税务信息系统信息安全教育培训系列丛书.docx

税务信息系统信息安全教育培训系列丛书 税务系统工作人员 信息安全手册 版本：2.1 国家税务总局 中国信息安全测评中心 四禁止、三不准、三必须 1. 禁止用非涉密机处理涉密文件； 2. 禁止移动存储介质未经处理在内、外网之间交叉使用； 3. 禁止在外网上处理和存放内部文件资料； 4. 禁止用插头转换方式切换内外网； 5. 非工作笔记本电脑不准与内网连接； 6. 交换工作文件不准使用个人U盘； 7. 非税务工作人员未经许可不准使用内部网络； 8. 所有工作用机必须设置开机口令，且口令长度不得少于8位； 9. 所有保密设备必须粘贴保密标识； 10. 外网向内网复制数据必须通过刻录光盘单向导入。 序 言 随着我国经济的持续发展和国际地位的不断提高，我国的基础信息网络和重要信息系统面临的安全风险日益严峻。党的十六届四中全会已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为我国重要信息系统之一，其安全运行不仅关系到全国税务机关的形象和全国税务征管业务的持续运行，还关系到我国的社会稳定和国家安全。肖捷局长对信息安全工作专门批示“要着力从增强安全意识、制度建设、系统保障、落实责任等方面加强工作力度”。 根据税务系统信息安全工作面临和形势和任务以及总局领导的要求，税务总局确定了从“人防”、“制防”、“技防”和“物防”四个方面进一步加强意识教育、完善制度建设、提高技术手段和保障资源投入的总体工作思路，其中，以提高全体工作人员信息安全意识为主要内容的“人防”工作是贯彻税务系统信息安全工作的必然要求，是税务系统信息安全工作的重要组成部分。此项工作，对于普及信息安全知识、增强税务干部信息安全意识、营造良好的信息安全环境具有十分重要的意义。 为落实国家“加快信息安全人才培养，增强全民信息安全意识”的要求，为了满足税务系统信息安全保障工作的需要，国家税务总局组织编写了针对税务系统全体工作人员的信息安全教育普及读本《税务系统工作人员信息安全手册》。手册从增强全员信息安全意识出发，比较系统地向税务系统工作人员介绍了应知应会的信息安全基本概念、政策要求和操作技能。我衷心希望税务系统全体工作人员能够通过认真阅读本手册了解当前的信息安全形势，认识所处的信息安全环境，遵守信息安全规定，掌握基本的操作技能，养成良好的信息安全习惯，最终适应各岗位工作要求。 目录 四禁止、三不准、三必须 I 前言 错误！未定义书签。 目录 III 一、 了解信息安全形势 1 1.1信息安全形势 1 1.2信息安全事件 2 二、 认识信息安全环境 6 2.1个人信息安全保护的是什么 6 2.2税务机关环境下个人信息面临哪些威胁 6 2.3哪些个人行为可能引发信息安全事件 8 2.4总局针对全国个人计算机采取的防护和监控措施 10 1、病毒监控 10 2、个人桌面监控 13 3、网络安全审计系统 14 4、安全检查 15 2.5 对个人的信息安全要求 15 1、国家法律法规的要求 15 2、总局领导的要求 18 3、总局规章制度的要求 18 4、总局对税务系统工作人员的具体要求 20 三、 养成良好的行为习惯 23 3.1时刻保持警惕 23 1、不要轻信他人 23 2、注意环境场合 23 3、保护隐私信息 23 4、保护手机和笔记本电脑 23 3.2初始安全很重要 24 1、个人口令设置好 24 2、系统补丁要更新 24 3、防毒软件要安装 24 4、开启个人防火墙 24 5、多余功能要关闭 25 6、监控软件要开启 25 3.3注意操作细节 25 1、严格区分内外网 25 2、合理使用移动介质 25 3、重要数据要备份 26 4、发送邮件要加密 26 5、接收文件要杀毒 26 6、离开时要关机、注销或锁屏 26 四、 掌握基本的信息安全技能 27 4.1网络安全 27 1、网络连不通怎么办？ 27 2、IP地址冲突如何重新获得？ 27 3、如何保证无线网络安全？ 27 4.2操作系统安全 30 1、什么样的口令是安全的？ 30 2、怎样设置安全的口令？ 30 3、如何进行帐户注销？ 30 4、如何快速锁屏？ 31 5、怎样保持补丁的更新？ 31 6、如何启动个人防火墙？ 32 7、Window安全中心报警是什么意思？ 32 8、不需要的功能如何关闭？ 