淺談稅務(wù)信息管理系統(tǒng)中信息安全策略與管理

摘要:該文首先通過(guò)介紹稅務(wù)信息管理系統(tǒng)，指出信息信息安全對(duì)稅務(wù)系統(tǒng)的重要性，最后提出稅務(wù)信息化安全與管理解決方案，該方案在提高稅務(wù)信息安全及可靠性方面具有一定借鑒意義。

關(guān)鍵詞:稅務(wù)系統(tǒng);信息安全;安全策略

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)36-10406-02

On the Information Security Policy and Management of Tax Information Management System

HUANG Jian-qun

(Xi'an Shiyou University， Xi'an 710065， China)

Abstract: In this paper， first， points out that information on the importance of the tax system through the presentation of tax information management systems， Concludes with the tax information security and management solutions， The program in improving safety and reliability of tax information has some referential significance.

Key words: tax systems; information security; security policy

稅收是國(guó)家財(cái)政收入的重要途徑，相關(guān)的稅務(wù)系業(yè)務(wù)要求其具有準(zhǔn)確性、公證性和完整性的特點(diǎn)，因此保證稅務(wù)信息系統(tǒng)的安全性意義重大。稅務(wù)系統(tǒng)作為電子政務(wù)系統(tǒng)的一部分，屬國(guó)家基礎(chǔ)信息建設(shè)，其基本特點(diǎn)是:網(wǎng)絡(luò)地域廣、信息系統(tǒng)服務(wù)對(duì)象復(fù)雜;稅務(wù)信息具有數(shù)據(jù)集中、安全性要求高;應(yīng)用系統(tǒng)的種類較多，網(wǎng)絡(luò)系統(tǒng)安全設(shè)備數(shù)量大，種類多，管理難度大。

稅務(wù)系統(tǒng)是一個(gè)及其龐大復(fù)雜的系統(tǒng)，從業(yè)務(wù)上有國(guó)稅、地稅之分，從地域來(lái)說(shuō)又有國(guó)家級(jí)、省級(jí)、地市級(jí)、區(qū)縣四級(jí)。網(wǎng)絡(luò)結(jié)點(diǎn)眾多、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)出口不計(jì)其數(shù)、操作系統(tǒng)種類繁多、應(yīng)用系統(tǒng)五花八門、網(wǎng)絡(luò)機(jī)構(gòu)極其復(fù)雜。面對(duì)如此復(fù)雜的系統(tǒng)，其內(nèi)部安全隱患隨處可見，經(jīng)過(guò)不斷的研究和探索，目前已經(jīng)積累了大量解決稅務(wù)系統(tǒng)信息基礎(chǔ)設(shè)施安全的方法和經(jīng)驗(yàn)，形成一整套稅務(wù)系統(tǒng)的安全保障方法，相關(guān)安全保障的體系也在不斷完善和發(fā)展中。

1 網(wǎng)絡(luò)信息安全在稅務(wù)系統(tǒng)中的重要性

計(jì)算機(jī)軟硬件技術(shù)的發(fā)展和互聯(lián)網(wǎng)技術(shù)的普及，為電子稅務(wù)的發(fā)展奠定了基礎(chǔ)。尤其是國(guó)家金稅工程的建設(shè)和應(yīng)用，使稅務(wù)部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務(wù)可以最大限度地確保國(guó)家的稅收收入，但卻面臨著系統(tǒng)安全性的難題。

雖然我國(guó)稅務(wù)信息化建設(shè)自開始金稅工程以來(lái)，取得了長(zhǎng)足進(jìn)步，極大提高了稅務(wù)工作效率和質(zhì)量。但稅務(wù)系統(tǒng)本身也暴露出了一系列要改進(jìn)的問(wèn)題，各種應(yīng)用軟件自成體系、重復(fù)開發(fā)、信息集中程度低。隨著信息化水平的不斷提高，基于信息網(wǎng)絡(luò)及計(jì)算機(jī)的犯罪事件也日益增加。稅務(wù)系統(tǒng)所面臨的信息網(wǎng)絡(luò)安全威脅不容忽視。建立稅務(wù)管理信息化網(wǎng)絡(luò)安全體系，要求人們必須提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)，增強(qiáng)防范意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全管理，采取先進(jìn)有效的技術(shù)防范措施。

