時間:2023-10-26 09:59:25
序論:在您撰寫稅務(wù)信息安全時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
關(guān)鍵詞:稅務(wù)系統(tǒng);網(wǎng)絡(luò);信息;安全
中圖分類號:TP393.08 文獻標(biāo)識碼:A 文章編號:1007-9599 (2012) 11-0000-02
目前,全國各級稅務(wù)機關(guān)已形成以計算機網(wǎng)絡(luò)為依托的征管格局,隨著稅務(wù)信息化建設(shè)的不斷蓬勃發(fā)展,網(wǎng)絡(luò)與信息安全的風(fēng)險也逐漸顯露。隨著電子信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)與信息安全面臨越來越嚴(yán)峻和復(fù)雜的形勢,各種安全事件層出不窮,病毒破壞和黑客入侵等安全隱患會使我們丟失數(shù)據(jù),會造成機密數(shù)據(jù)泄漏,會使我們的業(yè)務(wù)癱瘓,危害極大。無論是外部有意的攻擊,還是內(nèi)部無意的誤操作,任何安全問題都可能導(dǎo)致安全事故,由此所帶來的損失與嚴(yán)重后果都將無法估量。因此,加強稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息系統(tǒng)安全顯得尤為重要。
一、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險分析
隨著我國各行業(yè)信息化程度的不斷提高,利用計算機系統(tǒng)進行各類犯罪活動的案件每年以較大的速度遞增,在稅務(wù)系統(tǒng)也出現(xiàn)了利用稅收管理系統(tǒng)進行犯罪的案件。例如,2003年原國稅局干部吳芝剛虛開增值稅專用發(fā)票的“京城第一稅案”,就是吳芝剛利用操作員安全意識不強,盜用其密碼進入系統(tǒng)篡改發(fā)票發(fā)售權(quán)限,將增值稅專用發(fā)票非法賣給犯罪團伙。盡管目前在稅務(wù)系統(tǒng)計算機犯罪案件發(fā)生率很小,但不能因此放松警惕,防微杜漸做好網(wǎng)絡(luò)與信息安全工作至關(guān)重要。根據(jù)對稅務(wù)系統(tǒng)網(wǎng)絡(luò)和信息安全的研究分析,威脅稅務(wù)系統(tǒng)網(wǎng)絡(luò)信息安全的因素主要有以下方面:
(一)網(wǎng)絡(luò)與信息安全意識淡薄
目前稅務(wù)系統(tǒng)相當(dāng)部分工作人員缺乏網(wǎng)絡(luò)信息安全意識。很多人以為自己計算機上安裝有殺毒軟件,就不會存在安全問題,總覺得信息安全工作離自己很遙遠(yuǎn),和自己沒關(guān)系。缺乏網(wǎng)絡(luò)信息安全知識,如不按規(guī)定使用移動存儲介質(zhì)甚至內(nèi)外網(wǎng)混用等等,都可能導(dǎo)致計算機病毒入侵或“黑客”攻擊,對網(wǎng)絡(luò)與信息安全構(gòu)成威脅。
(二)計算機病毒的危害
計算機病毒是對稅務(wù)系統(tǒng)網(wǎng)絡(luò)信息安全最為常見、影響最為廣泛的威脅。幾乎沒有計算機沒有感染過病毒,計算機病毒通常通過移動存儲介質(zhì)等感染計算機,并能通過網(wǎng)絡(luò)迅速傳播。稅務(wù)系統(tǒng)一臺計算機感染病毒,就可能造成病毒在整個辦公內(nèi)網(wǎng)計算機中迅速傳播,輕則堵塞網(wǎng)絡(luò),影響稅務(wù)信息系統(tǒng)的正常運行,重則破壞系統(tǒng),造成無法估量的直接和間接損失。
(三)計算機犯罪的危害
計算機犯罪對網(wǎng)絡(luò)和信息安全的威脅顯而易見,危害極大。常見的計算機犯罪有內(nèi)部人員泄露信息、竊取他人密碼、越權(quán)訪問和外部“黑客”攻擊等。比如“黑客”通過某種方式侵入稅務(wù)系統(tǒng)辦公內(nèi)網(wǎng),就可能破壞稅務(wù)信息系統(tǒng)或竊取機密數(shù)據(jù),造成極大的危害。
(四)移動存儲介質(zhì)使用的風(fēng)險
目前光盤、優(yōu)盤、移動硬盤等移動存儲介質(zhì)使用非常普遍,大量內(nèi)部信息通過移動介質(zhì)存儲傳播。一方面移動介質(zhì)如果不受控,會形成泄密隱患;另一方面納稅人報送涉稅信息帶來的移動存儲介質(zhì)需要接入辦公內(nèi)網(wǎng),如果疏忽了病毒和木馬的查殺,就存在著將計算機病毒和木馬等惡意程序傳入辦公內(nèi)網(wǎng)的安全風(fēng)險。
(五)網(wǎng)絡(luò)技術(shù)本身的缺陷
網(wǎng)絡(luò)技術(shù)本身存在的技術(shù)缺陷,使網(wǎng)絡(luò)容易成為受攻擊的目標(biāo),從而對稅務(wù)系統(tǒng)網(wǎng)絡(luò)信息安全形成威脅。目前各級稅務(wù)機關(guān)組建廣域網(wǎng)通常租用電信或聯(lián)通的網(wǎng)絡(luò)線路,不法分子就可能通過公共網(wǎng)侵入稅務(wù)系統(tǒng)網(wǎng)絡(luò)或者通過公共網(wǎng)對稅務(wù)系統(tǒng)網(wǎng)絡(luò)進行竊聽、攻擊。
(六)自然災(zāi)害襲擊
例如火災(zāi)、地震、雷擊等自然災(zāi)害都可能使計算機及網(wǎng)絡(luò)設(shè)備遭到破壞,影響系統(tǒng)正常運行。
(七)人為無意失誤
工作人員防范意識不強,工作中“圖方便”,如操作員安全配置不當(dāng),不按要求設(shè)置口令,隨意把自己的用戶給他人使用等等問題,雖然不是主觀故意,但可能造成較大危害,對網(wǎng)絡(luò)與信息安全帶來威脅。
二、稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險的防范對策
網(wǎng)絡(luò)與信息安全風(fēng)險,需要從人、管理、技術(shù)等以下幾個方面進行防范:
(一)必須加強信息安全教育
“人是網(wǎng)絡(luò)信息安全系統(tǒng)的重要組成部分”,要保障網(wǎng)絡(luò)與信息系統(tǒng)的安全,需要全體稅務(wù)干部的參與。通過在稅務(wù)機關(guān)全體工作人員中開展信息安全普及教育,對信息化專業(yè)人員加強信息安全專業(yè)培訓(xùn),提高各級人員的信息安全意識,共同防范網(wǎng)絡(luò)與信息安全風(fēng)險。
(二)強化安全管理
要加強稅務(wù)機關(guān)內(nèi)部控制,改進網(wǎng)絡(luò)信息安全管理中的薄弱環(huán)節(jié),防范內(nèi)部人員有意犯罪或無意失誤造成的網(wǎng)絡(luò)信息安全風(fēng)險。各級稅務(wù)機關(guān)要建立健全網(wǎng)絡(luò)與信息安全組織機構(gòu),逐步建立健全各種網(wǎng)絡(luò)與信息安全制度,明確崗位責(zé)任與分工,把各項工作及責(zé)任落實到人。要把強化管理與技術(shù)手段相結(jié)合來防止內(nèi)部人員有意犯罪和無意失誤,從內(nèi)部嚴(yán)防各類安全事件的發(fā)生。
(三)強化安全技術(shù)
1.科學(xué)使用計算機防病毒軟件防范計算機病毒
各級稅務(wù)機關(guān)的計算機設(shè)備,要使用統(tǒng)一的正版計算機防病毒軟件,指派專人進行計算機防病毒監(jiān)控,及時處理計算機病毒威脅。其中,移動存儲介質(zhì)管理是計算機病毒防范的重點和難點。光盤、優(yōu)盤、移動硬盤等移動存儲介質(zhì)是病毒和木馬的重要傳播途徑,不管好移動存儲介質(zhì),就不可能做到病毒和木馬的有效防控。必須加強管理,對所有的外來軟件或盤片,必須先查殺病毒、木馬,才能接入辦公內(nèi)網(wǎng)進行安裝和使用。
2.做好辦公內(nèi)網(wǎng)與互聯(lián)網(wǎng)的完全隔離
我國的稅務(wù)信息化從建設(shè)到普及已經(jīng)逐漸地得到了人們的認(rèn)可和應(yīng)用。稅務(wù)信息化在帶給人們方便快捷的同時,它的安全問題也令人關(guān)注。隨著計算機和網(wǎng)絡(luò)的發(fā)展普及,重要信息變得非常容易被獲取,網(wǎng)絡(luò)攻擊也變得越來越便利。電子稅務(wù)系統(tǒng)作為一個典型的廣域網(wǎng)系統(tǒng),開放共享的特點使其面臨著各種各樣的威脅和攻擊。因此建立一個電子稅務(wù)信息安全管理體系,采取綜合防范的措施,確保系統(tǒng)安全、可靠、暢通地運行是非常有必要的。
一、信息安全的概念
