青海国税“六字诀”构建信息安全新常态
今年以来,青海省国税局高度重视系统内部信息安全问题,立足实际,总结经验,在税务系统信息安全工作中坚持“六字诀”,积极构建跨层级、跨部门协同防御机制,提升信息安全防范能力。
一、“订”:安全协议层层签订,权责界限有章可循。面向广大国税干部、第三方服务公司及非税务系统业务人员,层层签订信息安全保密协议,为大家戴上信息安全保密“紧箍咒”。一方面从省局机关到市(州)局,再到区(县)局,自上而下逐级签订《税务系统信息安全保密协议书》,对保密范围、保密义务、责任追究进行了逐条逐项明确,保证干部对自己承担的安全责任进行签字承诺。另一方面,省局进一步延伸安全责任落实触角,完善第三方数据利用安全机制,建立泄密责任追究制度,在签订安全保密协议、互联网使用安全协议的同时,积极开展信息安全教育,保证纳税人的商业秘密和个人隐私数据安全,督促各类人员开展的涉税事项均能在信息安全的“框框”、“红线”下规范开展。
二、“讲”:安全知识全面普及,宣传工作常抓不懈。省局建立网络安全宣传长效机制,制定工作方案,做好本单位网络安全工作的统一规划、技术策划、组织实施、安全监控、统计汇报、培训辅导等工作,不遗余力地培养信息安全专业人才, 提升全体税务人员的信息安全素养、责任感和技术水平,进而形成全系统上下人人担责、人人尽责、齐抓共管保安全的良好工作氛围,推动网络安全宣传与管理走向常态化。在机关内部印制安全宣传展板,发放网络安全手册,不定期举办安全讲座及培训,提醒干部在操作内网专用机、使用内网专用系统时,高度警惕来自各方面的信息安全威胁,引导干部将信息安全意识融入到税收工作的方方面面,培养干部基本的信息安全操作习惯和职业技能,着力营造“人人重安全、个个防风险”的浓厚氛围。
三、“扫”:安全防护内外兼济,漏洞扫描火眼金睛。省局建立动态、综合的防护网,拦截日新月异的网络安全威胁来源和攻击手段。对内,完成50多个区县级共计106台天融信防火墙安装部署,定期开展防火墙项目巡检,对调试规范性、策略有效性、网络流量情况等方面进行测试检查,着力织就严密、高效、安全的边界“防护网”。对外,针对第三方服务商开发的各类软件项目,按照“积极防御、综合防范”的原则,在新项目上线前主动开展安全检查和风险评估。借助漏洞扫描工具,同时配合人工挖掘,模拟黑客进攻手法、SQL注入、跨站脚本攻击等手段,精准“识别”项目存在的安全漏洞,在黑客攻击前进行主动防范,从而在信息网络系统安全“保卫战”中做到“常备不懈”。目前,省局对即将上线的网上办税服务厅项目进行了安全漏洞扫描,查找出1个中危漏洞、5个低危漏洞,后期网络安全漏洞和系统错误配置的修正工作正在有序进行。
四、“监”:实时监测有的放矢,技术防范精准有效。安排专人负责信息安全日常监控工作,掌握各类信息安全事件产生的原因与监控机制,加强网络安全信息收集、分析和通报工作,实现技术防范。一方面依托税务桌面管理系统进行实时监测,加强内网计算机安装360税务桌面防护系统的控管力度,将所有内网计算机纳入监控范围,保证桌面管理系统客户端注册率及360杀毒软件覆盖率,确保监控覆盖广、无死角;另一方面严格执行业务专网接入流程,通过策略配置、身份验证等技术手段,严把网络准入“入口关”。指定专人负责系统应用操作权限的产生、变更、注销等管理工作,落实“提出申请——领导审批——系统管理员授权”的授权程序,确保信息系统安全可管、可控。
五、“考”:绩效考评从严从实,考核成效持续发力。省局持续改进考核机制,加大考评力度,对违规外联事件采取“零容忍”态度,坚持“发现一起,处理一起,通报一起,扣分一起”,切实将绩效考评转化为风险防控措施,让违规外联事件无所遁形。2016年1—4月,在落实绩效考评工作中,对全省区县级发生的6起违外联事件进行了绩效扣分,全省系统违规外联事件较2015年同期下降了33%。同时,将相关工作要求化为绩效硬指标,目前全省各地客户端安装率均保持在95%(含)以上,较2015年同期安装率上升5个百分点,对税务专网内的所有终端纳入监控范围,建立健全了省级——市州级——区县级三级立体监控机制,实时扫描并修补各终端存在的漏洞、病毒,将可能威胁信息系统安全的问题解决在萌芽状态,及时“治病救人”,保证了系统“肌体”健康。
六、“改”: 薄弱环节深查细补,整改落实掷地有声。一是及时整改防火墙存在的空策略问题,提升网络抵御端口扫描、木马后门攻击和网络蠕虫攻击等入侵行为的能力,发挥入侵检测系统及各级防火墙作为“守门将军”的防御能力。二是及时整改总局信息安全中心扫描发现的各类高危漏洞,配合安全管理员第一时间联系技术服务厂商进行漏洞修补,保障税务信息系统运行稳定,各项业务衔接有序。三是及时整改各类信息安全事件,尤其是在发生违规外联行为后,要求相关责任单位从安全管理、技术防控、人员安全意识等角度出发,深入剖析问题产生根源,做到立查立改。同时,要求各地以点带面、举一反三,对本单位网络与信息系统安全的潜在威胁、薄弱环节进行全面排查,对自查过程中发现的不足主动采取措施,不断“加固”安全防护手段,切实形成“人防”+“技防”的坚实堡垒,为税务网络与信息系统的安全稳定提供坚强保证。
(责任编辑:李钰)