稅務信息系統(tǒng)風險分析方法研究

摘要:研究了稅務信息系統(tǒng)的風險分析方法。首先識別對象系統(tǒng)的特征;然后給出完整的基于矩陣的相對量化風險分析方法和步驟;最后以陜西省國家稅務局信息系統(tǒng)為實例，得到對象系統(tǒng)的風險分析結果。

關鍵詞:稅務; 信息系統(tǒng); 風險分析; 方法論; 風險矩陣

中圖分類號:F224文獻標志碼:A

文章編號:1001－3695(2008)02－0521－03

0引言

信息系統(tǒng)是收集#65380;存儲#65380;加工#65380;傳輸#65380;維護和使用各類信息的有完整功能的集合體。信息系統(tǒng)由六個部分組成:硬件#65380;軟件#65380;數據#65380;網絡#65380;人員和規(guī)程。經過二十多年的建設，稅務信息系統(tǒng)已經初步形成省級稅務局集中處理信息的格局，信息系統(tǒng)已成為稅務工作的重要支撐[1]。《2006—2020年國家信息化發(fā)展戰(zhàn)略》將稅務信息系統(tǒng)作為電子政務中優(yōu)先支持的關鍵業(yè)務[2]。2006—2010年實施的金稅工程三期建設[1]，將建立基于統(tǒng)一規(guī)范的應用系統(tǒng)平臺，依托計算機網絡，國家稅務總局和省級稅務局集中處理信息，覆蓋所有稅種#65380;稅收工作重要環(huán)節(jié)，各級稅務局與有關部門聯(lián)網，包括征收管理#65380;行政管理#65380;外部信息和決策支持的稅收管理信息系統(tǒng)。業(yè)務連續(xù)性(busi－ness continuity)是一個組織保持所有業(yè)務功能正常運行的組織運轉狀態(tài)。隨著稅務工作對信息系統(tǒng)依賴程度的增加，業(yè)務連續(xù)性風險也隨之增加。實施業(yè)務連續(xù)性管理，是保持業(yè)務連續(xù)性的重要保障;業(yè)務連續(xù)性規(guī)劃是業(yè)務連續(xù)性管理的基礎;而信息系統(tǒng)風險分析是業(yè)務連續(xù)性規(guī)劃的主要內容之一[3]。風險分析在金融#65380;工程#65380;核電廠和航空等領域比較成熟，而信息系統(tǒng)風險分析處于萌芽狀態(tài)，不斷有各種定性或定量的方法出現[4~6]，矩陣法就是其中之一。文獻[4]提出一種可在組織內部實施的#65380;可操作性強的相對量化矩陣方法，但有兩個方面不足:a)沒有給出產生有關數據的方法，這是風險分析的關鍵。例如脆弱性矩陣中資產(影響)相對重要性的計算方法#65380;脆弱性矩陣中脆弱性的優(yōu)先級排序方法#65380;威脅矩陣中威脅的優(yōu)先級排序方法#65380;控制矩陣中控制措施的優(yōu)先級排序方法#65380;決定脆弱性對資產(影響)#65380;威脅對脆弱性等二類影響的方法，只是提到控制措施對威脅的影響采用主觀判斷(subjective judgment)方法決定，沒有對這個方法作進一步說明。b)為簡化運算，將脆弱性#65380;威脅#65380;控制措施分別按照對資產#65380;脆弱性#65380;威脅的相對累計影響值直接進行無并列的排序，這種簡化方法損失了相對累計影響數據的定量信息。

1分析對象特征描述

以陜西省國家稅務局的信息系統(tǒng)作為風險分析對象。其主要特征為:a)組織呈四層樹型結構，即省國稅局——市級國稅局——縣級國稅局——稅務所(分局)。b)信息系統(tǒng)廣域網絡為三層樹型結構，即省國稅局——市級國稅局——縣級國稅局(稅務所，稅務分局)，稅務所(稅務分局)與縣級國稅局處于同一層級;往上與國家稅務總局連接;廣域網絡實現了對機構的全面覆蓋;幾乎所有信息處理設備均通過局域網接入廣域網。c)廣域網租用電信運營商的通信線路，形成虛擬專網，主干線路有備份。d)除省局有專門通道與省政府#65380;省級商業(yè)銀行#65380;互聯(lián)網實現數據交換外，整個信息系統(tǒng)與外部網絡實施物理隔離。e)部署有覆蓋全網的病毒防治系統(tǒng)。f)關鍵部位部署防火墻#65380;入侵檢測系統(tǒng)。g)關鍵的信息處理設備和網絡設備有熱備份，一般設備按比率進行冷備份。h)信息系統(tǒng)資源分布地域廣#65380;結構復雜，每個公務員都有個人電腦，信息系統(tǒng)中各種設備2萬多臺。i)主要業(yè)務按省局集中處理數據模式運行，管轄的全部納稅人和所有稅種均納入省局集中處理數據的應用系統(tǒng)管理，稅收日常管理#65380;稅款征收#65380;稅務稽查#65380;內部辦公#65380;財務管理等業(yè)務嚴重依賴信息系統(tǒng)。j)納稅申報#65380;發(fā)票發(fā)售#65380;增值稅專用發(fā)票認證等面向納稅人的實時業(yè)務對信息系統(tǒng)處理能力和業(yè)務連續(xù)性要求高。

