網絡安全新常態下天津財稅系統信息安全綜合管理體系研究

◎文/課題組

2016年11月，全國人大常委會通過 《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）。《網絡安全法》為現有網絡信息安全工作提供了法律依據，也是未來天津財政地稅系統網絡信息安全建設的基礎性依據。“互聯網+”和大數據的普及與應用，構成了信息安全建設新的外在環境和宏觀背景；《網絡安全法》的頒布，構成了政府部門信息安全建設的法律基礎和制度框架；新的宏觀背景與法律規制相結合，形成了當今我國的網絡安全新常態。

一、信息安全組織架構及職能體系

（一）天津地稅網絡安全組織體系建設情況

1.體系架構

天津地稅現行的網絡和信息安全管理體系是天津市地方稅務局（以下簡稱市局）集中控制和統一規范管理的模式，從市局到各區地稅局、市局直屬單位呈現出信息部門歸口管理和分層管理相結合的特點。

天津地稅的網絡和信息安全涉及多個業務系統，包括核心征管系統、門戶網站、12366系統、郵件系統等30余個信息系統，分屬于辦公室、行財處、稅口各業務處室、稽查局等多個部門日常應用。各業務部門根據具體職能的不同，負責對一套或多套的業務信息系統的日常使用管理，市局信息化處統一歸口管理相關系統的網絡和信息安全事項。

2.人員構成

網絡安全和信息化領導小組是天津地稅系統的信息安全工作的最高領導機構，組長由天津市地稅局局長擔任，副組長由分管信息化工作的局長擔任，小組成員由保障部門（辦公室、法制處、行財處）、信息安全的主管及實施部門（信息化處、信息中心）和重點信息系統的主要應用處室（監督處、預算處、國庫處、征管處和收入規劃核算處）的主要負責同志構成。

3.機構職能

（1）網絡和信息化領導小組

總體職能為統一領導天津稅務系統的信息化建設、網絡安全和日常信息化工作。

（2）網絡安全和信息化辦公室

負責綜合協調財稅系統網絡安全應急工作，履行應急值守、信息匯總綜合協調職能，發揮網絡安全應急管理作用。

（3）網絡安全應急辦公室

主要職能為網絡安全事件的應急和協調處理。

（二）現行信息安全組織體系的特點

1.“工作小組+主管部門”的管理機制

網絡安全和信息化領導小組是天津地稅系統信息安全工作的最高領導機構，領導小組下設辦公室和網絡安全應急辦公室，網絡安全應急辦公室下設多個專項工作組，負責各個業務系統的具體網絡安全事項。

2.“科層化”兩級的組織架構

“科層化”是指市局和基層單位之間具有顯著的上下級隸屬關系。市局是制度的設計、規劃和制定者，基層單位是制度的執行、落實和反饋者。

3.五級的職能實現體系

天津地方稅務局網絡安全和信息化的職能體系的構建和規范采用了五層的結構，從宏觀到具體依次為：總體策略—管理辦法—實施規范—流程細則—記錄表單。通過自上而下的目標分解，既保證了體系構建的規范性，也加強了安全管理目標的可實現性。

4.內、外部人員管理制度完備

為確保人為的網絡安全因素的可靠性，通過《天津市財政局（地方稅務局）人員安全管理辦法》、《天津市財政局（地方稅務局）外部信息技術服務人員管理規定》等制度，從人員的錄用、任職、轉崗、離職、信息設備訪問、開發人員管理等方面入手，建立了完備的人員管理制度體系。

（三）現行信息安全組織體系存在的問題

1.缺乏專職機構及人員

工作小組是從各部門抽調人員組成的臨時議事或者辦事機構，且缺乏明確議事規則。工作小組的成員一般分布在各個業務部門中，“業務工作”是工作的核心，“網絡安全”是一種兼職，導致成員很難在繁雜的業務工作中抽出時間主動發現網絡安全問題。

2.“自行管理”、“自我監督”

現行的信息安全工作是信息化整體工作的一項子內容，由信息技術部門統一負責網絡安全的管理。但對信息安全而言，個人的操作安全是很小的一部分，更多的還是涉及到信息系統的運維安全。因此在“自我監督”的方式下，制度執行往往難以達到預期效果。

