大數(shù)據(jù)時代稅務(wù)機(jī)關(guān)網(wǎng)上辦稅安全管理問題探析

王再堂

(吉林財經(jīng)大學(xué) 稅務(wù)學(xué)院，吉林 長春 130117)

一、網(wǎng)上辦稅的發(fā)展現(xiàn)狀

稅務(wù)機(jī)關(guān)網(wǎng)上辦稅是從納稅人角度出發(fā)所采取的一項便民措施，該業(yè)務(wù)依托稅務(wù)機(jī)關(guān)的信息化網(wǎng)絡(luò)，改進(jìn)稅務(wù)部門的納稅服務(wù)手段，提高辦稅的效能，全面提升征納雙方的稅務(wù)信息化水平。稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)開通后，基于互聯(lián)網(wǎng)的電子申報方式為納稅人提供網(wǎng)上辦稅和涉稅咨詢服務(wù)，為廣大納稅人辦理涉稅事項和了解納稅流程提供了極大的便利；隨著稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)的不斷拓展和完善，網(wǎng)上辦稅逐步形成普及的態(tài)勢。[1]稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)是一個運用計算機(jī)網(wǎng)絡(luò)技術(shù)，將辦稅場所從實體辦稅服務(wù)廳移至互聯(lián)網(wǎng)站，從8小時到全天24小時的多元化服務(wù)體系，可實現(xiàn)稅務(wù)登記申請、納稅申報、劃繳稅款、稅收認(rèn)定申請和涉稅查詢等功能，納稅人通過互聯(lián)網(wǎng)瀏覽器直接訪問，并提供電子郵件、短信服務(wù)等，基本實現(xiàn)了所有涉稅業(yè)務(wù)均可網(wǎng)上辦理。從當(dāng)前運轉(zhuǎn)的整體態(tài)勢來看，業(yè)務(wù)流轉(zhuǎn)基本順暢、受理辦結(jié)情況較好。但同時也發(fā)現(xiàn)在具體操作過程中仍存在一些有待改進(jìn)的地方。

二、網(wǎng)上辦稅面臨的舊問題和新挑戰(zhàn)

隨著金稅工程的不斷發(fā)展和完善，技術(shù)手段和管理手段的不斷加強(qiáng)，各級稅務(wù)信息系統(tǒng)的可靠性、可用性得到了有效的改善，基本上能夠滿足當(dāng)前網(wǎng)上辦稅系統(tǒng)的業(yè)務(wù)需求。但是隨著計算機(jī)網(wǎng)絡(luò)的普及和計算機(jī)信息犯罪事件的日益增加，稅務(wù)機(jī)關(guān)內(nèi)部信息系統(tǒng)也暴露出一系列需要完善和改進(jìn)的問題。尤其是當(dāng)前大數(shù)據(jù)背景下信息安全形勢嚴(yán)峻，網(wǎng)上辦稅系統(tǒng)所面臨的信息安全問題不容忽視。

1.信息泄露影響大。2011年7月，全球最大互聯(lián)網(wǎng)娛樂社區(qū)之一的日本索尼Play Station Network遭受黑客攻擊，導(dǎo)致7700萬用戶資料外泄；2011年12月，CSDN安全系統(tǒng)遭到黑客攻擊，導(dǎo)致600多萬用戶的登錄名、郵箱和密碼遭到泄露；隨后，世紀(jì)佳緣和天涯等網(wǎng)站相繼被曝用戶數(shù)據(jù)遭到泄露。當(dāng)前，各地信息安全犯罪案件呈現(xiàn)快速上升趨勢，普通人只要花上幾元或者幾十元錢，就可以批量買到手機(jī)號碼、身份證號碼、汽車牌照、職業(yè)、家庭住址、財產(chǎn)收入等詳細(xì)的個人信息。個人信息的泄露會導(dǎo)致當(dāng)事人不斷接到騷擾電話、廣告短信和垃圾郵件，甚至遭遇敲詐勒索、電信詐騙和綁架拘禁等犯罪活動，對公民的人身安全和財產(chǎn)安全構(gòu)成嚴(yán)重威脅。稅務(wù)機(jī)關(guān)作為稅款的征收管理者，掌握著網(wǎng)上辦稅相關(guān)的企業(yè)信息、用戶信息和納稅信息等等，如果稅務(wù)機(jī)關(guān)所掌握的納稅人信息遭到泄露，將會對企業(yè)和納稅人構(gòu)成嚴(yán)重威脅，甚至?xí)斐芍卮蟮纳鐣?fù)面影響。

