浅析基层网络与信息安全风险及对策
杨建
随着金税工程三期建设的逐步实施，税收综合征管软件、增值税管理信息系统、税收执法管理信息系统、财务管理系统等主要业务系统已实现省级集中运行，将来会有更多的信息系统在省级以上集中运行。

应用系统的省级集中运行对基层国税机关的网络与信息安全工作提出了更高更严的要求，任何一个环节出现问题都会影响全省网络与信息系统的安全运行。

保障网络与信息安全是信息系统安全运行的生命线。

如何做好新形势下基层国税机关网络与信息安全工作，确保网络与信息系统的安全运行，是各级安全管理人员所面临的一个重要课题。

一、基层网络与信息安全风险
（一）互联网接入风险
目前，有的基层单位因工作需要开通了互联网，但因安全防范意识差等原因没有严格执行内外网物理隔离规定，有的采取一台计算机安装双网卡或者来回切换网线的方式，既上内网，又上外网；有的使用笔记本接入互联网，但又存在笔记本有时接入内部网使用的情况；有的在内网计算机上私自安装ADSL设备，通过宽带拨号接入互联网。

这些不安全不规范的互联网接入方式极易将互联网上的病毒、木马等引入到系统内部网，进而在内网上传播和扩散，对系统内部网的安全运行构成严重威胁。

（二）局域网安全风险
局域网安全风险主要表现为：一是缺乏有效的局域网接入管理和技术监控手段，外来人员能够随意将设备接入局域网运行，对笔记本、移动硬盘、U盘等流动性较强的设备没有有
效的监控等。

二是计算机IP地址和计算机名称管理不规范，缺乏对IP地址的统一规划，IP 地址档案不全，计算机设备名称无任何意义，发生安全事件后无法定位到具体设备及相关责任人。

三是基层计算机操作人员因经常接收企业报送资料而存在感染计算机病毒的危险。

（三）广域网安全风险
广域网安全风险主要表现为：一是广域网核心接入设备没有硬件冗余备份，一旦硬件设备发生故障，将造成全网瘫痪。

二是广域网主备线路均由一家线路运营商提供，如果运营商发生光缆线路中断等故障，将造成整个广域网主备线路的全部中断。

（四）信息系统安全风险
信息系统安全风险主要表现为：一是有的信息系统服务器老化严重，个别公文、协查等服务器设备因购置时间较早，已经达到设备使用奉命，经常出现故障，对信息系统的安全运行造成一定的威胁。

二是有的服务器操作系统未取消系统默认共享服务，未删除DNS、WINS、IIS服务，未按规定设置复杂的登录口令，未启用密码策略、注册表安全设置等，给病毒入侵和不法分子攻击造成了一定的可乘之机。

三是有的信息系统长期没有数据备份，或者只有本机备份而无异机备份，一旦发生硬件设备故障，必将造成系统数据的全部丢失，导致无法弥补的损失。

二、对策
（一）加强宣传，提高认识。

随着总局首期、二期网络与信息安全防护体系建设任务的完成，市级以上国税机关建立了比较完备的网络与信息安全防护体系，基层单位所发生的每一个病毒感染事件、安全攻击事件等，在市局、省局以及总局都有记录。

因此，要充分利用网站、公文、会议、面对面交流等多种形式，宣传网络与信息安全工作，提高全员安全防范意识，增强做好网络与信息安
全工作的责任感、紧迫感和压力感，牢固树立“安全第一”的思想，时刻绷紧“安全”这根弦，坚决克服麻痹思想和侥幸心理，积极采取各种有效措施，坚决防止重大网络与信息安全事件的发生。

（二）完善制度，严格考核。

要加强制度建设，制定完善机房管理、网络管理、应用系统管理、数据管理、应急响应、考核办法等一系列安全管理制度，建立一套比较完整的网络与信息安全管理制度体系，做到各项安全管理工作有章可循。

要严格管理，强化考核，以考核促落实，切实规范基层计算机操作人员的日常操作行为，发现问题及时处理，将各种安全隐患消灭在萌芽之中，确保各项安全管理规章制度落到实处。

（三）严格互联网接入，确保互联网接入安全。

管理上，要制订严格的互联网接入审批制度和用户接入备案制度，严格执行内外网物理隔离规定，确需接入互联网的，必须由用户填写互联网接入审批表，经领导同意并在信息中心建立互联网用户接入档案后，采取安装隔离卡和硬盘或单独一台机器的方式接入互联网，严格做到专机专用，彻底实现内外网的物理隔离，坚决防止造成信息泄密或将病毒、木马程序等引入系统内部网。

技术上，要运用局域网桌面安全防护系统违规外联检测功能，加强基层单位互联网违规接入的监控，对违反规定接入互联网的计算机自动锁死，并记录违规情况，严加考核，坚决杜绝违规接入互联网现象的发生。

