【文章內(nèi)容簡介】 信息系統(tǒng)安全問題很多時候都出在內(nèi)部，許多典型的網(wǎng)絡入侵事件都是借助于內(nèi)部人員才得以實觀的，而我們國稅系統(tǒng)的一般工作人員，網(wǎng)絡及信息系統(tǒng)安全意識差，個別人就根本沒有安全意識，計算機隨便裝載各種游戲軟件，不經(jīng)殺毒隨便使用外來u盤、軟盤、光盤等。二、加高“短板”的對策信息化安全問題不存在一勞永逸的解決方案，提出的任何安全對策也只能是更好地預防問題的出現(xiàn)，盡量減少安全問題對正常業(yè)務的影響。針對國稅系統(tǒng)信息化建設的特點和存在問題的分析，可以歸納出“三大對策”，即建設高可用性網(wǎng)絡、部署安全防護系統(tǒng)和建立安全保障體系。建設高可用性網(wǎng)絡。建設高可用性網(wǎng)絡就是要建設具有高性能和高可靠性的信息化基礎(chǔ)網(wǎng)絡設施，實現(xiàn)信息化物理安全和網(wǎng)絡安全。建設高可用性網(wǎng)絡的主要措施涵蓋信息化硬件和軟件以及需要重點考慮的災難恢復。（1）信息化硬件。信息化硬件包括網(wǎng)絡設備、服務器、布線、機房設備等。要保證信息化網(wǎng)絡的高可用性，在設備選擇上必須堅持高性能和高可靠性，在系統(tǒng)設計上也要充分考慮網(wǎng)絡和設備的冗余備份。在網(wǎng)絡設備上，應盡可能選用可靠性高，有相對冗余的中心交換機：服務器應選用帶冗余電源的，硬盤應選用能做raidl，raid5等高可靠性的磁盤陣列：機房設備必須用ups供電，保證設備的持續(xù)、穩(wěn)定運行。（2）信息化軟件。信系化軟件主要包括操作系統(tǒng)、數(shù)據(jù)庫、應用程序等。應盡量選用性能好安全性高的操作系統(tǒng)，個人計算機操作系統(tǒng)可以選用，服務器操作系統(tǒng)應優(yōu)先選用unix系統(tǒng)。（3）災難恢復。隨著信息化進程的深入，國稅系統(tǒng)對計算機設備的依賴度也越來越大、對稅務系統(tǒng)而言，最珍貴的不是信息化設備或系統(tǒng)：而是存儲的各種文檔和數(shù)據(jù)庫信息。網(wǎng)絡的可用性也是極為重要的，如果網(wǎng)絡總是有問題，誰還有信心去用它?所以災難恢復是信息化安全中很重要的一個組成部分，必須想法保證數(shù)據(jù)存儲的可靠性，保證網(wǎng)絡服務和應用在故障時能盡快恢復。對國稅系統(tǒng)而言，災難恢復保護的地方主要是關(guān)鍵數(shù)據(jù)庫和文件服務器。關(guān)鍵數(shù)據(jù)庫一般是指存儲納稅申報信息ctais數(shù)據(jù)庫、金稅數(shù)據(jù)庫，文件服務器主要是指辦公自動化所依賴的服務器，它存儲國稅系統(tǒng)管理過程中所需的重要文檔和資料。先進的典型災難恢復系統(tǒng)是由集群服務器、存儲設備和相關(guān)軟件組成，當系統(tǒng)部分設備發(fā)生災難時可以保持服務的連續(xù)性并自動恢復或盡可能恢復最近的數(shù)據(jù)。典型災難恢復系統(tǒng)的一個重要特點就是災難恢復系統(tǒng)里的設備要做到地理分散，才能真正應對災難的發(fā)生。國稅系統(tǒng)應在縣局建立了異地數(shù)據(jù)容災備份系統(tǒng)。容災系統(tǒng)中采用falconstor的ipstor軟件和legatoautomatedavailabilitymanager(legatocluster)。市縣局用4m光纖相連，在晚上進行數(shù)據(jù)復制。系統(tǒng)運行后，市局將各縣市局的ctais查詢直接指向縣局的小型機進行查詢，此舉極大地減輕了以市局為主的征管服務器的壓力，從根本上改善了服務器征期高峰的擁塞現(xiàn)象，保證了市局主服務器主要正常業(yè)務的開展與運行。