信息安全是指確保以電磁信號為主要形式的、在計算機網(wǎng)絡(luò)化(開放互連)系統(tǒng)中進行自動通信、處理和利用的信息內(nèi)容,在各個物理位置、邏輯區(qū)域、存儲和傳輸介質(zhì)中,處于動態(tài)和靜態(tài)過程中的機密性、完整性、可用性、可審查性和抗抵賴性,與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。人指的是信息系統(tǒng)的主題,包括各類用戶、支持人員,以及技術(shù)管理和行政管理人員。網(wǎng)絡(luò)則指以計算機、網(wǎng)絡(luò)互連設(shè)備、傳輸介質(zhì)、信息內(nèi)容及其操作系統(tǒng)、通信協(xié)議和應(yīng)用程序所構(gòu)成的物理的與邏輯的完整體系。環(huán)境則是系統(tǒng)穩(wěn)定和可靠運行所需要的保障體系,包括建筑物、機房、動力保障與備份,以及應(yīng)急與恢復(fù)體系。
二、電子稅務(wù)系統(tǒng)面臨的信息安全威脅
(一)物理安全隱患
各種突發(fā)災(zāi)害、運行環(huán)境或硬件本身及相關(guān)元器件的缺陷會對電子稅務(wù)系統(tǒng)信息安全構(gòu)成威脅。隨著技術(shù)的進步,各種免費工具及代碼的出現(xiàn),網(wǎng)絡(luò)設(shè)備的漏洞很容易被發(fā)現(xiàn)和利用,現(xiàn)在針對防火墻、交換機和路由器等網(wǎng)絡(luò)連接設(shè)備的攻擊越來越多。通信線路也會受到竊聽、撥號進入,還有冒名頂替等的威脅,電磁輻射泄露也會導(dǎo)致信息失密。
(二)網(wǎng)絡(luò)平臺面臨的安全威脅
電子稅務(wù)系統(tǒng)通過網(wǎng)絡(luò)平臺連接外網(wǎng)后,一方面面臨來自外網(wǎng)節(jié)點的越權(quán)訪問、惡意攻擊和病毒入侵,另一方面面臨來自稅務(wù)系統(tǒng)同級、上級和下級節(jié)點的越權(quán)訪問、惡意攻擊和病毒入侵。
(三)應(yīng)用系統(tǒng)數(shù)據(jù)面臨的威脅
數(shù)據(jù)庫弱口令及默認(rèn)用戶名易被破解:操作系統(tǒng)的安全級別低,缺乏對關(guān)鍵業(yè)務(wù)主機操作系統(tǒng)用戶權(quán)限的嚴(yán)格控制;數(shù)據(jù)庫管理方式和管理流程編制不得當(dāng),不能實時監(jiān)控數(shù)據(jù)庫系統(tǒng)的運行情況;黑客利用已知漏洞攻擊系統(tǒng)等。
(四)人為因素及管理的缺陷
來自電子稅務(wù)系統(tǒng)內(nèi)部用戶的安全威脅同樣是不容忽視的一部分。稅務(wù)部門內(nèi)部員工對本單位網(wǎng)絡(luò)結(jié)構(gòu)以及系統(tǒng)軟件的應(yīng)用比較熟悉,自己攻擊或泄露重要信息,都會對系統(tǒng)的安全造成很大的威脅。此外,缺少信息安全管理的技術(shù)規(guī)范,缺少定期的安全測試與檢查,更缺少安全監(jiān)控,也是對系統(tǒng)安全的很大威脅。
三、電子稅務(wù)系統(tǒng)信息安全的防護措施
(一)物理安全措施
作為電子稅務(wù)系統(tǒng)的硬件基礎(chǔ),物理安全是信息安全的第一道防線。物理安全包括環(huán)境、設(shè)備及線路的安全,主要是指防盜、防火、防靜電、防雷擊以及防電磁泄漏。要根據(jù)接入網(wǎng)絡(luò)設(shè)備的數(shù)量、功耗和負(fù)載等及時地對設(shè)備進行擴容擴充,并做好冗余備份工作。加強設(shè)備管理和維護工作,建立報警系統(tǒng),以確保所有設(shè)備處于最佳運行狀態(tài)。
(二)網(wǎng)絡(luò)安全措施
網(wǎng)絡(luò)層面安全防御的重點主要是阻斷外部用戶的惡意攻擊和非法訪問。可以探討有關(guān)下述方面的安全策略來抵御不斷發(fā)展的安全威脅。
1.合理布局網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)構(gòu)布局的合理與否,也會影響網(wǎng)絡(luò)的安全性。對稅務(wù)系統(tǒng)業(yè)務(wù)網(wǎng)、辦公網(wǎng)、與外單位互聯(lián)的接口網(wǎng)絡(luò)之間必須按各自的應(yīng)用范圍、技術(shù)指標(biāo)、安全保密程度等進行合理分布,統(tǒng)一整合外聯(lián)網(wǎng)絡(luò),可以在內(nèi)外網(wǎng)的邊界建立隔離區(qū)(DMZ),以免局部安全性較低的網(wǎng)絡(luò)系統(tǒng)造成的威脅,傳播到整個網(wǎng)絡(luò)系統(tǒng)。
2.訪問控制。網(wǎng)絡(luò)需要防范非法用戶的非法訪問和合法用戶的非授權(quán)訪問。非法用戶的非法訪問也就是黑客或間諜的攻擊行為。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略和重要手段。訪問控制策略主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制以及防火墻控制。
3.病毒防護。配備從服務(wù)器到單機的整套防病毒軟件,和一些防惡意程序軟件并做到及時升級,防止病毒入侵主機并擴散到全網(wǎng),實現(xiàn)全網(wǎng)的病毒安全防護,以確保整個電子稅務(wù)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)不受到病毒的破壞,日常工作不受病毒的侵?jǐn)_。
4.主動防御。防火墻可以對所有的訪問進行嚴(yán)格控制(允許、禁止、報警),但防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其他攻擊。所以,為確保網(wǎng)絡(luò)更加安全,必須配備入侵檢測系統(tǒng),對透過防火墻的攻擊進行檢測,并做相應(yīng)的反應(yīng)(記錄、報警、阻斷)。
(三)數(shù)據(jù)安全
數(shù)據(jù)安全包括數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全以及數(shù)據(jù)的備份和恢復(fù)三個方面。數(shù)據(jù)傳輸安全是指在傳輸過程中保護數(shù)據(jù)信息的機密性和完整性,以防被他人截獲、修改,具體可通過數(shù)據(jù)加密技術(shù)、數(shù)字簽名及VPN等技術(shù)來實現(xiàn)。數(shù)據(jù)存儲安全是指要保證存儲在服務(wù)器或終端上的數(shù)據(jù)的安全,對于要求保密的重要數(shù)據(jù),如納稅人的交易密碼,需加密后再存儲。數(shù)據(jù)備份和恢復(fù)可以確保存系統(tǒng)遭到攻擊或因自然因素導(dǎo)致數(shù)據(jù)不可用時,利用備份的數(shù)據(jù)進行恢復(fù)。對重要數(shù)據(jù)信息可以采取上級稅務(wù)機關(guān)代為備份和本級稅務(wù)機關(guān)異地備份的雙重備份方式,最大限度的保證數(shù)據(jù)信息的可恢復(fù)性。通過制訂可靠的數(shù)據(jù)備份與恢復(fù)策略,保證稅務(wù)業(yè)務(wù)系統(tǒng)提供服務(wù)的及時性、連續(xù)性。
(四)電子稅務(wù)系統(tǒng)的信息安全管理
對于電子稅務(wù)系統(tǒng)建立一套集中管理的機制和設(shè)備,即安全管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰,監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運行狀態(tài),負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計信息等。
建立健全信息安全管理和防范制度,不斷完善系統(tǒng)的操作規(guī)程,嚴(yán)格規(guī)范工作人員的操作行為和水平。
四、結(jié)束語
電子稅務(wù)系統(tǒng)的信息安全是一項長期、系統(tǒng)的工程,不僅僅是通過技術(shù)手段來建立信息安全的多層防護策略,還要通過建立健全信息安全管理機制、提高工作人員的安全意識,才能確保電子稅務(wù)系統(tǒng)的安全、穩(wěn)定、高效運行。
參考文獻
[1]方美琪.電子商務(wù)概論[M].北京:清華大學(xué)出版社,2000.
[2]譚榮華,徐夫田,謝波峰.我國稅務(wù)信息化建設(shè)的七大重點[J].涉外稅務(wù),2002,10:26-30.
