安全系統(tǒng)的報道往往不好看，原因就在于“外行看熱鬧，內(nèi)行看門道”。但另一方面，受訪者也是內(nèi)行，于是就“鴛鴦繡出憑君看，莫把金針度與人”。但出乎我的預(yù)料，青島市國家稅務(wù)局信息中心副主任姜仁錫卻是豪爽異常，不僅拿出了繡品，還亮出了幕后的針法。

青島國稅局的信息化

說起青島國稅局的信息化，還真是有絕活。姜仁錫介紹說：“十幾年來，青島國稅局的信息化工作一直致力于向國內(nèi)同行前列的目標邁進?！边@話并非空穴來風。

青島國稅局目前已實現(xiàn)了95%以上的納稅人能從網(wǎng)上直接納稅，更有90%以上的稅收收入直接來自網(wǎng)上辦稅?？刹灰】催@個數(shù)字，由此為納稅人節(jié)省的時間和精力有多少，恐怕只有納稅人自己說得清了。某城市的國稅局原來是一個交通堵點，自從實現(xiàn)了網(wǎng)上納稅，這個交通堵點居然就通暢了。

但是，青島國稅局這樣做，實際上就是把麻煩攬到了自己頭上。姜仁錫介紹說：“實際上，信息化程度越高，我們可能遇到的安全問題就越大。因此，如何高效、優(yōu)質(zhì)地在為納稅人服務(wù)，如何保證納稅人信息的安全，如何讓納稅人的數(shù)據(jù)更順利地上傳，類似的方方面面的問題一直困擾著我們?！?/P>

面對這些問題，青島國稅局沒有退避，而是做出了一些更大膽的舉動。在我們見過的相當多的系統(tǒng)中，內(nèi)網(wǎng)與外網(wǎng)之間實現(xiàn)了“絕對的隔離”，“絕對的隔離”帶來了“絕對的安全”。但接下來，一個不折不扣的信息孤島就這樣人為造出了。

與此相比，青島國稅局的做法完全相反。青島國稅局利用稅稅通實現(xiàn)了外部網(wǎng)站“網(wǎng)上辦稅廳”和內(nèi)部工作網(wǎng)站“我的辦公室”的信息互聯(lián)互通，納稅人在這里提出的需求將同步轉(zhuǎn)化為相關(guān)人員的工作任務(wù)，對各項服務(wù)措施的落實情況，青島國稅局的相關(guān)人員會全程監(jiān)督。

但如此一來，因安全工作壓力所增加的工作量，只有姜仁錫這樣的一線信息化工作者才能感受得到：“我們一再強調(diào)外部邊界和內(nèi)部邊界的安全。在外部增強了Web防護，防火墻、網(wǎng)閘、IDS、IPS等安全技術(shù)，能采用的都采用了。在內(nèi)部則加強稅務(wù)人員安全工作規(guī)范。此外，還加強了應(yīng)用系統(tǒng)的安全。數(shù)據(jù)庫、應(yīng)用系統(tǒng)的代碼安全，漏洞掃描，風險評估等等，類似的工作當時不知做了多少?！?/P>

而做為一名資深的技術(shù)管理人員，姜仁錫心里非常清楚：信息安全完全可以被看做是一場戰(zhàn)爭，信息安全只能是暫時的平衡。在這個平衡的背后，攻與防的雙方無時無刻不在進行著一場較量。面對著來自信息安全方面越來越大的壓力，青島國稅局信息中心開始感受到信息化專業(yè)人員空前的短缺。

這一次，面對壓力，青島國稅局同樣沒有退卻。窮則變，變則通。想到了“變”，一個大膽的想法在腦海里產(chǎn)生了。

引援的后果

事實上，國內(nèi)從事過信息安全工作的人都承認這樣一個事實：由于攻與防兩方的不斷斗爭，因此行業(yè)內(nèi)高水平的信息安全工作人員需要進行持續(xù)的學(xué)習，這使得行業(yè)內(nèi)高水平信息安全工作人員的短缺成為一種常態(tài)。但對青島國稅局來說，為納稅人提供越來越多、越來越便利的服務(wù)的宗旨不能變，由此因信息安全帶來的工作量需要自己消化，這讓負擔越來越重的姜仁錫等人感到了壓力。于是，他們想到了引援。

很簡單，就是引進專業(yè)的安全服務(wù)人員來提升青島國稅局的網(wǎng)絡(luò)安全管理水平。信息中心的這一想法得到了上級的肯定。接下來就是招標的過程，一番較量之后，東軟NetEye順利中標了。但讓東軟人想不到的是，麻煩跟著就來了。

青島國稅局的工作人員出于責任心的考慮，認為稅務(wù)方面的信息是秘密，雖然雙方早就簽有保密協(xié)議，但關(guān)鍵信息還是不愿與東軟NetEye項目組成員分享。也有個別人擔憂：“如此這些信息落入到專業(yè)廠商手中，專業(yè)廠商中某些人如果反向?qū)嵤┕?，就太容易得手了。?/P>

事情的發(fā)展陷入了僵局，一周時間就這樣過去了，到了東軟工作人員進駐的第二周，情況依然沒有好轉(zhuǎn)的跡象。

于是，東軟NetEye團隊加大了雙方溝通的力度。姜仁錫介紹說：“通過這些溝通，我們更深刻地體會到東軟公司誠信為本的經(jīng)營主旨?！彪p方緊張的關(guān)系出現(xiàn)了松動。但要完全解開僵局，東軟人還得拿出點絕招來才成。

由于相關(guān)的保密制度，接下來我們無法具體描述。但對此，姜仁錫做出了總結(jié)：“在解開僵局的過程中，東軟NetEye團隊有技術(shù)，也有資源，解決了一些困擾了我們很長時間的問題。通過這些事，雙方的合作更緊密了。”

東軟NetEye的任務(wù)是協(xié)助青島國稅局完善信息安全管理體系，建立風險評估及整改機制，加強日常安全運維，完善信息安全培訓(xùn)機制，給安全體系架構(gòu)做分級，制定安全規(guī)劃，負責涉及這些項目的咨詢、顧問、測試等。青島國稅局的信息化安全工作，總結(jié)起來可以用統(tǒng)籌規(guī)劃、分步完成，內(nèi)外兼顧來說明。統(tǒng)籌規(guī)劃就是按照國家稅務(wù)總局的規(guī)劃來實施，內(nèi)外兼顧則是系統(tǒng)集成的同時關(guān)注系統(tǒng)的整體安全性，在此基礎(chǔ)之上再分三步進行實施。在這個過程中，姜仁錫表示：“東軟站在專業(yè)的角度為我們找出了很多安全方面的問題，這些問題解決之后，青島國稅局在信息安全評估、應(yīng)急響應(yīng)等工作上，確實上了一個臺階。更重要的是，形成了一些安全保障制度，現(xiàn)在每年兩期的安全意識培訓(xùn)是必不可少的。”

通過雙方的有效合作，也讓姜仁錫認定了一個理：“信息安全越來越重要，在這種情況下，堅持讓專業(yè)的人來做專業(yè)的事，就成為有效地提高信息化安全管理水平的最優(yōu)選擇，以此實現(xiàn)將安全服務(wù)由被動地處理事件向防御風險邁進，確保稅務(wù)信息系統(tǒng)正常運行，以期為納稅人提供優(yōu)質(zhì)的辦稅服務(wù)?！?BR>