税务信息系统风险防范对策初探

税务信息系统风险防范对策初探目前，我国税收信息化建设正处于信息大集中的建设阶段。这一阶段主要是开展数据集中和网络建设，即由县区级网络到城市级网络、省级网络、全国级网络建设，同时将业务数据逐步上收和集中到各级数据中心。在国税系统，金税工程网络覆盖了全国各级国家税务局和基层征收单位，金税工程网络版软件和税收征管软件等应用系统得到了全面推广应用，各地普遍实现了地（市）级以上的信息集中处理和实时共享,计算机已广泛应用于税务系统税收管理的各个环节。在这种形势下，我们必须清醒地认识到数据、业务的集中意味着风险的集中，同时对技术、业务的统一规范管理、对信息系统运行的质量、对数据和信息系统的安全保障提出了更多更高的要求。风险防范、内部控制成为当今税务管理工作中面临的一个重大而严峻的课题。一、风险分析税务信息系统安全的概念很广，凡是涉及到保障税收业务正常运行的所有问题都与税务信息安全有关。主要有以下三方面：一是信息技术设备等基础设施的安全问题；二是信息系统软件的正常运行问题；三是信息系统中保存的业务、政策等机密信息的安全问题。这几方面都要有相应的安全管理、风险防范措施，而从目前运行情况来看，税务系统在信息安全上普遍存在四大问题。（一）信息系统安全管理机制不健全有大量事实表明，在计算机系统受到的危害中，很多是由于管理不善或控制不严造成的。权责不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的风险。如一些工作人员有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束；当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。震惊全国的北京市海淀区国税局第一税务所税务干部吴芝刚的特大增值税专用发票犯罪案件就是一个典型的例子，检察机关在办案中发现：由于海淀区国税局三名干部的玩忽职守，使得金税工程增值税防伪税控系统实行的“一机一卡，一机一密”的双保险形同虚设，犯罪分子可以超出权限大肆作案，时间长达一年多。一般完成一个增值税发票的发售工作，有几个环节要使用计算机进行操作。一个是发票审核环节，再一个是发票的发售环节，这两个是完全不同的岗位。在这两个岗位的人员，应该掌握自己的密码，登陆计算机。而作为税务所打票员的吴芝刚却轻易地窃取了别人的密码，一次又一次进入计算机系统做案而未被察觉。这很大程度上反映其所在单位在信息安全管理上存在漏洞。（二）可操作的信息资源保密管理办法滞后数据大集中是近年来税务信息化领域最为火热的话题。现在各地业务数据都逐步上收和集中到省、市级数据中心，实现了广泛的资源共享，税务系统内部的信息孤岛已被打破。我们在享受数据大集中带来便捷高效的同时，不能忽视信息资源保密问题。《税收征管法》已明确规定，税务机关有为纳税人保守个人隐私和财务信息秘密的义务。税务信息系统中储存着纳税人丰富的经济信息资料，如：财务报表、纳税情况、购销明细信息、稽查情况等；每位税务干部每天都要在系统中处理或查询大量的电子信息，但各级税务部门都没有一个与之配套的信息保密管理办法来约束这些电子信息的使用，防止非法外流，仅依赖应用软件自带的权限管理来约束信息获知量，这是远远不够的。（三）防计算机病毒攻击能力不足近年来，各种各样的计算机病毒层出不穷，尤其是蠕虫病毒，更让人防不胜防。这种病毒利用操作系统和应用程序的漏洞主动进行攻击，利用多种传播方式传播，并容易产生变种，以逃脱防病毒软件的搜索。国税系统虽早已建成覆盖总局、省局、市局、县（区）局、税务所的五级金税工程网络，但由于防计算机病毒攻击建设滞后，不能对整个网络进行全方位、多层次的病毒防护，而蠕虫病则可充分利用网络快速传播，阻塞网络，给信息系统造成巨大破坏。在最近的“震荡波”病毒事件中，南昌市国税局有100多台计算机受到攻击，一个税务分局被迫中断办税服务一天，纳税人抱怨颇多，全市税收信息系统安全受到严重威胁。（四）网络安全建设缺乏整体规划税务系统的网络规模很庞大，许多省市税务局在建立内部业务网的基础上，陆续建立了与当地政府及相关部门（如：财政、海关、银行、工商等）的信息交换网络、网上电子报税和缴税服务的纳税申报网络、面向社会公众的外部服务网络等。各地在这些网络的安全建设上，通常只局限于各子系统，缺乏全局性的统筹规划，以致标准不一，部署的安全产品五花八门。这不仅给日常的监控维护带来不便，而且容易出现管理上的脱节，留下安全隐患。二、防范对策（一）强化管理落实信息安全管理制度信息安全源于有效的管理。不管信息安全技术有多先进，都只是实现信息安全管理的手段而已。随着税务信息化程度的不断提高,税收管理工作越来越依赖于税务信息系统,领导层逐步开始重视信息安全工作，认识到信息安全不只是一个技术问题，信息安全管理的职责也不只局限于技术部门，信息安全管理是一个需要领导层参与的工作，信息安全管理应当逐渐成为现有管理措施不可或缺的一部分。税务系统从上至下都要加强对信息安全工作的领导，如制定相应的机房出入管理制度，口令密码管理制度等，建立健全信息安全管理责任制。