国税函[2002]865号
国家网络与信息安全协调小组办公室,各省、自治区、直辖市和计划单列市国家税务局、地方税务局,扬州税务学院:
根据国家信息化工作办公室和国家网络与信息安全协调小组办公室近期关于网络与信息安全工作会议的要求,为确保党的十六大至明年两会期间税务系统网络与信息的安全,进一步加强系统内网络新闻宣传管理工作,国家税务总局现下发《税务系统网络与信息安全防范处置预案》(以下简称《预案》),并提出以下具体要求,请各地遵照执行。
一、提高认识,加强领导。各级税务机关要把确保十六大至明年两会期间网络与信息安全工作当作一项严肃的政治任务来抓。要认清当前严峻的网络与信息安全形势,关注基础设施和重要信息系统中存在的安全隐患,强化信息安全意识,改进管理中的薄弱环节。各单位负责人要从讲政治、顾大局、保证国家安全、保证十六大顺利召开的高度,重视此项工作,亲自抓落实。
二、工作突出重点,责任落实到人。各地应参照总局下发的《预案》,结合本地的实际情况,制定本单位的网络与信息安全应急预案;要限期成立本级网络与信息安全组织机构,明确责任与分工,各项工作及责任落实到人;要加强监管,加强对金税工程网络和本单位因特网网站有害信息的清理整治;要力争无大事故发生,若一旦发生事故应能按照已制定的预案紧急处置,将危害和影响降至最低程度。
各地应于10月15日前按照本地制定的网络与信息安全防范处置预案完成培训和具体演练工作,并将有关执行情况及时报告总局网络与信息安全协调小组办公室。
尚未按照国税函[2002]799号文件要求完成网络自查工作的单位务必尽快完成有关工作。
联系人:刘星刚,电话:010一63417991,Notes邮件地址:总局信息中心刘星刚/总局信息中心/sat/tax@tax.
附件1:税务系统网络与信息安全防范处置预案
为保证税务系统网络与信息安全,进一步加强网络新闻宣传管理工作,特别是在党的十六大和明年“两会”期间,有效地防范蓄意攻击、破坏网络信息系统及传播、粘贴非法信息等突发紧急事件的发生。根据税务系统网络和信息系统建设及应用的现状,并针对存在的问题与风险,特制订如下安全防范处置预案。
一、现状与风险
随着税务系统信息化建设的发展,特别是“金税工程”的实施,全国各级税务机关以计算机网络为依托的征管格局已初步形成。国税系统总局-省局-地市局-县区局的四级广域网络已经建立,并逐步向基层征收单位延伸,地税系统网络建设进程也逐渐加快。目前广域网节点数已达16000多个,联网计算机设备25万多台。在完成繁重税收任务的同时,为提高税收征管效率,更好地宣传税收工作、服务纳税人,各级税务机关均不同程度地建立了内部网站,部分地区还建立了外部因特网访问网站。
同时,总局与海关、财政及其它政府部门部分地实现了联网和信息交换。总之,网络与信息系统已成为整个税务系统工作的重要组成部分,成为关系到国计民生的重要基础设施。
在税务信息化建设不断蓬勃发展的同时,网络与信息安全的风险也逐渐显露。一是随着税收事业的发展,业务系统的要求,各级税务机关逐步与外部相关部门实现了联网与信息交换。此外为方便纳税人纳税,许多税务机关开通了因特网申报、网上查询等业务,从而使税务系统网络由过去完全封闭的内部网,转变成只是与外部网、因特网逻辑隔离的网络。二是网络与信息系统中的关键设备如主机、路由器、交换机以及操作系统等大部分采用国外产品,存在着较大的技术和安全隐患。三是系统内计算机应用操作人员水平参差不齐,加上由于经费不足,安全防护设备与技术手段不尽如人意。四是以法轮功为代表的敌对势力以及受利益驱使的犯罪分子一直蠢蠢欲动,对国家重要的财政、金融部门构成巨大威胁。上述几个方面构成税务系统网络与信息安全的主要风险。
二、指导思想与总体目标
指导思想:以江总书记“三个代表”思想为指导,把做好税务系统网络与信息安全工作作为当前一项严肃的政治任务来完成,切实维护国家的政治安全、经济安全和财政、税收安全。
总体目标:保障信息的合法性、完整性、准确性,保障网络、计算机及相关配套设备、设施的安全及运行环境的安全,保障网络与信息系统的安全运行。其中重点维护金税工程网络、办公系统、征管系统、增值税稽核、协查系统及各类网站、电子邮件系统的安全。
三、安全防范措施
(一)建立健全网络与信息安全组织机构
各级税务机关成立本单位网络与信息安全领导小组,由分管局长担任组长、副组长,成员由办公厅(室)、信息中心、财务部门、机关服务部门组成。