3.缺乏完善的個人安全責任考評制度和意識培養體系

現行的信息安全培訓工作主要側重于對專業人員的技術培養，對于使用業務系統的普通用戶信息安全教育和意識培養存在嚴重不足。同時，目前的網絡安全考核是針對單位的，缺乏對工作人員的個人考核制度。

4.網絡安全體策略的細化和持續改進存在不足

框架性制度較完備，但細化較少。在“流程細則”層級上，現有制度缺乏明確的獎懲措施，責任認定條款界限模糊，具體責任認定存在困難；在“實施規范”層級上，缺乏人員培訓考核計劃和管理等規范制度；在 “管理辦法”層級上，缺乏定期的內部審計機制，缺少對制度修訂、檢查和落實的持續性改進的相關規定，部分基本制度已多年未修訂，相關規定已無法與目前的工作有效銜接。

（四）組織架構及職能體系改進建議

1.落實網絡與信息安全責任制

落實責任制的重點在于責任的明晰與安全意識的培養。在工作實踐中，沒有人會主動認領責任，所以責任制的條款規定必須是明確而清晰的。單位的責任和個人的責任要界定清晰。責任制的建立應當包含所有的網絡應用參與者，而不僅僅是系統運營的管理者。應當提高所有網絡應用參與者的責任意識，通過信息安全責任與懲罰機制的聯系，并加以持續的宣傳，從而引導相關人員養成良好的安全意識。

2.改進網絡安全運行機制

將“監管者”和“運營者”分開，可以有效的解決自我監管的不足。

3.建立分級分類的網絡安全意識培養體系

信息安全的培訓應當實現對所有參與者的全覆蓋，包括各級信息系統的負責人、管理人員、使用人員、開發人員等。在培訓過程中需要注意的是，不同的人員對于培訓內容的需求是存在很大差異的，因此在培訓中應根據不同的培訓對象分級分類進行。

4.成立專門部門負責網絡安全評估、檢查和改進

建議引入第三方的安全評估機構定期對天津地稅系統的網絡安全狀況進行全面的檢查，評估組織管理、技術應用、應急處理和協調溝通機制的聯動情況是否符合信息安全的要求。

建議在現有的網絡安全和信息化領導小組下，設立專門的信息安全檢查和持續改進小組，專門負責信息安全的檢查和持續改進工作，建立和完善天津地稅系統重點信息系統的檢查和改進制度，持續動態的調整信息安全策略和控制措施，保證天津地稅信息系統能夠安全有效運行。

5.建立和完善安全考核評價體系

考核體系的構建需要重點考慮兩方面的內容：一是賦予一個機構明確的職責，負責制定具體的考核政策和管理策略，并確保相關政策可以有效傳達和落實；二是建立完整的考核指標體系。考核指標體系的設計可以分為三個層級：第一層是基本的信息安全素養，具體又可分為網絡應用能力和信息安全意識兩個部分；第二層是網絡和信息安全防護能力，包括基本操作規范、保密意識、惡意攻擊防范等；第三層是信息安全應急處置能力，考核的重點是對本單位信息安全應急管理制度的認知能力、對突發事件的應急處理能力。

二、信息安全日常管理體系

本部分內容選取河東區地方稅務局 （以下簡稱河東地稅）作為研究案例，深入分析基層稅務機關日常信息安全管理工作的現狀和存在的主要問題，通過對問題原因的剖析，探討解決這些問題的思路。

（一）河東地稅信息安全現狀與主要特點

1.河東地稅信息安全現狀概述

河東地稅的信息系統主要由個人計算機、打印機、服務器、網絡設備以及連接的網絡組成。網絡系統分為內網區和外網區。內網聯通各級稅務機關，稅務干部通過內網訪問內部各種應用。內網通過市局、總局與人民銀行等第三方實現互聯；外網主要用于稅務干部日常訪問互聯網。

2.河東地稅信息安全的主要特點

（1）上級指導，統一管理

（2）數據在市局（總局）集中處理和儲存

（二）河東地稅日常信息安全管理工作的主要做法

1.制度及工作機制建設

（1）組織機構

按照市局信息安全工作有關要求，成立“網絡安全與信息化工作領導小組”并下設辦公室，小組組長由一把局長擔任，其他班子成員為副組長，各綜合科室主要負責人為成員的，分管信息化工作的副局長任辦公室主任，信息科科長、辦公室主任任副主任、各部門副職任辦公室成員。全面負責全局網絡信息安全及信息化建設工作。

