關于基層財稅部門網絡與信息安全的調查和研究

沈進棋

摘 要：本文筆者根據所在財政地稅部門的網絡與信息安全建設現狀，客觀分析了來自設備環境、網絡結構和網絡管理等方面的風險，提出通過加強安全宣傳和培訓、加大網絡規劃和投入、完善制度建設和管理、深入開展信息安全等級保護等工作，全面提升基層財稅部門的網絡與信息安全整體保障水平。

關鍵詞：財稅部門 網絡 信息安全 調查研究

中圖分類號：TP3 文獻標識碼：A 文章編號：1672-3791（2014）02（a）-0035-02

隨著財政、地稅和國資業務的不斷應用和發展，我局的財稅網絡已從最初的純內部系統的局域網，逐步擴大到上聯省財政廳、省地稅局，下聯各稅務分局、各鄉鎮財政所的三級縱向網絡；從財稅系統內部網絡，逐步擴大到各預算單位、非稅執收單位、各銀行和工商國稅社保等數據共享交換部門的橫向互聯互通的開放型網絡。開放型的網絡，對于我們的財稅工作帶來便捷的同時，也使我們的信息安全面臨嚴峻的考驗。如何有效的建設和管理我局的財稅網絡，提高系統的可靠性、安全性和完整性，確保網絡與信息安全，是我們要考慮的首要問題。

1 我局網絡與信息安全建設現狀

在網絡設備和架構方面：我局的財稅內部網絡以一臺思科4006三層交換機為核心（如圖1所示），通過三臺防火墻將整個網絡劃分為服務器區、內聯區、辦公區和外聯區。服務器區主要為各類財政、地稅和國資信息系統服務器，通過一臺防火墻進行安全防護；內聯區為連接省財政廳、省地稅局、各基層分局、便民中心和部分銀行區域；外聯區通過百兆防火墻連接財務專網、政務網等，并增設一道防火墻，用以通過VPN設備接入我局內部網絡的二級行政事業單位（如圖1）。

在信息安全制度和管理方面：一是信息安全組織機構健全，成立以局長為組長的網絡與信息安全領導小組，設立單位專職信息安全員且設置AB崗。二是制度建設較為完備，制定出臺了《計算機機房管理制度》等制度，并實現《計算機網絡與信息安全管理責任狀》的全覆蓋簽訂。三是信息安全防護管理較為規范。通過雙主機方式實現因特網和內網的物理隔離，部署防火墻、入侵檢測系統和漏洞掃描等系統，定期對安全產品進行巡檢和開展應急演練等工作。

2 網絡與信息安全風險分析

盡管我局的網絡與信息安全建設在近幾年扎實有效推進，但由于財政、地稅和國資業務的迅速發展，對網絡的性能和擴展性要求越來越高，再加上核心設備比較陳舊，現有資源瀕于耗盡，來自各方面的網絡與信息安全風險形勢嚴峻。

2.1 來自設備環境方面的風險

一是核心設備存在單點故障且使用年限已久。核心交換機、內網防火墻和服務器防火墻都是單機單鏈路配置，任何上述設備的故障都會導致整個網絡崩潰。部分核心設備使用年限已久，遠遠超出維保期限，出現故障概率較大。二是核心設備性能和擴展性存在嚴重瓶頸。核心交換機思科 4006購置于2003年，整體性能已無法承受我局系統業務處理的需求。三是網絡機房UPS供電和溫濕度環境方面的風險。我局網絡機房均為單路UPS供電和單臺空調控溫，未配備環境監控系統，一旦出現故障，將會延誤處理。

2.2 來自網絡結構方面的風險

目前內聯和外聯單位均接在同一個防火墻下，與內網未嚴格隔離，不少銀行單位更是直接與核心交換機直連，給我局內網安全構成嚴重的安全威脅。

一是來自政務網等外聯單位的風險。目前我局網絡與政務網、國稅、社保、便民中心和市內11家銀行均有專網互聯，由于網絡設備資源問題，甚至有部分銀行臨時接在了核心交換機上，這些外聯單位對我局的網絡安全帶來較大的風險。二是來自財務專網接入單位的風險。因國庫集中支付和鄉鎮財務管理的需要，我局財務專網延伸到了各行政事業單位和鄉鎮財辦，專網點數達100多個，這些專網接入單位的終端計算機等同于我局內網終端計算機，可通過核心交換機訪問我局服務器資源，但由于其分散在各個部門和鄉鎮，給我們的管理帶來較大的困難。三是來自VPN撥號接入單位的風險。為解決專網建設成本高的問題，我局于2009年購置天融信SSL VPN設備，作為部分二級行政事業單位的財務專網接入，該設備一旦出現故障，將直接影響通過該設備接入單位的系統應用，存在較大的單點風險。

