网络安全新常态下天津财税系统信息安全综合管理体系研究

◎文/课题组

2016年11月，全国人大常委会通过 《中华人民共和国网络安全法》（以下简称《网络安全法》）。《网络安全法》为现有网络信息安全工作提供了法律依据，也是未来天津财政地税系统网络信息安全建设的基础性依据。“互联网+”和大数据的普及与应用，构成了信息安全建设新的外在环境和宏观背景；《网络安全法》的颁布，构成了政府部门信息安全建设的法律基础和制度框架；新的宏观背景与法律规制相结合，形成了当今我国的网络安全新常态。

一、信息安全组织架构及职能体系

（一）天津地税网络安全组织体系建设情况

1.体系架构

天津地税现行的网络和信息安全管理体系是天津市地方税务局（以下简称市局）集中控制和统一规范管理的模式，从市局到各区地税局、市局直属单位呈现出信息部门归口管理和分层管理相结合的特点。

天津地税的网络和信息安全涉及多个业务系统，包括核心征管系统、门户网站、12366系统、邮件系统等30余个信息系统，分属于办公室、行财处、税口各业务处室、稽查局等多个部门日常应用。各业务部门根据具体职能的不同，负责对一套或多套的业务信息系统的日常使用管理，市局信息化处统一归口管理相关系统的网络和信息安全事项。

2.人员构成

网络安全和信息化领导小组是天津地税系统的信息安全工作的最高领导机构，组长由天津市地税局局长担任，副组长由分管信息化工作的局长担任，小组成员由保障部门（办公室、法制处、行财处）、信息安全的主管及实施部门（信息化处、信息中心）和重点信息系统的主要应用处室（监督处、预算处、国库处、征管处和收入规划核算处）的主要负责同志构成。

3.机构职能

（1）网络和信息化领导小组

总体职能为统一领导天津税务系统的信息化建设、网络安全和日常信息化工作。

（2）网络安全和信息化办公室

负责综合协调财税系统网络安全应急工作，履行应急值守、信息汇总综合协调职能，发挥网络安全应急管理作用。

（3）网络安全应急办公室

主要职能为网络安全事件的应急和协调处理。

（二）现行信息安全组织体系的特点

1.“工作小组+主管部门”的管理机制

网络安全和信息化领导小组是天津地税系统信息安全工作的最高领导机构，领导小组下设办公室和网络安全应急办公室，网络安全应急办公室下设多个专项工作组，负责各个业务系统的具体网络安全事项。

2.“科层化”两级的组织架构

“科层化”是指市局和基层单位之间具有显著的上下级隶属关系。市局是制度的设计、规划和制定者，基层单位是制度的执行、落实和反馈者。

3.五级的职能实现体系

天津地方税务局网络安全和信息化的职能体系的构建和规范采用了五层的结构，从宏观到具体依次为：总体策略—管理办法—实施规范—流程细则—记录表单。通过自上而下的目标分解，既保证了体系构建的规范性，也加强了安全管理目标的可实现性。

4.内、外部人员管理制度完备

为确保人为的网络安全因素的可靠性，通过《天津市财政局（地方税务局）人员安全管理办法》、《天津市财政局（地方税务局）外部信息技术服务人员管理规定》等制度，从人员的录用、任职、转岗、离职、信息设备访问、开发人员管理等方面入手，建立了完备的人员管理制度体系。

（三）现行信息安全组织体系存在的问题

1.缺乏专职机构及人员

工作小组是从各部门抽调人员组成的临时议事或者办事机构，且缺乏明确议事规则。工作小组的成员一般分布在各个业务部门中，“业务工作”是工作的核心，“网络安全”是一种兼职，导致成员很难在繁杂的业务工作中抽出时间主动发现网络安全问题。

2.“自行管理”、“自我监督”

现行的信息安全工作是信息化整体工作的一项子内容，由信息技术部门统一负责网络安全的管理。但对信息安全而言，个人的操作安全是很小的一部分，更多的还是涉及到信息系统的运维安全。因此在“自我监督”的方式下，制度执行往往难以达到预期效果。

