淺析基層網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)及對策

1、淺析基層網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)及對策楊建隨著金稅工程三期建設(shè)的逐步實(shí)施， 稅收綜合征管軟件、 增值稅管理信息系統(tǒng)、 稅收執(zhí) 法管理信息系統(tǒng)、 財(cái)務(wù)管理系統(tǒng)等主要業(yè)務(wù)系統(tǒng)已實(shí)現(xiàn)省級集中運(yùn)行， 將來會(huì)有更多的信息 系統(tǒng)在省級以上集中運(yùn)行。 應(yīng)用系統(tǒng)的省級集中運(yùn)行對基層國稅機(jī)關(guān)的網(wǎng)絡(luò)與信息安全工作 提出了更高更嚴(yán)的要求，任何一個(gè)環(huán)節(jié)出現(xiàn)問題都會(huì)影響全省網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行。 保障網(wǎng)絡(luò)與信息安全是信息系統(tǒng)安全運(yùn)行的生命線。 如何做好新形勢下基層國稅機(jī)關(guān)網(wǎng)絡(luò)與 信息安全工作， 確保網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行， 是各級安全管理人員所面臨的一個(gè)重要課 題。一、基層網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)（一）互聯(lián)網(wǎng)接入風(fēng)險(xiǎn)目前，

2、有的基層單位因工作需要開通了互聯(lián)網(wǎng)， 但因安全防范意識差等原因沒有嚴(yán)格執(zhí) 行內(nèi)外網(wǎng)物理隔離規(guī)定， 有的采取一臺(tái)計(jì)算機(jī)安裝雙網(wǎng)卡或者來回切換網(wǎng)線的方式， 既上內(nèi) 網(wǎng)，又上外網(wǎng)；有的使用筆記本接入互聯(lián)網(wǎng)，但又存在筆記本有時(shí)接入內(nèi)部網(wǎng)使用的情況； 有的在內(nèi)網(wǎng)計(jì)算機(jī)上私自安裝ADSL設(shè)備，通過寬帶撥號接入互聯(lián)網(wǎng)。這些不安全不規(guī)范的互聯(lián)網(wǎng)接入方式極易將互聯(lián)網(wǎng)上的病毒、 木馬等引入到系統(tǒng)內(nèi)部網(wǎng)， 進(jìn)而在內(nèi)網(wǎng)上傳播和擴(kuò) 散，對系統(tǒng)內(nèi)部網(wǎng)的安全運(yùn)行構(gòu)成嚴(yán)重威脅。（二）局域網(wǎng)安全風(fēng)險(xiǎn)局域網(wǎng)安全風(fēng)險(xiǎn)主要表現(xiàn)為： 一是缺乏有效的局域網(wǎng)接入管理和技術(shù)監(jiān)控手段， 外來人員能夠隨意將設(shè)備接入局域網(wǎng)運(yùn)行，對筆記本、移動(dòng)硬盤

3、、U盤等流動(dòng)性較強(qiáng)的設(shè)備沒有有效的監(jiān)控等。 二是計(jì)算機(jī) IP 地址和計(jì)算機(jī)名稱管理不規(guī)范， 缺乏對 IP 地址的統(tǒng)一規(guī)劃， IP 地址檔案不全， 計(jì)算機(jī)設(shè)備名稱無任何意義， 發(fā)生安全事件后無法定位到具體設(shè)備及相關(guān)責(zé) 任人。三是基層計(jì)算機(jī)操作人員因經(jīng)常接收企業(yè)報(bào)送資料而存在感染計(jì)算機(jī)病毒的危險(xiǎn)。（三）廣域網(wǎng)安全風(fēng)險(xiǎn)廣域網(wǎng)安全風(fēng)險(xiǎn)主要表現(xiàn)為： 一是廣域網(wǎng)核心接入設(shè)備沒有硬件冗余備份，一旦硬件設(shè)備發(fā)生故障， 將造成全網(wǎng)癱瘓。 二是廣域網(wǎng)主備線路均由一家線路運(yùn)營商提供，如果運(yùn)營商發(fā)生光纜線路中斷等故障，將造成整個(gè)廣域網(wǎng)主備線路的全部中斷。（四）信息系統(tǒng)安全風(fēng)險(xiǎn)信息系統(tǒng)安全風(fēng)險(xiǎn)主要表現(xiàn)為： 一是有的信息

