淺析稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)及防范

淺析稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)及防范摘要：隨著稅務(wù)系統(tǒng)信息化的快速發(fā)展，稅收征管向科學(xué)化、精細(xì)化邁進(jìn)，稅收工作對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的依靠性越來(lái)越大，稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全問(wèn)題日漸凸顯。本文通過(guò)對(duì)稅務(wù)系統(tǒng)現(xiàn)在狀況進(jìn)行分析，找出其存在的風(fēng)險(xiǎn)及安全需求，從制度和技術(shù)的角度提出構(gòu)建稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全保障體系的建議。本文關(guān)鍵詞語(yǔ)：網(wǎng)絡(luò)與信息安全；安全意識(shí)；網(wǎng)上申報(bào)；PKI；風(fēng)險(xiǎn)評(píng)估經(jīng)過(guò)“金稅一期〞和“金稅二期〞工程建設(shè)，稅務(wù)系統(tǒng)信息化建設(shè)已初具規(guī)模，在網(wǎng)絡(luò)與信息安全保障方面獲得一定成就。但是面對(duì)日益嚴(yán)重的網(wǎng)絡(luò)威脅，怎樣加強(qiáng)稅務(wù)系統(tǒng)網(wǎng)絡(luò)和信息安全制度化管理、加強(qiáng)稅務(wù)人員安全防備意識(shí)，采用何種先進(jìn)有效的技術(shù)防備辦法來(lái)建立稅務(wù)系統(tǒng)網(wǎng)絡(luò)和信息化安全技術(shù)保障體系，確保稅務(wù)信息系統(tǒng)安全、穩(wěn)定、高效運(yùn)行，已成為稅務(wù)系統(tǒng)信息化建設(shè)的一個(gè)主要課題。一、當(dāng)下稅務(wù)系統(tǒng)信息化建設(shè)存在的風(fēng)險(xiǎn)〔一〕信息系統(tǒng)安全管理制度不完善，稅務(wù)人員安全意識(shí)淡薄據(jù)調(diào)查發(fā)現(xiàn)，全球80%以上的網(wǎng)絡(luò)安全問(wèn)題是由于內(nèi)部管理不善造成的。安全管理不嚴(yán)格、規(guī)范，安全規(guī)定不夠全面、科學(xué)，安全制度履行不到位、流于形式，安全應(yīng)急辦法缺乏可履行性等都可能對(duì)信息帶來(lái)的嚴(yán)重的安全風(fēng)險(xiǎn)。如：缺少相應(yīng)的信息復(fù)核制度對(duì)基礎(chǔ)數(shù)據(jù)錄入進(jìn)行約束；沒(méi)有科學(xué)、合理的風(fēng)險(xiǎn)評(píng)估機(jī)制，安全防備辦法老是由安全事件驅(qū)動(dòng)。在日常的工作當(dāng)中，部分稅務(wù)人員安全意識(shí)淡薄，以為實(shí)現(xiàn)了與外網(wǎng)的隔離和安裝了殺毒軟件就能夠高枕無(wú)憂，沒(méi)有充足認(rèn)識(shí)到信息系統(tǒng)安全管理是一個(gè)動(dòng)態(tài)的經(jīng)過(guò)，它不是一成不變的。有的人員還存在幸運(yùn)心理，缺乏安全責(zé)任心，在內(nèi)外網(wǎng)之間混用硬件設(shè)備，如筆記本在內(nèi)外網(wǎng)之間混用；當(dāng)內(nèi)部人員和納稅企業(yè)通過(guò)移動(dòng)存儲(chǔ)設(shè)備拷貝數(shù)據(jù)資料時(shí)，沒(méi)經(jīng)過(guò)基本的殺毒處理就直接接入內(nèi)網(wǎng)等，這些不規(guī)范的操作都會(huì)給信息系統(tǒng)帶來(lái)極大的安全隱患?！捕扯悇?wù)人員計(jì)算機(jī)應(yīng)用水平不適應(yīng)稅務(wù)系統(tǒng)信息化建設(shè)需求經(jīng)太多年信息化建設(shè)，稅務(wù)系統(tǒng)軟硬件設(shè)備已經(jīng)到達(dá)了一定的水平，但是現(xiàn)前階段稅務(wù)人員計(jì)算機(jī)應(yīng)用水平與信息化建設(shè)的要求還存在差距。