33 4.3病毒防护 38 1、恶意代码是如何分类的？ 38 2、恶意代码的主要传播方式有哪些？ 39 3、如何防范计算机病毒？ 39 4、瑞星防病毒软件有哪些工作状态？ 40 5、如何判断瑞星防病毒软件在正常工作？ 40 6、如何设置瑞星防病毒软件定时扫描的时间？ 41 7、收邮件如何查毒？ 42 8、已经感染病毒怎么办？ 42 4.4应用软件和互联网安全 43 1、如何清除word文件中的隐私信息？ 43 2、使用电子邮件系统时有哪些安全注意事项？ 44 3、什么是“网页”挂马？ 45 4、如何通过对IE浏览器的设置防范挂马网站？ 45 5、什么是网络钓鱼，如何防范网络钓鱼？ 52 6、什么是流氓软件，如何避免流氓软件？ 52 4.5数据安全 53 1、如何使用Office自带的加密功能？ 53 2、如何使用WinRAR软件进行加密？ 53 3、正确打开U盘的方法是怎样的？ 54 4、如何关闭U盘的自动播放功能？ 55 5、如何刻录光盘？ 56 附录一 个人信息安全防护自查表 61 附录二 学习参考资料 62 一、 了解信息安全形势 随着我国经济的持续发展和国际地位的不断提高，我国的基础信息网络和重要信息系统面临的安全风险日益严峻，计算机病毒传播和网络非法入侵十分猖獗，网络违法犯罪持续大幅上升，犯罪分子利用一些安全漏洞，使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、信息系统破坏等违法活动，给我国政治、经济和社会生活造成严重负面影响。党的十六届四中全会已经将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。税务信息系统作为我国重要信息系统之一，其安全运行不仅关系到全国税务机关的形象和全国税务征管业务的持续运行，还关系到我国的社会稳定和国家安全。 税务系统人员要在日常工作中提高信息安全意识，加强警觉性，真正在思想上认识到安全工作无小事，首先需要了解近年来的信息安全形势和典型安全事件。 1.1信息安全形势 安全趋势 信息安全——更加寂静隐蔽的战场 当前信息安全的一个最大特点就是看不见摸不着。在不知不觉中就已经中了招并遭受了重大损失。早期信息安全攻击的特点是不分目标的高调攻击，如混合威胁和蠕虫。而当前的威胁是静默的、难以觉察的攻击，并且目标明确。以破坏数据为目的的传统攻击现已逐渐被旨在偷窃数据以谋取经济利益的新型攻击所取代。 备注：当前我们所面临的信息安全问题，不能仅仅关注那些由于病毒导致无法工作的显性事件，更可怕的是那些隐藏在你机器里默默向攻击者传递信息、被攻击者作为跳板攻击其他系统的隐性事件。 安全趋势 “僵尸网络”，借刀杀人 僵尸网络是指黑客利用一台网络服务器，间接并集中的控制感染了僵尸程序的计算机群，这些被控制的计算机叫做“网络僵尸”或“肉鸡”。由于受控制的计算机数目很大，攻击者可以利用僵尸网络在计算机的使用者不知情的情况下，实施信息窃取、拒绝服务攻击等恶意活动。2009年4月，仅国家计算机网络应急处理协调中心监测发现的位于我国大陆的“肉鸡”就有79,491个。 备注：如果您没有基本的安全意识和技能，您的计算机很可能已经成为“肉鸡”了。黑客可能正在利用你的计算机进行网络攻击，且攻击对象很可能就是税务机关网络。 安全趋势 病毒疫情连年呈上升趋势 公安部公共信息安全监察局组织的年度全国信息安全状况计算机病毒疫情调查结果显示，我国信息安全事件发生比例连续3年呈上升趋势。信息安全事件的主要类型是：感染计算机病毒、蠕虫和木马程序，垃圾电子邮件，遭到网络扫描、攻击和网页篡改。 从计算机病毒的传播途径来看，通过移动存储介质传播的比例持续上升。虽然通过网络下载或浏览网页感染病毒比例下降，但通过网络监测和用户求救的实际统计结果来看，大量的网络犯罪通过“挂马”方式进行攻击。 备注：信息安全形势愈发非常严峻，信息安全工作需要所有计算机用户的积极参与和配合，使用移动存储（例如USB盘等）、收发邮件、上网浏览时一定要遵守规章制度，提高安全意识和能力，否则将会感染病毒、引入木马，对个人和单位造成不可挽回的损失。 安全趋势 政府信息系统安全面临严峻挑战，安全检查工作制度化、常态化 国务院办公厅2008年和2009年连续发文指出，当前境内外敌对势力大肆利用各种手段对我国各级政府信息系统进行网络攻击、破坏、窃密等活动，政府信息系统安全面临严峻挑战。