觀察:青島國稅局信息化的“鮮活絕招”
安全系統的報道往往不好看,原因就在于“外行看熱鬧,內行看門道”。但另一方面,受訪者也是內行,于是就“鴛鴦繡出憑君看,莫把金針度與人”。但出乎我的預料,青島市國家稅務局信息中心副主任姜仁錫卻是豪爽異常,不僅拿出了繡品,還亮出了幕后的針法。
青島國稅局的信息化
說起青島國稅局的信息化,還真是有絕活。姜仁錫介紹說:“十幾年來,青島國稅局的信息化工作一直致力于向國內同行前列的目標邁進。”這話并非空穴來風。
青島國稅局目前已實現了95%以上的納稅人能從網上直接納稅,更有90%以上的稅收收入直接來自網上辦稅。可不要小看這個數字,由此為納稅人節省的時間和精力有多少,恐怕只有納稅人自己說得清了。某城市的國稅局原來是一個交通堵點,自從實現了網上納稅,這個交通堵點居然就通暢了。
但是,青島國稅局這樣做,實際上就是把麻煩攬到了自己頭上。姜仁錫介紹說:“實際上,信息化程度越高,我們可能遇到的安全問題就越大。因此,如何高效、優質地在為納稅人服務,如何保證納稅人信息的安全,如何讓納稅人的數據更順利地上傳,類似的方方面面的問題一直困擾著我們。”
面對這些問題,青島國稅局沒有退避,而是做出了一些更大膽的舉動。在我們見過的相當多的系統中,內網與外網之間實現了“絕對的隔離”,“絕對的隔離”帶來了“絕對的安全”。但接下來,一個不折不扣的信息孤島就這樣人為造出了。
與此相比,青島國稅局的做法完全相反。青島國稅局利用稅稅通實現了外部網站“網上辦稅廳”和內部工作網站“我的辦公室”的信息互聯互通,納稅人在這里提出的需求將同步轉化為相關人員的工作任務,對各項服務措施的落實情況,青島國稅局的相關人員會全程監督。
但如此一來,因安全工作壓力所增加的工作量,只有姜仁錫這樣的一線信息化工作者才能感受得到:“我們一再強調外部邊界和內部邊界的安全。在外部增強了Web防護,防火墻、網閘、IDS、IPS等安全技術,能采用的都采用了。在內部則加強稅務人員安全工作規范。此外,還加強了應用系統的安全。數據庫、應用系統的代碼安全,漏洞掃描,風險評估等等,類似的工作當時不知做了多少。”
而做為一名資深的技術管理人員,姜仁錫心里非常清楚:信息安全完全可以被看做是一場戰爭,信息安全只能是暫時的平衡。在這個平衡的背后,攻與防的雙方無時無刻不在進行著一場較量。面對著來自信息安全方面越來越大的壓力,青島國稅局信息中心開始感受到信息化專業人員空前的短缺。
這一次,面對壓力,青島國稅局同樣沒有退卻。窮則變,變則通。想到了“變”,一個大膽的想法在腦海里產生了。
引援的后果
事實上,國內從事過信息安全工作的人都承認這樣一個事實:由于攻與防兩方的不斷斗爭,因此行業內高水平的信息安全工作人員需要進行持續的學習,這使得行業內高水平信息安全工作人員的短缺成為一種常態。但對青島國稅局來說,為納稅人提供越來越多、越來越便利的服務的宗旨不能變,由此因信息安全帶來的工作量需要自己消化,這讓負擔越來越重的姜仁錫等人感到了壓力。于是,他們想到了引援。
很簡單,就是引進專業的安全服務人員來提升青島國稅局的網絡安全管理水平。信息中心的這一想法得到了上級的肯定。接下來就是招標的過程,一番較量之后,東軟NetEye順利中標了。但讓東軟人想不到的是,麻煩跟著就來了。
青島國稅局的工作人員出于責任心的考慮,認為稅務方面的信息是秘密,雖然雙方早就簽有保密協議,但關鍵信息還是不愿與東軟NetEye項目組成員分享。也有個別人擔憂:“如此這些信息落入到專業廠商手中,專業廠商中某些人如果反向實施攻擊,就太容易得手了。”
事情的發展陷入了僵局,一周時間就這樣過去了,到了東軟工作人員進駐的第二周,情況依然沒有好轉的跡象。
于是,東軟NetEye團隊加大了雙方溝通的力度。姜仁錫介紹說:“通過這些溝通,我們更深刻地體會到東軟公司誠信為本的經營主旨。”雙方緊張的關系出現了松動。但要完全解開僵局,東軟人還得拿出點絕招來才成。
由于相關的保密制度,接下來我們無法具體描述。但對此,姜仁錫做出了總結:“在解開僵局的過程中,東軟NetEye團隊有技術,也有資源,解決了一些困擾了我們很長時間的問題。通過這些事,雙方的合作更緊密了。”
東軟NetEye的任務是協助青島國稅局完善信息安全管理體系,建立風險評估及整改機制,加強日常安全運維,完善信息安全培訓機制,給安全體系架構做分級,制定安全規劃,負責涉及這些項目的咨詢、顧問、測試等。青島國稅局的信息化安全工作,總結起來可以用統籌規劃、分步完成,內外兼顧來說明。統籌規劃就是按照國家稅務總局的規劃來實施,內外兼顧則是系統集成的同時關注系統的整體安全性,在此基礎之上再分三步進行實施。在這個過程中,姜仁錫表示:“東軟站在專業的角度為我們找出了很多安全方面的問題,這些問題解決之后,青島國稅局在信息安全評估、應急響應等工作上,確實上了一個臺階。更重要的是,形成了一些安全保障制度,現在每年兩期的安全意識培訓是必不可少的。”
通過雙方的有效合作,也讓姜仁錫認定了一個理:“信息安全越來越重要,在這種情況下,堅持讓專業的人來做專業的事,就成為有效地提高信息化安全管理水平的最優選擇,以此實現將安全服務由被動地處理事件向防御風險邁進,確保稅務信息系統正常運行,以期為納稅人提供優質的辦稅服務。”
