关于基层财税部门网络与信息安全的调查和研究

沈进棋

摘 要：本文笔者根据所在财政地税部门的网络与信息安全建设现状，客观分析了来自设备环境、网络结构和网络管理等方面的风险，提出通过加强安全宣传和培训、加大网络规划和投入、完善制度建设和管理、深入开展信息安全等级保护等工作，全面提升基层财税部门的网络与信息安全整体保障水平。

关键词：财税部门 网络 信息安全 调查研究

中图分类号：TP3 文献标识码：A 文章编号：1672-3791（2014）02（a）-0035-02

随着财政、地税和国资业务的不断应用和发展，我局的财税网络已从最初的纯内部系统的局域网，逐步扩大到上联省财政厅、省地税局，下联各税务分局、各乡镇财政所的三级纵向网络；从财税系统内部网络，逐步扩大到各预算单位、非税执收单位、各银行和工商国税社保等数据共享交换部门的横向互联互通的开放型网络。开放型的网络，对于我们的财税工作带来便捷的同时，也使我们的信息安全面临严峻的考验。如何有效的建设和管理我局的财税网络，提高系统的可靠性、安全性和完整性，确保网络与信息安全，是我们要考虑的首要问题。

1 我局网络与信息安全建设现状

在网络设备和架构方面：我局的财税内部网络以一台思科4006三层交换机为核心（如图1所示），通过三台防火墙将整个网络划分为服务器区、内联区、办公区和外联区。服务器区主要为各类财政、地税和国资信息系统服务器，通过一台防火墙进行安全防护；内联区为连接省财政厅、省地税局、各基层分局、便民中心和部分银行区域；外联区通过百兆防火墙连接财务专网、政务网等，并增设一道防火墙，用以通过VPN设备接入我局内部网络的二级行政事业单位（如图1）。

在信息安全制度和管理方面：一是信息安全组织机构健全，成立以局长为组长的网络与信息安全领导小组，设立单位专职信息安全员且设置AB岗。二是制度建设较为完备，制定出台了《计算机机房管理制度》等制度，并实现《计算机网络与信息安全管理责任状》的全覆盖签订。三是信息安全防护管理较为规范。通过双主机方式实现因特网和内网的物理隔离，部署防火墙、入侵检测系统和漏洞扫描等系统，定期对安全产品进行巡检和开展应急演练等工作。

2 网络与信息安全风险分析

尽管我局的网络与信息安全建设在近几年扎实有效推进，但由于财政、地税和国资业务的迅速发展，对网络的性能和扩展性要求越来越高，再加上核心设备比较陈旧，现有资源濒于耗尽，来自各方面的网络与信息安全风险形势严峻。

2.1 来自设备环境方面的风险

一是核心设备存在单点故障且使用年限已久。核心交换机、内网防火墙和服务器防火墙都是单机单链路配置，任何上述设备的故障都会导致整个网络崩溃。部分核心设备使用年限已久，远远超出维保期限，出现故障概率较大。二是核心设备性能和扩展性存在严重瓶颈。核心交换机思科 4006购置于2003年，整体性能已无法承受我局系统业务处理的需求。三是网络机房UPS供电和温湿度环境方面的风险。我局网络机房均为单路UPS供电和单台空调控温，未配备环境监控系统，一旦出现故障，将会延误处理。

2.2 来自网络结构方面的风险

目前内联和外联单位均接在同一个防火墙下，与内网未严格隔离，不少银行单位更是直接与核心交换机直连，给我局内网安全构成严重的安全威胁。

一是来自政务网等外联单位的风险。目前我局网络与政务网、国税、社保、便民中心和市内11家银行均有专网互联，由于网络设备资源问题，甚至有部分银行临时接在了核心交换机上，这些外联单位对我局的网络安全带来较大的风险。二是来自财务专网接入单位的风险。因国库集中支付和乡镇财务管理的需要，我局财务专网延伸到了各行政事业单位和乡镇财办，专网点数达100多个，这些专网接入单位的终端计算机等同于我局内网终端计算机，可通过核心交换机访问我局服务器资源，但由于其分散在各个部门和乡镇，给我们的管理带来较大的困难。三是来自VPN拨号接入单位的风险。为解决专网建设成本高的问题，我局于2009年购置天融信SSL VPN设备，作为部分二级行政事业单位的财务专网接入，该设备一旦出现故障，将直接影响通过该设备接入单位的系统应用，存在较大的单点风险。