2 稅務(wù)系統(tǒng)安全建設(shè)

如何保證信息在傳遞過(guò)程中的安全性對(duì)稅務(wù)系統(tǒng)來(lái)說(shuō)至關(guān)重要，任何網(wǎng)絡(luò)設(shè)備或者解決方案的漏洞都會(huì)對(duì)稅務(wù)系統(tǒng)造成很大影響。如何成功處理信息安全問(wèn)題，使國(guó)家稅務(wù)系統(tǒng)在充分利用信息技術(shù)的同時(shí)，保障系統(tǒng)的安全，對(duì)稅務(wù)系統(tǒng)建設(shè)具有極大意義。信息安全的建設(shè)涉及到信息賴以存在和傳遞的一切設(shè)施和環(huán)境。構(gòu)筑這個(gè)體系的目的是保證信息的安全，不僅需要信息技術(shù)的努力與突破，還需要相關(guān)政策、法律、管理等方面提供的有力保障，同時(shí)也需要提高操作信息系統(tǒng)的工作人員的安全意識(shí)。

2.1 稅務(wù)系統(tǒng)安全防護(hù)體系

稅務(wù)系統(tǒng)安全防護(hù)體系保證了系統(tǒng)在生命期內(nèi)處于動(dòng)態(tài)的安全狀態(tài)，確保系統(tǒng)功能正確，不受系統(tǒng)規(guī)模變化的影響，性能滿意，具有良好的互操作性和強(qiáng)有力的生存能力等。

稅務(wù)信息系統(tǒng)安全模型提供了必要的安全服務(wù)和措施，增加了動(dòng)態(tài)特性，強(qiáng)調(diào)了各因素之間關(guān)系的重要性。該模型是一種實(shí)時(shí)的、動(dòng)態(tài)的安全理論模型，是實(shí)施信息安全保障的基礎(chǔ)。在模型基礎(chǔ)上建立安全體系架構(gòu)隨著環(huán)境和時(shí)間改變，框架和技術(shù)將會(huì)主動(dòng)實(shí)時(shí)動(dòng)態(tài)的調(diào)整，從而確保稅務(wù)系統(tǒng)的信息安全。

2.2 稅務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估

稅務(wù)系統(tǒng)信息安全保障的目的是確保系統(tǒng)的信息免受威脅，但絕對(duì)的安全并不可能實(shí)現(xiàn)，只能通過(guò)一定的控制措施將系統(tǒng)受到威脅的可能性降到一個(gè)可接受的范圍內(nèi)。風(fēng)險(xiǎn)評(píng)估是對(duì)信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。風(fēng)險(xiǎn)評(píng)估用來(lái)確認(rèn)稅務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)及大小，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估技術(shù)，確定稅務(wù)系統(tǒng)資產(chǎn)的風(fēng)險(xiǎn)等級(jí)和優(yōu)先風(fēng)險(xiǎn)控制順序。

風(fēng)險(xiǎn)評(píng)估是信息安全管理體系的基礎(chǔ)，為降低網(wǎng)絡(luò)的風(fēng)險(xiǎn)、實(shí)施風(fēng)險(xiǎn)管理及風(fēng)險(xiǎn)控制提供了直接依據(jù)。系統(tǒng)風(fēng)險(xiǎn)評(píng)估貫穿于系統(tǒng)整個(gè)生命期的始終，是系統(tǒng)安全保障討論最為重要的一個(gè)環(huán)節(jié)。

3 稅務(wù)信息系統(tǒng)整體安全構(gòu)架

一般稅務(wù)信息系統(tǒng)所采用的安全架構(gòu)模型如圖1所示。

從安全結(jié)構(gòu)模型可以看出，該安全架構(gòu)主要分為三部分:網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)防御體系、應(yīng)用安全體系和安全管理體系。網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)防御體系是一個(gè)最基本的安全體系，主要從物理級(jí)、網(wǎng)絡(luò)級(jí)、系統(tǒng)級(jí)幾個(gè)層次采取一系列統(tǒng)一的安全措施，為信息系統(tǒng)的所有應(yīng)用提供一個(gè)基礎(chǔ)的、安全的網(wǎng)絡(luò)系統(tǒng)運(yùn)行環(huán)境。

