税务内部信息安全

税务内部网络信息安全建设

信息安全部分

一信息安全的由来

随着当今社会的迅猛发展，信息本身的属性发生了变化，成为了一项与实物属性相同的，对组织具有价值的资产。正因为这种属性的变化，使得以各种形式存在着的信息成为了需要适当保护的对象。由此，信息安全的概念也于近年来被各机关单位广泛认知及重视，并提上议程。

二信息安全的概念

信息安全，是指信息本身的机密性（confidentiality）、完整性（intergrity）和可用性（availability）的保持。

机密性，是指确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用；完整性，是指确保信息没有遭到篡改和破坏；可用性，是指确保拥有授权的用户或程序可以及时、正常使用信息。

针对信息安全的上述三种特性，所能保障信息安全的措施分为两类，即防范威胁：防范有可能破坏系统正常功能的潜在的人或事物；以及降低风险：降低来自外界的对系统危害的可能性。

三产生信息安全问题的原因

产生信息安全问题的原因主要由外因和内因两部分构成

外因具体来讲分为两种，一是环境因素，即火灾、地震、意外事故等环境危害或自然灾害；断电、潮湿、温度、鼠蚁虫害；软件、硬件、数据、通讯线路等方面的故障。二是对手因素，即为达到政治及经济目的恐怖分子，商业间谍，犯罪团伙，外国情报机构，以及以破坏为乐趣的某些社会型及娱乐型黑客，通过身份假冒、密码猜测、漏洞利用、拒绝服务、恶意代码、数据窃听、物理破坏、社会工程等手段达到目的。

内因也分为两种，一是技术因素，即物理环境问题、网络结构问题、系统软件漏洞、应用软件漏洞、安全防护措施不到位。二是管理因素，即安全意识薄弱、安全制度不健全、组织机构不健全、安全职责不落实。

产生内因的因素很多，如各单位使用的系统越来越复杂，越来越开放的互联网络，以及复杂的社会人群等，但最重要的一点是操作及管理人员自身对信息安全的意识没有足够的重视。技术很重要，但技术不是一切；信息系统很重要，但只有服务于组织业务使命才有意义。一言以蔽之：外因是条件，内因是关键。

四保障信息安全的必要和措施

由于信息化程度的日益提高，业务目标的实现越来越依赖于信息系统，信息系统也就由此成为了一个组织或机构生存和发展的关键性因素，因此，信息系统的安全风险也成为了组织风险的一部分，所以，为了保障组织机构完成其使命，必须加强信息安全保障，抵抗这些风险。

信息是依赖与承载它的信息技术系统存在的，需要在技术层面部署完善的控制措施。首先，信息系统是由人来建设使用和维护的，需要通过有效的管理手段约束人。其次，今天系统安全了明天未必安全，需要贯穿系统生命周期的工程过程。再次，信息安全的对抗，归根结底是人员知识、技能和素质的对抗，需要建设高素质的人才队伍。

然而，信息安全由于本身载体的特殊性，并不可能100%安全，而且随着安全性的逐步提高，所花费的成本也相应的急速增长，一味的追求过度的信息安全，会使代价过高，从而得不偿失。因此，风险总是存在着的，系统永不停、网络永不断、数据永不丢是不可能的，所能做到的，就是通过风险评估的适度安全。