2.3 来自网络管理方面的风险

一是操作人员安全意识和技术缺乏带来的风险。操作人员对于信息安全没有太多的认识和技能，有的甚至认为网络与信息安全仅仅是技术部门的事，于己无关。二是制度不完善和执行不到位带来的风险。由于信息技术的不断发展，出现了很多新技术和新产品，容易出现制度文件的漏洞和执行不到位情况。三是技术防护策略不严密带来的风险。我局在网络安全方面投入了较多的设备，如防火墙、VPN、防病毒软件，IDS等，但这些产品的功能比较分散，形成了相互没有关联的、隔离的安全孤岛，相互之间没有有效统一的管理调度机制，从而使其应用效能无法得到充分的发挥。

3 网络与信息安全建设的对策与措施

针对我局的网络现状和存在的上述网络与信息安全风险，提出如下对策和措施，以全面提升我局的网络与信息安全整体保障水平。

3.1 加强安全宣传和培训，提升防范意识和技术能力

（1）加强全员宣传培训，增强防范意识和责任意识。进一步加强网络与信息安全知识的宣传和培训，完善培训机制、拓展培训内容、丰富培训和宣传的方式，使系统广大干部掌握常见的网络与信息安全知识和防范技能，提高信息安全问题的处置能力。

（2）加强网络技术人员培养和激励，提升专业技术能力和工作积极性。如果没有专业技术人员进行安全策略配置、日常监控管理，安全产品即使再多再先进，也只能是一种摆设，技术人员的水平高低将直接影响一个单位的网络防护能力，因此，需要进一步加强专业技术人员的引进和培养，使其掌握较强的专业技能。同时，由于专业技术人员工作的特殊性，需要其经常牺牲休息时间加班加点进行系统调试和配置优化等工作，有必要进一步完善针对技术人员的激励制度，以增加其工作的积极性。endprint

3.2 加强网络规划和投入，提升系统自身免疫能力

针对我局网络设备和架构现状，我们提出如下改造目标：消除核心设备单点故障，实现核心交换设备的虚拟化，架设千兆基础的主干网络，合理划分安全等级区域，满足可预期内视频等各种高数据流量信号的网络运行要求，提高网络总体运行水平和故障应对能力（见图2）。

通过加大硬件设备的投入，并整合利用现有资源，对整个内网网络作如下改造（改造后的网络拓扑如图2所示）：根据各区域安全防护级别不同，分别设置核心区、外联区、内联区、服务器区和办公区等区域。一是在核心区新购置2台核心交换机（含防火墙模块）做虚拟化方案，替代原有的思科4006交换机，消除核心设备单点故障；同时在该区域部署IDS、IPS、漏洞扫描和桌面终端管理平台等安全产品。二是在外联区新购置2台千兆防火墙通过双机热备作为外联区防火墙，并在网闸的配合下，隔离外联单位，新增一台VPN设备做双机热备。三是在办公区新购置4台二层交换机作为机关大院各楼宇的汇聚层交换机，实现主干网络的千兆架构。通过合理的规划、设备的投入和安全产品的整合，建立一个完整的、立体的、多层次的网络安全防御体系，进一步提升网络系统自身的免疫能力。

3.3 加强制度建设和执行，建立信息安全运维体系

信息安全防护“三分靠技术，七分靠管理”，再好的信息安全防护系统，如果没有好的管理制度、管理策略和运维体系相配套，也是形同虚设。

一是建立健全网络安全制度体系。要针对网络与信息安全的薄弱环节、关键环节和容易忽视的环节，制定、修改和完善具有较强操作性的制度，通过制度来强化信息安全。建立健全机房安全、系统运行、人员管理、密码口令、网络通信、数据管理等网络与信息安全管理制度，提高安全防范水平。

二是建立网络安全管理联动机制。实行网络安全管理的“三级联动模式”，即计算机使用人员、分局计算机管理员和市局专业技术人员三者联动，充分发挥分局计算机管理员作用，使其做好所在单位的网络与信息安全日常维护工作，缩短计算机和网络故障的处理时间。

三是强化日常维护和监督管理。加强网络设备的日常运行维护，定期开展设备保养，对设备运行中存在的隐患及时了解和掌握，排除存在的不安全因素和故障，变运行维护工作由“事后救火”为“日常保健”。加强网络与信息安全的日常监督管理，定期或不定期的开展网络巡查，及时发现干部职工在网络与信息安全方面的违规行为，防微杜渐，变“事后处理”为“事先预防”。

