税务信息系统安全保障研究
1信息安全保障体系
1.1信息安全。信息安全是一门涉及计算机科学、网络技术、通信技术和密码技术等多个领域的交叉学科,它关注信息系统在安全方面存在的问题和面临的威胁,贯穿于信息系统中信息生命周期的整个过程。信息本身应具有的安全属性主要有保密性、完整性和可用性3个方面。
1.1.1特征与范畴。与传统安全相比,信息安全有4个鲜明特征:系统性、动态性、无边界性和非传统性。(1)系统性,信息安全问题是复杂的,在这个“人-机”、“人-网”紧密结合的复杂系统中,某一分支或某一要害受到损害,均可能引发全局性的系统危机。(2)动态性,信息系统从规划设计,到开发建设,再到运行维护,最后到废弃,在整个生命周期中,信息系统面临着不同的安全问题。(3)无边界性,信息化的重要特点是开放性和互通性,这使得信息安全威胁超越了现实地域的限制。(4)非传统性,与军事安全、政治安全等传统安全相比,信息安全涉及的领域和影响范围十分广泛,必须采用新方法来治理。
1.1.2信息安全问题根源。技术故障、黑客攻击、病毒和漏洞等原因都可以引发信息安全问题,信息安全问题产生的根源可以从内因和外因两个方面加以分析。内因是信息系统自身存在脆弱性,信息系统过程、结构和应用环境的复杂性导致系统本身不可避免地存在脆弱性。外因是信息系统面临着众多威胁,这些威胁包括人为因素和非人为因素两大类。
1.2信息系统安全保障。信息系统安全保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性。
1.2.1信息安全技术。信息安全技术涵盖密码技术、访问控制技术、网络安全技术、操作系统安全技术、数据库安全技术、安全漏洞与恶意代码防护技术和软件安全开发技术等多种技术类型。
1.2.2信息安全管理。信息安全管理体系包括建立、实施、运作、监视、评审、保持和改进等一系列管理活动。此外,还需要结合信息安全风险管理、信息安全控制措施、应急响应与灾难恢复和信息安全等级保护等多层面的管理方法。
1.2.3信息安全工程。规范的信息安全工程过程包括发掘信息保护需要、定义信息系统安全要求、设计系统安全体系结构、开发详细安全设计和实现系统安全5个阶段及相应活动。
1.2.4信息安全人员。在信息安全保障诸要素中,人是最关键也是最活跃的要素。网络攻防对抗,最终较量的是攻防双方人员的能力。组织机构要建立一个完整的信息安全人才体系。
此处内容需要权限查看
会员免费查看3.4逐步提升用户身份鉴别能力。为进一步提升税务信息系统的应用安全,防止用户身份冒用,应根据等级保护相关规定,做好用户身份鉴别。身份鉴别是保障应用系统安全的第一道屏障,一般可分为所知、所有和实体特征三类鉴别方式:所知即实体所知道的知识,如口令;所有即实体所持有的物品,如令牌、手机、数字证书等;实体特征即实体所具有的指纹、语音、人脸、虹膜等生物特征。重要信息系统应同时实现多种鉴别方式,推荐采用口令与税务数字证书或者短信的组合。
参考文献
[1]吴世忠,李斌,张晓菲,沈传宁,李淼.信息安全技术[m].北京:机械工业出版社,2015.