安全管理是信息化建设的当务之急来源:江西省地方税务局作者:欧阳志平日期:2008-02-25字号[ 大 中 小 ]随着信息技术的不断发展,网络与计算机为人们的生活带来了很大的方便。然而,它在给人们带来惊喜的同时,也带来了黑客、病毒和后门及计算机犯罪等问题,它们严重地威胁着网络安全。一旦出现问题,造成的危害会更加巨大和可怕,据国家税务总局信息中心4月份下发的《关于近期网络与信息安全情况的通报》,2006年3月份全国共发现4.9万种病毒,有836万余台等计算机被感染。同时收到境内外通过应急热线、网站、电子邮件等服务的网络安全事件1218件,可见,信息系统安全不容忽视。我省地税系统自2003年以来,制定了本系统信息化建设的远景规划,并于2005年6月1日全面运行新的“税收征收管理软件”,真正实现了全省数据的大集中,为全省各级地税部门的征收管理工作插上了科技的翅膀.然而,高信息技术是一把双仞剑,在带给我们无限益处的同时也带来相应的风险。目前,我省地方税务系统网络与信息安全防护体系尚未投入运行,微软操作系统补丁自动升级平台正在试点.因此,全省面临的信息安全形式仍然很严峻.为了更加有效地作好安全防范工作,九江市地税局按照省局的统一部署,于2006年2月13日开始,邀请“绿盟科技公司”针对全局的系统安全状况,进行了一次风险评估,发现了不少安全隐患,对我局下一步安全系统管理工作具有很大的指导意义.但是, “三分技术,七分管理”,必须注重信息系统的安全管理,使之与技术防范有机地结合起来,才能较为全面的、系统的保障信息系统的安全。下面结合日常的信息化管理工作,谈谈九江市局信息化安全管理工作存在的问题及解决对策。一、 信息安全系统安全管理存在问题及成因1、信息安全组织体系不够健全,没有真正起到协调一致的作用。信息安全组织体系是构成信息安全管理系统的人员基础,支撑信息安全管理体系的建设、运行及不断的完善与改进。九江市局对信息安全管理的职责划分是:信息中心,机关服务中心,办公室三个部分。管理层和执行层的职责分工很明确。安全工作岗位如系统管理员、网络管理员、应用管理员等都被指定到专人,且工作经验和技术能力比较强。但就目前看,尽管九江市成立了信息安全管理委员会,但稳定性不够,特别是随着信息交流面的扩大,如申报方式的多样性,工商、国税、银行与地税的信息交流必不可少,而地税部门缺乏一个跨部门的安全组织以协调处理市级的安全管理问题(县级局及以下分局基本没有),从而使得安全政策执行有些力不从心。造成这种被动局面的主要原因是,全员总体安全意识还达不到管理需求,对系统安全的作用及不良后果估计不足,没有形成防范理念。2、文件化的信息安全管理体系还较薄弱,尚存在很多不规范之处。文件化的信息安全管理是一切信息安全活动的基础和出发点,通过定义一套规则来规范信息安全体系的建设。运行和管理范本应清晰说明哪些行为是不允许的。目前,省地税局制定了一系列的管理规范文本,对日常的管理工作起到了一定的指导作用。但在实际操作中,还是缺乏详细、具体的工作手册和操作指南,特别是对一些在不同阶段引进的安全系统设备的操作,只得依靠个人的经验和集成商简单的口述培训,时间短,实践少,且工作记录不很完整。尤其是县级局、分局,专业技术力量薄弱,市局虽说有应急组织,可是由于条件的限制,造成应急处理难度很大。出现这种尴尬局面的主要原因是信息化建设时间短,经验不足,引进的管理流程还没有转化为地税自身的工作流程。3、信息安全管理实践还有差距,存在重表面,轻实体的状况。九江市局的信息安全管理实践工作近几年由于领导的重视,得到了很大的加强。但是在人员稳定,基层分局网络设备的安全性(与征税厅于同一物理位置,容易碰落线路和进入灰尘),各层次安全培训和基本的安全防范能力,应急处理能力方面都存在不足。虽说在人、才、物上对信息化工作有所倾斜,但大部分都是被动性的,没有真正的渗透到日常的管理工作中。没有根据信息化发展的要求,寻求符合日益强盛的信息化安全体系建设的更具体的、更符合工作实际的措施办法。二、解决问题的措施和方法1、坚持以人为本本的原则。人是信息安全系统中具有能动性的资源,特别是专业技术人员要确保稳定。要留住专业人才,除了加强专业技术人员安全教育、培训、普及安全意识外,还要从生活、工作、待遇上关心他们,向他们倾斜各项福利待遇。尤其是加强管理层的领导意识,在本单位成立的“信息化领导小组”基础上,建立一个含盖范围较广的信息化管理组织机构,真正实行“一把手”工程。只有领导的支持,才能调动组织的各种资源,协调各部门之间的关系,落实好各项安全责任,才可能关心、支持信息安全工作,将信息安全管理工作落到实处。2、坚持动态管理的原则。安全是一种状态和过程,信息安全状态并非一成不变的,它的脆弱性会发生时空上的变化。不要指望能够制定一个绝对正确、十分详细的安全策略,而是要制定一个相对全面的、简洁的、具有可操作性、可实施的有效安全策略。从而使各级技术人员循章操作、规范行为。同时不断评估、持续改进,实行信息安全的动态管理。3、坚持信息保障的原则。安全不仅仅是技术,而是策略、技术与管理的综合;安全解决方案也不是简单的产品的堆砌,而是从风险分析、需求分析、安全策略到安全意识教育与技术培训的系统工程。不应把安全托付于单一的安全机制之下,要从人员、管理、技术等过方面多环节地实行综合保障。真正做到:未经授权的非法用户“进不来”,“看不懂”,“改不了”,“拿不走”,“走不脱”。4、坚持费用与风险相平衡的原则。信息系统安全是由相互联系的各个构成元素的安全组成的安全链条,每个元素,缺一不可。这就要求平衡安全成本。按照省局规范化文本的规定:日常的系统维护成本应保持在所有专业管理设备总价10%左右,且必须做到使用及时,专款专用。平衡安全成本与风险,不必过度防护,但又不能防护不足,在费用允许的范围内,将风险降至最低。总之,信息系统安全管理问题是多种多样的,且随着时间技术的变化而变化。但只要保持清晰正确的认识,掌握*7的安全问题情况,制定完善的、有效的安全策略,就可以阻止大部分安全事故的发生,将经济损失减到最小。(作者单位:九江市地税局)