文件要求通过定期展开全面的安全检查应对安全风险，普通工作人员参加信息安全教育培训、掌握信息安全常识和技能，以及对违反信息安全规定行为和造成泄密事故、信息安全事故的查处情况都是安全检查的重点内容。 备注：政府信息系统的信息安全和保密工作不仅是信息技术人员的事情，每一位公务员都有责任提高自身的信息安全意识，掌握基本的信息安全常识，遵守信息安全规定。 1.2信息安全事件 每年都在发生，已经不是新闻 非法外联与木马窃密 某政府网络分为内部网和外部网两个部分。出于安全的考虑，该政务网络中的内、外网进行了物理隔离。然而某个职员想在因特网上进行数据查询，考虑使用外部网终端查询不太方便，该职员就在内网终端上通过连接政务外网网线的方式访问因特网。该职员在因特网上浏览网页时，访问了某个论坛，而这个论坛正好被黑客挂了木马。中木马后远程攻击者就可以完全控制中马后的电脑，可以轻易地复制、删除、上传、下载被控电脑上的文件。内部工作秘密在该职员毫不知情的情况下被窃取，最终造成了重大泄密事件。 备注：谨记安全制度，莫图一时之便，否则国家损失重大，个人轻则受处分，重则丢工作、上法庭 重大失密事件 英国税务局“光盘”门 2007年11月，英国税务及海关总署的一名公务员在将两张光碟寄给审计部门时，由于疏忽忘记依照规范以挂号寄出，导致光碟下落不明。光碟中有英国家庭申请十六岁以下儿童福利补助的资料，包括公民的姓名、地址、出生年月、社会保险号码和银行帐户资料，据称其中还包括了英国首相布朗一家的机密资料。 另外英国国防部2008年7月承认，自从2004年以来，国防部一共丢失或失窃了121块U盘，其中有5块U盘中储存着机密资料。 网络犯罪号外 “5.19”断网案告破抓获4黑客 2009年5月19日晚，一个游戏”私服”的网站打算对它的竞争对手发动攻击，黑客对国内最大的免费域名服务商DNSpod的服务器进行了狂轰滥炸，导致了DNSpod的服务器瘫痪，运行在DNSPod免费服务器上的10万个域名无法解析。 然而，遭到攻击瘫痪的服务器正好也是在为暴风影音的某项服务提供域名解析。于是，近2.8亿用户的暴风影音客户端，通过其安插在用户电脑里的后台进程悄悄访问暴风网站出现无法连接之后，便自动开始向电信的域名服务器疯狂提交查询，海量的数据信息导致了服务器资源的耗尽，造成全国网络出现大范围瘫痪。这是继2006年12月27日台湾地震导致海底光缆中断以来，中国最严重的一次网络事故。 2009年6月2日，导致国内六省互联网瘫痪的网络攻击案件的4名犯罪嫌疑人，被公安机关抓获。 网络犯罪号外 2009年— 黑客篡改彩票开奖系统 欲骗3305万元奖金 据介绍，2009年6月9日，双色球2009066期开奖，全国共中出一等奖4注，但是，开奖系统却显示一等奖中奖数为9注，其中深圳地区中奖为5注。深圳市福彩中心在开奖程序结束后发现系统出现异常，经多次数据检验，工作人员判断，福彩中心销售系统疑被非法入侵，中奖彩票数据记录疑被人为篡改。 经调查发现，这是一起企图利用计算机网络信息系统技术诈骗彩票奖金的案件，并于6月12日将犯罪嫌疑人程某抓获，程某为深圳市某技术公司软件开发工程师，利用公司在深圳福彩中心实施技术合作项目的机会，通过木马攻击程序，恶意篡改彩票数据，伪造了5注一等奖欲牟取非法利益。目前，此案正在进一步审理之中。深圳福利彩票中心及时总结了教训，进一步完善了系统安全机制，确保安全运行。 陈学军团伙虚开增值税专用发票案件 内外勾结，非法使用税务信息系统，虚开税款3.9亿 2001年初，北京市国家税务局、北京市公安局联合查处了陈学军团伙虚开增值税专用发票案件。主犯陈学军与原北京市海淀区国家税务局干部吴芝刚内外勾结，从海淀区国家税务局套购增值税专用发票10900份，为数百家企业虚开增值税专用发票2800余份，虚开税款共计人民币3.93亿元。陈学军以虚开增值税专用发票罪被判处并已执行死刑；吴芝刚以虚开增值税专用发票罪、巨额财产来源不明罪两罪并罚，一审判处死刑，二审改判死刑缓期执行。（图为吴芝刚在宣判现场） 北京市海淀区国税局增值税专用发票管理岗位的3名税务干部在案发过程中，由于思想疏忽大意，没有严格保护个人工作计算机和应用系统的密码和使用权限，为吴芝刚趁工作之便，非法获得计算机密码，进入防伪税控“认证”系统的作案行为提供了便利。