税务信息是国家税务决策、税收计划制定与调整的重要依据,是税务机关税收征管工作的必要支撑,也是纳税人信息权利的核心内容,因而其安全管理具有重要意义。税务信息安全管理有利于维护并促进国家职能的实现。税收是实现国家宏观调控职能的重要手段,而这一手段必须借助和运用税务信息才能达到。因为税务信息管理一方面能使信息正确地反映经济税源和税收进度情况,为制定国民经济和社会发展计划及调整国民经济结构提供可靠依据。另一方面,可了解纳税人的经济活动状况,并掌握国民经济发展变化情况,鉴定税收政策与经济发展需要是否相适应,以便迅速做出明智的决策,有效地发挥税收调节经济的作用。换言之,如果税务信息安全无法得到保障的话,既无法实现税收为国家筹集财政收入的职能,也将使国家以税收进行宏观调控经济的政策大打折扣,影响经济与社会的发展。税务信息安全管理有利于税务机关税收征管的现代化。税务信息安全管理是税收征管的组成部分,正确、及时、安全的税务信息是把握财政发展和税务管理客观规律的钥匙,有利于实现税务管理科学化、现代化,使税务管理工作从经验走向科学,以适应社会和经济形势发展对税务管理的要求;有利于提高税务管理水平和税务管理效率,做到努力开发税源,尽力足额征收,增加税收收入;有利于提高税务管理队伍的素质,强化信息意识,掌握信息技术,开展税务管理工作,适应社会主义市场经济体制下的税务管理需要。税务信息安全管理有利于纳税人权利的保障。从纳税人角度而言,税收是纳税人根据法律的规定及程序向税务机关提供纳税申报资料并缴纳税款的过程。在此过程中,不论是纳税人提供的纳税申报资料,还是税务机关依法定职权收集的信息,不可避免的会涉及到纳税人的商业秘密(客户资料、销购价格、专利技术等),正常生产经营信息(生产经营范围、工商税务登记证件号等),个人隐私(个人及家庭身份信息、社会关系等),涉税负面信息(欠税记录、税务处罚信息等),一旦这些信息的泄露不仅会对企业的正常经营带来严重影响,而且还会给个人和家庭生活带来恶性干扰,甚至还有可能引起诈骗和金融犯罪。因此,税务信息安全管理是纳税人权利的重要保障。
2基层税务信息安全管理的难题
2.1基层税务信息安全管理存在的风险
信息技术飞速发展,尤其是大数据时代的到来,基层税务信息安全技术管理风险与日俱增。科学技术水平日新月异,移动互联网、虚拟化、云技术、大数据应用等新技术层出不强。此类技术的应用对于专业技术的要求较高,安全保障措施也较为严密,但现有的税务信息安全管理的软硬件、制度、顶层设计、税务人员素质、社会要求等方面无法适应其方便、快捷、高效的特点,使得税务信息暴露在数据的海洋,极易造成信息被盗取、被非法病毒所侵入,税务信息安全技术管理必然风险激增。改革不断深化,尤其是简政放权要求逐步提高,基层税务信息安全行政管理风险突飞猛进。全面深化改革的推进,行政管理被要求回归理性简政放权,实现由权力管制到权利治理,基层税务部门必然面临着工作重心后移及执法风险加大的交汇压力,后续管理将成为税务部门工作的一种常态。税务管理信息化是保证后续管理科学、有效、规范进行的基本方式且根本保障,而税务信息安全管理是税务管理信息化的基础,是故税务信息安全管理必然成为税收征收与管理过程的基础和支撑。税务管理信息化下税务信息不论是频率还是数量均不断提高,数量和质量相生相克,前者的增多必然导致后者的下降,税务信息安全行政管理风险骤升。依法治税加强,尤其是纳税人权利意识的觉醒,基层税务信息安全管理涉纷风险不断提高。随着经济、社会以及文化的不断发展,纳税人权利意识在不断觉醒,私权保护、正当程序、公平正义成为了普遍诉求。纳税人信息是税务信息安全管理的重要内容之一,包含着巨大的商业价值,税务机关在采集、保管和使用纳税人信息过程中往往由于安全措施不到位而导致纳税人权利受到损害事件时有发生,甚至诱发违法犯罪。近些年来,由于税务信息安全管理不善带来的税务纠纷呈水涨船高之势,纳税人诉诸法律途径的越来越多,基层税务部门涉议、涉诉风险不断提高。
2.2基层税务信息安全管理面临的困境
2.2.1税务信息安全管理意识淡薄
税务管理信息化在我国方兴未艾,关于税务信息安全的理解、保护方法、风险防范手段等社会所知甚微。就税务部门而言,大部分基层税务工作人员对于税务信息安全管理是什么、税务信息安全管理意义是什么、怎样实现税务信息安全管理等内容的认识与理解存在偏差,主观地认为税务信息安全与税务部门的核心业务无关,是一种简单的信息存储与传输,意义不大。甚至是一提到税务信息安全,不少人就当然的认为是病毒和黑客,而往往忽视内部人员的过错或故意行为等因素。就纳税人而言,大部分纳税人抱有这样的态度,就是只要按照法定规定和法定程序上缴完税,其他的就与自己没有多大干系,税务信息安全管理也是如此,因而往往不配合税务信息的收集等工作。由于少数人的安全意识淡薄和管理不善,会影响整个税务信息系统的安全性。
2.2.2税务信息安全管理方式滞后
整体上看,基层税务信息安全管理还主要是依靠单一的技术方法,税务信息保密措施少、身份认证未得到全面应用、缺少路由安全和防止入侵的技术措施,难以适应税务信息安全管理的要求。首先,税务信息技术管理方式赖以生存的硬件设施可靠性、稳定性不足,缺少日常维护及安全配套措施。其次,税务信息技术管理核心之处的软件设施开放性强,比如,内部网路终端信息共享范围广、操作系统主要是国外研发的,内外网机器存在混用现象,极大增加了税务信息安全风险。最后,采集数据分散,不能形成有效共享,普遍存在“信息孤岛”现象;业务信息不能通过计算机有效流转,自动化管理过程隔离;尤其是信息缺乏高效的数据监控措施,没有形成科学的内、外监督体系,不断遭受黑客攻击,还出现数据丢失的现象等。
2.2.3税务信息安全管理制度不完善
税务信息采集、整理、贮存、传输、反馈及应用等过程中安全管理的理念并未得到贯彻,税务信息安全管理制度还不全面、缺乏体系性、可操作性也不强。具体来讲,一是缺乏强有力的税务信息安全管理领导制度。一般而言,基层税务信息安全管理主要是由税务信息中心实施,与其他内设机构之间是并列关系,信息安全管理无法渗透到税收征管的其他环节。二是缺乏科学的税务信息安全事故预防、报告及处理制度,各基层税务部门普遍缺失完备的信息安全事故报告程序与预防处理方案,税务信息安全事故的预防、处理没有可持续的制度支撑。三是缺乏规范的税务信息安全管理考核制度,基层税务信息安全岗位与责任相适应的考核标准,机制不规范,致使信息安全管理深度与力度得不到有效落实。此外,信息安全责任制度还需进一步细化和完善。