在實施風險分析方面，文獻[4]分析的各種問題在對象系統(tǒng)不同程度地存在。各級國稅局信息中心(信息系統(tǒng)管理部門)需要信息系統(tǒng)風險處于可控狀態(tài)，但卻很難用正規(guī)的風險分析方法得到清晰的風險描述。特定的風險防范措施主要基于上級機關要求#65380;技術人員的直觀判斷或者第三方顧問的建議。信息中心的員工擅長風險防范技術手段，但缺乏風險分析的專門知識。信息系統(tǒng)風險分析對資產的評價#65380;威脅影響的估量#65380;控制措施效益的估計缺乏標準化的度量和過程;使用統(tǒng)計分析方法估計風險需要的數據嚴重不足。不能連續(xù)地進行信息系統(tǒng)風險分析，只能定期外包風險評估。

2風險分析方法

2.1基本概念

風險是指遭受損失或者損害的可能性。信息系統(tǒng)風險，就是信息系統(tǒng)遭到損失或者損害，及其對組織造成影響的可能性。當信息系統(tǒng)遭到損失或者損害時，其支持的全部或者部分業(yè)務功能停頓或者運行質量不可接受。

不同的場合和文獻對風險分析及相關概念有不同的定義。綜合文獻[3，4]，筆者將信息系統(tǒng)風險分析定義為識別信息系統(tǒng)資產#65380;脆弱性和威脅，分析各種威脅發(fā)生的可能性和可能造成的損失，制訂風險控制措施，并確定不同控制措施重要程度的過程。資產是需要保護的有價值的#65380;與信息系統(tǒng)有關的資源，包括有形的和無形的;脆弱性是可能被威脅利用對資產造成損害的薄弱環(huán)節(jié);威脅是可能造成資產損害的潛在原因;控制措施是可以用于降低威脅影響的方法。

為方便風險分析過程的敘述，先引入兩個概念。

2.2風險分析方法和步驟

成立多人組成的識別組和更多人參加的評價組。對文獻[4]的方法進行前述改進，各種評價參照文獻[7]的方法，按照下列步驟進行信息系統(tǒng)風險分析:

a)識別組采用列表法分別制作資產清單#65380;脆弱性清單#65380;威脅清單。

b)識別組按照科學性原則#65380;整體性原則和互斥性原則，分別對三類清單進行梳理和歸并。為簡明和突出主要因素，經過梳理和歸并，資產項#65380;脆弱性項和威脅項(簡稱要素項)的個數原則上均不超過15個。科學性原則，就是識別出來的要素項應該反映風險分析對象本身的性質#65380;特點#65380;關系和運動過程;整體性原則，就是識別出來的要素項應該完備#65380;配比#65380;協(xié)調;互斥性原則，指要素項之間不相互重疊或包容。

c)評價組用排序法對各資產項固有相對價值賦值。資產項的固有相對價值是其本質特征決定的在全部資產要素項中的相對重要程度。(a)評價前就評價的目的#65380;評價準則統(tǒng)一認識。(b)對資產項進行討論，以求評價員對各個項的內涵有一致的理解。(c)設有n1個資產項，第i個資產項記為ai。各評價員獨立地在1~n1對資產項進行無并列的排序。(e)排序結果匯總，計算平均秩和，計算結果采取四舍五入法取整。資產項ai的平均秩和，就是該資產的固有相對價值，記為Ci(i=1，…，n1)。

d)評價組分別對脆弱性項和威脅項的固有嚴重程度賦值。脆弱性的固有嚴重程度，是在假設不存在任何控制措施的情況下，其可能被威脅利用對資產造成損失或者損害的程度。威脅的固有嚴重程度，是在假設不存在任何控制措施的情況下，可能造成資產損失或者損害的程度。嚴重程度分為五級:5—很嚴重，4—嚴重，3—一般，2—不嚴重，1—很不嚴重。(a)賦值前就賦值的目的#65380;賦值準則統(tǒng)一認識。(b)對脆弱性項#65380;威脅項進行討論，以求評價員對各個項的內涵有一致的理解。(c)各評價員對項獨立賦值。(d)賦值結果匯總，計算平均值，計算結果采取四舍五入法取整。得到的平均值就是脆弱性項(威脅項)的固有嚴重程度。