2.3 來自網絡管理方面的風險

一是操作人員安全意識和技術缺乏帶來的風險。操作人員對于信息安全沒有太多的認識和技能，有的甚至認為網絡與信息安全僅僅是技術部門的事，于己無關。二是制度不完善和執行不到位帶來的風險。由于信息技術的不斷發展，出現了很多新技術和新產品，容易出現制度文件的漏洞和執行不到位情況。三是技術防護策略不嚴密帶來的風險。我局在網絡安全方面投入了較多的設備，如防火墻、VPN、防病毒軟件，IDS等，但這些產品的功能比較分散，形成了相互沒有關聯的、隔離的安全孤島，相互之間沒有有效統一的管理調度機制，從而使其應用效能無法得到充分的發揮。

3 網絡與信息安全建設的對策與措施

針對我局的網絡現狀和存在的上述網絡與信息安全風險，提出如下對策和措施，以全面提升我局的網絡與信息安全整體保障水平。

3.1 加強安全宣傳和培訓，提升防范意識和技術能力

（1）加強全員宣傳培訓，增強防范意識和責任意識。進一步加強網絡與信息安全知識的宣傳和培訓，完善培訓機制、拓展培訓內容、豐富培訓和宣傳的方式，使系統廣大干部掌握常見的網絡與信息安全知識和防范技能，提高信息安全問題的處置能力。

（2）加強網絡技術人員培養和激勵，提升專業技術能力和工作積極性。如果沒有專業技術人員進行安全策略配置、日常監控管理，安全產品即使再多再先進，也只能是一種擺設，技術人員的水平高低將直接影響一個單位的網絡防護能力，因此，需要進一步加強專業技術人員的引進和培養，使其掌握較強的專業技能。同時，由于專業技術人員工作的特殊性，需要其經常犧牲休息時間加班加點進行系統調試和配置優化等工作，有必要進一步完善針對技術人員的激勵制度，以增加其工作的積極性。endprint

3.2 加強網絡規劃和投入，提升系統自身免疫能力

針對我局網絡設備和架構現狀，我們提出如下改造目標：消除核心設備單點故障，實現核心交換設備的虛擬化，架設千兆基礎的主干網絡，合理劃分安全等級區域，滿足可預期內視頻等各種高數據流量信號的網絡運行要求，提高網絡總體運行水平和故障應對能力（見圖2）。

通過加大硬件設備的投入，并整合利用現有資源，對整個內網網絡作如下改造（改造后的網絡拓撲如圖2所示）：根據各區域安全防護級別不同，分別設置核心區、外聯區、內聯區、服務器區和辦公區等區域。一是在核心區新購置2臺核心交換機（含防火墻模塊）做虛擬化方案，替代原有的思科4006交換機，消除核心設備單點故障；同時在該區域部署IDS、IPS、漏洞掃描和桌面終端管理平臺等安全產品。二是在外聯區新購置2臺千兆防火墻通過雙機熱備作為外聯區防火墻，并在網閘的配合下，隔離外聯單位，新增一臺VPN設備做雙機熱備。三是在辦公區新購置4臺二層交換機作為機關大院各樓宇的匯聚層交換機，實現主干網絡的千兆架構。通過合理的規劃、設備的投入和安全產品的整合，建立一個完整的、立體的、多層次的網絡安全防御體系，進一步提升網絡系統自身的免疫能力。

3.3 加強制度建設和執行，建立信息安全運維體系

信息安全防護“三分靠技術，七分靠管理”，再好的信息安全防護系統，如果沒有好的管理制度、管理策略和運維體系相配套，也是形同虛設。

一是建立健全網絡安全制度體系。要針對網絡與信息安全的薄弱環節、關鍵環節和容易忽視的環節，制定、修改和完善具有較強操作性的制度，通過制度來強化信息安全。建立健全機房安全、系統運行、人員管理、密碼口令、網絡通信、數據管理等網絡與信息安全管理制度，提高安全防范水平。

二是建立網絡安全管理聯動機制。實行網絡安全管理的“三級聯動模式”，即計算機使用人員、分局計算機管理員和市局專業技術人員三者聯動，充分發揮分局計算機管理員作用，使其做好所在單位的網絡與信息安全日常維護工作，縮短計算機和網絡故障的處理時間。

三是強化日常維護和監督管理。加強網絡設備的日常運行維護，定期開展設備保養，對設備運行中存在的隱患及時了解和掌握，排除存在的不安全因素和故障，變運行維護工作由“事后救火”為“日常保健”。加強網絡與信息安全的日常監督管理，定期或不定期的開展網絡巡查，及時發現干部職工在網絡與信息安全方面的違規行為，防微杜漸，變“事后處理”為“事先預防”。

