導(dǎo)語(yǔ)：國(guó)稅局信息化建設(shè)調(diào)研報(bào)告一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1、物理安全上存在的問(wèn)題。物理安全主要指信息化系統(tǒng)、設(shè)備、工作環(huán)境等在物理上采取的保護(hù)措施。××國(guó)稅系統(tǒng)在物理安全上存在的問(wèn)題主要表現(xiàn)在機(jī)房建設(shè)、局域網(wǎng)建設(shè)缺乏規(guī)劃，基本沒(méi)有專門(mén)的防雷、防火、防水、防潮設(shè)施。機(jī)房中重要設(shè)備塵土覆蓋，存在許多安全上的隱患。

2、網(wǎng)絡(luò)安全上存在的問(wèn)題。網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)訪問(wèn)、使用、操作的安全，它是信息化安全中最普遍的內(nèi)容，主要包括：病毒危害和訪問(wèn)安全。在開(kāi)放網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒的危害比以往要大得多，特別是近幾年，通過(guò)互聯(lián)網(wǎng)進(jìn)行傳播的病毒數(shù)量急劇增長(zhǎng)，危害范圍也不斷擴(kuò)大。對(duì)付計(jì)算機(jī)病毒的最好的方法是安文秘雜燴網(wǎng)防病毒軟件，國(guó)稅系統(tǒng)最好具備網(wǎng)絡(luò)版的防病毒軟件，可以實(shí)時(shí)查殺病毒、智能安裝，快速方便地升級(jí)。然而，當(dāng)前在使用的防病毒軟件基本上是單用戶版的，容易造成長(zhǎng)時(shí)間不升級(jí)，在管理上也不方便。訪問(wèn)安全是指對(duì)設(shè)備、資源、信息和服務(wù)訪問(wèn)權(quán)限的安全控制。訪問(wèn)安全也是最常見(jiàn)的安全問(wèn)題，××國(guó)稅網(wǎng)絡(luò)缺少必要的權(quán)限管理，人人都可以通過(guò)網(wǎng)絡(luò)訪問(wèn)到各服務(wù)器和路由器。雖然網(wǎng)管人員可以通過(guò)外部防火墻限制外部用戶訪問(wèn)內(nèi)網(wǎng)，也可以限制內(nèi)部用戶瀏覽互聯(lián)網(wǎng)的權(quán)限和時(shí)間，但是由于××縣局與省局、市局無(wú)內(nèi)部防火墻隔離，全國(guó)的國(guó)稅廣域網(wǎng)用戶都可以通過(guò)網(wǎng)絡(luò)訪問(wèn)××國(guó)稅的路由器和服務(wù)器，造成許多安全上的隱患。

3、信息安全上存在的問(wèn)題。信息安全主要是指信息交換安全。網(wǎng)上申報(bào)、網(wǎng)上認(rèn)證的發(fā)展推動(dòng)了信息安全需求。這兩種情況都需要對(duì)連接者身份進(jìn)行嚴(yán)格驗(yàn)證，防止非法用戶的進(jìn)入，為了防止傳輸過(guò)程中的信息被竊聽(tīng)，要求登錄用戶名和密碼以及數(shù)據(jù)在傳輸過(guò)程中進(jìn)行有效的加密。為了增強(qiáng)信息安全，需要對(duì)登錄信息和納稅申報(bào)信息進(jìn)行安全審計(jì)記錄，從而可以對(duì)非法入侵進(jìn)行跟蹤，并分析系統(tǒng)的安全狀況。這一塊工作我們還沒(méi)有很好的開(kāi)展起來(lái)。

