税务信息系统安全保障研究.docxVIP

　　1信息安全保障体系11信息安全。 　　信息安全是一门涉及计算机科学、网络技术、通信技术和密码技术等多个领域的交叉学科，它关注信息系统在安全方面存在的问题和面临的威胁，贯穿于信息系统中信息生命周期的整个过程。 　　信息本身应具有的安全属性主要有保密性、完整性和可用性3个方面。 　　111特征与范畴。 　　与传统安全相比，信息安全有4个鲜明特征系统性、动态性、无边界性和非传统性。 　　1系统性，信息安全问题是复杂的，在这个人-机、人-网紧密结合的复杂系统中，某一分支或某一要害受到损害，均可能引发全局性的系统危机。 　　2动态性，信息系统从规划设计，到开发建设，再到运行维护，最后到废弃，在整个生命周期中，信息系统面临着不同的安全问题。 　　3无边界性，信息化的重要特点是开放性和互通性，这使得信息安全威胁超越了现实地域的限制。 　　4非传统性，与军事安全、政治安全等传统安全相比，信息安全涉及的领域和影响范围十分广泛，必须采用新方法来治理。 　　112信息安全问题根源。 　　技术故障、黑客攻击、病毒和漏洞等原因都可以引发信息安全问题，信息安全问题产生的根源可以从内因和外因两个方面加以分析。 　　内因是信息系统自身存在脆弱性，信息系统过程、结构和应用环境的复杂性导致系统本身不可避免地存在脆弱性。 　　外因是信息系统面临着众多威胁，这些威胁包括人为因素和非人为因素两大类。 　　12信息系统安全保障。 　　信息系统安全保障是在信息系统的整个生命周期中，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性。 　　121信息安全技术。 　　信息安全技术涵盖密码技术、访问控制技术、网络安全技术、操作系统安全技术、数据库安全技术、安全漏洞与恶意代码防护技术和软件安全开发技术等多种技术类型。 　　122信息安全管理。 　　信息安全管理体系包括建立、实施、运作、监视、评审、保持和改进等一系列管理活动。 　　此外，还需要结合信息安全风险管理、信息安全控制措施、应急响应与灾难恢复和信息安全等级保护等多层面的管理方法。 　　123信息安全工程。 　　规范的信息安全工程过程包括发掘信息保护需要、定义信息系统安全要求、设计系统安全体系结构、开发详细安全设计和实现系统安全5个阶段及相应活动。 　　124信息安全人员。 　　在信息安全保障诸要素中，人是最关键也是最活跃的要素。 　　网络攻防对抗，最终较量的是攻防双方人员的能力。 　　组织机构要建立一个完整的信息安全人才体系。 　　2税务信息系统安全保障现状21数据安全管理还需强化。 　　随着税收信息化的不断发展，税务数据高度集中并呈指数级增长，具有数据规模大、应用类型多样、涉及个人隐私和敏感信息等特点。 　　国家有关法律法规对数据安全保护提出了具体要求，《中华人民共和国税收征收管理法》明确要求税务机关应当依法为纳税人、扣缴义务人的情况保密；《全国人民代表大会常务委员会关于加强网络信息保护的决定》要求应当采取技术措施和其他必要措施，确保信息安全，防止电子信息的泄露、毁损、丢失等；《中华人民共和国网络安全法》要求网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度，这些都对税务数据安全保护提出了更高的要求。 　　22三同步工作尚需加强。 　　网络安全和信息化发展是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。 　　《中华人民共和国网络安全法》要求建设关键信息基础设施应用确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。 　　随着税收信息化的深入推进，信息系统安全已经引起广泛重视，但仍存在信息系统与安全技术措施规划不同步、安全技术保障体系尚不完善、缺乏周期性的综合风险评估机制等问题。 　　3税务信息系统安全保障提升措施31扎实推进三同步工作。 　　对于税务信息系统，要严格按照三同步要求，在规划、建设和使用阶段，同步落实应用系统管理与安全技术措施各项工作。 　　规划阶段要开展应用系统拟定级工作，在项目采购需求中明确安全要求；建设阶段要全面梳理网络安全需求，严格做好安全设计与开发，做实阶段安全评审，上线前要完成等级保护定级备案和测评整改；运行阶段要明确运行责任，做好文档管理、资产管理、变更管理和运维管理，细化监控与审计要求，定期开展应急演练。 　　32严格管控数据安全风险。 　　要将电子数据按照核心数据、敏感数据和受控数据进行分级分类保护，做到事前管控、严格管理、保证安全。 　　税务电子数据安全使用要遵循合规进、授权用、加密传、保险存、审核出、销毁净的总体策略，在电子数据创建、使用、传输、存储和销毁的全生命周期内，采取安全保护管理策略和技术措施