2.網(wǎng)絡(luò)維護(hù)壓力大。隨著稅務(wù)機(jī)關(guān)網(wǎng)上辦稅業(yè)務(wù)7*24小時不間斷服務(wù)的推廣，對信息系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)的依賴程度越來越緊密，對信息系統(tǒng)的運行效率、穩(wěn)定性、安全性和服務(wù)水平等提出了越來越高的要求，任何細(xì)小的系統(tǒng)隱患或操作隱患都可能威脅網(wǎng)上辦稅系統(tǒng)的安全運行，系統(tǒng)風(fēng)險呈幾何級數(shù)加大。與此同時，網(wǎng)上辦稅系統(tǒng)經(jīng)過長期的發(fā)展演化，業(yè)務(wù)處理流程與技術(shù)支持平臺相互融合、緊密關(guān)聯(lián)，一項簡單的稅收應(yīng)用處理流程往往會涉及到多個業(yè)務(wù)部門，各個系統(tǒng)的穩(wěn)定性及數(shù)據(jù)一致性等都關(guān)系到業(yè)務(wù)的完整處理。由于稅務(wù)系統(tǒng)的運維工作集合業(yè)務(wù)支持與技術(shù)支持為一身，因而要求運維人員既要精通技術(shù)又要掌握大量的業(yè)務(wù)知識，才能夠順利地對應(yīng)用系統(tǒng)進(jìn)行維護(hù)。正是因為這些變化，使得如何構(gòu)建高效的運維支撐體系，確保網(wǎng)上辦稅系統(tǒng)的安全穩(wěn)定和高效運行，成為稅務(wù)系統(tǒng)迫切需要解決的問題。

3.容災(zāi)系統(tǒng)隱患多。隨著金稅三期工程的向前推進(jìn)和稅務(wù)機(jī)關(guān)征管大集中的建設(shè)，相關(guān)的數(shù)據(jù)安全是網(wǎng)上辦稅業(yè)務(wù)系統(tǒng)持續(xù)運行的前提和保障。目前通過物理安全、應(yīng)用安全和網(wǎng)絡(luò)安全的防護(hù)，可以從多個層面對數(shù)據(jù)予以安全防護(hù)，但數(shù)據(jù)損壞或丟失的情況在現(xiàn)實中還是時有發(fā)生。如今頻繁發(fā)生的各種火災(zāi)、水災(zāi)、地震等自然災(zāi)難，以及IT 設(shè)備硬件、軟件故障等系統(tǒng)故障和人為誤刪除、誤操作等災(zāi)難，都可能對數(shù)據(jù)安全帶來巨大的沖擊。這些故障和災(zāi)難給我們帶來慘痛的教訓(xùn)，使我們意識到作為網(wǎng)上辦稅系統(tǒng)的災(zāi)難備份系統(tǒng)是數(shù)據(jù)安全的最終防護(hù)線。