1管理維護人員少
我局信息系統(tǒng)管理維護工作主要由計算機中心負(fù)責(zé),下設(shè)軟件科、系統(tǒng)科、綜合科共14名在編人員。信息系統(tǒng)的維護管理工作主要由系統(tǒng)科4名人員負(fù)責(zé)。一方面在開展系統(tǒng)維護工作時人手不足,無法覆蓋到區(qū)縣;另一方面由于新技術(shù)更新較快,人員對新知識與新技術(shù)的掌握不足,不利于有效的開展信息安全維護管理工作。
2系統(tǒng)漏洞影響大
稅務(wù)信息系統(tǒng)對數(shù)據(jù)完整性與服務(wù)實時性高要求非常高,當(dāng)今漏洞挖掘技術(shù)極大縮短系統(tǒng)漏洞的發(fā)現(xiàn)周期,經(jīng)常性對核心應(yīng)用系統(tǒng)進行升級補丁將對系統(tǒng)數(shù)據(jù)完整性與保障系統(tǒng)服務(wù)及時性造成一定的風(fēng)險。
3黑客攻擊與計算機病毒傳播路徑廣
我局內(nèi)部業(yè)務(wù)網(wǎng)已連接到全市23個下屬單位,黑客可通過任何一個單位對我局核心業(yè)務(wù)應(yīng)用發(fā)起攻擊。同時隨著移動互聯(lián)網(wǎng)的快速發(fā)展,wfif、手機連接到終端計算機等都有可能成為業(yè)務(wù)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的接口,使我局核心業(yè)務(wù)應(yīng)用遭受到互聯(lián)網(wǎng)的攻擊。同時移動存儲介質(zhì)不安全的使用方式、工作員通過互聯(lián)網(wǎng)下載的軟件等都有可能導(dǎo)致病毒大規(guī)模傳播。
二、新形勢稅務(wù)信息安全管理工作實踐
1信息安全管理工作分解,明確分工與職責(zé)
我局信息安全工作的未來發(fā)展方向與符合我局實際情況的管理要求、監(jiān)督指導(dǎo)執(zhí)行層落實工作信息安全工作、考評執(zhí)行層與支撐層的工作績效。為全局的信息安全保障工作發(fā)揮著規(guī)劃、指導(dǎo)、監(jiān)督、考評作用,推動我局各項信息安全管理工作得以落實。執(zhí)行層由各區(qū)縣局單位指派在編工作人員擔(dān)任,目前我局在各區(qū)縣局設(shè)立信息崗,由具備一定計算機基礎(chǔ)知識的工作人員擔(dān)任。主要工任務(wù)是按照市局的管理要求開展日常的信息安全維護工作,并處理常規(guī)信息安全問題、向其他工作人員宣傳市局既定的管理要求,提高全員的信息安全意識。通過執(zhí)行層開展的信息安全工作,使市局規(guī)劃的各項信息安全管理要求在基層得到落實。為提高執(zhí)行層的工作能力,市局定期集中工作人員開展培訓(xùn),傳達市局信息安全工作思路、講解工作中涉及的信息安全技術(shù)、宣傳信息安全形勢等。支撐層由第三方公司擔(dān)任,為使我局信息安全管理工作更高效,我局將信息系統(tǒng)各項技術(shù)維護工作外包給各技術(shù)領(lǐng)域有一定實力的公司,由公司安排具備工作經(jīng)驗與能力的專業(yè)技術(shù)人員常駐我局,開展技術(shù)維護工作。我局管理人員根據(jù)制定的管理要求對各公司的維護工作進行考評。
2周期性檢測,評估安全風(fēng)險
漏洞挖掘技術(shù)很大程度的縮短了系統(tǒng)漏洞的發(fā)現(xiàn)周期,對稅務(wù)系統(tǒng)是個非常大的安全隱患,常規(guī)的運行維護難以發(fā)現(xiàn)深層次的安全漏洞。因此我局將對信息系統(tǒng)及終端計算機的安全檢測列入周期性的工作計劃,不流于風(fēng)險評估與等級保護測評的工作形式。以實質(zhì)性的發(fā)現(xiàn)系統(tǒng)與終端安全漏洞為手段;以采取有效、可靠、安全的處置方法,降低系統(tǒng)安全風(fēng)險為目標(biāo)。將安全檢測工作委托第三方專業(yè)的公司定期開展,將檢查結(jié)果轉(zhuǎn)交各類技術(shù)的維護公司進行處理。并對安全專業(yè)公司的檢測能力,各類技術(shù)維護公司的處置能力納入到統(tǒng)一考評體系,確保我局安全漏洞檢測的全面性、準(zhǔn)確性,問題處理的正常性、有效性。3建立以制度為依據(jù)、以技術(shù)為支撐的監(jiān)督、管理工作流程為解決我局終端數(shù)量多、地域分布廣、安全管理難度大的難題,管理層經(jīng)討論、研究針對終端安全及網(wǎng)絡(luò)邊界管理的方法,論證管理要求與技術(shù)實現(xiàn)的可行性,制定終端安全管理與網(wǎng)絡(luò)邊界管理的總體綱領(lǐng)策略。并測試、采購符合我局安全管理需求的安全技術(shù)實施部署。市局下發(fā)針對性的安全管理要求文件,安全技術(shù)根據(jù)市局管理要求部署基本的控制與審計策略。為更好的發(fā)揮技術(shù)平臺的管理功效,市局將基本安全管理策略之外的管理權(quán)限下放到各區(qū)縣局,由各單位根據(jù)自身實際情況制定管理規(guī)則。市局根據(jù)平臺產(chǎn)生的數(shù)據(jù),對違規(guī)使用資源、違規(guī)操作的個人與單位進行監(jiān)督與通報,并納入對各單位的考評。通過管理要求與技術(shù)平臺的有機結(jié)合,使我局各項信息安全管理制度得到落實,并定期召集各單位對信息安全管理工作的經(jīng)驗進行交流與推廣,提高全局的信息安全管理水平。
三、新形勢稅務(wù)信息安全管理探索方向
信息安全管理工作在設(shè)計上需成體系、在落實上需有支撐,這項工作有著一定的復(fù)雜性、周密性與完整性。并非依靠制定一系列的管理規(guī)定,或部署完善的信息安全技術(shù)就能立即提高信息安全管理水平。而是需要規(guī)劃整體的安全管理方針與目標(biāo);根據(jù)方針與目標(biāo)制定基礎(chǔ)的保障框架;逐步完成基礎(chǔ)保障框架中的管理、技術(shù)與過程建設(shè);并在運行維護中不斷的找出管理、技術(shù)與過程建設(shè)存在的不足,并進行改進,使信息安全管理水平不斷的提高,逐漸形成適合我局的信息安全管理體系。目前我局制定信息安全管理的基本方針是建立以風(fēng)險管理為核心的信息安全管理體系。在該方針的指導(dǎo)下,我局計劃建立的基本信息安全保障框架為:
(1)以采取一切手段發(fā)現(xiàn)整體信息系統(tǒng)中存在的安全問題為基礎(chǔ)。
(2)以評估發(fā)現(xiàn)的問題對信息系統(tǒng)可能產(chǎn)生的安全風(fēng)險為支撐。
(3)以找出問題的有效、可靠、安全處置機制為保障。
(4)以監(jiān)督、評估問題處置的有效性,降低安全風(fēng)險為目標(biāo)。因此在已定的安全保障框架下,管理層還需繼續(xù)探索符合我局實際情況的信息安全管理方法,以管理有效方法為基礎(chǔ)制定管理策略、以管理策略為依據(jù)選購安全技術(shù)、以安全技術(shù)為支撐開展具體管理工作、以具體管理工作為監(jiān)督推動管理落實、以管理落實效果為依據(jù)檢驗管理方法、以優(yōu)化管理方法目標(biāo)提高安全管理效益。
四、結(jié)語
網(wǎng)絡(luò)的普及使我們的工作更加方便快捷,但同時局域網(wǎng)開放共享的特點,也讓我們面臨各種錯綜復(fù)雜的威脅和攻擊,如操作系統(tǒng)的安全問題、應(yīng)用程序的安全問題、計算機設(shè)備本身的安全問題等等。但歸結(jié)起來不外乎兩種:一是對網(wǎng)絡(luò)中的數(shù)據(jù)信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。大體上又可以分為以下幾個方面:1)計算機網(wǎng)絡(luò)病毒的威脅;2)操作系統(tǒng)缺陷造成的信息安全隱患;3)內(nèi)外網(wǎng)完全隔離造成的安全隱患;;4)人為原因?qū)е碌男畔踩[患;5)供電環(huán)境對信息安全的威脅。
2構(gòu)建完善的稅務(wù)系統(tǒng)安全體系以應(yīng)對挑戰(zhàn)
2.1建立全方位的網(wǎng)絡(luò)防病毒體系。做好計算機病毒防范是當(dāng)前稅務(wù)網(wǎng)絡(luò)維護中的一項重點工作,要做好這項工作就要做到:1)做好局域網(wǎng)與互聯(lián)網(wǎng)的完全物理隔離;2)盡早使用正版操作系統(tǒng)軟件并及時安裝相關(guān)補丁;3)在安裝使用殺毒軟件并做到及時升級的同時應(yīng)附加安裝一些防惡意程序軟件;4)信息中心人員應(yīng)及時了解網(wǎng)絡(luò)相關(guān)信息,掌握第一手資料;5)建立人侵檢測系統(tǒng)。
2.2建立嚴(yán)格的安全管理規(guī)章制度?!盁o規(guī)矩不成方圓”,嚴(yán)格的規(guī)章制度是各項工作順利完成的保障。尤其是在對數(shù)據(jù)信息安全性要求嚴(yán)格的稅務(wù)系統(tǒng),沒有嚴(yán)格的管理規(guī)章制度,我們將寸步難行。首先要有領(lǐng)導(dǎo)和上級信息管理部門來搭臺,制定出完善的業(yè)務(wù)部門和信息部門在系統(tǒng)權(quán)限分配上相互制約的管理辦法,對各個科室,實行賦予負(fù)責(zé)制,“誰賦予誰負(fù)責(zé)”的管理機制。其次,對于各分局和科室,要求每臺計算機必須有專人進行負(fù)責(zé),要求操作系統(tǒng)加密,設(shè)置層層口令權(quán)限,以確保稅務(wù)信息無人為的安全隱患。同時為了有效防止口令外泄,可以實行“口令即責(zé)任”原則,對執(zhí)法過錯的追究,一律以操作用戶名為公拄。
2.3提高人員素質(zhì),杜絕人為隱患。提高人員素質(zhì)主要從兩個方面人手:一是不斷深化學(xué)習(xí),努力提高全體稅務(wù)干部的安全防范意識和計算機操作水平。二是要大力提高現(xiàn)有信息管理部門人員素質(zhì)。
2.4建立網(wǎng)絡(luò)安全緊急響應(yīng)體系。及時對相關(guān)數(shù)據(jù)信息進行備份,以防意外事件發(fā)生。對重要信息系統(tǒng)的數(shù)據(jù)采取上級稅務(wù)機關(guān)代為備份和本級稅務(wù)機關(guān)異地備份的雙重備份方式,最大限度的保證數(shù)據(jù)信息的可恢復(fù)性。同時,還可以以各部門為分類標(biāo)準(zhǔn),將所有部門的每一類計算機都做一個鏡像,放在單獨的一臺計算機上,這樣無論哪臺計算機的系統(tǒng)遭到了破壞,我們都能在第一時間恢復(fù)。
關(guān)鍵詞:稅務(wù)系統(tǒng);信息安全;安全策略
中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2009)36-10406-02
On the Information Security Policy and Management of Tax Information Management System
HUANG Jian-qun
(Xi'an Shiyou University, Xi'an 710065, China)
Abstract: In this paper, first, points out that information on the importance of the tax system through the presentation of tax information management systems, Concludes with the tax information security and management solutions, The program in improving safety and reliability of tax information has some referential significance.
