試論稅務(wù)信息系統(tǒng)的安全風(fēng)險預(yù)防策略

文/緱艷陽

實現(xiàn)稅務(wù)系統(tǒng)信息化建設(shè)，是全國各地稅務(wù)管理部門共同發(fā)展的目標。在這過程中，必然存在一定的風(fēng)險問題。因此，做好風(fēng)險問題的研究與預(yù)防，才能實現(xiàn)稅務(wù)信息系統(tǒng)的穩(wěn)定建設(shè)。

一、稅務(wù)信息系統(tǒng)存在的安全風(fēng)險問題

(一)計算機及網(wǎng)絡(luò)運行環(huán)境的安全存在的問題

首先，稅務(wù)部門利用電信部門光纖網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)傳輸，網(wǎng)絡(luò)運營商具有線路監(jiān)管權(quán)力，而稅務(wù)部門無法有效對網(wǎng)絡(luò)運行進行監(jiān)管，若發(fā)生問題，就會出現(xiàn)業(yè)務(wù)中斷現(xiàn)象。其次，稅務(wù)部門計算機基礎(chǔ)設(shè)備不達標，很多稅務(wù)部門計算機機房安全系數(shù)低，缺少防火設(shè)備、供電穩(wěn)定系統(tǒng)等，這些硬件設(shè)備的缺失，容易引發(fā)嚴重的硬件設(shè)備故障。最后，計算機病毒最近幾年可謂是花樣百出，比如蠕蟲病毒就曾經(jīng)讓社會人人自危。此類病毒多數(shù)是通過計算機操作系統(tǒng)程序漏洞發(fā)起的主動攻擊，然后在多種傳播途徑中快速蔓延，而且躲避軟件查殺能力強。當(dāng)前，很多稅務(wù)信息系統(tǒng)計算機病毒預(yù)防能力較弱，保護范圍沒有涉及稅務(wù)信息系統(tǒng)全網(wǎng)。因此，一旦被病毒攻擊，就會發(fā)生病毒快速蔓延、網(wǎng)絡(luò)阻塞、信息丟失等嚴重的風(fēng)險問題。

(二)系統(tǒng)應(yīng)用軟件安全存在的問題

稅務(wù)部門系統(tǒng)應(yīng)用軟件安全問題頗多，首先，操作員工未能明確操作權(quán)限，密碼混亂使用，全員基本都知道密碼，使得計算機密碼身份識別模式形同虛設(shè)，若被心懷不軌的人利用，極易發(fā)生信息丟失。其次，稅務(wù)系統(tǒng)后臺訪問控制力度較弱，除了稅務(wù)部門員工可以對稅務(wù)系統(tǒng)大數(shù)據(jù)信息源訪問外，很多外來單位相應(yīng)系統(tǒng)開發(fā)人員也可以直接訪問數(shù)據(jù)庫，影響了數(shù)據(jù)了安全性。

(三)數(shù)據(jù)保護安全存在的問題

缺乏合理的信息資料保密管理方法：稅務(wù)信息化工作強調(diào)集中數(shù)據(jù)進行管理，穩(wěn)步上收、集中是業(yè)務(wù)數(shù)據(jù)發(fā)展趨勢，同時資源共享、解決稅務(wù)系統(tǒng)內(nèi)部信息孤島問題已經(jīng)成為了現(xiàn)實成果。數(shù)據(jù)集中雖然為稅務(wù)工作帶來了便利，確使信息資源保密成為了新的問題?！抖愂照鞴芊ā芬衙鞔_規(guī)定，稅務(wù)機關(guān)有為納稅人保守個人隱私和財務(wù)信息秘密的義務(wù)。納稅人的所有信息都在稅務(wù)信息系統(tǒng)中儲存，不過各級稅務(wù)部門在管理電子信息時缺乏有效的信息保密管理方法，單純的使用系統(tǒng)自帶軟件，已經(jīng)無法有效保護信息資料。[1]