这3名税务干部，因工作严重违规失职也受到严厉的法律追究，根据情节轻重，分别被处以不同程度的刑事处罚。 二、 认识信息安全环境 2.1个人信息安全保护的是什么 在当今信息化的社会中，信息对于国家、单位和个人的价值越来越高。对于一个国家信息关系到领土完整、社会稳定；对于一个单位信息关系到业务目标的实现；对于个人信息关系到事业的发展，生活的幸福。如果一个国家的军事部署信息被泄露了，在战争中就会处于被动；如果一个单位的信息系统不能正常工作了，生产活动就会陷入瘫痪；如果一个个人的银行账户信息被篡改了，就会受到严重的经济损失。 对于税务系统的工作人员，信息安全就是保护涉及秘密或者敏感的工作数据不被窃取、篡改或破坏，个人工作用的计算机软硬件可以持续稳定运行。税务系统工作人员的信息安全不仅关系到个人数据的安全，还会影响整个部门的信息安全。个人计算机作为税务信息系统的一个组成部分，如果出现安全漏洞，就可能成为信息安全防护的薄弱环节，被窃密或破坏分子利用对整个系统造成破坏。 税务工作人员需要重点保护的信息包括：涉及国家秘密的信息、内部工作文件（包括起草中未发布的政策性文件）、业务数据（如纳税人的涉税信息、发票信息、统计分析数据等）、内部行政信息（如人事、财务、纪检、监察等信息）、其它不宜公开或遭到破坏后严重影响工作的内部信息。 2.2税务机关环境下个人信息面临哪些威胁 税务机关的信息系统，由服务器、个人计算机、打印机等其他终端设备和连接它们的网络系统构成。国家税务机关的网络系统一般分为内网和外网。各级税务机关内网是全国税务系统重要的组成部分之一，承载着税收业务、行政办公等类业务应用系统。内网连接着全国所有的省级国税局和地税局，我们把这种连接称为纵向连接；内网还连接着人民银行、海关、公安、质检、市委市府等其它机构，我们把这种连接称为横向连接。外网连接着互联网，承载着网上办税系统和12366税收服务系统，向广大纳税人和社会提供纳税申报、税款征收和税收政策咨询等服务，还承载着电子邮件等互联网应用系统。 图：税务系统网络总体示意图 图：本单位内网示意图 图：本单位外网示意图 我们的个人计算机连接在网络上，所以面临着来自网络的威胁。计算机、移动存储介质是以物理实体形式存在的，所以还面临着丢失、被盗和窃用等传统的安全威胁。特别需要注意的是，虽然我们对内外网进行了划分，采取了一些物理隔离的手段，但由于非法外联和移动存储介质的不当使用，内网计算机仍然面临着来自互联网的威胁。 具体的说税务机关环境下个人信息可能面临以下安全威胁： 1、外部人员通过互联网利用木马等攻击手段窃取、篡改或破坏个人计算机中存放的敏感信息； 2、外部人员非法接入税务系统内网或直接操作内网计算机窃取、篡改或破坏敏感信息； 3、外部人员盗窃笔记本电脑、U盘等移动计算和存储设备窃取敏感信息； 4、病毒通过网络或移动介质传播造成个人计算机无法正常使用或数据破坏； 5、内部工作人员由于误操作等过失行为导致敏感信息丢失或被破坏； 6、内部工作人员由于利益驱使，利用工作之便窃取他人个人计算机中工作敏感信息。 2.3哪些个人行为可能引发信息安全事件 我们在工作中由于缺乏安全意识或为了一时之便而采取的个人行为，可能会引发严重的信息安全事件，应当尽量避免，比较典型的不当行为主要包括： 行为类别 具体行为 危害 1、非法外联 使用内网计算机接入外网 使内网计算机的数据面临外网攻击 内网计算机通过无线网卡接入互联网 破坏了税务机关内外网的物理隔离，个人计算机面临外网攻击的同时，为来自外网的攻击内网敞开了大门 不使用隔离卡而直接内外网 使用隔离卡切换，相当于使用两台计算机分别接入内外网，而拔插网络插头切换相当于将内外计算机接入外网，或将外网计算机接入了内网 2、移动介质混用 将外部U盘、外网移动硬盘等移动存储介质直接接入内网机 l 可能将外网的病毒携带进内网 l 有一些U盘病毒可以在你不知情的情况下将计算机内的文件复制在U盘上，U盘在接入外网时就会通过外网传输给攻击者 将内网专用的移动存储介质直接接入外网计算机 l 可能使内网U盘在外网感染病毒后携带回内网 l 如果内网U盘上储存有内部工作信息，可能通过外网泄露出去 属于个人的U盘用于办公环境或将单位配发的工作用U盘在个人、亲友的计算机上使用 l 将外来的病毒携带入工作网络 l 工作文件通过私人电脑泄露出去 3、密码使用不当 登录密码复杂度不够 可以使攻击者在比较短的时间内猜测出你的密码 登录密码长时间不更换 给密码破解这更多的时间来破解你的密码 将个人密码告诉其他的人 可能给他人非法使用你的计算机或应用系统账户的机会 4、不及时备份重要信息 将重要文件存放在一台电脑或一个存储介质中，长时间不进行备份。 