国家税务总局电子税务管理中心 处长 李建彬

简介：通过创新网络安全测评方法、构建网络安全风险指标体系、开展网络安全绩效考核，初步形成税务系统网络安全风险管理框架，有效保障税务信息系统安全稳定运行。

目前税收业务已经高度依赖信息化，税收信息系统作为国家重要信息系统之一，已进入快速发展期。网络上运行的关键税收信息系统逐年增多，并呈现出以下发展趋势：一是流程逐渐整合，随着税收管理系统不断发展升级，管理系统流程不断优化。二是服务逐渐延伸，网上办税业务快速发展，为纳税人服务手段不断丰富。三是数据高度集中，信息管税对管理决策提供支撑。四是税收业务专网规模庞大、结构复杂，税务部门与外部单位的联网快速增长。五是税务系统规模庞大，总局、省、市、区、所五级联网，用户量大。随着电子税务的不断发展，税收业务对互联网的依赖程度越来越高，税收信息系统面对的信息安全风险愈发复杂，税务信息系统安全工作面临的挑战更加严峻。一方面，规模庞大、影响广泛的税务信息系统，特别是网上办税系统，可能成为众多网络黑客的攻击目标，外部威胁日益增长。另一方面，税收业务对信息技术的依赖程度逐步提高，数据高度集中，依托互联网运行的业务逐年增多，外部信息交换不断扩展，对税收信息数据的安全性提出了更高的要求。另外，税务系统内部仍存在信息安全隐患，税务工作人员信息安全意识、税务机关应急处置能力、税务网络统合防护能力等都有待进一步提高，以适应税收信息化发展的要求。

　　一、树立风险意识，完善网络安全管理体系

为了有效应对日益严峻网络安全挑战，确保税务信息系统安全稳定运行，实现“网络不能断，系统不能停，数据不能丢”的网络安全管理目标，我们确立了以下信息安全工作方针：以资产保护为核心，以风险管理为主线，以政策法规为准绳。具体说就是：建立税务系统信息安全风险管理体系，落实国家信息安全等级保护、风险评估、应急响应、灾难备份、网络信任等信息安全政策法规，提升税务系统重大信息安全事件的监测、预警和处置能力，保障税务信息系统安全稳定运行，有效降低核心IT资产的安全风险。

信息安全风险管理已成为信息安全保障工作的一个主流范式，它从安全评估出发，落脚于安全控制，将风险评估理论和方法运用到信息系统中，在信息系统的整个生命周期中周期性的、反复的对信息资产的安全进行评估，科学分析信息和信息系统在机密性、完整性、可用性等安全属性方面所面临的安全风险，并在风险的预防、控制、转移和接受之间做出抉择，动态的解决信息安全问题，提高信息系统安全性，保障系统可以利用其所有的资产完成使命。

因此，我们以国家和税务系统的等级保护、风险评估及相关安全管理标准为依据，通过等级保护测评确定信息系统与相应等级安全保护要求之间的安全差距，通过风险评估确定信息系统存在的安全风险并进一步确认哪些风险可以接受、哪些风险不可接受，通过安全检查掌握被评测单位的信息安全总体状况，一方面，通过税务系统信息安全评测工作的开展，总局和各省级税务单位对现有信息系统存在的安全风险、与相应等级安全保护技术要求之间存在的安全差距以及单位的整体信息安全状态有了全面、深入、细致的了解，摸清了税务系统信息安全防护基本情况。税务系统信息安全评测工作的成果包括一系列的信息系统等级测评报告、信息安全风险报告、信息系统安全检查报告、网络漏洞扫描报告、渗透测试报告等，详细剖析了各税务单位和信息系统存在的安全风险和安全差距，在充分考虑现有安全防措施并综合考虑等级保护基本技术要求合规性的基础上提出相应的整改建议，为各税务单位进行信息系统安全整改工作提供了坚实的技术支撑，并形成一个“评测-整改-建设-再评测”螺旋式上升的良性循环机制。另一方面，税务信息系统的建设是一个动态发展的过程。围绕更好地支持和保障税收中心工作，税收信息化建设也处在跨越发展的关键阶段。根据国内外的建设经验，任何一项达到一定规模的信息化建设工程，都要独立地、优先地考虑信息化标准体系和信息化安全体系两大保障体系。经过多年的信息安全评测工作的开展，所发现的我国税务信息化建设的问题和所积累的经验与教训，有利于逐步形成完整、成熟的税务信息安全管理体系。

　　二、创新评测方法，提高网络安全风险识别效能

风险识别是网络安全风险管理的重要环节，是网络安全保障的基础性工作。当前网络安全风险识别主要是通过落实国家关于风险评估、等保测评和安全检查工作要求来实现的。为了提高税务系统网络安全风险识别效能，降低基层单位信息安全管理工作压力，我们提出了以信息系统信息安全风险管理为主线，采用安全检查、等级保护测评和风险评估等数据采集方式，辅助以安全等级保护测评和风险评估的数据分析方法，得到以下结果：

(1)以税务系统信息安全等级保护基本要求为依据，通过等级保护测评的分析方法找到信息系统的安全差距；

(2)通过风险评估的分析方法确定安全差距是否存在风险，进一步确认哪些安全差距的风险是可以接受的，哪些安全差距的风险是不可接受的；

(3)通过综合分析方法，对安全检查的结果进行总结、提炼与升华，形成对被评测单位信息安全整体情况的判定。

为保证信息安全评测工作的科学性和准确性，提高国家税务系统信息安全评测工作的水准，在《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》、《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》等国家标准的基础上，我们先后组织相关领域的专家，结合税务行业自身业务特点、信息化建设情况和特殊安全需求，在不低于国家标准要求的基础上，先后制定了《税务系统信息安全等级保护基本要求》、《税务信息系统安全等级保护实施指南》、《税务系统信息安全等级保护测评准则》、《税务信息系统等级保护安全设计技术要求》、《税务系统网络与信息安全风险评估工作管理规定(试行稿)》、《税务系统网络与信息安全管理岗位及其职责(试行稿)》、《税务系统网络与信息安全总体策略》、《税务系统网络与信息安全风险评估工作管理规定(试行稿)》、《税务系统电子数据处理管理办法(试行)》、《税务系统网络与信息安全防护体系运行维护管理办法(试行)》、《税务系统网络与信息系统应急响应工作指南(试行)》、《税务系统网络与信息安全事件分级分类指南(试行)》等一系列行业标准，为我们的网络安全评测方法提供了基本的技术依据。

(责任编辑：安博涛)