李建彬在互联网安全应急年会做报告
来源:网易 更新时间:2012-04-14

 

国税总局信息中心安全处副处长李建彬介绍一下国税总局的信息安全问题。国税总局跟海关可能有些差异,因为国税总局既有垂直领导,同时还有跟各地市之间的业务联系,所以它的系统跟海关有相近的地方,也有不同的地方,下面请李建彬处长发言。

李建彬:大家下午好!我是国家税务总局信息中心安全处李建彬。今天下午就我们税务系统的信息安全建设跟大家做一下交流。

准备的材料比较多,因为时间有限,只能简单的把我们做的一些工作和对一些问题的思考向大家介绍一下。相信税务系统大家都不陌生,跟每个人息息相关,税务系统的信息化建设,也代表了我国在财力积累上的进步,我从四个方面向大家介绍一下我们在建立税务系统信息安全管理体系,税务系统的ISMS工作上的一些问题。第一,探讨一下必要性和紧迫性;第二,我们如何做;第三,我们在06年按照国信办的要求,在福建地税局实施了信息安全管理建设试点工作;第四,对我们在这些年来在信息安全管理体系建设上一些问题的探索和思考。

一、建立税务系统信息安全管理体系的必要性

谈到必要性,不得不看看税务系统面临一些信息安全挑战,主要是四个方面:

一是税收业务高度依赖信息化手段,众所周知,目前我们的管理手段离了网络、计算机,基本税收工作陷入了困顿。今年南方大雪灾,是很好的例证。在税收业务的高度依赖信息化手段,导致对信息化提出了更高的要求。二是目前在信息安全体系建设上,采用的一些技术存在很大隐患。三是我们面临庞大税务系统信息系统信息安全管理的难度越来越大。四是目前存在的主要问题。

1、整个税收业务高度依赖于税收信息化,目前来讲,我们的网络和税务系统的网络,刚才主持人张健同志说了,我们是两套系统,一套是国税系统,一套是地税系统,国税系统是总局垂直领导,地税系统是省以下垂直。我们的网络按照管理体系的要求,布到每一个点。只要有税务机关、税务机构的地方,就有我们的网络结点。李岚清同志要求我们建设税务的天罗地网,至少地网已经初步形成。经过十多年的建设,税务系统的网络与信息系统进行快速发展期,目前所有税务的征收,包括农业税收的征收,都要依托整个税收信息化网络。在网上运行的关键信息系统逐年增多,大家如果搞企业,知道防火税务系统,类似这样的关键系统,在我们网上的运行越来越多。我们税务部门与外部单位的联网快速增长,刚才李宏图处长讲的,海关税务联网是比较典型的案例,海关跟银行的联网,海关跟工商、质监、公安等都有交互。在美国的法律要求,银行的数据、商业运转的数据、海关的数据,都要按照要求采集到税务的数据中心里面。我国新的税务征管法也有新的规定,税务部门有权要求各相关单位提供必要的粗及税收征管水平提高的数据。跟银行之间建立企业信息流信息,个人存款信息等等。网上办税业务快速发展,对个人来讲,可能感受不深,目前我国有50%以上的纳税人可以在网上办税。这样规模庞大,影响广泛的税收管理信息系统已经成为众多网络黑客的攻击目标,网络黑客有正从出于兴趣的行为向出于经济利益发展,他们对我们的威胁不容忽视。近几年发生一些安全事件,这些安全事件表明我们的系统随着规模庞大、承载业务的日趋关键,对系统产生的威胁也越来越多、越来越广泛。

2、信息安全技术存在的隐患。税务系统大量使用的核心关键技术与产品同样主要依靠进口,其中存在的安全漏洞和隐蔽通道还不能完全掌握和控制,存在一定的安全隐患。在这种情况下,核心关键技术对我们的系统也产生很大风险。信息安全攻击的手段和技术不断翻新,管控难度增大,税务系统的信息化发展程度越快,技术更新带来的新风险就越突出。

3、信息安全管理难度加大

主要表现在几个方面,一个是安全意识,这个安全意识说起来容易,但真正实施起来,行业部门有切实的体会,仍然存在“重应用,请安全”的倾向,对网络环境下信息安全的重要性认识不足,缺乏基本的防范技能,有的甚至有章不循,有禁不止。违反安全策略和操作规程,规范访问网络,不严格设置系统密码。这也是导致难度加大的原因。管理制度不配套,针对性和操作性都有待改进。管理手段也跟不上,在管理上,安全措施的投入不足,以及对信息系统的运行和信息化管理不够,造成了安全保护对象不够清晰,安全保护针对性不强。对关键岗位人员缺乏有效的风险管控措施,个别管理维护人员访问权限过大。应用系统开发过程中制度不到位,既不能有效排除新系统自身存在的安全弱点,也容易导致信息系统的开发测试给正在运行的应用系统带来新的安全风险。

