创新安全评测体系,提升税务网络安全风险管理水平

2014-11-20 16:48:38

李建彬 国家税务总局电子税务管理中心 处长

简介:通过创新网络安全测评方法、构建网络安全风险指标体系、开展网络安全绩效考核,初步形成税务系统网络安全风险管理框架,有效保障税务信息系统安全稳定运行。

目前税收业务已经高度依赖信息化,税收信息系统作为国家重要信息系统之一,已进入快速发展期。网络上运行的关键税收信息系统逐年增多,并呈现出以下发展趋势:一是流程逐渐整合,随着税收管理系统不断发展升级,管理系统流程不断优化。二是服务逐渐延伸,网上办税业务快速发展,为纳税人服务手段不断丰富。三是数据高度集中,信息管税对管理决策提供支撑。四是税收业务专网规模庞大、结构复杂,税务部门与外部单位的联网快速增长。五是税务系统规模庞大,总局、省、市、区、所五级联网,用户量大。随着电子税务的不断发展,税收业务对互联网的依赖程度越来越高,税收信息系统面对的信息安全风险愈发复杂,税务信息系统安全工作面临的挑战更加严峻。一方面,规模庞大、影响广泛的税务信息系统,特别是网上办税系统,可能成为众多网络黑客的攻击目标,外部威胁日益增长。另一方面,税收业务对信息技术的依赖程度逐步提高,数据高度集中,依托互联网运行的业务逐年增多,外部信息交换不断扩展,对税收信息数据的安全性提出了更高的要求。另外,税务系统内部仍存在信息安全隐患,税务工作人员信息安全意识、税务机关应急处置能力、税务网络统合防护能力等都有待进一步提高,以适应税收信息化发展的要求。

一、树立风险意识,完善网络安全管理体系

为了有效应对日益严峻网络安全挑战,确保税务信息系统安全稳定运行,实现“网络不能断,系统不能停,数据不能丢”的网络安全管理目标,我们确立了以下信息安全工作方针:以资产保护为核心,以风险管理为主线,以政策法规为准绳。具体说就是:建立税务系统信息安全风险管理体系,落实国家信息安全等级保护、风险评估、应急响应、灾难备份、网络信任等信息安全政策法规,提升税务系统重大信息安全事件的监测、预警和处置能力,保障税务信息系统安全稳定运行,有效降低核心IT资产的安全风险。

信息安全风险管理已成为信息安全保障工作的一个主流范式,它从安全评估出发,落脚于安全控制,将风险评估理论和方法运用到信息系统中,在信息系统的整个生命周期中周期性的、反复的对信息资产的安全进行评估,科学分析信息和信息系统在机密性、完整性、可用性等安全属性方面所面临的安全风险,并在风险的预防、控制、转移和接受之间做出抉择,动态的解决信息安全问题,提高信息系统安全性,保障系统可以利用其所有的资产完成使命。

因此,我们以国家和税务系统的等级保护、风险评估及相关安全管理标准为依据,通过等级保护测评确定信息系统与相应等级安全保护要求之间的安全差距,通过风险评估确定信息系统存在的安全风险并进一步确认哪些风险可以接受、哪些风险不可接受,通过安全检查掌握被评测单位的信息安全总体状况,一方面,通过税务系统信息安全评测工作的开展,总局和各省级税务单位对现有信息系统存在的安全风险、与相应等级安全保护技术要求之间存在的安全差距以及单位的整体信息安全状态有了全面、深入、细致的了解,摸清了税务系统信息安全防护基本情况。税务系统信息安全评测工作的成果包括一系列的信息系统等级测评报告、信息安全风险报告、信息系统安全检查报告、网络漏洞扫描报告、渗透测试报告等,详细剖析了各税务单位和信息系统存在的安全风险和安全差距,在充分考虑现有安全防措施并综合考虑等级保护基本技术要求合规性的基础上提出相应的整改建议,为各税务单位进行信息系统安全整改工作提供了坚实的技术支撑,并形成一个“评测-整改-建设-再评测”螺旋式上升的良性循环机制。另一方面,税务信息系统的建设是一个动态发展的过程。围绕更好地支持和保障税收中心工作,税收信息化建设也处在跨越发展的关键阶段。根据国内外的建设经验,任何一项达到一定规模的信息化建设工程,都要独立地、优先地考虑信息化标准体系和信息化安全体系两大保障体系。经过多年的信息安全评测工作的开展,所发现的我国税务信息化建设的问题和所积累的经验与教训,有利于逐步形成完整、成熟的税务信息安全管理体系。

二、创新评测方法,提高网络安全风险识别效能

风险识别是网络安全风险管理的重要环节,是网络安全保障的基础性工作。当前网络安全风险识别主要是通过落实国家关于风险评估、等保测评和安全检查工作要求来实现的。为了提高税务系统网络安全风险识别效能,降低基层单位信息安全管理工作压力,我们提出了以信息系统信息安全风险管理为主线,采用安全检查、等级保护测评和风险评估等数据采集方式,辅助以安全等级保护测评和风险评估的数据分析方法,得到以下结果:

(1)以税务系统信息安全等级保护基本要求为依据,通过等级保护测评的分析方法找到信息系统的安全差距;

(2)通过风险评估的分析方法确定安全差距是否存在风险,进一步确认哪些安全差距的风险是可以接受的,哪些安全差距的风险是不可接受的;