3.4 加強等級保護定級和整改，全面提升系統安全等級

開展等級保護工作，對于進一步完善我局信息安全制度體系，規范信息安全管理，增強信息系統安全保護的整體性、針對性具有非常重要的意義。

一是合理劃分信息系統等級。針對我局各類信息系統種類多的特點，根據不同信息系統的業務類型、應用或服務范圍和系統結構等基本情況，合理確定信息系統的安全等級并向公安機關備案。

二是認真做好等級保護測評和整改工作。根據公安部門備案審核結果，選擇具有國家相關資質的測評機構，對我局的信息系統進行等保測評，并根據測評結果進行整改落實。

三是定期開展自查和接受公安部門檢查。定期對信息系統安全狀況、安全保護制度及措施落實情況開展自查和接受檢查，對未達到相應等級保護要求的，及時進行整改。通過信息安全等級保護工作，全面提升我局的信息安全保障能力和整體水平。

參考文獻

[1] 高長永.計算機網絡安全問題及其防范措施[J].網絡安全技術與應用，2013（11）.

[2] 高金鎖.淺談計算機網絡信息安全與防范[J].電子技術與軟件工程，2013（17）.

[3] GB/T 22239-2008信息系統安全等級保護基本要求[Z].endprint

3.2 加強網絡規劃和投入，提升系統自身免疫能力

針對我局網絡設備和架構現狀，我們提出如下改造目標：消除核心設備單點故障，實現核心交換設備的虛擬化，架設千兆基礎的主干網絡，合理劃分安全等級區域，滿足可預期內視頻等各種高數據流量信號的網絡運行要求，提高網絡總體運行水平和故障應對能力（見圖2）。

通過加大硬件設備的投入，并整合利用現有資源，對整個內網網絡作如下改造（改造后的網絡拓撲如圖2所示）：根據各區域安全防護級別不同，分別設置核心區、外聯區、內聯區、服務器區和辦公區等區域。一是在核心區新購置2臺核心交換機（含防火墻模塊）做虛擬化方案，替代原有的思科4006交換機，消除核心設備單點故障；同時在該區域部署IDS、IPS、漏洞掃描和桌面終端管理平臺等安全產品。二是在外聯區新購置2臺千兆防火墻通過雙機熱備作為外聯區防火墻，并在網閘的配合下，隔離外聯單位，新增一臺VPN設備做雙機熱備。三是在辦公區新購置4臺二層交換機作為機關大院各樓宇的匯聚層交換機，實現主干網絡的千兆架構。通過合理的規劃、設備的投入和安全產品的整合，建立一個完整的、立體的、多層次的網絡安全防御體系，進一步提升網絡系統自身的免疫能力。

3.3 加強制度建設和執行，建立信息安全運維體系

信息安全防護“三分靠技術，七分靠管理”，再好的信息安全防護系統，如果沒有好的管理制度、管理策略和運維體系相配套，也是形同虛設。

一是建立健全網絡安全制度體系。要針對網絡與信息安全的薄弱環節、關鍵環節和容易忽視的環節，制定、修改和完善具有較強操作性的制度，通過制度來強化信息安全。建立健全機房安全、系統運行、人員管理、密碼口令、網絡通信、數據管理等網絡與信息安全管理制度，提高安全防范水平。

二是建立網絡安全管理聯動機制。實行網絡安全管理的“三級聯動模式”，即計算機使用人員、分局計算機管理員和市局專業技術人員三者聯動，充分發揮分局計算機管理員作用，使其做好所在單位的網絡與信息安全日常維護工作，縮短計算機和網絡故障的處理時間。

三是強化日常維護和監督管理。加強網絡設備的日常運行維護，定期開展設備保養，對設備運行中存在的隱患及時了解和掌握，排除存在的不安全因素和故障，變運行維護工作由“事后救火”為“日常保健”。加強網絡與信息安全的日常監督管理，定期或不定期的開展網絡巡查，及時發現干部職工在網絡與信息安全方面的違規行為，防微杜漸，變“事后處理”為“事先預防”。

3.4 加強等級保護定級和整改，全面提升系統安全等級

開展等級保護工作，對于進一步完善我局信息安全制度體系，規范信息安全管理，增強信息系統安全保護的整體性、針對性具有非常重要的意義。

一是合理劃分信息系統等級。針對我局各類信息系統種類多的特點，根據不同信息系統的業務類型、應用或服務范圍和系統結構等基本情況，合理確定信息系統的安全等級并向公安機關備案。

二是認真做好等級保護測評和整改工作。根據公安部門備案審核結果，選擇具有國家相關資質的測評機構，對我局的信息系統進行等保測評，并根據測評結果進行整改落實。

三是定期開展自查和接受公安部門檢查。定期對信息系統安全狀況、安全保護制度及措施落實情況開展自查和接受檢查，對未達到相應等級保護要求的，及時進行整改。通過信息安全等級保護工作，全面提升我局的信息安全保障能力和整體水平。

參考文獻

[1] 高長永.計算機網絡安全問題及其防范措施[J].網絡安全技術與應用，2013（11）.

