税务信息安全精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇税务信息安全，期待它们能激发您的灵感。

篇1

关键词：税务系统；网络；信息；安全

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 (2012) 11-0000-02

目前，全国各级税务机关已形成以计算机网络为依托的征管格局，随着税务信息化建设的不断蓬勃发展，网络与信息安全的风险也逐渐显露。随着电子信息技术的飞速发展，网络与信息安全面临越来越严峻和复杂的形势，各种安全事件层出不穷，病毒破坏和黑客入侵等安全隐患会使我们丢失数据，会造成机密数据泄漏，会使我们的业务瘫痪，危害极大。无论是外部有意的攻击，还是内部无意的误操作，任何安全问题都可能导致安全事故，由此所带来的损失与严重后果都将无法估量。因此，加强税务系统网络与信息系统安全显得尤为重要。

一、税务系统网络与信息安全风险分析

随着我国各行业信息化程度的不断提高，利用计算机系统进行各类犯罪活动的案件每年以较大的速度递增，在税务系统也出现了利用税收管理系统进行犯罪的案件。例如，2003年原国税局干部吴芝刚虚开增值税专用发票的“京城第一税案”，就是吴芝刚利用操作员安全意识不强，盗用其密码进入系统篡改发票发售权限，将增值税专用发票非法卖给犯罪团伙。尽管目前在税务系统计算机犯罪案件发生率很小，但不能因此放松警惕，防微杜渐做好网络与信息安全工作至关重要。根据对税务系统网络和信息安全的研究分析，威胁税务系统网络信息安全的因素主要有以下方面：

（一）网络与信息安全意识淡薄

目前税务系统相当部分工作人员缺乏网络信息安全意识。很多人以为自己计算机上安装有杀毒软件，就不会存在安全问题，总觉得信息安全工作离自己很遥远，和自己没关系。缺乏网络信息安全知识，如不按规定使用移动存储介质甚至内外网混用等等，都可能导致计算机病毒入侵或“黑客”攻击，对网络与信息安全构成威胁。

（二）计算机病毒的危害

计算机病毒是对税务系统网络信息安全最为常见、影响最为广泛的威胁。几乎没有计算机没有感染过病毒，计算机病毒通常通过移动存储介质等感染计算机，并能通过网络迅速传播。税务系统一台计算机感染病毒，就可能造成病毒在整个办公内网计算机中迅速传播，轻则堵塞网络，影响税务信息系统的正常运行，重则破坏系统，造成无法估量的直接和间接损失。

（三）计算机犯罪的危害

计算机犯罪对网络和信息安全的威胁显而易见，危害极大。常见的计算机犯罪有内部人员泄露信息、窃取他人密码、越权访问和外部“黑客”攻击等。比如“黑客”通过某种方式侵入税务系统办公内网，就可能破坏税务信息系统或窃取机密数据，造成极大的危害。

（四）移动存储介质使用的风险

目前光盘、优盘、移动硬盘等移动存储介质使用非常普遍，大量内部信息通过移动介质存储传播。一方面移动介质如果不受控，会形成泄密隐患；另一方面纳税人报送涉税信息带来的移动存储介质需要接入办公内网，如果疏忽了病毒和木马的查杀，就存在着将计算机病毒和木马等恶意程序传入办公内网的安全风险。

（五）网络技术本身的缺陷

网络技术本身存在的技术缺陷，使网络容易成为受攻击的目标，从而对税务系统网络信息安全形成威胁。目前各级税务机关组建广域网通常租用电信或联通的网络线路，不法分子就可能通过公共网侵入税务系统网络或者通过公共网对税务系统网络进行窃听、攻击。

（六）自然灾害袭击

例如火灾、地震、雷击等自然灾害都可能使计算机及网络设备遭到破坏，影响系统正常运行。

（七）人为无意失误

工作人员防范意识不强，工作中“图方便”，如操作员安全配置不当，不按要求设置口令，随意把自己的用户给他人使用等等问题，虽然不是主观故意，但可能造成较大危害，对网络与信息安全带来威胁。

二、税务系统网络与信息安全风险的防范对策

网络与信息安全风险，需要从人、管理、技术等以下几个方面进行防范：

（一）必须加强信息安全教育

“人是网络信息安全系统的重要组成部分”，要保障网络与信息系统的安全，需要全体税务干部的参与。通过在税务机关全体工作人员中开展信息安全普及教育，对信息化专业人员加强信息安全专业培训，提高各级人员的信息安全意识，共同防范网络与信息安全风险。

（二）强化安全管理

要加强税务机关内部控制，改进网络信息安全管理中的薄弱环节，防范内部人员有意犯罪或无意失误造成的网络信息安全风险。各级税务机关要建立健全网络与信息安全组织机构，逐步建立健全各种网络与信息安全制度，明确岗位责任与分工，把各项工作及责任落实到人。要把强化管理与技术手段相结合来防止内部人员有意犯罪和无意失误，从内部严防各类安全事件的发生。

