稅務(wù)電子政務(wù)信息系統(tǒng)探討論文
前言:本站為你精心整理了稅務(wù)電子政務(wù)信息系統(tǒng)探討論文范文,希望能為你的創(chuàng)作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
摘要:稅務(wù)電子政務(wù)的實施為稅務(wù)部門承擔(dān)的稅收管理和服務(wù)實現(xiàn)電子化、網(wǎng)絡(luò)化和透明、高效開辟了廣闊的空間。然而稅務(wù)電子政務(wù)信息系統(tǒng)的安全問題也變得更加突出、嚴重。認識電子政務(wù)信息系統(tǒng)安全的威脅,把握系統(tǒng)安全的影響因素和要求,建設(shè)系統(tǒng)安全保障體系,對保證稅務(wù)電子政務(wù)的有效運行具有重要意義。
關(guān)鍵詞:稅務(wù);政務(wù)信息系統(tǒng);安全體系
引言
所謂稅務(wù)電子政務(wù)是指稅務(wù)部門運用現(xiàn)代電腦和網(wǎng)絡(luò)技術(shù),將其承擔(dān)的稅務(wù)管理和服務(wù)職能轉(zhuǎn)移到網(wǎng)絡(luò)上進行,同時實現(xiàn)稅務(wù)部門組織結(jié)構(gòu)和工作流程的重組優(yōu)化,超越時間、空間和部門分隔的制約,向社會和納稅人提供高效優(yōu)質(zhì)、規(guī)范透明和全方位的管理與服務(wù)。稅務(wù)電子政務(wù)的實施使得稅務(wù)部門事務(wù)變得公開、高效、透明、廉潔和信息共享,與此同時,也使得政務(wù)信息系統(tǒng)安全問題更加突出和嚴重,影響稅務(wù)電子政務(wù)信息系統(tǒng)功能的發(fā)揮,甚至對稅務(wù)部門和納稅人產(chǎn)生危害,嚴重的還將對國家信息安全乃至國家安全產(chǎn)生威脅。因此,建設(shè)稅務(wù)電子政務(wù)信息系統(tǒng)安全的保障體系是發(fā)展稅務(wù)電子政務(wù)的關(guān)鍵所在,具有極其重要的意義。
1稅務(wù)電子政務(wù)系統(tǒng)安全體系概述
稅務(wù)電子政務(wù)系統(tǒng)安全體系方面的研究始終是學(xué)術(shù)界研究重點和稅務(wù)部門、企業(yè)界廣泛關(guān)注的焦點之一,已經(jīng)出現(xiàn)了較多的研究成果和實踐案例,比如將稅務(wù)電子政務(wù)安全相關(guān)標準分成信息安全總體標準、密碼算法、密碼管理標準、防信息泄漏標準、信息安全產(chǎn)品標準、系統(tǒng)與網(wǎng)路安全標準、信息安全評估標準、信息安全管理標準8個類別;將稅務(wù)電子政務(wù)安全體系劃分為“網(wǎng)絡(luò)安全政策法規(guī)、網(wǎng)絡(luò)安全組織管理、網(wǎng)絡(luò)安全標準規(guī)范、網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)、網(wǎng)絡(luò)安全技術(shù)產(chǎn)品和網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施”六個組成部分;將稅務(wù)電子政務(wù)安全保障體系劃分為安全法規(guī)、安全管理、安全標準、安全服務(wù)、安全技術(shù)產(chǎn)品和安全基礎(chǔ)設(shè)施6大要素;部分廠商則或者從網(wǎng)絡(luò)、傳輸、存儲安全以及可靠性、隱秘性、易維護性等角度構(gòu)建安全體系,或者從物理、網(wǎng)絡(luò)、主機、應(yīng)用角度設(shè)計;或者從物理隔離、基礎(chǔ)平臺安全、應(yīng)用平臺安全和安全管理四個方面進行總體考慮。