4.網(wǎng)上辦稅風(fēng)險意識差。在稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)終端操作的人員一般是企業(yè)的財務(wù)人員。受計算機(jī)操作水平、人員年齡和文化程度等因素影響，其網(wǎng)上操作能力往往參差不齊，并且安全風(fēng)險意識較差。大多數(shù)操作人員沒有設(shè)置開機(jī)密碼，即使設(shè)置開機(jī)密碼也往往是應(yīng)用弱口令，沒有定期進(jìn)行補(bǔ)丁更新以及病毒查殺。對于光盤和U盤以及郵件等外來傳遞介質(zhì)的防護(hù)性不夠。在當(dāng)前大數(shù)據(jù)時代，網(wǎng)上辦稅安全問題嚴(yán)峻，如何通過技術(shù)手段防止越權(quán)訪問、竊取口令和篡改破壞等惡意攻擊，建立數(shù)據(jù)加密機(jī)制、身份鑒別機(jī)制和抗抵賴機(jī)制，保證辦稅信息的正確性、完整性和安全性，是保障信息安全的重中之重。

三、加強(qiáng)稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)安全的若干建議

面對上述風(fēng)險與挑戰(zhàn)，稅務(wù)機(jī)關(guān)應(yīng)該在教育、管理、技術(shù)、運維、服務(wù)等方面做深入而細(xì)致的工作，努力探索一套全面科學(xué)、行之有效的工作規(guī)范和管理策略。為此，提出以下幾個方面建議。

1.健全安全管理制度。按照信息安全管理體系標(biāo)準(zhǔn)BS7799-2和國家稅務(wù)總局的相關(guān)要求，扎實推進(jìn)信息安全保障建設(shè)。各地稅務(wù)機(jī)關(guān)應(yīng)該成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組。在網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，結(jié)合本局信息化工作的實際情況制定相應(yīng)的信息保密管理制度、機(jī)房出入管理制度、口令密碼管理制度和內(nèi)外網(wǎng)強(qiáng)制隔離制度等；根據(jù)對人負(fù)責(zé)和職責(zé)分離的原則，建立嚴(yán)密的安全管理責(zé)任制度和計算機(jī)管理監(jiān)督機(jī)制，形成內(nèi)部各職能部門、各基層人員以及各應(yīng)用系統(tǒng)的相互制約關(guān)系， 杜絕內(nèi)部安全隱患。在抓好制度建設(shè)的同時，應(yīng)重視各項管理制度的落實，將安全管理職責(zé)細(xì)分到人，并列入工作績效考核范疇。為及時處理可能發(fā)生的信息安全事件，要實時監(jiān)控征管業(yè)務(wù)系統(tǒng)的安全運行情況。要安排人員每天24小時值班，并做好督查和值班領(lǐng)導(dǎo)帶隊工作，確保稅收業(yè)務(wù)信息系統(tǒng)的穩(wěn)定、安全運行。

2.完善信息安全基礎(chǔ)設(shè)施建設(shè)。目前稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)大多數(shù)采用J2EE模式的三層技術(shù)架構(gòu)，以應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器為硬件平臺，以Linux或者UNIX操作系統(tǒng)、Weblogic中間件、Oracle數(shù)據(jù)庫等為系統(tǒng)軟件平臺。此平臺系統(tǒng)安全層次高、隱患少。[2]與之相適應(yīng)的是稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)利用CA數(shù)字簽名認(rèn)證技術(shù)，建立了安全有效的身份認(rèn)證機(jī)制，確保數(shù)據(jù)傳輸過程中數(shù)據(jù)的真實性和可靠性，利用SSL加密技術(shù)，對納稅人的傳輸信息進(jìn)行加密，保障用戶信息在互聯(lián)網(wǎng)上傳輸?shù)陌踩浴６悇?wù)機(jī)關(guān)要遵循深度防御和分級保護(hù)的思想，充分評估網(wǎng)上辦稅系統(tǒng)面臨的安全威脅，結(jié)合安全域的劃分，從物理層、網(wǎng)絡(luò)層和管理層等多個層面進(jìn)行整體設(shè)計，利用多種有效的安全防護(hù)技術(shù)措施，實現(xiàn)多層次的縱深防御。在外網(wǎng)應(yīng)用區(qū)要及時采用入侵檢測系統(tǒng)以監(jiān)測非法入侵和違規(guī)操作，建設(shè)網(wǎng)頁防火墻和網(wǎng)頁防篡改系統(tǒng)，以防止跨站腳本攻擊和網(wǎng)站篡改，采用網(wǎng)頁審計系統(tǒng)和安全審計系統(tǒng)提高網(wǎng)站安全事故的審計分析能力，同時要建立防病毒系統(tǒng)管理中心，自動檢測和清除各種計算機(jī)病毒，嚴(yán)密防范病毒入侵和傳播。