Key words: tax systems; information security; security policy
稅收是國家財政收入的重要途徑,相關(guān)的稅務(wù)系業(yè)務(wù)要求其具有準(zhǔn)確性、公證性和完整性的特點,因此保證稅務(wù)信息系統(tǒng)的安全性意義重大。稅務(wù)系統(tǒng)作為電子政務(wù)系統(tǒng)的一部分,屬國家基礎(chǔ)信息建設(shè),其基本特點是:網(wǎng)絡(luò)地域廣、信息系統(tǒng)服務(wù)對象復(fù)雜;稅務(wù)信息具有數(shù)據(jù)集中、安全性要求高;應(yīng)用系統(tǒng)的種類較多,網(wǎng)絡(luò)系統(tǒng)安全設(shè)備數(shù)量大,種類多,管理難度大。
稅務(wù)系統(tǒng)是一個及其龐大復(fù)雜的系統(tǒng),從業(yè)務(wù)上有國稅、地稅之分,從地域來說又有國家級、省級、地市級、區(qū)縣四級。網(wǎng)絡(luò)結(jié)點眾多、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)出口不計其數(shù)、操作系統(tǒng)種類繁多、應(yīng)用系統(tǒng)五花八門、網(wǎng)絡(luò)機構(gòu)極其復(fù)雜。面對如此復(fù)雜的系統(tǒng),其內(nèi)部安全隱患隨處可見,經(jīng)過不斷的研究和探索,目前已經(jīng)積累了大量解決稅務(wù)系統(tǒng)信息基礎(chǔ)設(shè)施安全的方法和經(jīng)驗,形成一整套稅務(wù)系統(tǒng)的安全保障方法,相關(guān)安全保障的體系也在不斷完善和發(fā)展中。
1 網(wǎng)絡(luò)信息安全在稅務(wù)系統(tǒng)中的重要性
計算機軟硬件技術(shù)的發(fā)展和互聯(lián)網(wǎng)技術(shù)的普及,為電子稅務(wù)的發(fā)展奠定了基礎(chǔ)。尤其是國家金稅工程的建設(shè)和應(yīng)用,使稅務(wù)部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務(wù)可以最大限度地確保國家的稅收收入,但卻面臨著系統(tǒng)安全性的難題。
雖然我國稅務(wù)信息化建設(shè)自開始金稅工程以來,取得了長足進步,極大提高了稅務(wù)工作效率和質(zhì)量。但稅務(wù)系統(tǒng)本身也暴露出了一系列要改進的問題,各種應(yīng)用軟件自成體系、重復(fù)開發(fā)、信息集中程度低。隨著信息化水平的不斷提高,基于信息網(wǎng)絡(luò)及計算機的犯罪事件也日益增加。稅務(wù)系統(tǒng)所面臨的信息網(wǎng)絡(luò)安全威脅不容忽視。建立稅務(wù)管理信息化網(wǎng)絡(luò)安全體系,要求人們必須提高對網(wǎng)絡(luò)安全重要性的認(rèn)識,增強防范意識,加強網(wǎng)絡(luò)安全管理,采取先進有效的技術(shù)防范措施。
2 稅務(wù)系統(tǒng)安全建設(shè)
如何保證信息在傳遞過程中的安全性對稅務(wù)系統(tǒng)來說至關(guān)重要,任何網(wǎng)絡(luò)設(shè)備或者解決方案的漏洞都會對稅務(wù)系統(tǒng)造成很大影響。如何成功處理信息安全問題,使國家稅務(wù)系統(tǒng)在充分利用信息技術(shù)的同時,保障系統(tǒng)的安全,對稅務(wù)系統(tǒng)建設(shè)具有極大意義。信息安全的建設(shè)涉及到信息賴以存在和傳遞的一切設(shè)施和環(huán)境。構(gòu)筑這個體系的目的是保證信息的安全,不僅需要信息技術(shù)的努力與突破,還需要相關(guān)政策、法律、管理等方面提供的有力保障,同時也需要提高操作信息系統(tǒng)的工作人員的安全意識。
2.1 稅務(wù)系統(tǒng)安全防護體系
稅務(wù)系統(tǒng)安全防護體系保證了系統(tǒng)在生命期內(nèi)處于動態(tài)的安全狀態(tài),確保系統(tǒng)功能正確,不受系統(tǒng)規(guī)模變化的影響,性能滿意,具有良好的互操作性和強有力的生存能力等。
稅務(wù)信息系統(tǒng)安全模型提供了必要的安全服務(wù)和措施,增加了動態(tài)特性,強調(diào)了各因素之間關(guān)系的重要性。該模型是一種實時的、動態(tài)的安全理論模型,是實施信息安全保障的基礎(chǔ)。在模型基礎(chǔ)上建立安全體系架構(gòu)隨著環(huán)境和時間改變,框架和技術(shù)將會主動實時動態(tài)的調(diào)整,從而確保稅務(wù)系統(tǒng)的信息安全。
2.2 稅務(wù)系統(tǒng)風(fēng)險評估
稅務(wù)系統(tǒng)信息安全保障的目的是確保系統(tǒng)的信息免受威脅,但絕對的安全并不可能實現(xiàn),只能通過一定的控制措施將系統(tǒng)受到威脅的可能性降到一個可接受的范圍內(nèi)。風(fēng)險評估是對信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評估。風(fēng)險評估用來確認(rèn)稅務(wù)系統(tǒng)的安全風(fēng)險及大小,即利用適當(dāng)?shù)娘L(fēng)險評估技術(shù),確定稅務(wù)系統(tǒng)資產(chǎn)的風(fēng)險等級和優(yōu)先風(fēng)險控制順序。
風(fēng)險評估是信息安全管理體系的基礎(chǔ),為降低網(wǎng)絡(luò)的風(fēng)險、實施風(fēng)險管理及風(fēng)險控制提供了直接依據(jù)。系統(tǒng)風(fēng)險評估貫穿于系統(tǒng)整個生命期的始終,是系統(tǒng)安全保障討論最為重要的一個環(huán)節(jié)。
3 稅務(wù)信息系統(tǒng)整體安全構(gòu)架
一般稅務(wù)信息系統(tǒng)所采用的安全架構(gòu)模型如圖1所示。
從安全結(jié)構(gòu)模型可以看出,該安全架構(gòu)主要分為三部分:網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)防御體系、應(yīng)用安全體系和安全管理體系。網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)防御體系是一個最基本的安全體系,主要從物理級、網(wǎng)絡(luò)級、系統(tǒng)級幾個層次采取一系列統(tǒng)一的安全措施,為信息系統(tǒng)的所有應(yīng)用提供一個基礎(chǔ)的、安全的網(wǎng)絡(luò)系統(tǒng)運行環(huán)境。
該體系的主要安全建設(shè)范圍如下:
1) 物理級安全:主要提供對系統(tǒng)內(nèi)部關(guān)鍵設(shè)備、線路、存儲介質(zhì)的物理運行環(huán)境安全,確保系統(tǒng)能正常工作。
2) 網(wǎng)絡(luò)級安全:在網(wǎng)絡(luò)層上,提供對系統(tǒng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)、廣域網(wǎng)連接和遠(yuǎn)程訪問網(wǎng)絡(luò)的運行安全保障,確保各類應(yīng)用系統(tǒng)能在統(tǒng)一的網(wǎng)絡(luò)安全平臺上可靠地運作。
3) 系統(tǒng)級安全:主要是從操作系統(tǒng)的角度考慮系統(tǒng)安全措施,防止不法分子利用操作系統(tǒng)的一些BUG、后門取得對系統(tǒng)的非法操作權(quán)限。
4 信息安全管理策略
4.1 安全管理平臺
信息安全管理的總體原則是“沒有明確表述為允許的都被認(rèn)為是被禁止的”。信息安全管理實行安全等級保護制度,制定安全等級劃分標(biāo)準(zhǔn)和安全等級的保護辦法。從管理的角度,將系統(tǒng)中的各類安全管理工具統(tǒng)一到一個平臺,并對各種安全事件、報警、監(jiān)控做統(tǒng)一處理,發(fā)現(xiàn)各類安全問題的相關(guān)性,按照預(yù)定義的安全策略,進行自動的流程化處理,從而大為縮短發(fā)現(xiàn)問題、解決問題的時間,減少了人工操作的工作量,提高安全管理工作的效率。
通過技術(shù)手段,構(gòu)建一個專門的安全管理平臺,將各類安全管理工具集成在這個統(tǒng)一的平臺上,對信息系統(tǒng)整體安全架構(gòu)的實施進行實時監(jiān)視并對發(fā)現(xiàn)的問題或安全漏洞從技術(shù)角度進行分析,為安全管理策略的調(diào)整提供建議和反饋信息。統(tǒng)一的安全管理平臺將有助于各種安全管理技術(shù)手段的相互補充和有效發(fā)揮,也便于從系統(tǒng)整體的角度來進行安全的監(jiān)視和管理,從而提高安全管理工作的效率。
4.2 物理安全策略
物理安全是對計算機網(wǎng)絡(luò)系統(tǒng)中的設(shè)備、設(shè)施及相關(guān)的數(shù)據(jù)存儲介質(zhì)提供的安全保護,使其免受各類自然災(zāi)害及人為導(dǎo)致的破壞。物理安全防范是系統(tǒng)安全架構(gòu)的基礎(chǔ),對系統(tǒng)的正常運行具有重要的作用。
當(dāng)然,信息系統(tǒng)安全不是一成不變的,它是一個動態(tài)的過程。隨著安全攻擊和防范技術(shù)的發(fā)展,安全策略也必須分階段進行調(diào)整。日常的安全工作要靠合理的制度和對制度的遵守來實現(xiàn)。只有建立良好的信息安全管理機制,做到技術(shù)與管理良好配合,才能長期、有效地防范信息系統(tǒng)的風(fēng)險。
5 網(wǎng)絡(luò)信息安全所采取的主要措施
目前網(wǎng)絡(luò)信息安全所采取的主要措施是使用一系列的安全技術(shù)來防止對信息系統(tǒng)的非授權(quán)使用。討論稅務(wù)系統(tǒng)安全策略問題時,相關(guān)人員往往傾向于防火墻、入侵檢測系統(tǒng)等實際的安全設(shè)備。其實,造成系統(tǒng)安全問題的本質(zhì)是稅務(wù)信息系統(tǒng)本身存在脆弱性。任何信息系統(tǒng)都不可避免的存在或多或少的脆弱性,而且這些脆弱性都是潛在的,無法預(yù)知。系統(tǒng)出現(xiàn)脆弱性的根本原因是由于系統(tǒng)的復(fù)雜性使得系統(tǒng)存在脆弱性的風(fēng)險成正比,系統(tǒng)越復(fù)雜,系統(tǒng)存在的脆弱性的風(fēng)險就越大,反之亦然。
安全防御的總策略為:1)建立網(wǎng)絡(luò)邊界和安全域防護系統(tǒng),防止來自系統(tǒng)外部的攻擊和對內(nèi)部安全訪問域進行控制;2)建立基于整個網(wǎng)絡(luò)和全部應(yīng)用的安全基礎(chǔ)設(shè)施,實現(xiàn)系統(tǒng)的內(nèi)部的身份認(rèn)證、權(quán)限劃分、訪問控制和安全審計;3)建立全系統(tǒng)網(wǎng)絡(luò)范圍內(nèi)的安全管理與響應(yīng)中心,強化網(wǎng)絡(luò)可管理、安全可維護、事件可響應(yīng);4)進行分級縱深安全保護,構(gòu)成系統(tǒng)網(wǎng)絡(luò)統(tǒng)一的防范與保護、監(jiān)控與檢查、響應(yīng)與處置機制。
6 結(jié)束語
解決信息系統(tǒng)的安全不是一個獨立的項目問題,安全策略包括各種安全方案、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理規(guī)范等,是整個信息系統(tǒng)安全建設(shè)的依據(jù)。現(xiàn)有的安全保障體系一般基于深度防御技術(shù)框架,若能進一步利用現(xiàn)代信息處理技術(shù)中的人工智能技術(shù)、嵌入式技術(shù)、主動技術(shù)、實時技術(shù)等,將形成更加完善的信息安全管理體系。
稅務(wù)信息安全直接關(guān)系到稅收信息化建設(shè)的成敗,必須引起稅務(wù)機關(guān)和每一位稅務(wù)人的重視。科學(xué)技術(shù)的發(fā)展不一定能對任何事物的本質(zhì)和現(xiàn)象都產(chǎn)生影響,技術(shù)只有與先進的管理思想、管理體制相結(jié)合,才能產(chǎn)生巨大的效益。
參考文獻:
[1] 蔡皖東.信息安全工程與管理[M].西安:西安電子科技大學(xué)出版社,2004.