2如何構(gòu)建完善的稅務(wù)電子政務(wù)系統(tǒng)安全體系
我們知道,稅務(wù)電子政務(wù)系統(tǒng)安全體系是整個稅務(wù)電子政務(wù)系統(tǒng)安全、有效、高效運行的重要保證,因此安全體系應(yīng)切合稅務(wù)電子政務(wù)系統(tǒng)實際需求,在保證物理安全和網(wǎng)絡(luò)安全的基礎(chǔ)上,充分保證數(shù)據(jù)安全和應(yīng)用系統(tǒng)安全,同時通過安全制度建設(shè)和安全教育培訓(xùn)實現(xiàn)安全體系有效實施,以全面保證稅務(wù)電子政務(wù)應(yīng)用系統(tǒng)中各類信息的采集、處理、管理、傳輸?shù)劝踩M行,并滿足將來稅務(wù)電子政務(wù)系統(tǒng)安全方面的擴展需求。下面我們將在闡述稅務(wù)電子政務(wù)系統(tǒng)安全體系基本構(gòu)建原則的基礎(chǔ)上,從物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用系統(tǒng)安全、安全制度建設(shè)、安全教育和培訓(xùn)等方面對完善的稅務(wù)電子政務(wù)安全體系進行說明。
(1)構(gòu)建電子政務(wù)系統(tǒng)安全體系的基本原則
參照我國稅務(wù)電子政務(wù)建設(shè)指導(dǎo)意見并結(jié)合稅務(wù)電子政務(wù)安全體系方面的研究,我認為:構(gòu)建稅務(wù)電子政務(wù)系統(tǒng)安全體系應(yīng)當(dāng)遵循以下原則:
Ÿ1)全面設(shè)計、整體部署
2)統(tǒng)一標準,加強管理
Ÿ3)需求主導(dǎo),重點突出
Ÿ4)靈活配置、動態(tài)部署
5)制度建設(shè)、安全培訓(xùn)
(2)電子政務(wù)系統(tǒng)安全體系之物理安全
物理安全是整個稅務(wù)電子政務(wù)系統(tǒng)安全的前提,用于保證計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞。稅務(wù)電子政務(wù)系統(tǒng)安全體系中的物理安全可以分為環(huán)境安全、設(shè)備安全和媒體安全,涉及到稅務(wù)電子政務(wù)系統(tǒng)應(yīng)用范圍內(nèi)的各方主體。其中,環(huán)境安全是對系統(tǒng)運行環(huán)境的安全保護,如區(qū)域保護和災(zāi)難保護等,具體可以參照國家標準GB50173-93、GB2887-89、GB9361-88等相關(guān)要求進行設(shè)計;設(shè)備安全則主要包括存儲、傳輸或系統(tǒng)運行所用設(shè)備的防盜、防毀、防磁、防止線路截獲、抗電磁干擾及電源保護等;媒體安全則包括存儲媒體本身的安全以及媒體中存儲數(shù)據(jù)安全。
(3)稅務(wù)電子政務(wù)系統(tǒng)安全體系之網(wǎng)絡(luò)安全
稅務(wù)電子政務(wù)系統(tǒng)安全體系之網(wǎng)絡(luò)安全主要分為傳輸網(wǎng)絡(luò)安全和業(yè)務(wù)網(wǎng)絡(luò)安全兩類。對于稅務(wù)電子政務(wù)系統(tǒng)相關(guān)的傳輸網(wǎng)絡(luò),網(wǎng)絡(luò)安全主要是保證參與稅務(wù)電子政務(wù)系統(tǒng)各方主體之間的數(shù)據(jù)傳輸網(wǎng)絡(luò)以及公共網(wǎng)絡(luò)服務(wù)的安全可靠運行,從目前稅務(wù)電子政務(wù)建設(shè)情況來看,傳輸網(wǎng)絡(luò)安全目前需要由網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供商或服務(wù)商為其安全性提供充分保證。