（三）强化安全技术

1.科学使用计算机防病毒软件防范计算机病毒

各级税务机关的计算机设备，要使用统一的正版计算机防病毒软件，指派专人进行计算机防病毒监控，及时处理计算机病毒威胁。其中，移动存储介质管理是计算机病毒防范的重点和难点。光盘、优盘、移动硬盘等移动存储介质是病毒和木马的重要传播途径，不管好移动存储介质,就不可能做到病毒和木马的有效防控。必须加强管理，对所有的外来软件或盘片，必须先查杀病毒、木马，才能接入办公内网进行安装和使用。

2.做好办公内网与互联网的完全隔离

篇2

1管理维护人员少

我局信息系统管理维护工作主要由计算机中心负责，下设软件科、系统科、综合科共14名在编人员。信息系统的维护管理工作主要由系统科4名人员负责。一方面在开展系统维护工作时人手不足，无法覆盖到区县；另一方面由于新技术更新较快，人员对新知识与新技术的掌握不足，不利于有效的开展信息安全维护管理工作。

2系统漏洞影响大

税务信息系统对数据完整性与服务实时性高要求非常高，当今漏洞挖掘技术极大缩短系统漏洞的发现周期，经常性对核心应用系统进行升级补丁将对系统数据完整性与保障系统服务及时性造成一定的风险。

3黑客攻击与计算机病毒传播路径广

我局内部业务网已连接到全市23个下属单位，黑客可通过任何一个单位对我局核心业务应用发起攻击。同时随着移动互联网的快速发展，wfif、手机连接到终端计算机等都有可能成为业务内网与互联网的接口，使我局核心业务应用遭受到互联网的攻击。同时移动存储介质不安全的使用方式、工作员通过互联网下载的软件等都有可能导致病毒大规模传播。

二、新形势税务信息安全管理工作实践

1信息安全管理工作分解，明确分工与职责

我局信息安全工作的未来发展方向与符合我局实际情况的管理要求、监督指导执行层落实工作信息安全工作、考评执行层与支撑层的工作绩效。为全局的信息安全保障工作发挥着规划、指导、监督、考评作用，推动我局各项信息安全管理工作得以落实。执行层由各区县局单位指派在编工作人员担任，目前我局在各区县局设立信息岗，由具备一定计算机基础知识的工作人员担任。主要工任务是按照市局的管理要求开展日常的信息安全维护工作，并处理常规信息安全问题、向其他工作人员宣传市局既定的管理要求，提高全员的信息安全意识。通过执行层开展的信息安全工作，使市局规划的各项信息安全管理要求在基层得到落实。为提高执行层的工作能力，市局定期集中工作人员开展培训，传达市局信息安全工作思路、讲解工作中涉及的信息安全技术、宣传信息安全形势等。支撑层由第三方公司担任，为使我局信息安全管理工作更高效，我局将信息系统各项技术维护工作外包给各技术领域有一定实力的公司，由公司安排具备工作经验与能力的专业技术人员常驻我局，开展技术维护工作。我局管理人员根据制定的管理要求对各公司的维护工作进行考评。

2周期性检测，评估安全风险

漏洞挖掘技术很大程度的缩短了系统漏洞的发现周期，对税务系统是个非常大的安全隐患，常规的运行维护难以发现深层次的安全漏洞。因此我局将对信息系统及终端计算机的安全检测列入周期性的工作计划，不流于风险评估与等级保护测评的工作形式。以实质性的发现系统与终端安全漏洞为手段；以采取有效、可靠、安全的处置方法，降低系统安全风险为目标。将安全检测工作委托第三方专业的公司定期开展，将检查结果转交各类技术的维护公司进行处理。并对安全专业公司的检测能力，各类技术维护公司的处置能力纳入到统一考评体系，确保我局安全漏洞检测的全面性、准确性，问题处理的正常性、有效性。3建立以制度为依据、以技术为支撑的监督、管理工作流程为解决我局终端数量多、地域分布广、安全管理难度大的难题，管理层经讨论、研究针对终端安全及网络边界管理的方法，论证管理要求与技术实现的可行性，制定终端安全管理与网络边界管理的总体纲领策略。并测试、采购符合我局安全管理需求的安全技术实施部署。市局下发针对性的安全管理要求文件，安全技术根据市局管理要求部署基本的控制与审计策略。为更好的发挥技术平台的管理功效，市局将基本安全管理策略之外的管理权限下放到各区县局，由各单位根据自身实际情况制定管理规则。市局根据平台产生的数据，对违规使用资源、违规操作的个人与单位进行监督与通报，并纳入对各单位的考评。通过管理要求与技术平台的有机结合，使我局各项信息安全管理制度得到落实，并定期召集各单位对信息安全管理工作的经验进行交流与推广，提高全局的信息安全管理水平。

三、新形势税务信息安全管理探索方向

信息安全管理工作在设计上需成体系、在落实上需有支撑，这项工作有着一定的复杂性、周密性与完整性。并非依靠制定一系列的管理规定，或部署完善的信息安全技术就能立即提高信息安全管理水平。而是需要规划整体的安全管理方针与目标；根据方针与目标制定基础的保障框架；逐步完成基础保障框架中的管理、技术与过程建设；并在运行维护中不断的找出管理、技术与过程建设存在的不足，并进行改进，使信息安全管理水平不断的提高，逐渐形成适合我局的信息安全管理体系。目前我局制定信息安全管理的基本方针是建立以风险管理为核心的信息安全管理体系。在该方针的指导下，我局计划建立的基本信息安全保障框架为：