該體系的主要安全建設(shè)范圍如下:

1) 物理級(jí)安全:主要提供對(duì)系統(tǒng)內(nèi)部關(guān)鍵設(shè)備、線路、存儲(chǔ)介質(zhì)的物理運(yùn)行環(huán)境安全，確保系統(tǒng)能正常工作。

2) 網(wǎng)絡(luò)級(jí)安全:在網(wǎng)絡(luò)層上，提供對(duì)系統(tǒng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)、廣域網(wǎng)連接和遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)的運(yùn)行安全保障，確保各類應(yīng)用系統(tǒng)能在統(tǒng)一的網(wǎng)絡(luò)安全平臺(tái)上可靠地運(yùn)作。

3) 系統(tǒng)級(jí)安全:主要是從操作系統(tǒng)的角度考慮系統(tǒng)安全措施，防止不法分子利用操作系統(tǒng)的一些BUG、后門取得對(duì)系統(tǒng)的非法操作權(quán)限。

4 信息安全管理策略

4.1 安全管理平臺(tái)

信息安全管理的總體原則是“沒有明確表述為允許的都被認(rèn)為是被禁止的”。信息安全管理實(shí)行安全等級(jí)保護(hù)制度，制定安全等級(jí)劃分標(biāo)準(zhǔn)和安全等級(jí)的保護(hù)辦法。從管理的角度，將系統(tǒng)中的各類安全管理工具統(tǒng)一到一個(gè)平臺(tái)，并對(duì)各種安全事件、報(bào)警、監(jiān)控做統(tǒng)一處理，發(fā)現(xiàn)各類安全問(wèn)題的相關(guān)性，按照預(yù)定義的安全策略，進(jìn)行自動(dòng)的流程化處理，從而大為縮短發(fā)現(xiàn)問(wèn)題、解決問(wèn)題的時(shí)間，減少了人工操作的工作量，提高安全管理工作的效率。

通過(guò)技術(shù)手段，構(gòu)建一個(gè)專門的安全管理平臺(tái)，將各類安全管理工具集成在這個(gè)統(tǒng)一的平臺(tái)上，對(duì)信息系統(tǒng)整體安全架構(gòu)的實(shí)施進(jìn)行實(shí)時(shí)監(jiān)視并對(duì)發(fā)現(xiàn)的問(wèn)題或安全漏洞從技術(shù)角度進(jìn)行分析，為安全管理策略的調(diào)整提供建議和反饋信息。統(tǒng)一的安全管理平臺(tái)將有助于各種安全管理技術(shù)手段的相互補(bǔ)充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來(lái)進(jìn)行安全的監(jiān)視和管理，從而提高安全管理工作的效率。

4.2 物理安全策略

物理安全是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的設(shè)備、設(shè)施及相關(guān)的數(shù)據(jù)存儲(chǔ)介質(zhì)提供的安全保護(hù)，使其免受各類自然災(zāi)害及人為導(dǎo)致的破壞。物理安全防范是系統(tǒng)安全架構(gòu)的基礎(chǔ)，對(duì)系統(tǒng)的正常運(yùn)行具有重要的作用。

當(dāng)然，信息系統(tǒng)安全不是一成不變的，它是一個(gè)動(dòng)態(tài)的過(guò)程。隨著安全攻擊和防范技術(shù)的發(fā)展，安全策略也必須分階段進(jìn)行調(diào)整。日常的安全工作要靠合理的制度和對(duì)制度的遵守來(lái)實(shí)現(xiàn)。只有建立良好的信息安全管理機(jī)制，做到技術(shù)與管理良好配合，才能長(zhǎng)期、有效地防范信息系統(tǒng)的風(fēng)險(xiǎn)。