一旦重要工作文件因停电、计算机故障或误操作丢失后，无法恢复 5、防病毒软件使用不当 没有安装防病毒软件 l 无法享受病毒监控和病毒库升级服务 l 不利于局机关进行病毒预警、趋势分析和病毒追踪等活动 没有保证防病毒软件实施扫描功能处于开启状态 无法在第一时间发现和清除病毒计算机内存中驻留的病毒 对于下载和拷贝的文件没有进行杀毒 电子邮件附件和文件拷贝是病毒传播的主要途径之一，不针对它们进行病毒查杀会使你的计算机中病毒的几率大幅增加 6、没有对操作系统进行基本的安全设置 没有将Window XP 安全中心的个人防火墙开启 丧失了将大部分通过网络传播的病毒和网络攻击拒之门外的机会 没有及时进行操作系统补丁更新 许多病毒和攻击不需要你的任何操作，只需利用操作系统存在的漏洞，不及时更新补丁就会给攻击者和病毒更多利用这些漏洞的机会 没有关闭操作系统中不需要的功能 计算机开启的功能越多，受攻击面就越宽，多余的功能往往给攻击者以可称之机 7、不良的上网习惯 使用工作机访问与工作无关的网站 如果访问了被挂马的网站，你的计算机就会成为“肉鸡” 随意下载或安装来路不明的软件 l 盗版软件往往携带有病毒 l 被大量安装流氓软件，造成计算机运行速度降低 点击来路不明的电子邮件附件或网络链接 l 通过电子邮件附件或挂马网站被感染病毒 l 落入“网络钓鱼”的陷阱 8、不注意通信场合 在即时通信系统（如QQ、MSN）、网络论坛或个人博客中谈论涉及工作秘密的话题 l 通过互联网主动泄密 l 被网络窃听造成泄密 将带有工作敏感信息的笔记本电脑或U盘携带到不安全或人员复杂的场合（如车站、机场、超市） 由于笔记本电脑或U盘丢失造成失密或泄密 2.4总局针对全国个人计算机采取的防护和监控措施 为加强个人计算机安全保护，在安全管理方面，总局制定并下发了一系列与个人计算机保护相关的规章制度，如《税务系统网络与信息安全防护体系运行管理办法》、《税务系统网络与信息安全管理岗位及其职责》、《税务系统网络与信息安全应急响应工作指南》等。 在安全技术防护方面，通过在全国范围内实施的“税务系统网络安全防护体系建设项目”为税务总局、省市级国税系统和省级地税系统，统一部署了防火墙、入侵检测系统、漏洞扫描系统、网络版防病毒软件、网络安全审计系统、桌面安全管理系统和病毒预警系统，大大减少了网络非法访问、黑客入侵、病毒大规模爆发，并对非法操作进行了监控和管理。 为了落实信息安全制度，保证信息安全技术措施发挥效力，总局还定期进行全系统范围的信息安全风险评估和安全检查工作，以及时发现和消除安全隐患。 但是，安全的实现不能只依赖于安全专家和专业机构，每个人都必须要有良好的安全意识，需要担负起保护信息安全空间应尽的职责。任何违反安全规定造成信息泄密等安全事件的个人，都将按规定受到处罚。 目前总局机关已初步具备对信息安全事件的追查、审计能力，全国范围的信息安全监控主要手段包括： 1、病毒监控 总局机关使用计算机病毒预警系统，监测全网的计算机病毒疫情，实现计算机病毒的趋势预警和宏观管理，防御计算机病毒在全国范围大规模爆发。 病毒疫情实时预警 F 总局机关可以随时查看税务系统中各地区病毒疫情总体严重程度。（下图为示意图，不代表各省真实病毒疫情） F 总局机关可以查看某一类病毒，在各单位爆发的严重程度。 F 总局机关可以根据与历史统计数据的比对分析，实施查看某单位当前的病毒疫情严重程度。 防病毒系统安装和使用情况监控 F 总局机关可以随时查看税务系统中每一台计算机是否安装了瑞星防病毒软件，且处于正常工作状态。 个人计算机病毒感染情况监控 F 总局机关可以清楚地看到哪类病毒在系统内爆发的次数较多 F 也可以看到谁的计算机总是感染和传播病毒 2、个人桌面监控 为防范来自税务信息系统内部的安全风险，并实现网络安全事件可管理、可审计和可预防，部署桌面安全管理系统，实现对内部风险的管理和控制。 个人计算机基本安全措施监控 F 总局机关可以随时统计各单位的个人计算机，是否注册了个人桌面监控系统，是否安装杀毒软件，是否按要求升级系统、安装补丁等 个人计算机异常与违规情况监控 F 总局机关可以随时查看哪些单位的哪些个人计算机，存在资源使用异常、网络非法外联、非法安装软硬件设备等异常或违规行为。 