2.2.4信息安全风险管理机制存在缺陷
税务信息化下,税务信息安全风险有来自基础设施毁损的风险,有技术应用带来的风险,有人为操作引发的风险,可谓无处不在、无时不有。但目前基层税务机关并没有形成体系化的税务信息安全风险识别、评估、控制等管理机制。就税务信息安全风险识别而言,税务信息并未被确定成为一种资产,因而缺乏税务信息必要的分类管理。同时,这种安全风险识别仅局限于技术硬件故障或错误、技术软件故障或错误、技术淘汰等技术层面,而对于其他层面的信息安全威胁鲜有涉及。就税务信息安全风险评估而言,由于专业技术和人才的缺乏,加之评估频率与方法不当,很难真正分析出信息安全风险的高低,影响到控制措施的选择。就税务信息安全风险控制而言,由于识别与评估分析中的不健全,使得风险控制策略选择失去了可信基础,致使避免、转移、缓解及接受等风险控制策略无从选择。
3基层税务信息安全管理的应对
3.1加大信息安全管理教育培训,更新税务信息安全管理理念
应当认识到,税务信息安全管理既是国家信息安全管理的有机构成,也是基层税务工作的重要组成部分,它涵盖税收信息的采集、整理、存储、传输、反馈、开发及应用等全过程,不仅可以加强税收收入的规划性,有效发挥税收促进生产,调节、监督经济的作用,还能衡量税收分配是否合理,税负负担是否平衡,保障纳税人的权利。因此,基层税务部门要摒弃税务信息安全管理不重要的观念,提高对税务信息安全的认识,充分了解税务信息安全管理的内容、作用及方法,以此更新税务信息安全管理理念。税务信息安全管理意识之所以淡薄,原因在于信息安全管理教育与培训少,税务信息安全管理专业人才匮乏。对此,一方面要灵活多样地培训学习形式,综合平衡信息安全相关项目,提高税务工作人员的信息安全意识与能力水平;另一方面,要建立税务信息安全管理培训机制,通过组织开展多层次、多方位的信息安全培训,提高安全员信息安全防范技能,培养税务信息安全管理骨干。此外,税收普法宣传教育中还要强化纳税人信息安全意识。
3.2综合内外部控制手段,实现税务信息安全管理方式多元化
税务信息安全管理是一个系统工程,涉及信息技术体系、信息风险管理及组织管理框架等诸多方面,面对终端规模大、地域分布广、技术类型多的现实,单纯的依靠外部技术手段无法实现税务信息安全管理,需要内部控制措施予以协同,多元化的管理方法才能更好地、更有效地保障税务工作人员完成信息安全管理工作。首先,完善税务信息安全技术手段,做好信息安全防护体系建设和运行管理。不论是采取何种技术手段进行税务信息管理,都要建立完备的病毒防范、身份鉴别与访问控制、入侵检测及信息加密等信息安全管理技术体系,定时检查并更新硬件设备以确保其可靠性与稳定性。其次,要克服“唯技术论”的倾向,税务部门要建立统一的信息安全保障中心,保证税务信息安全集中和集成管理,努力形成完整的数据安全与备份体系。最后,完善税务信息安全管理内部控制手段,以减轻由于内部人员道德风险、系统资源风险所造成的信息危害。主要是采用人机联控的控制方式,通过实施一系列的控制活动和保护措施,以实现对与税务信息安全相关的人与物的管理,并最大限度地保障税务信息安全。
3.3完善税务信息安全管理框架,健全税务信息安全管理制度
借鉴信息安全管理一般理论,完整的税务信息安全管理框架包括定义税务信息安全政策、定义税务信息安全管理范围、进行税务信息安全风险评估、确定管理目标和选择管理措施、准备税务信息安全适用性声明、建立相关文档、文档的严格管理及安全事件记录回馈。针对目前税务信息安全管理框架的不完善,税务部门应严格按照信息安全管理框架,制定完善的信息安全规章、明确管理范围、风险、目标、措施等予以完善。与此同时,还要健全税务信息安全管理相关制度。一是建议基层税务机关应成立信息安全领导小组,各区局、科室、所都应明确专人负责税务信息安全的管理,以健全税务信息安全管理领导制度;二是建议明确安全事故预防任务、报告时限与程序、处理方法与措施,以健全税务信息安全事故预防、报告及处理制度;三是建议制定规范、可行的信息安全管理考核机制,明确规定每个税务工作人员在信息安全方面应承担的责任、保密要求以及违约责任,以健全税务信息安全管理责任制度。总之,就是要建立安全管理机构,确定安全管理人员,建立安全管理制度,建立责任和监督机制,切实保障税务信息安全管理有效开展。
3.4实施税务信息分类管理,健全税务信息安全风险管理机制
关键词:税务系统;信息安全;安全策略
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10406-02
On the Information Security Policy and Management of Tax Information Management System
HUANG Jian-qun
(Xi'an Shiyou University, Xi'an 710065, China)
Abstract: In this paper, first, points out that information on the importance of the tax system through the presentation of tax information management systems, Concludes with the tax information security and management solutions, The program in improving safety and reliability of tax information has some referential significance.
