【正文】 （三）自查中發(fā)現(xiàn)個(gè)別人員計(jì)算機(jī)安全意識(shí)不強(qiáng)。六、網(wǎng)站安全及 我公司對(duì)網(wǎng)站安全方面有相關(guān)要求，一是使用專(zhuān)屬權(quán)限密碼鎖登陸后臺(tái)；二是上傳文件提前進(jìn)行病毒檢測(cè)；三是網(wǎng)站分模塊分權(quán)限進(jìn)行維護(hù)，定期進(jìn)后臺(tái)清理垃圾文件；四是網(wǎng)站更新專(zhuān)人負(fù)責(zé)。四、通訊設(shè)備運(yùn)轉(zhuǎn)正常我公司網(wǎng)絡(luò)系統(tǒng)的組成結(jié)構(gòu)及其配置合理，并符合有關(guān)的安全規(guī)定；網(wǎng)絡(luò)使用的各種硬件設(shè)備、軟件和網(wǎng)絡(luò)接口也是通過(guò)安全檢驗(yàn)、鑒定合格后才投入使用的，自安裝以來(lái)運(yùn)轉(zhuǎn)基本正常。我公司配備了防病毒軟件、硬件防火墻，采用了強(qiáng)口令密碼、數(shù)據(jù)庫(kù)存儲(chǔ)備份、移動(dòng)存儲(chǔ)設(shè)備管理、數(shù)據(jù)加密等安全防護(hù)措施，明確了網(wǎng)絡(luò)安全責(zé)任，強(qiáng)化了網(wǎng)絡(luò)安全工作。權(quán)限隨崗原則權(quán)限隨崗原則。工作人員必須由系統(tǒng)主管領(lǐng)導(dǎo)指派，且忠誠(chéng)可靠，能勝任工作；工作人員應(yīng)該認(rèn)真記錄簽署工作情況，以證明安全工作已得到保障。也可以根據(jù)具體情況，設(shè)置多個(gè)安全管理員崗位。 負(fù)責(zé)安全項(xiàng)目、安全問(wèn)題、安全事件、安全工作的組織協(xié)調(diào)。密鑰管理員（包括證書(shū)管理員、證書(shū)操作員）216。 負(fù)責(zé)定期對(duì)主機(jī)系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、應(yīng)用系統(tǒng)的日志文件進(jìn)行分析審計(jì)，發(fā)現(xiàn)問(wèn)題及時(shí)上報(bào)；216。 在發(fā)生安全問(wèn)題導(dǎo)致數(shù)據(jù)損壞或丟失時(shí)，進(jìn)行數(shù)據(jù)的恢復(fù)；216。 協(xié)助安全管理員制定網(wǎng)絡(luò)設(shè)備安全配置規(guī)則，并落實(shí)執(zhí)行；216。主機(jī)系統(tǒng)管理員216。安全管理員216。 信息安全管理部門(mén)在信息安全領(lǐng)導(dǎo)小組的基礎(chǔ)上，各級(jí)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理應(yīng)該由本機(jī)構(gòu)信息安全相關(guān)的若干管理部門(mén)共同完成，例如有信息技術(shù)部門(mén)、業(yè)務(wù)應(yīng)用部門(mén)、安全保衛(wèi)部門(mén)、人事行政部門(mén)等等。具體的信息安全組織和管理角色及其職責(zé)描述如下。但由于各級(jí)稅務(wù)系統(tǒng)（總局、省局、地市局、區(qū)縣級(jí)局）具有不同的特點(diǎn)，沒(méi)有一種模式適用所有的組織，而且由于人員的限制，特別是地市局及區(qū)縣級(jí)局中人員的限制，通常沒(méi)有特定的專(zhuān)職人員來(lái)?yè)?dān)任本文檔中描述的眾多安全管理角色。黑客的用意是借人量垃圾信息妨礙系統(tǒng)正常的信息處理，借以切斷攻擊目標(biāo)對(duì)外的連線(xiàn)。TCP/IP是被公布于世的，了解它的人越多被人破壞的可能性越大。可控性是指授權(quán)機(jī)構(gòu)對(duì)信息的內(nèi)容及傳播具有控制的能力的特性，可以控制授權(quán)范圍內(nèi)的信息流向以及方式。在簽名時(shí)加上一個(gè)時(shí)間標(biāo)記，即有數(shù)字時(shí)間戳（Digita Timestamp）的數(shù)字簽名方案：驗(yàn)證簽名的人或以確認(rèn)簽名是來(lái)自該小組，卻不知道是小組中的哪一個(gè)人簽署的。公開(kāi)密鑰加密使用兩個(gè)不同的密鑰，其中一個(gè)是公開(kāi)的，另一個(gè)是保密的。數(shù)字簽名（Digital Signature）技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。非對(duì)稱(chēng)密鑰加密法是在加密和解密過(guò)程中使用不同的密鑰加以控制，加密密鑰是公開(kāi)的，解密密鑰是保密的?！