(1)以采取一切手段发现整体信息系统中存在的安全问题为基础。

(2)以评估发现的问题对信息系统可能产生的安全风险为支撑。

(3)以找出问题的有效、可靠、安全处置机制为保障。

(4)以监督、评估问题处置的有效性，降低安全风险为目标。因此在已定的安全保障框架下，管理层还需继续探索符合我局实际情况的信息安全管理方法，以管理有效方法为基础制定管理策略、以管理策略为依据选购安全技术、以安全技术为支撑开展具体管理工作、以具体管理工作为监督推动管理落实、以管理落实效果为依据检验管理方法、以优化管理方法目标提高安全管理效益。

四、结语

篇3

[关键词]税务信息；信息安全；安全管理；风险评估

doi：10.3969/j.issn.1673 - 0194.2015.24.160

[中图分类号]F812.42 [文献标识码]A [文章编号]1673-0194（2015）24-0-03

科学技术发展变革了传统的税收管理模式，税务管理信息化成为了税收征管业务工作的重要依托和基础保证。税务信息安全管理是税务信息管理的重要内容，是税务机关工作的重要安全保障，它涉及税务信息的采集、整理、贮存、传输、反馈及应用等全过程，因此必须引起重视。而基层税务信息安全管理是税务信息安全的一项重要内容，其随着技术的突飞猛进，政府简政放权的深入以及依法治税的全面推进，面临的技术管理风险、行政管理风险及涉纷管理风险日益凸显，形势日益严峻。如何在既按照信息安全一体化的要求和安全风险等级管理的要求，又结合基层税务工作的特点和难点，做好基层税务信息安全管理工作显得尤为重要。为实现国家职能、促进税收现代化、保障纳税人信息权利，有必要对基层税务信息安全管理所面临的难题进行分析，并提出相应策略。

1 实施税务信息安全管理的重要意义

税务信息是国家税务决策、税收计划制定与调整的重要依据，是税务机关税收征管工作的必要支撑，也是纳税人信息权利的核心内容，因而其安全管理具有重要意义。

税务信息安全管理有利于维护并促进国家职能的实现。税收是实现国家宏观调控职能的重要手段，而这一手段必须借助和运用税务信息才能达到。因为税务信息管理一方面能使信息正确地反映经济税源和税收进度情况，为制定国民经济和社会发展计划及调整国民经济结构提供可靠依据。另一方面，可了解纳税人的经济活动状况，并掌握国民经济发展变化情况，鉴定税收政策与经济发展需要是否相适应，以便迅速做出明智的决策，有效地发挥税收调节经济的作用。换言之，如果税务信息安全无法得到保障的话，既无法实现税收为国家筹集财政收入的职能，也将使国家以税收进行宏观调控经济的政策大打折扣，影响经济与社会的发展。

税务信息安全管理有利于税务机关税收征管的现代化。税务信息安全管理是税收征管的组成部分，正确、及时、安全的税务信息是把握财政发展和税务管理客观规律的钥匙，有利于实现税务管理科学化、现代化，使税务管理工作从经验走向科学，以适应社会和经济形势发展对税务管理的要求；有利于提高税务管理水平和税务管理效率，做到努力开发税源，尽力足额征收，增加税收收入；有利于提高税务管理队伍的素质，强化信息意识，掌握信息技术，开展税务管理工作，适应社会主义市场经济体制下的税务管理需要。

税务信息安全管理有利于纳税人权利的保障。从纳税人角度而言，税收是纳税人根据法律的规定及程序向税务机关提供纳税申报资料并缴纳税款的过程。在此过程中，不论是纳税人提供的纳税申报资料，还是税务机关依法定职权收集的信息，不可避免的会涉及到纳税人的商业秘密（客户资料、销购价格、专利技术等），正常生产经营信息（生产经营范围、工商税务登记证件号等），个人隐私（个人及家庭身份信息、社会关系等），涉税负面信息（欠税记录、税务处罚信息等），一旦这些信息的泄露不仅会对企业的正常经营带来严重影响，而且还会给个人和家庭生活带来恶性干扰，甚至还有可能引起诈骗和金融犯罪。因此，税务信息安全管理是纳税人权利的重要保障。

2 基层税务信息安全管理的难题

2.1 基层税务信息安全管理存在的风险

信息技术飞速发展，尤其是大数据时代的到来，基层税务信息安全技术管理风险与日俱增。科学技术水平日新月异，移动互联网、虚拟化、云技术、大数据应用等新技术层出不强。此类技术的应用对于专业技术的要求较高，安全保障措施也较为严密，但现有的税务信息安全管理的软硬件、制度、顶层设计、税务人员素质、社会要求等方面无法适应其方便、快捷、高效的特点，使得税务信息暴露在数据的海洋，极易造成信息被盗取、被非法病毒所侵入，税务信息安全技术管理必然风险激增。