Key words: tax systems; information security; security policy
税收是国家财政收入的重要途径,相关的税务系业务要求其具有准确性、公证性和完整性的特点,因此保证税务信息系统的安全性意义重大。税务系统作为电子政务系统的一部分,属国家基础信息建设,其基本特点是:网络地域广、信息系统服务对象复杂;税务信息具有数据集中、安全性要求高;应用系统的种类较多,网络系统安全设备数量大,种类多,管理难度大。
税务系统是一个及其庞大复杂的系统,从业务上有国税、地税之分,从地域来说又有部级、省级、地市级、区县四级。网络结点众多、网络设备和网络出口不计其数、操作系统种类繁多、应用系统五花八门、网络机构极其复杂。面对如此复杂的系统,其内部安全隐患随处可见,经过不断的研究和探索,目前已经积累了大量解决税务系统信息基础设施安全的方法和经验,形成一整套税务系统的安全保障方法,相关安全保障的体系也在不断完善和发展中。
1 网络信息安全在税务系统中的重要性
计算机软硬件技术的发展和互联网技术的普及,为电子税务的发展奠定了基础。尤其是国家金税工程的建设和应用,使税务部门在遏止骗税和税款流失上取得了显著成效。电子税务可以最大限度地确保国家的税收收入,但却面临着系统安全性的难题。
虽然我国税务信息化建设自开始金税工程以来,取得了长足进步,极大提高了税务工作效率和质量。但税务系统本身也暴露出了一系列要改进的问题,各种应用软件自成体系、重复开发、信息集中程度低。随着信息化水平的不断提高,基于信息网络及计算机的犯罪事件也日益增加。税务系统所面临的信息网络安全威胁不容忽视。建立税务管理信息化网络安全体系,要求人们必须提高对网络安全重要性的认识,增强防范意识,加强网络安全管理,采取先进有效的技术防范措施。
2 税务系统安全建设
如何保证信息在传递过程中的安全性对税务系统来说至关重要,任何网络设备或者解决方案的漏洞都会对税务系统造成很大影响。如何成功处理信息安全问题,使国家税务系统在充分利用信息技术的同时,保障系统的安全,对税务系统建设具有极大意义。信息安全的建设涉及到信息赖以存在和传递的一切设施和环境。构筑这个体系的目的是保证信息的安全,不仅需要信息技术的努力与突破,还需要相关政策、法律、管理等方面提供的有力保障,同时也需要提高操作信息系统的工作人员的安全意识。
2.1 税务系统安全防护体系
税务系统安全防护体系保证了系统在生命期内处于动态的安全状态,确保系统功能正确,不受系统规模变化的影响,性能满意,具有良好的互操作性和强有力的生存能力等。
税务信息系统安全模型提供了必要的安全服务和措施,增加了动态特性,强调了各因素之间关系的重要性。该模型是一种实时的、动态的安全理论模型,是实施信息安全保障的基础。在模型基础上建立安全体系架构随着环境和时间改变,框架和技术将会主动实时动态的调整,从而确保税务系统的信息安全。
2.2 税务系统风险评估
税务系统信息安全保障的目的是确保系统的信息免受威胁,但绝对的安全并不可能实现,只能通过一定的控制措施将系统受到威胁的可能性降到一个可接受的范围内。风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。风险评估用来确认税务系统的安全风险及大小,即利用适当的风险评估技术,确定税务系统资产的风险等级和优先风险控制顺序。
风险评估是信息安全管理体系的基础,为降低网络的风险、实施风险管理及风险控制提供了直接依据。系统风险评估贯穿于系统整个生命期的始终,是系统安全保障讨论最为重要的一个环节。
3 税务信息系统整体安全构架
一般税务信息系统所采用的安全架构模型如图1所示。
从安全结构模型可以看出,该安全架构主要分为三部分:网络系统基础防御体系、应用安全体系和安全管理体系。网络系统基础防御体系是一个最基本的安全体系,主要从物理级、网络级、系统级几个层次采取一系列统一的安全措施,为信息系统的所有应用提供一个基础的、安全的网络系统运行环境。
该体系的主要安全建设范围如下:
1) 物理级安全:主要提供对系统内部关键设备、线路、存储介质的物理运行环境安全,确保系统能正常工作。
2) 网络级安全:在网络层上,提供对系统内部网络系统、广域网连接和远程访问网络的运行安全保障,确保各类应用系统能在统一的网络安全平台上可靠地运作。
3) 系统级安全:主要是从操作系统的角度考虑系统安全措施,防止不法分子利用操作系统的一些BUG、后门取得对系统的非法操作权限。
4 信息安全管理策略
4.1 安全管理平台
信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。信息安全管理实行安全等级保护制度,制定安全等级划分标准和安全等级的保护办法。从管理的角度,将系统中的各类安全管理工具统一到一个平台,并对各种安全事件、报警、监控做统一处理,发现各类安全问题的相关性,按照预定义的安全策略,进行自动的流程化处理,从而大为缩短发现问题、解决问题的时间,减少了人工操作的工作量,提高安全管理工作的效率。
通过技术手段,构建一个专门的安全管理平台,将各类安全管理工具集成在这个统一的平台上,对信息系统整体安全架构的实施进行实时监视并对发现的问题或安全漏洞从技术角度进行分析,为安全管理策略的调整提供建议和反馈信息。统一的安全管理平台将有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监视和管理,从而提高安全管理工作的效率。
4.2 物理安全策略