同時，數(shù)據(jù)的備份將在很大的程度上保證稅務工作的安全運轉(zhuǎn)，給征管數(shù)據(jù)上了“保險”。ctais異地備份的成功實現(xiàn)為其他系統(tǒng)的安全保護提供了很好的借鑒。部署安全防護系統(tǒng)。部署安全防護系統(tǒng)主要指通過操作系統(tǒng)安全使用和部署安全防護軟件,實現(xiàn)信息化網(wǎng)絡安全和信息安全。（1）防病毒系統(tǒng)。常見的計算機病毒主要是針對微軟的操作系統(tǒng)，如果你使用其他操作系統(tǒng)如unix或linux，基本可以不用擔心受感染，但是仍可能成為病毒傳播源和感染對象。國稅系統(tǒng)中用戶網(wǎng)絡節(jié)點多，如果采用單機防病毒軟件，成本高，維護起來也不方便，防病毒的效果也不理想，所以對國稅系統(tǒng)而言，對付病毒的重要手段是部署網(wǎng)絡防病毒系統(tǒng)。網(wǎng)絡防病毒系統(tǒng)由防病毒主程序和客戶端以及其他輔助應用組成，它可以通過管理平臺監(jiān)測、分發(fā)部署防病毒客戶端，這種功能意味著可以統(tǒng)一并實施全系統(tǒng)內(nèi)的反病毒策略，并封鎖整個系統(tǒng)內(nèi)病毒的所有入口點。因為計算機病毒是動態(tài)發(fā)展的，到目前為上尚未發(fā)現(xiàn)“萬能”防病毒系統(tǒng)，所以我們能做到只能是及時地更新病毒庫。要有效地對付計算機病毒，除了部署防病毒系統(tǒng)外，還要配合其他手段維護系統(tǒng)安全，做好數(shù)據(jù)備份是關(guān)鍵，并且要及時升級殺毒軟件的病毒庫，還要做好災難恢復。（2）防火墻。防火墻是目前最重要的信息安全產(chǎn)品，它可以提供實質(zhì)上的網(wǎng)絡安全，它承擔著對外防御來自互聯(lián)網(wǎng)的各種攻擊，對內(nèi)輔助用戶安全策略的實施的重任，是用戶保護信息安全的第一道屏障，在信息化安全中應給予高度重視。通過配置安全策略，防火墻主要承擔以下作用：禁止外部網(wǎng)絡對國稅系統(tǒng)內(nèi)部網(wǎng)絡的訪問，保護國稅網(wǎng)絡安全：滿足內(nèi)部員工訪問互聯(lián)網(wǎng)的需求；對員工訪問互聯(lián)網(wǎng)進行審計和限制。對國稅來說，除現(xiàn)在應用的internet防火墻外，還應該在與外單位包括其他國稅局、銀行等聯(lián)網(wǎng)的過程中沒置內(nèi)部防火墻、保證國稅內(nèi)部網(wǎng)全部在防火墻的保護之下。現(xiàn)在的防火墻在功能上不斷加強，如可以實現(xiàn)流量控制、病毒檢測、vpn功能等，但是防火墻的主要功能仍然是通過包過濾來實現(xiàn)訪問控制。防火墻的使用通常并不能避免來自內(nèi)部的攻擊，而且由于數(shù)據(jù)包都要通過防火墻的過濾，增加了網(wǎng)延遲，降低了網(wǎng)絡性能，要想充分發(fā)揮防火墻的作用，還要與其他安全產(chǎn)品配合使用。（3）入侵檢測。大部分入侵檢測系統(tǒng)主要采用基于包特征的檢測技術(shù)來實現(xiàn)，它們的基本原理是：對網(wǎng)絡上的數(shù)據(jù)包進行復制，與內(nèi)部的攻擊特征數(shù)據(jù)庫進行匹配比較，如果相符即產(chǎn)生報警或響應。檢測到入侵事件后，產(chǎn)生報警，并把報警事件計入日志，日后可以通過日志分析確定網(wǎng)絡的安全狀態(tài)，發(fā)現(xiàn)系統(tǒng)漏洞等。如果它與防火墻等其他安全產(chǎn)品配合使用，可以在入侵發(fā)生時，使防火墻聯(lián)動，暫時阻斷非法連接，保護網(wǎng)絡不受侵害。