安全系统的报道往往不好看,原因就在于“外行看热闹,内行看门道”。但另一方面,受访者也是内行,于是就“鸳鸯绣出凭君看,莫把金针度与人”。但出乎我的预料,青岛市国家税务局信息中心副主任姜仁锡却是豪爽异常,不仅拿出了绣品,还亮出了幕后的针法。
青岛国税局的信息化
说起青岛国税局的信息化,还真是有绝活。姜仁锡介绍说:“十几年来,青岛国税局的信息化工作一直致力于向国内同行前列的目标迈进。”这话并非空穴来风。
青岛国税局目前已实现了95%以上的纳税人能从网上直接纳税,更有90%以上的税收收入直接来自网上办税。可不要小看这个数字,由此为纳税人节省的时间和精力有多少,恐怕只有纳税人自己说得清了。某城市的国税局原来是一个交通堵点,自从实现了网上纳税,这个交通堵点居然就通畅了。
但是,青岛国税局这样做,实际上就是把麻烦揽到了自己头上。姜仁锡介绍说:“实际上,信息化程度越高,我们可能遇到的安全问题就越大。因此,如何高效、优质地在为纳税人服务,如何保证纳税人信息的安全,如何让纳税人的数据更顺利地上传,类似的方方面面的问题一直困扰着我们。”
面对这些问题,青岛国税局没有退避,而是做出了一些更大胆的举动。在我们见过的相当多的系统中,内网与外网之间实现了“绝对的隔离”,“绝对的隔离”带来了“绝对的安全”。但接下来,一个不折不扣的信息孤岛就这样人为造出了。
与此相比,青岛国税局的做法完全相反。青岛国税局利用税税通实现了外部网站“网上办税厅”和内部工作网站“我的办公室”的信息互联互通,纳税人在这里提出的需求将同步转化为相关人员的工作任务,对各项服务措施的落实情况,青岛国税局的相关人员会全程监督。
但如此一来,因安全工作压力所增加的工作量,只有姜仁锡这样的一线信息化工作者才能感受得到:“我们一再强调外部边界和内部边界的安全。在外部增强了Web防护,防火墙、网闸、IDS、IPS等安全技术,能采用的都采用了。在内部则加强税务人员安全工作规范。此外,还加强了应用系统的安全。数据库、应用系统的代码安全,漏洞扫描,风险评估等等,类似的工作当时不知做了多少。”
而做为一名资深的技术管理人员,姜仁锡心里非常清楚:信息安全完全可以被看做是一场战争,信息安全只能是暂时的平衡。在这个平衡的背后,攻与防的双方无时无刻不在进行着一场较量。面对着来自信息安全方面越来越大的压力,青岛国税局信息中心开始感受到信息化专业人员空前的短缺。
这一次,面对压力,青岛国税局同样没有退却。穷则变,变则通。想到了“变”,一个大胆的想法在脑海里产生了。
引援的后果
事实上,国内从事过信息安全工作的人都承认这样一个事实:由于攻与防两方的不断斗争,因此行业内高水平的信息安全工作人员需要进行持续的学习,这使得行业内高水平信息安全工作人员的短缺成为一种常态。但对青岛国税局来说,为纳税人提供越来越多、越来越便利的服务的宗旨不能变,由此因信息安全带来的工作量需要自己消化,这让负担越来越重的姜仁锡等人感到了压力。于是,他们想到了引援。
很简单,就是引进专业的安全服务人员来提升青岛国税局的网络安全管理水平。信息中心的这一想法得到了上级的肯定。接下来就是招标的过程,一番较量之后,东软NetEye顺利中标了。但让东软人想不到的是,麻烦跟着就来了。
青岛国税局的工作人员出于责任心的考虑,认为税务方面的信息是秘密,虽然双方早就签有保密协议,但关键信息还是不愿与东软NetEye项目组成员分享。也有个别人担忧:“如此这些信息落入到专业厂商手中,专业厂商中某些人如果反向实施攻击,就太容易得手了。”
事情的发展陷入了僵局,一周时间就这样过去了,到了东软工作人员进驻的第二周,情况依然没有好转的迹象。
于是,东软NetEye团队加大了双方沟通的力度。姜仁锡介绍说:“通过这些沟通,我们更深刻地体会到东软公司诚信为本的经营主旨。”双方紧张的关系出现了松动。但要完全解开僵局,东软人还得拿出点绝招来才成。
由于相关的保密制度,接下来我们无法具体描述。但对此,姜仁锡做出了总结:“在解开僵局的过程中,东软NetEye团队有技术,也有资源,解决了一些困扰了我们很长时间的问题。通过这些事,双方的合作更紧密了。”
东软NetEye的任务是协助青岛国税局完善信息安全管理体系,建立风险评估及整改机制,加强日常安全运维,完善信息安全培训机制,给安全体系架构做分级,制定安全规划,负责涉及这些项目的咨询、顾问、测试等。青岛国税局的信息化安全工作,总结起来可以用统筹规划、分步完成,内外兼顾来说明。统筹规划就是按照国家税务总局的规划来实施,内外兼顾则是系统集成的同时关注系统的整体安全性,在此基础之上再分三步进行实施。在这个过程中,姜仁锡表示:“东软站在专业的角度为我们找出了很多安全方面的问题,这些问题解决之后,青岛国税局在信息安全评估、应急响应等工作上,确实上了一个台阶。更重要的是,形成了一些安全保障制度,现在每年两期的安全意识培训是必不可少的。”
通过双方的有效合作,也让姜仁锡认定了一个理:“信息安全越来越重要,在这种情况下,坚持让专业的人来做专业的事,就成为有效地提高信息化安全管理水平的最优选择,以此实现将安全服务由被动地处理事件向防御风险迈进,确保税务信息系统正常运行,以期为纳税人提供优质的办税服务。”