领导小组下设办公室,具体负责日常工作,主任由信息中心负责人担任,副主任由办公厅(室)和信息中心网络部门有关负责人员担任。
办公室设在信息中心,具体下设三个工作小组:信息安全组,组长由信息中心应用系统部门有关人员担任;网络安全组,组长由信息中心网络部门有关人员担任;综合协调组,组长由信息中心综合部门有关人员担任。
各工作小组将工作责任分解并落实到个人。
国家税务总局网络与信息安全组织结构详见附件。
(二)建立健全网络与信息安全岗责体系和规章制度
各级税务机关办公厅(室)负责对以机关名义在内、外网站上发布信息的审查和监控;信息中心负责网站的维护和技术支持以及其它各类应用信息系统的监控和维护;
财务部门负责相关资金支持;机关服务部门负责电力、空调、防火、防雷等基础设施的监控和维护。
办公室各工作小组中,综合协调组负责在发生紧急事件时联络各小组人员到位并协调开展工作,并根据事件的严重程度起草向领导小组、公安部门或上级有关部门的报告或向全系统的通报;信息安全组负责各类网站、各应用系统、数据库系统的监控防范、应急处置和数据、系统恢复工作,以及信息安全事件的事后追查;网络安全组负责网络系统的安全防范、应急处置和网络恢复工作及网络安全事件的事后追查。
要逐步建立健全各种安全制度,包括(1)运行审批制度;(2)日志管理制度;(3)安全审计制度;(4)数据保护、安全备份、灾难恢复计划;(5)计算机机房及其他重要区域的出入制度;(6)硬件、软件、网络、媒体的使用及维护制度;(7)帐户、密码、通信保密的管理制度;(8)有害数据及计算机病毒预防、发现、报告及清除管理制度。
(三)明确信息安全等级、信息安全保护等级
根据信息的性质和重要程度划分为四级:(1)A级,高敏感信息,实行绝对强制保护;(2)B级,敏感信息,实行强制保护;(3)C级,内部管理信息,实行自主安全保护;(4)D级,公共信息,实行一般安全保护。根据确立的信息安全等级,依据国家颁布的《计算机信息系统安全保护等级划分准则》,确立计算机系统安全保护的五个等级,具体为:第一级,用户自主保护级;第二级,系统审计保护级;
第三级,安全标记保护级;第四级,结构化保护级;第五级:访问验证保护级。
(四)网站、网页信息安全防范
各级税务机关建立的内、外部WEB网站、交互式论坛、电子公告版、聊天室等从事信息发布的系统,必须有专门的信息监控人员、系统管理人员随时监控维护,坚决杜绝含有反动政治内容、淫秽内容等有害信息的出现。任何以机关名义在机关网站或主页上发布的信息,必须经办公厅(室)人员或其他指定人员的审查,才能张贴。
一旦发现非法内容,应立即按紧急处置预案处置。国家法定长假期间,无安全防护措施或监控处置措施的各类信息发布网站应关闭。
(五)网络安全防范
各省级单位与总局间的通信线路必须启用链路加密设备;与外部相关部门联网必须采用单独的网络设备和通信线路,必须采用物理隔离或防火墙逻辑隔离的方式交换数据,采取严格的通信控制策略并具备审计、记录等功能;内部计算机网络应与因特网物理隔离,如因多元化申报等原因需要与因特网相连,则必须配置多个高性能防火墙(其中必须包含国产防火墙),并安装入侵检测软件;各地要与电信部门签定网络通畅安全保障协议,确保在网络线路故障的情况下能够得到及时恢复;必须对主机或网络设备中不使用或较少使用的、存在安全隐患的服务进行关闭;对各类拨号接入设备要采取具体严格的安全控制措施;在网络建设和改造时必须优先充分考虑到网络的安全性,要有足够的冗余或备份,省级以上机关要按双机备份的要求建立内部的局域网、广域网,地市以下要有相应的备份设备,一旦出现故障能够及时更换或维护;未经总局许可,严禁将采用规定范围以外IP地址的计算机接入全国税务系统网络中;各类网络设备及关键主机设备的密码要有专人保管并有定期的变更机制;在未采取相应的加密措施之前,不得利用电子邮件传递涉及机密的信息。
(六)病毒安全防范
各级税务机关的计算机设备,应配备正版的防病毒软件,所有的外来软件或盘片,必须先进行病毒检查才能安装和使用。
(七)软件系统安全防范
各级税务机关要按照国家的要求和总局的部署,杜绝使用盗版软件;各类开发的应用软件要充分考虑到软件安全的要求,并进行安全性能的评估。
(八)数据安全防范
各级税务机关要按照总局的统一规划和部署采购相关产品,要逐步建立相应的数据备份、恢复机制;原则上备份介质的存储不能与主机系统在同一地域。