4、管理安全上存在的問(wèn)題。管理安全是指通過(guò)加強(qiáng)安全管理來(lái)保證物理安全、網(wǎng)絡(luò)安全和信息安全措施的實(shí)現(xiàn)。信息化安全是一項(xiàng)系統(tǒng)工程，如果沒(méi)有有效的安全管理，其他的任何努力都形同虛設(shè)。信息化安全需要一個(gè)完善的安全管理體系，從安全管理組織、制度、措施上都要制定一整套相應(yīng)的規(guī)范?！痢羾?guó)稅自從通過(guò)is09000認(rèn)證以來(lái)，信息中心的制度建設(shè)已日趨完善，但網(wǎng)絡(luò)信息安全方面的制度如應(yīng)急預(yù)案、機(jī)房安全制度、密碼制度等相對(duì)較少，沒(méi)有從制度上來(lái)杜絕網(wǎng)絡(luò)安全上的漏洞。

5、網(wǎng)絡(luò)及信息系統(tǒng)安全意識(shí)存在的問(wèn)題。網(wǎng)絡(luò)及信息系統(tǒng)安全問(wèn)題很多時(shí)候都出在內(nèi)部，許多典型的網(wǎng)絡(luò)入侵事件都是借助于內(nèi)部人員才得以實(shí)觀的，而我們國(guó)稅系統(tǒng)的一般工作人員，網(wǎng)絡(luò)及信息系統(tǒng)安全意識(shí)差，個(gè)別人就根本沒(méi)有安全意識(shí)，計(jì)算機(jī)隨便裝載各種游戲軟件，不經(jīng)殺毒隨便使用外來(lái)u盤(pán)、軟盤(pán)、光盤(pán)等。

二、加高“短板”的對(duì)策

信息化安全問(wèn)題不存在一勞永逸的解決方案，提出的任何安全對(duì)策也只能是更好地預(yù)防問(wèn)題的出現(xiàn)，盡量減少安全問(wèn)題對(duì)正常業(yè)務(wù)的影響。針對(duì)××國(guó)稅系統(tǒng)信息化建設(shè)的特點(diǎn)和存在問(wèn)題的分析，可以歸納出“三大對(duì)策”，即建設(shè)高可用性網(wǎng)絡(luò)、部署安全防護(hù)系統(tǒng)和建立安全保障體系。

