淺析基層網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)及對(duì)策

1、淺析基層網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)及對(duì)策楊建將來(lái)會(huì)有更多的信息隨著金稅工程三期建設(shè)的逐步實(shí)施， 稅收綜合征管軟件、 增值稅管理信息系統(tǒng)、 稅收?qǐng)?zhí) 法管理信息系統(tǒng)、 財(cái)務(wù)管理系統(tǒng)等主要業(yè)務(wù)系統(tǒng)已實(shí)現(xiàn)省級(jí)集中運(yùn)行， 系統(tǒng)在省級(jí)以上集中運(yùn)行。 應(yīng)用系統(tǒng)的省級(jí)集中運(yùn)行對(duì)基層國(guó)稅機(jī)關(guān)的網(wǎng)絡(luò)與信息安全工作提出了更高更嚴(yán)的要求，任何一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題都會(huì)影響全省網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行。保障網(wǎng)絡(luò)與信息安全是信息系統(tǒng)安全運(yùn)行的生命線。如何做好新形勢(shì)下基層國(guó)稅機(jī)關(guān)網(wǎng)絡(luò)與信息安全工作， 確保網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行，是各級(jí)安全管理人員所面臨的一個(gè)重要課題。、基層網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)一）互聯(lián)網(wǎng)接入風(fēng)險(xiǎn)目前，有的基層單位因工作需

2、要開(kāi)通了互聯(lián)網(wǎng)，但因安全防范意識(shí)差等原因沒(méi)有嚴(yán)格執(zhí)既上內(nèi)行內(nèi)外網(wǎng)物理隔離規(guī)定， 有的采取一臺(tái)計(jì)算機(jī)安裝雙網(wǎng)卡或者來(lái)回切換網(wǎng)線的方式， 網(wǎng)，又上外網(wǎng)；有的使用筆記本接入互聯(lián)網(wǎng)，但又存在筆記本有時(shí)接入內(nèi)部網(wǎng)使用的情況；有的在內(nèi)網(wǎng)計(jì)算機(jī)上私自安裝ADSL設(shè)備，通過(guò)寬帶撥號(hào)接入互聯(lián)網(wǎng)。這些不安全不規(guī)范的 互聯(lián)網(wǎng)接入方式極易將互聯(lián)網(wǎng)上的病毒、 木馬等引入到系統(tǒng)內(nèi)部網(wǎng)， 進(jìn)而在內(nèi)網(wǎng)上傳播和擴(kuò) 散，對(duì)系統(tǒng)內(nèi)部網(wǎng)的安全運(yùn)行構(gòu)成嚴(yán)重威脅。二）局域網(wǎng)安全風(fēng)險(xiǎn)局域網(wǎng)安全風(fēng)險(xiǎn)主要表現(xiàn)為：是缺乏有效的局域網(wǎng)接入管理和技術(shù)監(jiān)控手段，外來(lái)人員能夠隨意將設(shè)備接入局域網(wǎng)運(yùn)行，對(duì)筆記本、移動(dòng)硬盤、 U 盤等流動(dòng)性較強(qiáng)的設(shè)備沒(méi)有有

3、效的監(jiān)控等。二是計(jì)算機(jī) IP 地址和計(jì)算機(jī)名稱管理不規(guī)范，缺乏對(duì) IP 地址的統(tǒng)一規(guī)劃， IP 地址檔案不全， 計(jì)算機(jī)設(shè)備名稱無(wú)任何意義， 發(fā)生安全事件后無(wú)法定位到具體設(shè)備及相關(guān)責(zé) 任人。三是基層計(jì)算機(jī)操作人員因經(jīng)常接收企業(yè)報(bào)送資料而存在感染計(jì)算機(jī)病毒的危險(xiǎn)。三）廣域網(wǎng)安全風(fēng)險(xiǎn)一旦硬件設(shè)如果運(yùn)營(yíng)商廣域網(wǎng)安全風(fēng)險(xiǎn)主要表現(xiàn)為： 一是廣域網(wǎng)核心接入設(shè)備沒(méi)有硬件冗余備份， 備發(fā)生故障， 將造成全網(wǎng)癱瘓。 二是廣域網(wǎng)主備線路均由一家線路運(yùn)營(yíng)商提供， 發(fā)生光纜線路中斷等故障，將造成整個(gè)廣域網(wǎng)主備線路的全部中斷。四）信息系統(tǒng)安全風(fēng)險(xiǎn)信息系統(tǒng)安全風(fēng)險(xiǎn)主要表現(xiàn)為：是有的信息系統(tǒng)服務(wù)器老化嚴(yán)重，個(gè)別公文、 協(xié)查等

4、服務(wù)器設(shè)備因購(gòu)置時(shí)間較早， 已經(jīng)達(dá)到設(shè)備使用奉命， 經(jīng)常出現(xiàn)故障，對(duì)信息系統(tǒng)的安全運(yùn)行造成一定的威脅。 二是有的服務(wù)器操作系統(tǒng)未取消系統(tǒng)默認(rèn)共享服務(wù)，未刪除 DNS、WINS、IIS 服務(wù)，未按規(guī)定設(shè)置復(fù)雜的登錄口令，未啟用密碼策略、注冊(cè)表安全設(shè)置等，給病毒入侵和不法分子攻擊造成了一定的可乘之機(jī)。 三是有的信息系統(tǒng)長(zhǎng)期沒(méi)有數(shù)據(jù)備份，或者只有本機(jī)備份而無(wú)異機(jī)備份， 一旦發(fā)生硬件設(shè)備故障， 必將造成系統(tǒng)數(shù)據(jù)的全部丟失，導(dǎo)致無(wú)法彌補(bǔ)的損失。二、對(duì)策一）加強(qiáng)宣傳，提高認(rèn)識(shí)。隨著總局首期、 二期網(wǎng)絡(luò)與信息安全防護(hù)體系建設(shè)任務(wù)的完成，市級(jí)以上國(guó)稅機(jī)關(guān)建立了比較完備的網(wǎng)絡(luò)與信息安全防護(hù)體系， 基層單位所發(fā)生

5、的每一個(gè)病毒感染事件、 安全攻擊事件等，在市局、省局以及總局都有記錄。因此，要充分利用網(wǎng)站、公文、會(huì)議、面對(duì)面交流等多種形式， 宣傳網(wǎng)絡(luò)與信息安全工作， 提高全員安全防范意識(shí)， 增強(qiáng)做好網(wǎng)絡(luò)與信息安全工作的責(zé)任感、緊迫感和壓力感，牢固樹(shù)立 安全第一 ”的思想，時(shí)刻繃緊 “安全 ”這根弦，堅(jiān)決克服麻痹思想和僥幸心理， 積極采取各種有效措施， 堅(jiān)決防止重大網(wǎng)絡(luò)與信息安全事件的發(fā)生。二）完善制度，嚴(yán)格考核。要加強(qiáng)制度建設(shè)， 制定完善機(jī)房管理、 網(wǎng)絡(luò)管理、 應(yīng)用系統(tǒng)管理、 數(shù)據(jù)管理、 應(yīng)急響應(yīng)、考核辦法等一系列安全管理制度， 建立一套比較完整的網(wǎng)絡(luò)與信息安全管理制度體系，做到各項(xiàng)安全管理工作有章可循。

6、要嚴(yán)格管理，強(qiáng)化考核，以考核促落實(shí)，切實(shí)規(guī)范基層計(jì)算機(jī)操作人員的日常操作行為， 發(fā)現(xiàn)問(wèn)題及時(shí)處理， 將各種安全隱患消滅在萌芽之中， 確保各項(xiàng)安全管理規(guī)章制度落到實(shí)處。三）嚴(yán)格互聯(lián)網(wǎng)接入，確?；ヂ?lián)網(wǎng)接入安全。管理上， 要制訂嚴(yán)格的互聯(lián)網(wǎng)接入審批制度和用戶接入備案制度，嚴(yán)格執(zhí)行內(nèi)外網(wǎng)物理隔離規(guī)定， 確需接入互聯(lián)網(wǎng)的， 必須由用戶填寫(xiě)互聯(lián)網(wǎng)接入審批表，經(jīng)領(lǐng)導(dǎo)同意并在信息中心建立互聯(lián)網(wǎng)用戶接入檔案后，采取安裝隔離卡和硬盤或單獨(dú)一臺(tái)機(jī)器的方式接入互聯(lián)網(wǎng)，嚴(yán)格做到專機(jī)專用， 徹底實(shí)現(xiàn)內(nèi)外網(wǎng)的物理隔離， 堅(jiān)決防止造成信息泄密或?qū)⒉《尽?木馬程序等引入系統(tǒng)內(nèi)部網(wǎng)。技術(shù)上， 要運(yùn)用局域網(wǎng)桌面安全防護(hù)系統(tǒng)違規(guī)外聯(lián)