[2] 譚思亮.網(wǎng)絡(luò)與信息安全[M].北京:人民郵電出版社,2002.
[3] 譚榮華.稅務(wù)信息化簡明教程[M].北京:中國人民大學(xué)出版社,2001.
[4] 李濤.網(wǎng)絡(luò)安全概論[M].北京:電子工業(yè)出版社,2004.
[5] 朱建軍,熊兵.網(wǎng)絡(luò)安全防范手冊[M].北京:人民郵電出版社,2007.
[6] 戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測[M].北京:清華大學(xué)出版社,2002.
稅務(wù)信息是國家稅務(wù)決策、稅收計劃制定與調(diào)整的重要依據(jù),是稅務(wù)機關(guān)稅收征管工作的必要支撐,也是納稅人信息權(quán)利的核心內(nèi)容,因而其安全管理具有重要意義。稅務(wù)信息安全管理有利于維護并促進國家職能的實現(xiàn)。稅收是實現(xiàn)國家宏觀調(diào)控職能的重要手段,而這一手段必須借助和運用稅務(wù)信息才能達到。因為稅務(wù)信息管理一方面能使信息正確地反映經(jīng)濟稅源和稅收進度情況,為制定國民經(jīng)濟和社會發(fā)展計劃及調(diào)整國民經(jīng)濟結(jié)構(gòu)提供可靠依據(jù)。另一方面,可了解納稅人的經(jīng)濟活動狀況,并掌握國民經(jīng)濟發(fā)展變化情況,鑒定稅收政策與經(jīng)濟發(fā)展需要是否相適應(yīng),以便迅速做出明智的決策,有效地發(fā)揮稅收調(diào)節(jié)經(jīng)濟的作用。換言之,如果稅務(wù)信息安全無法得到保障的話,既無法實現(xiàn)稅收為國家籌集財政收入的職能,也將使國家以稅收進行宏觀調(diào)控經(jīng)濟的政策大打折扣,影響經(jīng)濟與社會的發(fā)展。稅務(wù)信息安全管理有利于稅務(wù)機關(guān)稅收征管的現(xiàn)代化。稅務(wù)信息安全管理是稅收征管的組成部分,正確、及時、安全的稅務(wù)信息是把握財政發(fā)展和稅務(wù)管理客觀規(guī)律的鑰匙,有利于實現(xiàn)稅務(wù)管理科學(xué)化、現(xiàn)代化,使稅務(wù)管理工作從經(jīng)驗走向科學(xué),以適應(yīng)社會和經(jīng)濟形勢發(fā)展對稅務(wù)管理的要求;有利于提高稅務(wù)管理水平和稅務(wù)管理效率,做到努力開發(fā)稅源,盡力足額征收,增加稅收收入;有利于提高稅務(wù)管理隊伍的素質(zhì),強化信息意識,掌握信息技術(shù),開展稅務(wù)管理工作,適應(yīng)社會主義市場經(jīng)濟體制下的稅務(wù)管理需要。稅務(wù)信息安全管理有利于納稅人權(quán)利的保障。從納稅人角度而言,稅收是納稅人根據(jù)法律的規(guī)定及程序向稅務(wù)機關(guān)提供納稅申報資料并繳納稅款的過程。在此過程中,不論是納稅人提供的納稅申報資料,還是稅務(wù)機關(guān)依法定職權(quán)收集的信息,不可避免的會涉及到納稅人的商業(yè)秘密(客戶資料、銷購價格、專利技術(shù)等),正常生產(chǎn)經(jīng)營信息(生產(chǎn)經(jīng)營范圍、工商稅務(wù)登記證件號等),個人隱私(個人及家庭身份信息、社會關(guān)系等),涉稅負(fù)面信息(欠稅記錄、稅務(wù)處罰信息等),一旦這些信息的泄露不僅會對企業(yè)的正常經(jīng)營帶來嚴(yán)重影響,而且還會給個人和家庭生活帶來惡性干擾,甚至還有可能引起詐騙和金融犯罪。因此,稅務(wù)信息安全管理是納稅人權(quán)利的重要保障。
2基層稅務(wù)信息安全管理的難題
2.1基層稅務(wù)信息安全管理存在的風(fēng)險
信息技術(shù)飛速發(fā)展,尤其是大數(shù)據(jù)時代的到來,基層稅務(wù)信息安全技術(shù)管理風(fēng)險與日俱增。科學(xué)技術(shù)水平日新月異,移動互聯(lián)網(wǎng)、虛擬化、云技術(shù)、大數(shù)據(jù)應(yīng)用等新技術(shù)層出不強。此類技術(shù)的應(yīng)用對于專業(yè)技術(shù)的要求較高,安全保障措施也較為嚴(yán)密,但現(xiàn)有的稅務(wù)信息安全管理的軟硬件、制度、頂層設(shè)計、稅務(wù)人員素質(zhì)、社會要求等方面無法適應(yīng)其方便、快捷、高效的特點,使得稅務(wù)信息暴露在數(shù)據(jù)的海洋,極易造成信息被盜取、被非法病毒所侵入,稅務(wù)信息安全技術(shù)管理必然風(fēng)險激增。改革不斷深化,尤其是簡政放權(quán)要求逐步提高,基層稅務(wù)信息安全行政管理風(fēng)險突飛猛進。全面深化改革的推進,行政管理被要求回歸理性簡政放權(quán),實現(xiàn)由權(quán)力管制到權(quán)利治理,基層稅務(wù)部門必然面臨著工作重心后移及執(zhí)法風(fēng)險加大的交匯壓力,后續(xù)管理將成為稅務(wù)部門工作的一種常態(tài)。稅務(wù)管理信息化是保證后續(xù)管理科學(xué)、有效、規(guī)范進行的基本方式且根本保障,而稅務(wù)信息安全管理是稅務(wù)管理信息化的基礎(chǔ),是故稅務(wù)信息安全管理必然成為稅收征收與管理過程的基礎(chǔ)和支撐。稅務(wù)管理信息化下稅務(wù)信息不論是頻率還是數(shù)量均不斷提高,數(shù)量和質(zhì)量相生相克,前者的增多必然導(dǎo)致后者的下降,稅務(wù)信息安全行政管理風(fēng)險驟升。依法治稅加強,尤其是納稅人權(quán)利意識的覺醒,基層稅務(wù)信息安全管理涉紛風(fēng)險不斷提高。隨著經(jīng)濟、社會以及文化的不斷發(fā)展,納稅人權(quán)利意識在不斷覺醒,私權(quán)保護、正當(dāng)程序、公平正義成為了普遍訴求。納稅人信息是稅務(wù)信息安全管理的重要內(nèi)容之一,包含著巨大的商業(yè)價值,稅務(wù)機關(guān)在采集、保管和使用納稅人信息過程中往往由于安全措施不到位而導(dǎo)致納稅人權(quán)利受到損害事件時有發(fā)生,甚至誘發(fā)違法犯罪。近些年來,由于稅務(wù)信息安全管理不善帶來的稅務(wù)糾紛呈水漲船高之勢,納稅人訴諸法律途徑的越來越多,基層稅務(wù)部門涉議、涉訴風(fēng)險不斷提高。
2.2基層稅務(wù)信息安全管理面臨的困境
2.2.1稅務(wù)信息安全管理意識淡薄
稅務(wù)管理信息化在我國方興未艾,關(guān)于稅務(wù)信息安全的理解、保護方法、風(fēng)險防范手段等社會所知甚微。就稅務(wù)部門而言,大部分基層稅務(wù)工作人員對于稅務(wù)信息安全管理是什么、稅務(wù)信息安全管理意義是什么、怎樣實現(xiàn)稅務(wù)信息安全管理等內(nèi)容的認(rèn)識與理解存在偏差,主觀地認(rèn)為稅務(wù)信息安全與稅務(wù)部門的核心業(yè)務(wù)無關(guān),是一種簡單的信息存儲與傳輸,意義不大。甚至是一提到稅務(wù)信息安全,不少人就當(dāng)然的認(rèn)為是病毒和黑客,而往往忽視內(nèi)部人員的過錯或故意行為等因素。就納稅人而言,大部分納稅人抱有這樣的態(tài)度,就是只要按照法定規(guī)定和法定程序上繳完稅,其他的就與自己沒有多大干系,稅務(wù)信息安全管理也是如此,因而往往不配合稅務(wù)信息的收集等工作。由于少數(shù)人的安全意識淡薄和管理不善,會影響整個稅務(wù)信息系統(tǒng)的安全性。
2.2.2稅務(wù)信息安全管理方式滯后
整體上看,基層稅務(wù)信息安全管理還主要是依靠單一的技術(shù)方法,稅務(wù)信息保密措施少、身份認(rèn)證未得到全面應(yīng)用、缺少路由安全和防止入侵的技術(shù)措施,難以適應(yīng)稅務(wù)信息安全管理的要求。首先,稅務(wù)信息技術(shù)管理方式賴以生存的硬件設(shè)施可靠性、穩(wěn)定性不足,缺少日常維護及安全配套措施。其次,稅務(wù)信息技術(shù)管理核心之處的軟件設(shè)施開放性強,比如,內(nèi)部網(wǎng)路終端信息共享范圍廣、操作系統(tǒng)主要是國外研發(fā)的,內(nèi)外網(wǎng)機器存在混用現(xiàn)象,極大增加了稅務(wù)信息安全風(fēng)險。最后,采集數(shù)據(jù)分散,不能形成有效共享,普遍存在“信息孤島”現(xiàn)象;業(yè)務(wù)信息不能通過計算機有效流轉(zhuǎn),自動化管理過程隔離;尤其是信息缺乏高效的數(shù)據(jù)監(jiān)控措施,沒有形成科學(xué)的內(nèi)、外監(jiān)督體系,不斷遭受黑客攻擊,還出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象等。
