信息安全相关风险点
- 格式:docx
- 大小:18.26 KB
- 文档页数:4
信息安全管理
信息安全存在的软硬环境
1 物理环境
1.2 网路
●把无线接入点连接到工作环境中(例如3G上网卡,手机wifi)
●在办公场所私自安装使用调制解调器、无线网络接收/发射装置、上网手机以及其
他可能威胁网络系统安全的设备
2 软环境
2.1 网络访问
●通过拔插网络插头,工作计算机在内网和外网之间来回换用:虽然内外网在“时差”
上是“物理隔离”的,但计算机上只该在内网上运行的应用软件和业务数据并没有与外网“隔离”
2.2移动介质
●将外部移动存储介质直接接入内网计算机:税务基层单位,尤其是征收大厅、管理
所直接接收纳税人移动存储介质报送资料
●将内网专用的移动存储介质直接接入外网计算机
2.3 密码管理
●工作计算机没有设置开机和屏保密码
●密码复杂度不够
●密码长时间不更换
●将密码告知他人
2.4 数据
●数据查询:须加强数据查询规范,严格按照《惠州市地方税务局电子数据查询管理
办法(试行)》的通知,相关查询统计的需求人员都需填写《电子数据查询需求登记表》,确保数据的安全性。
●数据保存:将重要数据存放在一台计算机或一个存储介质中
●数据后续管理:对导出至工作计算机的涉税数据在使用和存储上没有后续跟踪和管
理:任何涉税数据,甚至是涉密数据,一旦保存至个人电脑上,即可以通过e-mail、移动存储介质和打印等方式进行传播。
其中,打印涉密的隐蔽性较大,不易被监察,破坏力非常巨大。
2.5 防病毒
●工作计算机没用安装正版的防病毒软件——趋势科技防毒墙网络版
●防病毒软件未开启
●对于下载和拷贝的文件没有进行杀毒
2.6 操作系统的安全设置
●未开启操作系统自带的个人防火墙
●没有及时更新操作系统补丁
2.7 不良的上网习惯
●使用工作计算机访问与工作无关的网站
●随意下载或安装来路不明的软件
●随意点击来路不明的电子邮件附件或网络链接
3 人员组织
3.1 工作人员
●工作人员的安全意识和技能教育都比较薄弱
●系统管理员与安全审计人员为同一人
●信息录入人员与审批人员为同一人
●合法用户的威胁:拥有合法授权的工作人员滥用授权、错误操作、操作行为抵赖等
3.2 第三方人员
●网络边界的访问控制问题
●第三方人员对信息系统进行维护时,系统所承载的数据安全管理问题
●第三方人员对信息系统进行维护时,缺乏对访问过程的全程的统一监控,目前的监
控手段处于分散、割裂,甚至缺位的状态
4 系统开发与维护
●系统立项前缺乏风险预估分析
●系统日志保存问题:各系统日志记录缺乏一致的时间标记
●数据冗余备份问题
●权限设置问题:
⏹“大集中”系统:风险权限设置问题。
对照省局《广东省地方税务局“大集中”
系统权限管理暂行办法》,我市部分县区存在“批量调整定额或定率”、“调整
申报期限”、“审核非正常登记”、“录入其他应征数据”、“变更单项税种登
记、登记应缴税种”等5个风险权限设置范围过大等问题,需进一步清查处理。
⏹自建系统:如车船税系统,部分县区局系统管理员权限设置范围过大。
相关要
求:严格贯彻执行一个县区局设置两个管理员角色(AB角)的要求,并定期
梳理车船税收管理系统的权限分配情况,做到以岗赋权、权责对应。
特别要加
强对风险角色权限赋权的审批,认真落实有关审批手续,杜绝随意授权行为,
从源头上防范和化解风险。
●系统的维护:日常系统运维需严格按照专人专机责任制。
此外,由于系统在使用过
程中时常遇到问题,需要第三方人员的技术支持。
在这过程中容易将系统的涉密数
据泄露给第三方。
5 调度管理
●视频监控、网络教育学院:占用网络资源大,需要合理调度,否则可能导致网络堵
塞。