3.缺乏完善的个人安全责任考评制度和意识培养体系

现行的信息安全培训工作主要侧重于对专业人员的技术培养，对于使用业务系统的普通用户信息安全教育和意识培养存在严重不足。同时，目前的网络安全考核是针对单位的，缺乏对工作人员的个人考核制度。

4.网络安全体策略的细化和持续改进存在不足

框架性制度较完备，但细化较少。在“流程细则”层级上，现有制度缺乏明确的奖惩措施，责任认定条款界限模糊，具体责任认定存在困难；在“实施规范”层级上，缺乏人员培训考核计划和管理等规范制度；在 “管理办法”层级上，缺乏定期的内部审计机制，缺少对制度修订、检查和落实的持续性改进的相关规定，部分基本制度已多年未修订，相关规定已无法与目前的工作有效衔接。

（四）组织架构及职能体系改进建议

1.落实网络与信息安全责任制

落实责任制的重点在于责任的明晰与安全意识的培养。在工作实践中，没有人会主动认领责任，所以责任制的条款规定必须是明确而清晰的。单位的责任和个人的责任要界定清晰。责任制的建立应当包含所有的网络应用参与者，而不仅仅是系统运营的管理者。应当提高所有网络应用参与者的责任意识，通过信息安全责任与惩罚机制的联系，并加以持续的宣传，从而引导相关人员养成良好的安全意识。

2.改进网络安全运行机制

将“监管者”和“运营者”分开，可以有效的解决自我监管的不足。

3.建立分级分类的网络安全意识培养体系

信息安全的培训应当实现对所有参与者的全覆盖，包括各级信息系统的负责人、管理人员、使用人员、开发人员等。在培训过程中需要注意的是，不同的人员对于培训内容的需求是存在很大差异的，因此在培训中应根据不同的培训对象分级分类进行。

4.成立专门部门负责网络安全评估、检查和改进

建议引入第三方的安全评估机构定期对天津地税系统的网络安全状况进行全面的检查，评估组织管理、技术应用、应急处理和协调沟通机制的联动情况是否符合信息安全的要求。

建议在现有的网络安全和信息化领导小组下，设立专门的信息安全检查和持续改进小组，专门负责信息安全的检查和持续改进工作，建立和完善天津地税系统重点信息系统的检查和改进制度，持续动态的调整信息安全策略和控制措施，保证天津地税信息系统能够安全有效运行。

5.建立和完善安全考核评价体系

考核体系的构建需要重点考虑两方面的内容：一是赋予一个机构明确的职责，负责制定具体的考核政策和管理策略，并确保相关政策可以有效传达和落实；二是建立完整的考核指标体系。考核指标体系的设计可以分为三个层级：第一层是基本的信息安全素养，具体又可分为网络应用能力和信息安全意识两个部分；第二层是网络和信息安全防护能力，包括基本操作规范、保密意识、恶意攻击防范等；第三层是信息安全应急处置能力，考核的重点是对本单位信息安全应急管理制度的认知能力、对突发事件的应急处理能力。

二、信息安全日常管理体系

本部分内容选取河东区地方税务局 （以下简称河东地税）作为研究案例，深入分析基层税务机关日常信息安全管理工作的现状和存在的主要问题，通过对问题原因的剖析，探讨解决这些问题的思路。

（一）河东地税信息安全现状与主要特点

1.河东地税信息安全现状概述

河东地税的信息系统主要由个人计算机、打印机、服务器、网络设备以及连接的网络组成。网络系统分为内网区和外网区。内网联通各级税务机关，税务干部通过内网访问内部各种应用。内网通过市局、总局与人民银行等第三方实现互联；外网主要用于税务干部日常访问互联网。

2.河东地税信息安全的主要特点

（1）上级指导，统一管理

（2）数据在市局（总局）集中处理和储存

（二）河东地税日常信息安全管理工作的主要做法

1.制度及工作机制建设

（1）组织机构

按照市局信息安全工作有关要求，成立“网络安全与信息化工作领导小组”并下设办公室，小组组长由一把局长担任，其他班子成员为副组长，各综合科室主要负责人为成员的，分管信息化工作的副局长任办公室主任，信息科科长、办公室主任任副主任、各部门副职任办公室成员。全面负责全局网络信息安全及信息化建设工作。