4、系統(tǒng)服務(wù)器老化嚴(yán)重， 個(gè)別公文、 協(xié)查等 服務(wù)器設(shè)備因購置時(shí)間較早， 已經(jīng)達(dá)到設(shè)備使用奉命， 經(jīng)常出現(xiàn)故障， 對信息系統(tǒng)的安全運(yùn) 行造成一定的威脅。 二是有的服務(wù)器操作系統(tǒng)未取消系統(tǒng)默認(rèn)共享服務(wù)， 未刪除 DNS、WINS、 IIS 服務(wù)，未按規(guī)定設(shè)置復(fù)雜的登錄口令，未啟用密碼策略、注冊表安全設(shè)置等，給病毒入 侵和不法分子攻擊造成了一定的可乘之機(jī)。 三是有的信息系統(tǒng)長期沒有數(shù)據(jù)備份， 或者只有 本機(jī)備份而無異機(jī)備份， 一旦發(fā)生硬件設(shè)備故障， 必將造成系統(tǒng)數(shù)據(jù)的全部丟失， 導(dǎo)致無法 彌補(bǔ)的損失。二、對策（一）加強(qiáng)宣傳，提高認(rèn)識。隨著總局首期、 二期網(wǎng)絡(luò)與信息安全防護(hù)體系建設(shè)任務(wù)的完成， 市級以上

5、國稅機(jī)關(guān)建立 了比較完備的網(wǎng)絡(luò)與信息安全防護(hù)體系， 基層單位所發(fā)生的每一個(gè)病毒感染事件、 安全攻擊 事件等，在市局、省局以及總局都有記錄。因此，要充分利用網(wǎng)站、公文、會(huì)議、面對面交 流等多種形式， 宣傳網(wǎng)絡(luò)與信息安全工作， 提高全員安全防范意識， 增強(qiáng)做好網(wǎng)絡(luò)與信息安 全工作的責(zé)任感、 緊迫感和壓力感， 牢固樹立“安全第一”的思想， 時(shí)刻繃緊“安全”這根弦，堅(jiān)決克服麻痹思想和僥幸心理， 積極采取各種有效措施， 堅(jiān)決防止重大網(wǎng)絡(luò)與信息安全 事件的發(fā)生。（二）完善制度，嚴(yán)格考核。要加強(qiáng)制度建設(shè)， 制定完善機(jī)房管理、 網(wǎng)絡(luò)管理、 應(yīng)用系統(tǒng)管理、 數(shù)據(jù)管理、 應(yīng)急響應(yīng)、 考核辦法等一系列安全管理制度，

6、 建立一套比較完整的網(wǎng)絡(luò)與信息安全管理制度體系， 做到 各項(xiàng)安全管理工作有章可循。要嚴(yán)格管理，強(qiáng)化考核，以考核促落實(shí)， 切實(shí)規(guī)范基層計(jì)算機(jī) 操作人員的日常操作行為， 發(fā)現(xiàn)問題及時(shí)處理， 將各種安全隱患消滅在萌芽之中， 確保各項(xiàng) 安全管理規(guī)章制度落到實(shí)處。（三）嚴(yán)格互聯(lián)網(wǎng)接入，確?；ヂ?lián)網(wǎng)接入安全。管理上， 要制訂嚴(yán)格的互聯(lián)網(wǎng)接入審批制度和用戶接入備案制度， 嚴(yán)格執(zhí)行內(nèi)外網(wǎng)物理 隔離規(guī)定， 確需接入互聯(lián)網(wǎng)的， 必須由用戶填寫互聯(lián)網(wǎng)接入審批表， 經(jīng)領(lǐng)導(dǎo)同意并在信息中 心建立互聯(lián)網(wǎng)用戶接入檔案后，采取安裝隔離卡和硬盤或單獨(dú)一臺(tái)機(jī)器的方式接入互聯(lián)網(wǎng)， 嚴(yán)格做到專機(jī)專用， 徹底實(shí)現(xiàn)內(nèi)外網(wǎng)的物理隔離， 堅(jiān)決

