各市、县国家税务局：
　　根据《浙江省国家税务局关于开展2012年度信息系统安全检查工作的通知》(浙国税函[2012]189号)要求，各地认真组织了自查，省局于9月份组织开展了对部分单位的抽查。现将有关情况通报如下：
　　一、检查情况
　　(一)检查的方式和内容
　　检查的方式为各市、县(区)国家税务局对辖区内网络与信息系统开展自查与省局组织抽查相结合，省局主要对绍兴市、舟山市局进行了安全抽查。抽查工作采取人员访谈、文档查阅、现场核查、人工和工具检测等方式进行，并实施了渗透性测试。
　　检查的内容包括：信息安全的组织管理、日常运行管理、防护管理、应急管理、教育培训以及2011年网络安全检查整改情况等方面。
　　(二)检查的重点
　　在2011年信息安全检查的基础上，进一步分析网络与信息系统面临的风险，评估网络与信息系统的安全状况，查找薄弱环节和安全隐患，重点检查各地对于省局信息安全方面各项要求的落实情况，特别是办税大厅的安全状况、IT外包服务等的安全性。
　　二、检查结果
　　从检查情况来看，各单位都十分重视网络与信息系统安全工作，成立网络与信息安全领导小组，舟山市局还成立了信息安全等级保护领导小组，制定了相应的规章制度并加以落实；各单位对总局统一下发的瑞星防病毒系统、桌面安全防护系统和省局要求的微软补丁升级服务器均部署到位，对计算机资产进行有效管理；机房环境明显改善，办税大厅自助服务区计算机的安全防护能力进一步提高；对上年度检查中发现的问题，能切实采取措施加以整改；但也存在一些问题，有待进一步完善和整改。
　　(一)值得肯定的经验和做法
　　从各地自查和省局抽查的情况来看，有些好的做法值得各地借鉴，如湖州、丽水和舟山市局利用虚拟化技术进行系统资源整合，有效解决了以往应用系统服务器单点故障问题，确保了数据安全。
　　舟山市局开发的自助办税服务平台对于自助办税服务区计算机安全控制有很好的创新意义。采用Citrix虚拟桌面技术把物理终端与操作系统相分离，计算机仅作为输入输出工具，不处理任何数据和逻辑，纳税人相当于直接在虚拟服务器端进行业务操作，保证了终端的应用安全。
　　杭州市局着力做好信息安全的应急管理，制订切实可行的应急预案，每年演练3次，并做好详细的演练记录，演练总结报告。
　　湖州市局重视技术培训，坚持以专业培训、专题讲座、知识竞赛等形式，在全系统广泛开展计算机及网络安全知识的普及活动，并在各级成立以专业技术人员、信息技术联络员为主力的技术骨干队伍。
　　金华和台州市局采用24小时实时短信报警处理机制实现对机房环境的实时监控。
　　台州市局重视信息系统的安全评估，不定期邀请第三方安全专家对市局的信息安全情况进行评估。
　　嘉兴市局在信息系统的运行管理方面设立安全运行日志，对每天发现的问题登记处理，并执行巡检制度，每月对各分局进行巡检，及时发现问题，解决问题。
　　绍兴市局对内网计算机严格管理，规定了内网计算机上不允许私自安装与工作无关的软件，如发现此类情况，将受到通报批评，并需立即改正。
　　(二)存在的主要问题
　　1.个别县局办税大厅自助服务区的内网计算机MAC和IP地址未在交换机上绑定，网络接口暴露在外存在安全隐患。
　　2.部分工作人员计算机补丁和防病毒软件没有更新至最新版本。
　　3.个别服务器还存在弱口令甚至空口令，Weblogic应用服务器控制台仍使用默认用户名和密码。
　　4.部分单位机器设备陈旧，甚至很多关键设备都超年限使用。
　　5.目前县(市、区)局广域网边界未部署防火墙。
　　三、下一步工作要求
　　各级国税机关要继续高度重视网络与信息系统的安全工作，安排必要的项目经费，更新老旧设备。对照通报的的问题开展自查，并整改落实，具体要求如下：
　　1.各单位办税大厅自助服务区的内网计算机MAC和IP地址必须在交换机上绑定，同时必须采取措施杜绝内网接口暴露在外，规避外部人员通过接口连接进入内网的风险。
　　2.在金税三期县(市、区)局防火墙到位后，各单位应立即部署实施。加强防火墙的策略管理，所有边界防火墙都必须设置严格的访问控制策略。
　　3.严禁内网计算机通过任何方式上互联网。
　　4.对重要服务器和信息系统的用户名、口令进行一次全面清理，要求对不用的用户予以注销，消除弱口令，禁止使用空口令、默认口令。
　　二Ｏ一二年十月十六日