税务信息化安全保障系初步研究.docVIP

税务信息化安全保障体系初步研究 莲湖区国税局 栗平、李霞、李逢博 摘要：信息是社会发展的重要战略资源，信息安全保障成为维护国家安全和社会稳定的一个焦点；税务系统作为国家财政收入的主要获取机构，如果无法保障信息安全，对我们的社会建设和繁荣稳定将构成巨大损失，构建税务信息化安全保障体系成为不容忽视的一个课题。 随着税务信息化的深入开展，信息安全越来越成为困扰税务行业发展的一个薄弱环节，因此，如何构建一个务实、有效的信息安全保障体系，就成为当务之急。从根本上讲，建设税务信息安全保障体系，是为了适应税务信息化发展的需要而提出的，这是发展的需要，是大势所趋。 税务信息化安全保障体系概述： 信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全保障成为维护国家安全和社会稳定的一个焦点。信息安全保障体系为信息系统提供免疫功能，如果信息安全问题解决不好，将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战、信息恐怖和高度经济金融风险的威胁之中；税务系统作为国家财政收入的主要获取机构，一旦发生信息攻击事件，对我们的社会建设和稳定都造成巨大损失，这是不容忽视的问题。 图1为税务系统信息化结构图： 图1 目前税务系统信息化工程一般分为部分：外部信息交换、。外部信息交换系统一般来讲包括外部信息门户网站，以及和工商、银行、审计单位的联系接口。信息门户网站主要负责进行税务相关信息发布，提供一个窗口面向广大群众，提供各类新闻、法规、指南等，实现信息宣传，政务公开化。和工商、银行、审计单位的联系接口是为了实现电子检查，电子税收等功能，实现信息共享，协同办公。税务核心业务系统主要涉及税收、管理、稽核、检查、实施等方面，是税收征管业务的主体。税务办公系统，以公文管理、档案管理、个人工具、后勤管理为核心，实现税务系统内部管理办公自动化以及文档一体化，提高税务系统的办公效率、节约成本。三者互为独立的系统，但又相互联系，在支撑平台的信息数据流管理下实现信息共享。其中外部信息交换系统、税务办公系统对税务核心业务系统提供支持。决策支持系统和以上三均有接口，通过分析提供决策信息。国务院信息化专家咨询委员会委员80% 来自内部外部勾结 15% 来自外部 5% 表1 FBI对美国信息安全攻击来源的统计分析： 来自外部的攻击 20% 来自内部的攻击 80% 表2 NSA 提供的数字：50%的最具破坏性的攻击来自内部人员；美国专家提供的数字55%的信息破坏是由于误操作。 （二）信息化安全目前存在的问题 1．网络安全域的划分和控制问题 安全与开放是矛盾的。信息涉密，需要绝对的安全，但是外部信息交换系统既要为社会提供行政监管的渠道，又要为社会提供公众服务，需要一定程度的开放，因此合理划分安全域并在这两者之间寻求一个平衡点就显得非常重要。 2．内部监控、审核问题 根据表1、2以及NSA的统计资料，我们可以看到信息安全隐患很大程度来自内部，因此将隐患在内部解决将变得十分必要和迫切，目前还没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录，并审核相关操作的权限，更不用谈对一些非法操作进行屏蔽和阻断了。 3．信任体系问题 网络通讯是基于通讯方可信、网络传输可信、资质可信、信息内容可信的基础上的，但是实际情况却是无法达到完全可信的要求的，因此信任体系问题将变成我们不得不考虑的问题。 4．数字签名以及电子认证问题 CA认证以及DS签名是目前国际上的研究难点和热点。 5．灾难响应和应急处理问题 在信息技术飞速发展的今天，信息安全问题层出不穷。很多单位在进行网络规划的时候，根本就没有考虑到作为系统核心部分——数据库本身的安全问题，完全依赖于整个网络的防护能力，一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏，“数据”无任何招架之力。 当前的信息安全研究处于忙于封堵现有信息系统的安全漏洞阶段，要彻底解决这些迫在眉睫的问题，归根结底取决于信息安全保障体系的建设。目前，我们迫切需要从安全体系整体着手，在建立全方位的防护体系的同时，完善法律体系并加强管理体系。 税务信息化安全保障体系解决方案 税务安全保障体系目标 本着科技加管理的工作思路，运用技术手段，实现管理与效的推动和转化，防范和化解税务系统风险。总体构架建设税务系统特点的信息，将从整体上提高的经营管理水平。信息安全保障体系是由管理、、、、来搭建的。系统具体从网络架构来讲如图所示： 图2 具有安全保障功能的信息化系统平台总体结构税务信息系统的建设着眼于最终支持企业管理、辅助决策的高度，将经营管理信息