税务系统违规外联专刊
目录
【主要问题】 . ......................................... 2
违规外联主要风险点 . ....................................................................... 2
【预防措施】 . ......................................... 4
违规外联防范措施建议 ................................................................... 4
【技术支持】 . ........................ 错误!未定义书签。
相关技术支持联系方式 ............................ 错误!未定义书签。
编者按:如何及时发现风险点,有效防范违规外联的情况发生,将是全市税务系统重点关注和思考的问题,也是一项需高度高视、长抓不懈的工作。现编发本期专刊,从入网、运维、维修等几个阶段对存在的违规外联风险点进行分类汇总,并提出预防措施,以供各单位参考借鉴。
【主要问题】
违规外联主要风险点
据近期税务系统违规外联统计数据显示,税务业务专网90%以上的违规外联属于计算机用户个人行为,违规外联的风险点按阶段分类,主要表现为:
一、入网阶段
(一)存在税务业务专网计算机未安装防护软件,造成不可控因素。
(二)因网线及网口标识不清,税务业务专网终端计算机网线误接入互联网,造成违规外联。
(三)因系统升级维护,税务业务专网终端计算机接入互联网,造成违规外联。
二、运维阶段
(一)联接手机无线热点。计算机(笔记本电脑、带无线接收装置的台式计算机)通过手机无线热点功能,利用手机移动网络联接互联网造成违规外联。
(二)联接手机蓝牙。计算机(主要体现在笔记本电脑)通过联接手机蓝牙热点,利用手机蓝牙网络共享功能,联接互联网造成违规外联。
(三)联接手机网络。该情况主要发生在计算机USB 接口接入手机数据线进行充电或数据传输。计算机共享了手机移动网络,联接互联网造成违规外联。
(四)接入无线上网卡。无线上网卡分为两种,一种是需要拨号上网的,另一种是自动联接拨号上网的,通过联接电脑USB 等接口拨号接入互联网,造成违规外联。
(五)接入具备WIFI 功能的智能移动存储介质。该情况主要发生在纳税人到税务部门办理涉税业务时,使用的存储介质具备WIFI 功能,接入后会导致计算机自动联网,造成违规外联。
(六)接入具备联网功能的充电宝。部分品牌的充电宝具备联网功能,接入后会导致计算机自动联网,造成违规外联。
(七)接入无线网络接收器。无线网络接收器类似于无线上网卡,但功能上是搜集周围互联网WIFI 信号,通过验证后获取外网IP 地址并接入互联网,造成违规外联。
(八)专网计算机出现故障,需要还原GHOST 系统,原GHOST 系统有过违规外联记录,还原后数据上报,造成违规外联。
(九)专网计算机通过代理服务器联接其他网络,造成违规外联。
(十)税务业务专网未按规定采取安全防护措施与当地电子政务外网直接联接,造成违规外联。
(十一)专网计算机安装双系统引起的风险。在税务业务专网计算机终端安装了双系统或者虚拟机,造成违规外联。
三、维修阶段
(一)税务业务专网计算机损坏送厂家维修时,维修人员联接互联网更新软件或硬件驱动,造成违规外联。
(二)存有违规外联信息的旧硬盘未进行格式化直接安装到专网计算机,造成违规外联。
【预防措施】
违规外联防范措施建议
结合税务工作实际,综合各单位工作经验,针对上述风险点,提出以下违规外联管理工作措施和建议:
一、入网阶段
(一)加强安全意识教育。重点加强对新入职人员、外部技术服务人员、轮岗人员入网前的违规外联防范知识宣贯,落实责任。
(二)加强终端计算机资产管理,确保360天擎安防系统全覆盖。目前,税务系统仍存在部分专网终端计算机未安装税务定制版360天擎安防系统,各单位应高度重视,全面梳理内外网终端计算机资产,实现360天擎安防系统全覆盖,结合各
地实际设置全局策略和本地策略,规避不受控终端引发的违规外联风险。
(三)严格网络准入控制,严把入口关。严格落实业务专网接入审批流程,确保实名注册,严格执行入网前病毒、木马检测和查杀,并确保计算机在入网前无违规外联记录。接入过互联网的计算机必须格式化硬盘后重新装入系统,以杜绝违规外联隐患。
(四)内外隔离,标识明晰。分别为内外网设置不同IP 地址段,明确标识内外网计算机、网络设备、网络插口、网线等,避免因误操作引发的违规外联行为。
二、运维阶段
(一)优化税务业务专网安全策略,对内网可访问网段进行限制。
(二)严禁税务业务专网计算机联接移动智能设备和安装无线接收设备。加强对税务业务专网计算机硬件变化的实时监控,并对责任单位和个人实施相应惩戒措施。
(三)通过360桌面终端管理软件策略设置,禁止税务业务专网笔记本电脑和带无线网卡的台式计算机开启无线网卡、蓝牙、红外等网络共享等功能,切断与移动智能设备、无线热点等设备节点的联接通道。
(四)严格税务业务专网接入管理。确保税务业务专网与外部门联网必须在横向联网安全域内进行,坚决杜绝税务业务专网与外部网络直接联接的现象。
(五)禁止在税务业务专网终端计算机上安装多操作系统。各地应主动采用技术手段对终端计算机安装多操作系统行为进行监控,对违规单位和个人实施惩戒措施。确因工作需要安装多操作系统的,应严格审批流程并做好登记,确保每个操作系统均安装360天擎安防系统软件,要安排专人重点加强监管。
(六)提供双网隔离终端或独立的外网终端,满足办公人员浏览查询互联网的需求,减少内网终端私接外网的可能性。
三、维修阶段
(一)各单位信息技术部门负责计算机报修维护工作,应制定税务业务专网计算机报修流程,并与维修厂商签署保密协议。
(二)涉密计算机要在移除硬盘后方可送厂家维修。硬盘进行维修且存储涉税及办公数据的,要有专人在场陪同。
(三)专网计算机出现故障,还原GHOST 系统后需要重新接入税务业务专网的,要按照入网阶段要求,做好网络准入控制、安装360天擎安防系统管理软件、病毒木马查杀等规定动作,在确保无违规外联记录后方可接入税务业务专网。
(四)专网计算机硬件损坏需要送到厂家维修时,明确禁止通过互联网更新软件或硬件驱动,确有需要的应通过存储介质导入。
(五)待报废计算机硬盘原则上不再使用,确有需要的应当提出申请,审批通过后按照入网阶段的规定动作要求,确保无违规外联记录后方可接入税务业务专网。所有报废计算机应将硬盘收回统一存放,待审批程序后统一做销毁处理。