物理安全是对计算机网络系统中的设备、设施及相关的数据存储介质提供的安全保护,使其免受各类自然灾害及人为导致的破坏。物理安全防范是系统安全架构的基础,对系统的正常运行具有重要的作用。
当然,信息系统安全不是一成不变的,它是一个动态的过程。随着安全攻击和防范技术的发展,安全策略也必须分阶段进行调整。日常的安全工作要靠合理的制度和对制度的遵守来实现。只有建立良好的信息安全管理机制,做到技术与管理良好配合,才能长期、有效地防范信息系统的风险。
5 网络信息安全所采取的主要措施
目前网络信息安全所采取的主要措施是使用一系列的安全技术来防止对信息系统的非授权使用。讨论税务系统安全策略问题时,相关人员往往倾向于防火墙、入侵检测系统等实际的安全设备。其实,造成系统安全问题的本质是税务信息系统本身存在脆弱性。任何信息系统都不可避免的存在或多或少的脆弱性,而且这些脆弱性都是潜在的,无法预知。系统出现脆弱性的根本原因是由于系统的复杂性使得系统存在脆弱性的风险成正比,系统越复杂,系统存在的脆弱性的风险就越大,反之亦然。
安全防御的总策略为:1)建立网络边界和安全域防护系统,防止来自系统外部的攻击和对内部安全访问域进行控制;2)建立基于整个网络和全部应用的安全基础设施,实现系统的内部的身份认证、权限划分、访问控制和安全审计;3)建立全系统网络范围内的安全管理与响应中心,强化网络可管理、安全可维护、事件可响应;4)进行分级纵深安全保护,构成系统网络统一的防范与保护、监控与检查、响应与处置机制。
6 结束语
解决信息系统的安全不是一个独立的项目问题,安全策略包括各种安全方案、法律法规、规章制度、技术标准、管理规范等,是整个信息系统安全建设的依据。现有的安全保障体系一般基于深度防御技术框架,若能进一步利用现代信息处理技术中的人工智能技术、嵌入式技术、主动技术、实时技术等,将形成更加完善的信息安全管理体系。
税务信息安全直接关系到税收信息化建设的成败,必须引起税务机关和每一位税务人的重视。科学技术的发展不一定能对任何事物的本质和现象都产生影响,技术只有与先进的管理思想、管理体制相结合,才能产生巨大的效益。
参考文献:
[1] 蔡皖东.信息安全工程与管理[M].西安:西安电子科技大学出版社,2004.
[2] 谭思亮.网络与信息安全[M].北京:人民邮电出版社,2002.
[3] 谭荣华.税务信息化简明教程[M].北京:中国人民大学出版社,2001.
[4] 李涛.网络安全概论[M].北京:电子工业出版社,2004.
[5] 朱建军,熊兵.网络安全防范手册[M].北京:人民邮电出版社,2007.
[6] 戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社,2002.
一、税务信息化建设安全的重要性
税务信息化有利于提高宏观决策的科学性和宏观调控的效率。涉税信息是进行制定税收政策、实施宏观调控的依据,是否拥有足够的信息是宏观决策与调控能否成功的前提。税务信息化的发展将改变税务信息生产方式,提高税务信息的生产效率和精确程度,这样,一方面能为税收政策的制订提供更为充足的信息,另一方面能改善宏观调控中的传导机制,并实现调控效果的及时反馈。
通过信息化的安全建设,使得增值税复杂的管理性和操作性要求得到支撑,使得增值税税制和以增值税为主体的整个新税制在中国运行良好。此外,通过信息化的安全建设,有效实现了上级对下级的监控,制约了自由裁量权,一方面执法水平提高、各项税收政策更加落实,另一方面税务系统内部上级行政管理的要求更加落实。
二、当前,我国税务信息化建设存在的安全隐患
随着我国税收信息化的迅速发展,信息安全问题变得日益严峻。从税务部门来看,些税务局没有备用服务器,外部备份设备少,一旦出现故障,很容易造成网络瘫痪或数据丢失。随着局域网、广域网、INTERNET的大范围应用,数据的接收、传送很容易传染计算机病毒。
(一)部分税务人员信息安全意识不强
随着税务信息化进程的不断加快和电脑技术、电脑知识技能的日渐普遍,广大税务人员逐渐认识到了信息化的重要性,但是由于传统观念、手工操作习惯等方面的束缚,不少税务人员对税务信息的安全意识还比较弱,缺乏全面、深刻的领悟能力。突出表现在:他们不了解信息技术对整个社会经济所带来的冲击,看不到税务信息建设的安全重要性,认为税务信息的安全与他们无关,甚至有透露里面重要信息的人员,以为仅仅是一些数据无关紧要。由于对税务信息安全建设的认识能力不够,存在着诸多的误区,也就直接导致拉在实际的工作中,税务信息安全建设问题频频出现“人为”的漏洞。
(二)计算机中出现的各种硬件问题,为黑客等网络侵入提供了可乘之机
从税务部门来看,有些税务局没有备用服务器,外部备份设备少,一旦出现故障,很容易造成网络瘫痪或数据丢失;随着局域网、广域网、取TERNET的大范围应用,数据的接收、传送很容易感染计算机病毒,防火墙可能被破解,有些密码机制不够安全等。诸如这些对计算机的外部、内部保护不够力度,会直接导致网络黑客们利用这些电脑漏洞来作案。
(三)操作人员、专业技术人员的技能有限
要使税收管理电子化的开发运用在实际工作中取得实效,要使得税务信息的管理能安全有效地运行,就需要高素质的计算机管理和技术人才,必须对税务管理的过程有一个较全面的了解,至少能够站在一个地区的税收总体工作要求和经济发展要求的角度,就需要对税收工作和税收管理电子化的开发及发展趋势有一个相对超前的认识,对税务信息安全的重要性有个全新的认识。但是,当前我国信息技术队伍和管理队伍的建设与信息化发展的要求不同步,管理队伍不健全,职能不明确,缺乏符合市场机制的足够的激励机制。对于配备完善的税务安全信息产品,由于操作人员、技术人员的技能有限,不能完全认识、运用这些安全信息产品,不能针对出现的问题及时解决。
