稅務信息系統(tǒng)的安全保障問題研究

曹爽

摘要 信息系統(tǒng)是稅務系統(tǒng)正常運轉(zhuǎn)的核心，經(jīng)過多年持續(xù)深入的優(yōu)化完善，已經(jīng)具備一定的風險防控能力，但與精細化管理的要求仍有一定差距。本文旨在探討稅務信息系統(tǒng)安全保障現(xiàn)狀，并針對一些重點問題給出提升措施。

【關(guān)鍵詞】稅務信息系統(tǒng) 安全保障

2017年6月l日，《中華人民共和國網(wǎng)絡安全法>正式施行，它是我國第一部關(guān)于網(wǎng)絡安全的專門性、綜合性法律，顯示了黨和國家對網(wǎng)絡安全問題的高度重視。如何有效落實各項要求，提升信息系統(tǒng)安全保障能力，成為各級稅務機關(guān)重點關(guān)心的問題。

1 信息安全保障體系

1.1 信息安全

信息安全是一門涉及計算機科學、網(wǎng)絡技術(shù)、通信技術(shù)和密碼技術(shù)等多個領(lǐng)域的交叉學科，它關(guān)注信息系統(tǒng)在安全方面存在的問題和面臨的威脅，貫穿于信息系統(tǒng)中信息生命周期的整個過程。信息本身應具有的安全屬性主要有保密性、完整性和可用性3個方面。

1.1.1 特征與范疇

與傳統(tǒng)安全相比，信息安全有4個鮮明特征：系統(tǒng)性、動態(tài)性、無邊界性和非傳統(tǒng)性。

（l）系統(tǒng)性，信息安全問題是復雜的，在這個“人.機”、“人.網(wǎng)”緊密結(jié)合的復雜系統(tǒng)中，某一分支或某一要害受到損害，均可能引發(fā)全局性的系統(tǒng)危機。

（2）動態(tài)性，信息系統(tǒng)從規(guī)劃設(shè)計，到開發(fā)建設(shè)，再到運行維護，最后到廢棄，在整個生命周期中，信息系統(tǒng)面臨著不同的安全問題。

（3）無邊界性，信息化的重要特點是開放性和互通性，這使得信息安全威脅超越了現(xiàn)實地域的限制。

（4）非傳統(tǒng)性，與軍事安全、政治安全等傳統(tǒng)安全相比，信息安全涉及的領(lǐng)域和影響范圍十分廣泛，必須采用新方法來治理。

1.1.2 信息安全問題根源

技術(shù)故障、黑客攻擊、病毒和漏洞等原因都可以引發(fā)信息安全問題，信息安全問題產(chǎn)生的根源可以從內(nèi)因和外因兩個方面加以分析。內(nèi)因是信息系統(tǒng)自身存在脆弱性，信息系統(tǒng)過程、結(jié)構(gòu)和應用環(huán)境的復雜性導致系統(tǒng)本身不可避免地存在脆弱性。外因是信息系統(tǒng)面臨著眾多威脅，這些威脅包括人為因素和非人為因素兩大類。

1.2 信息系統(tǒng)安全保障

信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性。

1.2.1 信息安全技術(shù)

信息安全技術(shù)涵蓋密碼技術(shù)、訪問控制技術(shù)、網(wǎng)絡安全技術(shù)、操作系統(tǒng)安全技術(shù)、數(shù)據(jù)庫安全技術(shù)、安全漏洞與惡意代碼防護技術(shù)和軟件安全開發(fā)技術(shù)等多種技術(shù)類型。

1.2.2 信息安全管理

信息安全管理體系包括建立、實施，運作、監(jiān)視、評審、保持和改進等一系列管理活動。此外，還需要結(jié)合信息安全風險管理、信息安全控制措施、應急響應與災難恢復和信息安全等級保護等多層面的管理方法。

1.2.3 信息安全工程

規(guī)范的信息安全工程過程包括發(fā)掘信息保護需要、定義信息系統(tǒng)安全要求、設(shè)計系統(tǒng)安全體系結(jié)構(gòu)、開發(fā)詳細安全設(shè)計和實現(xiàn)系統(tǒng)安全5個階段及相應活動。

1.2.4 信息安全人員

在信息安全保障諸要素中，人是最關(guān)鍵也是最活躍的要素。網(wǎng)絡攻防對抗，最終較量的是攻防雙方人員的能力。組織機構(gòu)要建立一個完整的信息安全人才體系。