對于稅務(wù)電子政務(wù)系統(tǒng)相關(guān)的業(yè)務(wù)網(wǎng)絡(luò),網(wǎng)絡(luò)安全主要包括控制撥號用戶接入、設(shè)置防火墻、防范病毒、控制與公網(wǎng)互連、防范黑客入侵以及就網(wǎng)絡(luò)安全進行嚴格監(jiān)控和規(guī)范管理等以保護業(yè)務(wù)網(wǎng)絡(luò)資源和電子政務(wù)應(yīng)用服務(wù)。
1)撥號用戶接入問題:
目前,我國稅務(wù)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)建設(shè)并不完善,還存在部分網(wǎng)絡(luò)環(huán)境較差的單位,在使用稅務(wù)電子政務(wù)系統(tǒng)的時候需要通過撥號方式利用公用電話交換網(wǎng)在網(wǎng)絡(luò)上傳輸數(shù)據(jù)。以該種方式傳輸?shù)臄?shù)據(jù)可能在傳輸過程中被竊聽、被篡改,因此針對由于使用撥號方式傳輸數(shù)據(jù)所產(chǎn)生的安全隱患,需要采用撥號用戶身份認證等加強對撥號用戶的安全驗證,對撥號用戶實現(xiàn)統(tǒng)一管理,采用加密手段對關(guān)鍵數(shù)據(jù)加密后進行傳輸,防止數(shù)據(jù)泄漏和被非法竊取;嚴格限制撥號上網(wǎng)用戶能訪問的系統(tǒng)信息和系統(tǒng)資源,防止非法用戶撥號進入電子政務(wù)系統(tǒng)所在網(wǎng)絡(luò)。
2)防火墻設(shè)置問題:
在稅務(wù)電子政務(wù)系統(tǒng)運行所在專網(wǎng)和外網(wǎng)之間、不同安全域之間需要根據(jù)需要設(shè)置防火墻,依據(jù)安全政策對出入網(wǎng)絡(luò)的信息流進行控制,有條件地允許、拒絕、檢測或過濾。防火墻設(shè)置需要綜合考慮電子政務(wù)系統(tǒng)所要求的速度、性能、管理、便易性和性價比等各個方面,進行周密設(shè)計和總體規(guī)劃;另外應(yīng)注意加強安全管理,采取一些必要的措施保證較高的安全性,比如防火墻要安裝在不同的介質(zhì)上,盡量使用不同的服務(wù)器提供不同性質(zhì)的服務(wù),對于重要系統(tǒng)的出口應(yīng)重點配置防火墻,在實際配置和實施時應(yīng)該關(guān)閉不需要的服務(wù),要經(jīng)常檢查防火墻的日志,發(fā)現(xiàn)異常應(yīng)該及時處理,采取多層防御、冗余防御等多種方法和措施。
3)關(guān)于防病毒問題:
在稅務(wù)電子政務(wù)系統(tǒng)中,需要基于業(yè)務(wù)需求建立多層次病毒防衛(wèi)體系。無論是B/S還是C/S結(jié)構(gòu),均需要在稅務(wù)電子政務(wù)系統(tǒng)每一個安裝或運行點強調(diào)安裝反病毒軟件,在稅務(wù)電子政務(wù)系統(tǒng)中的業(yè)務(wù)處理終端和服務(wù)器端應(yīng)同時提供對應(yīng)的防病毒保護措施。防病毒工作是一個長期的工作,應(yīng)及時進行防病毒軟件或系統(tǒng)的升級、換代工作。另外除了采用各種防病毒產(chǎn)品以外,還應(yīng)建立和實施完善的綜合安全性操作程序,該操作程序應(yīng)包括各種安全措施,如定期數(shù)據(jù)備份、關(guān)鍵信息加密保護等。
4)控制與公網(wǎng)互連的問題:
