2023年管理信息系统安全策略.docx

管理信息系统平安策略 对于企业竞争来说，资料的保密和平安是非常重要的。资料的保密和平安涉及以下几个方面： 1、资料自身的完整性和标准性； 2、资料存储的平安性； 3、资料的维护（更新）和引用（查阅）的管理手续（即流程）的标准性及权力限定的严谨性。 用一句通俗的话来归纳，在企业中，只有通过授权的人（岗位）才可使用（包括维护和引用）相关的资料，严禁未经过授权的人（岗位）非法使用资料。而对于（计算机）管理信息系统应用来说，资料包括根底（技术）数据和业务数据。首选要求数据（即资料）要具有良好的共享性，其次要求流程（即业务）处理具有连贯性。 基于上述两者之间的需求，要求（计算机）管理信息系统本身应具有以下根本功能： 1、保证企业资料的完整性和一致性（关系数据库本身功能可解决）； 2、资料存储的平安可靠性（可通过配置高性能的数据库效劳器、备份及加强效劳器的保安管理可解决）； 3、通过强有力的权限管理功能，将企业所有的数据根据实际情况定义出所有者（机构）。同时授权（控制）每个人（岗位）的功能模块（业务操作）使用权限，所能查阅及维护的数据的范围（即能查阅哪些机构的数据，在软件系统中表现为数据表中的记录行），以及查阅及维护数据的哪些明细属性（在软件系统中表现为数据表的列）； 4、结合企业运作的实际情况和未来需要，可定义出各业务之间的工作（操作）流程。 第二篇：税务系统信息平安策略论文编号：6g2111220231 税务系统信息平安策略 刘宏斌李怀永 内容题要： 随着税收信息化程度不断提高，税收工作对信息系统的依赖性不断增大，税务信息平安显得更加重要。本文主要通过分析税务信息化的网络平安的重要性和内部网网络信息存在的平安问题来提出税务信息化的网络平安实施方案。 关键词：税务信息化、信息平安、平安策略 计算机软硬件技术的开展和互联网技术的普及，为电子税务的开展奠定了根底。尤其是国家金税工程的建设和应用，使税务部门在遏止骗税和税款流失上取得了显著成效。电子税务可以最大限度地确保国家的税收收入，但却面临着系统平安性的难题。虽然我国税务信息化建设自开始金税工程以来，取得了长足进步，极大提高了税务工作效率和质量。但税务系统本身也暴露出了一系列要改进的问题，各种应用软件自成体系、重复开发、信息集中程度低。随着信息化水平的不断提高，基于信息网络及计算机的犯罪事件也日益增加。税务系统所面临的信息网络平安威胁不容无视。建立税务管理信息化网络平安体系，要求人们必须提高对网络平安重要性的认识，增强防范意识，加强网络平安管理，采取先进有效的技术防范措施。本文主要通过分析税务信息化的网络平安威胁和内部网网络信息管理的平安策略和技术来提出税务信息化的网络平安实施方案。 一、税务机关信息平安的重要性 税收是国家财政收入的重要途径，相关的税务系统业务要求其具有准确性、公证性和完整性的特点，随着税收信息化程度不断提高，税收工作对信息系统的依赖性不断增大，税务信息平安显得更加重要。税务信息系统已经覆盖到全国乡镇，点多面广，信息平安防范难度加大，税务机关信息系统平安根底条件缺乏、管理力量薄弱，成为税务信息平安的重点和难点。因此保证税务信息系统的平安性意义重大。税务系统作为电子政务系统的一局部，属国家根底信息建设，其根本特点是：网络地域广、信息系统效劳对象复杂；税务信息具有数据集中、平安性要求高；应用系统的种类较多，网络系统平安设备数量大，种类多，管理难度大。税务系统是一个及其庞大复杂的系统，从业务上有国税、地税之分，从地域来说通过总局、省局、市局数据中心的三层数据分布和总局、省局、市局及县/区级、分局/所五层网络管理结构。网络结点众多、网络设备和网络出口不计其数、操作系统种类繁多、应用系统五花八门、网络机构极其复杂。