非法外联警告 F 当你使用内网计算机连接外网时桌面防护系统会马上发现并记录下来，同时你将收到如下警告 3、网络安全审计系统 为防范来自税务信息系统内部的安全风险，利用网络安全审计系统实现对网络安全状况的审计和对安全行为的审计，做到安全风险可预测、安全事件可追查。 F 总局机关可以查看税务系统中任何一台个人计算机的网络访问行为，如什么时间、什么人、访问了什么网站 F 在发生信息安全事件时，总局机关可以快速、准确地追溯到引发此事件的个人计算机 4、安全检查 从2006年开始到2009年，总局每年在全系统范围内开展网络与信息系统安全检查工作，总结和归纳各单位在信息安全工作方面的先进经验，发现信息系统建设和工作中存在的不足或安全隐患。 从检查情况来看，各级机关单位在信息安全保障方面做了大量工作，建立了初步的信息安全保障体系，但由于税务信息化高速发展，税收业务和数据日趋集中，税务系统内部分工作人员对安全问题在思想上重视不够，忽视信息安全要求导致的安全问题仍屡见不鲜，如各地普遍存在移动介质内外网混用现象；内网终端计算机存在访问互联网的记录，外网终端计算机存在涉税文件；部分核心数据库、服务器操作系统存在弱口令甚至是空口令的现象。 各单位要通过定期开展安全检查工作，提高全员安全意识，营造良好的信息系统运行环境。 2.5 对个人的信息安全要求 国家税务机关工作人员应当了解有关个人信息安全的法律法规和部门规章制度要求，作一个知法守法的公务员。 1、国家法律法规的要求 F 《中华人民共和国保守国家秘密法》 现行《中华人民共和国保守国家秘密法》（以下简称《保密法》）是从1989年5月1日起开始实施的。《保密法》给出了国家秘密的定义，《保密法》划分了国家秘密的范围，《保密法》 明确了泄密法律责任，划清了罪与非罪的界限和量刑标准，为及时惩治犯罪和准确打击泄密违法行为提供了法律武器。 《保密法》明确规定：“不准在私人交往和通信中泄露国家秘密。”“在有线、无线通信中传递国家秘密的，必须采取保密措施。不准使用明码或者未经中央有关机关审查批准的密码传递国家秘密。”“未经有关主管部门批准，禁止将属于国家秘密的文件、资料和其他物品携带、传递、寄运至境外。”“国家秘密应当根据需要，限于一定范围的人员接触。”“国家工作人员或者其他公民发现国家秘密已经泄露或者可能泄露时，应当立即采取补救措施并及时报告有关机关、单位；有关机关、单位接到报告后，应当立即作出处理。” 《保密法》还规定：“故意或者过失泄露国家秘密，情节严重的，依照刑法第一百八十六条的规定追究刑事责任。违反本法规定，泄露国家秘密，不够刑事处罚的，可以酌情给予行政处分。” 什么是国家秘密？ 国家秘密是关系国家的安全利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。 国家秘密的范围是什么？ 国家事务的重大决策中的秘密事项、国防建设和武装力量活动中的秘密事项、外交和外事活动中的秘密事项以及对外承担保密义务的事项、国民经济和社会发展中的秘密事项、科学技术中的秘密事项、维护国家安全活动和追查刑事犯罪中的秘密事项、其他经国家保密工作部门确定应当保守的国家秘密事项、 政党的秘密事项中，符合国家秘密诸要素的，也属于国家秘密。 依据《刑法》如何量刑？ 国家机关工作人员违反保守国家秘密法的规定，故意或者过失泄露国家秘密，情节严重的，处三年以下有期徒刑或者拘役；情节特别严重的，处三年以上七年以下有期陡刑 。 F 什么是破坏计算机信息系统罪？ 刑法第286条规定，违反国家规定，对计算机信息系统功能以及存储、处理或传输的数据和应用程序进行删除、修改、增加、干扰，造成计算机信息系统不能正常工作，后果严重的，处以五年以下有期徒刑或拘役；后果特别严重的，处以五年以上有期徒刑。并明确规定故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常进行的，后果严重的也属于破坏计算机信息系统罪。 F 具体的网络犯罪行为包括哪些？ 