三、完善我国税务信息化建设的整合化策略
如何成功处理信息安全问题,使国家税务系统在充分利用信息技术的同时,保障系统的安全,对税务系统建设具有极大意义。信息安全的建设涉及到信息赖以存在和传递的一切设施和环境。
(一)做好“四防”,构建信息安全保障体系
注重“人防”。要提高全体税务工作人员信息安全意识和能力,构建牢固的信息安全内部防范基础。落实“制度防范”。加强制度和标准规范的建设,规范信息安全防护工作。“提高技术防范的能力”,合理地运动信息安全技术手段,合理地运用当前高新技术,提高信息安全全方位防御能力。保障“物防”,保障信息安全工作中设备、资金的投入,确保经费到位,设备到位、后勤保障到位。
(二)加强对电子商务的税收管理
电子商务是指交易双方以国际互联网为媒介而进行的商品和劳务交易。电子商务具有全球性、流动性、隐蔽性、数字化的特点。交易不涉及现金,无需具收支凭证,以电子流代替了实物流,传统的实物交易和服务被转换成数据,在互联网上传输和交易,大量减少人力、物力,降低成本。但是也对税务信息化的建设提出了更高的要求。为此,我们可以通过修改现有的法律法规、制定新法律法规,将有关电子商务的一些特定内容,纳入法律法规的规范范围;建立专门的电子商务税务登记制度;加快税收部门自身的网络建设,尽早实现与国际互联网、网上用户、银行、海关等相关部门的连接;利用电子商务提高为纳税人服务的质量等几个方面加强对电子商务的税务管理。
(三)建立计算机技术的网络安全体系
解铃还须系铃人,计算机中出现的各种漏洞给了网络黑客们可乘之机,税务部门应建立各级技术层次的安全体系。一般税务信息系统所采用的安全架构模型如图所示。
网路级别的安全体系建构,可以采用数据备份恢复、数据日志、故障处理等对策功能,保护纳税信息的安全,以适应税收征管信息系统安全运行的需要。
系统级别的安全建构可以从计算机技术这方面加强管理,用网络系统、数据库系统和应用系统的安全机制设置,拒绝非法用户进入系统和合法用户的越权操作,避免系统遭到破坏,防止系统数据被窍取和篡改。
物理级别的安全体系建构可以从以下几个方面进行:第一采用具有容错功能的服务器和具有双机热备份技术的硬件设备,出现故障时能够迅速恢复并有适当的应急措施;第二,采用数据备份恢复、数据日志、故障处理等系统故障对策;严格执行并切实做好信息系统的安全工作,选择合适的网络管理软件进行网络管理,健全工作人员的操作规范,采取有效的身份认证、密码验证、访问限制、防火墙等计算机应用技术手段加强内部网络和数据库安全管理,保护纳税信息和办公信息的安全,以适应当前税收信息系统安全、持续稳定运行的需要。
(四)不断加强领导干部及员工队伍的安全与责任意识
第一,领导干部对信息化安全认识的问题。解决了领导的认识问题实际上就从根本上解决了规划和力度的问题。在当今经济全球化、信息化告诉发展、知识经济大爆发的时代,作为税务机关的主要领导干部,要适应经济发展和现代化管理的需要。很显然,原来的知识结构,甚至思维方式已明显不相适应,必须在较短的时间内进行知识更新,转变观念,掌握现代化管理手段,否则就要落伍,甚至给税收事业造成难以挽回的损失。面对迅速变化的形势和繁重艰巨的任务,如果各级领导干部不能适应当前瞬息万变的时代变化,要搞好信息化安全建设是不可能的。第二,加强队伍素质能力的建设。目前整个税务干部队伍的科技素质较低,特别是干部队伍的信息安全意识比较弱,且整体的安全防范水平低下。基于这种情况,要加强多层次的安全知识、技能的培训,提高各级干部队伍及员工队伍对税务信息安全的责任意识,提高他们对信息安全重要性的认识。
关键词:税务系统;网络;信息;安全
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-02
目前,全国各级税务机关已形成以计算机网络为依托的征管格局,随着税务信息化建设的不断蓬勃发展,网络与信息安全的风险也逐渐显露。随着电子信息技术的飞速发展,网络与信息安全面临越来越严峻和复杂的形势,各种安全事件层出不穷,病毒破坏和黑客入侵等安全隐患会使我们丢失数据,会造成机密数据泄漏,会使我们的业务瘫痪,危害极大。无论是外部有意的攻击,还是内部无意的误操作,任何安全问题都可能导致安全事故,由此所带来的损失与严重后果都将无法估量。因此,加强税务系统网络与信息系统安全显得尤为重要。
一、税务系统网络与信息安全风险分析
随着我国各行业信息化程度的不断提高,利用计算机系统进行各类犯罪活动的案件每年以较大的速度递增,在税务系统也出现了利用税收管理系统进行犯罪的案件。例如,2003年原国税局干部吴芝刚虚开增值税专用发票的“京城第一税案”,就是吴芝刚利用操作员安全意识不强,盗用其密码进入系统篡改发票发售权限,将增值税专用发票非法卖给犯罪团伙。尽管目前在税务系统计算机犯罪案件发生率很小,但不能因此放松警惕,防微杜渐做好网络与信息安全工作至关重要。根据对税务系统网络和信息安全的研究分析,威胁税务系统网络信息安全的因素主要有以下方面:
(一)网络与信息安全意识淡薄
目前税务系统相当部分工作人员缺乏网络信息安全意识。很多人以为自己计算机上安装有杀毒软件,就不会存在安全问题,总觉得信息安全工作离自己很遥远,和自己没关系。缺乏网络信息安全知识,如不按规定使用移动存储介质甚至内外网混用等等,都可能导致计算机病毒入侵或“黑客”攻击,对网络与信息安全构成威胁。
