淺談稅務信息管理系統中信息安全策略與管理

摘要:該文首先通過介紹稅務信息管理系統，指出信息信息安全對稅務系統的重要性，最后提出稅務信息化安全與管理解決方案，該方案在提高稅務信息安全及可靠性方面具有一定借鑒意義。

關鍵詞:稅務系統;信息安全;安全策略

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10406-02

On the Information Security Policy and Management of Tax Information Management System

HUANG Jian-qun

(Xi'an Shiyou University， Xi'an 710065， China)

Abstract: In this paper， first， points out that information on the importance of the tax system through the presentation of tax information management systems， Concludes with the tax information security and management solutions， The program in improving safety and reliability of tax information has some referential significance.

Key words: tax systems; information security; security policy

稅收是國家財政收入的重要途徑，相關的稅務系業務要求其具有準確性、公證性和完整性的特點，因此保證稅務信息系統的安全性意義重大。稅務系統作為電子政務系統的一部分，屬國家基礎信息建設，其基本特點是:網絡地域廣、信息系統服務對象復雜;稅務信息具有數據集中、安全性要求高;應用系統的種類較多，網絡系統安全設備數量大，種類多，管理難度大。

稅務系統是一個及其龐大復雜的系統，從業務上有國稅、地稅之分，從地域來說又有國家級、省級、地市級、區縣四級。網絡結點眾多、網絡設備和網絡出口不計其數、操作系統種類繁多、應用系統五花八門、網絡機構極其復雜。面對如此復雜的系統，其內部安全隱患隨處可見，經過不斷的研究和探索，目前已經積累了大量解決稅務系統信息基礎設施安全的方法和經驗，形成一整套稅務系統的安全保障方法，相關安全保障的體系也在不斷完善和發展中。

1 網絡信息安全在稅務系統中的重要性

計算機軟硬件技術的發展和互聯網技術的普及，為電子稅務的發展奠定了基礎。尤其是國家金稅工程的建設和應用，使稅務部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務可以最大限度地確保國家的稅收收入，但卻面臨著系統安全性的難題。

雖然我國稅務信息化建設自開始金稅工程以來，取得了長足進步，極大提高了稅務工作效率和質量。但稅務系統本身也暴露出了一系列要改進的問題，各種應用軟件自成體系、重復開發、信息集中程度低。隨著信息化水平的不斷提高，基于信息網絡及計算機的犯罪事件也日益增加。稅務系統所面臨的信息網絡安全威脅不容忽視。建立稅務管理信息化網絡安全體系，要求人們必須提高對網絡安全重要性的認識，增強防范意識，加強網絡安全管理，采取先進有效的技術防范措施。

2 稅務系統安全建設

如何保證信息在傳遞過程中的安全性對稅務系統來說至關重要，任何網絡設備或者解決方案的漏洞都會對稅務系統造成很大影響。如何成功處理信息安全問題，使國家稅務系統在充分利用信息技術的同時，保障系統的安全，對稅務系統建設具有極大意義。信息安全的建設涉及到信息賴以存在和傳遞的一切設施和環境。構筑這個體系的目的是保證信息的安全，不僅需要信息技術的努力與突破，還需要相關政策、法律、管理等方面提供的有力保障，同時也需要提高操作信息系統的工作人員的安全意識。

2.1 稅務系統安全防護體系

稅務系統安全防護體系保證了系統在生命期內處于動態的安全狀態，確保系統功能正確，不受系統規模變化的影響，性能滿意，具有良好的互操作性和強有力的生存能力等。

稅務信息系統安全模型提供了必要的安全服務和措施，增加了動態特性，強調了各因素之間關系的重要性。該模型是一種實時的、動態的安全理論模型，是實施信息安全保障的基礎。在模型基礎上建立安全體系架構隨著環境和時間改變，框架和技術將會主動實時動態的調整，從而確保稅務系統的信息安全。

2.2 稅務系統風險評估

稅務系統信息安全保障的目的是確保系統的信息免受威脅，但絕對的安全并不可能實現，只能通過一定的控制措施將系統受到威脅的可能性降到一個可接受的范圍內。風險評估是對信息及信息處理設施的威脅、影響、脆弱性及三者發生的可能性的評估。風險評估用來確認稅務系統的安全風險及大小，即利用適當的風險評估技術，確定稅務系統資產的風險等級和優先風險控制順序。

風險評估是信息安全管理體系的基礎，為降低網絡的風險、實施風險管理及風險控制提供了直接依據。系統風險評估貫穿于系統整個生命期的始終，是系統安全保障討論最為重要的一個環節。

3 稅務信息系統整體安全構架

一般稅務信息系統所采用的安全架構模型如圖1所示。

從安全結構模型可以看出，該安全架構主要分為三部分:網絡系統基礎防御體系、應用安全體系和安全管理體系。網絡系統基礎防御體系是一個最基本的安全體系，主要從物理級、網絡級、系統級幾個層次采取一系列統一的安全措施，為信息系統的所有應用提供一個基礎的、安全的網絡系統運行環境。