2 稅務信息系統(tǒng)安全保障現(xiàn)狀

2.1 數(shù)據(jù)安全管理還需強化

隨著稅收信息化的不斷發(fā)展，稅務數(shù)據(jù)高度集中并呈指數(shù)級增長，具有數(shù)據(jù)規(guī)模大、應用類型多樣、涉及個人隱私和敏感信息等特點。國家有關(guān)法律法規(guī)對數(shù)據(jù)安全保護提出了具體要求，《中華人民共和國稅收征收管理法》明確要求稅務機關(guān)應當依法為納稅人、扣繳義務人的情況保密; 《全國人民代表大會常務委員會關(guān)于加強網(wǎng)絡信息保護的決定》要求應當采取技術(shù)措施和其他必要措施，確保信息安全，防止電子信息的泄露、毀損、丟失等; 《中華人民共和國網(wǎng)絡安全法》要求網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度，這些都對稅務數(shù)據(jù)安全保護提出了更高的要求。

2.2 “三同步”工作尚需加強

網(wǎng)絡安全和信息化發(fā)展是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。《中華人民共和國網(wǎng)絡安全法》要求建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應用確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。隨著稅收信息化的深入推進，信息系統(tǒng)安全已經(jīng)引起廣泛重視，但仍存在信息系統(tǒng)與安全技術(shù)措施規(guī)劃不同步、安全技術(shù)保障體系尚不完善、缺乏周期性的綜合風險評估機制等問題。

3 稅務信息系統(tǒng)安全保障提升措施

3.1 扎實推進“三同步”工作

對于稅務信息系統(tǒng)，要嚴格按照“三同步”要求，在規(guī)劃、建設(shè)和使用階段，同步落實應用系統(tǒng)管理與安全技術(shù)措施各項工作。規(guī)劃階段要開展應用系統(tǒng)擬定級工作，在項目采購需求中明確安全要求;建設(shè)階段要全面梳理網(wǎng)絡安全需求，嚴格做好安全設(shè)計與開發(fā)，做實階段安全評審，上線前要完成等級保護定級備案和測評整改;運行階段要明確運行責任，做好文檔管理、資產(chǎn)管理、變更管理和運維管理，細化監(jiān)控與審計要求，定期開展應急演練。

3.2 嚴格管控數(shù)據(jù)安全風險

要將電子數(shù)據(jù)按照核心數(shù)據(jù)、敏感數(shù)據(jù)和受控數(shù)據(jù)進行分級分類保護，做到事前管控、嚴格管理、保證安全。稅務電子數(shù)據(jù)安全使用要遵循“合規(guī)進、授權(quán)用、加密傳、保險存、審核出、銷毀凈”的總體策略，在電子數(shù)據(jù)創(chuàng)建、使用、傳輸、存儲和銷毀的全生命周期內(nèi)，采取安全保護管理策略和技術(shù)措施，實現(xiàn)電子數(shù)據(jù)的防攻擊、防越權(quán)、防泄漏、防篡改和防抵賴。

3.3 細化落實日志留存要求

要按照《中華人民共和國網(wǎng)絡安全法>關(guān)于日志留存技術(shù)措施和保存期限要求，采取相關(guān)措施，確保應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、中間件、主機存儲、網(wǎng)絡、安全、終端等系統(tǒng)日志至少留存六個月，特別是留存應用系統(tǒng)登錄日志和后臺數(shù)據(jù)庫操作日志以備安全事件調(diào)查評估時追蹤溯源，并注意做好日志數(shù)據(jù)轉(zhuǎn)存和備份。

3.4 逐步提升用戶身份鑒別能力

為進一步提升稅務信息系統(tǒng)的應用安全，防止用戶身份冒用，應根據(jù)等級保護相關(guān)規(guī)定，做好用戶身份鑒別。身份鑒別是保障應用系統(tǒng)安全的第一道屏障，一般可分為所知、所有和實體特征三類鑒別方式：所知即實體所知道的知識，如口令;所有即實體所持有的物品，如令牌、手機、數(shù)字證書等;實體特征即實體所具有的指紋、語音、人臉、虹膜等生物特征。重要信息系統(tǒng)應同時實現(xiàn)多種鑒別方式，推薦采用口令與稅務數(shù)字證書或者短信的組合。

參考文獻

[1]昊世忠，李斌，張曉菲，沈傳寧，李淼，信息安全技術(shù)[M].北京：機械工業(yè)出版社.2015.