(二)计算机病毒的危害
计算机病毒是对税务系统网络信息安全最为常见、影响最为广泛的威胁。几乎没有计算机没有感染过病毒,计算机病毒通常通过移动存储介质等感染计算机,并能通过网络迅速传播。税务系统一台计算机感染病毒,就可能造成病毒在整个办公内网计算机中迅速传播,轻则堵塞网络,影响税务信息系统的正常运行,重则破坏系统,造成无法估量的直接和间接损失。
(三)计算机犯罪的危害
计算机犯罪对网络和信息安全的威胁显而易见,危害极大。常见的计算机犯罪有内部人员泄露信息、窃取他人密码、越权访问和外部“黑客”攻击等。比如“黑客”通过某种方式侵入税务系统办公内网,就可能破坏税务信息系统或窃取机密数据,造成极大的危害。
(四)移动存储介质使用的风险
目前光盘、优盘、移动硬盘等移动存储介质使用非常普遍,大量内部信息通过移动介质存储传播。一方面移动介质如果不受控,会形成泄密隐患;另一方面纳税人报送涉税信息带来的移动存储介质需要接入办公内网,如果疏忽了病毒和木马的查杀,就存在着将计算机病毒和木马等恶意程序传入办公内网的安全风险。
(五)网络技术本身的缺陷
网络技术本身存在的技术缺陷,使网络容易成为受攻击的目标,从而对税务系统网络信息安全形成威胁。目前各级税务机关组建广域网通常租用电信或联通的网络线路,不法分子就可能通过公共网侵入税务系统网络或者通过公共网对税务系统网络进行窃听、攻击。
(六)自然灾害袭击
例如火灾、地震、雷击等自然灾害都可能使计算机及网络设备遭到破坏,影响系统正常运行。
(七)人为无意失误
工作人员防范意识不强,工作中“图方便”,如操作员安全配置不当,不按要求设置口令,随意把自己的用户给他人使用等等问题,虽然不是主观故意,但可能造成较大危害,对网络与信息安全带来威胁。
二、税务系统网络与信息安全风险的防范对策
网络与信息安全风险,需要从人、管理、技术等以下几个方面进行防范:
(一)必须加强信息安全教育
“人是网络信息安全系统的重要组成部分”,要保障网络与信息系统的安全,需要全体税务干部的参与。通过在税务机关全体工作人员中开展信息安全普及教育,对信息化专业人员加强信息安全专业培训,提高各级人员的信息安全意识,共同防范网络与信息安全风险。
(二)强化安全管理
要加强税务机关内部控制,改进网络信息安全管理中的薄弱环节,防范内部人员有意犯罪或无意失误造成的网络信息安全风险。各级税务机关要建立健全网络与信息安全组织机构,逐步建立健全各种网络与信息安全制度,明确岗位责任与分工,把各项工作及责任落实到人。要把强化管理与技术手段相结合来防止内部人员有意犯罪和无意失误,从内部严防各类安全事件的发生。
(三)强化安全技术
1.科学使用计算机防病毒软件防范计算机病毒
各级税务机关的计算机设备,要使用统一的正版计算机防病毒软件,指派专人进行计算机防病毒监控,及时处理计算机病毒威胁。其中,移动存储介质管理是计算机病毒防范的重点和难点。光盘、优盘、移动硬盘等移动存储介质是病毒和木马的重要传播途径,不管好移动存储介质,就不可能做到病毒和木马的有效防控。必须加强管理,对所有的外来软件或盘片,必须先查杀病毒、木马,才能接入办公内网进行安装和使用。
2.做好办公内网与互联网的完全隔离
我国的税务信息化从建设到普及已经逐渐地得到了人们的认可和应用。税务信息化在带给人们方便快捷的同时,它的安全问题也令人关注。随着计算机和网络的发展普及,重要信息变得非常容易被获取,网络攻击也变得越来越便利。电子税务系统作为一个典型的广域网系统,开放共享的特点使其面临着各种各样的威胁和攻击。因此建立一个电子税务信息安全管理体系,采取综合防范的措施,确保系统安全、可靠、畅通地运行是非常有必要的。
一、信息安全的概念
信息安全是指确保以电磁信号为主要形式的、在计算机网络化(开放互连)系统中进行自动通信、处理和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性,与人、网络、环境有关的技术安全、结构安全和管理安全的总和。人指的是信息系统的主题,包括各类用户、支持人员,以及技术管理和行政管理人员。网络则指以计算机、网络互连设备、传输介质、信息内容及其操作系统、通信协议和应用程序所构成的物理的与逻辑的完整体系。环境则是系统稳定和可靠运行所需要的保障体系,包括建筑物、机房、动力保障与备份,以及应急与恢复体系。
二、电子税务系统面临的信息安全威胁
(一)物理安全隐患
各种突发灾害、运行环境或硬件本身及相关元器件的缺陷会对电子税务系统信息安全构成威胁。随着技术的进步,各种免费工具及代码的出现,网络设备的漏洞很容易被发现和利用,现在针对防火墙、交换机和路由器等网络连接设备的攻击越来越多。通信线路也会受到窃听、拨号进入,还有冒名顶替等的威胁,电磁辐射泄露也会导致信息失密。
(二)网络平台面临的安全威胁
电子税务系统通过网络平台连接外网后,一方面面临来自外网节点的越权访问、恶意攻击和病毒入侵,另一方面面临来自税务系统同级、上级和下级节点的越权访问、恶意攻击和病毒入侵。
(三)应用系统数据面临的威胁
数据库弱口令及默认用户名易被破解:操作系统的安全级别低,缺乏对关键业务主机操作系统用户权限的严格控制;数据库管理方式和管理流程编制不得当,不能实时监控数据库系统的运行情况;黑客利用已知漏洞攻击系统等。
(四)人为因素及管理的缺陷
来自电子税务系统内部用户的安全威胁同样是不容忽视的一部分。税务部门内部员工对本单位网络结构以及系统软件的应用比较熟悉,自己攻击或泄露重要信息,都会对系统的安全造成很大的威胁。此外,缺少信息安全管理的技术规范,缺少定期的安全测试与检查,更缺少安全监控,也是对系统安全的很大威胁。