1、建設(shè)高可用性網(wǎng)絡(luò)。建設(shè)高可用性網(wǎng)絡(luò)就是要建設(shè)具有高性能和高可靠性的信息化基礎(chǔ)網(wǎng)絡(luò)設(shè)施，實(shí)現(xiàn)信息化物理安全和網(wǎng)絡(luò)安全。建設(shè)高可用性網(wǎng)絡(luò)的主要措施涵蓋信息化硬件和軟件以及需要重點(diǎn)考慮的災(zāi)難恢復(fù)。（1）信息化硬件。信息化硬件包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、布線、機(jī)房設(shè)備等。要保證信息化網(wǎng)絡(luò)的高可用性，在設(shè)備選擇上必須堅(jiān)持高性能和高可靠性，在系統(tǒng)設(shè)計(jì)上也要充分考慮網(wǎng)絡(luò)和設(shè)備的冗余備份。在網(wǎng)絡(luò)設(shè)備上，應(yīng)盡可能選用可靠性高，有相對(duì)冗余的中心交換機(jī)：服務(wù)器應(yīng)選用帶冗余電源的，硬盤(pán)應(yīng)選用能做raidl，raid5等高可靠性的磁盤(pán)陣列：機(jī)房設(shè)備必須用ups供電，保證設(shè)備的持續(xù)、穩(wěn)定運(yùn)行。（2）信息化軟件。信系化軟件主要包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用程序等。應(yīng)盡量選用性能好安全性高的操作系統(tǒng)，個(gè)人計(jì)算機(jī)操作系統(tǒng)可以選用，服務(wù)器操作系統(tǒng)應(yīng)優(yōu)先選用unix系統(tǒng)。（3）災(zāi)難恢復(fù)。隨著信息化進(jìn)程的深入，國(guó)稅系統(tǒng)對(duì)計(jì)算機(jī)設(shè)備的依賴度也越來(lái)越大、對(duì)稅務(wù)系統(tǒng)而言，最珍貴的不是信息化設(shè)備或系統(tǒng)：而是存儲(chǔ)的各種文檔和數(shù)據(jù)庫(kù)信息。網(wǎng)絡(luò)的可用性也是極為重要的，如果網(wǎng)絡(luò)總是有問(wèn)題，誰(shuí)還有信心去用它?所以災(zāi)難恢復(fù)是信息化安全中很重要的一個(gè)組成部分，必須想法保證數(shù)據(jù)存儲(chǔ)的可靠性，保證網(wǎng)絡(luò)服務(wù)和應(yīng)用在故障時(shí)能盡快恢復(fù)。對(duì)國(guó)稅系統(tǒng)而言，災(zāi)難恢復(fù)保護(hù)的地方主要是關(guān)鍵數(shù)據(jù)庫(kù)和文件服務(wù)器。關(guān)鍵數(shù)據(jù)庫(kù)一般是指存儲(chǔ)納稅申報(bào)信息ctais數(shù)據(jù)庫(kù)、金稅數(shù)據(jù)庫(kù)，文件服務(wù)器主要是指辦公自動(dòng)化所依賴的服務(wù)器，它存儲(chǔ)國(guó)稅系統(tǒng)管理過(guò)程中所需的重要文檔和資料。先進(jìn)的典型災(zāi)難恢復(fù)系統(tǒng)是由集群服務(wù)器、存儲(chǔ)設(shè)備和相關(guān)軟件組成，當(dāng)系統(tǒng)部分設(shè)備發(fā)生災(zāi)難時(shí)可以保持服務(wù)的連續(xù)性并自動(dòng)恢復(fù)或盡可能恢復(fù)最近的數(shù)據(jù)。典型災(zāi)難恢復(fù)系統(tǒng)的一個(gè)重要特點(diǎn)就是災(zāi)難恢復(fù)系統(tǒng)里的設(shè)備要做到地理分散，才能真正應(yīng)對(duì)災(zāi)難的發(fā)生。××國(guó)稅系統(tǒng)應(yīng)在××縣局建立了異地?cái)?shù)據(jù)容災(zāi)備份系統(tǒng)。容災(zāi)系統(tǒng)中采用falconstor的ipstor軟件和legatoautomatedavailabilitymanager(legatocluster)。市縣局用4m光纖相連，在晚上進(jìn)行數(shù)據(jù)復(fù)制。系統(tǒng)運(yùn)行后，市局將各縣市局的ctais查詢直接指向××縣局的小型機(jī)進(jìn)行查詢，此舉極大地減輕了以市局為主的征管服務(wù)器的壓力，從根本上改善了服務(wù)器征期高峰的擁塞現(xiàn)象，保證了市局主服務(wù)器主要正常業(yè)務(wù)的開(kāi)展與運(yùn)行。同時(shí)，數(shù)據(jù)的備份將在很大的程度上保證稅務(wù)工作的安全運(yùn)轉(zhuǎn)，給征管數(shù)據(jù)上了“保險(xiǎn)”。ctais異地備份的成功實(shí)現(xiàn)為其他系統(tǒng)的安全保護(hù)提供了很好的借鑒。

