《信息安全相关风险点.docx》由会员分享,可在线阅读,更多相关《信息安全相关风险点.docx(4页珍藏版)》请在三一办公上搜索。
1、信息安全相关风险点信息安全管理 信息安全存在的软硬环境 1 物理环境 1.2 网路 l 把无线接入点连接到工作环境中 l 在办公场所私自安装使用调制解调器、无线网络接收/发射装置、上网手机以及其他可能威胁网络系统安全的设备 2 软环境 2.1 网络访问 l 通过拔插网络插头,工作计算机在内网和外网之间来回换用:虽然内外网在“时差”上是“物理隔离”的,但计算机上只该在内网上运行的应用软件和业务数据并没有与外网“隔离” 2.2移动介质 l 将外部移动存储介质直接接入内网计算机:税务基层单位,尤其是征收大厅、管理所直接接收纳税人移动存储介质报送资料 l 将内网专用的移动存储介质直接接入外网计算机 2
2、.3 密码管理 l 工作计算机没有设置开机和屏保密码 l 密码复杂度不够 l 密码长时间不更换 l 将密码告知他人 2.4 数据 l 数据查询:须加强数据查询规范,严格按照惠州市地方税务局电子数据查询管理办法(试行)的通知,相关查询统计的需求人员都需填写电子数据查询需求登记表,确保数据的安全性。 l 数据保存:将重要数据存放在一台计算机或一个存储介质中 l 数据后续管理:对导出至工作计算机的涉税数据在使用和存储上没有后续跟踪和管理:任何涉税数据,甚至是涉密数据,一旦保存至个人电脑上,即可以通过e-mail、移动存储介质和打印等方式进行传播。其中,打印涉密的隐蔽性较大,不易被监察,破坏力非常巨大
3、。 2.5 防病毒 l 工作计算机没用安装正版的防病毒软件趋势科技防毒墙网络版 l 防病毒软件未开启 l 对于下载和拷贝的文件没有进行杀毒 2.6 操作系统的安全设置 l 未开启操作系统自带的个人防火墙 l 没有及时更新操作系统补丁 2.7 不良的上网习惯 l 使用工作计算机访问与工作无关的网站 l 随意下载或安装来路不明的软件 l 随意点击来路不明的电子邮件附件或网络链接 3 人员组织 3.1 工作人员 l 工作人员的安全意识和技能教育都比较薄弱 l 系统管理员与安全审计人员为同一人 l 信息录入人员与审批人员为同一人 l 合法用户的威胁:拥有合法授权的工作人员滥用授权、错误操作、操作行为抵
4、赖等 3.2 第三方人员 l 网络边界的访问控制问题 l 第三方人员对信息系统进行维护时,系统所承载的数据安全管理问题 l 第三方人员对信息系统进行维护时,缺乏对访问过程的全程的统一监控,目前的监控手段处于分散、割裂,甚至缺位的状态 4 系统开发与维护 l 系统立项前缺乏风险预估分析 l 系统日志保存问题:各系统日志记录缺乏一致的时间标记 l 数据冗余备份问题 l 权限设置问题: n “大集中”系统:风险权限设置问题。对照省局广东省地方税务局“大集中”系统权限管理暂行办法,我市部分县区存在“批量调整定额或定率”、“调整申报期限”、“ 审核非正常登记”、“ 录入其他应征数据”、“ 变更单项税种登
5、记、登记应缴税种”等5个风险权限设置范围过大等问题,需进一步清查处理。 n 自建系统:如车船税系统,部分县区局系统管理员权限设置范围过大。相关要求:严格贯彻执行一个县区局设置两个管理员角色的要求,并定期梳理车船税收管理系统的权限分配情况,做到以岗赋权、权责对应。特别要加强对风险角色权限赋权的审批,认真落实有关审批手续,杜绝随意授权行为,从源头上防范和化解风险。 l 系统的维护:日常系统运维需严格按照专人专机责任制。此外,由于系统在使用过程中时常遇到问题,需要第三方人员的技术支持。在这过程中容易将系统的涉密数据泄露给第三方。 5 调度管理 l 视频监控、网络教育学院:占用网络资源大,需要合理调度,否则可能导致网络堵塞