三、电子税务系统信息安全的防护措施
(一)物理安全措施
作为电子税务系统的硬件基础,物理安全是信息安全的第一道防线。物理安全包括环境、设备及线路的安全,主要是指防盗、防火、防静电、防雷击以及防电磁泄漏。要根据接入网络设备的数量、功耗和负载等及时地对设备进行扩容扩充,并做好冗余备份工作。加强设备管理和维护工作,建立报警系统,以确保所有设备处于最佳运行状态。
(二)网络安全措施
网络层面安全防御的重点主要是阻断外部用户的恶意攻击和非法访问。可以探讨有关下述方面的安全策略来抵御不断发展的安全威胁。
1.合理布局网络结构。网络结构布局的合理与否,也会影响网络的安全性。对税务系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、技术指标、安全保密程度等进行合理分布,统一整合外联网络,可以在内外网的边界建立隔离区(DMZ),以免局部安全性较低的网络系统造成的威胁,传播到整个网络系统。
2.访问控制。网络需要防范非法用户的非法访问和合法用户的非授权访问。非法用户的非法访问也就是黑客或间谍的攻击行为。访问控制是网络安全防范和保护的主要策略和重要手段。访问控制策略主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制以及防火墙控制。
3.病毒防护。配备从服务器到单机的整套防病毒软件,和一些防恶意程序软件并做到及时升级,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护,以确保整个电子税务系统的业务数据不受到病毒的破坏,日常工作不受病毒的侵扰。
4.主动防御。防火墙可以对所有的访问进行严格控制(允许、禁止、报警),但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其他攻击。所以,为确保网络更加安全,必须配备入侵检测系统,对透过防火墙的攻击进行检测,并做相应的反应(记录、报警、阻断)。
(三)数据安全
数据安全包括数据传输安全、数据存储安全以及数据的备份和恢复三个方面。数据传输安全是指在传输过程中保护数据信息的机密性和完整性,以防被他人截获、修改,具体可通过数据加密技术、数字签名及VPN等技术来实现。数据存储安全是指要保证存储在服务器或终端上的数据的安全,对于要求保密的重要数据,如纳税人的交易密码,需加密后再存储。数据备份和恢复可以确保存系统遭到攻击或因自然因素导致数据不可用时,利用备份的数据进行恢复。对重要数据信息可以采取上级税务机关代为备份和本级税务机关异地备份的双重备份方式,最大限度的保证数据信息的可恢复性。通过制订可靠的数据备份与恢复策略,保证税务业务系统提供服务的及时性、连续性。
(四)电子税务系统的信息安全管理
对于电子税务系统建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
建立健全信息安全管理和防范制度,不断完善系统的操作规程,严格规范工作人员的操作行为和水平。
四、结束语
电子税务系统的信息安全是一项长期、系统的工程,不仅仅是通过技术手段来建立信息安全的多层防护策略,还要通过建立健全信息安全管理机制、提高工作人员的安全意识,才能确保电子税务系统的安全、稳定、高效运行。
参考文献
[1]方美琪.电子商务概论[M].北京:清华大学出版社,2000.
[2]谭荣华,徐夫田,谢波峰.我国税务信息化建设的七大重点[J].涉外税务,2002,10:26-30.
网络的普及使我们的工作更加方便快捷,但同时局域网开放共享的特点,也让我们面临各种错综复杂的威胁和攻击,如操作系统的安全问题、应用程序的安全问题、计算机设备本身的安全问题等等。但归结起来不外乎两种:一是对网络中的数据信息的威胁;二是对网络中设备的威胁。大体上又可以分为以下几个方面:1)计算机网络病毒的威胁;2)操作系统缺陷造成的信息安全隐患;3)内外网完全隔离造成的安全隐患;;4)人为原因导致的信息安全隐患;5)供电环境对信息安全的威胁。
2构建完善的税务系统安全体系以应对挑战
2.1建立全方位的网络防病毒体系。做好计算机病毒防范是当前税务网络维护中的一项重点工作,要做好这项工作就要做到:1)做好局域网与互联网的完全物理隔离;2)尽早使用正版操作系统软件并及时安装相关补丁;3)在安装使用杀毒软件并做到及时升级的同时应附加安装一些防恶意程序软件;4)信息中心人员应及时了解网络相关信息,掌握第一手资料;5)建立人侵检测系统。
2.2建立严格的安全管理规章制度。“无规矩不成方圆”,严格的规章制度是各项工作顺利完成的保障。尤其是在对数据信息安全性要求严格的税务系统,没有严格的管理规章制度,我们将寸步难行。首先要有领导和上级信息管理部门来搭台,制定出完善的业务部门和信息部门在系统权限分配上相互制约的管理办法,对各个科室,实行赋予负责制,“谁赋予谁负责”的管理机制。其次,对于各分局和科室,要求每台计算机必须有专人进行负责,要求操作系统加密,设置层层口令权限,以确保税务信息无人为的安全隐患。同时为了有效防止口令外泄,可以实行“口令即责任”原则,对执法过错的追究,一律以操作用户名为公拄。
2.3提高人员素质,杜绝人为隐患。提高人员素质主要从两个方面人手:一是不断深化学习,努力提高全体税务干部的安全防范意识和计算机操作水平。二是要大力提高现有信息管理部门人员素质。