（四）强化局域网管理，确保局域网安全。

管理上，一是要加强局域网接入准入管理。

制定严格的计算机内部网准入制度，所有接入内部网的计算机必须在各级信息中心登记，统一分配IP地址、网关等参数，安装统一的
网络版防病毒软件，严禁任何人私自将计算机设备接入内部网运行。

二是要加强IP地址使用管理。

制订IP地址管理方案，建立所有计算机IP地址使用档案，禁止用户私自更改IP 地址，保证每台计算机设备都有一个唯一的IP标识。

三是要规范计算机设备名称命名。

建立“科室名称＋使用人名称”的计算机设备名称命名规则，所有计算机设备全部按照规定进行命名，保证发生安全事件后，能够迅速根据计算机设备名称定位到具体相关人员。

四是要加强病毒管理。

加强笔记本电脑、移动硬盘、U盘等移动介质的使用管理，严禁计算机操作人员将从互联网或其它地方下载的带毒程序、文件等复制到内网计算机上，严禁在内网计算机上安装、运行、查看与工作无关的程序、文件资料等。

对接收企业报送的数据资料的，必须先进行病毒查杀处理，确认无毒后方可接收。

定期通报各单位病毒感染情况，提高计算机操作人员对病毒防治工作的重视程度。

技术上，一是要加强终端设备安全管理。

运用局域网桌面安全防护系统，建立强大的局域网安全防范策略。

启用未注册阻断功能，对没有在桌面安全防护系统中安装注册的计算机设备全部进行阻断，防止任何人私自将设备接入内部网运行，彻底解决违规接入问题。

启用IP地址与MAC地址绑定功能，有效防止因用户私自更改IP地址而带来的安全隐患。

启用硬件资源管理功能，加强计算机名称命名检查，严格执行“科室名＋使用人”的命名规定。

对没有按照命名规则进行计算机设备命名的，严格考核，坚决防止出现因计算机名称不规范而导致安全事件发生后无法定位相关责任人的问题。

二是要强化病毒监控管理。

利用网络版瑞星防病毒系统，以市局为系统中心，建立全市统一的病毒防护体系，所有计算机设备全部安装网络版瑞星防病毒系统，统一接受服务器管理，及时升级病毒定义库版本，保证防病毒系统的有效性。

对设备长期在线而病毒定义版版本未升级到最新版本的，查明原因进行处理，保证病毒定义库及时升级到最新版本，提高防病毒软件的杀毒能力。

病毒管理员对本单位计算机设备感染病毒情况进行实时监控，发现不能查杀的病毒及时进行断网处理，防止病毒在网内进一步扩散。

强化病毒日志分析落实工作，每月对瑞星防病毒系统病毒感染日志进行分析，查找病毒感染原因，采取相应措施，消除病毒感染源，从源头上防止病毒的再次传染。

启用桌面安全防护系统中未安装防病毒软件自动阻断功能，防止未安装防病毒软件的计算机设备接入内部网运行，确保所有计算机设备全部安装防病毒系统。

（五）加强广域网改造，保证广域网畅通。

市、县两级要配备双核心网络设备，实现网络设备的冗余备份，保证在一台网络设备发生故障时，能够迅速自动切换到另一台网络设备上，防止因设备故障而造成全网瘫痪，影响基层业务的正常开展。

市县广域网主、备线路要分别选择两家不同的线路运营商，提高线路运行的安全性和可靠性，防止因一家运营商发生故障而造成整个广域网线路的瘫痪，影响基层所有业务的正常开展。

（六）实施层级防护，确保信息系统安全。

一是要加大资金投入。

对信息系统赖以运行的服务器设备要进行安全评估，对购置时间过长、配置过低、设备老化严重、影响信息系统正常运行的服务器设备要及时进行更新，购买安全性高、性能高的服务器设备，保证服务器设备的安全。

二是要规范操作系统安全设置。

删除不必要的有安全隐患的DNS、WINS、IIS等服务程序，取消目录默认共享服务，设置复杂性密码口令，长度在8位以上，包含字母、数字和特殊字符。

此外，还要及时安装网络版瑞星防病毒系统和最新系统漏洞补丁程序，及时升级病毒定义库，提高系统抗病毒攻击能力，保证操作系统的安全。

三是要强化信息系统的数据备份管理。

系统管理员要经常检查系统的本机和异机数据备份执行情况，发现问题及时处理。

要经常检查系统服务器和备份服务器上硬盘空间的使用情况，及时删除不用的历史数据信息，防止因硬盘空间占尽而导致数据备份不能正常执行，切实做好系统数据备份工作，保证信息系统在本机和异机上都有备份的数据，确保信息系统的数据安全。