青海国税“六字诀”构建信息安全新常态

今年以来，青海省国税局高度重视系统内部信息安全问题，立足实际，总结经验，在税务系统信息安全工作中坚持“六字诀”，积极构建跨层级、跨部门协同防御机制，提升信息安全防范能力。

一、“订”：安全协议层层签订，权责界限有章可循。面向广大国税干部、第三方服务公司及非税务系统业务人员，层层签订信息安全保密协议，为大家戴上信息安全保密“紧箍咒”。一方面从省局机关到市（州）局，再到区（县）局，自上而下逐级签订《税务系统信息安全保密协议书》，对保密范围、保密义务、责任追究进行了逐条逐项明确，保证干部对自己承担的安全责任进行签字承诺。另一方面，省局进一步延伸安全责任落实触角，完善第三方数据利用安全机制，建立泄密责任追究制度，在签订安全保密协议、互联网使用安全协议的同时，积极开展信息安全教育，保证纳税人的商业秘密和个人隐私数据安全，督促各类人员开展的涉税事项均能在信息安全的“框框”、“红线”下规范开展。

二、“讲”：安全知识全面普及，宣传工作常抓不懈。省局建立网络安全宣传长效机制，制定工作方案,做好本单位网络安全工作的统一规划、技术策划、组织实施、安全监控、统计汇报、培训辅导等工作，不遗余力地培养信息安全专业人才, 提升全体税务人员的信息安全素养、责任感和技术水平,进而形成全系统上下人人担责、人人尽责、齐抓共管保安全的良好工作氛围，推动网络安全宣传与管理走向常态化。在机关内部印制安全宣传展板，发放网络安全手册，不定期举办安全讲座及培训，提醒干部在操作内网专用机、使用内网专用系统时，高度警惕来自各方面的信息安全威胁，引导干部将信息安全意识融入到税收工作的方方面面，培养干部基本的信息安全操作习惯和职业技能，着力营造“人人重安全、个个防风险”的浓厚氛围。

三、“扫”：安全防护内外兼济，漏洞扫描火眼金睛。省局建立动态、综合的防护网，拦截日新月异的网络安全威胁来源和攻击手段。对内，完成50多个区县级共计106台天融信防火墙安装部署，定期开展防火墙项目巡检，对调试规范性、策略有效性、网络流量情况等方面进行测试检查，着力织就严密、高效、安全的边界“防护网”。对外，针对第三方服务商开发的各类软件项目，按照“积极防御、综合防范”的原则，在新项目上线前主动开展安全检查和风险评估。借助漏洞扫描工具，同时配合人工挖掘，模拟黑客进攻手法、SQL注入、跨站脚本攻击等手段，精准“识别”项目存在的安全漏洞，在黑客攻击前进行主动防范，从而在信息网络系统安全“保卫战”中做到“常备不懈”。目前，省局对即将上线的网上办税服务厅项目进行了安全漏洞扫描，查找出1个中危漏洞、5个低危漏洞，后期网络安全漏洞和系统错误配置的修正工作正在有序进行。

四、“监”：实时监测有的放矢，技术防范精准有效。安排专人负责信息安全日常监控工作，掌握各类信息安全事件产生的原因与监控机制，加强网络安全信息收集、分析和通报工作，实现技术防范。一方面依托税务桌面管理系统进行实时监测，加强内网计算机安装360税务桌面防护系统的控管力度，将所有内网计算机纳入监控范围，保证桌面管理系统客户端注册率及360杀毒软件覆盖率，确保监控覆盖广、无死角；另一方面严格执行业务专网接入流程，通过策略配置、身份验证等技术手段，严把网络准入“入口关”。指定专人负责系统应用操作权限的产生、变更、注销等管理工作，落实“提出申请——领导审批——系统管理员授权”的授权程序，确保信息系统安全可管、可控。

五、“考”：绩效考评从严从实，考核成效持续发力。省局持续改进考核机制，加大考评力度，对违规外联事件采取“零容忍”态度，坚持“发现一起，处理一起，通报一起，扣分一起”，切实将绩效考评转化为风险防控措施，让违规外联事件无所遁形。2016年1—4月，在落实绩效考评工作中，对全省区县级发生的6起违外联事件进行了绩效扣分，全省系统违规外联事件较2015年同期下降了33%。同时，将相关工作要求化为绩效硬指标，目前全省各地客户端安装率均保持在95%（含）以上，较2015年同期安装率上升5个百分点，对税务专网内的所有终端纳入监控范围，建立健全了省级——市州级——区县级三级立体监控机制，实时扫描并修补各终端存在的漏洞、病毒，将可能威胁信息系统安全的问题解决在萌芽状态，及时“治病救人”，保证了系统“肌体”健康。

六、“改”： 薄弱环节深查细补，整改落实掷地有声。一是及时整改防火墙存在的空策略问题，提升网络抵御端口扫描、木马后门攻击和网络蠕虫攻击等入侵行为的能力，发挥入侵检测系统及各级防火墙作为“守门将军”的防御能力。二是及时整改总局信息安全中心扫描发现的各类高危漏洞，配合安全管理员第一时间联系技术服务厂商进行漏洞修补，保障税务信息系统运行稳定，各项业务衔接有序。三是及时整改各类信息安全事件，尤其是在发生违规外联行为后，要求相关责任单位从安全管理、技术防控、人员安全意识等角度出发，深入剖析问题产生根源，做到立查立改。同时，要求各地以点带面、举一反三，对本单位网络与信息系统安全的潜在威胁、薄弱环节进行全面排查，对自查过程中发现的不足主动采取措施，不断“加固”安全防护手段，切实形成“人防”+“技防”的坚实堡垒，为税务网络与信息系统的安全稳定提供坚强保证。