2.2.3稅務(wù)信息安全管理制度不完善
稅務(wù)信息采集、整理、貯存、傳輸、反饋及應(yīng)用等過程中安全管理的理念并未得到貫徹,稅務(wù)信息安全管理制度還不全面、缺乏體系性、可操作性也不強。具體來講,一是缺乏強有力的稅務(wù)信息安全管理領(lǐng)導(dǎo)制度。一般而言,基層稅務(wù)信息安全管理主要是由稅務(wù)信息中心實施,與其他內(nèi)設(shè)機構(gòu)之間是并列關(guān)系,信息安全管理無法滲透到稅收征管的其他環(huán)節(jié)。二是缺乏科學(xué)的稅務(wù)信息安全事故預(yù)防、報告及處理制度,各基層稅務(wù)部門普遍缺失完備的信息安全事故報告程序與預(yù)防處理方案,稅務(wù)信息安全事故的預(yù)防、處理沒有可持續(xù)的制度支撐。三是缺乏規(guī)范的稅務(wù)信息安全管理考核制度,基層稅務(wù)信息安全崗位與責(zé)任相適應(yīng)的考核標(biāo)準(zhǔn),機制不規(guī)范,致使信息安全管理深度與力度得不到有效落實。此外,信息安全責(zé)任制度還需進一步細(xì)化和完善。
2.2.4信息安全風(fēng)險管理機制存在缺陷
稅務(wù)信息化下,稅務(wù)信息安全風(fēng)險有來自基礎(chǔ)設(shè)施毀損的風(fēng)險,有技術(shù)應(yīng)用帶來的風(fēng)險,有人為操作引發(fā)的風(fēng)險,可謂無處不在、無時不有。但目前基層稅務(wù)機關(guān)并沒有形成體系化的稅務(wù)信息安全風(fēng)險識別、評估、控制等管理機制。就稅務(wù)信息安全風(fēng)險識別而言,稅務(wù)信息并未被確定成為一種資產(chǎn),因而缺乏稅務(wù)信息必要的分類管理。同時,這種安全風(fēng)險識別僅局限于技術(shù)硬件故障或錯誤、技術(shù)軟件故障或錯誤、技術(shù)淘汰等技術(shù)層面,而對于其他層面的信息安全威脅鮮有涉及。就稅務(wù)信息安全風(fēng)險評估而言,由于專業(yè)技術(shù)和人才的缺乏,加之評估頻率與方法不當(dāng),很難真正分析出信息安全風(fēng)險的高低,影響到控制措施的選擇。就稅務(wù)信息安全風(fēng)險控制而言,由于識別與評估分析中的不健全,使得風(fēng)險控制策略選擇失去了可信基礎(chǔ),致使避免、轉(zhuǎn)移、緩解及接受等風(fēng)險控制策略無從選擇。
3基層稅務(wù)信息安全管理的應(yīng)對
3.1加大信息安全管理教育培訓(xùn),更新稅務(wù)信息安全管理理念
應(yīng)當(dāng)認(rèn)識到,稅務(wù)信息安全管理既是國家信息安全管理的有機構(gòu)成,也是基層稅務(wù)工作的重要組成部分,它涵蓋稅收信息的采集、整理、存儲、傳輸、反饋、開發(fā)及應(yīng)用等全過程,不僅可以加強稅收收入的規(guī)劃性,有效發(fā)揮稅收促進生產(chǎn),調(diào)節(jié)、監(jiān)督經(jīng)濟的作用,還能衡量稅收分配是否合理,稅負(fù)負(fù)擔(dān)是否平衡,保障納稅人的權(quán)利。因此,基層稅務(wù)部門要摒棄稅務(wù)信息安全管理不重要的觀念,提高對稅務(wù)信息安全的認(rèn)識,充分了解稅務(wù)信息安全管理的內(nèi)容、作用及方法,以此更新稅務(wù)信息安全管理理念。稅務(wù)信息安全管理意識之所以淡薄,原因在于信息安全管理教育與培訓(xùn)少,稅務(wù)信息安全管理專業(yè)人才匱乏。對此,一方面要靈活多樣地培訓(xùn)學(xué)習(xí)形式,綜合平衡信息安全相關(guān)項目,提高稅務(wù)工作人員的信息安全意識與能力水平;另一方面,要建立稅務(wù)信息安全管理培訓(xùn)機制,通過組織開展多層次、多方位的信息安全培訓(xùn),提高安全員信息安全防范技能,培養(yǎng)稅務(wù)信息安全管理骨干。此外,稅收普法宣傳教育中還要強化納稅人信息安全意識。
3.2綜合內(nèi)外部控制手段,實現(xiàn)稅務(wù)信息安全管理方式多元化
稅務(wù)信息安全管理是一個系統(tǒng)工程,涉及信息技術(shù)體系、信息風(fēng)險管理及組織管理框架等諸多方面,面對終端規(guī)模大、地域分布廣、技術(shù)類型多的現(xiàn)實,單純的依靠外部技術(shù)手段無法實現(xiàn)稅務(wù)信息安全管理,需要內(nèi)部控制措施予以協(xié)同,多元化的管理方法才能更好地、更有效地保障稅務(wù)工作人員完成信息安全管理工作。首先,完善稅務(wù)信息安全技術(shù)手段,做好信息安全防護體系建設(shè)和運行管理。不論是采取何種技術(shù)手段進行稅務(wù)信息管理,都要建立完備的病毒防范、身份鑒別與訪問控制、入侵檢測及信息加密等信息安全管理技術(shù)體系,定時檢查并更新硬件設(shè)備以確保其可靠性與穩(wěn)定性。其次,要克服“唯技術(shù)論”的傾向,稅務(wù)部門要建立統(tǒng)一的信息安全保障中心,保證稅務(wù)信息安全集中和集成管理,努力形成完整的數(shù)據(jù)安全與備份體系。最后,完善稅務(wù)信息安全管理內(nèi)部控制手段,以減輕由于內(nèi)部人員道德風(fēng)險、系統(tǒng)資源風(fēng)險所造成的信息危害。主要是采用人機聯(lián)控的控制方式,通過實施一系列的控制活動和保護措施,以實現(xiàn)對與稅務(wù)信息安全相關(guān)的人與物的管理,并最大限度地保障稅務(wù)信息安全。
3.3完善稅務(wù)信息安全管理框架,健全稅務(wù)信息安全管理制度
借鑒信息安全管理一般理論,完整的稅務(wù)信息安全管理框架包括定義稅務(wù)信息安全政策、定義稅務(wù)信息安全管理范圍、進行稅務(wù)信息安全風(fēng)險評估、確定管理目標(biāo)和選擇管理措施、準(zhǔn)備稅務(wù)信息安全適用性聲明、建立相關(guān)文檔、文檔的嚴(yán)格管理及安全事件記錄回饋。針對目前稅務(wù)信息安全管理框架的不完善,稅務(wù)部門應(yīng)嚴(yán)格按照信息安全管理框架,制定完善的信息安全規(guī)章、明確管理范圍、風(fēng)險、目標(biāo)、措施等予以完善。與此同時,還要健全稅務(wù)信息安全管理相關(guān)制度。一是建議基層稅務(wù)機關(guān)應(yīng)成立信息安全領(lǐng)導(dǎo)小組,各區(qū)局、科室、所都應(yīng)明確專人負(fù)責(zé)稅務(wù)信息安全的管理,以健全稅務(wù)信息安全管理領(lǐng)導(dǎo)制度;二是建議明確安全事故預(yù)防任務(wù)、報告時限與程序、處理方法與措施,以健全稅務(wù)信息安全事故預(yù)防、報告及處理制度;三是建議制定規(guī)范、可行的信息安全管理考核機制,明確規(guī)定每個稅務(wù)工作人員在信息安全方面應(yīng)承擔(dān)的責(zé)任、保密要求以及違約責(zé)任,以健全稅務(wù)信息安全管理責(zé)任制度。總之,就是要建立安全管理機構(gòu),確定安全管理人員,建立安全管理制度,建立責(zé)任和監(jiān)督機制,切實保障稅務(wù)信息安全管理有效開展。
3.4實施稅務(wù)信息分類管理,健全稅務(wù)信息安全風(fēng)險管理機制
[關(guān)鍵詞]稅務(wù)信息;信息安全;安全管理;風(fēng)險評估
doi:10.3969/j.issn.1673 - 0194.2015.24.160
[中圖分類號]F812.42 [文獻標(biāo)識碼]A [文章編號]1673-0194(2015)24-0-03
科學(xué)技術(shù)發(fā)展變革了傳統(tǒng)的稅收管理模式,稅務(wù)管理信息化成為了稅收征管業(yè)務(wù)工作的重要依托和基礎(chǔ)保證。稅務(wù)信息安全管理是稅務(wù)信息管理的重要內(nèi)容,是稅務(wù)機關(guān)工作的重要安全保障,它涉及稅務(wù)信息的采集、整理、貯存、傳輸、反饋及應(yīng)用等全過程,因此必須引起重視。而基層稅務(wù)信息安全管理是稅務(wù)信息安全的一項重要內(nèi)容,其隨著技術(shù)的突飛猛進,政府簡政放權(quán)的深入以及依法治稅的全面推進,面臨的技術(shù)管理風(fēng)險、行政管理風(fēng)險及涉紛管理風(fēng)險日益凸顯,形勢日益嚴(yán)峻。如何在既按照信息安全一體化的要求和安全風(fēng)險等級管理的要求,又結(jié)合基層稅務(wù)工作的特點和難點,做好基層稅務(wù)信息安全管理工作顯得尤為重要。為實現(xiàn)國家職能、促進稅收現(xiàn)代化、保障納稅人信息權(quán)利,有必要對基層稅務(wù)信息安全管理所面臨的難題進行分析,并提出相應(yīng)策略。