建立严密的计算机管理规章制度和监督机制，形成内部各层人员、各职能部门、各应用系统的相互制约关系，杜绝内部安全隐患；制定严格的操作规程，根据职责分离和对人负责的原则，各负其责，不能超越自己的管辖范围；制定完善的系统维护制度，详细记录故障原因、维护内容和维护前后的情况；建立良好的故障处理反应机制，保障税务信息系统的安全正常运行。特别要强调的是，信息系统安全管理制度中应包含信息保密管理制度，明确工作人员在处理、保存和传输敏感数据时的正确做法，确保受保护信息不会在非授权的情况下被修改和公开。（二）加强人员培训安全意识和相关技能的培训是税务系统安全管理中重要的内容，其实施力度将直接关系到税务系统安全策略被理解的程度和被执行的效果。为了保证信息系统安全策略的成功有效地实施，应当对各级管理人员、操作人员、技术人员进行安全培训，使他们牢固树立技术的先进永远是相对的，决不能有单纯依赖于先进技术和先进设备的思想，真正认识到信息系统安全的重要性和解决这一问题的长期性、艰巨性及复杂性。在安全教育具体实施过程中应该分层次进行：1、信息安全工作负责人或各级管理人员，重点是了解、掌握信息安全的整体策略及目标、信息安全体系的构成、管理制度的制定等；2、负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等；3、操作人员，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。（三）建立完善的信息系统安全技术保障体系1、制订统一的安全技术标准和技术规范税务系统应该制定一套符合本系统实际的统一的安全技术标准和技术规范,以此作为各地进行安全管理体系建设的依据和指导。目前可参照的国内外安全技术标准主要有:●BS7799国际上具有代表性的信息安全管理体系标准，已经有二十几个国家引用作为国标；BS7799中的信息安全管理实施细则部分于2000年通过国际标准化组织（ISO）认可，是税务系统实施和维护信息安全比较好的参考文档。●ISO13335IT安全管理方针是一个信息安全管理指南，用户完全可以参照这个完整的标准制订出自己的安全管理计划和实施步骤。ISO13335相对BS7799来说对IT技术部分有更加详细的描述并且可操作性较强，特别是对安全管理过程中的风险分析和管理有非常细致的描述。●GA/T391—2002计算机信息系统安全等级保护管理要求国内适用性比较好的一个标准,它对计算机信息系统明确要求不论规模如何，为保障信息的机密性、完整性、可用性、可控性和抗抵赖性，都应建立有效的安全管理体系，按计算机信息系统安全等级保护的要求实施安全管理。2、建立信息系统安全监控中心税务信息系统安全管理不能仅依赖于某些安全产品，但良好的安全技术基础架构能有效的推动和保障信息系统安全管理。从一些省市税务局的成功经验来看，以市局级为单位建立信息系统安全监控中心值得借鉴。税务信息系统安全作为一个整体，需要把安全过程中的有关各方纳入一个紧密的统一安全管理平台中，才能有效地保障网络安全。税务系统大多以市局级为中心实现集中，其信息系统的核心软件、设备以及外网的接入都在市局，通过建立市局级信息系统安全监控中心，一是实现安全设备的集中管理。将系统内网和外网节点处的安全产品纳入统一的平台管理，系统管理员在一个统一的界面中可以监视到网络中每个安全产品的运行情况，全面获取网络安全实时状态信息，解决网络安全管理中的透明性问题和可控制性问题。二是实现安全服务的集中管理。建立相关安全软件、补丁信息库，提供查询、统计、分发、分析功能；自动搜集系统漏洞信息、对信息系统进行入侵检测和预警，完成信息系统的补丁加载等工作。现在网络上横行的蠕虫病毒大多是利用系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性，保持各种操作系统和应用软件的更新。3、部署网络版防病毒软件随着网络的发展，计算机病毒传染愈加不可预知，而且传染更具隐蔽性，传染途径更趋多样化，建立防病毒体系已不是单纯的几种防病毒产品的堆积，它的重点在于针对现有的网络环境，对网络中所有可能存在的病毒侵入点进行详细的分析，实现全网的智能、高效和统一的安全管理，做到对整个网络进行全方位、多层次的病毒防护，对所有可能存在的病毒的侵入点进行防护。目前税务系统的防病毒软件大多为单机版，需要不定期更新病毒代码，而现在的病毒代码库每周需更新2-3次，管理人员的工作量很大，同时也无法对网络内病毒的发生进行实时监控。为此应积极设法部署网络版防病毒软件，切实提高对病毒的查杀能力、监控能力和对新病毒的反应能力，实现第一时间检测出网络异常和病毒攻击，实时更新防病毒服务器和网内工作站的病毒代码，真正做到集中控制和实时监控。虽然，相比单机版，网络版防病毒的资金投入更大，但从计算机病毒已经和可能造成的损失分析，购买高效的网络防病毒软件的确物有所值。信息系统安全管理不是一成不变的，它是一个动态的过程，随着安全攻击和防范技术的发展,税务系统的安全策略也必须分阶段进行调整，只有建立良好的信息安全管理机制，做到技术和管理的良好配合，才是实现税务信息系统风险防范长期有效的途径。