首先，在計(jì)算機(jī)知識(shí)更新和技能培訓(xùn)方面相對(duì)滯后，造成大部分人員僅只限于對(duì)大集中征管系統(tǒng)、辦公軟件的簡(jiǎn)單操作，信息化依托優(yōu)勢(shì)沒(méi)有充足發(fā)揮，也談不上對(duì)網(wǎng)絡(luò)與信息的安全意識(shí)和風(fēng)險(xiǎn)防備。其次，稅務(wù)部門(mén)具有較高計(jì)算機(jī)應(yīng)用水平人員較少，專業(yè)人才嚴(yán)重缺乏，現(xiàn)有的安全維護(hù)人員，存在一人多崗、兼職維護(hù)的現(xiàn)象，且大多未經(jīng)過(guò)專業(yè)學(xué)習(xí)，專業(yè)技術(shù)水平遠(yuǎn)遠(yuǎn)落后于稅務(wù)系統(tǒng)信息化安全建設(shè)的需要?？傮w上來(lái)說(shuō)，缺少既懂計(jì)算機(jī)應(yīng)用技術(shù)，又懂稅收政策業(yè)務(wù)的復(fù)合型人才，這些嚴(yán)重制約了稅務(wù)系統(tǒng)的信息化建設(shè)。因而，加強(qiáng)稅務(wù)隊(duì)伍在網(wǎng)絡(luò)與信息化安全方面的宣傳、教育和培訓(xùn)成為一種迫切的需要?！踩扯愂諆?nèi)網(wǎng)系統(tǒng)與網(wǎng)上申報(bào)系統(tǒng)防攻擊能力不足當(dāng)下，全國(guó)稅務(wù)系統(tǒng)基本實(shí)現(xiàn)了省級(jí)數(shù)據(jù)大集中。大集中征管系統(tǒng)在開(kāi)發(fā)時(shí)就結(jié)合了當(dāng)今新的網(wǎng)絡(luò)技術(shù)，大部分采取B/S形式，使一線征收人員只需通過(guò)WEB瀏覽器，即可完成稅收征管流程，減少了客戶端的安裝和維護(hù)，極大地降低了稅收獲本，有效提升了稅收征管效率。在升級(jí)系統(tǒng)內(nèi)部征收系統(tǒng)的同時(shí)，一種由納稅人(企業(yè)〕在規(guī)定時(shí)間內(nèi)，利用Internet，通過(guò)WEB瀏覽器填寫(xiě)納稅申報(bào)表，并發(fā)送申報(bào)數(shù)據(jù)到主管稅務(wù)機(jī)關(guān)，不受時(shí)間、地域的限制，隨時(shí)隨地進(jìn)行納稅申報(bào)的形式----網(wǎng)上申報(bào)逐步成為一種主流。以上辦法在降低成本、提升效率的同時(shí)，也存在嚴(yán)重的安全風(fēng)險(xiǎn)。由于它們都是采取B/S構(gòu)造，并依靠于TCP/IP協(xié)議而建立的，而TCP/IP協(xié)議開(kāi)放、自在的特點(diǎn)，從某種角度能夠說(shuō)其完全無(wú)安全性可言。尤其網(wǎng)上申報(bào)系統(tǒng)是通過(guò)互聯(lián)網(wǎng)〔Internet〕進(jìn)行的，在這個(gè)開(kāi)放的環(huán)境里，計(jì)算機(jī)病毒、黑客、木馬等隨時(shí)可能對(duì)納稅人的申報(bào)信息以及稅務(wù)機(jī)關(guān)效勞器進(jìn)行改動(dòng)和攻擊，使納稅申報(bào)效勞及數(shù)據(jù)信息遭到嚴(yán)重的安全威脅。二、網(wǎng)絡(luò)與信息安全保障體系建設(shè)及風(fēng)險(xiǎn)防備辦法〔一〕強(qiáng)化組織管理，健全保障機(jī)制，明確安全責(zé)任意識(shí)網(wǎng)絡(luò)與信息安全的建設(shè)，技術(shù)是基礎(chǔ)，組織是關(guān)鍵，制度是保障。領(lǐng)導(dǎo)須清楚認(rèn)識(shí)到網(wǎng)絡(luò)與信息系統(tǒng)安全是一個(gè)系統(tǒng)的、全局性的工作，必需構(gòu)成領(lǐng)導(dǎo)參與，上下聯(lián)動(dòng)，部門(mén)協(xié)調(diào)的保障機(jī)制。根據(jù)科學(xué)規(guī)范的理論體系，結(jié)合部門(mén)本身實(shí)際和信息化建設(shè)目的，建立健全網(wǎng)絡(luò)與信息安全保障制度。