在稅務(wù)電子政務(wù)系統(tǒng)中,數(shù)據(jù)傳輸?shù)姆绞揭话惆堎|(zhì)傳輸、介質(zhì)傳輸和網(wǎng)絡(luò)傳輸,因此對于公網(wǎng)傳輸?shù)那闆r應(yīng)加強安全方面的管理和控制。稅務(wù)電子政務(wù)系統(tǒng)要求內(nèi)外網(wǎng)物理隔離,一般可以采用雙穴主機及類似措施,在嚴格控制與公網(wǎng)互連的前提下,妥善解決公網(wǎng)與專網(wǎng)之間的數(shù)據(jù)傳輸問題。
5)關(guān)于防止黑客問題:
隨著網(wǎng)絡(luò)規(guī)模的擴張和信息技術(shù)的飛速發(fā)展,黑客技術(shù)也不斷發(fā)展,其攻擊的范圍和層次也不斷擴張。稅務(wù)電子政務(wù)系統(tǒng)作為我國政府信息化的重要項目(比如金稅工程、秦稅工程等)也有可能成為某些惡意黑客的攻擊對象。因此在設(shè)計和實施稅務(wù)電子政務(wù)系統(tǒng)安全體系時,應(yīng)加強采用入侵檢測技術(shù)防范黑客入侵和侵襲,并在必要的時候采取證據(jù)記錄、跟蹤恢復(fù)、強制斷開等措施保證業(yè)務(wù)網(wǎng)絡(luò)的安全。
6)網(wǎng)絡(luò)安全管理和監(jiān)測:
網(wǎng)絡(luò)安全管理和監(jiān)測是稅務(wù)電子政務(wù)系統(tǒng)安全設(shè)施和安全機制有效發(fā)揮作用的重要保證,主要包括安全規(guī)范的制定和實施、各類操作用戶的安全管理、安全體系的運營監(jiān)控、應(yīng)急處理和安全控制等。
(4)稅務(wù)電子政務(wù)系統(tǒng)安全體系之?dāng)?shù)據(jù)安全
稅務(wù)電子政務(wù)系統(tǒng)一般將需要采集、整理、處理、傳輸、統(tǒng)計、分析等所對應(yīng)的數(shù)據(jù)進行安全分級,比如有些系統(tǒng)將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和關(guān)鍵數(shù)據(jù)三級,有些系統(tǒng)將數(shù)據(jù)分為自主保護、審計保護、標記保護、結(jié)構(gòu)化保護和驗證保護五級等,然后對于不同級別的數(shù)據(jù)采用不同的安全措施。
根據(jù)數(shù)據(jù)的處理形式不同,安全體系之?dāng)?shù)據(jù)安全可以分為數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)庫安全三個方面。
(5)稅務(wù)電子政務(wù)系統(tǒng)安全體系之應(yīng)用系統(tǒng)安全
稅務(wù)電子政務(wù)系統(tǒng)安全體系之應(yīng)用系統(tǒng)安全主要包括用戶身份認證、訪問控制、安全審計及日志、安全技術(shù)及應(yīng)用四個部分。
1)用戶身份認證
這里的用戶是一個比較寬泛的概念,不僅包括使用稅務(wù)電子政務(wù)系統(tǒng)的政務(wù)工作者(人),還包括訪問或者使用稅務(wù)電子政務(wù)系統(tǒng)的其他系統(tǒng)或者主機、服務(wù)器等(系統(tǒng)、計算機)。
用戶身份認證根據(jù)稅務(wù)電子政務(wù)系統(tǒng)是否部署認證中心CA可以劃分為如下兩種情形:當(dāng)稅務(wù)電子政務(wù)系統(tǒng)中沒有部署認證中心CA時,一般采用用戶名稱、密碼、附加驗證碼的形式進行用戶身份認證。只有稅務(wù)電子政務(wù)系統(tǒng)的數(shù)據(jù)庫中保存了該用戶的記錄,并且該用戶具有合法訪問當(dāng)前稅務(wù)電子政務(wù)系統(tǒng)的權(quán)限,用戶才能夠登錄當(dāng)前稅務(wù)電子政務(wù)系統(tǒng)。如果稅務(wù)電子政務(wù)系統(tǒng)部署了認證中心CA,那么一般CA是在全系統(tǒng)部署并發(fā)揮作用的,每個稅務(wù)電子政務(wù)系統(tǒng)用戶首先向CA申請數(shù)字證書并以此作為用戶參與稅務(wù)電子政務(wù)系統(tǒng)的合法身份。超級秘書網(wǎng)