在部署此類產(chǎn)品時要注意進行性能優(yōu)化，盡量避免屏蔽沒有價值的檢測規(guī)則。（4）操作系統(tǒng)安全使用。在信息化網(wǎng)絡中，操作系統(tǒng)的安全使用是保證網(wǎng)絡安全的重要環(huán)節(jié)，試想如果你打算與同事共享一個文件夾，可是你又沒有加密碼，共享的文件就會變成公開的文件。操作系統(tǒng)安全使用主要包括以下幾方面內(nèi)容：用戶密碼管理、系統(tǒng)漏洞檢測、信息加密等。用戶密碼管理無論是對個人還是整個系統(tǒng)都是很重要的。用戶密碼管理有許多的原則要遵守，最重要的就是不要使用空密碼，如當你使用windowsnt／2000時，如果不幸你使用空密碼，局域網(wǎng)中的任何人都可以隨意訪問你的計算機資源。如果你是系統(tǒng)管理員，制定嚴謹?shù)挠脩裘艽a策略是首要任務之一。漏洞檢測對關(guān)鍵服務器的操作系統(tǒng)是極為重要的。任何操作系統(tǒng)都不可避免地存在安全漏洞，操作系統(tǒng)的漏洞總是不斷地被發(fā)現(xiàn)并公布在互聯(lián)網(wǎng)上，爭取在黑客沒有攻擊你的主機之前及時發(fā)現(xiàn)并修補漏洞是極為關(guān)鍵的。另外一種類型的漏洞并不是系統(tǒng)固有的，而是由于系統(tǒng)安裝配置缺陷造成的，同樣應引起足夠重視。對服務器而言，關(guān)閉不需要的服務或端口也是必要的。即使網(wǎng)絡很安全了，需要保密的信息在存儲介質(zhì)上的加密仍然是必要的，因為任何網(wǎng)絡不能保證百分之百的安全。使用windowsnt／2000等操作系統(tǒng)時，盡量使用ntfs分區(qū)，對重要信息起用加密保護功能，這樣就算是信息意外泄露，也無法破解。采用vpn(虛擬專用網(wǎng))。vpn是當前實現(xiàn)遠程訪問重要方法，它可以有效地降低廣域網(wǎng)通訊費用，并實現(xiàn)從任何位置安全地訪問國稅系統(tǒng)內(nèi)部網(wǎng)絡，它也可以作為國稅系統(tǒng)內(nèi)部重要資源訪問控制的一種手段。vpn通過internet或其他公用ip網(wǎng)絡實現(xiàn)，可以滿足遠程通訊安全的基本需求，它將通訊信息進行加密和認證傳輸，從而保證了信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)完整性和信息源的可靠性，實現(xiàn)安全的遠程端到端連接。vpn的實現(xiàn)主要基于以下技術(shù)：(1)ipsec，ietf(internet工程師任務組)制定的ip安全標準。(2)通過認證機構(gòu)發(fā)放數(shù)字證書和進行第三方認證。(3)使用共享密鑰認證用于小規(guī)模的vpn網(wǎng)絡。vpn一般采用專用的設備實現(xiàn)，在選用vpn產(chǎn)品時應主要考慮幾點：可管理性、可擴展性、可靠性、兼容性和價格。建立安全保障體系。安全保障體系主要是指：對信息化安全管理的整套體制，包括管理組織、制度、措施等，通過安全管理，保證物理安全、網(wǎng)絡安全和信息安全措施的實現(xiàn)。（1）建立安全管理機構(gòu)和管理制度。建立安全管理機構(gòu)，確定安全管理人員，建立安全管理制度、維護和維修管理制度及安全考核制度，建立責任和監(jiān)督機制，實行分權(quán)制約，優(yōu)先授權(quán)，進行系統(tǒng)設備、網(wǎng)絡設備和存儲設備的安全管理，建立工作記錄，詳細記載運行情況。（2）制定安全應急方案。在國稅系統(tǒng)網(wǎng)絡中，小的安全問題可能比較容易解決，但是嚴重的安全問題對稅收工作的影響是很大的，如系統(tǒng)設備故障或大范圍病毒感染等，