改革不断深化，尤其是简政放权要求逐步提高，基层税务信息安全行政管理风险突飞猛进。全面深化改革的推进，行政管理被要求回归理性简政放权，实现由权力管制到权利治理，基层税务部门必然面临着工作重心后移及执法风险加大的交汇压力，后续管理将成为税务部门工作的一种常态。税务管理信息化是保证后续管理科学、有效、规范进行的基本方式且根本保障，而税务信息安全管理是税务管理信息化的基础，是故税务信息安全管理必然成为税收征收与管理过程的基础和支撑。税务管理信息化下税务信息不论是频率还是数量均不断提高，数量和质量相生相克，前者的增多必然导致后者的下降，税务信息安全行政管理风险骤升。

依法治税加强，尤其是纳税人权利意识的觉醒，基层税务信息安全管理涉纷风险不断提高。随着经济、社会以及文化的不断发展，纳税人权利意识在不断觉醒，私权保护、正当程序、公平正义成为了普遍诉求。纳税人信息是税务信息安全管理的重要内容之一，包含着巨大的商业价值，税务机关在采集、保管和使用纳税人信息过程中往往由于安全措施不到位而导致纳税人权利受到损害事件时有发生，甚至诱发违法犯罪。近些年来，由于税务信息安全管理不善带来的税务纠纷呈水涨船高之势，纳税人诉诸法律途径的越来越多，基层税务部门涉议、涉诉风险不断提高。

2.2 基层税务信息安全管理面临的困境

2.2.1 税务信息安全管理意识淡薄

税务管理信息化在我国方兴未艾，关于税务信息安全的理解、保护方法、风险防范手段等社会所知甚微。就税务部门而言，大部分基层税务工作人员对于税务信息安全管理是什么、税务信息安全管理意义是什么、怎样实现税务信息安全管理等内容的认识与理解存在偏差，主观地认为税务信息安全与税务部门的核心业务无关，是一种简单的信息存储与传输，意义不大。甚至是一提到税务信息安全，不少人就当然的认为是病毒和黑客，而往往忽视内部人员的过错或故意行为等因素。就纳税人而言，大部分纳税人抱有这样的态度，就是只要按照法定规定和法定程序上缴完税，其他的就与自己没有多大干系，税务信息安全管理也是如此，因而往往不配合税务信息的收集等工作。由于少数人的安全意识淡薄和管理不善，会影响整个税务信息系统的安全性。

2.2.2 税务信息安全管理方式滞后

整体上看，基层税务信息安全管理还主要是依靠单一的技术方法，税务信息保密措施少、身份认证未得到全面应用、缺少路由安全和防止入侵的技术措施，难以适应税务信息安全管理的要求。首先，税务信息技术管理方式赖以生存的硬件设施可靠性、稳定性不足，缺少日常维护及安全配套措施。其次，税务信息技术管理核心之处的软件设施开放性强，比如，内部网路终端信息共享范围广、操作系统主要是国外研发的，内外网机器存在混用现象，极大增加了税务信息安全风险。最后，采集数据分散，不能形成有效共享，普遍存在“信息孤岛”现象；业务信息不能通过计算机有效流转，自动化管理过程隔离；尤其是信息缺乏高效的数据监控措施，没有形成科学的内、外监督体系，不断遭受黑客攻击，还出现数据丢失的现象等。

2.2.3 税务信息安全管理制度不完善

税务信息采集、整理、贮存、传输、反馈及应用等过程中安全管理的理念并未得到贯彻，税务信息安全管理制度还不全面、缺乏体系性、可操作性也不强。具体来讲，一是缺乏强有力的税务信息安全管理领导制度。一般而言，基层税务信息安全管理主要是由税务信息中心实施，与其他内设机构之间是并列关系，信息安全管理无法渗透到税收征管的其他环节。二是缺乏科学的税务信息安全事故预防、报告及处理制度，各基层税务部门普遍缺失完备的信息安全事故报告程序与预防处理方案，税务信息安全事故的预防、处理没有可持续的制度支撑。三是缺乏规范的税务信息安全管理考核制度，基层税务信息安全岗位与责任相适应的考核标准，机制不规范，致使信息安全管理深度与力度得不到有效落实。此外，信息安全责任制度还需进一步细化和完善。

2.2.4 信息安全风险管理机制存在缺陷

税务信息化下，税务信息安全风险有来自基础设施毁损的风险，有技术应用带来的风险，有人为操作引发的风险，可谓无处不在、无时不有。但目前基层税务机关并没有形成体系化的税务信息安全风险识别、评估、控制等管理机制。就税务信息安全风险识别而言，税务信息并未被确定成为一种资产，因而缺乏税务信息必要的分类管理。同时，这种安全风险识别仅局限于技术硬件故障或错误、技术软件故障或错误、技术淘汰等技术层面，而对于其他层面的信息安全威胁鲜有涉及。就税务信息安全风险评估而言，由于专业技术和人才的缺乏，加之评估频率与方法不当，很难真正分析出信息安全风险的高低，影响到控制措施的选择。就税务信息安全风险控制而言，由于识别与评估分析中的不健全，使得风险控制策略选择失去了可信基础，致使避免、转移、缓解及接受等风险控制策略无从选择。