建立一把手负总责，分管信息化工作的副局长主抓，信息科具体负责，形成 “信息科—兼职信息安全员—全局干部”自上而下分级管理，各负其责的工作机制。

（2）制度建设

在总局、市局信息安全管理制度体系内，结合自身实际情况，建立适应本单位的信息安全管理制度。先后制定下发 《计算机信息系统及网络安全保密管理制度》、《网络与网络安全应急保障工作综合预案》、《计算机机房管理制度》、《电教室管理制度》、《信息技术科管理员职责》、《科所计算机管理员职责》、《网站管理办法》、《安全接入和上网行为管理系统安全策略配置管理办法》、《业务岗位权限管理办法》等一系列制度规定。严格按照既定的管理制度和市局的信息安全工作要求加强日常的教育、管理、监督和检查。

2.日常运维体系建设

（1）重点部位巡查及自查

建立机房巡检和登记制度。每天早、中、晚各巡检一次，密切关注机房环境和设备运行情况，做好巡检记录，遇到突发情况及时触发应急预案。外来人员访问机房要有相关人员陪同，详细登记进入时间、事由、人员并签字确认。

在局网络与信息安全领导小组领导下，定期对日常信息安全管理工作进行自查，从制度建设、组织保障、教育培训、信息资产、安全防护、数据安全、网络防护、应急保障等方面制定详细的检查清单，查找薄弱环节和安全隐患，对发现的问题制定整改措施，堵塞安全漏洞，织密信息安全防护网。

（2）权限管理与数据安全

系统权限管理实行业务主管部门和信息部门双重把关、严格规范管理、相互监督的工作机制。需求部门填写《权限设置修改单》，逐级审批，由信息部门完成权限配置和修改。实现权限管理痕迹化，可追溯。

加强用户口令管理。对所有计算机终端设置开机密码、屏保密码，杜绝非税务人员接触内网计算机。要求税务人员离开工位必须锁屏。业务系统密码长度和复杂度要符合安全规定，并定期更换。严禁将本人用户口令借与他人使用。

（3）数据备份操作规程

对于基层税务机关自行管理的税收数据，制定数据备份的规则和程序，规范备份的时间、内容、访问控制。由专人负责进行定期备份，并将备份数据与数据源隔离存储，确保备份数据存储安全。

（三）存在的问题

1.信息安全制度和规定落实不力

由于人为原因，部分终端安全防护措施形同虚设，业务资料，私人信息混用；开机口令、业务系统口令不按规定进行设置和定期更换等。

2.信息安全管理机制不健全

一是基层税务机关信息安全管理力量薄弱，少有信息安全管理专职人员，缺乏科学指导，管理手段单一；二是信息安全管理缺位，管理职责难落实，仅依靠信息部门，未建立起跨部门协作机制。

3.数据安全存在隐患

一是基层用户保密意识不强，为方便工作，将账号口令与他人共享或借与他人；二是各应用系统岗责体系不规范，如果操作员越权修改系统信息，很难及时发现；三是数据备份方式单一，备份文件的有效性难以保证。

（四）日常运维体系改进建议

1.加强信息安全组织机构建设

组织架构及职能体系建设是完善信息安全日常管理体系的基础。因此意见建议部分首先考量上文论述的完善组织机构及职能体系的相关建议。具体包括：一是落实网络和信息安全责任制，推进责任落实到人，引进责任追究及惩罚机制，严格信息安全绩效考评管理，提高制度执行刚性；二是建立分级分类的信息安全培养机制，信息安全意识培养全覆盖，并根据不同岗位类型和岗位性质涉及有针对性的培训内容；三是建立健全安全考核评价体系，对基本的信息安全素养、网络和信息安全防护能力以及信息安全应急处置能力等不同层面施行量化考核及评价。

2.统一日常运维操作规程

目前天津财税系统基层单位信息安全操作规程依托市局提供的信息安全框架进行细化，各单位具体实施细则相互不同，操作规程存在较大差异。同时，基层单位信息资产的采购主要由市局统一进行，技术规格相对统一。相对统一的技术规格与互不相同的运维操作规程之间存在矛盾。因此建议由市局层面发布细化的日常运维体系工作机制，统一基层单位日常运维操作尤其是重点部位如机房的日常运维，让基层单位有据可循。

