試論稅務信息系統的安全風險預防策略

文/緱艷陽

實現稅務系統信息化建設，是全國各地稅務管理部門共同發展的目標。在這過程中，必然存在一定的風險問題。因此，做好風險問題的研究與預防，才能實現稅務信息系統的穩定建設。

一、稅務信息系統存在的安全風險問題

(一)計算機及網絡運行環境的安全存在的問題

首先，稅務部門利用電信部門光纖網絡實現數據傳輸，網絡運營商具有線路監管權力，而稅務部門無法有效對網絡運行進行監管，若發生問題，就會出現業務中斷現象。其次，稅務部門計算機基礎設備不達標，很多稅務部門計算機機房安全系數低，缺少防火設備、供電穩定系統等，這些硬件設備的缺失，容易引發嚴重的硬件設備故障。最后，計算機病毒最近幾年可謂是花樣百出，比如蠕蟲病毒就曾經讓社會人人自危。此類病毒多數是通過計算機操作系統程序漏洞發起的主動攻擊，然后在多種傳播途徑中快速蔓延，而且躲避軟件查殺能力強。當前，很多稅務信息系統計算機病毒預防能力較弱，保護范圍沒有涉及稅務信息系統全網。因此，一旦被病毒攻擊，就會發生病毒快速蔓延、網絡阻塞、信息丟失等嚴重的風險問題。

(二)系統應用軟件安全存在的問題

稅務部門系統應用軟件安全問題頗多，首先，操作員工未能明確操作權限，密碼混亂使用，全員基本都知道密碼，使得計算機密碼身份識別模式形同虛設，若被心懷不軌的人利用，極易發生信息丟失。其次，稅務系統后臺訪問控制力度較弱，除了稅務部門員工可以對稅務系統大數據信息源訪問外，很多外來單位相應系統開發人員也可以直接訪問數據庫，影響了數據了安全性。

(三)數據保護安全存在的問題

缺乏合理的信息資料保密管理方法：稅務信息化工作強調集中數據進行管理，穩步上收、集中是業務數據發展趨勢，同時資源共享、解決稅務系統內部信息孤島問題已經成為了現實成果。數據集中雖然為稅務工作帶來了便利，確使信息資源保密成為了新的問題。《稅收征管法》已明確規定，稅務機關有為納稅人保守個人隱私和財務信息秘密的義務。納稅人的所有信息都在稅務信息系統中儲存，不過各級稅務部門在管理電子信息時缺乏有效的信息保密管理方法，單純的使用系統自帶軟件，已經無法有效保護信息資料。[1]

(四)運行管理存在的問題

首先，缺乏完善健全的稅務信息系統安全管理體制制度，使安全管理工作開展中沒有統一的安全策略體系給予指導，不能在系統里面制定清晰、立體的安全規范要求。在當前管理制度規范運行中，可操作性不高、遺漏頻發等問題突出。沒有監督審核制度對管理制度落實情況予以監督，多數規則缺乏清晰的懲罰、獎勵細則，且定義模糊，使得原則含義與員工理解的含義存在認同差異。最終導致管理工作無法有序開展。其次，現有安全管理制度的管理對象基本是網絡管理員、系統管理員等技術部人員，管理對象沒有全面涵蓋所有信息技術相關人員，包括所有網絡上的內部終端人員和外部終端人員。然后，安全管理體制中內部定期稽查審計制度不健全，未能及時的審計頒布的制度，未能及時對有問題的地方進行修改、補充。很多制度條例頒布后根本沒有實施或者完善。[2]最后，網絡安全構建規劃不健全。稅務信息系統具有復雜程度高、規模大等特點，眾多單位需要以內部業務網構建為基礎，打造和政府部門相互協調的信息交換網。但是，以上網絡僅在子系統中適用，沒有全局性特征，而且建網標準存在差異性，日常的監管、維護難度高，影響了管理的真實效果。

二、稅務信息系統安全風險預防策略分析

(一)建立健全網絡與信息安全技術保障體系

稅務部門領導要做好信息安全領導工作，確定主體責任，落實安全制度。同時，要成立“網絡與信息技術安全機構”，完善機房進出管理體制、密碼管理體制等建設，構建信息安全管理責任制；構建合理的計算機管理監督及規章制度，使稅務部門、人員之間形成彼此監督、制約的關系，降低內部發生安全隱患的幾率；構建完善的操作制度，基于崗位明確員工職責與權限；優化系統維護機制，及時的探查、記錄故障誘發成因與維護內容及方法；構建故障實時反映制度，確保稅務信息系統能夠穩定運行。同時，還要制定信息保密管理制度，傳授員工敏感信息數據處理、儲存方法，避免納稅人信息被惡意盜取、公開或修改。