7、檢測(cè)功能，加強(qiáng)基層單位互聯(lián)網(wǎng)違規(guī)接入的監(jiān)控，對(duì)違反規(guī)定接入互聯(lián)網(wǎng)的計(jì)算機(jī)自動(dòng)鎖死，并記錄違規(guī)情況， 嚴(yán)加考核， 堅(jiān)決杜絕違規(guī)接入互聯(lián)網(wǎng)現(xiàn)象的發(fā)生。四）強(qiáng)化局域網(wǎng)管理，確保局域網(wǎng)安全。管理上， 一是要加強(qiáng)局域網(wǎng)接入準(zhǔn)入管理。 制定嚴(yán)格的計(jì)算機(jī)內(nèi)部網(wǎng)準(zhǔn)入制度， 所有接入內(nèi)部網(wǎng)的計(jì)算機(jī)必須在各級(jí)信息中心登記，統(tǒng)一分配IP 地址、網(wǎng)關(guān)等參數(shù)，安裝統(tǒng)一的網(wǎng)絡(luò)版防病毒軟件，嚴(yán)禁任何人私自將計(jì)算機(jī)設(shè)備接入內(nèi)部網(wǎng)運(yùn)行。二是要加強(qiáng)IP 地址使用管理。制訂IP地址管理方案，建立所有計(jì)算機(jī)IP地址使用檔案，禁止用戶私自更改IP地址，保證每臺(tái)計(jì)算機(jī)設(shè)備都有一個(gè)唯一的IP標(biāo)識(shí)。三是要規(guī)范計(jì)算機(jī)設(shè)備名稱命名。建立 科室名

8、稱使用人名稱 ”的計(jì)算機(jī)設(shè)備名稱命名規(guī)則， 所有計(jì)算機(jī)設(shè)備全部按照規(guī)定進(jìn)行命名，保證發(fā)生安全事件后， 能夠迅速根據(jù)計(jì)算機(jī)設(shè)備名稱定位到具體相關(guān)人員。四是要加強(qiáng)病毒管理。加強(qiáng)筆記本電腦、移動(dòng)硬盤、 U 盤等移動(dòng)介質(zhì)的使用管理，嚴(yán)禁計(jì)算機(jī)操作人員將從互聯(lián)網(wǎng)或其它地方下載的帶毒程序、 文件等復(fù)制到內(nèi)網(wǎng)計(jì)算機(jī)上， 嚴(yán)禁在內(nèi)網(wǎng)計(jì)算機(jī)上安裝、運(yùn)行、 查看與工作無(wú)關(guān)的程序、 文件資料等。 對(duì)接收企業(yè)報(bào)送的數(shù)據(jù)資料的，必須先進(jìn)行病毒查殺處理， 確認(rèn)無(wú)毒后方可接收。 定期通報(bào)各單位病毒感染情況， 提高計(jì)算機(jī)操作人員對(duì)病毒防治工作的重視程度。技術(shù)上， 一是要加強(qiáng)終端設(shè)備安全管理。 運(yùn)用局域網(wǎng)桌面安全防護(hù)系統(tǒng)，建立

9、強(qiáng)大的局域網(wǎng)安全防范策略。 啟用未注冊(cè)阻斷功能， 對(duì)沒(méi)有在桌面安全防護(hù)系統(tǒng)中安裝注冊(cè)的計(jì)算機(jī)設(shè)備全部進(jìn)行阻斷， 防止任何人私自將設(shè)備接入內(nèi)部網(wǎng)運(yùn)行， 徹底解決違規(guī)接入問(wèn)題。 啟用IP地址與MAC地址綁定功能，有效防止因用戶私自更改 IP地址而帶來(lái)的安全隱患。啟用硬件資源管理功能，加強(qiáng)計(jì)算機(jī)名稱命名檢查，嚴(yán)格執(zhí)行科室名使用人 ”的命名規(guī)定。對(duì)沒(méi)有按照命名規(guī)則進(jìn)行計(jì)算機(jī)設(shè)備命名的， 嚴(yán)格考核， 堅(jiān)決防止出現(xiàn)因計(jì)算機(jī)名稱不規(guī)范而導(dǎo) 致安全事件發(fā)生后無(wú)法定位相關(guān)責(zé)任人的問(wèn)題。 二是要強(qiáng)化病毒監(jiān)控管理。 利用網(wǎng)絡(luò)版瑞星 防病毒系統(tǒng)， 以市局為系統(tǒng)中心， 建立全市統(tǒng)一的病毒防護(hù)體系， 所有計(jì)算機(jī)設(shè)備全部安