2、部署安全防護(hù)系統(tǒng)。部署安全防護(hù)系統(tǒng)主要指通過(guò)操作系統(tǒng)安全使用和部署安全防護(hù)軟件,實(shí)現(xiàn)信息化網(wǎng)絡(luò)安全和信息安全。（1）防病毒系統(tǒng)。常見(jiàn)的計(jì)算機(jī)病毒主要是針對(duì)微軟的操作系統(tǒng)，如果你使用其他操作系統(tǒng)如unix或linux，基本可以不用擔(dān)心受感染，但是仍可能成為病毒傳播源和感染對(duì)象。國(guó)稅系統(tǒng)中用戶網(wǎng)絡(luò)節(jié)點(diǎn)多，如果采用單機(jī)防病毒軟件，成本高，維護(hù)起來(lái)也不方便，防病毒的效果也不理想，所以對(duì)國(guó)稅系統(tǒng)而言，對(duì)付病毒的重要手段是部署網(wǎng)絡(luò)防病毒系統(tǒng)。網(wǎng)絡(luò)防病毒系統(tǒng)由防病毒主程序和客戶端以及其他輔助應(yīng)用組成，它可以通過(guò)管理平臺(tái)監(jiān)測(cè)、分發(fā)部署防病毒客戶端，這種功能意味著可以統(tǒng)一并實(shí)施全系統(tǒng)內(nèi)的反病毒策略，并封鎖整個(gè)系統(tǒng)內(nèi)病毒的所有入口點(diǎn)。因?yàn)橛?jì)算機(jī)病毒是動(dòng)態(tài)發(fā)展的，到目前為上尚未發(fā)現(xiàn)“萬(wàn)能”防病毒系統(tǒng)，所以我們能做到只能是及時(shí)地更新病毒庫(kù)。要有效地對(duì)付計(jì)算機(jī)病毒，除了部署防病毒系統(tǒng)外，還要配合其他手段維護(hù)系統(tǒng)安全，做好數(shù)據(jù)備份是關(guān)鍵，并且要及時(shí)升級(jí)殺毒軟件的病毒庫(kù)，還要做好災(zāi)難恢復(fù)。（2）防火墻。防火墻是目前最重要的信息安全產(chǎn)品，它可以提供實(shí)質(zhì)上的網(wǎng)絡(luò)安全，它承擔(dān)著對(duì)外防御來(lái)自互聯(lián)網(wǎng)的各種攻擊，對(duì)內(nèi)輔助用戶安全策略的實(shí)施的重任，是用戶保護(hù)信息安全的第一道屏障，在信息化安全中應(yīng)給予高度重視。通過(guò)配置安全策略，防火墻主要承擔(dān)以下作用：禁止外部網(wǎng)絡(luò)對(duì)××國(guó)稅系統(tǒng)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，保護(hù)國(guó)稅網(wǎng)絡(luò)安全：滿足內(nèi)部員工訪問(wèn)互聯(lián)網(wǎng)的需求；對(duì)員工訪問(wèn)互聯(lián)網(wǎng)進(jìn)行審計(jì)和限制。對(duì)××國(guó)稅來(lái)說(shuō)，除現(xiàn)在應(yīng)用的internet防火墻外，還應(yīng)該在與外單位包括其他國(guó)稅局、銀行等聯(lián)網(wǎng)的過(guò)程中沒(méi)置內(nèi)部防火墻、保證××國(guó)稅內(nèi)部網(wǎng)全部在防火墻的保護(hù)之下。