4、存在的主要问题

在安全检查以及日常的安全管理过程中,发现像防护体系重边界防御,请纵深防御,目前对网络边界的防御看的比较重,同时对网络防护体系内的防御,门槛很高,进门以后什么都能干,这是很严重的问题。还有老大难的问题,近几年愈演愈烈,移动存储介质应用的混乱,内外网相互使用,没有标志,导致内网信息外泄,同时互联网的木马病毒被植入内网,这种情况也比较严重。

今年年会的主题是应急,其实我们在工作中的实际也是这样,上午赵局长也讲过,目前来讲,应急流程、应应急演练存在很大问题,应急流程设计的很漂亮,应急预案写的很厚,但一个是没有条件演练,再一个是写了很多,操作性不强,演练不下去。外人人员、合作伙伴的管理存在漏洞,我们单位对信息系统的运营维护、开发设计有一些外包工作,对外包工作中涉及到外来人员的安全防护也做不到位。

综上所述,总结了几个比较有共性问题,像用户名管理不当。主要问题是由人引起的,而不是由信息系统本身引起的,还存在一些技术漏洞,在设计过程中,在产品的配置过程中,运行维护中,都存在这样、那样的问题。这些问题也可以分为一般员工引起的安全问题,管理层引起的安全问题,还有一些是由技术管理员引起的安全问题,很多技术管理员由于常年从事的是IT工作,对于一些司空见惯的问题,但很可能导致严重安全隐患的问题视而不见,甚至很多IT问题都是由于IT技术人员为了尝试新的技术,尝试一些创新,而导致整个系统的稳定性和安全性出现问题。

这些问题要统筹的解决,不能不靠头疼医疼,脚疼医脚。信息安全是三分技术,七分管理,这三分技术也是落实信息安全管理目标采取的技术措施。完整的信息安全管理体系,对综合解决存在的信息安全问题,至关重要。很多问题不是由于技术引起的,而是由于使用技术的人,使用技术承载业务系统的人的操作、意识、行为不当,而引起的很多问题。在这种情况下,我们在信息安全工作的实践过程中,逐步认识到我们要建成一套完整的信息安全管理体系是迫在眉睫。基于这个设想,我们在04年就开始规划如何建立税务系统的信息安全管理体系,将整个信息安全管理的思路从传统的发现问题、解决问题,然后再出现问题、发现问题、解决问题的死循环上升到一个螺旋式上升的过程。我们采用的标准,早期是ISMS,后来演变成ISO2700,06年相关地区和部门针对利用2701这个标准建设电子政务信息安全管理体制的尝试。

二、税务系统信息安全管理体系实践

(图)这是我们04年设计的一个基于信息系统生命周期的信息安全管理体系的总体框架模型。

福建省地税局管理试点情况主要实现三个目的:促进信息安全管理制度与福建地税局原有管理制度的整合,将信息安全管理措施落实到具体的流程中,积累信息安全管理的工作经验。

我们在福建省地税局信息安全管理范围上,选择整个省级机关以及直属机构。在应用系统,涵盖福建省地税局所有网上运转所承载的业务,包括征收、管理、稽查、综合业务查询跟财政、国库、银行联网的应用,包括为纳税人服务。在网络拓普上,我们选择全网实施,这是整个地质系统的网络结构图。

整个过程五个步骤:现场电源阶段,我们要熟悉相关法律以及目前已有的制度和组织机构以及当时征收管理业务的规范流程;在现场工作电源的基础上,要对福建省地税局进行差距分析,在差距分析过程中,首先要分析安全现状,同时根据安全目标获取安全需求。根据现状和需求之间存在的差距,我们做差距分析的诊断报告;开始风险评估和风险处置;根据风险评估和处置的结果,建立起安全管理体系持续改进的流程;安全管理体系正式运行的过程。

(图)现场电源阶段要处理相关的文件。按照ISMS要求。跟调查的结果进行安全相应的分析,根据差距的结果展开风险评估。最后编写适应性的声明。最后强调一点,还要根据信息安全管理体系的(宣贯),这块很重要。

三、探索与思考

一个组织要让信息安全体系实施过程顺利进行,并且能够取得预期的结果,必须具备一些通往成功的要素。我们总结了一下:安全策略、目标和活动应该反映业务目标;实施信息安全的方法应该与组织文化保持一致;来自高级管理层的支持和承诺;深刻理解安全需求、风险评估和风险管理;向所有管理者有效推广安全信息意识,提供适当的培训和教育;建立完整的策略体系,评估信息安全管理的表现,提供改进的反馈。

最后总结建立信息安全的目标:人人有事做,事事有人做,做事有考评,结果有奖惩。人人有事做,就是每个人对信息安全管理过程中说要承担的职责,必须有明确的要求;事事有人做,每一项信息安全管理的要求必须落实到具体的人,否认是一句空话;做事有考评,整个信息安全的运转情况,每个人执行的策略、规章、制度情况,必须有考核;结果有奖惩,执行不好的要有相应的惩罚措施,才能让后来想犯这种错误的人不敢犯,同时对做得好的有鼓励,这样才能营造比较和谐的信息安全管理文化氛围,这样才能使整个信息安全管理工作有一个比较良好的、比较稳固的基础。

我的介绍就到这里,谢谢大家!