稅務(wù)電子政務(wù)信息系統(tǒng)安全體系研究 4800字

稅務(wù)電子政務(wù)信息系統(tǒng)安全體系研究4800字摘要：稅務(wù)電子政務(wù)的實(shí)施為稅務(wù)部門承當(dāng)?shù)亩愂展芾砗托趯?shí)現(xiàn)電子化、網(wǎng)絡(luò)化和透明、高效開辟了廣大的空間。然而稅務(wù)電子政務(wù)信息系統(tǒng)的平安問題也變得更加突出、嚴(yán)重。認(rèn)識(shí)電子政務(wù)信息系統(tǒng)平安的威脅，把握系統(tǒng)平安的影響因素和要求，建設(shè)系統(tǒng)平安保障體系，對(duì)保證稅務(wù)電子政務(wù)的有效運(yùn)行具有重要意義。

關(guān)鍵詞：稅務(wù)；政務(wù)信息系統(tǒng)；平安體系

引言

所謂稅務(wù)電子政務(wù)是指稅務(wù)部門運(yùn)用現(xiàn)代電腦和網(wǎng)絡(luò)技術(shù)，將其承當(dāng)?shù)亩悇?wù)管理和效勞職能轉(zhuǎn)移到網(wǎng)絡(luò)上進(jìn)行，同時(shí)實(shí)現(xiàn)稅務(wù)部門組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時(shí)間、空間和部門分隔的制約，向社會(huì)和納稅人提供高效優(yōu)質(zhì)、標(biāo)準(zhǔn)透明和全方位的管理與效勞。稅務(wù)電子政務(wù)的實(shí)施使得稅務(wù)部門事務(wù)變得公開、高效、透明、廉潔和信息共享，與此同時(shí)，也使得政務(wù)信息系統(tǒng)平安問題更加突出和嚴(yán)重，影響稅務(wù)電子政務(wù)信息系統(tǒng)功能的發(fā)揮，甚至對(duì)稅務(wù)部門和納稅人產(chǎn)生危害，嚴(yán)重的還將對(duì)國(guó)家信息平安乃至國(guó)家平安產(chǎn)生威脅。因此，建設(shè)稅務(wù)電子政務(wù)信息系統(tǒng)平安的保障體系是開展稅務(wù)電子政務(wù)的關(guān)鍵所在，具有極其重要的意義。[1]〔P62-64〕

1稅務(wù)電子政務(wù)系統(tǒng)平安體系概述

稅務(wù)電子政務(wù)系統(tǒng)平安體系方面的研究始終是學(xué)術(shù)界研究重點(diǎn)和稅務(wù)部門、企業(yè)界廣泛關(guān)注的焦點(diǎn)之一，已經(jīng)出現(xiàn)了較多的研究成果和實(shí)踐案例，比方將稅務(wù)電子政務(wù)平安相關(guān)規(guī)范分成信息平安總體規(guī)范、密碼算法、密碼管理規(guī)范、防信息泄漏規(guī)范、信息平安產(chǎn)品規(guī)范、系統(tǒng)與網(wǎng)路平安規(guī)范、信息平安評(píng)估規(guī)范、信息平安管理規(guī)范8個(gè)類別；將稅務(wù)電子政務(wù)平安體系劃分為“網(wǎng)絡(luò)平安政策法規(guī)、網(wǎng)絡(luò)平安組織管理、網(wǎng)絡(luò)平安規(guī)范標(biāo)準(zhǔn)、網(wǎng)絡(luò)平安效勞產(chǎn)業(yè)、網(wǎng)絡(luò)平安技術(shù)產(chǎn)品和網(wǎng)絡(luò)平安根底設(shè)施〞六個(gè)組成局部；將稅務(wù)電子政務(wù)平安保障體系劃分為平安法規(guī)、平安管理、平安規(guī)范、平安效勞、平安技術(shù)產(chǎn)品和平安根底設(shè)施6大要素；局部廠商那么或者從網(wǎng)絡(luò)、傳輸、存儲(chǔ)平安以及可靠性、隱秘性、易維護(hù)性等角度構(gòu)建平安體系，或者從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用角度設(shè)計(jì)；或者從物理隔離、根底平臺(tái)平安、應(yīng)用平臺(tái)平安和平安管理四個(gè)方面進(jìn)行總體考慮。