3 基层税务信息安全管理的应对

3.1 加大信息安全管理教育培训，更新税务信息安全管理理念

应当认识到，税务信息安全管理既是国家信息安全管理的有机构成，也是基层税务工作的重要组成部分，它涵盖税收信息的采集、整理、存储、传输、反馈、开发及应用等全过程，不仅可以加强税收收入的规划性，有效发挥税收促进生产，调节、监督经济的作用，还能衡量税收分配是否合理，税负负担是否平衡，保障纳税人的权利。因此，基层税务部门要摒弃税务信息安全管理不重要的观念，提高对税务信息安全的认识，充分了解税务信息安全管理的内容、作用及方法，以此更新税务信息安全管理理念。税务信息安全管理意识之所以淡薄，原因在于信息安全管理教育与培训少，税务信息安全管理专业人才匮乏。对此，一方面要灵活多样地培训学习形式，综合平衡信息安全相关项目，提高税务工作人员的信息安全意识与能力水平；另一方面，要建立税务信息安全管理培训机制，通过组织开展多层次、多方位的信息安全培训，提高安全员信息安全防范技能，培养税务信息安全管理骨干。此外，税收普法宣传教育中还要强化纳税人信息安全意识。

3.2 综合内外部控制手段，实现税务信息安全管理方式多元化

税务信息安全管理是一个系统工程，涉及信息技术体系、信息风险管理及组织管理框架等诸多方面，面对终端规模大、地域分布广、技术类型多的现实，单纯的依靠外部技术手段无法实现税务信息安全管理，需要内部控制措施予以协同，多元化的管理方法才能更好地、更有效地保障税务工作人员完成信息安全管理工作。首先，完善税务信息安全技术手段，做好信息安全防护体系建设和运行管理。不论是采取何种技术手段进行税务信息管理，都要建立完备的病毒防范、身份鉴别与访问控制、入侵检测及信息加密等信息安全管理技术体系，定时检查并更新硬件设备以确保其可靠性与稳定性。其次，要克服“唯技术论”的倾向，税务部门要建立统一的信息安全保障中心，保证税务信息安全集中和集成管理，努力形成完整的数据安全与备份体系。最后，完善税务信息安全管理内部控制手段，以减轻由于内部人员道德风险、系统资源风险所造成的信息危害。主要是采用人机联控的控制方式，通过实施一系列的控制活动和保护措施，以实现对与税务信息安全相关的人与物的管理，并最大限度地保障税务信息安全。

3.3 完善税务信息安全管理框架，健全税务信息安全管理制度

借鉴信息安全管理一般理论，完整的税务信息安全管理框架包括定义税务信息安全政策、定义税务信息安全管理范围、进行税务信息安全风险评估、确定管理目标和选择管理措施、准备税务信息安全适用性声明、建立相关文档、文档的严格管理及安全事件记录回馈。针对目前税务信息安全管理框架的不完善，税务部门应严格按照信息安全管理框架，制定完善的信息安全规章、明确管理范围、风险、目标、措施等予以完善。与此同时，还要健全税务信息安全管理相关制度。一是建议基层税务机关应成立信息安全领导小组，各区局、科室、所都应明确专人负责税务信息安全的管理，以健全税务信息安全管理领导制度；二是建议明确安全事故预防任务、报告时限与程序、处理方法与措施，以健全税务信息安全事故预防、报告及处理制度；三是建议制定规范、可行的信息安全管理考核机制，明确规定每个税务工作人员在信息安全方面应承担的责任、保密要求以及违约责任，以健全税务信息安全管理责任制度。总之，就是要建立安全管理机构，确定安全管理人员，建立安全管理制度，建立责任和监督机制，切实保障税务信息安全管理有效开展。

3.4 实施税务信息分类管理，健全税务信息安全风险管理机制

信息化时代，信息无处不在，不同的信息管理有着不同的安全要求，税务信息也是如此。因此，要充分实现税务信息的安全管理就必须对者纷繁复杂的税务信息进行分类，不同的税务信息实施不同的安全管理战略，这样才能提高税务信息安全管理的效率。根据信息系统组成部分不同，可将税务信息安全管理分为员工（正式与非正式）、税务征管过程、数据、软件和硬件（系统设备及外设、网络组件）等几大部分，在此基础上健全税务信息安全风险管理机制。首先，通过建立健全税务信息分类与价值评估、安全调查、威胁识别与评估、漏洞识别等制度以健全税务信息安全风险识别机制。其次，通过由业务、技术和管理等方面的专家、学者、工作骨干等人员组成的团队定期对税务信息安全风险进行评估，确定风险的大小并制定科学的安全预算。最后，构建完备的税务信息安全管理措施以防止信息安全的发生，在科学的风险估测基础上，选择“知己知彼”的风险控制策略。也就是说，税务信息安全管理需要在税务信息分类管理的基础上，通过健全信息安全风险识别、评估以及控制策略选择等机制予以最充分的实现。

主要参考文献

[1]王春东.信息安全管理[M].武汉：武汉大学出版社，2008.