10、裝 網(wǎng)絡(luò)版瑞星防病毒系統(tǒng)， 統(tǒng)一接受服務(wù)器管理， 及時(shí)升級(jí)病毒定義庫(kù)版本， 保證防病毒系統(tǒng)查明原因進(jìn)行處理， 保的有效性。 對(duì)設(shè)備長(zhǎng)期在線而病毒定義版版本未升級(jí)到最新版本的， 證病毒定義庫(kù)及時(shí)升級(jí)到最新版本， 提高防病毒軟件的殺毒能力。 病毒管理員對(duì)本單位計(jì)算 機(jī)設(shè)備感染病毒情況進(jìn)行實(shí)時(shí)監(jiān)控， 發(fā)現(xiàn)不能查殺的病毒及時(shí)進(jìn)行斷網(wǎng)處理， 防止病毒在網(wǎng)啟用內(nèi)進(jìn)一步擴(kuò)散。 強(qiáng)化病毒日志分析落實(shí)工作， 每月對(duì)瑞星防病毒系統(tǒng)病毒感染日志進(jìn)行分析， 查找病毒感染原因， 采取相應(yīng)措施， 消除病毒感染源，從源頭上防止病毒的再次傳染。桌面安全防護(hù)系統(tǒng)中未安裝防病毒軟件自動(dòng)阻斷功能，防止未安裝防病毒軟件的計(jì)算機(jī)設(shè)備接

11、入內(nèi)部網(wǎng)運(yùn)行，確保所有計(jì)算機(jī)設(shè)備全部安裝防病毒系統(tǒng)。五）加強(qiáng)廣域網(wǎng)改造，保證廣域網(wǎng)暢通。市、縣兩級(jí)要配備雙核心網(wǎng)絡(luò)設(shè)備， 實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的冗余備份， 保證在一臺(tái)網(wǎng)絡(luò)設(shè)備發(fā)生故障時(shí)， 能夠迅速自動(dòng)切換到另一臺(tái)網(wǎng)絡(luò)設(shè)備上， 防止因設(shè)備故障而造成全網(wǎng)癱瘓， 影響基層業(yè)務(wù)的正常開(kāi)展。 市縣廣域網(wǎng)主、 備線路要分別選擇兩家不同的線路運(yùn)營(yíng)商，提高線路運(yùn)行的安全性和可靠性， 防止因一家運(yùn)營(yíng)商發(fā)生故障而造成整個(gè)廣域網(wǎng)線路的癱瘓，影響基層所有業(yè)務(wù)的正常開(kāi)展。六）實(shí)施層級(jí)防護(hù)，確保信息系統(tǒng)安全。是要加大資金投入。 對(duì)信息系統(tǒng)賴以運(yùn)行的服務(wù)器設(shè)備要進(jìn)行安全評(píng)估，對(duì)購(gòu)置時(shí)間過(guò)長(zhǎng)、 配置過(guò)低、設(shè)備老化嚴(yán)重、影響信息系統(tǒng)正常運(yùn)行的服務(wù)器設(shè)備要及時(shí)進(jìn)行更新，購(gòu)買安全性高、性能高的服務(wù)器設(shè)備，保證服務(wù)器設(shè)備的安全。二是要規(guī)范操作系統(tǒng)安全設(shè)置。刪除不必要的有安全隱患的DNS WINS、IIS等服務(wù)程序，取消目錄默認(rèn)共享服務(wù)，設(shè)置復(fù)雜性密碼口令，長(zhǎng)度在8 位以上，包含字母、數(shù)字和特殊字符。 此外， 還要及時(shí)安裝網(wǎng)絡(luò)版瑞星防病毒系統(tǒng)和最新系統(tǒng)漏洞補(bǔ)丁程序，及時(shí)升級(jí)病毒定義庫(kù)，提高系統(tǒng)抗病毒攻擊能力，保證操作系統(tǒng)的安全。三是要強(qiáng)化信息系統(tǒng)的數(shù)據(jù)備份管