7、防止造成信息泄密或?qū)⒉《尽?木馬程 序等引入系統(tǒng)內(nèi)部網(wǎng)。技術(shù)上， 要運(yùn)用局域網(wǎng)桌面安全防護(hù)系統(tǒng)違規(guī)外聯(lián)檢測功能， 加強(qiáng)基層單位互聯(lián)網(wǎng)違規(guī) 接入的監(jiān)控，對違反規(guī)定接入互聯(lián)網(wǎng)的計(jì)算機(jī)自動(dòng)鎖死， 并記錄違規(guī)情況， 嚴(yán)加考核， 堅(jiān)決 杜絕違規(guī)接入互聯(lián)網(wǎng)現(xiàn)象的發(fā)生。（四）強(qiáng)化局域網(wǎng)管理，確保局域網(wǎng)安全。IP 地址使管理上， 一是要加強(qiáng)局域網(wǎng)接入準(zhǔn)入管理。 制定嚴(yán)格的計(jì)算機(jī)內(nèi)部網(wǎng)準(zhǔn)入制度， 所有接 入內(nèi)部網(wǎng)的計(jì)算機(jī)必須在各級信息中心登記，統(tǒng)一分配 IP 地址、網(wǎng)關(guān)等參數(shù)，安裝統(tǒng)一的 網(wǎng)絡(luò)版防病毒軟件，嚴(yán)禁任何人私自將計(jì)算機(jī)設(shè)備接入內(nèi)部網(wǎng)運(yùn)行。二是要加強(qiáng)用管理。制訂 IP 地址管理方案，建立所有計(jì)算機(jī) IP

8、 地址使用檔案，禁止用戶私自更改 IP地址，保證每臺(tái)計(jì)算機(jī)設(shè)備都有一個(gè)唯一的 IP 標(biāo)識。三是要規(guī)范計(jì)算機(jī)設(shè)備名稱命名。建 立“科室名稱使用人名稱”的計(jì)算機(jī)設(shè)備名稱命名規(guī)則， 所有計(jì)算機(jī)設(shè)備全部按照規(guī)定進(jìn) 行命名， 保證發(fā)生安全事件后， 能夠迅速根據(jù)計(jì)算機(jī)設(shè)備名稱定位到具體相關(guān)人員。 四是要 加強(qiáng)病毒管理。加強(qiáng)筆記本電腦、移動(dòng)硬盤、U 盤等移動(dòng)介質(zhì)的使用管理，嚴(yán)禁計(jì)算機(jī)操作人員將從互聯(lián)網(wǎng)或其它地方下載的帶毒程序、 文件等復(fù)制到內(nèi)網(wǎng)計(jì)算機(jī)上， 嚴(yán)禁在內(nèi)網(wǎng)計(jì)算 機(jī)上安裝、運(yùn)行、查看與工作無關(guān)的程序、文件資料等。對接收企業(yè)報(bào)送的數(shù)據(jù)資料的，必 須先進(jìn)行病毒查殺處理， 確認(rèn)無毒后方可接收。 定期通報(bào)各

9、單位病毒感染情況， 提高計(jì)算機(jī) 操作人員對病毒防治工作的重視程度。技術(shù)上， 一是要加強(qiáng)終端設(shè)備安全管理。 運(yùn)用局域網(wǎng)桌面安全防護(hù)系統(tǒng)， 建立強(qiáng)大的局 域網(wǎng)安全防范策略。 啟用未注冊阻斷功能， 對沒有在桌面安全防護(hù)系統(tǒng)中安裝注冊的計(jì)算機(jī) 設(shè)備全部進(jìn)行阻斷， 防止任何人私自將設(shè)備接入內(nèi)部網(wǎng)運(yùn)行， 徹底解決違規(guī)接入問題。 啟用 IP地址與MAC地址綁定功能，有效防止因用戶私自更改IP地址而帶來的安全隱患。啟用硬件資源管理功能， 加強(qiáng)計(jì)算機(jī)名稱命名檢查， 嚴(yán)格執(zhí)行“科室名使用人”的命名規(guī)定。 對 沒有按照命名規(guī)則進(jìn)行計(jì)算機(jī)設(shè)備命名的， 嚴(yán)格考核， 堅(jiān)決防止出現(xiàn)因計(jì)算機(jī)名稱不規(guī)范而 導(dǎo)致安全事件發(fā)生后無