(四)運行管理存在的問題

首先，缺乏完善健全的稅務(wù)信息系統(tǒng)安全管理體制制度，使安全管理工作開展中沒有統(tǒng)一的安全策略體系給予指導(dǎo)，不能在系統(tǒng)里面制定清晰、立體的安全規(guī)范要求。在當(dāng)前管理制度規(guī)范運行中，可操作性不高、遺漏頻發(fā)等問題突出。沒有監(jiān)督審核制度對管理制度落實情況予以監(jiān)督，多數(shù)規(guī)則缺乏清晰的懲罰、獎勵細則，且定義模糊，使得原則含義與員工理解的含義存在認同差異。最終導(dǎo)致管理工作無法有序開展。其次，現(xiàn)有安全管理制度的管理對象基本是網(wǎng)絡(luò)管理員、系統(tǒng)管理員等技術(shù)部人員，管理對象沒有全面涵蓋所有信息技術(shù)相關(guān)人員，包括所有網(wǎng)絡(luò)上的內(nèi)部終端人員和外部終端人員。然后，安全管理體制中內(nèi)部定期稽查審計制度不健全，未能及時的審計頒布的制度，未能及時對有問題的地方進行修改、補充。很多制度條例頒布后根本沒有實施或者完善。[2]最后，網(wǎng)絡(luò)安全構(gòu)建規(guī)劃不健全。稅務(wù)信息系統(tǒng)具有復(fù)雜程度高、規(guī)模大等特點，眾多單位需要以內(nèi)部業(yè)務(wù)網(wǎng)構(gòu)建為基礎(chǔ)，打造和政府部門相互協(xié)調(diào)的信息交換網(wǎng)。但是，以上網(wǎng)絡(luò)僅在子系統(tǒng)中適用，沒有全局性特征，而且建網(wǎng)標準存在差異性，日常的監(jiān)管、維護難度高，影響了管理的真實效果。

二、稅務(wù)信息系統(tǒng)安全風(fēng)險預(yù)防策略分析

(一)建立健全網(wǎng)絡(luò)與信息安全技術(shù)保障體系

稅務(wù)部門領(lǐng)導(dǎo)要做好信息安全領(lǐng)導(dǎo)工作，確定主體責(zé)任，落實安全制度。同時，要成立“網(wǎng)絡(luò)與信息技術(shù)安全機構(gòu)”，完善機房進出管理體制、密碼管理體制等建設(shè)，構(gòu)建信息安全管理責(zé)任制；構(gòu)建合理的計算機管理監(jiān)督及規(guī)章制度，使稅務(wù)部門、人員之間形成彼此監(jiān)督、制約的關(guān)系，降低內(nèi)部發(fā)生安全隱患的幾率；構(gòu)建完善的操作制度，基于崗位明確員工職責(zé)與權(quán)限；優(yōu)化系統(tǒng)維護機制，及時的探查、記錄故障誘發(fā)成因與維護內(nèi)容及方法；構(gòu)建故障實時反映制度，確保稅務(wù)信息系統(tǒng)能夠穩(wěn)定運行。同時，還要制定信息保密管理制度，傳授員工敏感信息數(shù)據(jù)處理、儲存方法，避免納稅人信息被惡意盜取、公開或修改。

(二)增強稅務(wù)系統(tǒng)內(nèi)部外部安全防護能力

首先，科學(xué)規(guī)劃網(wǎng)絡(luò)環(huán)境。一是完善硬件運行環(huán)境，根據(jù)國家要求，做好計算機機房防火、防磁等設(shè)備配置工作，積極與電信、電力部門協(xié)調(diào)，優(yōu)化供電與網(wǎng)絡(luò)環(huán)境。二是，定期對計算機等硬件設(shè)備進行檢查、維修，做好維修記錄；完善突發(fā)應(yīng)急預(yù)案制備；積極的軟硬件、通信系統(tǒng)進行備份，保證故障發(fā)生后可以馬上恢復(fù)運行；構(gòu)建異地數(shù)據(jù)備份基地，保證在災(zāi)難性毀滅后能夠快速恢復(fù)數(shù)據(jù)。其次，建立集中入侵檢測體制。通過分級建設(shè)、集中管理的方式建立入侵檢測系統(tǒng)，對信息系統(tǒng)進行全面的監(jiān)控、策略的制定與自動化的統(tǒng)一升級。然后，建立病毒預(yù)防、監(jiān)控體制。對于稅務(wù)信息系統(tǒng)內(nèi)網(wǎng)使用的計算機，要安裝統(tǒng)一的網(wǎng)絡(luò)版防毒軟件，建立病毒預(yù)防管控中心，設(shè)立分級制度，實現(xiàn)集中管理與稅務(wù)系統(tǒng)內(nèi)部的立體化病毒監(jiān)控、策略制定的統(tǒng)一與病毒代碼庫的同時自動化升級。重點服務(wù)器要重點保護，要在各區(qū)設(shè)置分管中心，將防毒客戶端利用網(wǎng)絡(luò)安裝，并在內(nèi)網(wǎng)防病毒管控中心的統(tǒng)一調(diào)度中進行管理。最后，要改善計算機終端操作安全指數(shù)。終端安全管理時應(yīng)堅持“主管、使用、運行者全權(quán)負責(zé)”原則，終端管理人必須對終端使用中違規(guī)行為造成的安全失誤、信息丟失等承擔(dān)自認；信息部門承擔(dān)終端資產(chǎn)登記管理工作，如使用者、地點、設(shè)備型號等；經(jīng)審批通過后的業(yè)務(wù)網(wǎng)終端才能使用，使用期間也必須遵守內(nèi)外網(wǎng)隔離制度要求，應(yīng)明令禁止不許無線設(shè)備連接網(wǎng)絡(luò)。

