税务信息系统风险防范对策初探(6页).docVIP

税务信息系统风险防范我国信息化建设建设阶段主要是开展数据集中和网络建设，由城市级网络、省网络全国级网络建设，同时将业务数据逐步上收和集中到各级数据中心。我们必须清认识到数据意味着风险集中技术、业务的统一规范管理对系统运行的质量对数据保障要求。风险防范、内部控制成为信息系统安全的概念很广，凡是涉及到保障正常的所有问题都与信息安全有关。一是信息技术设备等基础设施的安全问题；二是信息系统软件的正常运行问题；三是信息系统中保存的业务、政策等机密的安全问题。都要有相应安全管理、风险防范措施，大量事实表明在计算机系统受到的危害中，很多是由于管理不善或控制不严造成的。权责不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的风险。如一些有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束；当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警北京海淀区国税局第一税务所税务干部吴芝刚增值税专用发票犯罪案件数据大集中是近年来信息化领域最为火热的话题业务数据逐步上收和集中到级数据中心实现资源共享，信息孤岛数据大集中《税收征管法》规定，税务机关有为纳税人保守个人隐私和财务信息秘密的义务。近年来，各种各样的计算机病毒层出不穷，尤其是蠕虫病毒，更让人防不胜防。这种病毒利用操作系统和应用程序的漏洞主动进行攻击，利用多种传播方式传播，并容易产生变种，以逃脱防病毒软件的搜索。毒毒蠕虫病可充分利用网络快速传播，阻塞网络，给信息系统造成巨大破坏。如制定相应的机房出入管理制度，口令密码管理制度等；制定严格的操作规程，根据职责分离和对人负责的原则，各负其责，不能超越自己的管辖范围；制定完善的系统维护制度，详细记录故障原因、维护内容和维护前后的情况 （二） 加强人员培训安全意识和相关技能的是安全管理中重要的内容，其实施力度将直接关系到安全策略被理解的程度和被执行的效果。为了保证安全成功有效，应当对各级管理人员、、技术人员进行安全培训，使他们技术的先进永远是相对的决不能有单纯依赖于先进技术和先进设备的思想真正认识到系统安全的重要性和解决这一问题的长期性、艰巨性及复杂性。在安全教育具体实施过程中应该层次：信息安全工作负责人或各级管理人员，重点是了解、掌握信息安全的整体策略及目标、信息安全体系的构成、管理制度的制定等；责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。制订安全技术标准和技术规范安全技术标准和技术规范BS7799 国际上具有代表性的信息安全管理体系标准，已经有二十几个国家引用作为国标； BS 7799中的信息安全管理实施细则部分于2000年通过国际标准化组织（ISO）认可，是税务系统实施和维护信息安全比较好的参考文档。 ●ISO13335 IT安全管理方针 是一个信息安全管理指南，用户完全可以参照这个完整的标准制订出自己的安全管理计划和实施步骤。ISO13335相对BS7799来说对IT技术部分有更加详细的描述并且可操作性较强，特别是对安全管理过程中的风险分析和管理有非常细致的描述。 ●GA/T 391—2002 计算机信息系统安全等级保护管理要求 国内适用性比较好的一个标准, 它对计算机信息系统明确要求不论规模如何，为保障信息的机密性、完整性、可用性、可控性和抗抵赖性，都应建立有效的安全管理体系，按计算机信息系统安全等级保护的要求实施安全管理。 2、建立信息系统安全监控中心 税务信息系统安全管理不能仅依赖于某些安全产品，但良好的安全技术基础架构能有效的推动和保障信息系统安全管理。从一些省市税务局的成功经验来看，以市局级为单位建立信息系统安全监控中心值得借鉴。税务信息系统安全作为一个整体，需要把安全过程中的有关各方纳入一个紧密的统一安全管理平台中，才能有效地保障网络安全。税务系统大多以市局级为中心实现集中，其信息系统的核心软件、设备以及外网的接入都在市局，通过建立市局级信息系统安全监控中心，一是实现安全设备的集中管理。将系统内网和外网节点处的安全产品纳入统一的平台管理，系统管理员在一个统一的界面中可以监视到网络中每个安全产品的运行情况，全面获取网络安全实时状态信息，解决网络安全管理中的透明性问题和可控制性问题。二是实现安全服务的集中管理。建立相关安全软件、补丁信息库，提供查询、统计、分发、分析功能；自动搜集系统漏洞信息、对信息系统进行入侵检测和预警，完成信息系统的补丁加载等工作。现在网络上横行的蠕虫病毒大多是利用系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性，保持各种操作系统和应用软