2000年12月28日，第九届全国人民代表大会常务委员会第十九次会议通过《全国人民代表大会常务委员会关于维护互联网安全的决定》，其中对网络犯罪行为进行了全面的阐述： (1)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统； (2)故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害； (3)违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。 (4)利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家、破坏国家统一； (5)通过互联网窃取、泄露国家秘密、情报或者军事秘密； (6)利用互联网煽动民族仇恨、民族歧视，破坏民族团结； (7)利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。 (8)利用互联网损害他人商业信誉和商品声誉； (9)利用互联网侵犯他人知识产权； (10)利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息； (11)在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片。 (12)利用互联网侮辱他人或者捏造事实诽谤他人； (13)非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密； (14)利用互联网进行盗窃、诈骗、敲诈勒索。 F 国家对电子政务系统信息安全的有关要求 国务院办公厅2008年印发有关文件指出，当前境内外敌对势力大肆利用各种手段对我各级行政机关进行网络攻击、窃密等活动，政府信息系统安全和保密管理工作中还存在不少薄弱环节，一些单位和人员信息安全和保密意识淡薄，管理机制不落实、技术防护措施不完善，安全隐患比较严重，信息安全形势十分严峻。文件要求，为切实提高政府信息系统安全保障能力，各地、各部门要做好组织领导、教育培训、措施手段和安全监察四方面的工作。对于强化教育培训，提高安全意识和防护技能，特别提出“加快研究建立行政机关工作人员信息安全技能考试制度，逐步做到工作人员持证上岗。” 国务院办公厅2009年印发有关文件要求通过定期展开全面的安全检查，查找隐患，堵塞安全漏洞，完善安全措施，减少安全风险，提高应急处置能力，确保政府信息系统持续安全稳定运行。“工作人员参加信息安全教育培训、掌握信息安全常识和技能”，以及“对违反信息安全规定行为和造成泄密事故、信息安全事故的查处情况，对责任人和有关负责人的责任追究以及惩处措施落实情况”都是安全检查的重点内容。 2、总局领导的要求 F 肖捷局长对信息系统安全检查工作做出重要指示 着力从增强安全意识、制度建设、系统保障、落实责任等方面加大工作力度。 F 钱冠林副局长、宋兰副局长部署信息安全检查工作 2008年3月12日，总局党组决定召开总局机关计算机和移动存储介质保密检查工作会议，着力解决总局机关信息安全保密工作中存在的问题，对总局机关工作人员日常计算机操作明确提出“四禁止”、“三不准”、“三必须”的工作要求。 F 钱冠林副局长、宋兰副局长部署信息系统安全隐患排除工作 2008年5月，针对《关于国家税务总局信息系统存在信息安全隐患有关情况的汇报》，钱冠林副局长指示信息安全问题是一项系统工程，必须统筹规划，科学设计，严密制度，并保证财力支持，坚决堵绝信息系统存在的安全隐患。 宋兰副局长指示要本着标本兼治、远近结合的方法采取相应措施，通过自查、自补漏洞等方式排除安全隐患。加强信息安全审核，从制度上杜绝安全漏洞。 3、总局规章制度的要求 F 办公计算机类设备配备使用和安全管理的要求 针对办公计算机类设备配备使用和安全管理的要求，《国家税务总局机关办公计算机类设备配备使用和安全管理办法》（以下简称《办法》） 有“总局机关配备的办公计算机类设备按照‘谁使用谁负责’的原则进行管理，使用人员应保证所配备的设备不丢失，不因非正常原因损毁，且用于正当用途”的规定，各地可以参照执行。 《办法》对个人计算机的使用明确提出下列要求： （一）台式计算机、便携式计算机实施分类管理制度。总局机关配置的计算机根据用途分为内网机、外网机、涉密机三类，严格实施分类管理，不得交叉使用。涉密机必须张贴明显标识。 （二）台式计算机、便携式计算机必须按照统一要求安装桌面管理系统、防病毒等安全防护软件，并及时进行升级，及时更新操作系统补丁程序。