如制訂嚴(yán)格的機(jī)房準(zhǔn)入制度和值班守衛(wèi)制度；制訂嚴(yán)密的操作規(guī)程，明確各自分工，嚴(yán)禁越權(quán)操作；制訂完善的網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行實(shí)時(shí)、動(dòng)態(tài)的安全風(fēng)險(xiǎn)評(píng)估，及時(shí)總結(jié)和分析評(píng)估結(jié)果；制訂網(wǎng)絡(luò)與信息安全事件緊急預(yù)案，及時(shí)處理常見(jiàn)問(wèn)題和故障，確保系統(tǒng)平穩(wěn)運(yùn)行等。〔二〕加強(qiáng)稅務(wù)人員計(jì)算機(jī)應(yīng)用水平培訓(xùn)和計(jì)算機(jī)專業(yè)人才培養(yǎng)為適應(yīng)稅務(wù)信息化安全建設(shè)的需要，必需提升稅務(wù)人員的計(jì)算機(jī)應(yīng)用水安然平靜加強(qiáng)計(jì)算機(jī)專業(yè)人才的培養(yǎng)。首先，要通過(guò)計(jì)算機(jī)技能培訓(xùn)班、知識(shí)更新培訓(xùn)和講座、崗位大練兵等方式不斷提升稅務(wù)人員計(jì)算機(jī)應(yīng)用水平。建立計(jì)算機(jī)水平考核辦法，對(duì)考核達(dá)不到要求的人員一律不允許上崗，從制度上激發(fā)稅務(wù)人員自動(dòng)學(xué)習(xí)計(jì)算機(jī)知識(shí)的積極性。其次，能夠采用一些制度辦法，如建立人才引進(jìn)機(jī)制，擴(kuò)寬用人渠道，吸引優(yōu)秀人才；通過(guò)完善培養(yǎng)和自學(xué)成才鼓勵(lì)機(jī)制，鼓勵(lì)稅務(wù)人員加入全國(guó)計(jì)算機(jī)統(tǒng)一考試和學(xué)歷提升教育，構(gòu)成“以考促學(xué)、學(xué)以致用〞的形式，不斷提升信息系統(tǒng)安全維護(hù)人員專業(yè)技能水平。同時(shí)，在計(jì)算機(jī)應(yīng)用能手和稅務(wù)業(yè)務(wù)能手之間開(kāi)展溝通學(xué)習(xí)，培養(yǎng)一支既懂計(jì)算機(jī)技術(shù)，又懂稅收業(yè)務(wù)的復(fù)合型人才隊(duì)伍。〔三〕幾種安全技術(shù)保障辦法鑒于當(dāng)前稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息化安全面臨的風(fēng)險(xiǎn)，十分是與外網(wǎng)連接的網(wǎng)上申報(bào)系統(tǒng)。為確保稅務(wù)系統(tǒng)的信息安全和納稅人的利益不受損害，使稅務(wù)部門(mén)的網(wǎng)絡(luò)與信息數(shù)據(jù)具有的完好性、保密性、可用性、可控性和不可否認(rèn)性的能力，下面將側(cè)重從網(wǎng)絡(luò)安全技術(shù)的角度討論詳細(xì)保障辦法。1、采取基于SSL的安全技術(shù)安全套接層SSL是Netscape公司率先采取的在TCP/IP上實(shí)現(xiàn)的安全協(xié)議。SSL協(xié)議通過(guò)在應(yīng)用程序進(jìn)行交換數(shù)據(jù)前，完成加密算法和會(huì)話密鑰確實(shí)定，以及通信雙方SSL證書(shū)驗(yàn)證等安全審查功能，確保了信息的保密性、完好性和互相認(rèn)證。SSL與HTTP兩種協(xié)議的有機(jī)組合構(gòu)成一種新的協(xié)議----協(xié)議，彌補(bǔ)了TCP/IP安全性差的弱點(diǎn)?；贐/S形式的稅收征管系統(tǒng)和網(wǎng)上申報(bào)系統(tǒng)采取協(xié)議能夠有效防止數(shù)字在傳輸經(jīng)過(guò)中被截取、毀壞和欺騙。2、利用PKI技術(shù)保障網(wǎng)上申報(bào)系統(tǒng)安全公開(kāi)密鑰基礎(chǔ)設(shè)備PKI，是一個(gè)以公鑰技術(shù)為基礎(chǔ)，以信息的機(jī)密性、完好性、身份認(rèn)證和不可否認(rèn)性為安全目的，來(lái)施行和提供安全效勞的具有普適性的安全設(shè)備。