稅務信息系統的安全保障問題研究

曹爽

摘要 信息系統是稅務系統正常運轉的核心，經過多年持續深入的優化完善，已經具備一定的風險防控能力，但與精細化管理的要求仍有一定差距。本文旨在探討稅務信息系統安全保障現狀，并針對一些重點問題給出提升措施。

【關鍵詞】稅務信息系統 安全保障

2017年6月l日，《中華人民共和國網絡安全法>正式施行，它是我國第一部關于網絡安全的專門性、綜合性法律，顯示了黨和國家對網絡安全問題的高度重視。如何有效落實各項要求，提升信息系統安全保障能力，成為各級稅務機關重點關心的問題。

1 信息安全保障體系

1.1 信息安全

信息安全是一門涉及計算機科學、網絡技術、通信技術和密碼技術等多個領域的交叉學科，它關注信息系統在安全方面存在的問題和面臨的威脅，貫穿于信息系統中信息生命周期的整個過程。信息本身應具有的安全屬性主要有保密性、完整性和可用性3個方面。

1.1.1 特征與范疇

與傳統安全相比，信息安全有4個鮮明特征：系統性、動態性、無邊界性和非傳統性。

（l）系統性，信息安全問題是復雜的，在這個“人.機”、“人.網”緊密結合的復雜系統中，某一分支或某一要害受到損害，均可能引發全局性的系統危機。

（2）動態性，信息系統從規劃設計，到開發建設，再到運行維護，最后到廢棄，在整個生命周期中，信息系統面臨著不同的安全問題。

（3）無邊界性，信息化的重要特點是開放性和互通性，這使得信息安全威脅超越了現實地域的限制。

（4）非傳統性，與軍事安全、政治安全等傳統安全相比，信息安全涉及的領域和影響范圍十分廣泛，必須采用新方法來治理。

1.1.2 信息安全問題根源

技術故障、黑客攻擊、病毒和漏洞等原因都可以引發信息安全問題，信息安全問題產生的根源可以從內因和外因兩個方面加以分析。內因是信息系統自身存在脆弱性，信息系統過程、結構和應用環境的復雜性導致系統本身不可避免地存在脆弱性。外因是信息系統面臨著眾多威脅，這些威脅包括人為因素和非人為因素兩大類。

1.2 信息系統安全保障

信息系統安全保障是在信息系統的整個生命周期中，從技術、管理、工程和人員等方面提出安全保障要求，確保信息系統的保密性、完整性和可用性。

1.2.1 信息安全技術

信息安全技術涵蓋密碼技術、訪問控制技術、網絡安全技術、操作系統安全技術、數據庫安全技術、安全漏洞與惡意代碼防護技術和軟件安全開發技術等多種技術類型。

1.2.2 信息安全管理

信息安全管理體系包括建立、實施，運作、監視、評審、保持和改進等一系列管理活動。此外，還需要結合信息安全風險管理、信息安全控制措施、應急響應與災難恢復和信息安全等級保護等多層面的管理方法。

1.2.3 信息安全工程

規范的信息安全工程過程包括發掘信息保護需要、定義信息系統安全要求、設計系統安全體系結構、開發詳細安全設計和實現系統安全5個階段及相應活動。

1.2.4 信息安全人員

在信息安全保障諸要素中，人是最關鍵也是最活躍的要素。網絡攻防對抗，最終較量的是攻防雙方人員的能力。組織機構要建立一個完整的信息安全人才體系。

2 稅務信息系統安全保障現狀

2.1 數據安全管理還需強化

隨著稅收信息化的不斷發展，稅務數據高度集中并呈指數級增長，具有數據規模大、應用類型多樣、涉及個人隱私和敏感信息等特點。國家有關法律法規對數據安全保護提出了具體要求，《中華人民共和國稅收征收管理法》明確要求稅務機關應當依法為納稅人、扣繳義務人的情況保密; 《全國人民代表大會常務委員會關于加強網絡信息保護的決定》要求應當采取技術措施和其他必要措施，確保信息安全，防止電子信息的泄露、毀損、丟失等; 《中華人民共和國網絡安全法》要求網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度，這些都對稅務數據安全保護提出了更高的要求。

2.2 “三同步”工作尚需加強

網絡安全和信息化發展是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。《中華人民共和國網絡安全法》要求建設關鍵信息基礎設施應用確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用。隨著稅收信息化的深入推進，信息系統安全已經引起廣泛重視，但仍存在信息系統與安全技術措施規劃不同步、安全技術保障體系尚不完善、缺乏周期性的綜合風險評估機制等問題。

3 稅務信息系統安全保障提升措施

3.1 扎實推進“三同步”工作

對于稅務信息系統，要嚴格按照“三同步”要求，在規劃、建設和使用階段，同步落實應用系統管理與安全技術措施各項工作。規劃階段要開展應用系統擬定級工作，在項目采購需求中明確安全要求;建設階段要全面梳理網絡安全需求，嚴格做好安全設計與開發，做實階段安全評審，上線前要完成等級保護定級備案和測評整改;運行階段要明確運行責任，做好文檔管理、資產管理、變更管理和運維管理，細化監控與審計要求，定期開展應急演練。

3.2 嚴格管控數據安全風險

要將電子數據按照核心數據、敏感數據和受控數據進行分級分類保護，做到事前管控、嚴格管理、保證安全。稅務電子數據安全使用要遵循“合規進、授權用、加密傳、保險存、審核出、銷毀凈”的總體策略，在電子數據創建、使用、傳輸、存儲和銷毀的全生命周期內，采取安全保護管理策略和技術措施，實現電子數據的防攻擊、防越權、防泄漏、防篡改和防抵賴。

3.3 細化落實日志留存要求

要按照《中華人民共和國網絡安全法>關于日志留存技術措施和保存期限要求，采取相關措施，確保應用系統、操作系統、數據庫、中間件、主機存儲、網絡、安全、終端等系統日志至少留存六個月，特別是留存應用系統登錄日志和后臺數據庫操作日志以備安全事件調查評估時追蹤溯源，并注意做好日志數據轉存和備份。

3.4 逐步提升用戶身份鑒別能力

為進一步提升稅務信息系統的應用安全，防止用戶身份冒用，應根據等級保護相關規定，做好用戶身份鑒別。身份鑒別是保障應用系統安全的第一道屏障，一般可分為所知、所有和實體特征三類鑒別方式：所知即實體所知道的知識，如口令;所有即實體所持有的物品，如令牌、手機、數字證書等;實體特征即實體所具有的指紋、語音、人臉、虹膜等生物特征。重要信息系統應同時實現多種鑒別方式，推薦采用口令與稅務數字證書或者短信的組合。

參考文獻

[1]昊世忠，李斌，張曉菲，沈傳寧，李淼，信息安全技術[M].北京：機械工業出版社.2015.