使用人员不得安装、运行、使用与工作无关的软件，不得自行更改计算机设置，不得自行卸载桌面管理系统、防病毒等安全防护软件。 （三）台式计算机、便携式计算机必须设置开机口令，长度不得少于8个字符，并定期更换，防止口令被盗。 （四）台式计算机、便携式计算机应严格区分用途，禁止使用非涉密机处理涉密文件，禁止在外网机上处理和存放内部文件资料，禁止在内外网之间交叉使用，严禁将涉密机带到与工作无关的场所。 （五）内网机、涉密机不得安装、开启无线网络设备，内网机、涉密机原则上不得改变用途。 《办法》对移动存储设备的使用明确提出下列要求： （一）禁止移动存储介质未经处理在内、外网之间交叉使用。 （二）统一配备的安全U盘只适用于内网机之间复制数据，从外网向内网复制数据应通过刻录光盘单向导入，不准将外部U盘、外网移动硬盘等移动存储介质直接接入内网机。 （三）用于外网的移动存储介质中不准存储工作文件，用于内网的移动存储介质不准接入外网。 F 纳税人涉税保密信息的保密的要求 纳税人涉税保密信息是指涉及到纳税人商业秘密和个人隐私的信息，主要包括纳税人技术信息、经营信息和其它不愿公开的个人事项。国家税务总局今年来陆续下发了《纳税人涉税保密信息管理暂行办法》和《关于加强年所得12万元以上个人自行纳税申报信息保密管理的通知》等文件，强调税务机关和税务人员对纳税人涉税保密信息保密的重要性，明确了保密范围，保密行为准则和泄密、失密的责任追究。 税务人员只能在职责范围内接收、使用和传递纳税人涉税保密信息，在税收征管的各个环节都要为纳税人保密。税务人员要认识到为纳税人保密不只是道德问题，更是法律问题，泄露了纳税人涉税保密信息，就违反了《中华人民共和国税收征收管理办法》。 对有下列行为之一的税务人员，将按照《中华人民共和国税收征收管理办法》第八十七条的规定进行处罚： （一）在受理、录入、归档、保存纳税人涉税资料过程中，对外泄露纳税人涉税保密信息的； （二）在日常税收管理、数据统计、报表管理、税源分析、纳税评估过程中，对外泄露纳税人涉税保密信息的； （三）违反设置查询权限或者违规进行技术操作，使不应知晓纳税人涉税保密信息的税务人员可以查询或知晓的； （四）违反规定程序向他人提供纳税人涉税保密信息的。 4、总局对税务系统工作人员的具体要求 F 对税务工作人员的一般要求 税务系统全体工作人员，应遵守总局对税务系统工作人员信息安全的一般要求： l 不得随意修改个人计算机的网络配置信息，不得进行任何形式的网络非法外联； l 严格保护个人计算机的帐户和口令，不得泄露给他人，并保持口令健壮和及时更新； l 在临时离开工作岗位时，必须激活带口令的屏幕保护程序，或将系统锁定（对Windows 2000可使用Ctrl+Alt+Del锁定），或返回登录状态，或关机；同时，将桌面的敏感材料锁入抽屉中； l 员工的计算机和手提电脑必须开启防火墙功能并安装防病毒软件，及时进行版本升级和病毒库的更新，当认为自己的计算机可能已感染病毒时，必须立即报告信息技术部门处理； l 员工的计算机必须由信息技术部门统一安装应用软件，不得安装其他与工作无关的软件，如QQ，MSN，各种游戏等； l 定期备份计算机中重要信息数据，及时清除计算机中敏感信息数据； l 一旦发生故障，及时向信息技术部门提出维护申请，并记录故障情况，以便信息技术部门及时处理解决问题； l 必须安装并及时更新防病毒软件，在使用外来存储介质及接收邮件之前，必须杀毒； l 必须确保所有个人重要数据（如电子邮件、个人文档等）及时备份，并将备份数据保存在安全地点。； l 材料文档应该按照机密等级分类整理，涉密信息不得以电子形式在网上传输，对涉及秘密信息的文档材料在离开办公室时应该锁入抽屉； l 软盘、光盘、闪存、磁带等存储介质上的数据不再需要时，必须及时对数据予以清除，对手提计算机、软盘、移动硬盘、闪存等便携设备，进行妥善保管，不随意带出办公地点，防止被盗； l 妥善保管人事财务、涉密公文、税务信息和纳税人信息，未经允许不得公布或泄露给他人。 F 对领导干部的信息安全工作要求 税务系统各级单位的领导干部，除需遵守总局对税务系统工作人员信息安全的一般要求外还需遵守以下要求： l 负责审批本单位的信息安全策略，建立和完善本单位信息安全管理组织机构； l 对本单位的信息安全工作提供方向性决策，并为信息安全工程