢復或盡可能恢復最近的數據。典型災難恢復系統的一個重要特點就是災難恢復系統里的設備要做到地理分散，才能真正應對災難的發生?！痢羾愊到y應在××縣局建立了異地數據容災備份系統。容災系統中采用falconstor的ipstor軟件和legatoautomatedavailabilitymanager(legatocluster)。市縣局用4m光纖相連，在晚上進行數據復制。系統運行后，市局將各縣市局的ctais查詢直接指向××縣局的小型機進行查詢，此舉極大地減輕了以市局為主的征管服務器的壓力，從根本上改善了服務器征期高峰的擁塞現象，保證了市局主服務器主要正常業務的開展與運行。同時，數據的備份將在很大的程度上保證稅務工作的安全運轉，給征管數據上了“保險”。ctais異地備份的成功實現為其他系統的安全保護提供了很好的借鑒。

2、部署安全防護系統。部署安全防護系統主要指通過操作系統安全使用和部署安全防護軟件,實現信息化網絡安全和信息安全。（1）防病毒系統。常見的計算機病毒主要是針對微軟的操作系統，如果你使用其他操作系統如unix或linux，基本可以不用擔心受感染，但是仍可能成為病毒傳播源和感染對象。國稅系統中用戶網絡節點多，如果采用單機防病毒軟件，成本高，維護起來也不方便，防病毒的效果也不理想，所以對國稅系統而言，對付病毒的重要手段是部署網絡防病毒系統。網絡防病毒系統由防病毒主程序和客戶端以及其他輔助應用組成，它可以通過管理平臺監測、分發部署防病毒客戶端，這種功能意味著可以統一并實施全系統內的反病毒策略，并封鎖整個系統內病毒的所有入口點。因為計算機病毒是動態發展的，到目前為上尚未發現“萬能”防病毒系統，所以我們能做到只能是及時地更新病毒庫。要有效地對付計算機病毒，除了部署防病毒系統外，還要配合其他手段維護系統安全，做好數據備份是關鍵，并且要及時升級殺毒軟件的病毒庫，還要做好災難恢復。（2）防火墻。防火墻是目前最重要的信息安全產品，它可以提供實質上的網絡安全，它承擔著對外防御來自互聯網的各種攻擊，對內輔助用戶安全策略的實施的重任，是用戶保護信息安全的第一道屏障，在信息化安全中應給予高度重視。通過配置安全策略，防火墻主要承擔以下作用：禁止外部網絡對××國稅系統內部網絡的訪問，保護國稅網絡安全：滿足內部員工訪問互聯網的需求；對員工訪問互聯網進行審計和限制。對××國稅來說，除現在應用的internet防火墻外，還應該在與外單位包括其他國稅局、銀行等聯網的過程中沒置內部防火墻、保證××國稅內部網全部在防火墻的保護之下。