駹顟B(tài)監(jiān)控（Statc Innspection）技術(shù)。在制定防火墻安全規(guī)則時(shí)，應(yīng)符合“可適應(yīng)性的安全管理”模型的原則，即：安全=風(fēng)險(xiǎn)分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞監(jiān)測(cè)+實(shí)時(shí)響應(yīng)。即計(jì)算機(jī)及其網(wǎng)絡(luò)中各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會(huì)失效，不被非法復(fù)制。網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個(gè)層面。，調(diào)整網(wǎng)絡(luò)參數(shù)，調(diào)度網(wǎng)絡(luò)資源，保障網(wǎng)絡(luò)安全、穩(wěn)定、暢通。評(píng)估現(xiàn)有網(wǎng)絡(luò)攻擊，統(tǒng)計(jì)內(nèi)網(wǎng)病毒感染情況，對(duì)網(wǎng)內(nèi)所有計(jì)算機(jī)進(jìn)行防病毒部署。發(fā)生事故時(shí)，及時(shí)了解情況，維護(hù)好現(xiàn)場(chǎng)，并向領(lǐng)導(dǎo)報(bào)告。第三條 部門(mén)經(jīng)理安全職責(zé)貫徹執(zhí)行公司網(wǎng)絡(luò)信息安全制度和要求，全面負(fù)責(zé)本部門(mén)網(wǎng)絡(luò)信息安全。定期聽(tīng)取安全監(jiān)察部門(mén)的工作匯報(bào)，及時(shí)研究解決或?qū)徟嘘P(guān)網(wǎng)絡(luò)信息安全中的重大問(wèn)題。負(fù)責(zé)落實(shí)各級(jí)網(wǎng)絡(luò)信息安全生產(chǎn)責(zé)任制。要按誰(shuí)主管誰(shuí)負(fù)責(zé)的原則，對(duì)分管部門(mén)內(nèi)的網(wǎng)絡(luò)信息安全負(fù)責(zé)：負(fù)責(zé)分管部門(mén)的網(wǎng)絡(luò)安全教育與考核工作。第四條 部門(mén)安全員職責(zé)部門(mén)安全員應(yīng)搞好本部門(mén)中交換機(jī)，網(wǎng)線(xiàn)，計(jì)算機(jī)電源等硬件設(shè)施的檢查維護(hù)工作，使其經(jīng)常保持完好和正常運(yùn)行，督促教育員工正確合理使用計(jì)算機(jī)網(wǎng)絡(luò)。嚴(yán)禁安裝上網(wǎng)設(shè)備，運(yùn)行代理軟件、服務(wù)器軟件。,主動(dòng)防范病毒、黑客的侵?jǐn)_,抵制不良信息。當(dāng)今信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。即網(wǎng)絡(luò)硬件和存儲(chǔ)媒體的安全。即網(wǎng)絡(luò)中存儲(chǔ)及流通數(shù)據(jù)的女全。一是“凡是未被準(zhǔn)許的就是禁止的”。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請(qǐng)求。防火墻技術(shù)的不足有三。密鑰加密技術(shù)分為對(duì)稱(chēng)密鑰加密和非對(duì)稱(chēng)密鑰加密兩類(lèi)。鏈路加密是對(duì)通信線(xiàn)路加密；二是節(jié)點(diǎn)加密技術(shù)。這樣，數(shù)字簽名就可用來(lái)防止：電子信息因易于修改而有人作偽；冒用別人名義發(fā)送信息；發(fā)出（收到）信件后又加以否認(rèn)。Hash簽名是最主要的數(shù)字簽名方法，跟單獨(dú)簽名的RSA數(shù)字簽名不同，它是將數(shù)字簽名和要發(fā)送的信息捆在一起，所以更適合電子商務(wù)。對(duì)網(wǎng)絡(luò)信息安全進(jìn)行攻擊的最終目的就是破壞信息的完整性。很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在著安全問(wèn)題，這很容易被一些對(duì)TCP/IP十分了解的人所利用，一些新的處于測(cè)試階級(jí)的服務(wù)有更多的安全缺陷。二是用蠕蟲(chóng)病毒等新的攻擊方式，造成網(wǎng)絡(luò)流量急速提高，導(dǎo)致網(wǎng)絡(luò)設(shè)備崩潰，或者造成網(wǎng)絡(luò)鏈路的不堪負(fù)重。有資料顯示，最近拉美國(guó)家的網(wǎng)絡(luò)詐騙活動(dòng)增多，作案手段先進(jìn)。