(九)设备安全防范
各级税务机关采购的计算机设备都必须有较高的可靠性,尤其是主机、服务器及中心网络设备、网络安全设备等关键设备要严格按照总局推荐目录采购,从源头上把好设备阶性能安全关。各关键设备都要有冗余备份或相应配件,一旦设备出现故障能够及时维护、更换,确保不影响正常工作的开展和系统的运行。
(十)机房安全防范
计算机机房应符合国家标准和国家规定。计算机机房附近施工,不得危害计算机信息系统的安全。计算机机房设计方案,由使用单位向上级单位提出安全评估申请,上级单位应在15日内提出安全审核意见。各级税务机关的主机房,都要严格按照有关的国家标准进行建设和改进;必须具备防火、防雷、防静电、防电磁干扰设备;要有完备的环境控制设备和电源供应设备;要有严格的管理制度和值班制度,确保各类设备有一个良好的运行环境。
四、应急处理措施
(一)网站、网页出现非法言论时的紧急处置措施
1.网站、网页由主办部门的值班人员负责随时密切监视信息内容。
2.发现在网上出现非法信息时,值班人员应立即向信息安全组组长通报情况;
情况紧急的,应先及时采取删除等处理措施,再按程序报告。
3.信息安全组具体负责的技术人员应在接到通知后十分钟内赶到现场,作好必要记录,清理非法信息,强化安全防范措施,并将网站网页重新投入使用。
4.信息安全组将有关情况向综合协调组通报,妥善保存有关记录及日志或审计记录。
5.信息安全组会同网络安全组共同追查非法信息来源。
6.工作小组会商后,将有关情况向安全领导小组办公室汇报有关情况。
7.安全领导小组办公室如认为情况严重,则立即向安全领导小组汇报。
8.安全领导小组组长召开安全领导小组会议,如认为事态严重,则立即向公安部门或上级机关报警。
(二)黑客攻击时的紧急处置措施
1.当有关值班人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向网络安全组组长通报情况。
2.网络安全组相关负责人员应在十分钟内赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并同时向综合协调组通报情况。
3.网络安全组或信息安全组负责被攻击或破坏系统的恢复与重建工作。
4.网络安全组会同信息安全组共同追查非法信息来源。
5.综合协调组组织会商后,向安全领导小组办公室汇报有关情况。
6.安全领导小组办公室如认为情况严重,应立即向安全领导小组汇报。
7.安全领导小组组长组织召开安全领导小组会议,如认为事态严重,则立即向公安部门或上级机关报警。
(三)病毒安全紧急处置措施
1.当发现有计算机被感染上病毒后,应立即向信息安全组值班人员报告,将该机从网络上隔离开来。
2.信息安全组相关负责人员在接到通报后,应在十分钟内赶到现场。
3.对该设备的硬盘进行数据备份。
4.启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
5.如果现行反病毒软件无法清除该病毒,应立即向安全领导小组办公室报告,并迅速联系有关产品商研究解决。
6.安全领导小组办公室经会商,认为情况严重的,应立即向安全领导小组汇报。
7.安全领导小组经会商后,认为情况极为严重的,应立即向公安部门或上级机关报告。
8.如果感染病毒的设备是主机系统,经领导小组办公室同意,应立即告知各下属单位做好相应的清查工作。
(四)软件系统遭破坏性攻击的紧急处置措施
1.重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处。
2.一旦软件遭到破坏性攻击,应立即向信息安全组、综合协调组值班人员报告,并将该系统停止运行。
3.信息安全组负责软件系统和数据的恢复。
4.信息安全组和网络安全组人员检查日志等资料,确定攻击来源。
5.由综合协调组向安全领导小组办公室汇报。
6.安全领导小组办公室认为情况严重的,应立即向安全领导小组汇报。
7.安全领导小组认为情况极为严重的,应立即向公安部门或上级机关报告。
(五)数据库安全紧急处置措施
1.在有条件的地区,主要数据库系统应按双机热备设置,并至少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一安全的建筑物中。
2.一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全小组报告。