2如何構(gòu)建完善的稅務(wù)電子政務(wù)系統(tǒng)平安體系？

我們知道，稅務(wù)電子政務(wù)系統(tǒng)平安體系是整個(gè)稅務(wù)電子政務(wù)系統(tǒng)平安、有效、高效運(yùn)行的重要保證，因此平安體系應(yīng)切合稅務(wù)電子政務(wù)系統(tǒng)實(shí)際需求，在保證物理平安和網(wǎng)絡(luò)平安的根底上，充沛保證數(shù)據(jù)平安和應(yīng)用系統(tǒng)平安，同時(shí)通過平安制度建設(shè)和平安教育培訓(xùn)實(shí)現(xiàn)平安體系有效實(shí)施，以全面保證稅務(wù)電子政務(wù)應(yīng)用系統(tǒng)中各類信息的采集、處理、管理、傳輸?shù)绕桨策M(jìn)行，并滿足將來稅務(wù)電子政務(wù)系統(tǒng)平安方面的擴(kuò)展需求。下面我們將在闡述稅務(wù)電子政務(wù)系統(tǒng)平安體系根本構(gòu)建原那么的根底上，從物理平安、網(wǎng)絡(luò)平安、數(shù)據(jù)平安、應(yīng)用系統(tǒng)平安、平安制度建設(shè)、平安教育和培訓(xùn)等方面對(duì)完善的稅務(wù)電子政務(wù)平安體系進(jìn)行表明。

〔1〕構(gòu)建電子政務(wù)系統(tǒng)平安體系的根本原那么

參照我國(guó)稅務(wù)電子政務(wù)建設(shè)指導(dǎo)意見并結(jié)合稅務(wù)電子政務(wù)平安體系方面的研究，我認(rèn)為：構(gòu)建稅務(wù)電子政務(wù)系統(tǒng)平安體系應(yīng)當(dāng)遵循下列原那么：

1〕全面設(shè)計(jì)、整體部署

2〕統(tǒng)一規(guī)范，加強(qiáng)管理

3〕需求主導(dǎo)，重點(diǎn)突出

4〕靈活配置、動(dòng)態(tài)部署

5〕制度建設(shè)、平安培訓(xùn)

〔2〕電子政務(wù)系統(tǒng)平安體系之物理平安

物理平安是整個(gè)稅務(wù)電子政務(wù)系統(tǒng)平安的前提，用于保證計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。稅務(wù)電子政務(wù)系統(tǒng)平安體系中的物理平安可以分為環(huán)境平安、設(shè)備平安和媒體平安，波及到稅務(wù)電子政務(wù)系統(tǒng)應(yīng)用范圍內(nèi)的各方主體。其中，環(huán)境平安是對(duì)系統(tǒng)運(yùn)行環(huán)境的平安愛護(hù)，如區(qū)域愛護(hù)和災(zāi)難愛護(hù)等，具體可以參照國(guó)家規(guī)范GB50173-93、GB2887-89、GB9361-88等相關(guān)要求進(jìn)行設(shè)計(jì)；設(shè)備平安那么主要包括存儲(chǔ)、傳輸或系統(tǒng)運(yùn)行所用設(shè)備的防盜、防毀、防磁、避免線路截獲、抗電磁干擾及電源愛護(hù)等；媒體平安那么包括存儲(chǔ)媒體本身的平安以及媒體中存儲(chǔ)數(shù)據(jù)平安。