3.4 加强等级保护定级和整改，全面提升系统安全等级

开展等级保护工作，对于进一步完善我局信息安全制度体系，规范信息安全管理，增强信息系统安全保护的整体性、针对性具有非常重要的意义。

一是合理划分信息系统等级。针对我局各类信息系统种类多的特点，根据不同信息系统的业务类型、应用或服务范围和系统结构等基本情况，合理确定信息系统的安全等级并向公安机关备案。

二是认真做好等级保护测评和整改工作。根据公安部门备案审核结果，选择具有国家相关资质的测评机构，对我局的信息系统进行等保测评，并根据测评结果进行整改落实。

三是定期开展自查和接受公安部门检查。定期对信息系统安全状况、安全保护制度及措施落实情况开展自查和接受检查，对未达到相应等级保护要求的，及时进行整改。通过信息安全等级保护工作，全面提升我局的信息安全保障能力和整体水平。

参考文献

[1] 高长永.计算机网络安全问题及其防范措施[J].网络安全技术与应用，2013（11）.

[2] 高金锁.浅谈计算机网络信息安全与防范[J].电子技术与软件工程，2013（17）.

[3] GB/T 22239-2008信息系统安全等级保护基本要求[Z].endprint

3.2 加强网络规划和投入，提升系统自身免疫能力

针对我局网络设备和架构现状，我们提出如下改造目标：消除核心设备单点故障，实现核心交换设备的虚拟化，架设千兆基础的主干网络，合理划分安全等级区域，满足可预期内视频等各种高数据流量信号的网络运行要求，提高网络总体运行水平和故障应对能力（见图2）。

通过加大硬件设备的投入，并整合利用现有资源，对整个内网网络作如下改造（改造后的网络拓扑如图2所示）：根据各区域安全防护级别不同，分别设置核心区、外联区、内联区、服务器区和办公区等区域。一是在核心区新购置2台核心交换机（含防火墙模块）做虚拟化方案，替代原有的思科4006交换机，消除核心设备单点故障；同时在该区域部署IDS、IPS、漏洞扫描和桌面终端管理平台等安全产品。二是在外联区新购置2台千兆防火墙通过双机热备作为外联区防火墙，并在网闸的配合下，隔离外联单位，新增一台VPN设备做双机热备。三是在办公区新购置4台二层交换机作为机关大院各楼宇的汇聚层交换机，实现主干网络的千兆架构。通过合理的规划、设备的投入和安全产品的整合，建立一个完整的、立体的、多层次的网络安全防御体系，进一步提升网络系统自身的免疫能力。

3.3 加强制度建设和执行，建立信息安全运维体系

信息安全防护“三分靠技术，七分靠管理”，再好的信息安全防护系统，如果没有好的管理制度、管理策略和运维体系相配套，也是形同虚设。

一是建立健全网络安全制度体系。要针对网络与信息安全的薄弱环节、关键环节和容易忽视的环节，制定、修改和完善具有较强操作性的制度，通过制度来强化信息安全。建立健全机房安全、系统运行、人员管理、密码口令、网络通信、数据管理等网络与信息安全管理制度，提高安全防范水平。

二是建立网络安全管理联动机制。实行网络安全管理的“三级联动模式”，即计算机使用人员、分局计算机管理员和市局专业技术人员三者联动，充分发挥分局计算机管理员作用，使其做好所在单位的网络与信息安全日常维护工作，缩短计算机和网络故障的处理时间。

三是强化日常维护和监督管理。加强网络设备的日常运行维护，定期开展设备保养，对设备运行中存在的隐患及时了解和掌握，排除存在的不安全因素和故障，变运行维护工作由“事后救火”为“日常保健”。加强网络与信息安全的日常监督管理，定期或不定期的开展网络巡查，及时发现干部职工在网络与信息安全方面的违规行为，防微杜渐，变“事后处理”为“事先预防”。

3.4 加强等级保护定级和整改，全面提升系统安全等级

开展等级保护工作，对于进一步完善我局信息安全制度体系，规范信息安全管理，增强信息系统安全保护的整体性、针对性具有非常重要的意义。

一是合理划分信息系统等级。针对我局各类信息系统种类多的特点，根据不同信息系统的业务类型、应用或服务范围和系统结构等基本情况，合理确定信息系统的安全等级并向公安机关备案。

二是认真做好等级保护测评和整改工作。根据公安部门备案审核结果，选择具有国家相关资质的测评机构，对我局的信息系统进行等保测评，并根据测评结果进行整改落实。

三是定期开展自查和接受公安部门检查。定期对信息系统安全状况、安全保护制度及措施落实情况开展自查和接受检查，对未达到相应等级保护要求的，及时进行整改。通过信息安全等级保护工作，全面提升我局的信息安全保障能力和整体水平。

参考文献

[1] 高长永.计算机网络安全问题及其防范措施[J].网络安全技术与应用，2013（11）.