5 網(wǎng)絡(luò)信息安全所采取的主要措施

目前網(wǎng)絡(luò)信息安全所采取的主要措施是使用一系列的安全技術(shù)來(lái)防止對(duì)信息系統(tǒng)的非授權(quán)使用。討論稅務(wù)系統(tǒng)安全策略問(wèn)題時(shí)，相關(guān)人員往往傾向于防火墻、入侵檢測(cè)系統(tǒng)等實(shí)際的安全設(shè)備。其實(shí)，造成系統(tǒng)安全問(wèn)題的本質(zhì)是稅務(wù)信息系統(tǒng)本身存在脆弱性。任何信息系統(tǒng)都不可避免的存在或多或少的脆弱性，而且這些脆弱性都是潛在的，無(wú)法預(yù)知。系統(tǒng)出現(xiàn)脆弱性的根本原因是由于系統(tǒng)的復(fù)雜性使得系統(tǒng)存在脆弱性的風(fēng)險(xiǎn)成正比，系統(tǒng)越復(fù)雜，系統(tǒng)存在的脆弱性的風(fēng)險(xiǎn)就越大，反之亦然。

安全防御的總策略為:1)建立網(wǎng)絡(luò)邊界和安全域防護(hù)系統(tǒng)，防止來(lái)自系統(tǒng)外部的攻擊和對(duì)內(nèi)部安全訪問(wèn)域進(jìn)行控制;2)建立基于整個(gè)網(wǎng)絡(luò)和全部應(yīng)用的安全基礎(chǔ)設(shè)施，實(shí)現(xiàn)系統(tǒng)的內(nèi)部的身份認(rèn)證、權(quán)限劃分、訪問(wèn)控制和安全審計(jì);3)建立全系統(tǒng)網(wǎng)絡(luò)范圍內(nèi)的安全管理與響應(yīng)中心，強(qiáng)化網(wǎng)絡(luò)可管理、安全可維護(hù)、事件可響應(yīng);4)進(jìn)行分級(jí)縱深安全保護(hù)，構(gòu)成系統(tǒng)網(wǎng)絡(luò)統(tǒng)一的防范與保護(hù)、監(jiān)控與檢查、響應(yīng)與處置機(jī)制。

6 結(jié)束語(yǔ)

解決信息系統(tǒng)的安全不是一個(gè)獨(dú)立的項(xiàng)目問(wèn)題，安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理規(guī)范等，是整個(gè)信息系統(tǒng)安全建設(shè)的依據(jù)?，F(xiàn)有的安全保障體系一般基于深度防御技術(shù)框架，若能進(jìn)一步利用現(xiàn)代信息處理技術(shù)中的人工智能技術(shù)、嵌入式技術(shù)、主動(dòng)技術(shù)、實(shí)時(shí)技術(shù)等，將形成更加完善的信息安全管理體系。

稅務(wù)信息安全直接關(guān)系到稅收信息化建設(shè)的成敗，必須引起稅務(wù)機(jī)關(guān)和每一位稅務(wù)人的重視。科學(xué)技術(shù)的發(fā)展不一定能對(duì)任何事物的本質(zhì)和現(xiàn)象都產(chǎn)生影響，技術(shù)只有與先進(jìn)的管理思想、管理體制相結(jié)合，才能產(chǎn)生巨大的效益。

參考文獻(xiàn):

[1] 蔡皖東.信息安全工程與管理[M].西安:西安電子科技大學(xué)出版社，2004.

[2] 譚思亮.網(wǎng)絡(luò)與信息安全[M].北京:人民郵電出版社，2002.

[3] 譚榮華.稅務(wù)信息化簡(jiǎn)明教程[M].北京:中國(guó)人民大學(xué)出版社，2001.

[4] 李濤.網(wǎng)絡(luò)安全概論[M].北京:電子工業(yè)出版社，2004.

[5] 朱建軍，熊兵.網(wǎng)絡(luò)安全防范手冊(cè)[M].北京:人民郵電出版社，2007.

[6] 戴英俠，連一峰，王航.系統(tǒng)安全與入侵檢測(cè)[M].北京:清華大學(xué)出版社，2002.

[7] 李澤林，蘇淑靖.Intemet安全技術(shù)[M].北京:國(guó)防工業(yè)出版社，2005.

[8] 楊樹梅，王淑江，李文俊.網(wǎng)絡(luò)安全管理實(shí)踐[M].北京:電子工業(yè)出版社，2007.