〔3〕稅務(wù)電子政務(wù)系統(tǒng)平安體系之網(wǎng)絡(luò)平安

稅務(wù)電子政務(wù)系統(tǒng)平安體系之網(wǎng)絡(luò)平安主要分為傳輸網(wǎng)絡(luò)平安和業(yè)務(wù)網(wǎng)絡(luò)平安兩類。對(duì)于稅務(wù)電子政務(wù)系統(tǒng)相關(guān)的傳輸網(wǎng)絡(luò)，網(wǎng)絡(luò)平安主要是保證參與稅務(wù)電子政務(wù)系統(tǒng)各方主體之間的數(shù)據(jù)傳輸網(wǎng)絡(luò)以及公共網(wǎng)絡(luò)效勞的平安可靠運(yùn)行，從目前稅務(wù)電子政務(wù)建設(shè)情況來看，傳輸網(wǎng)絡(luò)平安目前需要由網(wǎng)絡(luò)根底設(shè)施提供商或效勞商為其平安性提供充沛保證。對(duì)于稅務(wù)電子政務(wù)系統(tǒng)相關(guān)的業(yè)務(wù)網(wǎng)絡(luò)，網(wǎng)絡(luò)平安主要包括控制撥號(hào)用戶接入、設(shè)置防火墻、防備病毒、控制與公網(wǎng)互連、防備黑客入侵以及就網(wǎng)絡(luò)平安進(jìn)行嚴(yán)格監(jiān)控和標(biāo)準(zhǔn)管理等以愛護(hù)業(yè)務(wù)網(wǎng)絡(luò)資源和電子政務(wù)應(yīng)用效勞。

1〕撥號(hào)用戶接入問題：

目前，我國(guó)稅務(wù)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)建設(shè)并不完善，還存在局部網(wǎng)絡(luò)環(huán)境較差的單位，在使用稅務(wù)電子政務(wù)系統(tǒng)的時(shí)候需要通過撥號(hào)方式利用公用交換網(wǎng)在網(wǎng)絡(luò)上傳輸數(shù)據(jù)。以該種方式傳輸?shù)臄?shù)據(jù)可能在傳輸過程中被竊聽、被篡改，因此針對(duì)由于使用撥號(hào)方式傳輸數(shù)據(jù)所產(chǎn)生的平安隱患，需要采用撥號(hào)用戶身份認(rèn)證等加強(qiáng)對(duì)撥號(hào)用戶的平安驗(yàn)證，對(duì)撥號(hào)用戶實(shí)現(xiàn)統(tǒng)一管理，采用加密伎倆對(duì)關(guān)鍵數(shù)據(jù)加密后進(jìn)行傳輸，避免數(shù)據(jù)泄漏和被非法竊取；嚴(yán)格限制撥號(hào)上網(wǎng)用戶能訪問的系統(tǒng)信息和系統(tǒng)資源，避免非法用戶撥號(hào)進(jìn)入電子政務(wù)系統(tǒng)所在網(wǎng)絡(luò)。

2〕防火墻設(shè)置問題：

在稅務(wù)電子政務(wù)系統(tǒng)運(yùn)行所在專網(wǎng)和外網(wǎng)之間、不同平安域之間需要根據(jù)需要設(shè)置防火墻，依據(jù)平安政策對(duì)出入網(wǎng)絡(luò)的信息流進(jìn)行控制，有條件地允許、拒絕、檢測(cè)或過濾。防火墻設(shè)置需要綜合考慮電子政務(wù)系統(tǒng)所要求的速度、性能、管理、便易性和性價(jià)比等各個(gè)方面，進(jìn)行周密設(shè)計(jì)和總體規(guī)劃；另外應(yīng)注意加強(qiáng)平安管理，采取一些必要的措施保證較高的平安性，比方防火墻要安裝在不同的介質(zhì)上，盡量使用不同的效勞器提供不同性質(zhì)的效勞，對(duì)于重要系統(tǒng)的出口應(yīng)重點(diǎn)配置防火墻，在實(shí)際配置和實(shí)施時(shí)應(yīng)該關(guān)閉不需要的效勞，要經(jīng)常檢查防火墻的日志，發(fā)現(xiàn)異常應(yīng)該及時(shí)處理，采取多層防御、冗余防御等多種辦法和措施。

3〕關(guān)于防病毒問題：

在稅務(wù)電子政務(wù)系統(tǒng)中，需要基于業(yè)務(wù)需求建立多層次病毒防衛(wèi)體系。無論是B/S還是C/S結(jié)構(gòu)，均需要在稅務(wù)電子政務(wù)系統(tǒng)每一個(gè)安裝或運(yùn)行點(diǎn)強(qiáng)調(diào)安裝反病毒軟件，在稅務(wù)電子政務(wù)系統(tǒng)中的業(yè)務(wù)處理終端和效勞器端應(yīng)同時(shí)提供對(duì)應(yīng)的防病毒愛護(hù)措施。防病毒工作是一個(gè)長(zhǎng)期的工作，應(yīng)及時(shí)進(jìn)行防病毒軟件或系統(tǒng)的升級(jí)、換代工作。另外除了采用各種防病毒產(chǎn)品以外，還應(yīng)建立和實(shí)施完善的綜合平安性操作程序，該操作程序應(yīng)包括各種平安措施，如定期數(shù)據(jù)備份、關(guān)鍵信息加密愛護(hù)等。