(三)加強數(shù)據(jù)安全對策

首先，建立第三方網(wǎng)絡(luò)管理平臺。由于各級稅務(wù)部門及相關(guān)單位稅務(wù)信息系統(tǒng)適用設(shè)備、安全設(shè)備存在差異，因此要使用第三方網(wǎng)絡(luò)管理軟件統(tǒng)一進行管理。通常可以構(gòu)建完整的網(wǎng)絡(luò)管理平臺，對各級單位中和稅務(wù)信息有關(guān)的網(wǎng)絡(luò)系統(tǒng)、安全設(shè)備等進行實時監(jiān)控、管理、預(yù)警等。通過智能化網(wǎng)管系統(tǒng)的運用，提高網(wǎng)絡(luò)、計算機系統(tǒng)管理的高效化、自動化水平，使安全管理平臺的建設(shè)基礎(chǔ)更加牢靠，讓管理平臺之間實現(xiàn)完美對接。其次，建立密集的防火墻監(jiān)控中心。建立財政稅務(wù)系統(tǒng)防火墻安全專用網(wǎng)絡(luò)，使不同密集運行的邊界間實現(xiàn)局域網(wǎng)安全連接。鑒于市區(qū)是稅務(wù)信息系統(tǒng)集中地，可在市區(qū)兩級首先部署網(wǎng)絡(luò)邊界與防火墻服務(wù)器。最后，建立網(wǎng)閘安全隔離系統(tǒng)，實現(xiàn)數(shù)據(jù)信息訪問控制。所謂安全隔離網(wǎng)閘指利用專屬通信設(shè)備、安全協(xié)議等安全制度，對內(nèi)外網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進行交換、隔離，從而提高隔離技術(shù)使用效果，將內(nèi)網(wǎng)網(wǎng)絡(luò)實現(xiàn)分隔。該方法，有效的提高了內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)交換速度、安全指數(shù)，是隔離技術(shù)全新發(fā)展趨勢。[3]

(四)加強人員培訓(xùn)

首先，為信息安全負責(zé)人及管理員工進行培訓(xùn)，提高其對信息安全知識、方法、策略、體系、制度等的了解、運用水平，提高其稅務(wù)信息管理及系統(tǒng)操作安全意識。其次，招聘專業(yè)管理人才開展崗位管理，通過完善、提高崗位管理監(jiān)察力度、傳播崗位工作技巧等方式，為信息安全運管維護技術(shù)員工普及安全管理對策、基本方法、維護及操作技巧。最后，督促操作員工對安全操作流程進行主動學(xué)習(xí)，協(xié)助他們掌握安全對策、明確自身職責(zé)等。

三、結(jié)束語

積極的完善稅務(wù)信息系統(tǒng)安全建設(shè)工作，做好信息安全管理體制、風(fēng)險控制技術(shù)等的完善、運用，才能夠提高稅務(wù)信息系統(tǒng)風(fēng)險預(yù)防水平，才有助于提高稅務(wù)信息系統(tǒng)運行效率。

[1]林春松.稅務(wù)信息系統(tǒng)中信息安全保障的研究[J].電子技術(shù)與軟件工程，2015(07)：221.

[2]謝毅，陳興國.淺談稅務(wù)信息系統(tǒng)安全[J].計算機光盤軟件與應(yīng)用，2015(01)：197-198.

[3]李春紅.淺談如何構(gòu)筑稅務(wù)信息系統(tǒng)安全屏障——對稅務(wù)信息系統(tǒng)安全的研究[J].科技情報開發(fā)與經(jīng)濟，2012(11)：91-93.