3實例研究

以陜西省國家稅務局信息系統(tǒng)為實例。根據識別出來的對象系統(tǒng)特征，選擇3人組成識別組，包括識別組成員在內的10人組成評價組。這10名參與者有以下特點:a)有省市縣三級國稅局中兩級以上的信息中心工作經歷，其中4人有省市縣三級國稅局信息中心工作經歷，對對象系統(tǒng)有全面了解;b)參與者對對象系統(tǒng)支撐的業(yè)務運行狀況有比較全面了解;c)參與者目前都工作于系統(tǒng)根節(jié)點，知道組織戰(zhàn)略;d)參與者分別管理對象系統(tǒng)的不同資源。

識別組根據《信息安全管理系統(tǒng)——信息安全風險管理指南》(BS 7799—3:2006)#65380;《信息安全風險評估指南(國家標準送審稿)》和互聯(lián)網檢索結果，采取小組討論方式，分別識別出對象系統(tǒng)資產列表(112項)#65380;脆弱性列表(62項)#65380;威脅列表(103項)。然后按照2.2節(jié)中b)的方法，對三類列表進行梳理和歸并，得到資產列表(12項)#65380;脆弱性列表(15項)#65380;威脅列表(15項)。

識別組根據對象系統(tǒng)的特征，討論決定將脆弱性對資產#65380;威脅對脆弱性#65380;控制措施對威脅的影響按五級尺度確定:9—重大影響，4—大影響，2—影響，1—小影響，0—無影響。即將定義1中的集合C定義為:C={9—重大影響，4—大影響，2—影響，1—小影響，0—無影響}。

評價組按照2.2節(jié)c)~f)的方法，分別得到脆弱性—資產關聯(lián)矩陣(表2)#65380;威脅—脆弱性關聯(lián)矩陣(表3)。

在表2脆弱性—資產關聯(lián)矩陣中，由于損失數據的恢復代價無法估計，而服務的可用性直接決定業(yè)務的連續(xù)性，因此資產的固有相對價值最高。由于省局核心網絡#65380;省局數據庫服務#65380;省局應用服務(含Web)和數據完整性涉及整個信息系統(tǒng)，其脆弱性固有嚴重程度最高。由于所有的信息系統(tǒng)資源都依托場所，脆弱性中的場所可用性對資產的相對影響最大。

在表3中，因為對象系統(tǒng)中大多數計算機房所在的建筑物在結構上(特別是樓板荷重)都不符合《電子計算機場地通用規(guī)范》(GB/T 2887—2000)，涉及場所可用性的火災威脅和場地自毀威脅相對影響最高。

識別組根據2.2節(jié)g)的設計和表3的結果，參照識別資產列表#65380;脆弱性列表和威脅列表的方法，在識別出70項控制措施的基礎上，梳理歸并為15項。

評價組按照2.2節(jié)h)的方法，建立了控制措施—威脅關聯(lián)矩陣(表4)。在該矩陣中，制度方面的控制措施和場所方面的控制措施相對影響最高。

4結束語

由于可以用于統(tǒng)計分析的數據缺乏，依靠專家進行風險評估是一種可行的辦法。內部評價和外包相比的優(yōu)越性在于內部人員對對象系統(tǒng)的全面和深入的了解。風險分析結果的可信度高度依賴結果使用者對專家的信任和分析過程的科學性#65380;有效性。本文在對象系統(tǒng)特征分析的基礎上，采用系統(tǒng)的方法和過程進行風險分析，得到非常明晰的對象系統(tǒng)風險視圖。

致謝:陜西省國家稅務局高軍勞#65380;李英楠#65380;林北武#65380;李海軍#65380;鄭小利#65380;劉靜參加了評價過程。

參考文獻:

[1]謝旭人. 加快稅收管理信息化建設全面提高稅收科學管理水平[EB/OL].(2006－07－28).[2006－10－12].http://www.chinatax.gov.cn/n480462/n480513/n481024/n820114/n820805/n820821/1628892.html.

[2]中共中央辦公廳，國務院辦公廳. 2006—2020年國家信息化發(fā)展戰(zhàn)略[EB/OL].(2006－06－30).[2006－10－12].http://www.gov.cn/gongbao/content/2006/content_315999.htm.

[3]王渝次. 信息系統(tǒng)災難恢復的規(guī)劃及實施[M]. 北京:北京交通大學出版社，2006.

[4]CHEN G S V. Information security risk analysis: a matrix－based approach[EB/OLA].(2006－06－26).[2006－10－22].http://www.albany.edu/~goel/publications/goelchen2005.pdf.

[5]VORSTER A， LABUSCHAGNE L.A framework for comparing diffe－rent information security risk analysis methodologies[C]//Proc of SAICSIT 2005. White River， South Africa:[s.n.]，2005:95－103.

[6]張競，薛質，林夢泉.基于威脅分析的信息系統(tǒng)風險評估方法[J]. 計算機工程，2004，30(18):56－58.

[7]GB 12315—1990，感官分析方法——排序法[S].

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”