4〕控制與公網(wǎng)互連的問題：

在稅務(wù)電子政務(wù)系統(tǒng)中，數(shù)據(jù)傳輸?shù)姆绞揭话惆堎|(zhì)傳輸、介質(zhì)傳輸和網(wǎng)絡(luò)傳輸，因此對(duì)于公網(wǎng)傳輸?shù)那闆r應(yīng)加強(qiáng)平安方面的管理和控制。稅務(wù)電子政務(wù)系統(tǒng)要求內(nèi)外網(wǎng)物理隔離，一般可以采用雙穴主機(jī)及類似措施，在嚴(yán)格控制與公網(wǎng)互連的前提下，妥善解決公網(wǎng)與專網(wǎng)之間的數(shù)據(jù)傳輸問題。

5〕關(guān)于避免黑客問題：

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)張和信息技術(shù)的飛速開展，黑客技術(shù)也不斷開展，其攻擊的范圍和層次也不斷擴(kuò)張。稅務(wù)電子政務(wù)系統(tǒng)作為我國(guó)政府信息化的重要工程〔比方金稅項(xiàng)目、秦稅項(xiàng)目等〕也有可能成為某些歹意黑客的攻擊對(duì)象。因此在設(shè)計(jì)和實(shí)施稅務(wù)電子政務(wù)系統(tǒng)平安體系時(shí)，應(yīng)加強(qiáng)采用入侵檢測(cè)技術(shù)防備黑客入侵和侵襲，并在必要的時(shí)候采取證據(jù)記錄、跟蹤恢復(fù)、強(qiáng)制斷開等措施保證業(yè)務(wù)網(wǎng)絡(luò)的平安。

6〕網(wǎng)絡(luò)平安管理和監(jiān)測(cè)：

網(wǎng)絡(luò)平安管理和監(jiān)測(cè)是稅務(wù)電子政務(wù)系統(tǒng)平安設(shè)施和平安機(jī)制有效發(fā)揮作用的重要保證，主要包括平安標(biāo)準(zhǔn)的制定和實(shí)施、各類操作用戶的平安管理、平安體系的運(yùn)營(yíng)監(jiān)控、應(yīng)急處理和平安控制等。

〔4〕稅務(wù)電子政務(wù)系統(tǒng)平安體系之?dāng)?shù)據(jù)平安

稅務(wù)電子政務(wù)系統(tǒng)一般將需要采集、整理、處理、傳輸、統(tǒng)計(jì)、分析等所對(duì)應(yīng)的數(shù)據(jù)進(jìn)行平安分級(jí)，比方有些系統(tǒng)將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和關(guān)鍵數(shù)據(jù)三級(jí)，有些系統(tǒng)將數(shù)據(jù)分為自主愛護(hù)、審計(jì)愛護(hù)、標(biāo)記愛護(hù)、結(jié)構(gòu)化愛護(hù)和驗(yàn)證愛護(hù)五級(jí)等，然后對(duì)于不同級(jí)別的數(shù)據(jù)采用不同的平安措施。

根據(jù)數(shù)據(jù)的處理形式不同，平安體系之?dāng)?shù)據(jù)平安可以分為數(shù)據(jù)傳輸平安、數(shù)據(jù)存儲(chǔ)平安、數(shù)據(jù)庫(kù)平安三個(gè)方面。

〔5〕稅務(wù)電子政務(wù)系統(tǒng)平安體系之應(yīng)用系統(tǒng)平安[3]〔P119-123〕

稅務(wù)電子政務(wù)系統(tǒng)平安體系之應(yīng)用系統(tǒng)平安主要包括用戶身份認(rèn)證、訪問控制、平安審計(jì)及日志、平安技術(shù)及應(yīng)用四個(gè)局部。