(二)增強稅務系統內部外部安全防護能力

首先，科學規劃網絡環境。一是完善硬件運行環境，根據國家要求，做好計算機機房防火、防磁等設備配置工作，積極與電信、電力部門協調，優化供電與網絡環境。二是，定期對計算機等硬件設備進行檢查、維修，做好維修記錄；完善突發應急預案制備；積極的軟硬件、通信系統進行備份，保證故障發生后可以馬上恢復運行；構建異地數據備份基地，保證在災難性毀滅后能夠快速恢復數據。其次，建立集中入侵檢測體制。通過分級建設、集中管理的方式建立入侵檢測系統，對信息系統進行全面的監控、策略的制定與自動化的統一升級。然后，建立病毒預防、監控體制。對于稅務信息系統內網使用的計算機，要安裝統一的網絡版防毒軟件，建立病毒預防管控中心，設立分級制度，實現集中管理與稅務系統內部的立體化病毒監控、策略制定的統一與病毒代碼庫的同時自動化升級。重點服務器要重點保護，要在各區設置分管中心，將防毒客戶端利用網絡安裝，并在內網防病毒管控中心的統一調度中進行管理。最后，要改善計算機終端操作安全指數。終端安全管理時應堅持“主管、使用、運行者全權負責”原則，終端管理人必須對終端使用中違規行為造成的安全失誤、信息丟失等承擔自認；信息部門承擔終端資產登記管理工作，如使用者、地點、設備型號等；經審批通過后的業務網終端才能使用，使用期間也必須遵守內外網隔離制度要求，應明令禁止不許無線設備連接網絡。

(三)加強數據安全對策

首先，建立第三方網絡管理平臺。由于各級稅務部門及相關單位稅務信息系統適用設備、安全設備存在差異，因此要使用第三方網絡管理軟件統一進行管理。通常可以構建完整的網絡管理平臺，對各級單位中和稅務信息有關的網絡系統、安全設備等進行實時監控、管理、預警等。通過智能化網管系統的運用，提高網絡、計算機系統管理的高效化、自動化水平，使安全管理平臺的建設基礎更加牢靠，讓管理平臺之間實現完美對接。其次，建立密集的防火墻監控中心。建立財政稅務系統防火墻安全專用網絡，使不同密集運行的邊界間實現局域網安全連接。鑒于市區是稅務信息系統集中地，可在市區兩級首先部署網絡邊界與防火墻服務器。最后，建立網閘安全隔離系統，實現數據信息訪問控制。所謂安全隔離網閘指利用專屬通信設備、安全協議等安全制度，對內外網絡傳輸的數據進行交換、隔離，從而提高隔離技術使用效果，將內網網絡實現分隔。該方法，有效的提高了內外網絡數據交換速度、安全指數，是隔離技術全新發展趨勢。[3]

(四)加強人員培訓

首先，為信息安全負責人及管理員工進行培訓，提高其對信息安全知識、方法、策略、體系、制度等的了解、運用水平，提高其稅務信息管理及系統操作安全意識。其次，招聘專業管理人才開展崗位管理，通過完善、提高崗位管理監察力度、傳播崗位工作技巧等方式，為信息安全運管維護技術員工普及安全管理對策、基本方法、維護及操作技巧。最后，督促操作員工對安全操作流程進行主動學習，協助他們掌握安全對策、明確自身職責等。

三、結束語

積極的完善稅務信息系統安全建設工作，做好信息安全管理體制、風險控制技術等的完善、運用，才能夠提高稅務信息系統風險預防水平，才有助于提高稅務信息系統運行效率。

[1]林春松.稅務信息系統中信息安全保障的研究[J].電子技術與軟件工程，2015(07)：221.

[2]謝毅，陳興國.淺談稅務信息系統安全[J].計算機光盤軟件與應用，2015(01)：197-198.

[3]李春紅.淺談如何構筑稅務信息系統安全屏障——對稅務信息系統安全的研究[J].科技情報開發與經濟，2012(11)：91-93.