建立一把手負總責，分管信息化工作的副局長主抓，信息科具體負責，形成 “信息科—兼職信息安全員—全局干部”自上而下分級管理，各負其責的工作機制。

（2）制度建設

在總局、市局信息安全管理制度體系內，結合自身實際情況，建立適應本單位的信息安全管理制度。先后制定下發 《計算機信息系統及網絡安全保密管理制度》、《網絡與網絡安全應急保障工作綜合預案》、《計算機機房管理制度》、《電教室管理制度》、《信息技術科管理員職責》、《科所計算機管理員職責》、《網站管理辦法》、《安全接入和上網行為管理系統安全策略配置管理辦法》、《業務崗位權限管理辦法》等一系列制度規定。嚴格按照既定的管理制度和市局的信息安全工作要求加強日常的教育、管理、監督和檢查。

2.日常運維體系建設

（1）重點部位巡查及自查

建立機房巡檢和登記制度。每天早、中、晚各巡檢一次，密切關注機房環境和設備運行情況，做好巡檢記錄，遇到突發情況及時觸發應急預案。外來人員訪問機房要有相關人員陪同，詳細登記進入時間、事由、人員并簽字確認。

在局網絡與信息安全領導小組領導下，定期對日常信息安全管理工作進行自查，從制度建設、組織保障、教育培訓、信息資產、安全防護、數據安全、網絡防護、應急保障等方面制定詳細的檢查清單，查找薄弱環節和安全隱患，對發現的問題制定整改措施，堵塞安全漏洞，織密信息安全防護網。

（2）權限管理與數據安全

系統權限管理實行業務主管部門和信息部門雙重把關、嚴格規范管理、相互監督的工作機制。需求部門填寫《權限設置修改單》，逐級審批，由信息部門完成權限配置和修改。實現權限管理痕跡化，可追溯。

加強用戶口令管理。對所有計算機終端設置開機密碼、屏保密碼，杜絕非稅務人員接觸內網計算機。要求稅務人員離開工位必須鎖屏。業務系統密碼長度和復雜度要符合安全規定，并定期更換。嚴禁將本人用戶口令借與他人使用。

（3）數據備份操作規程

對于基層稅務機關自行管理的稅收數據，制定數據備份的規則和程序，規范備份的時間、內容、訪問控制。由專人負責進行定期備份，并將備份數據與數據源隔離存儲，確保備份數據存儲安全。

（三）存在的問題

1.信息安全制度和規定落實不力

由于人為原因，部分終端安全防護措施形同虛設，業務資料，私人信息混用；開機口令、業務系統口令不按規定進行設置和定期更換等。

2.信息安全管理機制不健全

一是基層稅務機關信息安全管理力量薄弱，少有信息安全管理專職人員，缺乏科學指導，管理手段單一；二是信息安全管理缺位，管理職責難落實，僅依靠信息部門，未建立起跨部門協作機制。

3.數據安全存在隱患

一是基層用戶保密意識不強，為方便工作，將賬號口令與他人共享或借與他人；二是各應用系統崗責體系不規范，如果操作員越權修改系統信息，很難及時發現；三是數據備份方式單一，備份文件的有效性難以保證。

（四）日常運維體系改進建議

1.加強信息安全組織機構建設

組織架構及職能體系建設是完善信息安全日常管理體系的基礎。因此意見建議部分首先考量上文論述的完善組織機構及職能體系的相關建議。具體包括：一是落實網絡和信息安全責任制，推進責任落實到人，引進責任追究及懲罰機制，嚴格信息安全績效考評管理，提高制度執行剛性；二是建立分級分類的信息安全培養機制，信息安全意識培養全覆蓋，并根據不同崗位類型和崗位性質涉及有針對性的培訓內容；三是建立健全安全考核評價體系，對基本的信息安全素養、網絡和信息安全防護能力以及信息安全應急處置能力等不同層面施行量化考核及評價。

2.統一日常運維操作規程

目前天津財稅系統基層單位信息安全操作規程依托市局提供的信息安全框架進行細化，各單位具體實施細則相互不同，操作規程存在較大差異。同時，基層單位信息資產的采購主要由市局統一進行，技術規格相對統一。相對統一的技術規格與互不相同的運維操作規程之間存在矛盾。因此建議由市局層面發布細化的日常運維體系工作機制，統一基層單位日常運維操作尤其是重點部位如機房的日常運維，讓基層單位有據可循。