1 實施稅務(wù)信息安全管理的重要意義
稅務(wù)信息是國家稅務(wù)決策、稅收計劃制定與調(diào)整的重要依據(jù),是稅務(wù)機關(guān)稅收征管工作的必要支撐,也是納稅人信息權(quán)利的核心內(nèi)容,因而其安全管理具有重要意義。
稅務(wù)信息安全管理有利于維護并促進國家職能的實現(xiàn)。稅收是實現(xiàn)國家宏觀調(diào)控職能的重要手段,而這一手段必須借助和運用稅務(wù)信息才能達到。因為稅務(wù)信息管理一方面能使信息正確地反映經(jīng)濟稅源和稅收進度情況,為制定國民經(jīng)濟和社會發(fā)展計劃及調(diào)整國民經(jīng)濟結(jié)構(gòu)提供可靠依據(jù)。另一方面,可了解納稅人的經(jīng)濟活動狀況,并掌握國民經(jīng)濟發(fā)展變化情況,鑒定稅收政策與經(jīng)濟發(fā)展需要是否相適應(yīng),以便迅速做出明智的決策,有效地發(fā)揮稅收調(diào)節(jié)經(jīng)濟的作用。換言之,如果稅務(wù)信息安全無法得到保障的話,既無法實現(xiàn)稅收為國家籌集財政收入的職能,也將使國家以稅收進行宏觀調(diào)控經(jīng)濟的政策大打折扣,影響經(jīng)濟與社會的發(fā)展。
稅務(wù)信息安全管理有利于稅務(wù)機關(guān)稅收征管的現(xiàn)代化。稅務(wù)信息安全管理是稅收征管的組成部分,正確、及時、安全的稅務(wù)信息是把握財政發(fā)展和稅務(wù)管理客觀規(guī)律的鑰匙,有利于實現(xiàn)稅務(wù)管理科學(xué)化、現(xiàn)代化,使稅務(wù)管理工作從經(jīng)驗走向科學(xué),以適應(yīng)社會和經(jīng)濟形勢發(fā)展對稅務(wù)管理的要求;有利于提高稅務(wù)管理水平和稅務(wù)管理效率,做到努力開發(fā)稅源,盡力足額征收,增加稅收收入;有利于提高稅務(wù)管理隊伍的素質(zhì),強化信息意識,掌握信息技術(shù),開展稅務(wù)管理工作,適應(yīng)社會主義市場經(jīng)濟體制下的稅務(wù)管理需要。
稅務(wù)信息安全管理有利于納稅人權(quán)利的保障。從納稅人角度而言,稅收是納稅人根據(jù)法律的規(guī)定及程序向稅務(wù)機關(guān)提供納稅申報資料并繳納稅款的過程。在此過程中,不論是納稅人提供的納稅申報資料,還是稅務(wù)機關(guān)依法定職權(quán)收集的信息,不可避免的會涉及到納稅人的商業(yè)秘密(客戶資料、銷購價格、專利技術(shù)等),正常生產(chǎn)經(jīng)營信息(生產(chǎn)經(jīng)營范圍、工商稅務(wù)登記證件號等),個人隱私(個人及家庭身份信息、社會關(guān)系等),涉稅負(fù)面信息(欠稅記錄、稅務(wù)處罰信息等),一旦這些信息的泄露不僅會對企業(yè)的正常經(jīng)營帶來嚴(yán)重影響,而且還會給個人和家庭生活帶來惡性干擾,甚至還有可能引起詐騙和金融犯罪。因此,稅務(wù)信息安全管理是納稅人權(quán)利的重要保障。
2 基層稅務(wù)信息安全管理的難題
2.1 基層稅務(wù)信息安全管理存在的風(fēng)險
信息技術(shù)飛速發(fā)展,尤其是大數(shù)據(jù)時代的到來,基層稅務(wù)信息安全技術(shù)管理風(fēng)險與日俱增??茖W(xué)技術(shù)水平日新月異,移動互聯(lián)網(wǎng)、虛擬化、云技術(shù)、大數(shù)據(jù)應(yīng)用等新技術(shù)層出不強。此類技術(shù)的應(yīng)用對于專業(yè)技術(shù)的要求較高,安全保障措施也較為嚴(yán)密,但現(xiàn)有的稅務(wù)信息安全管理的軟硬件、制度、頂層設(shè)計、稅務(wù)人員素質(zhì)、社會要求等方面無法適應(yīng)其方便、快捷、高效的特點,使得稅務(wù)信息暴露在數(shù)據(jù)的海洋,極易造成信息被盜取、被非法病毒所侵入,稅務(wù)信息安全技術(shù)管理必然風(fēng)險激增。
改革不斷深化,尤其是簡政放權(quán)要求逐步提高,基層稅務(wù)信息安全行政管理風(fēng)險突飛猛進。全面深化改革的推進,行政管理被要求回歸理性簡政放權(quán),實現(xiàn)由權(quán)力管制到權(quán)利治理,基層稅務(wù)部門必然面臨著工作重心后移及執(zhí)法風(fēng)險加大的交匯壓力,后續(xù)管理將成為稅務(wù)部門工作的一種常態(tài)。稅務(wù)管理信息化是保證后續(xù)管理科學(xué)、有效、規(guī)范進行的基本方式且根本保障,而稅務(wù)信息安全管理是稅務(wù)管理信息化的基礎(chǔ),是故稅務(wù)信息安全管理必然成為稅收征收與管理過程的基礎(chǔ)和支撐。稅務(wù)管理信息化下稅務(wù)信息不論是頻率還是數(shù)量均不斷提高,數(shù)量和質(zhì)量相生相克,前者的增多必然導(dǎo)致后者的下降,稅務(wù)信息安全行政管理風(fēng)險驟升。
依法治稅加強,尤其是納稅人權(quán)利意識的覺醒,基層稅務(wù)信息安全管理涉紛風(fēng)險不斷提高。隨著經(jīng)濟、社會以及文化的不斷發(fā)展,納稅人權(quán)利意識在不斷覺醒,私權(quán)保護、正當(dāng)程序、公平正義成為了普遍訴求。納稅人信息是稅務(wù)信息安全管理的重要內(nèi)容之一,包含著巨大的商業(yè)價值,稅務(wù)機關(guān)在采集、保管和使用納稅人信息過程中往往由于安全措施不到位而導(dǎo)致納稅人權(quán)利受到損害事件時有發(fā)生,甚至誘發(fā)違法犯罪。近些年來,由于稅務(wù)信息安全管理不善帶來的稅務(wù)糾紛呈水漲船高之勢,納稅人訴諸法律途徑的越來越多,基層稅務(wù)部門涉議、涉訴風(fēng)險不斷提高。
2.2 基層稅務(wù)信息安全管理面臨的困境
2.2.1 稅務(wù)信息安全管理意識淡薄
稅務(wù)管理信息化在我國方興未艾,關(guān)于稅務(wù)信息安全的理解、保護方法、風(fēng)險防范手段等社會所知甚微。就稅務(wù)部門而言,大部分基層稅務(wù)工作人員對于稅務(wù)信息安全管理是什么、稅務(wù)信息安全管理意義是什么、怎樣實現(xiàn)稅務(wù)信息安全管理等內(nèi)容的認(rèn)識與理解存在偏差,主觀地認(rèn)為稅務(wù)信息安全與稅務(wù)部門的核心業(yè)務(wù)無關(guān),是一種簡單的信息存儲與傳輸,意義不大。甚至是一提到稅務(wù)信息安全,不少人就當(dāng)然的認(rèn)為是病毒和黑客,而往往忽視內(nèi)部人員的過錯或故意行為等因素。就納稅人而言,大部分納稅人抱有這樣的態(tài)度,就是只要按照法定規(guī)定和法定程序上繳完稅,其他的就與自己沒有多大干系,稅務(wù)信息安全管理也是如此,因而往往不配合稅務(wù)信息的收集等工作。由于少數(shù)人的安全意識淡薄和管理不善,會影響整個稅務(wù)信息系統(tǒng)的安全性。
2.2.2 稅務(wù)信息安全管理方式滯后
整體上看,基層稅務(wù)信息安全管理還主要是依靠單一的技術(shù)方法,稅務(wù)信息保密措施少、身份認(rèn)證未得到全面應(yīng)用、缺少路由安全和防止入侵的技術(shù)措施,難以適應(yīng)稅務(wù)信息安全管理的要求。首先,稅務(wù)信息技術(shù)管理方式賴以生存的硬件設(shè)施可靠性、穩(wěn)定性不足,缺少日常維護及安全配套措施。其次,稅務(wù)信息技術(shù)管理核心之處的軟件設(shè)施開放性強,比如,內(nèi)部網(wǎng)路終端信息共享范圍廣、操作系統(tǒng)主要是國外研發(fā)的,內(nèi)外網(wǎng)機器存在混用現(xiàn)象,極大增加了稅務(wù)信息安全風(fēng)險。最后,采集數(shù)據(jù)分散,不能形成有效共享,普遍存在“信息孤島”現(xiàn)象;業(yè)務(wù)信息不能通過計算機有效流轉(zhuǎn),自動化管理過程隔離;尤其是信息缺乏高效的數(shù)據(jù)監(jiān)控措施,沒有形成科學(xué)的內(nèi)、外監(jiān)督體系,不斷遭受黑客攻擊,還出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象等。
2.2.3 稅務(wù)信息安全管理制度不完善