現(xiàn)在的防火墻在功能上不斷加強(qiáng)，如可以實(shí)現(xiàn)流量控制、病毒檢測(cè)、vpn功能等，但是防火墻的主要功能仍然是通過(guò)包過(guò)濾來(lái)實(shí)現(xiàn)訪問(wèn)控制。防火墻的使用通常并不能避免來(lái)自內(nèi)部的攻擊，而且由于數(shù)據(jù)包都要通過(guò)防火墻的過(guò)濾，增加了網(wǎng)延遲，降低了網(wǎng)絡(luò)性能，要想充分發(fā)揮防火墻的作用，還要與其他安全產(chǎn)品配合使用。（3）入侵檢測(cè)。大部分入侵檢測(cè)系統(tǒng)主要采用基于包特征的檢測(cè)技術(shù)來(lái)實(shí)現(xiàn)，它們的基本原理是：對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行復(fù)制，與內(nèi)部的攻擊特征數(shù)據(jù)庫(kù)進(jìn)行匹配比較，如果相符即產(chǎn)生報(bào)警或響應(yīng)。檢測(cè)到入侵事件后，產(chǎn)生報(bào)警，并把報(bào)警事件計(jì)入日志，日后可以通過(guò)日志分析確定網(wǎng)絡(luò)的安全狀態(tài)，發(fā)現(xiàn)系統(tǒng)漏洞等。如果它與防火墻等其他安全產(chǎn)品配合使用，可以在入侵發(fā)生時(shí)，使防火墻聯(lián)動(dòng)，暫時(shí)阻斷非法連接，保護(hù)網(wǎng)絡(luò)不受侵害。在部署此類產(chǎn)品時(shí)要注意進(jìn)行性能優(yōu)化，盡量避免屏蔽沒(méi)有價(jià)值的檢測(cè)規(guī)則。（4）操作系統(tǒng)安全使用。在信息化網(wǎng)絡(luò)中，操作系統(tǒng)的安全使用是保證網(wǎng)絡(luò)安全的重要環(huán)節(jié)，試想如果你打算與同事共享一個(gè)文件夾，可是你又沒(méi)有加密碼，共享的文件就會(huì)變成公開(kāi)的文件。操作系統(tǒng)安全使用主要包括以下幾方面內(nèi)容：用戶密碼管理、系統(tǒng)漏洞檢測(cè)、信息加密等。用戶密碼管理無(wú)論是對(duì)個(gè)人還是整個(gè)系統(tǒng)都是很重要的。用戶密碼管理有許多的原則要遵守，最重要的就是不要使用空密碼，如當(dāng)你使用windowsnt／2000時(shí)，如果不幸你使用空密碼，局域網(wǎng)中的任何人都可以隨意訪問(wèn)你的計(jì)算機(jī)資源。如果你是系統(tǒng)管理員，制定嚴(yán)謹(jǐn)?shù)挠脩裘艽a策略是首要任務(wù)之一。漏洞檢測(cè)對(duì)關(guān)鍵服務(wù)器的操作系統(tǒng)是極為重要的。任何操作系統(tǒng)都不可避免地存在安全漏洞，操作系統(tǒng)的漏洞總是不斷地被發(fā)現(xiàn)并公布在互聯(lián)網(wǎng)上，爭(zhēng)取在黑客沒(méi)有攻擊你的主機(jī)之前及時(shí)發(fā)現(xiàn)并修補(bǔ)漏洞是極為關(guān)鍵的。另外一種類型的漏洞并不是系統(tǒng)固有的，而是由于系統(tǒng)安裝配置缺陷造成的，同樣應(yīng)引起足夠重視。對(duì)服務(wù)器而言，關(guān)閉不需要的服務(wù)或端口也是必要的。即使網(wǎng)絡(luò)很安全了，需要保密的信息在存儲(chǔ)介質(zhì)上的加密仍然是必要的，因?yàn)槿魏尉W(wǎng)絡(luò)不能保證百分之百的安全。使用windowsnt／2000等操作系統(tǒng)時(shí)，盡量使用ntfs分區(qū)，對(duì)重要信息起用加密保護(hù)功能，這樣就算是信息意外泄露，也無(wú)法破解。采用vpn(虛擬專用網(wǎng))。vpn是當(dāng)前實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)重要方法，它可以有效地降低廣域網(wǎng)通訊費(fèi)用，并實(shí)現(xiàn)從任何位置安全地訪問(wèn)國(guó)稅系統(tǒng)內(nèi)部網(wǎng)絡(luò)，它也可以作為國(guó)稅系統(tǒng)內(nèi)部重要資源訪問(wèn)控制的一種手段。vpn通過(guò)internet或其他公用ip網(wǎng)絡(luò)實(shí)現(xiàn)，可以滿足遠(yuǎn)程通訊安全的基本需求，它將通訊信息進(jìn)行加密和認(rèn)證傳輸，從而保證了信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)完整性和信息源的可靠性，實(shí)現(xiàn)安全的遠(yuǎn)程端到端連接。vpn的實(shí)現(xiàn)主要基于以下技術(shù)：

(1)ipsec，ietf(internet工程師任務(wù)組)制定的ip安全標(biāo)準(zhǔn)。

(2)通過(guò)認(rèn)證機(jī)構(gòu)發(fā)放數(shù)字證書(shū)和進(jìn)行第三方認(rèn)證。

(3)使用共享密鑰認(rèn)證用于小規(guī)模的vpn網(wǎng)絡(luò)。

vpn一般采用專用的設(shè)備實(shí)現(xiàn)，在選用vpn產(chǎn)品時(shí)應(yīng)主要考慮幾點(diǎn)：可管理性、可擴(kuò)展性、可靠性、兼容性和價(jià)格。