3.在备用系统运行期间;信息安全小组人员应对主机系统进行维修。
4.如果两套系统均崩溃,信息安全小组人员应立即向软硬件提供商请求支援,同时通知各下属单位暂缓上传上报数据。
5.系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
6.如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
7.如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
(六)广域网外部线路中断紧急处置措施1.广域网主、备用线路中断一条后,值班人员应立即启动备用线路接续工作,同时向网络安全组报告。
2.网络安全组相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。
3.如属我方管辖范围,由网络安全组人员立即予以恢复。
4.如属电信部门管辖范围,立即与电信维护部门联系,要求修复。
5.如果主、备用线路同时中断,网络安全组值班人员应在判断故障节点,查明故障原因后,尽快研究恢复措施,并立即向领导小组办公室汇报。
6.经领导小组办公室同意后,应通告各下属单位相关原因,并暂缓上传上报数据。
(七)局域网中断紧急处置措施
1.设备管理部门平时应准备好网络备用设备,存放在指定的位置。
2.局域网中断后,网络安全组相关负责人员应立即判断故障节点,查明故障原因,并向网络安全组组长汇报。
3.如属线路故障,应重新安装线路。
4.如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
5.如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调测通畅。
6.如有必要,应向安全领导小组办公室汇报。
(八)设备安全紧急处置措施
1.小型机、服务器等关键设备损坏后,值班人员应立即向网络安全组报告。
2.网络安全组相关负责人员立即查明原因。
3.如果能够自行恢复,应立即用备件替换受损部件。
4.如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。
5.如果设备一时不能修复,应向安全领导小组办公室汇报,并告知各下属单位,暂缓上传上报数据。
(九)人员疏散与机房灭火预案
1.一旦机房发生火灾,应遵循下列原则:首先保人员安全;其次保关键设备、数据安全;三是保一般设备安全。
2.人员疏散的程序是:机房值班人员立即按响火警警报,并通过119电话向公安消防请求支援,所有人员戴上防毒面具,所有不参与灭火的人员按照预先确定的路线,迅速从机房中有序撤出。
3.人员灭火的程序是:首先切断所有电源,启动自动喷淋系统,灭火值班人员戴好防毒面具,从指定位置取出泡沫灭火器进行灭火。
(十)外电中断后的设备运行预案
1.外电中断后,机房值班人员应立即切换到备用电源。
2.机房值班人员应立即查明原因,并向值班领导汇报。
3.如因局内线路故障,请机关服务部门迅速恢复。
4.如果是供电局的原因,应立即与供电局联系,请供电局迅速恢复供电。
5.如果供电局告知需长时间停电,应做如下安排:
(1)预计停电4小时以内,由UPS供电;
(2)预计停电4-24小时,关掉非关键设备,确保各主机、路由器、交换机供电;
(3)预计停电超过24-72小时,白天工作时间关键设备运行,晚上所有设备停机;
(4)预计停电超过72小时,应联系小型发电机自行发电。
(十一)发生自然灾害后的紧急处置措施
1.上级单位平时应该储备一套下级单位的关键设备。
2.一旦发生自然灾害,导致设备损坏,由灾害发生单位向上级计算机网络与信息安全领导小组请求支援。
3.上级计算机网络与信息安全领导小组接到下级单位的支援请求后,应在24小时内派遣人员携带有关设备赶到现场。
4.到达现场后,寻找安全可靠的地点,重新构建新的系统和网络,并将相关数据予以恢复。
5.经测试符合要求后,支援小组才能撤离。
(十二)关键人员不在岗的紧急处置措施
1.对于关键岗位平时应做好人员储备,确保一项工作有两人能够操作。
2.一旦发生关键人员不在岗的情况,首先应向值班领导汇报情况。
3.经值班领导批准后,由备用人员上岗操作。
4.如果备用人员无法上岗,请求上级单位支援。
5.上级单位在接到请求后,应立即派遣人