强化税务干部的信息安全意识是做好信息安全工作的保障

强化税务干部的信息安全意识是做好信息安全工作的保障

周晓峰

国家税务总局通化市税务局

内容摘要：随着全球信息化步伐的加快，网络应用的日益普及和更为复杂，网络安全事件不断出现，网络与信息安全越来越成为人们关注的重点，税务系统内部网络和信息也逐渐受到更大的威胁。强化税务干部的信息安全意识教育是做好信息安全工作的基础和保障。

关键词：强化 网络 信息安全 教育

思想决定行动，行动决定结果。“思想意识决定行动，行动反作用于思想意识。”所谓意识领先，是在发挥主观能动性的意义上，就意识和行动的关系而言的。其基本含义是：思想意识支配行动，是行动的先导和动力。人们无论做任何事情，都是先有思想、后有行动。有正确的思想才有正确的行动，有积极的思想才有积极的行动，有统一的思想才有统一的行动。对于思想支配行动这个道理，马克思在《资本论》中就作过形象而又深刻的阐述：“蜜蜂建造蜂房的本领使人间的许多建筑师感到惭愧。但最蹩脚的建筑师从一开始就比最灵巧的蜜蜂高明的地方，是他在用蜂蜡建筑蜂房以前，已经在自己的头脑中把它建成了。劳动过程结束时得到的结果，在这个过程开始时就已经在劳动者的表象中存在着，即已经观念地存在着。”(《马克思恩格斯全集》，人民出版社1971年版，第23卷，第202页)

随着网络应用的日益普及和更为复杂，网络信息安全事件不断出现，电脑病毒网络化趋势愈来愈明显，垃圾邮件日益猖獗，黑客攻击成指数增长，利用互联网传播有害信息手段日益翻新……网络带给人们自由开放的同时，也带来不可忽视的安全风险。网络与信息安全越来越成为人们关注的重点。近年来中国互联网始终保持快速发展，尤其伴随全球新冠疫情暴发，互联网更加显示出强大力量，也对我国打赢疫情防控阻击战起到了关键作用。统计显示，截至2020年12月中国网民数量达到9.4亿。中国网民，指平均每周使用互联网至少一小时的中国公民。我国网民规模达9.89亿，手机网民规模达9.86亿，互联网普及率达70.4%，目前中国境内的网站总数已经达到了523万个。与此同时，互联网的开放性和安全漏洞带来的安全风险无时不在，恶意攻击、信息篡改、信息泄密等影响国家政治、经济、军事、文化等各个领域。

全球信息化步伐的加快，网络信息已经成为每个国家、各行各业寻求发展和完善的基础设施。但无论是网络技术的具体操作，还是规章制度的贯彻执行，都是通过人的意志、人的认识、人的行为来实现的。所以，面对网络信息安全的严峻挑战，我们必须注重“人的因素第一”这个根本，加强网络管理中的信息安全保密教育。要做到这一点，就必须把网络安全保密教育渗透到各项工作中去，重在经常，贵在平时。加强宣传和教育，营造良好的网络信息安全保密教育环境。要大力提高广大税务干部和计算机操作人员的信息安全保密意识，充分发挥他们在网络信息管理中的基石作用，在全体干部中逐步普及网络信息安全知识，引导大家从国家和社会安全角度重视网络信息安全。各基层单位的信息中心要经常组织开展有针对性、科学性的多种形式宣传、教育、学习活动，从对有关人员的职业道德、系统安全意识、遵守各项安全保密条例等教育抓起，对计算机操作人员进行培训并进行安全保密常识考核，对积极参加教育，网络信息安全保密意识强，遵守各项规定的，成绩突出的要及时进行表彰奖励；对参加教育不积极，学习不认真，保密意识淡薄，思想麻痹，防范消极的，要给予批评帮助，切实提高干部的网络信息安全保密观念和警觉性，营造一个良好的网络信息安全保密教育环境。