3.加強信息安全操作痕跡管理

建立一套科學合理、持續有效的信息安全操作痕跡管理機制并定期自查，保留操作記錄的同時，對良好操作習慣的養成形成正反饋，并依托操作痕跡管理機制，確定信息系統安全現狀，提取安全需求，查找薄弱環節，有針對性地進行整改完善。提高安全防護的有序性、科學性和有效性；同時建立信息資產的全生命周期檔案，對安全設備及系統的運行和維護做好詳細的記錄，便于查閱和參考，以期提升基層信息安全日常管理整體水平。

三、信息安全風險評估與應急管理體系

（一）風險評估與應急管理體系建設總體情況及取得的成效

1.總體情況

天津財稅系統在加快信息化建設和信息系統開發應用的同時，高度重視信息安全風險評估工作，主要從信息安全評估、安全加固、應急響應、安全咨詢、安全事件通告、安全巡檢、安全值守、安全培訓、應急演練等多方面多角度出發，結合財稅系統的實際情況，形成安全規劃、實施、檢查、處置四位一體的長效機制。

風險評估與應急管理體系制度化建設也在穩步推進，制訂并發布了一系列制度標準，包括《天津市財政局（地方稅務局）網絡安全事件綜合應急預案 （試行）》、《運維值班平臺告警處理流程》等。并要求各單位定期舉辦網絡與信息安全異常事件應急演練，以提升緊急情況下的應急處理能力。

2.取得的成效

（1）通過風險評估健全管理策略

通過定期進行安全風險評估，建立健全財稅系統安全管理策略，實現信息安全風險的動態跟蹤分析，為今后財稅系統安全整體規劃提供科學的決策依據，從而加強內部網絡的整體安全防護能力，全面提升信息系統整體安全防范能力，提高網絡與信息安全管理水平。

（2）制定完備安全管理應急預案

從組織架構、教育培訓、應急安全分析、緊急響應服務等方面加強應急事件的處理能力，豐富應急事件處理的措施招法。組織安全管理員教育培訓，為應急事件處理提供人才支撐、知識支撐、技術支撐。

（二）存在的問題

1.制度建設有待完善，缺乏長遠規劃

從全市范圍來看，風險評估與應急體系的內容逐漸豐富，但是制度、規范還不夠細化，結構比較單一，重宏觀輕微觀的現象有所顯現。從基層分局來看，基本上是市局的“修改版”，特色做法缺失，一些基層的鮮活案例總結日常運維體系建設、提煉的不夠，未能形成經驗性的成果，不能為市局制定微觀決策提供科學依據。

同時，風險評估及應急管理體系的整體建設缺乏長遠規劃與目標導向，更新不及時。通過調研來看，天津財稅系統的制度體系能夠按照工作要求推陳出新，但是與信息技術發展的更新步伐還存在一定的差距，特別是基層分局基本上都是按照市局的要求才“被動更新”，主動更新的分局更是少之又少，導致制度建設未能緊跟信息技術發展的步伐，會造成管理制度滯后，與技術管理存在“空檔期”，缺乏管理上的時效性。

2.風險評估工作未能覆蓋基層單位

目前天津財稅系統的安全評估體系范圍比較全面，涉及到網絡信息的各個方面，包括物理環境、網絡結構、應用系統、數據庫、服務器及網絡安全設備的安全性、安全產品和技術的應用狀況以及管理體系是否完善等，同時也包含對管理風險、綜合安全風險以及應用系統安全性進行評估。但是評估工作集中在市局層面，基層分局的科學系統評估工作處于空白狀態，這就直接導致機房建設投入缺乏依據，投入明顯不足，造成了基礎設施與應用系統更新需求不匹配，并且這種不匹配隨著技術的發展越來越明顯。

3.風險評估指標缺乏量化標準

目前的風險評估指標范圍覆蓋全面，但是可操作性停留在宏觀層面，量化不夠深入，可重復測量的指標數量很少，并且未賦予相應的權重，重點部位和項目的重要性未能完全凸顯。比如物理環境、網絡基礎設施等基礎指標關系到整個信息系統的安全，應加強風險評估的權重系數。結合天津信息安全績效考核來看，雖然有一定的量化標準但是可量化指標數目有限，特別是與基礎設置相關的指標缺乏，其實這正是基層分局的 “軟肋”，也在一定程度上制約著信息化的發展水平。