現在的防火墻在功能上不斷加強，如可以實現流量控制、病毒檢測、vpn功能等，但是防火墻的主要功能仍然是通過包過濾來實現訪問控制。防火墻的使用通常并不能避免來自內部的攻擊，而且由于數據包都要通過防火墻的過濾，增加了網延遲，降低了網絡性能，要想充分發揮防火墻的作用，還要與其他安全產品配合使用。（3）入侵檢測。大部分入侵檢測系統主要采用基于包特征的檢測技術來實現，它們的基本原理是：對網絡上的數據包進行復制，與內部的攻擊特征數據庫進行匹配比較，如果相符即產生報警或響應。檢測到入侵事件后，產生報警，并把報警事件計入日志，日后可以通過日志分析確定網絡的安全狀態，發現系統漏洞等。如果它與防火墻等其他安全產品配合使用，可以在入侵發生時，使防火墻聯動，暫時阻斷非法連接，保護網絡不受侵害。在部署此類產品時要注意進行性能優化，盡量避免屏蔽沒有價值的檢測規則。（4）操作系統安全使用。在信息化網絡中，操作系統的安全使用是保證網絡安全的重要環節，試想如果你打算與同事共享一個文件夾，可是你又沒有加密碼，共享的文件就會變成公開的文件。操作系統安全使用主要包括以下幾方面內容：用戶密碼管理、系統漏洞檢測、信息加密等。用戶密碼管理無論是對個人還是整個系統都是很重要的。用戶密碼管理有許多的原則要遵守，最重要的就是不要使用空密碼，如當你使用windowsnt／2000時，如果不幸你使用空密碼，局域網中的任何人都可以隨意訪問你的計算機資源。如果你是系統管理員，制定嚴謹的用戶密碼策略是首要任務之一。漏洞檢測對關鍵服務器的操作系統是極為重要的。任何操作系統都不可避免地存在安全漏洞，操作系統的漏洞總是不斷地被發現并公布在互聯網上，爭取在黑客沒有攻擊你的主機之前及時發現并修補漏洞是極為關鍵的。另外一種類型的漏洞并不是系統固有的，而是由于系統安裝配置缺陷造成的，同樣應引起足夠重視。對服務器而言，關閉不需要的服務或端口也是必要的。即使網絡很安全了，需要保密的信息在存儲介質上的加密仍然是必要的，因為任何網絡不能保證百分之百的安全。使用windowsnt／2000等操作系統時，盡量使用ntfs分區，對重要信息起用加密保護功能，這樣就算是信息意外泄露，也無法破解。采用vpn(虛擬專用網)。vpn是當前實現遠程訪問重要方法，它可以有效地降低廣域網通訊費用，并實現從任何位置安全地訪問國稅系統內部網絡，它也可以作為國稅系統內部重要資源訪問控制的一種手段。vpn通過internet或其他公用ip網絡實現，可以滿足遠程通訊安全的基本需求，它將通訊信息進行加密和認證傳輸，從而保證了信息傳輸的保密性、數據完整性和信息源的可靠性，實現安全的遠程端到端連接。vpn的實現主要基于以下技術：

(1)ipsec，ietf(internet工程師任務組)制定的ip安全標準。

(2)通過認證機構發放數字證書和進行第三方認證。

(3)使用共享密鑰認證用于小規模的vpn網絡。

vpn一般采用專用的設備實現，在選用vpn產品時應主要考慮幾點：可管理性、可擴展性、可靠性、兼容性和價格。

3、建立安全保障體系。安全保障體系主要是指：對信息化安全管理的整套體制，包括管理組織、制度、措施等，通過安全管理，保證物理安全、網絡安全和信息安全措施的實現。（1）建立安全管理機構和管理制度。建立安全管理機構，確定安全管理人員，建立安全管理制度、維護和維修管理制度及安全考核制度，建立責任和監督機制，實行分權制約，優先授權，進行系統設備、網絡設備和存儲設備的安全管理，建立工作記錄，詳細記載運行情況。（2）制定安全應急方案。在國稅系統網絡中，小的安全問題可能比較容易解決，但是嚴重的安全問題對稅收工作的影響是很大的，如系統設備故障或大范圍病毒感染等，這時的問題處理起來會特別復雜，有必要針對特定的安全問題制定安全應急方案。安全應急方案主要確定安全應急處理時的領導組織結構，解決問題的思路、方法和步驟，做好事前準備，不至于遇到問題時慌了神而手忙腳亂。（3）加強網絡管理。加強網絡管理是信息化安全的重要環節，網絡管理的內容主要包括：操作系統安全策略的維護和檢查、系統和數據的備份、防火墻路由器等的安全檢查、審計分析網絡安全事件日志、設備和系統的日常維護等。只有加強網絡管理，才能保證網絡的安全可靠運行。（4）加強網絡及信息系統安全宣傳教育。安全問題很多時候都出在內部，許多典型的網絡入侵事件都是借助于內部人員才得以實觀的，而且嚴格的安全策略大多是針對外部的，所以應高度重視內部安全。除了從技術上盡量保證安全以外，通過加強宣傳，增加工作人員的安全和遵紀守法意識，讓廣大工作人員自覺地參與到安全保護中來，認真執行安全策略，減少安全漏洞，信息化安全才有保證。

總之，信息化安全問題是一個嚴峻的問題，特別是隨著廣域網和互聯網應用的發展，安全問題變得更加突出。安全問題是融入到信息化建設的整個過程中的，它是一項系統工程，因此，僅僅提供一個安全問題解決方案是不能滿足信息化安全需求的。對國稅系統而言，通過“建設高可用性網絡，部署安全防護系統，建立安全保障體系”，信息化安全才能得到最好的保證。