论文部分内容阅读
随着信息技术在税务系统不断深入,税务行业信息化建设也取得了令人瞩目的成就。信息对企业来说越来越重要,信息已经成为企业特别关心的重要资产。但随着日常工作与信息系统结合程度的不断加深,我们对信息系统的依赖性也不断增强,信息安全成为我们日常管理中越来越关注的问题。
内网外网 威胁不断
目前的税务信息系统一般包含税务内部办公网和互联网区这两套网络。这两套网络对应的不用的信息系统所面临的安全威胁也不尽相同。
首先是税务内部办公网(以下简称内网)。由于我们严格遵照总局内外网物理隔离的要求,因此内网面临的威胁主要是病毒、蠕虫和木马程序,此外还有少量的后门及暴力破解。其中病毒造成的网络堵塞、系统崩溃、数据丢失乃至硬件损坏等都是我们曾经经历过的噩梦。而木马程序、后门和暴力猜解虽然在我们的内网中不常见,但是其影响及破坏程度同样不容小觑。
其次是税务系统的互联网区(以下简称外网)。由于现在税务机关普遍对纳税人提供实时的网上申报、网上认证和出口退税等业务。这些业务影响面广,实时性强,一旦发生故障,其产生的社会影响对税务部门带来的损失将是不可估量的。相较税务内网而言,外网由于直接暴露在互联网上,再加上自身安全防护措施不严格,防护技术不到位,因此极易被黑客攻击。目前互联网面临的攻击主要是拒绝服务攻击和网站的侵入。
拒绝服务攻击主要包括Flooding攻击、Smurfing拒绝服务攻击、Fragmeng Attacks、带外数据包攻击/Nuking、分布式拒绝服务攻击DDoS等。这些攻击的主要特点是,首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。网站入侵就是黑客通过技术手段侵入到税务部门的门户网站,通过提升权限取得管理员的权限,然后随意修改网站的内容及窃取数据等信息。
紧扣理论 加强建设
以南通市国税局为例,我们制定了《南通市国家税务局工作人员信息安全规范》和《计算机操作简明手册》等。规范从设备管理、网络操作、系统操作、数据操作和强制性五个方面对所有人员的计算机操作进行约束。
虽然总局、省局和市局下发了一系列信息安全方面的规章制度,在这些制度中多次强调税务信息系统必须实行内外网物理隔离,内外网机器不能混用。但是光靠制度的约束还是不够的,为了真正达到初步实现税务信息系统网络准入制度的目的,我们必须从技术上采取严格的控制措施,才能从源头上解决内外网混接的问题,也才能真正从风险管理的角度,减少我们的信息系统所面临的威胁。
在这个方面,南通市国税局也做了积极的尝试,我们为全市各级税务机关直至农村分局的所有单位,将内外网每一个网络节点上的交换机全部更换成了可以实现端口和计算机MAC地址绑定功能的交换机。由于每台计算机拥有唯一的MAC地址,且不易修改,将MAC地址与交换机的端口进行绑定后,一台机器无论在内网还是在外网,只能连接指定的网络接口才能进入网络,连接其他接口则不能进入网络。而某一个网络接口也只允许事先配置好的一台机器连接,任何其他没有授权的机器连接到该网络接口均不能连通网络。这样便可以在最大程度上防止内外网混接,防范未经授权的电脑在窃取到IP地址的情况下,未经允许便私自接入税务系统网络,有效保障了税务信息系统的安全。
为了应对风险、防范风险,不少单位制定了应急预案,但是预案如果不在平时进行检验,不通过实践进行验证,在信息系统真正面临威胁的时候就不能起到应有的效果。这就要求我们不但要制定好各信息系统的应急预案,还必须将这些预案进行演练,并且要将演练常态化,在演练中提高实际操作的水平,增强分工协作的默契程度,为快速处理突发状况打下坚实的基础,这样才能在威胁真正来临的时候应付自如。
内网外网 威胁不断
目前的税务信息系统一般包含税务内部办公网和互联网区这两套网络。这两套网络对应的不用的信息系统所面临的安全威胁也不尽相同。
首先是税务内部办公网(以下简称内网)。由于我们严格遵照总局内外网物理隔离的要求,因此内网面临的威胁主要是病毒、蠕虫和木马程序,此外还有少量的后门及暴力破解。其中病毒造成的网络堵塞、系统崩溃、数据丢失乃至硬件损坏等都是我们曾经经历过的噩梦。而木马程序、后门和暴力猜解虽然在我们的内网中不常见,但是其影响及破坏程度同样不容小觑。
其次是税务系统的互联网区(以下简称外网)。由于现在税务机关普遍对纳税人提供实时的网上申报、网上认证和出口退税等业务。这些业务影响面广,实时性强,一旦发生故障,其产生的社会影响对税务部门带来的损失将是不可估量的。相较税务内网而言,外网由于直接暴露在互联网上,再加上自身安全防护措施不严格,防护技术不到位,因此极易被黑客攻击。目前互联网面临的攻击主要是拒绝服务攻击和网站的侵入。
拒绝服务攻击主要包括Flooding攻击、Smurfing拒绝服务攻击、Fragmeng Attacks、带外数据包攻击/Nuking、分布式拒绝服务攻击DDoS等。这些攻击的主要特点是,首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。网站入侵就是黑客通过技术手段侵入到税务部门的门户网站,通过提升权限取得管理员的权限,然后随意修改网站的内容及窃取数据等信息。
紧扣理论 加强建设
以南通市国税局为例,我们制定了《南通市国家税务局工作人员信息安全规范》和《计算机操作简明手册》等。规范从设备管理、网络操作、系统操作、数据操作和强制性五个方面对所有人员的计算机操作进行约束。
虽然总局、省局和市局下发了一系列信息安全方面的规章制度,在这些制度中多次强调税务信息系统必须实行内外网物理隔离,内外网机器不能混用。但是光靠制度的约束还是不够的,为了真正达到初步实现税务信息系统网络准入制度的目的,我们必须从技术上采取严格的控制措施,才能从源头上解决内外网混接的问题,也才能真正从风险管理的角度,减少我们的信息系统所面临的威胁。
在这个方面,南通市国税局也做了积极的尝试,我们为全市各级税务机关直至农村分局的所有单位,将内外网每一个网络节点上的交换机全部更换成了可以实现端口和计算机MAC地址绑定功能的交换机。由于每台计算机拥有唯一的MAC地址,且不易修改,将MAC地址与交换机的端口进行绑定后,一台机器无论在内网还是在外网,只能连接指定的网络接口才能进入网络,连接其他接口则不能进入网络。而某一个网络接口也只允许事先配置好的一台机器连接,任何其他没有授权的机器连接到该网络接口均不能连通网络。这样便可以在最大程度上防止内外网混接,防范未经授权的电脑在窃取到IP地址的情况下,未经允许便私自接入税务系统网络,有效保障了税务信息系统的安全。
为了应对风险、防范风险,不少单位制定了应急预案,但是预案如果不在平时进行检验,不通过实践进行验证,在信息系统真正面临威胁的时候就不能起到应有的效果。这就要求我们不但要制定好各信息系统的应急预案,还必须将这些预案进行演练,并且要将演练常态化,在演练中提高实际操作的水平,增强分工协作的默契程度,为快速处理突发状况打下坚实的基础,这样才能在威胁真正来临的时候应付自如。