[2] 高金鎖.淺談計算機網絡信息安全與防范[J].電子技術與軟件工程，2013（17）.

[3] GB/T 22239-2008信息系統安全等級保護基本要求[Z].endprint

3.2 加強網絡規劃和投入，提升系統自身免疫能力

針對我局網絡設備和架構現狀，我們提出如下改造目標：消除核心設備單點故障，實現核心交換設備的虛擬化，架設千兆基礎的主干網絡，合理劃分安全等級區域，滿足可預期內視頻等各種高數據流量信號的網絡運行要求，提高網絡總體運行水平和故障應對能力（見圖2）。

通過加大硬件設備的投入，并整合利用現有資源，對整個內網網絡作如下改造（改造后的網絡拓撲如圖2所示）：根據各區域安全防護級別不同，分別設置核心區、外聯區、內聯區、服務器區和辦公區等區域。一是在核心區新購置2臺核心交換機（含防火墻模塊）做虛擬化方案，替代原有的思科4006交換機，消除核心設備單點故障；同時在該區域部署IDS、IPS、漏洞掃描和桌面終端管理平臺等安全產品。二是在外聯區新購置2臺千兆防火墻通過雙機熱備作為外聯區防火墻，并在網閘的配合下，隔離外聯單位，新增一臺VPN設備做雙機熱備。三是在辦公區新購置4臺二層交換機作為機關大院各樓宇的匯聚層交換機，實現主干網絡的千兆架構。通過合理的規劃、設備的投入和安全產品的整合，建立一個完整的、立體的、多層次的網絡安全防御體系，進一步提升網絡系統自身的免疫能力。

3.3 加強制度建設和執行，建立信息安全運維體系

信息安全防護“三分靠技術，七分靠管理”，再好的信息安全防護系統，如果沒有好的管理制度、管理策略和運維體系相配套，也是形同虛設。

一是建立健全網絡安全制度體系。要針對網絡與信息安全的薄弱環節、關鍵環節和容易忽視的環節，制定、修改和完善具有較強操作性的制度，通過制度來強化信息安全。建立健全機房安全、系統運行、人員管理、密碼口令、網絡通信、數據管理等網絡與信息安全管理制度，提高安全防范水平。

二是建立網絡安全管理聯動機制。實行網絡安全管理的“三級聯動模式”，即計算機使用人員、分局計算機管理員和市局專業技術人員三者聯動，充分發揮分局計算機管理員作用，使其做好所在單位的網絡與信息安全日常維護工作，縮短計算機和網絡故障的處理時間。

三是強化日常維護和監督管理。加強網絡設備的日常運行維護，定期開展設備保養，對設備運行中存在的隱患及時了解和掌握，排除存在的不安全因素和故障，變運行維護工作由“事后救火”為“日常保健”。加強網絡與信息安全的日常監督管理，定期或不定期的開展網絡巡查，及時發現干部職工在網絡與信息安全方面的違規行為，防微杜漸，變“事后處理”為“事先預防”。

3.4 加強等級保護定級和整改，全面提升系統安全等級

開展等級保護工作，對于進一步完善我局信息安全制度體系，規范信息安全管理，增強信息系統安全保護的整體性、針對性具有非常重要的意義。

一是合理劃分信息系統等級。針對我局各類信息系統種類多的特點，根據不同信息系統的業務類型、應用或服務范圍和系統結構等基本情況，合理確定信息系統的安全等級并向公安機關備案。

二是認真做好等級保護測評和整改工作。根據公安部門備案審核結果，選擇具有國家相關資質的測評機構，對我局的信息系統進行等保測評，并根據測評結果進行整改落實。

三是定期開展自查和接受公安部門檢查。定期對信息系統安全狀況、安全保護制度及措施落實情況開展自查和接受檢查，對未達到相應等級保護要求的，及時進行整改。通過信息安全等級保護工作，全面提升我局的信息安全保障能力和整體水平。

參考文獻

[1] 高長永.計算機網絡安全問題及其防范措施[J].網絡安全技術與應用，2013（11）.

[2] 高金鎖.淺談計算機網絡信息安全與防范[J].電子技術與軟件工程，2013（17）.

[3] GB/T 22239-2008信息系統安全等級保護基本要求[Z].endprint