采取科学教育手段，增强网络信息安全保密教育的有效性。要围绕网络管理的信息安全保密教育开展宣传，运用多种形式、多种载体、多种渠道，激发全体干部的自我学习、自我教育热情。通过上教育课，观看录像以及利用广播、橱窗、板报、墙报、网络等形式进行经常性教育。每逢重大节日、人员出差、休假等时机，都要进行有针对性的网络信息保密安全教育，克服部分同志对待网络信息安全保密教育的厌烦情绪。要把自我教育放在重要位置来考虑，引导、启发广大干部变被动式教育为主动式教育，从教育的准备到教育的展开、总结都让干部主动参与。如在教育准备阶段，发动大家搜集整理有关网络信息安全方面的各种资料，组织部分有授课能力的干部参加备课、授课，让他们主动参与；在教育实施阶段，采取不同的形式组织开展座谈会、讲座、看录像、交流体会、知识竞赛等教育活动，把讲台交给干部，使广大干部在相互学习、相互启迪和自我教育、自我完善中深化对网络信息安全重要性的认识；在教育总结阶段，请干部们谈收获和体会，谈自己的见解和建议，再将这些好的体会和建议通过广播、墙报、简报、黑板报等各种形式展现出来，使人人都是教育者和被教育者，从而增强网络信息安全保密教育的有效性。

与各种教育相结合，使网络信息安全保密教育经常化具体化。一是与经常性教育相结合。通过组织干部学习《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》、《吉林省税务系统保密工作十要二十不准》和《国家税务总局通化市税务局计算机网络信息安全保密制度》等制度，使干部明确网络信息安全保密是适应新形势发展的需要，从而提高广大税务干部自觉履行保密义务的责任感。二是与法制教育相结合。向大家及时通报一些失泄密案例，用泄密犯罪的反面事例教育干部，在干部中灌输“保密光荣、泄密可耻”的思想，使大家充分认识到保守国家秘密是税务干部的神圣职责，提高广大干部的保密观念，做到自重、自省、自警、自励，永远筑牢思想上的保密防线。三是与思想政治教育相结合。通过深化信息安全教育，使干部们牢固树立正确的人生观、价值观，自觉抵制拜金主义、享乐主义和极端个人主义的思想侵蚀，并针对失泄密事件多数与经济有关的教训，用典型的失泄密事件教育警示大家，增强干部们对腐蚀源的免疫力和抵抗力，使广大税务干部人人受教育、个个受触动，管理中进一步增强网络安全保密观念。

通过不断强化税务干部的信息安全意识，引导我们的税务干部通过不断在工作中实践来认识到信息安全的重要性。

　　着重点有两点是安全意识培训进程中需要特别注意的。第一点，对全局都要教授一致的安全信息，就目前现实情况来说我局还不具备实行不同倾向的多种培训计划。并且，这项计划要由信息技术部门协同人事教育部门共同负责管理。第二点，要谨记大部分计算机使用者并不是专门人员，培训应该简单且接近日常用户。

　　无论侧重点是什么，以下这些在计划中都是绝对必要的。

（1）用户名和密码的处理

　　计算机使用者应该学会安全操作用户名和密码。比如，如何选取安全系数高的密码，不要将密码写在纸上或写在粘贴于显示器的便签上，更不要告诉任何人包括技术部门人员。

（2）网络和邮件的使用

　　计算机使用者应该学会提防电子邮件的附件，特别是来自未知发件人的邮件。告诉他们这些附件可能包含病毒、特洛伊木马和其他恶意程序等会损害公司的东西。全体干部还需要知道机关内部对合理使用互联网和安全浏览的政策，在办公室的网络接入应该只能用于业务用途。色情和赌博网站都会含有恶意程序。这些要在协商中解释以使全体干部理解。

（3）移动设备和便携式笔记本电脑安全

　　教导配备便携式笔记本电脑经常出差的人如何防止在旅行中电脑被盗，要他们在机场等公共场所登陆时要当心别人偷窥到用户名和密码。计算机使用者也要知道在办公室中USB接口和无线接入点能造成的威胁。应该教他们这些移动设备不能在工作中使用。