3、建立安全保障體系。安全保障體系主要是指：對(duì)信息化安全管理的整套體制，包括管理組織、制度、措施等，通過(guò)安全管理，保證物理安全、網(wǎng)絡(luò)安全和信息安全措施的實(shí)現(xiàn)。（1）建立安全管理機(jī)構(gòu)和管理制度。建立安全管理機(jī)構(gòu)，確定安全管理人員，建立安全管理制度、維護(hù)和維修管理制度及安全考核制度，建立責(zé)任和監(jiān)督機(jī)制，實(shí)行分權(quán)制約，優(yōu)先授權(quán)，進(jìn)行系統(tǒng)設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲(chǔ)設(shè)備的安全管理，建立工作記錄，詳細(xì)記載運(yùn)行情況。（2）制定安全應(yīng)急方案。在國(guó)稅系統(tǒng)網(wǎng)絡(luò)中，小的安全問(wèn)題可能比較容易解決，但是嚴(yán)重的安全問(wèn)題對(duì)稅收工作的影響是很大的，如系統(tǒng)設(shè)備故障或大范圍病毒感染等，這時(shí)的問(wèn)題處理起來(lái)會(huì)特別復(fù)雜，有必要針對(duì)特定的安全問(wèn)題制定安全應(yīng)急方案。安全應(yīng)急方案主要確定安全應(yīng)急處理時(shí)的領(lǐng)導(dǎo)組織結(jié)構(gòu)，解決問(wèn)題的思路、方法和步驟，做好事前準(zhǔn)備，不至于遇到問(wèn)題時(shí)慌了神而手忙腳亂。（3）加強(qiáng)網(wǎng)絡(luò)管理。加強(qiáng)網(wǎng)絡(luò)管理是信息化安全的重要環(huán)節(jié)，網(wǎng)絡(luò)管理的內(nèi)容主要包括：操作系統(tǒng)安全策略的維護(hù)和檢查、系統(tǒng)和數(shù)據(jù)的備份、防火墻路由器等的安全檢查、審計(jì)分析網(wǎng)絡(luò)安全事件日志、設(shè)備和系統(tǒng)的日常維護(hù)等。只有加強(qiáng)網(wǎng)絡(luò)管理，才能保證網(wǎng)絡(luò)的安全可靠運(yùn)行。（4）加強(qiáng)網(wǎng)絡(luò)及信息系統(tǒng)安全宣傳教育。安全問(wèn)題很多時(shí)候都出在內(nèi)部，許多典型的網(wǎng)絡(luò)入侵事件都是借助于內(nèi)部人員才得以實(shí)觀的，而且嚴(yán)格的安全策略大多是針對(duì)外部的，所以應(yīng)高度重視內(nèi)部安全。除了從技術(shù)上盡量保證安全以外，通過(guò)加強(qiáng)宣傳，增加工作人員的安全和遵紀(jì)守法意識(shí)，讓廣大工作人員自覺(jué)地參與到安全保護(hù)中來(lái)，認(rèn)真執(zhí)行安全策略，減少安全漏洞，信息化安全才有保證。

總之，信息化安全問(wèn)題是一個(gè)嚴(yán)峻的問(wèn)題，特別是隨著廣域網(wǎng)和互聯(lián)網(wǎng)應(yīng)用的發(fā)展，安全問(wèn)題變得更加突出。安全問(wèn)題是融入到信息化建設(shè)的整個(gè)過(guò)程中的，它是一項(xiàng)系統(tǒng)工程，因此，僅僅提供一個(gè)安全問(wèn)題解決方案是不能滿足信息化安全需求的。對(duì)國(guó)稅系統(tǒng)而言，通過(guò)“建設(shè)高可用性網(wǎng)絡(luò)，部署安全防護(hù)系統(tǒng)，建立安全保障體系”，信息化安全才能得到最好的保證。