[2]贺志东.税务管理学[M].上海：立信会计出版社，2003.

[3]罗四平.税务信息安全的内部控制研究[D].北京：中央财经大学，2012.

篇4

【关键词】物联网；智慧水利；信息安全

基于互联网+的水利物联网建设蓬勃发展，水利物联网系统信息安全保护问题倍加突出，应加大研究和建设力度，一个物联网系统应该包括三个逻辑层：感知层、网络层（又称为传输层）与处理应用层。

1感知层安全设计

物联网的感知层主要用于感知环境信息。在智慧水利物联网系统中，感知层包括传感器节点和汇聚节点（又称为感知层网关节点）构成。1.1安全算法的选取针对感知层安全保护，选取RECTANGLE密码算法，这是一种轻量级密码算法。RECTANGLE算法的整体结构是SP网络，总轮数为25轮，最后再增加一个子密钥异或操作。每一轮变换包含三个步骤：轮子密钥加Ad-dRoundKey（ARK），列替换SubColumn（SC），行移位ShiftRow（SR）。而且，RECTANGLE算法能极好地支持软件、硬件环境，都能很容易和高效实现突出的性能。针对8位AVR微处理器、16位MSP微控制器、32-位ARM处理器、64位x64处理器平台上的实现显示，RECTANGLE具有让人印象深刻的软件实现性能。1.2传感器节点的公钥密码算法需求分析传感器节点的密码算法和处理器实施方案在具体应用中还要解决密钥管理问题。汇聚节点较传感节点有着更多资源，但在公钥密码算法的选取上，必须满足一定的轻量级或近轻量级特征。根据分析，基于椭圆曲线的密码算法可以通过一定技术处理达到低资源需求的性能。可以根据美国国家标准局（NIST）标准对性能测试结果和实际需求选择合适对硬件平台来实现感知层数据的安全保护。

2网络层和处理应用层设计

2.1网络层设计水利物联网项目的实施地点一般在荒郊野外，因此联网系统的网络层一般采用3G或4G移动通信。物联网号码段的3G或4G模块的网络传输速度可以是目前移动通信系统的网络传输速度的数倍，而且可以为更多的用户提供服务。2.2处理应用层设计物联网的处理应用层就是一个数据处理中心，而智慧水利物联网系统的处理应用层由两层处理构成，即本地云计算处理平台和向云计算中心。本地云处理平台，是指用于水利监控数据处理的平台，可以是水利监控服务机构自己的数据处理平台，也可以是地方市政信息服务平台。云计算处理中心的数据是综合处理后的数据，数据用于全国范围的水利数据分析，用于科学地制定政策和防护措施等。

3整体安全方案设计

智慧水利物联网系统的安全体系传感器节点不分种类，都需要实现RECTANGLE算法和一种椭圆曲线密码算法，建议使用SM2国密标准算法。汇聚节点除了需要实现RECTANGLE算法和ECC算法外，还需要使用3G／LTE模块实现对数据对远程传输。3.1传感节点与汇聚节点之间的安全协议1）当传感器节点向汇聚节点抄报数据时，需要将数据进行加密。通过公钥密码算法与对称密码算法相结合的方式，可以实现对数据的机密性保护，其步骤如下：传感器节点获取感知数据m；随机产生会话密钥k；传感器节点用汇聚节点的公钥加密会话密钥k，得到HK；用k加密数据m，得到c=Ek（m，T），其中T是时间戳;将（HK|c）发送给汇聚节点；汇聚节点首先使用自己的私钥解密HK，得到会话密钥k；使用k解密c，得到（m，T）=Dk（c）；检查时间戳T是否在被允许对范围内，若是，则接受数据m，否则丢弃。通过上述步骤，传感器节点可以将抄报数据m安全发送给汇聚节点。2）当汇聚节点需要向传感器节点发送指令数据d时，可通过如下步骤完成：汇聚节点产生指令数据d，或从上位服务器获取指令数据d；使用上次与目标感知节点通信的会话密钥k（如果这是第一次通信，则使用感知节点的出场密钥k0）；汇聚节点产生随机数IV作为初始向量，使用会话密钥k加密数据d和IV，得到c=Ek（d，IV，T），其中T为时间戳；将（IV|c）发送给传感器节点；传感器节点使用k解密c，得到（d，IV’，T）=Dk（c）；比较IV＝IV’是否成立。如果不成立，则停止执行；检查时间戳T是否在被允许的范围内，如果是，则执行指令d，否则丢弃。通过上述步骤，汇聚指令可以将一个指令信息安全地发送给传感器节点。3.2汇聚节点与本地云平台之间的安全协议汇聚节点与本地云平台之间使用3G／LTE移动通信协议。在LTE的认证协议使用了UMTSAKA协议，具体的流程图见图1。3.3本地云平台与云计算中心之间的安全协议在本地云平台与云计算中心之间的通信，使用IPSec协议的隧道模式，这种模式使得在本地云平台与水利部云计算中心之间通过密钥协商，建立安全隧道，之后的数据通信便可通过这一安全隧道来完成。