　 （4）社会工程学

　　经常负责与企业办税人员接触的计算机使用者有可能被一些精于记诵的人欺骗，他们会用花言巧语诱骗这些计算机使用者透露单位的信息或者能够接入重要系统和资料数据的用户名和密码。教这些员工基本的职业诀窍以防止他们被骗。

　 （5）应对突发事件

　　如果一个计算机使用者感到有些东西可疑或认为出现了漏洞，教给他们应对这些突发事件的程序。让他们知道该去找谁和怎么找。

　 （6）内部培训、外部培训或网络培训

　　传统上，有三种途径策划安全意识培训：在单位内部寻找培训人员和培训部门，聘请外部培训公司或者依托网络、电脑进行培训。

　　单位可以使用内部资源进行范围性培训或者购买网络、电脑的培训程序。另外，还可以创造性的在办公室张贴些成本低的彩色安全意识海报对员工潜移默化。

保障网络信息安全是一项长期的工作，需要我们坚持不懈。增强税务干部的信息安全意识，总结和交流税务系统网络与信息安全工作经验，提高税务系统网络与信息安全工作水平，围绕税收中心工作，理论与实践相结合，管理与技术并重，不断在工作中总结我系统网络与信息安全工作的实践和经验。我们税务系统现在的网络与信息安全防护体系已经建立，而且效果显著。自2005年以来，总局先后推广运行了瑞星杀毒网络版软件、解放军总参三部（IDS）入侵检测系统、方正硬件防火墙、北信源桌面安全防护系统和天融信安全审计系统，以及360新天擎终端管理系统、北信源内网安全管理和补丁分发系统。这些系统已经在我系统全网运行，使我系统网络信息安全上升到了一个新的高度。同时我局根据省局对网络信息安全管理的要求，制订了适合我局现状的计算机网络信息安全管理办法和网络管理维护标准，并保证定期进行网络信息安全自查工作。自2006年开始我系统已连续十几年开展了认真细致的网络与信息安全自查等相关工作。我市税务系统调整充实了税收管理信息化建设领导小组、成立信息安全管理委员会，信息中心指定专人负责本单位的信息安全管理工作。我局还对网络安全管理人员和敏感性工作人员实行了专业技能培训，同时接受安全规程和正确使用信息处理设施方面的培训，并取得网络安全管理员的相关认证，要求工作人员要明确工作职责，避免权限的滥用。

各国对网络和信息安全技术方面的研究内容主要是对网络安全监控管理理论和机制的研究，对入侵手段的研究分析、系统脆弱性检测技术、报警技术、信息内容分级标识机制、智能化信息内容分析等，涉及到的相关技术包括：

•密码技术；

•鉴别技术；

•访问控制技术；

•口令控制技术

•防火墙技术；

•计算机网络病毒防治技术；

•信息泄漏防护技术；

•计算机系统安全薄弱环节检测技术等。网络与信息安全已成为我国信息产业健康发展必须面对的严重问题。目前，各种网络安全漏洞大量存在和不断被发现；漏洞公布到利用漏洞的攻击代码出现时间缩短至几天甚至一天，使开发、安装相关补丁及采取防范措施的时间压力增加；网络攻击行为日趋复杂，防火墙、入侵监测系统等网络安全设备不能完全阻挡网络安全攻击；黑客攻击目标从单纯追求“荣耀感”向获取实际利益方向转移；针对手机等无线终端的网络攻击正进一步发展；随着网络共享软件、群组交互通信、地址转移、加密代理、信件自收发、无界浏览器、动态网络等新型技术的不断开发和应用，传统的网络安全监管手段和技术实施措施难以有效发挥。

现在国际上有许多发达国家都开展了广泛有效的网络安全培训教育方法。

美国一家Native Intelligence（开放图书馆）公司出台了一个有趣的培训计划。这家公司提供网络培训，带有安全小提示的通讯和海报。所有材料都能够定制并印上你们公司的标识。该公司也对材料定期升级。这个程序能够指导谁完成了培训，以保证每个单位员工都真正接受了需要的安全培训。

