你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
咨询热线:400-838-9661
我的订单 购物车(0)
首页 学术杂志 教育杂志 医学杂志 经济杂志 金融杂志 管理杂志 科技杂志 工业杂志 SCI杂志 生活杂志
当前位置: 首页 精选范文 税务信息安全

税务信息安全范文

发布时间:2023-10-09 17:42:17

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇税务信息安全范例,将为您的写作提供有力的支持和灵感!

税务信息安全

篇1

我局信息系统管理维护工作主要由计算机中心负责,下设软件科、系统科、综合科共14名在编人员。信息系统的维护管理工作主要由系统科4名人员负责。一方面在开展系统维护工作时人手不足,无法覆盖到区县;另一方面由于新技术更新较快,人员对新知识与新技术的掌握不足,不利于有效的开展信息安全维护管理工作。

2系统漏洞影响大

税务信息系统对数据完整性与服务实时性高要求非常高,当今漏洞挖掘技术极大缩短系统漏洞的发现周期,经常性对核心应用系统进行升级补丁将对系统数据完整性与保障系统服务及时性造成一定的风险。

3黑客攻击与计算机病毒传播路径广

我局内部业务网已连接到全市23个下属单位,黑客可通过任何一个单位对我局核心业务应用发起攻击。同时随着移动互联网的快速发展,wfif、手机连接到终端计算机等都有可能成为业务内网与互联网的接口,使我局核心业务应用遭受到互联网的攻击。同时移动存储介质不安全的使用方式、工作员通过互联网下载的软件等都有可能导致病毒大规模传播。

二、新形势税务信息安全管理工作实践

1信息安全管理工作分解,明确分工与职责

我局信息安全工作的未来发展方向与符合我局实际情况的管理要求、监督指导执行层落实工作信息安全工作、考评执行层与支撑层的工作绩效。为全局的信息安全保障工作发挥着规划、指导、监督、考评作用,推动我局各项信息安全管理工作得以落实。执行层由各区县局单位指派在编工作人员担任,目前我局在各区县局设立信息岗,由具备一定计算机基础知识的工作人员担任。主要工任务是按照市局的管理要求开展日常的信息安全维护工作,并处理常规信息安全问题、向其他工作人员宣传市局既定的管理要求,提高全员的信息安全意识。通过执行层开展的信息安全工作,使市局规划的各项信息安全管理要求在基层得到落实。为提高执行层的工作能力,市局定期集中工作人员开展培训,传达市局信息安全工作思路、讲解工作中涉及的信息安全技术、宣传信息安全形势等。支撑层由第三方公司担任,为使我局信息安全管理工作更高效,我局将信息系统各项技术维护工作外包给各技术领域有一定实力的公司,由公司安排具备工作经验与能力的专业技术人员常驻我局,开展技术维护工作。我局管理人员根据制定的管理要求对各公司的维护工作进行考评。

2周期性检测,评估安全风险

漏洞挖掘技术很大程度的缩短了系统漏洞的发现周期,对税务系统是个非常大的安全隐患,常规的运行维护难以发现深层次的安全漏洞。因此我局将对信息系统及终端计算机的安全检测列入周期性的工作计划,不流于风险评估与等级保护测评的工作形式。以实质性的发现系统与终端安全漏洞为手段;以采取有效、可靠、安全的处置方法,降低系统安全风险为目标。将安全检测工作委托第三方专业的公司定期开展,将检查结果转交各类技术的维护公司进行处理。并对安全专业公司的检测能力,各类技术维护公司的处置能力纳入到统一考评体系,确保我局安全漏洞检测的全面性、准确性,问题处理的正常性、有效性。3建立以制度为依据、以技术为支撑的监督、管理工作流程为解决我局终端数量多、地域分布广、安全管理难度大的难题,管理层经讨论、研究针对终端安全及网络边界管理的方法,论证管理要求与技术实现的可行性,制定终端安全管理与网络边界管理的总体纲领策略。并测试、采购符合我局安全管理需求的安全技术实施部署。市局下发针对性的安全管理要求文件,安全技术根据市局管理要求部署基本的控制与审计策略。为更好的发挥技术平台的管理功效,市局将基本安全管理策略之外的管理权限下放到各区县局,由各单位根据自身实际情况制定管理规则。市局根据平台产生的数据,对违规使用资源、违规操作的个人与单位进行监督与通报,并纳入对各单位的考评。通过管理要求与技术平台的有机结合,使我局各项信息安全管理制度得到落实,并定期召集各单位对信息安全管理工作的经验进行交流与推广,提高全局的信息安全管理水平。

三、新形势税务信息安全管理探索方向

信息安全管理工作在设计上需成体系、在落实上需有支撑,这项工作有着一定的复杂性、周密性与完整性。并非依靠制定一系列的管理规定,或部署完善的信息安全技术就能立即提高信息安全管理水平。而是需要规划整体的安全管理方针与目标;根据方针与目标制定基础的保障框架;逐步完成基础保障框架中的管理、技术与过程建设;并在运行维护中不断的找出管理、技术与过程建设存在的不足,并进行改进,使信息安全管理水平不断的提高,逐渐形成适合我局的信息安全管理体系。目前我局制定信息安全管理的基本方针是建立以风险管理为核心的信息安全管理体系。在该方针的指导下,我局计划建立的基本信息安全保障框架为:

(1)以采取一切手段发现整体信息系统中存在的安全问题为基础。

(2)以评估发现的问题对信息系统可能产生的安全风险为支撑。

(3)以找出问题的有效、可靠、安全处置机制为保障。

(4)以监督、评估问题处置的有效性,降低安全风险为目标。因此在已定的安全保障框架下,管理层还需继续探索符合我局实际情况的信息安全管理方法,以管理有效方法为基础制定管理策略、以管理策略为依据选购安全技术、以安全技术为支撑开展具体管理工作、以具体管理工作为监督推动管理落实、以管理落实效果为依据检验管理方法、以优化管理方法目标提高安全管理效益。

篇2

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10406-02

On the Information Security Policy and Management of Tax Information Management System

HUANG Jian-qun

(Xi'an Shiyou University, Xi'an 710065, China)

Abstract: In this paper, first, points out that information on the importance of the tax system through the presentation of tax information management systems, Concludes with the tax information security and management solutions, The program in improving safety and reliability of tax information has some referential significance.

Key words: tax systems; information security; security policy

税收是国家财政收入的重要途径,相关的税务系业务要求其具有准确性、公证性和完整性的特点,因此保证税务信息系统的安全性意义重大。税务系统作为电子政务系统的一部分,属国家基础信息建设,其基本特点是:网络地域广、信息系统服务对象复杂;税务信息具有数据集中、安全性要求高;应用系统的种类较多,网络系统安全设备数量大,种类多,管理难度大。

税务系统是一个及其庞大复杂的系统,从业务上有国税、地税之分,从地域来说又有国家级、省级、地市级、区县四级。网络结点众多、网络设备和网络出口不计其数、操作系统种类繁多、应用系统五花八门、网络机构极其复杂。面对如此复杂的系统,其内部安全隐患随处可见,经过不断的研究和探索,目前已经积累了大量解决税务系统信息基础设施安全的方法和经验,形成一整套税务系统的安全保障方法,相关安全保障的体系也在不断完善和发展中。

1 网络信息安全在税务系统中的重要性

计算机软硬件技术的发展和互联网技术的普及,为电子税务的发展奠定了基础。尤其是国家金税工程的建设和应用,使税务部门在遏止骗税和税款流失上取得了显著成效。电子税务可以最大限度地确保国家的税收收入,但却面临着系统安全性的难题。

虽然我国税务信息化建设自开始金税工程以来,取得了长足进步,极大提高了税务工作效率和质量。但税务系统本身也暴露出了一系列要改进的问题,各种应用软件自成体系、重复开发、信息集中程度低。随着信息化水平的不断提高,基于信息网络及计算机的犯罪事件也日益增加。税务系统所面临的信息网络安全威胁不容忽视。建立税务管理信息化网络安全体系,要求人们必须提高对网络安全重要性的认识,增强防范意识,加强网络安全管理,采取先进有效的技术防范措施。

2 税务系统安全建设

如何保证信息在传递过程中的安全性对税务系统来说至关重要,任何网络设备或者解决方案的漏洞都会对税务系统造成很大影响。如何成功处理信息安全问题,使国家税务系统在充分利用信息技术的同时,保障系统的安全,对税务系统建设具有极大意义。信息安全的建设涉及到信息赖以存在和传递的一切设施和环境。构筑这个体系的目的是保证信息的安全,不仅需要信息技术的努力与突破,还需要相关政策、法律、管理等方面提供的有力保障,同时也需要提高操作信息系统的工作人员的安全意识。

2.1 税务系统安全防护体系

税务系统安全防护体系保证了系统在生命期内处于动态的安全状态,确保系统功能正确,不受系统规模变化的影响,性能满意,具有良好的互操作性和强有力的生存能力等。

税务信息系统安全模型提供了必要的安全服务和措施,增加了动态特性,强调了各因素之间关系的重要性。该模型是一种实时的、动态的安全理论模型,是实施信息安全保障的基础。在模型基础上建立安全体系架构随着环境和时间改变,框架和技术将会主动实时动态的调整,从而确保税务系统的信息安全。

2.2 税务系统风险评估

税务系统信息安全保障的目的是确保系统的信息免受威胁,但绝对的安全并不可能实现,只能通过一定的控制措施将系统受到威胁的可能性降到一个可接受的范围内。风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。风险评估用来确认税务系统的安全风险及大小,即利用适当的风险评估技术,确定税务系统资产的风险等级和优先风险控制顺序。

风险评估是信息安全管理体系的基础,为降低网络的风险、实施风险管理及风险控制提供了直接依据。系统风险评估贯穿于系统整个生命期的始终,是系统安全保障讨论最为重要的一个环节。

3 税务信息系统整体安全构架

一般税务信息系统所采用的安全架构模型如图1所示。

从安全结构模型可以看出,该安全架构主要分为三部分:网络系统基础防御体系、应用安全体系和安全管理体系。网络系统基础防御体系是一个最基本的安全体系,主要从物理级、网络级、系统级几个层次采取一系列统一的安全措施,为信息系统的所有应用提供一个基础的、安全的网络系统运行环境。

该体系的主要安全建设范围如下:

1) 物理级安全:主要提供对系统内部关键设备、线路、存储介质的物理运行环境安全,确保系统能正常工作。

2) 网络级安全:在网络层上,提供对系统内部网络系统、广域网连接和远程访问网络的运行安全保障,确保各类应用系统能在统一的网络安全平台上可靠地运作。

3) 系统级安全:主要是从操作系统的角度考虑系统安全措施,防止不法分子利用操作系统的一些BUG、后门取得对系统的非法操作权限。

4 信息安全管理策略

4.1 安全管理平台

信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。信息安全管理实行安全等级保护制度,制定安全等级划分标准和安全等级的保护办法。从管理的角度,将系统中的各类安全管理工具统一到一个平台,并对各种安全事件、报警、监控做统一处理,发现各类安全问题的相关性,按照预定义的安全策略,进行自动的流程化处理,从而大为缩短发现问题、解决问题的时间,减少了人工操作的工作量,提高安全管理工作的效率。

通过技术手段,构建一个专门的安全管理平台,将各类安全管理工具集成在这个统一的平台上,对信息系统整体安全架构的实施进行实时监视并对发现的问题或安全漏洞从技术角度进行分析,为安全管理策略的调整提供建议和反馈信息。统一的安全管理平台将有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监视和管理,从而提高安全管理工作的效率。

4.2 物理安全策略

物理安全是对计算机网络系统中的设备、设施及相关的数据存储介质提供的安全保护,使其免受各类自然灾害及人为导致的破坏。物理安全防范是系统安全架构的基础,对系统的正常运行具有重要的作用。

当然,信息系统安全不是一成不变的,它是一个动态的过程。随着安全攻击和防范技术的发展,安全策略也必须分阶段进行调整。日常的安全工作要靠合理的制度和对制度的遵守来实现。只有建立良好的信息安全管理机制,做到技术与管理良好配合,才能长期、有效地防范信息系统的风险。

