（风险管理）税务信息系统风险防范对策初探.pdfVIP

（风险管理）税务信息系 统风险防范对策初探 税务信息系统风险防范对策初探 目前，我国税收信息化建设正处于信息大集中的建设阶段。这一 阶段主要是开展数据集中和网络建设，即由县区级网络到城市级网络、 省级网络、全国级网络建设，同时将业务数据逐步上收和集中到各级 数据中心。在国税系统，金税工程网络覆盖了全国各级国家税务局和 基层征收单位，金税工程网络版软件和税收征管软件等应用系统得到 了全面推广应用，各地普遍实现了地（市）级以上的信息集中处理和 实时共享,计算机已广泛应用于税务系统税收管理的各个环节。在这 种形势下，我们必须清醒地认识到数据、业务的集中意味着风险的集 中，同时对技术、业务的统一规范管理、对信息系统运行的质量、对 数据和信息系统的安全保障提出了更多更高的要求。风险防范、内部 控制成为当今税务管理工作中面临的一个重大而严峻的课题。 一、风险分析 税务信息系统安全的概念很广，凡是涉及到保障税收业务正常运 行的所有问题都与税务信息安全有关。主要有以下三方面：一是信息 技术设备等基础设施的安全问题；二是信息系统软件的正常运行问题； 三是信息系统中保存的业务、政策等机密信息的安全问题。这几方面 都要有相应的安全管理、风险防范措施，而从目前运行情况来看，税 务系统在信息安全上普遍存在四大问题。 （一）信息系统安全管理机制不健全 有大量事实表明，在计算机系统受到的危害中，很多是由于管理 不善或控制不严造成的。权责不明、管理混乱、安全管理制度不健全 及缺乏可操作性等都可能引起安全管理的风险。如一些工作人员有意 无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约 束；当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人 员的违规操作等) ，无法进行实时的检测、监控、报告与预警。震惊 全国的北京市海淀区国税局第一税务所税务干部吴芝刚的特大增值 税专用发票犯罪案件就是一个典型的例子，检察机关在办案中发现： 由于海淀区国税局三名干部的玩忽职守，使得金税工程增值税防伪税 控系统实行的“一机一卡，一机一密”的双保险形同虚设，犯罪分子 可以超出权限大肆作案，时间长达一年多。一般完成一个增值税发票 的发售工作，有几个环节要使用计算机进行操作。一个是发票审核环 节，再一个是发票的发售环节，这两个是完全不同的岗位。在这两个 岗位的人员，应该掌握自己的密码，登陆计算机。而作为税务所打票 员的吴芝刚却轻易地窃取了别人的密码，一次又一次进入计算机系统 做案而未被察觉。这很大程度上反映其所在单位在信息安全管理上存 在漏洞。 （二）可操作的信息资源保密管理办法滞后 数据大集中是近年来税务信息化领域最为火热的话题。现在各地 业务数据都逐步上收和集中到省、市级数据中心，实现了广泛的资源 共享，税务系统内部的信息孤岛已被打破。我们在享受数据大集中带 来便捷高效的同时，不能忽视信息资源保密问题。《税收征管法》已 明确规定，税务机关有为纳税人保守个人隐私和财务信息秘密的义务。 税务信息系统中储存着纳税人丰富的经济信息资料，如：财务报表、 纳税情况、购销明细信息、稽查情况等；每位税务干部每天都要在系 统中处理或查询大量的电子信息，但各级税务部门都没有一个与之配 套的信息保密管理办法来约束这些电子信息的使用，防止非法外流， 仅依赖应用软件自带的权限管理来约束信息获知量，这是远远不够的。 （三）防计算机病毒攻击能力不足 近年来，各种各样的计算机病毒层出不穷，尤其是蠕虫病毒，更 让人防不胜防。这种病毒利用操作系统和应用程序的漏洞主动进行攻 击，利用多种传播方式传播，并容易产生变种，以逃脱防病毒软件的 搜索。国税系统虽早已建成覆盖总局、省局、市局、县（区）局、税 务所的五级金税工程网络，但由于防计算机病毒攻击建设滞后，不能 对整个网络进行全方位、多层次的病毒防护，而蠕虫病则可充分利用 网络快速传播，阻塞网络，给信息系统造成巨大破坏。在最近的“震 荡波”病毒事件中，南昌市国税局有 100 多台计算机受到攻击，一个 税务分局被迫中断办税服务一天，纳税人抱怨颇多，全市税收信息系 统安全受到严重威胁。 （四）网络安全建设缺乏整体规划 税务系统的网络规模很庞大，许多省市税务局在建立内部业务网 的基础上，陆续建立了与当地政府及相关部门（如：财政、海关、银 行、工商等）的信息交换网络、网上电子报税和缴税服务的纳税申报 网络、面向社会公众的外部服务网络等。各地在这些网络的安全