面对如此复杂的系统，其内部平安隐患随处可见，经过不断的研究和探索，目前已经积累了大量解决税务系统信息根底设施平安的方法和经验，形成一整套税务系统的平安保障方法，相关平安保障的体系也在不断完善和开展中。 二、税务系统内部网存在的平安问题 税务信息化的网络为计算机内部网，内部网是独立于其他任何网络的独立网络，这里所谓的独立是指的物理上的独立，因此保证保密内部网的网络与信息平安也具有特有的要求。税务内网平安的问题主要表现为： 1、物理地域广。内网设备地理位置分散，内网用户水平参差不齐，承载业务不同，平安需求各异，从而决定了内网平安建设的复杂性和多元性； 2、网络边界的扩大。远程拨号用户、移动办公用户、vpn用户、分支机构、合作伙伴、供应商、无线局域网等等已经大大地扩展了网络的边界，使得边界保护更加困难；税务分局、税务所等分支机构的局域网与上级税务骨干网的连接，无论采用adsl、xdsl宽带，还是采用ddn、sdh专线，根本没有路由平安和防止入侵的技术措施。 3、病毒/蠕虫/特洛伊木马。病毒蠕虫大规模泛滥、新的蠕虫不断出现，给内网用户带来损失，以及网络出现病毒、蠕虫攻击等平安问题后，不能做到及时地阻断、隔离；一般是以寻找后门、窃取密码和重要文件为主，还可以对进行跟踪监视、控制、查看、修改资料等操作，具有很强的隐蔽性、突发性和攻击性。由于具有很强的隐蔽性，用户往往是在自己的密码被盗、机密文件丧失的情况下才知道自己中了木马。局部内部网络终端缺少有效的平安防护，业务资料和私人信息混存，不设开机口令，没有读写控制，业务系统口令简单且长期不变，移动存储设备不按规定使用，病毒和垃圾信息充满。 4、身份欺骗。内网平安防范措施相对脆弱，不能有效抵御来自内外部的入侵和攻击的问题，平安策略不能得到及时地分发和执行，最终导致平安策略形同虚设；主要方式有：ip欺骗、arp欺骗、dns欺骗、web欺骗、电子邮件欺骗、源路由欺骗（通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作）、地址欺骗（包括伪造源地址和伪造中间站点）等。 5、内网非法主机外联。非法主机的接入、内部网非法通过modem、无线网卡非法外联等的平安防范缺乏从而引入平安风险。有的终端在内部网和互联网之间来回换用，一些只应在内部网上运行的操作系统、应用软件和业务数据没有与互联网实行“隔离〞，存在潜在风险。 6、缺乏上网行为管理监控。缺乏对内网用户行为（收发邮件，web页面访问，文件上传下载等等）进行监控的手段，导致组织机密信息和隐私泄漏。内部网上设备和信息共享范围广，信息发布和公开比较随意，不少重要或敏感信息只有发布没有管理，缺少防止恶意攻击信息系统和窃取保密信息的技术手段和措施。内外网间的平安解决方案和选购的设备等，不少没有经过权威部门的检测和认定，系统运行中缺少严格的跟踪监控，存在平安隐患。 7、其他平安威胁缓冲区溢出。缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上，一小局部数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。 三、税务信息化的网络平安实施方案 1、做好信息平安风险评估 为确保税务信息资产的平安，应定期组织业务、技术和管理等专业人员进行信息平安风险评估，制定科学的平安预算。 信息平安评估应着重于以下问题： （1）确定可能对信息资产造成危害的威胁，包括计算机病毒、黑客和自然灾害等。 （2）通过历史资料和专家的经验确定威胁实施的可能性。（3）对可能受到威胁影响的信息资产确定其价值、敏感性和严重性，以及相应的级别，确定所有信息资产的重要程度。 （4）对最重要的、最敏感的信息资产，确定一旦威胁发生其潜在的损失或破坏。 （5）准确了解网络和系统的平安现状。（6）明晰网络和系统的平安需求。（7）确定网络和系统的平安策略。（8）制定网络和系统的平安解决方案。 （9）向上级提交平安保障体系建设的意见和建议。 （2023）通过工程实施和培训，培养自己的平安技术骨干及队伍。 2、加强信息平安管理 信息平安“三分技术，七分管理〞，平安管理是信息平安的核心，建立健全平安管理制度是平安管理的关键。标准化的平安管理，能够最大限度地遏制或防止各种危害，是保障计算机信息平安的最重要环节。 （1）建立健全信息平安管理组织，明确领导体制和工作机制。（2）建立健全信息平安管理制度，落实平安防范责任制。（3）广泛开展计算机信息平安宣传，提高全员信息平安意识，建立信息平安培训机制，组织开展多层次、多方位的信息平安培训，提高全员信息平安防范技能。 （4）开展经常性的平安检查，切实整改平安隐患，不断改进信息平安管理工作。 （5）科学评定信息系统及信息资产的重要级别，确定信息平安工作重点，制定近、中、远期信息平安工作规划。 3、完善信息平安技术手段 信息平安离不开平安技术的实施和平安技术防范体系的建立。基层单位要以协助和配合总局、省局统一的信息平安体系建设为主，自主建设为辅，且以内网和内部的防范为重点。 （1）病毒防范。建立严密的、全方位的、统一的网络病毒防范系统，实行统一的杀毒组件分发、维护、更新和报警等，重点防控网络终端、移动存储设备的病毒入侵和传染。 （2）身份鉴别与访问控制。严格设定所有应用系统用户的岗位和权限，改变传统的用户名加口令的方法，使用基于密码技术、生物统计技术等新型的、可靠的电子身份鉴别技术，把好进入系统的第一道关卡，防止非授权用户进入各级信息系统。 （3）平安审计。对网络的web浏览、web发布、邮件、即时通信、ftp和远程等行为进行全面审计，对重要数据库的访问对象、访问时间、访问类型和访问内容进行严密跟踪，及时掌握整个网络动态，发现网络入侵和违规行为，记录网上一切行为，为平安事件的处置和查证提供全面依据和确凿证据。 （4）入侵检测。对内部网中主要的网段进行实时入侵监测，动态地监测网络内部活动并做出及时的响应，及时发现网上攻击行为并作出得当的处置。 （5）信息加密。对重要信息资料、数据进行加密存储和传输，防止重要信息被篡改、伪造、窃取和泄漏。 税务机关要立足实际，切实解决好人员、资金、技术问题，把信息平安管理工作放在应有位置，逐步实现信息平安的标准化、制度化管理，不断建立和完善信息平安技术防范体系，为税收征管信息化提供有力的平安保障。 结束语 解决信息系统的平安不是一个独立的工程问题，平安策略包括各种平安方案、法律法规、规章制度、技术标准、管理标准等，是整个信息系统平安建设的依据。现有的平安保障体系一般基于深度防御技术框架，假设能进一步利用现代信息处理技术中的人工智能技术、嵌入式技术、主动技术、实时技术等，将形成更加完善的信息平安管理体系。税务信息平安直接关系到税收信息化建设的成败，必须引起税务机关和每一位税务人的重视。科学技术的开展不一定能对任何事物的本质和现象都产生影响，技术只有与先进的管理思想、管理体制相结合，才能产生巨大的效益。 参考文献： （1）戴宗坤，罗万伯等.信息系统平安[m].电子工业出版社，2022.（2）黄章勇.信息平安概论.2023年第1版.出版社：北京邮电大学出版社，2023：7-58（3）孙锐，王纯.信息平安原理及应用.2022年7月第1版.清华大学出版社，2022：17-21（4）王聪生.信息与网络平安中的假设干问题.电力信息化[j]，2022（7）.（5）白岩，甄真，伦志军，周芮.计算机网络信息管理及其平安.现代情报[j]，2023，8（8）.（6）王纯斌.浅议