5 网络信息安全所采取的主要措施

目前网络信息安全所采取的主要措施是使用一系列的安全技术来防止对信息系统的非授权使用。讨论税务系统安全策略问题时,相关人员往往倾向于防火墙、入侵检测系统等实际的安全设备。其实,造成系统安全问题的本质是税务信息系统本身存在脆弱性。任何信息系统都不可避免的存在或多或少的脆弱性,而且这些脆弱性都是潜在的,无法预知。系统出现脆弱性的根本原因是由于系统的复杂性使得系统存在脆弱性的风险成正比,系统越复杂,系统存在的脆弱性的风险就越大,反之亦然。

安全防御的总策略为:1)建立网络边界和安全域防护系统,防止来自系统外部的攻击和对内部安全访问域进行控制;2)建立基于整个网络和全部应用的安全基础设施,实现系统的内部的身份认证、权限划分、访问控制和安全审计;3)建立全系统网络范围内的安全管理与响应中心,强化网络可管理、安全可维护、事件可响应;4)进行分级纵深安全保护,构成系统网络统一的防范与保护、监控与检查、响应与处置机制。

6 结束语

解决信息系统的安全不是一个独立的项目问题,安全策略包括各种安全方案、法律法规、规章制度、技术标准、管理规范等,是整个信息系统安全建设的依据。现有的安全保障体系一般基于深度防御技术框架,若能进一步利用现代信息处理技术中的人工智能技术、嵌入式技术、主动技术、实时技术等,将形成更加完善的信息安全管理体系。

税务信息安全直接关系到税收信息化建设的成败,必须引起税务机关和每一位税务人的重视。科学技术的发展不一定能对任何事物的本质和现象都产生影响,技术只有与先进的管理思想、管理体制相结合,才能产生巨大的效益。

参考文献:

[1] 蔡皖东.信息安全工程与管理[M].西安:西安电子科技大学出版社,2004.

[2] 谭思亮.网络与信息安全[M].北京:人民邮电出版社,2002.

[3] 谭荣华.税务信息化简明教程[M].北京:中国人民大学出版社,2001.

[4] 李涛.网络安全概论[M].北京:电子工业出版社,2004.

[5] 朱建军,熊兵.网络安全防范手册[M].北京:人民邮电出版社,2007.

篇3

税务信息化有利于提高宏观决策的科学性和宏观调控的效率。涉税信息是进行制定税收政策、实施宏观调控的依据,是否拥有足够的信息是宏观决策与调控能否成功的前提。税务信息化的发展将改变税务信息生产方式,提高税务信息的生产效率和精确程度,这样,一方面能为税收政策的制订提供更为充足的信息,另一方面能改善宏观调控中的传导机制,并实现调控效果的及时反馈。

通过信息化的安全建设,使得增值税复杂的管理性和操作性要求得到支撑,使得增值税税制和以增值税为主体的整个新税制在中国运行良好。此外,通过信息化的安全建设,有效实现了上级对下级的监控,制约了自由裁量权,一方面执法水平提高、各项税收政策更加落实,另一方面税务系统内部上级行政管理的要求更加落实。

二、当前,我国税务信息化建设存在的安全隐患

随着我国税收信息化的迅速发展,信息安全问题变得日益严峻。从税务部门来看,些税务局没有备用服务器,外部备份设备少,一旦出现故障,很容易造成网络瘫痪或数据丢失。随着局域网、广域网、INTERNET的大范围应用,数据的接收、传送很容易传染计算机病毒。

(一)部分税务人员信息安全意识不强

随着税务信息化进程的不断加快和电脑技术、电脑知识技能的日渐普遍,广大税务人员逐渐认识到了信息化的重要性,但是由于传统观念、手工操作习惯等方面的束缚,不少税务人员对税务信息的安全意识还比较弱,缺乏全面、深刻的领悟能力。突出表现在:他们不了解信息技术对整个社会经济所带来的冲击,看不到税务信息建设的安全重要性,认为税务信息的安全与他们无关,甚至有透露里面重要信息的人员,以为仅仅是一些数据无关紧要。由于对税务信息安全建设的认识能力不够,存在着诸多的误区,也就直接导致拉在实际的工作中,税务信息安全建设问题频频出现“人为”的漏洞。

(二)计算机中出现的各种硬件问题,为黑客等网络侵入提供了可乘之机

从税务部门来看,有些税务局没有备用服务器,外部备份设备少,一旦出现故障,很容易造成网络瘫痪或数据丢失;随着局域网、广域网、取TERNET的大范围应用,数据的接收、传送很容易感染计算机病毒,防火墙可能被破解,有些密码机制不够安全等。诸如这些对计算机的外部、内部保护不够力度,会直接导致网络黑客们利用这些电脑漏洞来作案。

(三)操作人员、专业技术人员的技能有限

要使税收管理电子化的开发运用在实际工作中取得实效,要使得税务信息的管理能安全有效地运行,就需要高素质的计算机管理和技术人才,必须对税务管理的过程有一个较全面的了解,至少能够站在一个地区的税收总体工作要求和经济发展要求的角度,就需要对税收工作和税收管理电子化的开发及发展趋势有一个相对超前的认识,对税务信息安全的重要性有个全新的认识。但是,当前我国信息技术队伍和管理队伍的建设与信息化发展的要求不同步,管理队伍不健全,职能不明确,缺乏符合市场机制的足够的激励机制。对于配备完善的税务安全信息产品,由于操作人员、技术人员的技能有限,不能完全认识、运用这些安全信息产品,不能针对出现的问题及时解决。

三、完善我国税务信息化建设的整合化策略

如何成功处理信息安全问题,使国家税务系统在充分利用信息技术的同时,保障系统的安全,对税务系统建设具有极大意义。信息安全的建设涉及到信息赖以存在和传递的一切设施和环境。

(一)做好“四防”,构建信息安全保障体系

注重“人防”。要提高全体税务工作人员信息安全意识和能力,构建牢固的信息安全内部防范基础。落实“制度防范”。加强制度和标准规范的建设,规范信息安全防护工作。“提高技术防范的能力”,合理地运动信息安全技术手段,合理地运用当前高新技术,提高信息安全全方位防御能力。保障“物防”,保障信息安全工作中设备、资金的投入,确保经费到位,设备到位、后勤保障到位。

(二)加强对电子商务的税收管理

电子商务是指交易双方以国际互联网为媒介而进行的商品和劳务交易。电子商务具有全球性、流动性、隐蔽性、数字化的特点。交易不涉及现金,无需具收支凭证,以电子流代替了实物流,传统的实物交易和服务被转换成数据,在互联网上传输和交易,大量减少人力、物力,降低成本。但是也对税务信息化的建设提出了更高的要求。为此,我们可以通过修改现有的法律法规、制定新法律法规,将有关电子商务的一些特定内容,纳入法律法规的规范范围;建立专门的电子商务税务登记制度;加快税收部门自身的网络建设,尽早实现与国际互联网、网上用户、银行、海关等相关部门的连接;利用电子商务提高为纳税人服务的质量等几个方面加强对电子商务的税务管理。

(三)建立计算机技术的网络安全体系

解铃还须系铃人,计算机中出现的各种漏洞给了网络黑客们可乘之机,税务部门应建立各级技术层次的安全体系。一般税务信息系统所采用的安全架构模型如图所示。

网路级别的安全体系建构,可以采用数据备份恢复、数据日志、故障处理等对策功能,保护纳税信息的安全,以适应税收征管信息系统安全运行的需要。

系统级别的安全建构可以从计算机技术这方面加强管理,用网络系统、数据库系统和应用系统的安全机制设置,拒绝非法用户进入系统和合法用户的越权操作,避免系统遭到破坏,防止系统数据被窍取和篡改。

物理级别的安全体系建构可以从以下几个方面进行:第一采用具有容错功能的服务器和具有双机热备份技术的硬件设备,出现故障时能够迅速恢复并有适当的应急措施;第二,采用数据备份恢复、数据日志、故障处理等系统故障对策;严格执行并切实做好信息系统的安全工作,选择合适的网络管理软件进行网络管理,健全工作人员的操作规范,采取有效的身份认证、密码验证、访问限制、防火墙等计算机应用技术手段加强内部网络和数据库安全管理,保护纳税信息和办公信息的安全,以适应当前税收信息系统安全、持续稳定运行的需要。

(四)不断加强领导干部及员工队伍的安全与责任意识

篇4

[中图分类号] F272.7 [文献标识码] A [文章编号] 1673 - 0194(2013)20- 0054- 03

0 引 言

随着上海水务信息化工作的快速推进和不断深化,电子政务、数字水务、水务公共信息平台、水资源管理系统等信息化成果有力推动了水务的现代化建设。网络平台作为信息化建设和信息化成果应用的重要基础平台, 支撑起了巨大的IT价值,是水务IT价值实现的根本和基础。在互联网快速发展的背景下,网络攻击手段日益增多,信息系统所面临的安全风险也越来越多,如何确保网络信息安全已成为水务信息化进程中的一项重要工作。

1 现状分析

上海水务网络由中国水利信息网接入网、市防汛水务专网、市政务外网接入网、办公局域网、无线专网等网络组成,实现了上连国家防总、水利部、全国流域机构,中连全市各委办局、下连所有局属单位以及全市各区县防汛指挥部,系统承载了防汛报讯系统、电子政务系统、水务公共信息平台、视频会议系统、视频监控、水务热线、水资源管理系统等重要水务防汛应用。

为确保网络运行安全和系统应用正常,水务网络实施了一系列的安全防护措施,主要包括:在网络边界处部署安全访问控制设备,如防火墙、上网行为设备等,建立了安全的通信连接,确保数据访问合法并在有效的安全管理控制之下,同时作为抵御外部威胁的第一道防线,有效检测和防御恶意入侵;在网络核心部位和重要区域部署了入侵检测设备,分析网络传输数据,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象;开展计算环境安全管理,主要内容包括操作系统策略管理、统一病毒防护管理、安全补丁管理等。

2 面临的安全风险

2.1 信息系统缺乏同步安全建设

信息化进程中,普遍存在重建设轻管理,重应用功能轻安全防护,导致信息系统在建设过程中没有充分考虑信息安全防护措施和管理要求,通常在安全测评阶段,根据相应的测评指标,临时、被动地实施相关安全防护措施,虽然满足了测评的基本要求,但是安全措施比较零散,缺乏体系和相互关联,甚至实施的安全措施治标不治本,安全隐患重重。

2.2 未充分发挥安全产品防御作用

当前,信息安全已深入到业务行为关联和信息内容语义范畴。防火墙的访问控制、入侵检测的预警判断、网闸的数据传输控制以及安全审计信息的合规性判断均来自应用安全策略要求,信息安全产品更多的是面向应用层面的信息安全控制。但是由于系统开发缺乏明确的安全需求,造成了信息安全产品针对其实施的安全策略权限开放过大或无安全策略,安全告警无法有效判断,使得部分产品形同虚设,不能充分发挥其防御作用。

2.3 软件漏洞

软件漏洞是信息安全问题的根源之一,易引发信息窃取、资源被控、系统崩溃等安全事件。软件漏洞主要涉及操作系统漏洞、数据库系统漏洞、中间件漏洞、应用程序漏洞等。操作系统、数据库等厂商会不定期针对漏洞相应的补丁,但是,由于应用系统运行对程序开发环境的依赖度较高,补丁升级存在较大安全风险和不确定性,使得应用部门通常不实施操作系统等相关补丁升级工作。此外,应用程序本身也普遍缺失安全技术,存在诸多未知安全漏洞等问题。

2.4 网络病毒

计算机病毒是数据安全的头号大敌,根据国家计算机病毒应急处理中心的《2011年全国信息网络安全状况与计算机及移动终端病毒疫情调查分析报告》,2011年全国计算机病毒感染率为48.87%,虽呈下降态势,但是病毒带来的危害越来越大。

2.5 黑客攻击

国家互联网应急中心(CNCERT)的最新数据显示,中国遭受境外网络攻击的情况日趋严重。CNCERT抽样监测发现,2013年1月1日至2月28日不足60天的时间里,境外6 747台木马或僵尸网络控制服务器控制了中国境内190万余台主机。在信息系统漏洞频出的情况下,面向有组织的黑客攻击行为,现有的技术防护和安全管理措施捉襟见肘。