3.搭建高效的運維支撐體系。實用、高效的運維支撐體系是確保信息安全的重要屏障。第一，稅務(wù)機(jī)關(guān)應(yīng)整合現(xiàn)有的監(jiān)控手段，建成一個覆蓋稅務(wù)機(jī)關(guān)核心IT元素的監(jiān)控平臺及運維平臺，并通過該平臺實現(xiàn)對征管主機(jī)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)以及機(jī)房環(huán)境的運行情況及關(guān)鍵指標(biāo)的統(tǒng)一采集匯總、實時監(jiān)控、綜合分析。第二，稅務(wù)機(jī)關(guān)要確立先進(jìn)的信息安全理念，轉(zhuǎn)變服務(wù)觀念，并將這種理念以職能和流程的形式貫穿在運維戰(zhàn)略、運維設(shè)計、運維執(zhí)行和持續(xù)改進(jìn)的整個生命周期過程中。將運維模式由傳統(tǒng)的“救火隊”轉(zhuǎn)變?yōu)椤氨＝♂t(yī)生”，由傳統(tǒng)的“被動解決”轉(zhuǎn)變?yōu)椤爸鲃臃烙保蓚鹘y(tǒng)的定期巡檢轉(zhuǎn)變?yōu)閷崟r監(jiān)控。第三，稅務(wù)機(jī)關(guān)要通過搭建運維技術(shù)支持平臺，建立運維知識庫以及運維技術(shù)支持隊伍，實現(xiàn)運行維護(hù)工作的智能化和高效率，為稅務(wù)系統(tǒng)培養(yǎng)一批“業(yè)務(wù)精、技術(shù)硬”的復(fù)合型管理人才。

4.做好安全應(yīng)急演練工作。稅務(wù)機(jī)關(guān)要完善數(shù)據(jù)備份和容災(zāi)機(jī)制，在本地備份的基礎(chǔ)上，還應(yīng)該建設(shè)異地數(shù)據(jù)容災(zāi)中心，以有效防范設(shè)備故障和自然災(zāi)害對重要數(shù)據(jù)可能造成的危害。同時，應(yīng)建立應(yīng)急信息系統(tǒng)安全保障工作框架，成立應(yīng)急保障辦公室及各專項保障組。堅持日常管理與應(yīng)急響應(yīng)相結(jié)合，形成統(tǒng)一指揮、協(xié)調(diào)聯(lián)動、專業(yè)處置、溝通順暢、反應(yīng)靈敏、運轉(zhuǎn)高效的保障和應(yīng)急體系。還應(yīng)制定《稅務(wù)系統(tǒng)災(zāi)難備份演練計劃》，并在應(yīng)急響應(yīng)演練結(jié)束以后，針對應(yīng)急響應(yīng)工作過程中遇到的問題，總結(jié)并分析應(yīng)急響應(yīng)預(yù)案的科學(xué)性和合理性，及時發(fā)現(xiàn)網(wǎng)上辦稅系統(tǒng)存在的安全隱患以及容災(zāi)恢復(fù)中的問題，并采取有效措施應(yīng)對災(zāi)難。[3]