4安全性分析

4.1感知层的安全性分析感知层之间的通信协议分为上行数据安全协议和下行指令安全协议。前提是假定安全协议中所使用的密码算法是安全的。1）对上行数据安全协议，考虑非法获取攻击、假冒攻击、伪造攻击、和重放攻击的成功可能性。由于上行数据和下行数据都使用加密处理，攻击者能从密文中获得原始消息的可能性可以忽略；伪造攻击者无法获取会话密钥，因此无法成功伪造数据。2）对于下行数据的安全性，其结果与上行数据类似。需要特别说明的是，下行数据使用加密技术实现了数据的完整性保护，使得重放攻击完全没有机会成功，即使在时间戳合法范围内，也因为不能制造出新的有效的IV而失败。4.2传输层和处理应用层的安全性分析传输层使用了国际标准的3G／LTE移动通信技术，无论3G还是LTE，都可以保证数据传输安全。对处理应用层则归结为一个云平台的安全性。

5结语

篇5

[关键词] 水务；网络信息安全；管理

[中图分类号] F272.7 [文献标识码] A [文章编号] 1673 - 0194（2013）20- 0054- 03

0 引 言

随着上海水务信息化工作的快速推进和不断深化，电子政务、数字水务、水务公共信息平台、水资源管理系统等信息化成果有力推动了水务的现代化建设。网络平台作为信息化建设和信息化成果应用的重要基础平台， 支撑起了巨大的IT价值，是水务IT价值实现的根本和基础。在互联网快速发展的背景下，网络攻击手段日益增多，信息系统所面临的安全风险也越来越多，如何确保网络信息安全已成为水务信息化进程中的一项重要工作。

1 现状分析

上海水务网络由中国水利信息网接入网、市防汛水务专网、市政务外网接入网、办公局域网、无线专网等网络组成，实现了上连国家防总、水利部、全国流域机构，中连全市各委办局、下连所有局属单位以及全市各区县防汛指挥部，系统承载了防汛报讯系统、电子政务系统、水务公共信息平台、视频会议系统、视频监控、水务热线、水资源管理系统等重要水务防汛应用。

为确保网络运行安全和系统应用正常，水务网络实施了一系列的安全防护措施，主要包括：在网络边界处部署安全访问控制设备，如防火墙、上网行为设备等，建立了安全的通信连接，确保数据访问合法并在有效的安全管理控制之下，同时作为抵御外部威胁的第一道防线，有效检测和防御恶意入侵；在网络核心部位和重要区域部署了入侵检测设备，分析网络传输数据，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象；开展计算环境安全管理，主要内容包括操作系统策略管理、统一病毒防护管理、安全补丁管理等。

2 面临的安全风险

2.1 信息系统缺乏同步安全建设

信息化进程中，普遍存在重建设轻管理，重应用功能轻安全防护，导致信息系统在建设过程中没有充分考虑信息安全防护措施和管理要求，通常在安全测评阶段，根据相应的测评指标，临时、被动地实施相关安全防护措施，虽然满足了测评的基本要求，但是安全措施比较零散，缺乏体系和相互关联，甚至实施的安全措施治标不治本，安全隐患重重。

2.2 未充分发挥安全产品防御作用

当前，信息安全已深入到业务行为关联和信息内容语义范畴。防火墙的访问控制、入侵检测的预警判断、网闸的数据传输控制以及安全审计信息的合规性判断均来自应用安全策略要求，信息安全产品更多的是面向应用层面的信息安全控制。但是由于系统开发缺乏明确的安全需求，造成了信息安全产品针对其实施的安全策略权限开放过大或无安全策略，安全告警无法有效判断，使得部分产品形同虚设，不能充分发挥其防御作用。

2.3 软件漏洞

软件漏洞是信息安全问题的根源之一，易引发信息窃取、资源被控、系统崩溃等安全事件。软件漏洞主要涉及操作系统漏洞、数据库系统漏洞、中间件漏洞、应用程序漏洞等。操作系统、数据库等厂商会不定期针对漏洞相应的补丁，但是，由于应用系统运行对程序开发环境的依赖度较高，补丁升级存在较大安全风险和不确定性，使得应用部门通常不实施操作系统等相关补丁升级工作。此外，应用程序本身也普遍缺失安全技术，存在诸多未知安全漏洞等问题。

2.4 网络病毒

计算机病毒是数据安全的头号大敌，根据国家计算机病毒应急处理中心的《2011年全国信息网络安全状况与计算机及移动终端病毒疫情调查分析报告》，2011年全国计算机病毒感染率为48.87%，虽呈下降态势，但是病毒带来的危害越来越大。