該體系的主要安全建設范圍如下:

1) 物理級安全:主要提供對系統內部關鍵設備、線路、存儲介質的物理運行環境安全，確保系統能正常工作。

2) 網絡級安全:在網絡層上，提供對系統內部網絡系統、廣域網連接和遠程訪問網絡的運行安全保障，確保各類應用系統能在統一的網絡安全平臺上可靠地運作。

3) 系統級安全:主要是從操作系統的角度考慮系統安全措施，防止不法分子利用操作系統的一些BUG、后門取得對系統的非法操作權限。

4 信息安全管理策略

4.1 安全管理平臺

信息安全管理的總體原則是“沒有明確表述為允許的都被認為是被禁止的”。信息安全管理實行安全等級保護制度，制定安全等級劃分標準和安全等級的保護辦法。從管理的角度，將系統中的各類安全管理工具統一到一個平臺，并對各種安全事件、報警、監控做統一處理，發現各類安全問題的相關性，按照預定義的安全策略，進行自動的流程化處理，從而大為縮短發現問題、解決問題的時間，減少了人工操作的工作量，提高安全管理工作的效率。

通過技術手段，構建一個專門的安全管理平臺，將各類安全管理工具集成在這個統一的平臺上，對信息系統整體安全架構的實施進行實時監視并對發現的問題或安全漏洞從技術角度進行分析，為安全管理策略的調整提供建議和反饋信息。統一的安全管理平臺將有助于各種安全管理技術手段的相互補充和有效發揮，也便于從系統整體的角度來進行安全的監視和管理，從而提高安全管理工作的效率。

4.2 物理安全策略

物理安全是對計算機網絡系統中的設備、設施及相關的數據存儲介質提供的安全保護，使其免受各類自然災害及人為導致的破壞。物理安全防范是系統安全架構的基礎，對系統的正常運行具有重要的作用。

當然，信息系統安全不是一成不變的，它是一個動態的過程。隨著安全攻擊和防范技術的發展，安全策略也必須分階段進行調整。日常的安全工作要靠合理的制度和對制度的遵守來實現。只有建立良好的信息安全管理機制，做到技術與管理良好配合，才能長期、有效地防范信息系統的風險。

5 網絡信息安全所采取的主要措施

目前網絡信息安全所采取的主要措施是使用一系列的安全技術來防止對信息系統的非授權使用。討論稅務系統安全策略問題時，相關人員往往傾向于防火墻、入侵檢測系統等實際的安全設備。其實，造成系統安全問題的本質是稅務信息系統本身存在脆弱性。任何信息系統都不可避免的存在或多或少的脆弱性，而且這些脆弱性都是潛在的，無法預知。系統出現脆弱性的根本原因是由于系統的復雜性使得系統存在脆弱性的風險成正比，系統越復雜，系統存在的脆弱性的風險就越大，反之亦然。

安全防御的總策略為:1)建立網絡邊界和安全域防護系統，防止來自系統外部的攻擊和對內部安全訪問域進行控制;2)建立基于整個網絡和全部應用的安全基礎設施，實現系統的內部的身份認證、權限劃分、訪問控制和安全審計;3)建立全系統網絡范圍內的安全管理與響應中心，強化網絡可管理、安全可維護、事件可響應;4)進行分級縱深安全保護，構成系統網絡統一的防范與保護、監控與檢查、響應與處置機制。

6 結束語

解決信息系統的安全不是一個獨立的項目問題，安全策略包括各種安全方案、法律法規、規章制度、技術標準、管理規范等，是整個信息系統安全建設的依據。現有的安全保障體系一般基于深度防御技術框架，若能進一步利用現代信息處理技術中的人工智能技術、嵌入式技術、主動技術、實時技術等，將形成更加完善的信息安全管理體系。

稅務信息安全直接關系到稅收信息化建設的成敗，必須引起稅務機關和每一位稅務人的重視。科學技術的發展不一定能對任何事物的本質和現象都產生影響，技術只有與先進的管理思想、管理體制相結合，才能產生巨大的效益。

參考文獻:

[1] 蔡皖東.信息安全工程與管理[M].西安:西安電子科技大學出版社，2004.

[2] 譚思亮.網絡與信息安全[M].北京:人民郵電出版社，2002.

[3] 譚榮華.稅務信息化簡明教程[M].北京:中國人民大學出版社，2001.

[4] 李濤.網絡安全概論[M].北京:電子工業出版社，2004.

[5] 朱建軍，熊兵.網絡安全防范手冊[M].北京:人民郵電出版社，2007.

[6] 戴英俠，連一峰，王航.系統安全與入侵檢測[M].北京:清華大學出版社，2002.

[7] 李澤林，蘇淑靖.Intemet安全技術[M].北京:國防工業出版社，2005.

[8] 楊樹梅，王淑江，李文俊.網絡安全管理實踐[M].北京:電子工業出版社，2007.