2.6 信息安全意识薄弱

人是信息安全工作的核心因素,其安全管理水平将直接影响信息安全保障工作。由于缺少宣传、培训和教育,用户信息安全意识较为淡薄。由于安全意识淡薄和缺乏识别潜在的安全风险,用户在实际工作中容易产生违规操作,引发信息安全问题或失泄密事件。

3 采取的管理措施

存在这些安全风险的主要原因为缺乏信息安全规划、缺乏持续改进的安全维护保障措施以及安全意识薄弱等,所以做好该部分工作是解决当前所面临安全风险的主要措施。

3.1 信息安全规划

信息安全规划是一个涉及技术、管理、法规等多方面的综合工程,是确保物理安全、网络安全、主机安全、应用安全和数据安全的系统性规划。信息安全规划既依托于信息化规划,又是信息化的重要组成部分。在信息安全规划的指导下,信息系统安全建设与管理才能有计划、有方向、有目标。信息安全规划框架如图1。

3.1.1 以信息化规划为指引,以信息化建设现状为基础

信息安全规划是以信息化规划为指引,以信息化建设现状为基础,系统性的规划信息安全架构,是信息化发展中的重要环节。信息安全规划一方面要对信息化发展现状进行深入和全面的调研,摸清家底、掌握情况,分析当前存在的安全问题和信息化发展所带来的安全需求,另一方面要紧紧围绕信息化规划,按照信息化发展战略和思路,同步考虑信息安全问题。

3.1.2 建立信息安全体系

信息安全规划需要围绕技术安全、管理安全、组织安全进行全面的考虑,建立相应的信息安全体系,确定信息安全的任务、目标、战略以及人员保障。

3.2 日常安全运维保障

3.2.1 关注互联网安全动态

互联网的快速发展使得水务网络安全与互联网安全密切相关。因此,关注互联网安全动态,及时更新或调整水务网络安全策略和防护措施,是日常安全管理工作中的一项重要工作。

3.2.2 安全态势分析

网络信息安全是一个动态发展的过程,固化的安全防护措施无法持续确保网络环境安全。定期对网络安全环境进行态势分析不仅可以掌握当前存在的问题,面临的风险,而且可以及时总结原因,制定改进策略。安全态势分析主要通过对网络设备、安全设备、主机设备及安全管理工具等策略变更信息、日志信息、安全告警信息等,经过统计和关联分析,综合评估网络系统安全状态,并判断发展变化趋势。

3.2.3 信息安全风险评估

风险评估是信息安全管理工作的关键环节。通过开展风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多问题的办法。安全风险评估的主要步骤和方法:①确定被评估的关键信息资产;②通过文档审阅、脆弱性扫描、本地审计、人员访谈、现场观测等方式,获得评估范围内主机、网络、应用等方面与信息安全相关的技术与管理信息;③对所获得的信息进行综合分析,鉴别被评估信息资产存在的安全问题与风险;④从系统脆弱性鉴别、漏洞和威胁分析、现有技术和管理措施、管理制度等方面,根据不同风险的优先级,分析、确定管理相应风险的控制措施;⑤基于以上分析的结果,形成相应的信息安全风险评估报告。

3.2.4 应急响应

应急响应是信息安全防护的最后一道防线,其主要目的是尽可能地减小和控制信息安全事件的损失,提供有效的响应和恢复。应急响应包括事先应急准备和事件发生后的响应措施两部分。事先应急准备主要包括明确组织指挥体系,预警及预防机制,应急响应流程,应急队伍、应急设备、技术资料、经费等应急保障,定期开展应急演练等工作。事件发生后的应急措施包括收集系统特征,检测病毒、后门等恶意代码,限制或关闭网络服务,系统恢复等工作。这两方面互相补充,事前应急准备为事件发生后的响应提供指导,事后的响应处置进一步促进事前准备工作的不断完善。

3.3 教育培训

人是信息安全工作的核心因素,其知识结构和应用水平将直接影响信息安全保障工作。加强相关信息安全管理人员的专业培训,以及开展面向网络用户的信息安全宣传教育、行为引导等,是提升信息安全专业化管理水平,提高信息安全意识,有效避免信息安全问题或失泄密事件发生的重要工作。

4 总 结

随着信息化进程的加快,信息系统所面临的安全风险越来越多,信息安全管理工作要求也逐步提高。持续分析、总结网络信息安全管理中存在的问题,并采取针对性的措施不断加以改进,成为保证水务信息化战略实现、不断提升水务部门管理能力和服务水平的重要基础保障工作。

主要参考文献

[1]GB/T 22239-2008,信息安全技术信息系统安全等级保护基本要求[S].

篇5

根据你局《通知》(镇经科通〔2011〕9号)和《昭通市工业和信息委员会关于报送2011年度下半年政府信息系统安全检查自查报告和开展抽查工作的通知》(昭工信信推〔2011〕279号)文件精神。我局对信息系统安全情况进行了自查,现将自查情况汇报如下:

一、信息安全总体情况

2011年我局信息系统安全工作与2010年相比,有了一些改进。在安全管理、落实解决方案方面加大了力度,确保在系统升级项目完成之前,现有的系统能够保持良好的运行状态。

二、2011年信息安全主要工作情况

(一)信息安全组织管理

1、成立了安全小组。明确了信息安全的主管领导和具体负责的管护人员,安全小组为管理机构。(1)制定了2011年信息安全工作方案。随着系统升级项目的进行,接处警系统信息的安全是重点考虑的问题之一。(2)进一步制定和完善了信息安全方面的制度。(3)不定期进行安全检查工作。

2、有指定的信息安全员,负责维护本单位网络安全,指导协调相关工作。

(二)日常信息安全管理

1、人员管理情况。(1)重要岗位指定保密员并签订了保密协议;各信息专员对重要文件和信息资源要做到及时备份。(2)人员离岗离职需要通过各部门审核,持有单位信息、帐户密码的,需交接清楚,单位配备的专用存储设备必须回收,人员离职后,信息安全员必须修改相关计算机设备的帐户、密码。(3)外部人员访问机房必须登记,由相关部门人员监督,带出设备需要相关部门签章。(4)违反制度规定造成信息安全事件的,视情节轻重予以相应处罚。

2、资产管理情况。(1)每个部门指定一个资产管理人员,单位设定固定资产管理员。(2)计算机及相关设备送修需报固定资产管理员,报废销毁需要做好登记。

3、各办公用计算机均已安装杀毒软件,严禁使用不可靠、不知名的办公软件。涉密计算机专人专用,用户名和密码专人持有。

4、今年年初相关股室已将信息安全经费纳入年度预算。

(三)信息安全防护管理

1、每个部门设置不同的网段。相关科室定期检查服务器运行情况,防病毒是否正常,及时排查防火墙等防护设备的故障。

2、门户网站的信息严格按照审核程序执行,防止敏感信息泄露,上传工作由局办公室专门负责。电子邮箱由专人管理,定期更新用户口令。

3、涉密和非涉密计算机物理隔离,分类明确。专用移动存储设备需登记,使用前必须先进行杀毒检查,存储设备报废需使用有效的工具进行销毁。

(四)信息安全应急管理

1、制定了应急响应预案。当网络、设备在运行中发生重大故障时,须报告相关领导。发现可疑攻击,及时追查其网络地址,并阻断。一旦发现有计算机中病毒,及时将其断网,并杀毒。

2、根据需要设置了备份服务器,以应对突发事件。

(五)信息安全检查工作

1、上一年度存在的问题主要是接处警数据拷贝安全性,今年配置了两台计算机终端专门用于处警日常查询数据和拷贝文件,避免接处警计算机使用外部存储设备。

2、部分在用设备为我局建设初期购置,存在设备陈旧、故障率高的问题,应加大对设备进行维护、保养的力度,提高防范意识。

三、检查发现中发现的主要问题及整改情况

根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我局实际,今后要在以下几个方面进行整改。

1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。

2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。

3、安全工作的水平还有待提高。对信息安全的管护还处于初级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。

4、工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。

四、对信息安全工作的意见和建议

信息系统安全教育培训有待重视。由于我局不具备很专业的信息系统安全工作人员,对信息系统安全工作一知半解,希望相关部门能加强这方面的业务培训工作。

 

 

篇6

1国家税务总局电子政务建设的进展和成效

1、1电子政务建设的发展历程

税收是国家财政收入的基本来源,是促进国民经济和社会发展的根本保障。税务系统的信息化建设和电子政务的应用起步较早,国家税务总局电子政务的发展大致可分为3个阶段。

第一阶段是从2O世纪8O年代初开始,模拟手工操作的税收电子化阶段(如GCRS,CRI:''''G软件等);

第二阶段从1994年开始,是步入面向管理的税收管理信息系统阶段(如增值税稽核、协查系统等);

第三阶段从2004年开始,是目前正在建设中的实现并创造税收价值的全方位税收服务系统阶段,即电子税务建设阶段。

1.2电子政务建设取得的成就

国家税务总局利用信息技术提高税收征管水平,降低征纳税成本,改善税收环境,为纳税人和社会各界提供优质的税收服务。主要表现在:一是进一步规范税务机关执法行为,加快了依法治税过程;二是有效地遏止了利用增值税专用发票进行偷骗税活动,保障税收收入及时入库;三是进一步规范了税收秩序,保护了广大纳税人的合法权益;四是有利于企业加强内部管理,提高企业防范财务风险的能力,保护企业的合法经济利益;五是进一步增强了税务机关运用现代化信息技术加强税收管理的意识,实现了税收管理手段的根本转变;六是显著提高了税务部门的工作效率和税收征管质量;七是公共信息服务能力不断提升。

2国家税务总局电子政务建设存在的问题

2、1建设资金来源问题

由于税务总局电子政务建设主要由政府提出并组织实施。用户主要是宏观经济管理部门和企业,受用户使用数限制,网络的建设很难以用户驱动来发展,网络建成后也很难实行企业化经营,因此市场机制发挥作用不大,建设资金主要依靠国家来解决,需要加大财政资金投入。由于当前税收信息化还面临诸多问题和困难,资金的需求量也进一步扩大,庞大的税务系统信息化建设,需要在硬件购置、应用系统开发、网络建设以及各项运行保障等方面加大资金投入。

2、2信息安全问题

影响税务信息安全的因素相当广泛,存在的问题主要有:基础信息库的建设滞后,原始信息的可利用性存在安全隐患;手工录入导致的信息失真,降低了信息的可信度;由纳税人提供的涉税信息的安全保障缺乏法律性的规范;电子政务建设的理念有所偏差,多注重硬件设备和软件开发的投资,而轻视对应用系统的经常性维护;计算机病毒对涉税信息安全的冲击;税收信息不对称问题导致的信息安全隐患等。

2.3信息孤岛问题

多年来税务信息化发展的推动因素大多是有针对性地解决具体业务的应急需求,缺少统一的规划,因此,各地信息应用系统建设自成体系、重复开发、功能交叉,而且普遍存在“信息孤岛”。

2.4信息共享问题

数据集中度明显低,信息共享困难,数据很难进行综合利用。到目前为止,国家税务总局征管数据2,3在征管的区县,l,3数据库建在地市一级。软件功能也是功能交叉,带来数据重复采集,一个税种一套表,很多共享表格要填多次。系统软件不统一,造成运行环境不兼容。操作系统、数据库,包括中间件,各种公司的产品都有。CTAIS与金税工程二期各自独立,不能实现信息的充分共享。

3国家税务总局电子政务建设对策

3.1优化税收征管流程以形成高效电子税务格局

若要优化税收征管流程以形成高效电子税务格局,应做好以下几方面的工作:

一是建立适合电子税务、科学规范的税收征管业务流程。征管机构调整后,必须对税收业务和工作规程进行重组和优化,建立既符合专业化管理要求,又适合计算机管理、便于操作的税收业务流程。要以简化的业务流程为基础,将内部管理所用表、证、单、书简化、合并或部分取消。按照税收管理的认定、申报、管理、评估、稽查、执行等环节,确定最小化的指标体系。

二是优化纳税服务,实行人性化管理。优化纳税人服务管理,应体现在征收管理流程各个方面,包括渠道管理、内容管理、纳税分析、税务咨询、法律援助等方面。税务机关应在建立税收管理信息传递机制后,对纳税人进行有效的、富有针对性的服务与管理,并加强对纳税人的状态监控。纳税服务人性化应包含:简化税款征收程序;税收管理环节准确、高效;建立良好的纳税环境。并建立上述各环节状态的信息库,以纳税人客户关系管理和状态管理为原则,整合税收管理业务流程,建立以纳税服务为核心的管理新体系。

三是改革审批制度,提升电子税务效率。重点是将现有征管分类.对不存在审批实质、流于形式的部分征管业务,从“审批制”转为“核准制”。例如税务登记,税收登记人员只需查验资料齐全、证件合法,即可当场核准税务登记,发放税务登记证,免于审批。

3、2充分挖掘信息资源以强化税收数据的开发利用

科学推进电子政务建设,不仅要搞好技术平台的建设,更重要的是在于搞好数据资源开发利用。首先,要加强对数据的采集,按应用需求对数据采集内容进行整合,加强数据审核,尽可能从源头保证数据的质量,确保数据的客观性和真实性。其次,应定期进行数据的清理和校验,进一步把垃圾数据清理出系统之外,确保在此基础之上加工的数据产品真实有效且能对领导决策提供参考。其三,应在数据加工和分析上下工夫,把各种历史数据、各类财务信息、申报信息及其他管理信息,通过数据仓库技术进行数据挖掘和数据抽取,通过建立数学模型进行预测和决策分析,并且把数据转化为信息,进而使信息转化为知识,最终将其输送到决策者和用户手中,发挥出信息化的应有效用。

为加强数据资源的开发利用,可在省一级建立数据处理中心,通过安全畅通的网络,保障各级税务部门实现资源共享;在内网平台基础上实现包括工商、海关、银行、财政、统计等部门的网络互联,实现信息交换、建立共享数据库。在此基础上,应用多层体系结构的数据库技术,对所有涉税数据进行集中统一的联合分析处理,通过数据抽取、加工、比对、合并、分析等功能,整合异源、异构数据资源,形成统一的有效信息,利用科学的分析预测模型进行目标、过程和行为的管理决策支持,利用纳税人电子档案、报表、征管质量分析等数据产品,提供信息服务,使数据真正向管理信息转化,充分发挥出信息化综合、快捷、高效的功能。

3-3建设一个系统及三大体系以实现税务管理现代化服务

3.3.1税务决策支持系统

这是最高层次的电子政务,是全面提升我国税务预测和决策水平的现实需要,是我国税务工作从操作型管理走向数量型、分析型、智能型管理的标志。在指导思想上,决策支持系统的构建应着眼于实现税务管理现代化的战略目标,立足于税务行业跨越式发展需要,构建一个集先进性、可靠性、稳定性、开放性、安全性于一体的高效、智能化的决策系统。在功能上以面向决策层服务为主导,兼顾管理层的需要。同时,决策支持系统的构建应遵循先进性原则、实用性原则、前瞻性原则、共享性原则、保密性原则、安全性原则。

按所使用的技术不同。可以将决策支持系统分为四类:一是基于模型库和数据库的“传统决策支持系统”;二是基于模型库、知识库、数据库的“智能决策支持系统”;三是基于数据仓库、OLAP分析(多维分析)、数据挖掘的“新决策支持系统”;四是将上述三种类型决策支持系统所使用的技术结合在一起的“综合决策支持系统”。“新决策支持系统”是目前税务系统发展决策支持的重要方向,而“综合决策支持系统”是决策支持系统的未来发展方向。

框架设计是决策支持系统开发设计的核心所在,它决定了决策者进行决策的范围和最终的信息来源。具体来说,应该包括以下4个子系统:

一是税收业务子系统。二是行政管理子系统,三是组织文化子系统,四是技术监督子系统。从功能上看,应该包括报表浏览、即席查询、多维分析、模型分析等四大功能。

3.3.2税收经济公共信息服务体系

税收经济公共信息服务体系的目标是构建网络环境下经济与税收信息共享的管理模式,建设以总局为核心,有效地减少信息冗余的、垂直的税务门户网站。这可能需要政府、大学研究机构和及税务服务企业联合运作,采取有生命力的管理机制和市场机制。

不论是政府部门、企业、个人。还是学术机构、教育单位,均可在该网站或映射网站上得到相应服务。在强调客户群体。即纳税人的广泛性的同时,注重对高端客户的细分,根据最重要的客户群设置栏目和内容;网站内容要突出时效性和实用性。一个具有理论和实务相结合的有特色的税收经济公共信息服务网站至少应具备如下功能:一是法律法规检索指引功能;二是综合财经新闻、财政金融信息动态服务功能;三是财政金融专家在线咨询功能、疑难自动解答功能;四是税收征纳业务网上电子处理功能;五是财政金融基本知识、前沿理论的介绍与讨论功能;六是网上财政金融专业知识的教育、培训功能;七是网上出版物及相关资料的发行功能。

3、3、3电子政务标准体系

篇7

(一)全面推行增值税发票管理系统升级版。按照总局和省局统一部署,建立电子底账,全面推行增值税发票管理系统升级版。使新系统覆盖所有增值税纳税人和所有增值税发票,不再对新办纳税人推行老税控系统。加强技术统筹,优化系统运行环境,做好税控装置发行、发放管理,确保升级版平稳、有序运行。

(二)完成金税三期优化版推广应用工作。按照总局和省局统一部署要求,制定具体实施方案。扎实细致开展系统初始化工作,严把数据清理和迁移质量关,精心实施系统性能压力测试,全力做好上线运行保障工作,确保我市国税系统在三季度前完成金税三期优化版的推广应用工作。

(三)积极推进内控机制信息化升级版。内控机制信息化升级版是今年总局和省局安排部署的一项重要工作任务,也是落实党风廉政建设主体责任和监督责任的重要抓手。各地要全面落实总局和省局内控机制信息化升级版建设会议精神,严格按照既定目标、时间节点和工作要求扎实推进。按照总局和省局部署,深入查找风险点,不断完善风险指标体系,制定风险防范新措施,持续改进内控机制。

(四)全面优化完善我市网上办税系统。优化和完善我市网上办税系统,及时实现与“金税三期”的系统同步,并以网上办税系统为基础,进一步拓展其他新型电子远程办税渠道,实现手机移动终端APP和微信公众平台办税等方式,打造我市全新电子税务局办税新格局,以实现与实体办税厅等同功能、达到“足不出户,轻松办税”为长远建设目标。

(五)大力推进行政管理信息化工作。全面推行绩效管理3.0版和个人绩效管理2.0版,实现组织和个人绩效管理的全覆盖。配合做好综合办公、财务等行政管理类应用系统的升级优化工作,提高行政管理效率。

二、优化应用系统运行维护工作机制

(六)着力优化运维工作机制。优化目前运维流程,大力推广集中运维工作平台,实现应用系统运维的归口化管理,减少运维受理环节。

(七)做好应用系统日常运行监控、维护和健康检查。以实现系统零中断为目标,强化主动运维和多级联动,确保各大应用系统正常运行。进一步完善应用系统定点联系工作机制,扩大联系点范围。积极推进金税三期运维项目建设。

三、加强基础设施建设,提升基础设施管理水平

(八)加大基础设施建设和维护力度。加强对部分县市区局机房和网络布线改造项目设计、施工过程中的监管,确保实施到位,确保实用及安全性;加强各级机房及基础设施的巡检,加强县区以下办税场所及各级政务中心办税点核心设备的保护。

(九)优化基础设施资源管理。统筹基础设施资源规划,推进按需分配、有序运行和精细管理。建立设备信息更新审核制度,推动基础资源归类整合。按使用年限、报废流程和权限,规范设备报废。完善技术服务体系,统筹同类设备维保服务。

(十)做好网络及视频会议管理。以实现网络零中断为目标,优化网络结构,加强对税务系统广域网的全面监控,完善网络监控平台,提高网络利用率。贯彻落实税务系统广域网管理规范,提高网络管理水平。加大高清视频会议系统建设和管理、考核力度。

四、持续强化数据资源管理

(十一)深化数据治理、完善数据资源管理机制。严格数据校验和审核,坚持数据“零差错”不动摇,把好数据入口关,做好历史数据的修正和“垃圾”数据的清理,持续提高数据质量。建立高效的信息采集渠道,继续加大各类税收数据和扩大第三方信息的采集力度,实现第三方涉税信息的定期自动交换。强化数据资源的统一存储、统一管理,集中应用,逐步形成科学化、系统化和制度化的数据资源统筹管理工作机制。做好涉税数据的保密和安全。

(十二)优化数据分析平台、深化数据资源挖掘。坚持科技创新和科技引领理念,充分利用省局数据仓库和税收风险管理平台,充分利用大数据应用技术,深化数据资源挖掘,不断优化数据分析平台,为税收宏观分析和决策提供第一手数据信息。充分发挥信息化技术手段,提升税务稽查现代化水平。

五、着力做好信息安全保障工作

(十三)做好信息安全规划与网络安全检查。逐步建立税收网络安全“统一领导、严格管理、按章运行、全员参与、考核到位”的综合管理格局。做好年度网络安全检查、信息安全风险评估与等级保护和应急处置演练工作。力争实现信息安全防范技术方面的突破。

(十四)加大信息安全宣传力度。举办“税务系统信息安全宣传周”活动,以总局《信息安全意识教育大纲》为蓝本,向全体税务干部宣传信息安全知识和政策要求,切实做到信息安全理念“入耳、入脑、入心”。

六、加强信息技术队伍建设,强化绩效考核和内控机制建设

(十五)提升全员信息化素质。积极推进税务干部信息化素质能力培养,通过丰富多样的教育培训和竞赛活动,提升全员信息化意识和信息化技能。

篇8

随着应用系统数据集中、资源整合工作进一步深入,基层国税机关日常要输入、传输大量的重要数据,在网络安全事件频发的今天,税务网络的安全也同样面临着严峻的挑战。

一、信息安全面临的问题

(一)信息安全教育和安全管理松懈,信息安全观念淡薄,保密意识不强。不少操作人员普遍认为只要有了杀毒软件,有了网络防火墙,内网电脑不上因特网,不使用移动存储介质,就不用担心自己的电脑会出现什么安全问题,觉得黑客、病毒离自己很遥远。由于操作者普遍没有危机感,造成各类安全管理制度执行不到位,对信息保密技术的运用持“无所谓态度”,这实际已经构成信息安全的最大隐患。

(二)安全保密制度落实不到位。笔者曾对所在单位公文处理系统空密码进行扫描,在109位用户中发现34位用户密码为空,占31%,如果加上弱口令,这个比率应该会更高。由于大部分应用系统的数据集中在省、市局,县局无法通过技术手段批量筛选出弱口令、空口令账户。笔者以为,全省弱口令、空口令用户应该不在少数。此外,诸如涉密文档不加密存储、不按规定销毁涉密文档等现象也普遍存在。

(三)移动存储介质管理存在较大安全隐患。不少税收管理员为方便工作,也会要求企业报送的部分报表均通过U盘或电子信箱传递。如此一来,U盘内外网混用就不可避免。现在提倡使用摆渡机,就是一台既不联外网也不联内网的电脑,从外网下载了资料后先拷到摆渡机上并查毒,然后将摆渡机上的资料保存到U盘或移动硬盘再拷到内网,但这种方法一方面十分繁琐,遇到时间紧张的情况就难以做到。另一方面也不能保证万无一失,因为不能保证摆渡机的彻底干净。

(四)违规登陆因特网无法及时发现。虽然实行内、外网物理隔离,但是违规通过无线网卡、宽带拔号私自上因特网的现象依然存在。部分操作人员错误的以为拔下内网网线,然后上因特网就实现了物理隔离。殊不知,在上外网的过程中,如果浏览了带木马的网页或运行了带病毒的软件,木马、病毒就会植入个人电脑,当插上内网网线,木马程序或病毒就会在整个网络中传播。

(五)瑞星病毒库、上游补丁服务器更新补丁滞后,杀毒软件实时监控功能效果有限。由于病毒库更新、补丁下发的滞后性,税务内网的病毒、木马有时不能得到及时发现并清除。笔者所在单位就曾发现Worm.Win32.MS08-067.d病毒,通过瑞星杀毒软件反复查杀均不能彻底清除,最后只能手工清除。据省局信息中心2008年统计,全省共查杀病毒2740536个,入侵事件236900件,形势不容乐观。

(六)缺少计算机安全策略设置。大部分计算机没有设置过本地安全策略,为图方便,大部分用户使用空口令登陆Windows。使用口令的用户,在密码复杂性、长度、更换周期方面也远远达不到安全的需要。基层单位电脑使用的操作系统一般采用默认安装,开放了所有端口,为病毒、木马入侵留下了窗口。

二、加强信息安全的对策

(一)加强信息安全宣传,树立信息安全理念。采取举办信息安全专题培训班、开辟信息安全宣传园地等多种形式进行信息安全宣传,使广大税务干部职工树立正确的安全意识、法律意识并初步掌握必备的安全技能。帮助干部牢固树立“防胜于治”的安全理念,克服麻痹思想和侥幸心理。要高度重视系统口令的重要性,省市局可以通过后台定期对空口令弱口令扫描,并将结果下发给各县局,由县局督促相关人员做好口令安全工作。

(二)加强制度落实的执行力,降低信息安全风险。大多数安全事件的发生和安全隐患的存在与其说是技术上的原因,不如说是管理上的原因。国内已经发生的许多计算机安全事件,包括计算机犯罪,技术手段并不怎么高明,主要是由于钻了管理上的漏洞。管理的关键在于人员管理,因为各种安全措施要靠人来实施,另一方面,有相当多的安全隐患出自系统内部人员。因此必须提高安全管理人员的素质,加强对系统内部人员的教育和管理。

(三)严格按规定使用移动存储介质。通过北信源桌面防护系统控制U盘使用节点,确实因工作需要使用USB接口的电脑,必须先进行病毒查杀,在确保安全的情况下方可使用。

篇9

[中图分类号]F275[文献标识码]A[文章编号]1005-6432(2013)29-0211-02

税收信息化是税务部门应用信息技术,深入开发和应用信息资源的过程,是集先进的税收管理和服务理念与现代网络技术融为一体的一项系统工程,其主要是利用信息技术推动税务部门业务重组、流程再造、文化重塑,进而推进税收工作管理水平和服务水平跃上新台阶。本文就税收信息化建设的积极作用、存在问题和改进措施进行探讨,以期对我国信息化建设有积极作用。

1税收信息化建设的积极作用

1.1促使税收收入的稳步增长税收信息化是加强税收征管,实现依法治税的重要措施。1994年我国税制改革以来,税收信息化建设工作得到了快速发展,促进了税收收入的稳步增长。特别是2000年以后,我国年税收收入快速增长,超过当年GDP的增长幅度。

1.2促进税收管理制度的完善税收信息化建设推动税收征管模式的变革,电子商务和网络交易蓬勃发展使商业活动在虚拟中进行,经营活动不再受时间、地域、经营场所的限制,整个商贸活动呈现出多国性、快捷性、流动性和隐蔽性等特点,只有加快税收信息化建设,全面掌握税收相关信息,建立具有税收管理、监控、服务的效能的税收信息平台,才能适应商贸活动急剧变化的新情况和新特点。

1.3提高了纳税服务的效率和水平税收申报方式的改革,使纳税人可通过网上申报、电话申报、银行网络申报等多种方式,使纳税人足不出户就可实现跨区域的纳税申报,极大节约了纳税时间,降低了纳税成本,提高了办税效率和纳税服务水平。

2我国信息化建设存在问题

我国税收信息化起步晚、起点不高。在信息化建设过程中,一方面,由于各地经济发展不平衡造成税收征管水平参差不齐、税收征管模式存在地域差异;另一方面国家缺乏统一、规范的规划与管理,造成我国税收信息化建设从开始启动的时候就陷入了规划不统一、管理不平衡、系统不兼容,导致运行效率低下、管理漏洞大量存在,产生了许多突出问题,归纳起来主要有以下几个方面。

2.1税务信息化建设的目标与现实脱节尽管我国的税收信息化建设已初具规模,并在推广运行中取得了较好的效果,但总的来说税收信息化建设的目标与现实脱节,未形成与社会各部门统一、高效的规划与管理。尽管在不同的时期国家税务局在各地税务机关也制定了税收信息化的发展规划,但这些规划从系统的角度上看是局部的、缺乏规范、统一的目标与程序。

2.2税务人员对税收信息化的认识不购税收信息化绝非是简单的税收管理手工作业的自动化。应该认识到,实施税收信息化必然从根本上带来组织结构的调整,工作方式、思维方式、工作内容的改变,以及工作岗位责任体系和工作管理制度的根本变革。在对税务信息化的实施过程中,各地税务人员普遍存在对税收信息化的认识误区,对税收管理现代化、信息化缺乏深入的了解和认识。

2.3税收信息化技术人员素质有待提高近年来,税务系统的信息化硬件设备投入很大,但信息化技术人员的计算机应用水平与信息化建设的要求还有一定的差距。虽然近几年税务系统大力开展计算机知识、网络知识和税务知识培训,优化税收人员素质结构,税务系统人员的整体素质有了一定的提高,但目前真正具有较高计算机应用水平的人员不多,尤其是既精通计算机网络应用又精通税收政策的复合型人才更少。原因是税收业务和信息技术人员对快速发展的管理技术学习运用不够,基层税务机关能够熟练地掌握征管软件程序的人,仅限于市县级税务机关信息中心的少数人。信息中心人员少,经常忙于为前台扫除数据垃圾等事务性工作,使税收信息化很难起到管理和促进的作用。税务信息化人才的缺乏在一定程度上制约了信息化的建设进程。

2.4税务信息系统的安全性存在隐患目前情况下,我们在信息安全工作方面做得还远不到位,在安全防范措施上普遍存在着重防外、轻防内的现象。推行征收方式改革实现企业和个人网上申报,内外网之间虽然采用了防火墙进行了隔离,但内外网物理上是连接在一起的,网络安全存在一定的隐患。基层税务部门计算机网络系统防护能力相对较差。虽然对征管数据的备份也提出了要求,征收期内在本地每天备份一次,并定期通过广域网在沈阳市的下属区县进行备份,实现异地数据备份,但是,金税工程软件数据的备份机制和体系尚未真正建立,仍存在较大的安全隐患。有些税务机关没有备用服务器,或外部备份设备少,一旦出现故障,很容易网络瘫痪或数据丢失,造成不可弥补的损失。随着局域网、广域网和因特网的广泛应用,数据的接收、传送很容易传染计算机病毒,防火墙很容易被破解,有些密码趋于公开,系统内部的数据很容易被修改。

3税收信息化建设应采取的对策

3.1高度重视税收信息化建设税收信息化建设在整个社会大环境下,它的成败对信息化建设的环境依赖很大。目前多数同志对信息化的重要性有了一定认识,但仍停留在一般认识上,因此,需要尽快转变观念,真正从思想上认识到实施税收信息化建设的必要性和紧迫性,树立大局意识和责任意识。在这种情况下,领导重视、部门间协调、人员认识充分等因素起着特别重要的作用。税收信息化的实现取决于人们的管理理念、思维方式和价值观念的现代化。加快税收信息化建设工作,税务人员尤其是各级领导干部要转变观念,要充分认识到实现征管手段的现代化,提高管理水平和工作效率,实现征管全过程的联系、制约与监控,都必须依托于信息化手段。推进税收信息化是一项系统工程,涉及方方面面。

大量的税收实践证明,推进信息化工作首要的问题不是技术问题,而是领导重视和部门协调问题,因此必须有强有力的组织体制做保障。在信息化队伍的素质提高上,一是充实专业人才,每年有计划地招收计算机专业毕业生,以本科毕业生为主,尽可能招收硕士毕业生,以提高人才层次。对信息专业的人才大力充实税务知识,对非信息专业人才大力培养计算机网络知识,形成信息化技术队伍中的骨干力量。二是深造专业人才,有计划地选送一批有发展前途的专业人员到高等院校深造,提高其专业水平。三是培训专业人才,充分利用大部分县局都建有电教室的现有条件,多办计算机知识培训班,对专业人员和税务人员分层次培训,时间可长可短,内容上分为普及班、强化班、专业班等。

3.2高度重视税收信息安全一是引入信息安全风险评估机制。信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的要求,对可能的信息安全威胁、信息系统的脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的各种风险。二是建立数据存储的安全体制。按照操作权限,对数据库系统、应用系统提供数据备份功能。在条件许可的情况下,采用具有双机热备份技术的硬件设备,使系统免遭破坏。三是加强网络安全建设。税务系统主要有三层网络体系:①在税务系统内部各部门建立上下贯通的业务内网;②在税务部门与政府及有关部门之间建立信息协作网专网;③在内网贯通专网沟通的基础上建立面向纳税人和社会公众的服务网外网。三层网络之间应该互相隔离,防止出现未经授权非法进入的情况出现,采用包括防火墙、反病毒检测、入侵检测系统、网络流量监测等技术和工具,全面加强网络安全,其别是外网安全具有很强的现实意义。四是建立信息系统应急处理机制。信息安全工作不存在绝对的安全,关键在于如何预防和控制风险,并在发生信息安全事故或事件时最大限度地减少损失,尽快使网络和系统恢复正常。只有坚持以防为主、注重应急的原则,明确分工,明确责任,明确操作流程,明确临机处置的权限,一旦出现事故严格按预案操作,才能临危不乱。信息系统应急机制包括建立包括互联网、数据库、主机、机房、终端等紧急事故处理机制,预案包括组织机构、负责人、负责范围、信息上传下达办法、事故定义和应急预案等。在日常工作中应组织演练,确保应急机制安全有效。

3.3构建税收标准化网络体系,促进税收信息共享

一是加强税收信息化、标准化管理,实现系统资源的整合利用。按照“统一规划,统一开发,统一应用,统一维护”的原则,在技术标准上,要坚持税收征管软件中数据库的结构的统一、征管代码体系的统一和征管软件主要功能模块及其使用的统一;在软件应用上,要严格统一编写规则,着眼全局,立足长远,积极推广税收征管软件。对软件运行中出现的问题和不足应及时汇总上报,进行有益的补充和完善,保障整个系统的正常运行。二是加强各部门之间协调,将以税务计算机网络为媒体的信息公路,延伸到纳税人和社会各部门中去,积极探索实现与工商、银行、财政、海关、物价、土地管理、房产管理等部门以及纳税人,实施社会相关部门的动态信息共享,实现与相关机构横向和纵向的信息交流、协作。通过与工商联网共同建好纳税人的个人台账;通过财政、海关、银行横向联网,使纳税人足不出户、方便、快捷、高效地完成纳税申报,逐步建立包括税务机关、政府各部门和全部纳税人在内的相连接的网络体系,实现信息的全面共享。

参考文献:

[1]国家税务总局编写组.税收信息化基础知识[M].北京:中国税务出版社,2003.

[2]杨英飞.我国税收征管信息化的发展研究[J].东北林业大学学报,2002(12).

[3]房慧闽.税收管理信息化及其路径研究[J].中国行政管理,2009(9).

篇10

一、税务信息系统发展现状及存在的主要问题

1. 税务信息系统的发展现状

税收数据具有总的数量大、单户数据头绪多、关系复杂等特点。当数据量达到一定程度后,传统的IT架构平台支撑起来会感到力不从心,性能急剧下降,以致无法利用,即使增加硬件投资也收效甚微。

2. 系统运行存在的主要问题

(1)税务信息系统故障易发,并影响基层的应用。分析其主要原因有:首先是硬件的问题,主要由主机内存、存储以及网卡等硬件设备故障引发;其次是软件的问题,各个信息系统之间紧耦合的架构,使得一旦其中一个信息系统发生故障,经常会引发其它多个信息系统运行异常甚至系统瘫痪;第三是数据量大的问题。

(2)基础设施更新和运维成本比较大,信息安全堪忧。一方面是基础设施的更新和运维投入加大。另一方面信息安全形势不容乐观。内网安全尽管实施了防病毒软件和桌面管理系统,但仍然存在着各种安全盲区,需要通过技术革新改进网络与信息安全管理。

二、云计算概述

1. 云计算定义

云计算是一种基于互联网的超级计算模式。实质上是通过互联网访问应用和服务,而这些应用或者服务通常不是运行在自己的服务器上,而是由第三方提供。它的目标是把一切都拿到网络上,云就是网络,网络就是计算机。

2. 云计算的优势和发展现状

(1)可靠、安全的数据存储。云计算提供了最为可靠安全的数据存储中心,用户可以将数据存储在云端,高度集中化的数据管理、严格的权限管理策略可以让用户避免数据丢失、病毒入侵等麻烦。(2)服务提供的多元性。云就是庞大的计算机群,具备极高的计算、存储能力,能够完成单机所完不成的海量计算,具有为普通用户提供每秒10万亿次的运算能力。(3)经济效益。由于云计算模式下大量的计算及存储工作都被放到了网络上,作为个人的用户端就完全可以简化到只有一个浏览器了。具体的计算机系统硬件配置、设备运行维护开支和服务器系统软、硬件升级都由云服务提供商来完成。

三、云计算在税务信息系统信息化建设中的应用

1. 云计算应用于税务信息系统的可行性分析

税收数据是海量的而且关系复杂,实现税收数据分析平台的最低要求[2]:(1)具有处理海量数据的能力,而且具有动态扩张和线性可扩展性;(2)具备快速的数据导入功能,可以将生产机的数据快速的导入分析平台;(3)支持标准SQL和提供标准的开发接口,支持关系模型,使得以前建立在关系模型基础上的应用系统能够平滑的迁移;(4)高可用性,而且具有容错和先进的复制机制。

云计算的实质就是通过对计算资源、存储资源的整合,来降低能耗和提高利用率。从技术角度看,作为一种全新的体系架构,云计算技术不再一味追求单个服务器的性能参数,更多的关注如何通过使用云集群的综合性能来弥补单个服务器的性能不足。

2. 云计算应用于税务信息系统的相关措施

(1)发挥云计算的技术优势,加强信息系统框架的优化和提升。(2)构建税务系统“私有云”。(3)建设集中统一的税务系统互联网网站“公有云”。(4)逐步构建税务系统“桌面云”平台[3]。桌面云通过集中部署,使得技术人员在信息中心就可以完成所有管理和维护工作,通过自动化管理流程,自动完成软件下发、升级补丁、安全更新等等维护工作,不仅减少了维护的工作量、提供了快速的故障处理方法、提高了维护服务水平和效率,而且还大大的节约了购置传统PC机的软硬件成本。

四、结束语

云计算作为当今信息技术发展的最新潮流,已经成为了国家发展新兴产业的主流方向。税务部门作为国家的重要经济管理部门,通过使用云计算技术实现税务信息化,对内实现专业的信息服务,对外成为整个社会云的一部分。真正实现“信息在指尖”。

参 考 文 献

篇11

中图分类号:F810.42文献标志码:A文章编号:1673-291X(2008)13-0022-02

从三个方面来考虑:首先是信息状态安全,即税务系统安全,要防止税务系统中心的数据被攻击者破坏。税务系统要通过Internet对纳税人提供纳税便利,必须以一定的方式将它的数据中心开放,这对税务系统本身带来了很大的风险。其次是信息转移安全,即服务安全,如纳税人识别号、口令、纳税金额等在传输中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保证税务人员正确、安全的使用。本文主要针对以上前两个方面也就是信息安全技术进行研究。

一、信息状态安全技术

信息状态安全主要包括系统主机服务器安全、操作系统安全和数据库安全三个方面。

(一)系统主机服务器安全(Server Security)

服务器是存储数据、处理请求的核心,因此服务器的安全性尤为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护,对非法接触服务器配件具有一定的保护措施,比如加锁或密码开关设置等;同时,服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性,不会因为大量的访问导致服务器崩溃;服务器要能够支持基于硬件的磁盘阵列功能,支持磁盘及磁带的系统、数据备份功能,使得安装在服务器上的操作系统和数据库能够在灾难后得到备份恢复,保证服务器的不间断运行;服务器设备配件的高质量及运行可靠性也是服务器安全的非常重要的一个方面,这直接关系到服务器不间断运行的时间和网络数据访问的效率。

(二)操作系统安全(Operating System Security)

设置操作系统就像为构筑安全防范体系打好“地基”。

1.自主访问控制(Discretionary Access Control,DAC)。自主访问控制是基于对主体(Subject)或主体所属的主体组的识别来限制对客体(Object)的访问。为实现完备的自主访问控制,由访问控制矩阵提供的信息必须以某种形式保存在税务操作系统中。访问控制矩阵中的每行表示一个主体,每列表示一个受保护的客体,矩阵中的元素表示主体可对客体的访问模式。以基于行的自主访问控制方法为例。它是在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分为三种形式:(1)权力表(Capabilities List),它决定是否可对客体进行访问以及可进行何种模式的访问。(2)前缀表(Prefix List),它包括受保护客体名以及主体对客体的访问权。(3)口令(Password),主体对客体进行访问前,必须向税务操作系统提供该客体的口令。对于口令的使用,建议实行相互制约式的双人共管系统口令。

2.强制访问控制(Mandatory Access Control,MAC)。鉴于自主访问控制不能有效的抵抗计算机病毒的攻击,这就需要利用强制访问控制来采取更强有力的访问控制手段。在强制访问控制中,税务系统对主体和客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。税务系统一般可采取两种强制措施:(1)限制访问控制的灵活性。用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用,该功能依据用户终端输入的信息而不是靠另一个程序提供的信息来修改访问控制信息。在确信用户自己不会泄露文件的前提下,用这种方法可以消除偷改访问控制信息的计算机病毒的威胁。(2)限制编程。鉴于税务系统仅需要进行事务处理,不需要任何编程的能力,可将用于应用开发的计算机系统分离出去,完全消除用户的编程能力。

3.安全核技术(Security Kernel Technology)。安全核是构造高度安全的操作系统最常用的技术。该技术的理论基础是:将与安全有关的软件隔离在操作系统的一个可信核内,而操作系统的大部分软件无须负责系统安全。税务系统安全核技术要满足三个原则:(1)完备性(Completeness),要求使主体必须通过引进监控器才能对客体进行访问操作,并使硬件支持基于安全核的系统。(2)隔离性(Isolation),要求将安全核与外部系统很好的隔离起来,以防止进程对安全核的非法修改。(3)可验证性(Verifiability),要求无论采用什么方法构造安全核,都必须保证对它的正确性可以进行某种验证。

其他常见措施还有:信息加密、数字签名、审计等,这些技术方法在数据库安全等方面也可广泛应用,我们将在下面介绍。

(三)数据库安全(Database Security)

数据库是信息化及很多应用系统的核心,其安全在整个信息系统中是最为关键的一环,所有的安全措施都是为了最终的数据库上的数据的安全性。另外,根据税务网络信息系统中各种不同应用系统对各种机密、非机密信息访问权限的要求,数据库需要提供安全性控制的层次结构和有效的安全性控制策略。

数据库的安全性主要是依靠分层解决的,它的安全措施也是一级一级层层设置的,真正做到了层层设防。第一层应该是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。基于上述数据库层次结构的安全体系,税务网络信息系统需要设置对机密和非机密数据的访问控制:(1)验证(Authentication),保证只有授权的合法用户才能注册和访问;(2)授权(Authorization),对不同的用户访问数据库授予不同的权限;(3)审计(Auditing),对涉及数据库安全的操作做一个完整的记录,以备有违反数据库安全规则的事件发生后能够有效追查,再结合以报警(Alert)功能,将达到更好的效果。还可以使用数据库本身提供的视图和存储过程对数据库中的其他对象进行权限设定,这样用户只能取得对视图和存储过程的授权,而无法访问底层表。视图可以限制底层表的可见列,从而限制用户能查询的数据列的种类。

二、信息转移安全技术

信息转移安全即网络安全。为了达到保证网络系统安全性的目的,安全系统应具有身份认证(Identification and Authentication);访问控制(Access Control);可记账性(Accountability);对象重用(Object Reuse);精确性(Accuracy);服务可用性(Availability of Services)等功能。

1.防火墙技术(Firewall Technology)

为保证信息安全,防止税务系统数据受到破坏,常用防火墙来阻挡外界对税务局数据中心的非法入侵。所谓防火墙,是一类防范措施的总称,是指在受保护的企业内联网与对公众开放的网络(如Internet)之间设立一道屏障,对所有要进入内联网的信息进行分析或对访问用户进行认证,防止有害信息和来自外部的非法入侵进入受保护网,并且阻止内联网本身某个节点上发生的非法操作以及有害数据向外部扩散,从而保护内部系统的安全。防火墙的实质是实施过滤技术的软件防范措施。防火墙可以分为不同类型,最常见的有基于路由器的IP层防火墙和基于主机的应用层防火墙。两种防火墙各有千秋,IP层防火墙对用户透明性好,应用层防火墙具有更大的灵活性和安全性。实践中只要有资金许可,常常将两种防火墙结合使用,以互相补充,确保网络的安全。另外,还有专门用于过滤病毒的病毒防火墙,随时为用户查杀病毒,保护系统。

2.信息加密技术(Information Encryption Technology)

信息加密包括密码设计、密码分析、密钥管理、验证等内容。利用加密技术可以把某些重要信息或数据从明文形式转换成密文形式,经过线路传送,到达目的端用户再把密文还原成明文。对数据进行加密是防止信息泄露的有效手段。适当的增加密钥的长度和更先进的密钥算法,可以使破译的难度大大增加。具体有两种加密方式:(1)私钥加密体制(Secret-key Cryptography),即加密与解密时使用相同的密码。私钥加密体制包括分组密码和序列密码两种。分组密码把明文符号按固定大小进行分组,然后逐组加密。而序列密码把明文符号立即转换为密文符号,运算速度更快,安全性更高。(2)公钥加密体制(Public-key Cryptography),其加密密钥与解密密钥分为两个不同的密钥,一个用于对信息的加密,另一个用于对已加密信息的解密。这两个密钥是一对互相依赖的密钥。

在传输过程中,只有税务系统和认证中心(Authentication Center,AC)才有税务系统的公开密钥,只有纳税人和认证中心才有纳税人的公开密钥,在这种情况下,即使其他人得到了经过加密后双方的私有密钥,也因为无法进行解密而保证了私有密钥的重要性,从而保证了传输文件的安全性。

3.信息认证技术(Information Authentication Technology)

数字签名技术(Digital Signature Technology)。数字签名可以证实信息发送者的身份以及信息的真实性,它具备不可伪造性、真实性、不可更改性和不可重复性四大特征。数字签名是通过密码算法对数据进行加密、解密交换实现的,其主要方式是:信息发送方首先通过运行散列函数,生成一个欲发送报文的信息摘要,然后用所持有的私钥对这个信息的摘要进行加密以形成发送方的数字签名,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方在接收到信息后,首先运行和发送方相同的散列函数生成接收报文的信息摘要,然后再用发送方的公开密钥对报文所附的数字签名进行解密,产生原始报文的信息摘要,通过比较两个信息摘要是否相同就可以确认发送方和报文的正确性。

完整性认证(Integrity Authentication)。完整性认证能够使既定的接收者检验接收到的信息是否真实。常用的方法是:信息发送者在信息中加入一个认证码,经加密后发送给接收者检验,接收者利用约定的算法对解密后的信息进行运算,将得到的认证码与收到的认证码进行比较,若两者相等,则接收,否则拒绝接收。

4.防病毒技术(Anti-virus Technology)

病毒防范是计算机安全中最常见也是最容易被忽视的一环。我们建议采用由单机防毒和网络防毒同时使用的这种防病毒措施,来最大限度地加强网络端到端的防病毒架构,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。

参考文献:

[1] 杨怀则.税收信息化建设存在的问题及建议[J].草原税务,2002,(12):31-32.

[2] Andrew S. Tanenbaum,“Modern Operating Systems”,Prentice Hall,1992.

[3] 滕至阳.现代操作系统教程[M].北京:高等教育出版社,2000.

篇12

从三个方面来考虑:首先是信息状态安全,即税务系统安全,要防止税务系统中心的数据被攻击者破坏。税务系统要通过Internet对纳税人提供纳税便利,必须以一定的方式将它的数据中心开放,这对税务系统本身带来了很大的风险。其次是信息转移安全,即服务安全,如纳税人识别号、口令、纳税金额等在传输中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保证税务人员正确、安全的使用。本文主要针对以上前两个方面也就是信息安全技术进行研究。

一、信息状态安全技术

信息状态安全主要包括系统主机服务器安全、操作系统安全和数据库安全三个方面。

(一)系统主机服务器安全(ServerSecurity)

服务器是存储数据、处理请求的核心,因此服务器的安全性尤为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护,对非法接触服务器配件具有一定的保护措施,比如加锁或密码开关设置等;同时,服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性,不会因为大量的访问导致服务器崩溃;服务器要能够支持基于硬件的磁盘阵列功能,支持磁盘及磁带的系统、数据备份功能,使得安装在服务器上的操作系统和数据库能够在灾难后得到备份恢复,保证服务器的不间断运行;服务器设备配件的高质量及运行可靠性也是服务器安全的非常重要的一个方面,这直接关系到服务器不间断运行的时间和网络数据访问的效率。

(二)操作系统安全(OperatingSystemSecurity)

设置操作系统就像为构筑安全防范体系打好“地基”。

1.自主访问控制(DiscretionaryAccessControl,DAC)。自主访问控制是基于对主体(Subject)或主体所属的主体组的识别来限制对客体(Object)的访问。为实现完备的自主访问控制,由访问控制矩阵提供的信息必须以某种形式保存在税务操作系统中。访问控制矩阵中的每行表示一个主体,每列表示一个受保护的客体,矩阵中的元素表示主体可对客体的访问模式。以基于行的自主访问控制方法为例。它是在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分为三种形式:(1)权力表(CapabilitiesList),它决定是否可对客体进行访问以及可进行何种模式的访问。(2)前缀表(PrefixList),它包括受保护客体名以及主体对客体的访问权。(3)口令(Password),主体对客体进行访问前,必须向税务操作系统提供该客体的口令。对于口令的使用,建议实行相互制约式的双人共管系统口令。

2.强制访问控制(MandatoryAccessControl,MAC)。鉴于自主访问控制不能有效的抵抗计算机病毒的攻击,这就需要利用强制访问控制来采取更强有力的访问控制手段。在强制访问控制中,税务系统对主体和客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。税务系统一般可采取两种强制措施:(1)限制访问控制的灵活性。用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用,该功能依据用户终端输入的信息而不是靠另一个程序提供的信息来修改访问控制信息。在确信用户自己不会泄露文件的前提下,用这种方法可以消除偷改访问控制信息的计算机病毒的威胁。(2)限制编程。鉴于税务系统仅需要进行事务处理,不需要任何编程的能力,可将用于应用开发的计算机系统分离出去,完全消除用户的编程能力。

3.安全核技术(SecurityKernelTechnology)。安全核是构造高度安全的操作系统最常用的技术。该技术的理论基础是:将与安全有关的软件隔离在操作系统的一个可信核内,而操作系统的大部分软件无须负责系统安全。税务系统安全核技术要满足三个原则:(1)完备性(Completeness),要求使主体必须通过引进监控器才能对客体进行访问操作,并使硬件支持基于安全核的系统。(2)隔离性(Isolation),要求将安全核与外部系统很好的隔离起来,以防止进程对安全核的非法修改。(3)可验证性(Verifiability),要求无论采用什么方法构造安全核,都必须保证对它的正确性可以进行某种验证。

其他常见措施还有:信息加密、数字签名、审计等,这些技术方法在数据库安全等方面也可广泛应用,我们将在下面介绍。

(三)数据库安全(DatabaseSecurity)

数据库是信息化及很多应用系统的核心,其安全在整个信息系统中是最为关键的一环,所有的安全措施都是为了最终的数据库上的数据的安全性。另外,根据税务网络信息系统中各种不同应用系统对各种机密、非机密信息访问权限的要求,数据库需要提供安全性控制的层次结构和有效的安全性控制策略。

数据库的安全性主要是依靠分层解决的,它的安全措施也是一级一级层层设置的,真正做到了层层设防。第一层应该是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。基于上述数据库层次结构的安全体系,税务网络信息系统需要设置对机密和非机密数据的访问控制:(1)验证(Authentication),保证只有授权的合法用户才能注册和访问;(2)授权(Authorization),对不同的用户访问数据库授予不同的权限;(3)审计(Auditing),对涉及数据库安全的操作做一个完整的记录,以备有违反数据库安全规则的事件发生后能够有效追查,再结合以报警(Alert)功能,将达到更好的效果。还可以使用数据库本身提供的视图和存储过程对数据库中的其他对象进行权限设定,这样用户只能取得对视图和存储过程的授权,而无法访问底层表。视图可以限制底层表的可见列,从而限制用户能查询的数据列的种类。二、信息转移安全技术

信息转移安全即网络安全。为了达到保证网络系统安全性的目的,安全系统应具有身份认证(IdentificationandAuthentication);访问控制(AccessControl);可记账性(Accountability);对象重用(ObjectReuse);精确性(Accuracy);服务可用性(AvailabilityofServices)等功能。

1.防火墙技术(FirewallTechnology)

证信息安全,防止税务系统数据受到破坏,常用防火墙来阻挡外界对税务局数据中心的非法入侵。所谓防火墙,是一类防范措施的总称,是指在受保护的企业内联网与对公众开放的网络(如Internet)之间设立一道屏障,对所有要进入内联网的信息进行分析或对访问用户进行认证,防止有害信息和来自外部的非法入侵进入受保护网,并且阻止内联网本身某个节点上发生的非法操作以及有害数据向外部扩散,从而保护内部系统的安全。防火墙的实质是实施过滤技术的软件防范措施。防火墙可以分为不同类型,最常见的有基于路由器的IP层防火墙和基于主机的应用层防火墙。两种防火墙各有千秋,IP层防火墙对用户透明性好,应用层防火墙具有更大的灵活性和安全性。实践中只要有资金许可,常常将两种防火墙结合使用,以互相补充,确保网络的安全。另外,还有专门用于过滤病毒的病毒防火墙,随时为用户查杀病毒,保护系统。

2.信息加密技术(InformationEncryptionTechnology)

信息加密包括密码设计、密码分析、密钥管理、验证等内容。利用加密技术可以把某些重要信息或数据从明文形式转换成密文形式,经过线路传送,到达目的端用户再把密文还原成明文。对数据进行加密是防止信息泄露的有效手段。适当的增加密钥的长度和更先进的密钥算法,可以使破译的难度大大增加。具体有两种加密方式:(1)私钥加密体制(Secret-keyCryptography),即加密与解密时使用相同的密码。私钥加密体制包括分组密码和序列密码两种。分组密码把明文符号按固定大小进行分组,然后逐组加密。而序列密码把明文符号立即转换为密文符号,运算速度更快,安全性更高。(2)公钥加密体制(Public-keyCryptography),其加密密钥与解密密钥分为两个不同的密钥,一个用于对信息的加密,另一个用于对已加密信息的解密。这两个密钥是一对互相依赖的密钥。

在传输过程中,只有税务系统和认证中心(AuthenticationCenter,AC)才有税务系统的公开密钥,只有纳税人和认证中心才有纳税人的公开密钥,在这种情况下,即使其他人得到了经过加密后双方的私有密钥,也因为无法进行解密而保证了私有密钥的重要性,从而保证了传输文件的安全性。

3.信息认证技术(InformationAuthenticationTechnology)

数字签名技术(DigitalSignatureTechnology)。数字签名可以证实信息发送者的身份以及信息的真实性,它具备不可伪造性、真实性、不可更改性和不可重复性四大特征。数字签名是通过密码算法对数据进行加密、解密交换实现的,其主要方式是:信息发送方首先通过运行散列函数,生成一个欲发送报文的信息摘要,然后用所持有的私钥对这个信息的摘要进行加密以形成发送方的数字签名,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方在接收到信息后,首先运行和发送方相同的散列函数生成接收报文的信息摘要,然后再用发送方的公开密钥对报文所附的数字签名进行解密,产生原始报文的信息摘要,通过比较两个信息摘要是否相同就可以确认发送方和报文的正确性。

完整性认证(IntegrityAuthentication)。完整性认证能够使既定的接收者检验接收到的信息是否真实。常用的方法是:信息发送者在信息中加入一个认证码,经加密后发送给接收者检验,接收者利用约定的算法对解密后的信息进行运算,将得到的认证码与收到的认证码进行比较,若两者相等,则接收,否则拒绝接收。

4.防病毒技术(Anti-virusTechnology)

病毒防范是计算机安全中最常见也是最容易被忽视的一环。我们建议采用由单机防毒和网络防毒同时使用的这种防病毒措施,来最大限度地加强网络端到端的防病毒架构,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。

参考文献:

[1]杨怀则.税收信息化建设存在的问题及建议[J].草原税务,2002,(12):31-32.

[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.

[3]滕至阳.现代操作系统教程[M].北京:高等教育出版社,2000.

篇13

美国从1960年开始,逐步在全国范围内建立起计算机征管网络,税收预测,税务登记,纳税申报,税款征收,税务稽查,税源监控,纳税资料的收集存储检索,人事行政管理以及计会统等各方面的工作,都广泛使用计算机.通过遍布全国的计算机网络,美国联邦税务局4个征收中心,可以处理全国上亿份纳税申报表.目前,美国联邦税收收入约有82%是通过计算机系统征收上来的.重视运用先进技术管理税收,是美国税务管理的一大特色.1997年,联邦政府拨付3.36亿美元预算,用于税务局的技术更新,其中仅改造计算机信息系统就花费了2.06亿美元.现在,美国已利用互联网在税务机关与纳税人以及其他个人和组织之间构建起了快捷的税收信息通道.纳税人通过国内收入局IRS网站,即可查询到有关税收的各方面情况,还可在网上处理纳税事宜,每年有几百万纳税人使用IRS电子服务系统来报税.最近,美国还启用了一种运用"数据挖掘"信息技术的新征管软件.这种软件的优点在于,纳税申报表上的数据在录入时要经过过滤,有偷逃税嫌疑的纳税人的申报表就会很快被挑选出来.在信息安全管理上,美国注重健全信息安全管理体制和信息安全法制建设,不仅设立了直属总统的总统关键基础设施保护委员会和负责安全,基础设施防护及反恐怖行动的全国协调员,国家基础设施保障委员会等机构,专司负责保护美国的信息安全,还成立了计算机安全应急中心(CERT),信息安全测评认证机构(NIAP)等信息安全基础设施,通过了涉及计算机,互联网和安全问题的法律文件300多件,其中有关打击计算机犯罪的议案26个,有关保障计算机和网络系统安全的议案18个.

澳大利亚不但在全国税务机关内部全面运用计算机系统管理纳税申报,办理出口退税,处理公文流转等日常管理工作,并实现了全国联网,而且与政府的有关部门如海关,保险,金融及大企业实现了互联,为有效实施税源监控及有针对性地开展税务审计打下了坚实的基础.澳大利亚开发了大量税收管理应用软件,包括税款征收管理软件,办公自动化管理软件,纳税服务管理软件,特别是在纳税申报方面,澳大利亚联邦税务局提供了数十种表格,供国际互联网用户下载,应用于报税系统.目前,全澳约有八成的纳税人采用电子申报方式报税.澳大利亚还非常重视计算机应用的安全保密工作,主要的安全措施有:为防止火灾及地震毁坏等,建立数据库拷贝运行系统,以备不时之需;为防止计算机病毒感染,安装计算机杀毒保护软件.保密措施也有很多,如启用口令或密码,屏幕保护功能,权限保护功能,电子通行证,追踪查询功能等.

西班牙税务管理局的总部和56个省级中心都具有数据处理和储存的功能,其他税务所的所有设备,终端,打印机与中央处理系统相联接.税务数据处理局的总部负责软件的开发和维护,并向56个省级中心发放软件,形成了一套完整的现代化,高效率的税收管理计算机网络体系.计算机硬件设施和软件系统的开发应用及专业人才的聘用工作,是西班牙计算机管理系统的核心内容,占有重要地位.在硬件设备采购方面,西班牙税务管理部门不依赖于任何单一生产厂家和供货商.它使用的所有硬件都相互兼容,在不超过电子信息处理局预算25%的前提下,从标价最合理的供货商那里购买.西班牙的应用软件系统包括:新税务管理系统(用于税务登记,自我申报,年终纳税申报,通知),国家数据库(主要但不仅仅用于纳税稽查,包括身份识别,信息处理,纳税人选择3个部分),国家征税系统和自动化海关管理系统(目前,正在把这两个系统并入新税务管理系统数据库.前者覆盖面广,包括税务当局的评估结果,纳税人纳税,强迫缴纳,法令通知,赔款和迟延缴纳;后者每年要处理6500万份进出口申报表),地方行政经济法庭系统,大型企业监控系统.为了留住计算机专业人才,西班牙1990年预算法案中设立了一个计算机专业人员类别,分高级,中级和管理人员3层.1991年预算法案中为这3类人员设立了税务类别,还设立了他们所属的政府税务管理局,为计算机人员设计一个管理专业方向,使他们在税务管理中能有中期和长期的工作前景.同时还建立了一个透明,广泛,有活力的人才流动市场,来填补由于计算机专业人才流失所造成的空缺.

意大利是欧洲最后实现税收征管计算机化的国家,但它却有欧盟国家中最成功也是最大的税收信息管理系统ITIS(ItalyTaxInformationSystem).ITIS数据处理中心设在首都罗马,财政部借助ITIS对意大利全国税收工作进行管理,并通过意大利公用数据网和欧洲公用数据网,实现税务机关与纳税人,政府有关部门及欧盟各国的信息交换和数据共享.ITIS由16个子系统构成,主要包括:税务登记注册子系统,所得税子系统,增值税子系统,税务检查子系统,技术支持与培训子系统等.这些子系统均以税务登记代码体系为连结点,进行税务机关与纳税人,各子系统之间,税务信息系统与其他公共部门以及个人之间的信息交换.意大利的税收计算机系统已经构成一个遍布全国的税务信息通信网络,各种资料集中存放,各地区之间,各应用系统之间的信息交换十分频繁,每天的联网业务超过200万笔.

新西兰于1988年制定了计算机发展10年规划,经过10多年的开发,计算机得到了广泛应用.新西兰也非常重视先进技术的应用,90年代初,新西兰国家税务局投资2亿新元,研制开发了超大型的ORACLE税务数据库,运用先进的SUNUNIX小型机和数据转换技术,建成了南半球最大的税务处理系统和信息特快系统,即电话申报咨询系统.在日常税收征管中,还充分利用电子扫描和拆信机等机器操作.目前,新西兰共设有3个数据处理中心,全国所有的纳税申报和征缴全部集中在3个数据处理中心,各中心与税务局实行计算机联网,税务局与银行,社会保障等部门也可通过网络相互采集有关数据,各类数据,信息自动化传递相当快速,大大提高了工作效率和质量.

日本在国税厅,11个国税局以及524个税务署形成了全国计算机管理网络系统,该系统具有统一性,完善性和实效性的特点.国税局及税务署的计算机管理系统根据征管工作需要统一开发运行,国税局信息中心接收税务署传送的纳税人基本情况和申报信息,并对银行传送的税款入库信息进行统计,验算核对后再传送给税务署,后者用统一的定型统计,促使国税局,税务署的电脑系统在统一的状态下运行.国税局系统内不仅建立了完整的计算机信息网络,而且各信息中心形成由若干系统构成的信息管理系统,包括第一部分子系统(是按税种建立的信息管理系统),第二部分子系统(具有税收统计分析功能,是对第一系统的补充),第三部分子系统(是公共通用系统,能对纳税人有共性的信息资源如纳税人的编号,地址等信息实行资源共享).国税局,税务署的大量日常管理工作是通过庞大的信息管理系统来完成的,税务人员工作效率较高.

90年代初,阿根廷建成了覆盖全国税务,海关,银行,除定额户外的企业,财产登记部门,车辆交易管理部门,政府机构等的税务计算机网络.税法规定政府及公共服务部门(包括金融)信息资料必须与税务机关共享,不得对税务机关保密.阿根廷的税务登记,申报,纳税,管理,稽查,进出口税收管理都通过计算机网络提供资料,监控95%的税收收入以及划转,追缴税款.近年来,阿根廷不断开发对网络的运用,建立了许多行之有效的对不同纳税人,纳税行为管理监控的子系统,这些系统包括:针对重点税源户开发的"2000计划"系统,用于进出口税收管理的"玛利亚"系统,用于稽查的"奥塞里"系统,用于税务司法的"海里克斯"系统等.

二,对加强我国税收信息化管理的启示

(一)明确税收信息化管理目标是加强税收信息化管理的前提

国外在税收信息化管理方面的成功经验,给我们一个显而易见的启示,那就是现代化信息技术的广泛应用,节约了税收成本,促使税收管理的效率和质量不断提高.虽然我国近年来对信息化建设的重视程度在增强,投入在增加,软硬件配置日益现代化,但是设备和信息的利用率较低,计算机往往成了打字机,开票机,对信息只重视录入,忽视分析整理和利用,造成信息严重堆积,共享性,开放性不足,管理效率和质量不尽如人意,突出表现在纳税申报率和申报准确率较低,偷逃骗税增多.这与在税收信息化建设中目标不明确有关.信息化管理最重要的内涵或精髓,是构建起一个"虚拟机关",即跨越时间,地点和部门的全方位的税务综合信息集合体,至少应达到这样两个目标:(1)使税务机关能够有效地运用现代化信息技术,并将其整合到税收管理中去,从而实现税收管理的目标;(2)税收信息的公开和可获得性,使全体税务人员能够更容易地获得各个方面的信息,在工作中创造更高的附加值,提高税收管理的效率和质量.离开了实现税收管理目标和提高税收管理效率,税收信息化管理就将走弯路,增加成本,产生一定的负面效应.

(二)优化税收管理是加强税收信息化管理的基础

多年来,我国税收信息化建设始终没有跳出一个认识上的误区,即把税收信息化视为征管改革的根本和唯一的出路.这种认识上的误区是与税收信息化管理目标不明确相联系的.认识上的误区导致在推进税收信息化过程中,孤立,单纯地强调应用技术手段,忽视改革和创新管理体制;强调以技术设备的配置为主体,忽视以税收管理的优化为支撑点,期望税收信息化破解征管实践中所有难题.结果不少地方的税收信息化建立在税收管理体制落后,低效的架构上,使高技术与低效益并存,高投入与低产出共生,税收成本不但没有减少,反而不断攀升.上述7个国家由于税收信息化管理以科学,严密的税收管理为基础,税收直接成本显著下降,如日本从60年代的1.9%下降到1990年的0.8%,美国1990年的直接征收成本不到0.4%.这些国家税收信息化的成功实践证明,缺乏管理创新的税收信息化不可能取得成功,技术永远只是管理手段,只有与先进的管理思想,管理体制相结合,才能产生巨大的效益.要加强税收信息化管理,税收管理实现全方位创新是基础.简言之,就是管理主体必须更新观念和知识,税收管理必须以服务为导向,遵循信息技术规律,立足为纳税人服务,对税收业务和工作规程进行重组和优化,建立符合信息技术要求,统一规范的业务规程,流程,努力使管理标准化;税务机关内部组织设计必须具有弹性和适应性,应建立一种具有高灵敏度和回应力的税务行政组织,减少内部管理的层次和环节,改变内部集权结构,向下级授予职权,使其承担相应的责任;决策程序必须优化和改进,构建税收法制管理环境.

(三)建立全国统一的税收计算机网络是加强税收信息化管理的必由之路

不难看出,上述7个国家的税收管理都无一例外地建立在严密的信息监控基础之上,有的国家不仅实现了税务系统各部门之间的纵向联网,而且还实现了与全国各主要行政机构和有关部门的横向联网,信息交流快捷,共享程度较高.我国的税收信息化建设应制订一个全国统一的长远规划,在全国税务系统形成从上到下的计算机联网系统.计算机硬件的配置和软件的开发运用,要有全国一盘棋的思想,使用同样的标准化计算机系统,不能"各自为战",自成系统.所有计算机硬件设备,应用软件,信息资源等,都应进行合理调整,不能片面追求人手一机,切实做到拓宽计算机的运用范围.能在网上共享的设备,软件,数据,尽量采用共享方式,降低成本,减少设备或软件闲置,低效率使用现象,真正提高现有资源的利用率.在此基础上,加快实现与金融,工商行政管理,海关等有关部门网络的实时联接,通过法律规定有关信息不得对税务机关保密,共享相关部门的动态信息.并逐步将以税务机关计算机网络为媒体的信息公路,延伸到纳税人和社会各部门中去,加强部门间信息的交流,利用,最终实现全社会涉税信息共享.

(四)重视计算机软件的开发运用是加强税收信息化管理的关键

信息技术最关键的因素是软件的开发.国外税收计算机系统的主要组成部分包括三大块:税款征收,办公自动化,纳税服务.对所有纳税人特别是对大型企业的各项经营活动,应缴税情况进行有效监控,防止税款流失,是其中的一项重要内容.我国在应用系统一体化建设中,除了上述3项内容外,还应加强对纳税人的监控,开发一套支持税务稽查的系统,该系统应包括:申报税摘要系统(用于处理纳税人在不同纳税期申报的数据,统计数据和从外部渠道搜集到的有关纳税人经济活动的数据),向政府的销售系统(用于处理政府的公司和政府机构进行购买的数据,核查纳税人是否如实申报),公司购买和销售系统(用于对大,中型公司的销售和购买数据进行分析处理,排查申报销售量长期小于从大,中型公司购买数量的采购者),进口系统(用于对纳税人申报的进口数量或收入进行比较分析).目前,我国税收管理计算机应用系统一体化建设尚处在起步阶段,在软件的开发应用方面比较混乱,一些单位和部门从各自需要出发,像建土高炉一样,到处冒烟,自行研制开发软件.这不仅使开发重复,浪费资源,而且造成系统构成不配套,技术体制不兼容,标准格式不统一,数据不能共享,效率大打折扣的不良后果.很有必要在业务统一规范的前提下,按照"平台统一,一次录入,数据一致,信息共享,综合利用"的原则,在科学周详的计划下积极稳妥地分步实施,既要充分分析业务发展变化和信息技术发展趋势,搭建一个立足于"一个网络,一个平台,一套数据标准"的全新应用框架,又要尽可能保护已有的软件投入及税收业务和行政管理信息的积累,实现软件开发的系统性,全面性,兼容性,规范性.

(五)采用新技术是加强税收信息化管理的重要手段

借鉴国外做法,广泛将计算机技术同光电技术,自动化技术等现代化技术结合起来用于税收征管,全面提高我国税收信息化管理效率和质量.当务之急,应尽快在信息采集环节广泛应用光电扫描技术,改变我国目前手工录入信息资料速度慢,随意性大,漏项多差错率高的状况;尽快在全国统一的征管软件中开发应用数据挖掘技术,提高税务稽查的效率和质量;尽快拓展在互联网上的税务网站的服务内容和服务层次,使纳税人利用各自的计算机或电话机,通过电话网,国际互联网等通讯网络系统,即可了解一切税收方面的动态信息,并可在网上处理纳税事宜,实现电子申报和电子支付;尽快开发计算机自动化系统,实现与纳税人的"人机对话",使计算机自动在有关程序的控制下,电话通知纳税人有关纳税事宜.

(六)提高信息的安全性是加强税收信息化管理的保障

精选范文
学术杂志
友情链接