10、法定位相關(guān)責(zé)任人的問題。 二是要強(qiáng)化病毒監(jiān)控管理。 利用網(wǎng)絡(luò)版瑞 星防病毒系統(tǒng)， 以市局為系統(tǒng)中心， 建立全市統(tǒng)一的病毒防護(hù)體系， 所有計(jì)算機(jī)設(shè)備全部安 裝網(wǎng)絡(luò)版瑞星防病毒系統(tǒng)， 統(tǒng)一接受服務(wù)器管理， 及時(shí)升級病毒定義庫版本， 保證防病毒系 統(tǒng)的有效性。對設(shè)備長期在線而病毒定義版版本未升級到最新版本的，查明原因進(jìn)行處理， 保證病毒定義庫及時(shí)升級到最新版本， 提高防病毒軟件的殺毒能力。 病毒管理員對本單位計(jì) 算機(jī)設(shè)備感染病毒情況進(jìn)行實(shí)時(shí)監(jiān)控， 發(fā)現(xiàn)不能查殺的病毒及時(shí)進(jìn)行斷網(wǎng)處理， 防止病毒在 網(wǎng)內(nèi)進(jìn)一步擴(kuò)散。 強(qiáng)化病毒日志分析落實(shí)工作， 每月對瑞星防病毒系統(tǒng)病毒感染日志進(jìn)行分 析，查找病毒感染原

11、因，采取相應(yīng)措施，消除病毒感染源，從源頭上防止病毒的再次傳染。 啟用桌面安全防護(hù)系統(tǒng)中未安裝防病毒軟件自動(dòng)阻斷功能， 防止未安裝防病毒軟件的計(jì)算機(jī) 設(shè)備接入內(nèi)部網(wǎng)運(yùn)行，確保所有計(jì)算機(jī)設(shè)備全部安裝防病毒系統(tǒng)。（五）加強(qiáng)廣域網(wǎng)改造，保證廣域網(wǎng)暢通。市、縣兩級要配備雙核心網(wǎng)絡(luò)設(shè)備， 實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的冗余備份， 保證在一臺(tái)網(wǎng)絡(luò)設(shè)備發(fā) 生故障時(shí)， 能夠迅速自動(dòng)切換到另一臺(tái)網(wǎng)絡(luò)設(shè)備上， 防止因設(shè)備故障而造成全網(wǎng)癱瘓， 影響 基層業(yè)務(wù)的正常開展。 市縣廣域網(wǎng)主、 備線路要分別選擇兩家不同的線路運(yùn)營商， 提高線路 運(yùn)行的安全性和可靠性， 防止因一家運(yùn)營商發(fā)生故障而造成整個(gè)廣域網(wǎng)線路的癱瘓， 影響基 層所有業(yè)務(wù)的正常開展。（六）實(shí)施層級防護(hù)，確保信息系統(tǒng)安全。一是要加大資金投入。 對信息系統(tǒng)賴以運(yùn)行的服務(wù)器設(shè)備要進(jìn)行安全評估， 對購置時(shí)間 過長、 配置過低、設(shè)備老化嚴(yán)重、影響信息系統(tǒng)正常運(yùn)行的服務(wù)器設(shè)備要及時(shí)進(jìn)行更新，購 買安全性高、性能高的服務(wù)器設(shè)備，保證服務(wù)器設(shè)備的安全。二是要規(guī)范操作系統(tǒng)安全設(shè)置。刪除不必要的有安全隱患的DNS、 WINS、IIS 等服務(wù)程序，取消目錄默認(rèn)共享服務(wù)，設(shè)置復(fù)雜性密碼口令，長度在 8 位以上，包含字母、數(shù)字和特 殊字符。 此外， 還要及時(shí)安裝網(wǎng)絡(luò)版瑞星防病毒系統(tǒng)和最新系統(tǒng)漏洞補(bǔ)丁程序， 及時(shí)升級病 毒定義庫，提高系統(tǒng)抗病毒攻