稅務(wù)信息采集、整理、貯存、傳輸、反饋及應(yīng)用等過程中安全管理的理念并未得到貫徹,稅務(wù)信息安全管理制度還不全面、缺乏體系性、可操作性也不強。具體來講,一是缺乏強有力的稅務(wù)信息安全管理領(lǐng)導(dǎo)制度。一般而言,基層稅務(wù)信息安全管理主要是由稅務(wù)信息中心實施,與其他內(nèi)設(shè)機構(gòu)之間是并列關(guān)系,信息安全管理無法滲透到稅收征管的其他環(huán)節(jié)。二是缺乏科學(xué)的稅務(wù)信息安全事故預(yù)防、報告及處理制度,各基層稅務(wù)部門普遍缺失完備的信息安全事故報告程序與預(yù)防處理方案,稅務(wù)信息安全事故的預(yù)防、處理沒有可持續(xù)的制度支撐。三是缺乏規(guī)范的稅務(wù)信息安全管理考核制度,基層稅務(wù)信息安全崗位與責(zé)任相適應(yīng)的考核標(biāo)準(zhǔn),機制不規(guī)范,致使信息安全管理深度與力度得不到有效落實。此外,信息安全責(zé)任制度還需進一步細(xì)化和完善。
2.2.4 信息安全風(fēng)險管理機制存在缺陷
稅務(wù)信息化下,稅務(wù)信息安全風(fēng)險有來自基礎(chǔ)設(shè)施毀損的風(fēng)險,有技術(shù)應(yīng)用帶來的風(fēng)險,有人為操作引發(fā)的風(fēng)險,可謂無處不在、無時不有。但目前基層稅務(wù)機關(guān)并沒有形成體系化的稅務(wù)信息安全風(fēng)險識別、評估、控制等管理機制。就稅務(wù)信息安全風(fēng)險識別而言,稅務(wù)信息并未被確定成為一種資產(chǎn),因而缺乏稅務(wù)信息必要的分類管理。同時,這種安全風(fēng)險識別僅局限于技術(shù)硬件故障或錯誤、技術(shù)軟件故障或錯誤、技術(shù)淘汰等技術(shù)層面,而對于其他層面的信息安全威脅鮮有涉及。就稅務(wù)信息安全風(fēng)險評估而言,由于專業(yè)技術(shù)和人才的缺乏,加之評估頻率與方法不當(dāng),很難真正分析出信息安全風(fēng)險的高低,影響到控制措施的選擇。就稅務(wù)信息安全風(fēng)險控制而言,由于識別與評估分析中的不健全,使得風(fēng)險控制策略選擇失去了可信基礎(chǔ),致使避免、轉(zhuǎn)移、緩解及接受等風(fēng)險控制策略無從選擇。
3 基層稅務(wù)信息安全管理的應(yīng)對
3.1 加大信息安全管理教育培訓(xùn),更新稅務(wù)信息安全管理理念
應(yīng)當(dāng)認(rèn)識到,稅務(wù)信息安全管理既是國家信息安全管理的有機構(gòu)成,也是基層稅務(wù)工作的重要組成部分,它涵蓋稅收信息的采集、整理、存儲、傳輸、反饋、開發(fā)及應(yīng)用等全過程,不僅可以加強稅收收入的規(guī)劃性,有效發(fā)揮稅收促進生產(chǎn),調(diào)節(jié)、監(jiān)督經(jīng)濟的作用,還能衡量稅收分配是否合理,稅負(fù)負(fù)擔(dān)是否平衡,保障納稅人的權(quán)利。因此,基層稅務(wù)部門要摒棄稅務(wù)信息安全管理不重要的觀念,提高對稅務(wù)信息安全的認(rèn)識,充分了解稅務(wù)信息安全管理的內(nèi)容、作用及方法,以此更新稅務(wù)信息安全管理理念。稅務(wù)信息安全管理意識之所以淡薄,原因在于信息安全管理教育與培訓(xùn)少,稅務(wù)信息安全管理專業(yè)人才匱乏。對此,一方面要靈活多樣地培訓(xùn)學(xué)習(xí)形式,綜合平衡信息安全相關(guān)項目,提高稅務(wù)工作人員的信息安全意識與能力水平;另一方面,要建立稅務(wù)信息安全管理培訓(xùn)機制,通過組織開展多層次、多方位的信息安全培訓(xùn),提高安全員信息安全防范技能,培養(yǎng)稅務(wù)信息安全管理骨干。此外,稅收普法宣傳教育中還要強化納稅人信息安全意識。
3.2 綜合內(nèi)外部控制手段,實現(xiàn)稅務(wù)信息安全管理方式多元化
稅務(wù)信息安全管理是一個系統(tǒng)工程,涉及信息技術(shù)體系、信息風(fēng)險管理及組織管理框架等諸多方面,面對終端規(guī)模大、地域分布廣、技術(shù)類型多的現(xiàn)實,單純的依靠外部技術(shù)手段無法實現(xiàn)稅務(wù)信息安全管理,需要內(nèi)部控制措施予以協(xié)同,多元化的管理方法才能更好地、更有效地保障稅務(wù)工作人員完成信息安全管理工作。首先,完善稅務(wù)信息安全技術(shù)手段,做好信息安全防護體系建設(shè)和運行管理。不論是采取何種技術(shù)手段進行稅務(wù)信息管理,都要建立完備的病毒防范、身份鑒別與訪問控制、入侵檢測及信息加密等信息安全管理技術(shù)體系,定時檢查并更新硬件設(shè)備以確保其可靠性與穩(wěn)定性。其次,要克服“唯技術(shù)論”的傾向,稅務(wù)部門要建立統(tǒng)一的信息安全保障中心,保證稅務(wù)信息安全集中和集成管理,努力形成完整的數(shù)據(jù)安全與備份體系。最后,完善稅務(wù)信息安全管理內(nèi)部控制手段,以減輕由于內(nèi)部人員道德風(fēng)險、系統(tǒng)資源風(fēng)險所造成的信息危害。主要是采用人機聯(lián)控的控制方式,通過實施一系列的控制活動和保護措施,以實現(xiàn)對與稅務(wù)信息安全相關(guān)的人與物的管理,并最大限度地保障稅務(wù)信息安全。
3.3 完善稅務(wù)信息安全管理框架,健全稅務(wù)信息安全管理制度
借鑒信息安全管理一般理論,完整的稅務(wù)信息安全管理框架包括定義稅務(wù)信息安全政策、定義稅務(wù)信息安全管理范圍、進行稅務(wù)信息安全風(fēng)險評估、確定管理目標(biāo)和選擇管理措施、準(zhǔn)備稅務(wù)信息安全適用性聲明、建立相關(guān)文檔、文檔的嚴(yán)格管理及安全事件記錄回饋。針對目前稅務(wù)信息安全管理框架的不完善,稅務(wù)部門應(yīng)嚴(yán)格按照信息安全管理框架,制定完善的信息安全規(guī)章、明確管理范圍、風(fēng)險、目標(biāo)、措施等予以完善。與此同時,還要健全稅務(wù)信息安全管理相關(guān)制度。一是建議基層稅務(wù)機關(guān)應(yīng)成立信息安全領(lǐng)導(dǎo)小組,各區(qū)局、科室、所都應(yīng)明確專人負(fù)責(zé)稅務(wù)信息安全的管理,以健全稅務(wù)信息安全管理領(lǐng)導(dǎo)制度;二是建議明確安全事故預(yù)防任務(wù)、報告時限與程序、處理方法與措施,以健全稅務(wù)信息安全事故預(yù)防、報告及處理制度;三是建議制定規(guī)范、可行的信息安全管理考核機制,明確規(guī)定每個稅務(wù)工作人員在信息安全方面應(yīng)承擔(dān)的責(zé)任、保密要求以及違約責(zé)任,以健全稅務(wù)信息安全管理責(zé)任制度。總之,就是要建立安全管理機構(gòu),確定安全管理人員,建立安全管理制度,建立責(zé)任和監(jiān)督機制,切實保障稅務(wù)信息安全管理有效開展。
3.4 實施稅務(wù)信息分類管理,健全稅務(wù)信息安全風(fēng)險管理機制
信息化時代,信息無處不在,不同的信息管理有著不同的安全要求,稅務(wù)信息也是如此。因此,要充分實現(xiàn)稅務(wù)信息的安全管理就必須對者紛繁復(fù)雜的稅務(wù)信息進行分類,不同的稅務(wù)信息實施不同的安全管理戰(zhàn)略,這樣才能提高稅務(wù)信息安全管理的效率。根據(jù)信息系統(tǒng)組成部分不同,可將稅務(wù)信息安全管理分為員工(正式與非正式)、稅務(wù)征管過程、數(shù)據(jù)、軟件和硬件(系統(tǒng)設(shè)備及外設(shè)、網(wǎng)絡(luò)組件)等幾大部分,在此基礎(chǔ)上健全稅務(wù)信息安全風(fēng)險管理機制。首先,通過建立健全稅務(wù)信息分類與價值評估、安全調(diào)查、威脅識別與評估、漏洞識別等制度以健全稅務(wù)信息安全風(fēng)險識別機制。其次,通過由業(yè)務(wù)、技術(shù)和管理等方面的專家、學(xué)者、工作骨干等人員組成的團隊定期對稅務(wù)信息安全風(fēng)險進行評估,確定風(fēng)險的大小并制定科學(xué)的安全預(yù)算。最后,構(gòu)建完備的稅務(wù)信息安全管理措施以防止信息安全的發(fā)生,在科學(xué)的風(fēng)險估測基礎(chǔ)上,選擇“知己知彼”的風(fēng)險控制策略。也就是說,稅務(wù)信息安全管理需要在稅務(wù)信息分類管理的基礎(chǔ)上,通過健全信息安全風(fēng)險識別、評估以及控制策略選擇等機制予以最充分的實現(xiàn)。
主要參考文獻
[1]王春東.信息安全管理[M].武漢:武漢大學(xué)出版社,2008.
[2]賀志東.稅務(wù)管理學(xué)[M].上海:立信會計出版社,2003.
[3]羅四平.稅務(wù)信息安全的內(nèi)部控制研究[D].北京:中央財經(jīng)大學(xué),2012.