3.加强信息安全操作痕迹管理

建立一套科学合理、持续有效的信息安全操作痕迹管理机制并定期自查，保留操作记录的同时，对良好操作习惯的养成形成正反馈，并依托操作痕迹管理机制，确定信息系统安全现状，提取安全需求，查找薄弱环节，有针对性地进行整改完善。提高安全防护的有序性、科学性和有效性；同时建立信息资产的全生命周期档案，对安全设备及系统的运行和维护做好详细的记录，便于查阅和参考，以期提升基层信息安全日常管理整体水平。

三、信息安全风险评估与应急管理体系

（一）风险评估与应急管理体系建设总体情况及取得的成效

1.总体情况

天津财税系统在加快信息化建设和信息系统开发应用的同时，高度重视信息安全风险评估工作，主要从信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练等多方面多角度出发，结合财税系统的实际情况，形成安全规划、实施、检查、处置四位一体的长效机制。

风险评估与应急管理体系制度化建设也在稳步推进，制订并发布了一系列制度标准，包括《天津市财政局（地方税务局）网络安全事件综合应急预案 （试行）》、《运维值班平台告警处理流程》等。并要求各单位定期举办网络与信息安全异常事件应急演练，以提升紧急情况下的应急处理能力。

2.取得的成效

（1）通过风险评估健全管理策略

通过定期进行安全风险评估，建立健全财税系统安全管理策略，实现信息安全风险的动态跟踪分析，为今后财税系统安全整体规划提供科学的决策依据，从而加强内部网络的整体安全防护能力，全面提升信息系统整体安全防范能力，提高网络与信息安全管理水平。

（2）制定完备安全管理应急预案

从组织架构、教育培训、应急安全分析、紧急响应服务等方面加强应急事件的处理能力，丰富应急事件处理的措施招法。组织安全管理员教育培训，为应急事件处理提供人才支撑、知识支撑、技术支撑。

（二）存在的问题

1.制度建设有待完善，缺乏长远规划

从全市范围来看，风险评估与应急体系的内容逐渐丰富，但是制度、规范还不够细化，结构比较单一，重宏观轻微观的现象有所显现。从基层分局来看，基本上是市局的“修改版”，特色做法缺失，一些基层的鲜活案例总结日常运维体系建设、提炼的不够，未能形成经验性的成果，不能为市局制定微观决策提供科学依据。

同时，风险评估及应急管理体系的整体建设缺乏长远规划与目标导向，更新不及时。通过调研来看，天津财税系统的制度体系能够按照工作要求推陈出新，但是与信息技术发展的更新步伐还存在一定的差距，特别是基层分局基本上都是按照市局的要求才“被动更新”，主动更新的分局更是少之又少，导致制度建设未能紧跟信息技术发展的步伐，会造成管理制度滞后，与技术管理存在“空档期”，缺乏管理上的时效性。

2.风险评估工作未能覆盖基层单位

目前天津财税系统的安全评估体系范围比较全面，涉及到网络信息的各个方面，包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等，同时也包含对管理风险、综合安全风险以及应用系统安全性进行评估。但是评估工作集中在市局层面，基层分局的科学系统评估工作处于空白状态，这就直接导致机房建设投入缺乏依据，投入明显不足，造成了基础设施与应用系统更新需求不匹配，并且这种不匹配随着技术的发展越来越明显。

3.风险评估指标缺乏量化标准

目前的风险评估指标范围覆盖全面，但是可操作性停留在宏观层面，量化不够深入，可重复测量的指标数量很少，并且未赋予相应的权重，重点部位和项目的重要性未能完全凸显。比如物理环境、网络基础设施等基础指标关系到整个信息系统的安全，应加强风险评估的权重系数。结合天津信息安全绩效考核来看，虽然有一定的量化标准但是可量化指标数目有限，特别是与基础设置相关的指标缺乏，其实这正是基层分局的 “软肋”，也在一定程度上制约着信息化的发展水平。