(3)通过综合分析方法,对安全检查的结果进行总结、提炼与升华,形成对被评测单位信息安全整体情况的判定。

为保证信息安全评测工作的科学性和准确性,提高国家税务系统信息安全评测工作的水准,在《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》、《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》等国家标准的基础上,我们先后组织相关领域的专家,结合税务行业自身业务特点、信息化建设情况和特殊安全需求,在不低于国家标准要求的基础上,先后制定了《税务系统信息安全等级保护基本要求》、《税务信息系统安全等级保护实施指南》、《税务系统信息安全等级保护测评准则》、《税务信息系统等级保护安全设计技术要求》、《税务系统网络与信息安全风险评估工作管理规定(试行稿)》、《税务系统网络与信息安全管理岗位及其职责(试行稿)》、《税务系统网络与信息安全总体策略》、《税务系统网络与信息安全风险评估工作管理规定(试行稿)》、《税务系统电子数据处理管理办法(试行)》、《税务系统网络与信息安全防护体系运行维护管理办法(试行)》、《税务系统网络与信息系统应急响应工作指南(试行)》、《税务系统网络与信息安全事件分级分类指南(试行)》等一系列行业标准,为我们的网络安全评测方法提供了基本的技术依据。

其次,我们还组织制定了税务系统信息安全评测项目技术方案和税务系统信息安全评测项目实施方案,编写了项目实施人员工作手册、税务信息系统风险评估培训教材、税务信息系统等级保护测评培训教材、税务信息系统安全检查培训教材以及一系列的调研表、检测表和文档规范,研发了一系列的检测、扫描和测试工具,为国家税务系统信息安全评测工作提供了有力的技术支持。

三、构建指标体系,形成网络安全风险感知能力

为了能全面评价税务系统网络安全风险状况,初步形成网络安全风险感知能力,在安全评测基础上,必须构建一个能从多层次多角度合理地反映信息安全风险的评价指标,才能得出科学公正的评估结果。为了全面、客观地评估信息系统安全风险,在构造和设置信息安全风险评估指标体系时,应充分考虑信息安全的复杂性和不确定性,并遵循如下原则:

(1)科学性原则

整个评价指标体系从指标的构成到其体系结构,从指标的测度内容到测度方法都必须客观、准确,必须科学地、全面地反映信息系统安全风险的本质特征。

(2)全面性原则

信息安全风险评价指标体系,应涵盖信息系统安全的生命周期和作用层面,从存取控制、机密性/完整性、应急计划、审计、人员、基础设施、信息系统、管理、技术、组织机构、合规性等多方面对信息系统的安全风险情况进行评价,并为组织信息安全管理提供指导。

(3)目的性原则

信息安全风险评价指标体系的构成应该与业务目标紧密相连,根据信息安全机密性、完整性和可用性的目标层层展开,所选择的指标必须能够反映出所能达到目标程度的信息,使最后的评价结果确实能反映组织信息安全的真实情况。

(4)可操作性原则

设计的指标必须意义明确,并且力求简明实用,一般应具有可测性和可量化特点,能及时搜集到准确的数据。对于一些难以测度或数据收集困难的无形的、间接的效益指标,也应尽可能设法寻找可替代指标,寻找调查搜集指标数据的途径,确定数据估算的统计方法。

(5)通用性和发展性相结合原则

构建的信息安全风险评价指标应能应用于不同的评估范围,即从单个的安全控制系统、网络到整个信息基础设施。同时,建立的风险指标具有发展性和灵活应用。

基于上述原则,我们初步构建了涵盖管理、技术和工程层面,包括信息安全意识水平、制度规范体系、人才队伍建设、安全防护能力、业务连续性管理、应急响应能力、信息系统生命周期安全管理等七个方面风险评价指标体系,结合国内外网络安全形势和外部威胁变化情况,动态调整各个指标的权重,从而使指标体系能真实反映税务系统网路安全面临的风险状况。在基础上我们有针对性的制定风险控制措施,平衡成本与效益,采取合适的安全控制措施,减少风险事件发生的概率和降低风险损失程度,使风险控制在可承受的适度的风险程度之内。

四、开展绩效考核,确保风险控制措施落实到位

信息安全风险控制并不是单一的技术控制机制,它是通过技术控制、管理控制、人员控制和文化控制四种控制机制,相互制约、相互作用、相互影响,来保证组织信息及信息系统的机密性、完整性和可用性安全目标的达成。

今年税务总局开始全面实施绩效管理,以绩效为导向,以提升站位、增强税务公信力和执行力为目标,创新驱动,风险防控,持续推进税收事业跨越发展。为了确保各项网络安全风险控制措施能有效落实到位,我们将网络安全保障工作纳入了全局绩效考核范畴。网络安全绩效考核指标,是根据网络安全测评中发现的高风险指标,结合当前网络安全保障工作需要选定的,占全局绩效考核总分的1.5%。为了能使考核工作更加有针对性的确保各项网络安全风险控制措施的落实,结合下一年度的网络安全保障工作要点和年度网络安全风险态势,我们在年末发布下一年度的网络安全保障工作考核要点和考核指标体系,规范网络安全保障绩效考核工作。

网络安全风险管理作为税务系统网络安全保障工作的主线,通过创新网络安全测评方法、构建网络安全风险指标体系、开展网络安全绩效考核,初步形成了税务系统网络安全风险管理框架,有效保障了税务信息系统安全稳定运行。