用戶身份認證一般發(fā)生于用戶登錄稅務(wù)電子政務(wù)系統(tǒng)時或者不同稅務(wù)電子政務(wù)系統(tǒng)之間傳遞數(shù)據(jù)時的情況。在用戶登錄稅務(wù)電子政務(wù)系統(tǒng)時,需要對登錄用戶持有的數(shù)字證書進行認證,以保證只有合法持有有效數(shù)字證書的用戶才能夠登錄稅務(wù)電子政務(wù)系統(tǒng),同時還需要進行安全審計和記錄系統(tǒng)安全日志。
2)訪問控制
在稅務(wù)電子政務(wù)系統(tǒng)中,需要指定各個應(yīng)用層次中的每一個用戶所能夠訪問的業(yè)務(wù)資源和系統(tǒng)資源,也即訪問控制和權(quán)限分配策略。
這里的權(quán)限不但包括用戶能否訪問的業(yè)務(wù)范圍、業(yè)務(wù)數(shù)據(jù)、數(shù)據(jù)的訪問方式、操作類型等,還包括稅務(wù)電子政務(wù)系統(tǒng)相關(guān)的系統(tǒng)資源,包括打印、郵件等。
3)安全技術(shù)及應(yīng)用
根據(jù)安全級別的劃分,可以采用包括數(shù)據(jù)加密與解密、數(shù)據(jù)摘要及驗證、數(shù)字簽名及驗證、時間戳加蓋及驗證等在內(nèi)的安全技術(shù)保證系統(tǒng)的安全性、完整性和不可否認性。
(6)稅務(wù)電子政務(wù)系統(tǒng)安全體系之安全制度建設(shè)
稅務(wù)電子政務(wù)系統(tǒng)安全體系要真正發(fā)揮作用,還需要制定安全制度并嚴格實施。一般的,安全制度包括人員安全管理、系統(tǒng)文檔管理、環(huán)境安全管理、設(shè)備購置使用、系統(tǒng)開發(fā)管理、運營安全管理、應(yīng)急情況處理等內(nèi)容。
(7)稅務(wù)電子政務(wù)系統(tǒng)安全體系之安全教育和培訓(xùn)
稅務(wù)電子政務(wù)系統(tǒng)中,用戶安全意識及其掌握的安全知識是整個安全體系高效、有效運行和正常維護的重要因素之一,因此在電子政務(wù)系統(tǒng)的設(shè)計、研發(fā)、實施、運維、服務(wù)的過程中,應(yīng)建立完善的安全教育和培訓(xùn)體系,以定期或不定期對電子政務(wù)系統(tǒng)涉及的各類用戶進行安全相關(guān)的教育和培訓(xùn)。
綜上所述,建立全方位、多層次的、完善的稅務(wù)電子政務(wù)系統(tǒng)安全體系,應(yīng)從物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用系統(tǒng)安全、安全制度建設(shè)、安全教育培訓(xùn)六個方面進行全面、細致規(guī)劃和周密、整體部署。另外,在構(gòu)建稅務(wù)電子政務(wù)系統(tǒng)安全體系的同時,還需要注意切合稅務(wù)電子政務(wù)系統(tǒng)實際進行設(shè)計,安全思路清晰、安全體系全面、安全重點突出等相關(guān)問題。
參考文獻:
1曹凌,耿鵬.電子政務(wù)管理模式探析.西安電子科技大學(xué)學(xué)報(社科版),2001(9)
2婁策群.保障電子政府信息安全是政策選擇.情報科學(xué),2002(5)
3王晉東,張明清,韓繼紅.信息系統(tǒng)安全技術(shù)策略研究.計算機應(yīng)用研究,2001(5)