它采取數(shù)字證書(shū)管理非對(duì)稱密鑰，從技術(shù)上解決了網(wǎng)上申報(bào)系統(tǒng)存在的身份認(rèn)證、信息完好性和抵賴等安全問(wèn)題。由于CA認(rèn)證中心是PKI體系的核心，由CA頒發(fā)的數(shù)字證書(shū)能保證征納雙方身份，因而稅務(wù)系統(tǒng)建立自己完好的數(shù)字證書(shū)認(rèn)證中心特別需要。鑒于當(dāng)前我們國(guó)家分稅制的現(xiàn)在狀況，在國(guó)家稅務(wù)總局建立CA認(rèn)證中心的基礎(chǔ)上，各省省級(jí)國(guó)、地稅局也應(yīng)建立自己的CA和RA，負(fù)責(zé)本省轄區(qū)內(nèi)的納稅人數(shù)字證書(shū)、效勞器SSL證書(shū)、互聯(lián)網(wǎng)設(shè)備證書(shū)等的發(fā)放和管理。RA作為CA與用戶的接口，能夠在市局設(shè)立受理點(diǎn)，承受和審查納稅人的注冊(cè)申請(qǐng)。納稅人注冊(cè)信息經(jīng)過(guò)嚴(yán)格的核實(shí)后，由稅務(wù)部門(mén)CA頒發(fā)包括納稅人個(gè)人信息和密鑰信息，同時(shí)附有CA的簽名信息和公鑰的數(shù)字證書(shū)〔數(shù)字證書(shū)能夠采取當(dāng)前比較流行的USB_Key形式存儲(chǔ)〕，并將該證書(shū)公布到CA證書(shū)庫(kù)中。申報(bào)經(jīng)過(guò)中通過(guò)對(duì)數(shù)字證書(shū)的驗(yàn)證，能夠保證征納雙方身份的真實(shí)性。假如納稅人要進(jìn)行網(wǎng)上申報(bào)，則〔如此圖1所示〕：首先，在納稅人端，使用數(shù)字證書(shū)登錄申報(bào)系統(tǒng)并填報(bào)申報(bào)信息，當(dāng)申報(bào)信息填寫(xiě)完好后，將信息原文P進(jìn)行內(nèi)容摘要處理〔Hash算法〕，產(chǎn)生內(nèi)容摘要文件H1，使用納稅人端私鑰L1對(duì)內(nèi)容摘要文件H1進(jìn)行加密得到數(shù)字簽名C，并與原文P一起通過(guò)一個(gè)隨機(jī)對(duì)稱密鑰R再次加密得到Z，再使用稅務(wù)部門(mén)公鑰K2對(duì)隨機(jī)對(duì)稱密鑰R進(jìn)行加密得到數(shù)字信封M，將〔Z,M〕傳送到稅務(wù)部門(mén)網(wǎng)上申報(bào)效勞器上。其次，在稅務(wù)效勞器端，通過(guò)檢查數(shù)字證書(shū)確認(rèn)納稅人身份后，使用稅務(wù)部門(mén)端私鑰K1解密數(shù)字信封M得到隨機(jī)對(duì)稱密鑰R,再使用隨機(jī)對(duì)稱密鑰R解密密文Z，獲得申報(bào)信息原文P和數(shù)字簽名C，為了驗(yàn)證數(shù)字簽名C的真實(shí)性，還需對(duì)原文P進(jìn)行內(nèi)容摘要處理〔Hash算法〕產(chǎn)生內(nèi)容摘要文件H2，用納稅人端公鑰L2對(duì)納稅人的數(shù)字簽名C進(jìn)行解密得到H1，通過(guò)比較內(nèi)容摘要文件H1和H2驗(yàn)證申報(bào)數(shù)據(jù)的完好性、真實(shí)性和保密性。圖1：網(wǎng)上申報(bào)加密和解密流程3、設(shè)置防火墻和物理隔離網(wǎng)閘防火墻是在網(wǎng)絡(luò)安全界限控制中，用來(lái)保衛(wèi)一個(gè)網(wǎng)絡(luò)不受另外一個(gè)網(wǎng)絡(luò)的攻擊威脅。通過(guò)硬件、軟件和安全策略的有效組合，在兩個(gè)網(wǎng)絡(luò)之間構(gòu)建一道安全屏障，是一種被動(dòng)安全防御工具。稅務(wù)系統(tǒng)內(nèi)網(wǎng)采取防火墻，是對(duì)系統(tǒng)內(nèi)部局域網(wǎng)中不同安全域之間的訪問(wèn)進(jìn)行控制，阻攔非法操作和有害數(shù)據(jù)在整個(gè)稅務(wù)系統(tǒng)的內(nèi)網(wǎng)中擴(kuò)散；也是對(duì)網(wǎng)上申報(bào)系統(tǒng)中的內(nèi)部網(wǎng)與公網(wǎng)之間的訪問(wèn)進(jìn)行控制。