4.评估体系指标设立创新驱动不足

天津财税系统风险评估指标建立后更多的是在进行定性分析，而在定量分析方面比较匮乏。更加注重技术的防范，而在管理制度的贯彻落实上还有待完善。特别是指标的设立上缺乏创新元素，“互联网+”的理念还需入脑入心，大数据的思维方式还需养成一种习惯，利用经验导向驱动向数据导向驱动转变，将两者有机结合起来，共同促进风险评估的指标体系建设更具科学性、规范性、系统性。

5.体系建设偏重理论缺乏系统性实践

天津财税系统制定了相关完备的应急预警体系和规范的工作机制，但是更多的是在理论层面，真正的应急演练基本上是要求每年至少一次。从调研结果看，在基层分局应急演练结合相关部分的单位不多，只是分局内部自己进行了简单的应急演练，缺乏与相关部门的配合，与市局的有效衔接也有所缺位。

（三）风险评估与应急管理体系建设对策建议

1.加强基层单位系统风险评估工作

建立面向基层单位信息安全尤其是重点部位的风险评估工作规程，并定期进行评估工作，从而形成面向网络安全、系统运维、制度建设于一体的评估方法和决策机制。建立创新工作机制，随着信息技术的发展变化及时更新评估方法和评估指标，逐步完善、逐步提高，形成与信息技术发展同步部署、同步规划、同步实施、同步更新的信息化工作新格局。

2.科学统筹和协调建设评估体系

随着技术的进步风险评估体系要及时完善、及时更新，做到风险评估与日常管理、应急管理统筹规划，做到相互促进、相互提高。天津财税系统评估体系要从物理环境、网络运行、服务器设备、应用服务器、数据库应用等层面协调建设，特别是物理环境要加大管理力度，制定统一规划，同步建设物理环境，形成市局总体把控，彰显分局特色的物理环境集群，为风险评估工作做好基础铺垫。

3.量化风险评估指标

结合国家相关技术规范和评估标准，在风险评估体系建设和完善的过程中，推进量化指标的使用，提升定量评估的占比，建立评估指标体系，并根据重要程序赋予相关权重，形成指标的分级分类管理，并结合基层分局的实际情况，在市局层面制定科学的评估指标库，适时建立分层分级管理机制，将普遍与个性化做到尽量均衡。

4.建立体系化机制

建立发现问题、分析问题、解决问题、反馈评估的联合工作机制，切实将评估结论应用到信息安全管理的实践当中，突出风险评估工作对于信息安全工作的依据和指导作用，通过风险评估工作落实相关信息安全技术指标，将风险评估工作嵌入到信息安全整体工作体系之中，坚持目标导向，建立体系化联动机制，注重结果反馈与应用，形成闭环，从整体层面推进信息安全建设。

[1]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报，2015，（3）.

[2]彭勇，江常青，谢丰，戴忠华，熊欺，高洋.工业控制系统信息安全研究进展[J].清华大学学报，2012，（10）.

[3]王小山，杨安，石志强，孙利民.工业控制系统信息安全新趋势[J].技术研究，2015，（1）.

[4]庄兴初.美国信息安全机制研究：网络主权视角[D].北京：外交学院，2016.

[5]张涛，王玥，黄道丽.信息系统安全治理框架：欧盟的经验与启示——基于网络攻击视角[J].情报杂志，2016，（8）.

[6]曾忠平.信息安全人因风险研究进展综述 [J].情报杂志，2014，（4）.

[7]张建锋.网络安全态势评估若干关键技术研究 [D].湖南：国防科学技术大学，2013.

[8]冯登国，张敏，李昊.大数据安全与隐私保护[J].计算机学报，2014，（1）.

[9]杨磊.促进我国信息系统应用条件下的信息安全管理研究[D].北京：首都经济贸易大学，2008.

[10]冯登国，张杨，张玉清.信息安全风险评估综述[J].通信学报， 2004，（7）.

[11]王延炯.物联网若干安全问题研究与应用[D].北京：北京邮电大学，2011.

[12]张焕国，王丽娜，杜瑞颖，傅建明，赵波.信息安全学科体系结构研究[J].武汉大学学报（理学版）， 2010，（10）.