4.評估體系指標設立創新驅動不足

天津財稅系統風險評估指標建立后更多的是在進行定性分析，而在定量分析方面比較匱乏。更加注重技術的防范，而在管理制度的貫徹落實上還有待完善。特別是指標的設立上缺乏創新元素，“互聯網+”的理念還需入腦入心，大數據的思維方式還需養成一種習慣，利用經驗導向驅動向數據導向驅動轉變，將兩者有機結合起來，共同促進風險評估的指標體系建設更具科學性、規范性、系統性。

5.體系建設偏重理論缺乏系統性實踐

天津財稅系統制定了相關完備的應急預警體系和規范的工作機制，但是更多的是在理論層面，真正的應急演練基本上是要求每年至少一次。從調研結果看，在基層分局應急演練結合相關部分的單位不多，只是分局內部自己進行了簡單的應急演練，缺乏與相關部門的配合，與市局的有效銜接也有所缺位。

（三）風險評估與應急管理體系建設對策建議

1.加強基層單位系統風險評估工作

建立面向基層單位信息安全尤其是重點部位的風險評估工作規程，并定期進行評估工作，從而形成面向網絡安全、系統運維、制度建設于一體的評估方法和決策機制。建立創新工作機制，隨著信息技術的發展變化及時更新評估方法和評估指標，逐步完善、逐步提高，形成與信息技術發展同步部署、同步規劃、同步實施、同步更新的信息化工作新格局。

2.科學統籌和協調建設評估體系

隨著技術的進步風險評估體系要及時完善、及時更新，做到風險評估與日常管理、應急管理統籌規劃，做到相互促進、相互提高。天津財稅系統評估體系要從物理環境、網絡運行、服務器設備、應用服務器、數據庫應用等層面協調建設，特別是物理環境要加大管理力度，制定統一規劃，同步建設物理環境，形成市局總體把控，彰顯分局特色的物理環境集群，為風險評估工作做好基礎鋪墊。

3.量化風險評估指標

結合國家相關技術規范和評估標準，在風險評估體系建設和完善的過程中，推進量化指標的使用，提升定量評估的占比，建立評估指標體系，并根據重要程序賦予相關權重，形成指標的分級分類管理，并結合基層分局的實際情況，在市局層面制定科學的評估指標庫，適時建立分層分級管理機制，將普遍與個性化做到盡量均衡。

4.建立體系化機制

建立發現問題、分析問題、解決問題、反饋評估的聯合工作機制，切實將評估結論應用到信息安全管理的實踐當中，突出風險評估工作對于信息安全工作的依據和指導作用，通過風險評估工作落實相關信息安全技術指標，將風險評估工作嵌入到信息安全整體工作體系之中，堅持目標導向，建立體系化聯動機制，注重結果反饋與應用，形成閉環，從整體層面推進信息安全建設。

[1]王世偉.論信息安全、網絡安全、網絡空間安全[J].中國圖書館學報，2015，（3）.

[2]彭勇，江常青，謝豐，戴忠華，熊欺，高洋.工業控制系統信息安全研究進展[J].清華大學學報，2012，（10）.

[3]王小山，楊安，石志強，孫利民.工業控制系統信息安全新趨勢[J].技術研究，2015，（1）.

[4]莊興初.美國信息安全機制研究：網絡主權視角[D].北京：外交學院，2016.

[5]張濤，王玥，黃道麗.信息系統安全治理框架：歐盟的經驗與啟示——基于網絡攻擊視角[J].情報雜志，2016，（8）.

[6]曾忠平.信息安全人因風險研究進展綜述 [J].情報雜志，2014，（4）.

[7]張建鋒.網絡安全態勢評估若干關鍵技術研究 [D].湖南：國防科學技術大學，2013.

[8]馮登國，張敏，李昊.大數據安全與隱私保護[J].計算機學報，2014，（1）.

[9]楊磊.促進我國信息系統應用條件下的信息安全管理研究[D].北京：首都經濟貿易大學，2008.

[10]馮登國，張楊，張玉清.信息安全風險評估綜述[J].通信學報， 2004，（7）.

[11]王延炯.物聯網若干安全問題研究與應用[D].北京：北京郵電大學，2011.

[12]張煥國，王麗娜，杜瑞穎，傅建明，趙波.信息安全學科體系結構研究[J].武漢大學學報（理學版）， 2010，（10）.