物理隔離網(wǎng)閘〔GPA〕則是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)連接不同的網(wǎng)絡(luò)系統(tǒng)的信息安全設(shè)備，使多個(gè)網(wǎng)絡(luò)之間在沒(méi)有互相連通的情況下實(shí)現(xiàn)數(shù)據(jù)的安全傳輸和資源分享。由于不存在通信的物理連接，納稅人網(wǎng)上申報(bào)數(shù)據(jù)文件透過(guò)防火墻，通過(guò)DMZ區(qū)中CA效勞器和網(wǎng)上申報(bào)效勞器處理后，經(jīng)過(guò)GPA物理網(wǎng)閘，在無(wú)協(xié)議的情況下“擺渡〞到稅務(wù)部門(mén)征管資料數(shù)據(jù)庫(kù)中。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了互聯(lián)網(wǎng)上具有潛在攻擊可能，能保證稅務(wù)系統(tǒng)數(shù)據(jù)的真正安全。4.部署入侵檢測(cè)〔IDS〕系統(tǒng)入侵檢測(cè)系統(tǒng)通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上能夠獲得的信息來(lái)檢測(cè)入侵行為。它在監(jiān)控能否有非法入侵的同時(shí)，還能有效防備稅務(wù)員工對(duì)內(nèi)網(wǎng)中資源違法操作和濫用。IDS系統(tǒng)能從稅務(wù)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)采集信息，并分析這些信息，從中發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)中能否有違背安全策略的行為和被攻擊的跡象，及時(shí)采用預(yù)警和阻隔等安全辦法。它與防火墻和物理隔離網(wǎng)閘配合作為稅務(wù)系統(tǒng)網(wǎng)絡(luò)安全防線，將更有效地阻斷所發(fā)生的攻擊事件，進(jìn)而使網(wǎng)絡(luò)隱患降至較低限度。〔四〕建立網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制為了適應(yīng)稅收信息化發(fā)展的要求，強(qiáng)化稅務(wù)系統(tǒng)信息安全管理工作，稅務(wù)總局編制了〔稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估管理制度〕、〔稅務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估施行指南〕對(duì)風(fēng)險(xiǎn)評(píng)估原則、評(píng)估模型、評(píng)估策略、經(jīng)過(guò)框架、評(píng)估手段提出了要求，指點(diǎn)稅務(wù)系統(tǒng)開(kāi)展和施行信息安全評(píng)估工作。各級(jí)稅務(wù)機(jī)關(guān)要不斷的加強(qiáng)信息安全風(fēng)險(xiǎn)意識(shí)的宣傳教育，普及信息安全風(fēng)險(xiǎn)評(píng)估知識(shí)，加快培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估的專門(mén)人才，完善的風(fēng)險(xiǎn)評(píng)估機(jī)制和健全的技術(shù)手段，從體系上保障稅務(wù)信息化建設(shè)的有序展開(kāi)。總之，網(wǎng)絡(luò)與信息系統(tǒng)的安全是相對(duì)的、動(dòng)態(tài)的，隨著的發(fā)展，將不斷面臨新的安全問(wèn)題的挑戰(zhàn)，怎樣使用適應(yīng)發(fā)展的、成熟的安全技術(shù)構(gòu)建多條理、全方位、立體的網(wǎng)絡(luò)與信息系統(tǒng)安全保障體系，是稅務(wù)信息化建設(shè)經(jīng)過(guò)中必需重點(diǎn)考慮的。以下為參考文獻(xiàn)：[1]林柏鋼.〔網(wǎng)絡(luò)與信息安全教程〕，[M]，機(jī)械工業(yè)出版