1〕用戶身份認(rèn)證

這里的用戶是一個(gè)比擬寬泛的概念，不僅包括使用稅務(wù)電子政務(wù)系統(tǒng)的政務(wù)工作者〔人〕，還包括訪問或者使用稅務(wù)電子政務(wù)系統(tǒng)的其他系統(tǒng)或者主機(jī)、效勞器等〔系統(tǒng)、計(jì)算機(jī)〕。

用戶身份認(rèn)證根據(jù)稅務(wù)電子政務(wù)系統(tǒng)是否部署認(rèn)證中心CA可以劃分為如下兩種情形：當(dāng)稅務(wù)電子政務(wù)系統(tǒng)中沒有部署認(rèn)證中心CA時(shí)，一般采用用戶名稱、密碼、附加驗(yàn)證碼的形式進(jìn)行用戶身份認(rèn)證。只有稅務(wù)電子政務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)中保留了該用戶的記錄，并且該用戶具有合法訪問當(dāng)前稅務(wù)電子政務(wù)系統(tǒng)的權(quán)限，用戶才能夠登錄當(dāng)前稅務(wù)電子政務(wù)系統(tǒng)。如果稅務(wù)電子政務(wù)系統(tǒng)部署了認(rèn)證中心CA，則一般CA是在全系統(tǒng)部署并發(fā)揮作用的，每個(gè)稅務(wù)電子政務(wù)系統(tǒng)用戶首先向CA申請(qǐng)數(shù)字證書并以此作為用戶參與稅務(wù)電子政務(wù)系統(tǒng)的合法身份。

用戶身份認(rèn)證一般發(fā)生于用戶登錄稅務(wù)電子政務(wù)系統(tǒng)時(shí)或者不同稅務(wù)電子政務(wù)系統(tǒng)之間傳遞數(shù)據(jù)時(shí)的情況。在用戶登錄稅務(wù)電子政務(wù)系統(tǒng)時(shí)，需要對(duì)登錄用戶持有的數(shù)字證書進(jìn)行認(rèn)證，以保證只有合法持有有效數(shù)字證書的用戶才能夠登錄稅務(wù)電子政務(wù)系統(tǒng)，同時(shí)還需要進(jìn)行平安審計(jì)和記錄系統(tǒng)平安日志。。

2〕訪問控制

在稅務(wù)電子政務(wù)系統(tǒng)中，需要指定各個(gè)應(yīng)用層次中的每一個(gè)用戶所能夠訪問的業(yè)務(wù)資源和系統(tǒng)資源，也即訪問控制和權(quán)限分配策略。

這里的權(quán)限不但包括用戶能否訪問的業(yè)務(wù)范圍、業(yè)務(wù)數(shù)據(jù)、數(shù)據(jù)的訪問方式、操作類型等，還包括稅務(wù)電子政務(wù)系統(tǒng)相關(guān)的系統(tǒng)資源，包括打印、郵件等。

3〕平安技術(shù)及應(yīng)用

根據(jù)平安級(jí)別的劃分，可以采用包括數(shù)據(jù)加密與解密、數(shù)據(jù)摘要及驗(yàn)證、數(shù)字簽名及驗(yàn)證、時(shí)間戳加蓋及驗(yàn)證等在內(nèi)的平安技術(shù)保證系統(tǒng)的平安性、完整性和不可否定性。

〔6〕稅務(wù)電子政務(wù)系統(tǒng)平安體系之平安制度建設(shè)

稅務(wù)電子政務(wù)系統(tǒng)平安體系要真正發(fā)揮作用，還需要制定平安制度并嚴(yán)格實(shí)施。一般的，平安制度包括人員平安管理、系統(tǒng)文檔管理、環(huán)境平安管理、設(shè)備購(gòu)買使用、系統(tǒng)開發(fā)管理、運(yùn)營(yíng)平安管理、應(yīng)急情況處理等內(nèi)容。

〔7〕稅務(wù)電子政務(wù)系統(tǒng)平安體系之平安教育和培訓(xùn)

稅務(wù)電子政務(wù)系統(tǒng)中，用戶平安意識(shí)及其掌握的平安知識(shí)是整個(gè)平安體系高效、有效運(yùn)行和正常維護(hù)的重要因素之一，因此在電子政務(wù)系統(tǒng)的設(shè)計(jì)、研發(fā)、實(shí)