2.4建立网络安全紧急响应体系。及时对相关数据信息进行备份,以防意外事件发生。对重要信息系统的数据采取上级税务机关代为备份和本级税务机关异地备份的双重备份方式,最大限度的保证数据信息的可恢复性。同时,还可以以各部门为分类标准,将所有部门的每一类计算机都做一个镜像,放在单独的一台计算机上,这样无论哪台计算机的系统遭到了破坏,我们都能在第一时间恢复。
1管理维护人员少
我局信息系统管理维护工作主要由计算机中心负责,下设软件科、系统科、综合科共14名在编人员。信息系统的维护管理工作主要由系统科4名人员负责。一方面在开展系统维护工作时人手不足,无法覆盖到区县;另一方面由于新技术更新较快,人员对新知识与新技术的掌握不足,不利于有效的开展信息安全维护管理工作。
2系统漏洞影响大
税务信息系统对数据完整性与服务实时性高要求非常高,当今漏洞挖掘技术极大缩短系统漏洞的发现周期,经常性对核心应用系统进行升级补丁将对系统数据完整性与保障系统服务及时性造成一定的风险。
3黑客攻击与计算机病毒传播路径广
我局内部业务网已连接到全市23个下属单位,黑客可通过任何一个单位对我局核心业务应用发起攻击。同时随着移动互联网的快速发展,wfif、手机连接到终端计算机等都有可能成为业务内网与互联网的接口,使我局核心业务应用遭受到互联网的攻击。同时移动存储介质不安全的使用方式、工作员通过互联网下载的软件等都有可能导致病毒大规模传播。
二、新形势税务信息安全管理工作实践
1信息安全管理工作分解,明确分工与职责
我局信息安全工作的未来发展方向与符合我局实际情况的管理要求、监督指导执行层落实工作信息安全工作、考评执行层与支撑层的工作绩效。为全局的信息安全保障工作发挥着规划、指导、监督、考评作用,推动我局各项信息安全管理工作得以落实。执行层由各区县局单位指派在编工作人员担任,目前我局在各区县局设立信息岗,由具备一定计算机基础知识的工作人员担任。主要工任务是按照市局的管理要求开展日常的信息安全维护工作,并处理常规信息安全问题、向其他工作人员宣传市局既定的管理要求,提高全员的信息安全意识。通过执行层开展的信息安全工作,使市局规划的各项信息安全管理要求在基层得到落实。为提高执行层的工作能力,市局定期集中工作人员开展培训,传达市局信息安全工作思路、讲解工作中涉及的信息安全技术、宣传信息安全形势等。支撑层由第三方公司担任,为使我局信息安全管理工作更高效,我局将信息系统各项技术维护工作外包给各技术领域有一定实力的公司,由公司安排具备工作经验与能力的专业技术人员常驻我局,开展技术维护工作。我局管理人员根据制定的管理要求对各公司的维护工作进行考评。
2周期性检测,评估安全风险
漏洞挖掘技术很大程度的缩短了系统漏洞的发现周期,对税务系统是个非常大的安全隐患,常规的运行维护难以发现深层次的安全漏洞。因此我局将对信息系统及终端计算机的安全检测列入周期性的工作计划,不流于风险评估与等级保护测评的工作形式。以实质性的发现系统与终端安全漏洞为手段;以采取有效、可靠、安全的处置方法,降低系统安全风险为目标。将安全检测工作委托第三方专业的公司定期开展,将检查结果转交各类技术的维护公司进行处理。并对安全专业公司的检测能力,各类技术维护公司的处置能力纳入到统一考评体系,确保我局安全漏洞检测的全面性、准确性,问题处理的正常性、有效性。3建立以制度为依据、以技术为支撑的监督、管理工作流程为解决我局终端数量多、地域分布广、安全管理难度大的难题,管理层经讨论、研究针对终端安全及网络边界管理的方法,论证管理要求与技术实现的可行性,制定终端安全管理与网络边界管理的总体纲领策略。并测试、采购符合我局安全管理需求的安全技术实施部署。市局下发针对性的安全管理要求文件,安全技术根据市局管理要求部署基本的控制与审计策略。为更好的发挥技术平台的管理功效,市局将基本安全管理策略之外的管理权限下放到各区县局,由各单位根据自身实际情况制定管理规则。市局根据平台产生的数据,对违规使用资源、违规操作的个人与单位进行监督与通报,并纳入对各单位的考评。通过管理要求与技术平台的有机结合,使我局各项信息安全管理制度得到落实,并定期召集各单位对信息安全管理工作的经验进行交流与推广,提高全局的信息安全管理水平。
三、新形势税务信息安全管理探索方向
信息安全管理工作在设计上需成体系、在落实上需有支撑,这项工作有着一定的复杂性、周密性与完整性。并非依靠制定一系列的管理规定,或部署完善的信息安全技术就能立即提高信息安全管理水平。而是需要规划整体的安全管理方针与目标;根据方针与目标制定基础的保障框架;逐步完成基础保障框架中的管理、技术与过程建设;并在运行维护中不断的找出管理、技术与过程建设存在的不足,并进行改进,使信息安全管理水平不断的提高,逐渐形成适合我局的信息安全管理体系。目前我局制定信息安全管理的基本方针是建立以风险管理为核心的信息安全管理体系。在该方针的指导下,我局计划建立的基本信息安全保障框架为:
(1)以采取一切手段发现整体信息系统中存在的安全问题为基础。
(2)以评估发现的问题对信息系统可能产生的安全风险为支撑。
(3)以找出问题的有效、可靠、安全处置机制为保障。
(4)以监督、评估问题处置的有效性,降低安全风险为目标。因此在已定的安全保障框架下,管理层还需继续探索符合我局实际情况的信息安全管理方法,以管理有效方法为基础制定管理策略、以管理策略为依据选购安全技术、以安全技术为支撑开展具体管理工作、以具体管理工作为监督推动管理落实、以管理落实效果为依据检验管理方法、以优化管理方法目标提高安全管理效益。
四、结语