根據(jù)稅務(wù)系統(tǒng)編制體系現(xiàn)狀以及人員結(jié)構(gòu)，信息安全管理組織架構(gòu)縱向涵蓋總局、省局、地市局三級(jí)，總局對(duì)省局、省局對(duì)地市局在信息化建設(shè)與安全管理運(yùn)行方面，應(yīng)起到指導(dǎo)與監(jiān)管的作用。各級(jí)信息安全領(lǐng)導(dǎo)小組的職責(zé)是：1． 總局信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)制定全國(guó)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全建設(shè)的總體規(guī)劃并審議監(jiān)督各省級(jí)安全工作規(guī)劃的制定與實(shí)施；負(fù)責(zé)制定總局信息安全總體策略并審批總局信息系統(tǒng)安全策略以及各省級(jí)上報(bào)的安全策略；負(fù)責(zé)領(lǐng)導(dǎo)制定總局與信息系統(tǒng)安全相關(guān)的規(guī)章制度；負(fù)責(zé)總局信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作；負(fù)責(zé)審閱總局信息安全第1頁(yè)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)工作報(bào)告；負(fù)責(zé)全國(guó)稅務(wù)系統(tǒng)重大安全事故查處與匯報(bào)工作。各個(gè)部門(mén)應(yīng)與信息技術(shù)部門(mén)協(xié)作，共同對(duì)信息系統(tǒng)的建設(shè)和運(yùn)行維護(hù)承擔(dān)管理責(zé)任。 定期查看信息安全站點(diǎn)的安全公告，跟蹤和研究各種信息安全漏洞和攻擊手段，在發(fā)現(xiàn)可能影響信息安全的安全漏洞和攻擊手段時(shí)，及時(shí)做出相應(yīng)的對(duì)策，通知并指導(dǎo)系統(tǒng)管理員進(jìn)行安全防范；216。 在主機(jī)系統(tǒng)異?；蚬收习l(fā)生時(shí)，詳細(xì)記載發(fā)生異常時(shí)的現(xiàn)象、時(shí)間和處理方式，并及時(shí)上報(bào)；第3頁(yè)稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)216。 負(fù)責(zé)數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)賬號(hào)管理，對(duì)系統(tǒng)中所有的用戶(hù)進(jìn)行登記備案；對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)、口令的安全性進(jìn)行管理；對(duì)數(shù)據(jù)庫(kù)系統(tǒng)登錄用戶(hù)進(jìn)行監(jiān)測(cè)和分析；216。 負(fù)責(zé)提出數(shù)據(jù)的備份要求，制定數(shù)據(jù)備份策略，督促數(shù)據(jù)庫(kù)管理員按照備份方案按時(shí)完成，并恢復(fù)所需數(shù)據(jù)；216。 定時(shí)升級(jí)網(wǎng)絡(luò)殺毒軟件的病毒庫(kù)，監(jiān)督個(gè)人殺毒軟件的升級(jí)工作； 216。 負(fù)責(zé)制定和執(zhí)行適當(dāng)?shù)奈锢戆踩刂疲?16。 負(fù)責(zé)本單位與外單位簽署安全服務(wù)合同的法律咨詢(xún)工作。對(duì)于其他的安全角色需要設(shè)置的崗位，可以由相關(guān)安全職能部門(mén)的人員兼任，也可以單獨(dú)設(shè)置崗位。安全工作人員活動(dòng)所涉及的范圍應(yīng)是受到限制的，不能越權(quán)限訪(fǎng)問(wèn)。對(duì)于計(jì)算機(jī)磁介質(zhì)（軟盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)等）的管理，采取嚴(yán)格措施，形成了良好的安全保密環(huán)境。三、硬件設(shè)備使用合理，軟件設(shè)置規(guī)范，設(shè)備運(yùn)行狀況良好。而且在新形勢(shì)下，計(jì)算機(jī)犯罪還將成為安全保衛(wèi)工作的重要內(nèi)容。九、自查存在的問(wèn)題及整改意見(jiàn)我們?cè)诠芾磉^(guò)程中發(fā)現(xiàn)了一些管理方面存在的薄弱環(huán)節(jié)，今后我們還要在以下幾個(gè)方面進(jìn)行改進(jìn)。（四）檢查中發(fā)現(xiàn)，我們對(duì)于計(jì)算機(jī)整體網(wǎng)絡(luò)和機(jī)房的防范措施跟很多成熟的管理單位有差距，今后