税务信息安全风险评估实践与深思
信息安全风险评估工作是当前我国信息安全保障工作的一项重要工作内容,随着税务系统金税工程省级集中模式的建立与推行,网站、网上办税等基于互联网应用的快速发展,网络覆盖面逐年增加,跨部门的横向沟通不断增强,这些都不同程度地增加了税务系统的网络和信息安全风险,为了贯彻和落实国家有关文件要求,国家税务总局于2009年4月开始启动了全国税务系统信息安全风险评估的工作,通过本次税务信息安全风险评估项目的实践,探索了税务信息安全风险评估工作的基本规律和策略,为进一步加强税务系统信息安全体系建设提供了指导和决策的依据。
通过开展税务信息安全风险评估工作,系统、科学地浅析浅析税务系统网络与信息系统所面临的威胁及其存在的漏洞,探索了税务信息安全风险评估工作的基本规律和策略,提出了有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或将风险制约在可接受的水平,为进一步加强税务系统信息安全体系建设提供了指导和决策的依据。
税务信息安全风险评估的实施流程如下图所示:
一、什么是信息安全风险评估
信息安全风险评估是指依据国家信息安全保障要求和有关信息技术标准,运用科学的策略和手段,系统地浅析浅析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,将风险制约在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据。二、税务信息安全风险评估的背景及意义
为了贯彻和落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)和《国家网络与信息安全协调小组(关于开展信息安全风险评估工作的意见)》(国信办[2006]5号文)有关要求和精神,国家税务总局于2009年4月开始有步骤地全面推广了税务系统的信息安全风险评估工作,是提高税务系统信息安全保障的重要举措。通过开展税务信息安全风险评估工作,系统、科学地浅析浅析税务系统网络与信息系统所面临的威胁及其存在的漏洞,探索了税务信息安全风险评估工作的基本规律和策略,提出了有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或将风险制约在可接受的水平,为进一步加强税务系统信息安全体系建设提供了指导和决策的依据。
三、税务信息安全风险评估的实践
1、评估的形式
信息安全风险评估分为自评估、他评估两种形式,本次税务信息安全风险评估工作是采用他评估的形式,委托国内具备评估资质的第三方机构(中国信息安全测评中心、总参三部、国家信息中心)提供评估服务,保证了本次税务信息安全风险评估的科学性、规范性和客观性。2、评估的标准
目前,国内外采用的风险评估相关的标准和策略有:ISO/IEC 17799、OCTE、澳大利亚/新西兰标准AS/NZS 4360、ISO/IEC TR 13335和美国NIST SP800-30等,上述策略在风险管理的理念上是相同的,不同的是相关的过程、具体指标内容存在一定差异。此次税务信息安全风险评估工作是严格遵守国家和行业的相关法规、标准,并参考国际的标准来实施,主要依据标准有《信息安全风险评估规范》、ISO/IEC 13335 IT安全管理指南、ISO/IEC 27001基于风险管理的信息安全管理体系等国家相关标准和规范,以及国家税务总局下发的为了保障税务信息系统安全的相关文件。3、评估的策略
风险评估的策略是使用风险评估过程中所搜集整理的资产、漏洞、威胁、影响等要素资料,计算和得出风险结论的策略,风险评估策略分为定性风险评估、定量风险评估以及半定量风险评估(定性和定量风险评估的综合),税务信息安全风险评是采用半定量风险评估的策略,即在风险评估过程中综合使用定性和定量风险浅析浅析技术对风险要素的赋值方式,这样综合了定性和定量风险评估的优点,可以确保对风险的整体把握,又将大量的人力、物力和财力集中在关键资产和风险上,提供了成本有效的风险评估实践。4、评估的流程
风险评估过程是基于风险评估的知识,将搜集、整理和浅析浅析风险有关的资产、漏洞、威胁、影响等要素资料的步骤和流程,也就是说风险评估过程主要讨论搜集、整理、浅析浅析风险相关要素的资料和数据的过程和流程。在本次税务信息安全风险评估过程中,资产识别以问卷调查为主,结合顾问访谈和现场查看,对信息资产赋值;威胁识别以问卷调查和顾问访谈为主,结合技术检测验证,对威胁要素赋值;脆弱性识别以技术检测为主,结合现场查看和问卷调查,对脆弱性要素赋值;综合浅析浅析上述各类要素,采用分级、分步进行风险计算,形成风险列表,划分风险等级,浅析浅析风险对税务系统信息安全的影响程度,形成最终的风险评估报告。税务信息安全风险评估的实施流程如下图所示: