傅欣
国家税务总局辽宁省税务局 辽宁省沈阳市 110016
摘要:税务部门是政府重要职能部门,政务信息化的发展进程中,税务系统的信息化发展起到了重要的作用,并取得了明显的效果。税收信息化水平的提升,改进了的征纳双方的工作效率,降低了双方的合作成本。随着新时期税收信息化的进一步发展,税收信息化涉及的网络安全问题也引起了更广泛关注,本文在论述其存在问题的基础上,探讨了如何的做好税务系统安全管理工作。
关键词:税务系统;网络管理;安全管理
引言
随着我国社会进入到信息化社会,计算机网络技术的发展和进步,也给社会发展和公共日常生活交流带来了诸多便利。税务系统是国家电子政务系统中重要的构成部分,近些年来在大力推进电子政务的背景下,税务系统信息化建设也得到了长足进步,搭建了安全稳定高效的税务广域网络,成为推进税务现代化建设有的重要保障。但随着税务信息化建设的逐步推进,也带来一些网络安全问题,因此,做好新形势下税务系统网络和信息安全建设的研究有着较为重要的意义。
1、税务系统网络存在的问题分析
通过对税收业务系统的综合分析,不同程度存在以下问题:首先,数据安全问题,税务各业务系统的登陆,主要用户名加口令的方式,缺乏有效的双因子验证,极易受到破解和窃取,会影响业务系统的数据安全性,导致业务系统核心数据存在暴漏和篡改风险;其次,是网络攻击事件,网络攻击事件直接影响到全网的正常运转,阻碍用户登录访问业务系统,导致服务可用性下降,甚至会造成数据的丢失和泄露。可见,防范网络攻击是税务系统网络安全中的重中之重。第三,在网络行为监管上,存在手段有限和方法局限等问题。没有成体系的对计算机网络攻击事件进行监控,进而就会对税务系统网络的安全性缺乏保障机制,进而影响到了税务系统网络的安全性,对于税务网络系统的全方位应用带来障碍。第四,少数业务系统缺乏必要应急处置能力,当业务集中处理或者外部网络发生攻击事件时,容易导致服务器出现宕机和网络拥堵等问题,进而影响办税窗口和互联网办税平台。第五,数据安全存储和备份工作相对滞后。因为涉税数据量较大,导致数据的增量备份速度相对滞后于系统产生的速度,容易出现数据丢失情况。
2、税务信息系统管理理论概述
2.1、税务信息系统管理相关概念
2.1.1、电子政务
电子政务是政府部门全面利用信息化技术,例如自动化办公、网络技术等手段,处理日常务活动的办理,提供更高效、优质的公共服务的一种新兴的管理模式。其总体框架的构成“主要包括服务与应用系统(信息系统)、信息资源、基础设施、管理体制几个部分。
2.1.2、信息系统
信息系统,是信息化表现的主要载体,是包括计算机硬件、软件、网络、用户数据、信息化管理制度在内的人机一体化系统,属于一门新兴的科学分支。主要目的是利用计算机、信息处理、网络、自动控制、通讯等技术,对人力、物力、财力、设备、技术等资源进行加工处理,并为正确决策提供数据依据,以提高管理水平和经济效益。
2.2、税务信息系统
税务部门的信息系统类型,可分为“数据处理系统(DPS,DataProcessingSystem)、管理信息系统(MIS,ManageInformationSystem)、决策支持系统(DSS,DecisionSustainmentSystem)、专家系统(人工智能的一个子集)和虚拟办公室(OfficeAutomation,OA)五种类型。”[2]本文讨论的信息系统主要指的是数据处理系统、管理信息系统和决策支持系统等几个主要的涉税相关系统。主要包括金税三期系统、电子税务局系统(网报系统)、发票相关系统、防伪税控系统、外部交换平台以及地方特色保留系统等4.税务信息系统管理税务信息系统管理是税务部门利用现代管理学理论基础、计算机科学技术、系统思想和信息系统分析与设计方法以及信息管理等方面的知识与能力,结合税收业务实务、从事涉税信息系统的分析、设计、实施、维护和评价等一系列管理的工作。税务信息系统管理的目的是确保信息系统能够满足现代化税收业务的需求、并保证系统能够平稳、高效、安全地运行。管理行为贯穿整个税务信息系统的生命周期,主要关注系统的立项、开发、验收、废弃等流程管理、运行与维护管理(包括信息安全管理与信息数据管理)等多个方面的内容。
2.3、信息安全
信息安全是运行与维护管理的重要内容,一般分为狭义和广义两种范畴。狭义的信息安全是属于基于密码论的计算机安全领域,而广义的信息安全则是结合技术、法律、管理等等范畴的综合性概念。本文主要讨论广义的信息安全,主要指的是保障数据信息的保密性、真实性和完整性,以及授权管理和所寄生系统、基础环境的稳定性。确保信息载体硬件、数据库等软件系统、数据处理过程、外部物理环境、基础设施等受到保护,不受偶然或恶意原因而造成数据信息遭到破坏、更改、泄露,确保系统可以可靠、正常地运行,信息服务不中断,实现业务连续性。
2.4、政务信息共享
政务信息共享是信息数据管理的核心内容之一。2001年,国务院办公厅下发了《国务院办公厅关于印发全国政府系统政务信息化建设2001~2005年规划纲要的通知》,在其中提出了“三网一库”的概念,并将其作为未来政务信息化建设的目标。“三网”简单来说,分别是指内部办公业务网(“内网”)、各级政府部门之间有条件共享涉密业务信息的办公业务资源网(“专网”)、以及建立在公共通讯平台上,向公众提供信息发布和政府服务的公共管理和服务网(“外网”),“一库”则指的是各政府机关部门共建共享的存储专属业务数据和其他政务信息资源的数据库。“三网一库”的概念为政务信息共享工作指明了方向,也释放了政府在未来建设“政务互通,共享共建”的公用平台的信号。
3、税务系统网络与信息安全建设对策分析
税收信息化建设可以不断推进国民经济健康发展,进而影响到社会发展的多个方面,有着一定的基于以及挑战。同时税务信息管理系统水平,可以在一定程度上影响到税收信息化建设推进,要求进行信息化建设,不断改善服务质量以及提升服务水平,进而确保税务工作开展。同时网络安全和信息化发展作为一个整体,彼此相辅相成,要求确保网络完全,也必须通过信息化对网络安全进行维护。加强税收系统网络安全建设,不仅可以确保我国网络主权和国家利益,也会不断推进网络安全产业,也给税务信息化发展过程中的网络安全体系建设提供建设,推进政府部门做好安全自主建设,提进行自我保护提供相关参考。因此研究税务系统信息化发展中网络安全问题,对政府行业信息化建设有着十分重要的意义。
3.1、网络信息安全管理体系建设
安全管理体系和管理制度的建设是网络信息安全环境构建的基础,整个管理体系要包含以下内容:机房基础设施管理制度、网络安全制度、安全岗位人员管理制度、硬件设备管理制度、资产管理制度等各方面。基于安全管理体系和管理制度,对信息化建设的各项工作流程进行规范,做到操作的有据可依、有责可追。全面加强数据安全管控,做好数据访问日志留存、应用系统操作权限管控等管理工作,及时清理冗余账户、合理设置账户权限、杜绝弱口令,做到人员与应用系统账户一一对应,避免应用系统账户共用、盗用。安全管理制度的制定和落实需要主要领导进行重视并推动,同时要在各部门中挑选出计算机业务比较熟练的人员担任信息安全员,并由信息中心对其进行定期的技能培训,主要负责本部门的信息安全日常管理工作,并对本部门出现的信息安全问题进行汇总反馈。这样就构建了一个以信息安全领导小组为核心,各部门信息安全员为辐射点,覆盖全局的信息安全组织体系。
3.2、提高自身网络信息安全技能
基于工作内容的不同,可以将信息安全管理工作职能划分为网络安全、信息安全,其中:网络安全主要负责日常网络管理和网络防护,信息安全主要负责杀毒软件和防范监控病毒、恶意攻击。网络安全攻击的方式和途径多种多样,依据网络现状制定符合要求的安全策略,要时刻监控内网网络环境,提前发现网络攻击、病毒,从而第一时间阻断恶意攻击,防止内部信息外泄。病毒的种类很多、传播途径也很多,对于税务机关来说,最主要的病毒传播方式是移动存储介质(以U盘为主);所以要严格控制存储介质管理,禁止将私人存储介质接入内网环境办公电脑。网络攻击、病毒传播严重危害了税务内网环境,为了能够一定程度上减少这类安全问题的发生,需要网络安全管理员和信息安全员增强自身技能,学习和了解相关知识,这样就可以在发生问题的第一时间定位问题、解决问题。
3.3、建立多元化、分层级网络与信息隐患防范机制
针对税务系统计算机病毒预防和控制方面,要充分认识到计算机病毒查杀的重要性,探索预防性策略,既要定期运用常规的方式进行检查,及时将计算机病毒进行清理,从而提高基础保障水平,又要关口前移,探索更多高质量的、高性能的防病毒软件设备,精心挑选软件,加强对操作人员的培训,提高软件操作水平,确保及时利用计算机软件对病毒进行检查和设备维护等,还要定期进行软件更新等,从而不断提高其防御性能。建立以防火墙为基础的网络全覆盖防御体系,设置安全防火墙,不断开发新的防火墙设备和网络管理个人版软件,从而形成全面的安全防护体系,及时对病毒进行查杀,还要定期对操作系统漏洞进行排查,针对可能出现病毒攻击的情况进行总结,通过定期对操作系统进行升级等方式,提高税务系统的稳定性。
针对网络攻击方面,要通过应用常规的探测扫描攻击包对信息进行扫描拦截,从而提高基础防御水平,还要针对可能出现的木马攻击情况,要通过严格设置内部和外部网络之间连接的方式,来进行防护,当然需要探索和外部沟通的其他方式进行信息传输,从而不影响日常业务开展。
针对身份鉴别方面出现的隐患,既要加强业务协调,确保严格按照常规申报流程开展信息共享,并快速进行信息确定,又要通过颁发数字证书的方式,增加系统防密性,还要合理应用自身的密钥对信息进行加密处理,提高身份鉴别的双重保护力度,确保信息安全顺畅送达。
3.4、夯实基础建设,保障信息安全
要保障信息系统的运行安全。就是“要加强机房环境、硬件设备等资产管理、个人办公电脑桌面管理、外设与接口、外联管理、人员管理、防病毒管理、网络环境常规监控等相关风险和事件的管理,进行统一识别、评估和有效审计。”[1]主要是要做到三个方面:一是重视机房安全建设。一方面,按照国家信息化基础设施建标准和规定,加大机房基础设施、设备的投入力度。利用科学合理的机房建造规划和基础设施的投入使用,减少尘、电、水、火等自然因素的影响,并配备新风系统、不间断电源UPS、外置发电机组、机房安全与数据库入侵报警设备,全方位保障信息系统的持续作业;另一方面,加大机房安全健康的检查力度,严格按照总局提出的机房健康检查规定要求,建立机房、设备运行维护操作制度,制作详细的巡检和值班时间表,并配置专人进行定期维护,及时发现设备安全隐患,予以解决,同时查明原因,打好补丁或制定针对性的维护方案,杜绝隐患再生的可能性,定期做好数据备份,保障信息安全。二是筑牢网络安全体系。一方面,政府门户网站与网上业务办理网站,作为政府的门面,具有不可替代的重要意义,所以国家网信办负责信息化建设管理的部门也应当制订并出台相应法律或法规,对政府门户网站的建设标准进行统一和规范,形成风格统一、功能全面、全面连通的政府门户服务网络群。同时,加强各部门之间的沟通和交流,尤其是公安的网络安全部门,要重点监管政府门户网站和相关底层信息系统,保证运营安全,全力保障政府机关事务的高效运转,维护良好的公众形象;另一方面,要提升政务网络自身的结构和框架的安全性、保证业务数据信息传递的安全性和完整性。除了要做好常规的入侵监测、数据加密、漏洞扫描、病毒查杀等基础安全工作,还应该积极引入新的网络攻击防御手段,例如引入自动化攻击应急响应机制,对外来攻击做出自动化、第一时间的反应和处理,拦截攻击行为、分析并保存特征信息、立即向管理部门和公安网络安全部门发出警报,同时反向追踪定位攻击源头,保存证据提供给公安部门作为执法依据,“如果无法阻止攻击,则触发即时性的保护机制,迅速保存服务器当前状态和指令集快照,备份数据、关闭服务器,防止态势进一步恶化。”此外,通过2018年中美贸易摩擦中的中兴事件,我们了解到掌握核心技术的重要意义。而如今我国信息化安全设备的核心技术专利大多掌握在国外公司手中,这也成为了信息安全保障的隐患之一。因此,为了全面保障政务信息安全,必须在意识层开始提高我国自主研发信息安全技术的重视程度,加大资金投入,降低国外信息安全产品的依赖性,提高自主可控权,将信息安全牢牢掌握在自己手中,同时带动我国信息核心基础产业实力的全面提升,化被动补救为主动防御。
3.5、积极转变观念,自觉提高认识
从大量的实际工作经验中可以发现,推进税收信息化工作的关键往往并不在于技术的发展速度和应用程度,而是在于管理者对于信息化的了解与认同,只有在充分学习和理解税收信息化的内涵,坚定信息强税的信念,才能在税收信息化道路上披荆斩棘。因此,税务干部应该切实转变传统观念,将信息化管理理念内化于心,以现代化科学理念为指导,以服务群众为核心,以自主创新为根本手段,自觉提高信息化素养。自觉学习与借鉴国内外税务信息化建设经验,发挥信息化建设的乘数效应,培养信息化技能,强化信息化素养,争作推动税务信息化建设事业的组织者和实践者,不断提高对新时代技术力量的适应力,充分提高自身的积极性和主动性。
4、结语
综上所述,税务信息系统建设工作是一个长期的,艰巨的工作,任重而道远,加强信息系统建设,提升税务系统的安全性尤为重要,是保障信息安全,维护网络稳定,提高税收准确性,保证税收工作顺利开展实施的关键,需要税务工作者共同努力,为税务系统网络与信息安全建设贡献力量。
参考文献
[1]管佩龙.浅析税务系统网络与信息安全建设[J].电脑知识与技术,2017,13(36):32-33.
[2]孙义成.税务计算机系统中的不安全风险及其对策[J].电脑知识与技术,2017,13(35):40-41.
[3]林波.税务系统网络安全防护体系改进与实现[J].电脑知识与技术,2017,13(35):58-59.
[4]缑艳阳.试论税务信息系统的安全风险预防策略[J].传播力研究,2017,1(12):186-187.