2.5 黑客攻击

国家互联网应急中心（CNCERT）的最新数据显示，中国遭受境外网络攻击的情况日趋严重。CNCERT抽样监测发现，2013年1月1日至2月28日不足60天的时间里，境外6 747台木马或僵尸网络控制服务器控制了中国境内190万余台主机。在信息系统漏洞频出的情况下，面向有组织的黑客攻击行为，现有的技术防护和安全管理措施捉襟见肘。

2.6 信息安全意识薄弱

人是信息安全工作的核心因素，其安全管理水平将直接影响信息安全保障工作。由于缺少宣传、培训和教育，用户信息安全意识较为淡薄。由于安全意识淡薄和缺乏识别潜在的安全风险，用户在实际工作中容易产生违规操作，引发信息安全问题或失泄密事件。

3 采取的管理措施

存在这些安全风险的主要原因为缺乏信息安全规划、缺乏持续改进的安全维护保障措施以及安全意识薄弱等，所以做好该部分工作是解决当前所面临安全风险的主要措施。

3.1 信息安全规划

信息安全规划是一个涉及技术、管理、法规等多方面的综合工程，是确保物理安全、网络安全、主机安全、应用安全和数据安全的系统性规划。信息安全规划既依托于信息化规划，又是信息化的重要组成部分。在信息安全规划的指导下，信息系统安全建设与管理才能有计划、有方向、有目标。信息安全规划框架如图1。

3.1.1 以信息化规划为指引，以信息化建设现状为基础

信息安全规划是以信息化规划为指引，以信息化建设现状为基础，系统性的规划信息安全架构，是信息化发展中的重要环节。信息安全规划一方面要对信息化发展现状进行深入和全面的调研，摸清家底、掌握情况，分析当前存在的安全问题和信息化发展所带来的安全需求，另一方面要紧紧围绕信息化规划，按照信息化发展战略和思路，同步考虑信息安全问题。

3.1.2 建立信息安全体系

信息安全规划需要围绕技术安全、管理安全、组织安全进行全面的考虑，建立相应的信息安全体系，确定信息安全的任务、目标、战略以及人员保障。

3.2 日常安全运维保障

3.2.1 关注互联网安全动态

互联网的快速发展使得水务网络安全与互联网安全密切相关。因此，关注互联网安全动态，及时更新或调整水务网络安全策略和防护措施，是日常安全管理工作中的一项重要工作。

3.2.2 安全态势分析

网络信息安全是一个动态发展的过程，固化的安全防护措施无法持续确保网络环境安全。定期对网络安全环境进行态势分析不仅可以掌握当前存在的问题，面临的风险，而且可以及时总结原因，制定改进策略。安全态势分析主要通过对网络设备、安全设备、主机设备及安全管理工具等策略变更信息、日志信息、安全告警信息等，经过统计和关联分析，综合评估网络系统安全状态，并判断发展变化趋势。

3.2.3 信息安全风险评估

风险评估是信息安全管理工作的关键环节。通过开展风险评估工作，可以发现信息安全存在的主要问题和矛盾，找到解决诸多问题的办法。安全风险评估的主要步骤和方法：①确定被评估的关键信息资产；②通过文档审阅、脆弱性扫描、本地审计、人员访谈、现场观测等方式，获得评估范围内主机、网络、应用等方面与信息安全相关的技术与管理信息；③对所获得的信息进行综合分析，鉴别被评估信息资产存在的安全问题与风险；④从系统脆弱性鉴别、漏洞和威胁分析、现有技术和管理措施、管理制度等方面，根据不同风险的优先级，分析、确定管理相应风险的控制措施；⑤基于以上分析的结果，形成相应的信息安全风险评估报告。

3.2.4 应急响应

应急响应是信息安全防护的最后一道防线，其主要目的是尽可能地减小和控制信息安全事件的损失，提供有效的响应和恢复。应急响应包括事先应急准备和事件发生后的响应措施两部分。事先应急准备主要包括明确组织指挥体系，预警及预防机制，应急响应流程，应急队伍、应急设备、技术资料、经费等应急保障，定期开展应急演练等工作。事件发生后的应急措施包括收集系统特征，检测病毒、后门等恶意代码，限制或关闭网络服务，系统恢复等工作。这两方面互相补充，事前应急准备为事件发生后的响应提供指导，事后的响应处置进一步促进事前准备工作的不断完善。

3.3 教育培训

人是信息安全工作的核心因素，其知识结构和应用水平将直接影响信息安全保障工作。加强相关信息安全管理人员的专业培训，以及开展面向网络用户的信息安全宣传教育、行为引导等，是提升信息安全专业化管理水平，提高信息安全意识，有效避免信息安全问题或失泄密事件发生的重要工作。

4 总 结

随着信息化进程的加快，信息系统所面临的安全风险越来越多，信息安全管理工作要求也逐步提高。持续分析、总结网络信息安全管理中存在的问题，并采取针对性的措施不断加以改进，成为保证水务信息化战略实现、不断提升水务部门管理能力和服务水平的重要基础保障工作。

主要参考文献

[1]GB/T 22239-2008，信息安全技术信息系统安全等级保护基本要求[S].

[2]GB/T 25058-2010，信息安全技术信息系统安全等级保护实施指南[S].