5.定期實施安全風(fēng)險評估。稅務(wù)機(jī)關(guān)應(yīng)該定期組織開展網(wǎng)上辦稅系統(tǒng)安全風(fēng)險評估。安全風(fēng)險評估的主要內(nèi)容包括：信息資產(chǎn)調(diào)查、訪談和人工檢查、完善漏洞掃描工具、技術(shù)人工評估、管理人工評估、安全綜合評估報告等。根據(jù)風(fēng)險評估的結(jié)果，參考通用標(biāo)準(zhǔn)的基本要求設(shè)計出短期解決方案及長期的安全規(guī)劃。近幾年，通過稅務(wù)機(jī)關(guān)不斷的探索，逐步建立健全了信息安全風(fēng)險評估機(jī)制，提高了安全風(fēng)險意識和安全防護(hù)水平；每年定期聘請安全專業(yè)服務(wù)公司對網(wǎng)上辦稅系統(tǒng)進(jìn)行全面的安全風(fēng)險評估；按照規(guī)范的評估工作流程和方法，利用安全專業(yè)工具進(jìn)行掃描、滲透，發(fā)現(xiàn)存在的安全威脅，及時消除隱患和修補(bǔ)漏洞；利用安全風(fēng)險評估的結(jié)果，變“被動防御”為“主動防御”，隨時了解征管業(yè)務(wù)系統(tǒng)安全的動態(tài)變化情況，并能根據(jù)實際情況采取相應(yīng)的技術(shù)措施進(jìn)行防護(hù)。今后應(yīng)進(jìn)一步健全制度、完善流程，拓展深度與廣度，使安全風(fēng)險評估成為網(wǎng)上辦稅系統(tǒng)信息安全防護(hù)管理決策的“守護(hù)神” 。

6.提升為納稅人安全服務(wù)的質(zhì)量。網(wǎng)上辦稅系統(tǒng)是一個稅務(wù)機(jī)關(guān)和納稅人之間交互的信息系統(tǒng)，不但要做好系統(tǒng)自身的安全防護(hù)工作，而且要盡力保護(hù)納稅人相關(guān)信息的安全，同時不斷引導(dǎo)和教育納稅人提高信息安全意識，做好安全防護(hù)工作，減少網(wǎng)上辦稅系統(tǒng)的風(fēng)險。稅務(wù)機(jī)關(guān)應(yīng)將“最大限度便利納稅人、最大限度規(guī)范稅務(wù)人”的理念貫穿于各項辦稅服務(wù)工作的始終，讓網(wǎng)上辦稅系統(tǒng)能夠為納稅人提供更加優(yōu)質(zhì)、安全的服務(wù)。一是應(yīng)通過發(fā)送手機(jī)短信、電子郵件等形式對納稅人納稅申報、扣繳稅款不成功等涉稅信息進(jìn)行提醒；二是為了提高納稅人的安全意識與防范手段，應(yīng)通過各種形式向納稅人宣傳信息安全知識及防范方法；三是為解決納稅人在網(wǎng)上辦稅期間遇到的安全問題，可以通過12366系統(tǒng)和信息技術(shù)人員通過電話方式提供解答，對于特殊和緊急的疑難雜癥還應(yīng)組織相關(guān)安全人員上門服務(wù)解決問題。通過上述措施既可以解決納稅人網(wǎng)上辦稅遇到的各類問題，也可以增強(qiáng)納稅人的安全意識，從源頭上減輕網(wǎng)上辦稅系統(tǒng)可能受到的安全威脅，形成良性互動。

[1]李建中,劉顯敏.大數(shù)據(jù)時代的一個重要方面:數(shù)據(jù)可用性[J].計算機(jī)研究與發(fā)展,2013,(6).

[2]李彧琛.關(guān)于國稅信息安全體系建設(shè)的研究[M].北京：中國稅務(wù)出版社, 2010:78-96.

[3]稅務(wù)災(zāi)難恢復(fù)系統(tǒng)建設(shè)編寫組.稅務(wù)災(zāi)難恢復(fù)系統(tǒng)建設(shè):思考篇[M].北京：中國稅務(wù)出版社，2010：123-126.