英国某公司也提供相似的网络培训，他们可以定制培训以适应个别公司的需求。他们同样提供不需要定制的产品。该公司提供网络培训、视频教育、实况指导、角色扮演和仿真游戏。

最新奇的途径来自于俄罗斯国家安全研究院。他以HTML格式向用户发送带有安全信息的电子邮件和会直接弹到员工桌面的弹出窗口。它宣传自己是最便宜的，培训五千名工作人员只需每年995美元。

当然，我们只是借鉴一下他们的培训技巧，针对安全考虑我们作为政府机关坚决不能与他们建立合作关系。

当今信息化时代，网络与信息安全已经成为关系国家安全和发展、关系广大人民群众切身利益的重大问题。党的十八大以来，以习近平同志为核心的党中央从总体国家安全观出发对加强国家网络安全工作做出了重要部署，对加强网络安全法制建设提出了明确要求，信息安全的重要性被提升到一个空前的战略高度。在这样的形势下，施行《中华人民共和国网络安全法》，成为维护国家广大人民群众切身利益和网络安全的客观需要，也是落实国家总体安全观的重要举措。

正是因为安全威胁的无处不在，才使得安全这个字眼被越来越多的提及。由于网络规模的不断扩张以及各种应用类型的不断融合，我们的信息社会正处于一个极大繁荣而又不受控制的“喧嚣”阶段。最近几年无线技术的迅猛发展，加速了网络边界从人们视线中消失的速度。而通讯协议和网络应用的发展在引领人们跨越交流壁障的同时，也为各种安全威胁提供了“机会”。目前威胁主流系统的安全漏洞已经数以千计。即使在一个小型的企业网当中，也难于对每个可能发生安全问题地地方进行监控，而在浩瀚的互联网世界，更是有无以计数的危险。

网络与信息安全将呈现以下发展趋势：

1、安全需求多样化

随着我国信息化建设的推进，用户对于安全保障的要求会越来越高，对网络与信息安全的需求会越来越大

2、技术发展两极分化：专一和融合

诸如防火墙、IDS、内容管理等产品方案会越做越专，这是因为在安全需求较高的要害行业须应对复杂多变的安全威胁。同时，融合也是一种趋势，基本的防火墙功能也被集成到了越来越多的网络设备当中。在软件领域，安全功能除了在软件系统中被越来越多的考虑之外，大量进行网络管理的软件都增加了防范恶意程序及行为的机制。

3、安全管理体系化

“三分技术，七分管理”，管理作为网络与信息安全保障的重要基础，一直倍受重视。在国家宏观管理方面，我国将在“积极防御、综合防范”的管理方针指导下，逐步建立并完善国家信息安全管理保障体系：进一步完善国家互联网应急响应管理体系的建设，加快网络与信息安全标准化的制定和实施工作，加强税务等要害行业安全监管和信息安全等级保护工作。在网络信息系统微观管理方面，网络与信息安全管理正逐渐成为政府行业管理越来越关键的一部分，越来越多的企事业单位将在今后几年内逐步建立自身的信息安全管理体系（ISMS）。

继续做好信息安全工作，不断加强广大干部的信息安全教育任重而道远。今后我们将继续加强网络与信息安全工作的系统教育，认真遵守网络与信息安全工作的有关规定，时刻绷紧网络与信息安全这根弦，进一步强化信息安全意识、规范信息安全管理，为税收事业发展提供可靠保证。提高网络与信息系统的安全保障能力，切实保障税务网络与信息系统安全运行。

参考文献：

（1） 作者：庞南 《信息安全管理教程》 中国人民公安大学出版社 2006年11月

（2） 作者：北京大学电子政务研究院电子政务与信息安全技术实验室 《信息安全管理基础》 人民邮电出版社 2008年4月

（3）作者：田园 《网络安全研究》人民邮电出版社 2007年9月

（4）作者：杨义先 钮心忻等 《信息安全新技术教育》北京邮电大学出版社 2008年7月

1979年7月9日，男，汉族，吉林通化，国家税务总局通化市税务局，大学本科无学位，中级电子工程师（CISP注册信息安全工程师），信息中心副主任。