[2] 高金锁.浅谈计算机网络信息安全与防范[J].电子技术与软件工程，2013（17）.

[3] GB/T 22239-2008信息系统安全等级保护基本要求[Z].endprint

3.2 加强网络规划和投入，提升系统自身免疫能力

针对我局网络设备和架构现状，我们提出如下改造目标：消除核心设备单点故障，实现核心交换设备的虚拟化，架设千兆基础的主干网络，合理划分安全等级区域，满足可预期内视频等各种高数据流量信号的网络运行要求，提高网络总体运行水平和故障应对能力（见图2）。

通过加大硬件设备的投入，并整合利用现有资源，对整个内网网络作如下改造（改造后的网络拓扑如图2所示）：根据各区域安全防护级别不同，分别设置核心区、外联区、内联区、服务器区和办公区等区域。一是在核心区新购置2台核心交换机（含防火墙模块）做虚拟化方案，替代原有的思科4006交换机，消除核心设备单点故障；同时在该区域部署IDS、IPS、漏洞扫描和桌面终端管理平台等安全产品。二是在外联区新购置2台千兆防火墙通过双机热备作为外联区防火墙，并在网闸的配合下，隔离外联单位，新增一台VPN设备做双机热备。三是在办公区新购置4台二层交换机作为机关大院各楼宇的汇聚层交换机，实现主干网络的千兆架构。通过合理的规划、设备的投入和安全产品的整合，建立一个完整的、立体的、多层次的网络安全防御体系，进一步提升网络系统自身的免疫能力。

3.3 加强制度建设和执行，建立信息安全运维体系

信息安全防护“三分靠技术，七分靠管理”，再好的信息安全防护系统，如果没有好的管理制度、管理策略和运维体系相配套，也是形同虚设。

一是建立健全网络安全制度体系。要针对网络与信息安全的薄弱环节、关键环节和容易忽视的环节，制定、修改和完善具有较强操作性的制度，通过制度来强化信息安全。建立健全机房安全、系统运行、人员管理、密码口令、网络通信、数据管理等网络与信息安全管理制度，提高安全防范水平。

二是建立网络安全管理联动机制。实行网络安全管理的“三级联动模式”，即计算机使用人员、分局计算机管理员和市局专业技术人员三者联动，充分发挥分局计算机管理员作用，使其做好所在单位的网络与信息安全日常维护工作，缩短计算机和网络故障的处理时间。

三是强化日常维护和监督管理。加强网络设备的日常运行维护，定期开展设备保养，对设备运行中存在的隐患及时了解和掌握，排除存在的不安全因素和故障，变运行维护工作由“事后救火”为“日常保健”。加强网络与信息安全的日常监督管理，定期或不定期的开展网络巡查，及时发现干部职工在网络与信息安全方面的违规行为，防微杜渐，变“事后处理”为“事先预防”。

3.4 加强等级保护定级和整改，全面提升系统安全等级

开展等级保护工作，对于进一步完善我局信息安全制度体系，规范信息安全管理，增强信息系统安全保护的整体性、针对性具有非常重要的意义。

一是合理划分信息系统等级。针对我局各类信息系统种类多的特点，根据不同信息系统的业务类型、应用或服务范围和系统结构等基本情况，合理确定信息系统的安全等级并向公安机关备案。

二是认真做好等级保护测评和整改工作。根据公安部门备案审核结果，选择具有国家相关资质的测评机构，对我局的信息系统进行等保测评，并根据测评结果进行整改落实。

三是定期开展自查和接受公安部门检查。定期对信息系统安全状况、安全保护制度及措施落实情况开展自查和接受检查，对未达到相应等级保护要求的，及时进行整改。通过信息安全等级保护工作，全面提升我局的信息安全保障能力和整体水平。

参考文献

[1] 高长永.计算机网络安全问题及其防范措施[J].网络安全技术与应用，2013（11）.

[2] 高金锁.浅谈计算机网络信息安全与防范[J].电子技术与软件工程，2013（17）.

[3] GB/T 22239-2008信息系统安全等级保护基本要求[Z].endprint