稅務電子政務信息系統探討論文

前言：本站為你精心整理了稅務電子政務信息系統探討論文范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：稅務電子政務的實施為稅務部門承擔的稅收管理和服務實現電子化、網絡化和透明、高效開辟了廣闊的空間。然而稅務電子政務信息系統的安全問題也變得更加突出、嚴重。認識電子政務信息系統安全的威脅，把握系統安全的影響因素和要求，建設系統安全保障體系，對保證稅務電子政務的有效運行具有重要意義。

關鍵詞：稅務；政務信息系統；安全體系

引言

所謂稅務電子政務是指稅務部門運用現代電腦和網絡技術，將其承擔的稅務管理和服務職能轉移到網絡上進行，同時實現稅務部門組織結構和工作流程的重組優化，超越時間、空間和部門分隔的制約，向社會和納稅人提供高效優質、規范透明和全方位的管理與服務。稅務電子政務的實施使得稅務部門事務變得公開、高效、透明、廉潔和信息共享，與此同時，也使得政務信息系統安全問題更加突出和嚴重，影響稅務電子政務信息系統功能的發揮，甚至對稅務部門和納稅人產生危害，嚴重的還將對國家信息安全乃至國家安全產生威脅。因此，建設稅務電子政務信息系統安全的保障體系是發展稅務電子政務的關鍵所在，具有極其重要的意義。

1稅務電子政務系統安全體系概述

稅務電子政務系統安全體系方面的研究始終是學術界研究重點和稅務部門、企業界廣泛關注的焦點之一，已經出現了較多的研究成果和實踐案例，比如將稅務電子政務安全相關標準分成信息安全總體標準、密碼算法、密碼管理標準、防信息泄漏標準、信息安全產品標準、系統與網路安全標準、信息安全評估標準、信息安全管理標準8個類別；將稅務電子政務安全體系劃分為“網絡安全政策法規、網絡安全組織管理、網絡安全標準規范、網絡安全服務產業、網絡安全技術產品和網絡安全基礎設施”六個組成部分；將稅務電子政務安全保障體系劃分為安全法規、安全管理、安全標準、安全服務、安全技術產品和安全基礎設施6大要素；部分廠商則或者從網絡、傳輸、存儲安全以及可靠性、隱秘性、易維護性等角度構建安全體系，或者從物理、網絡、主機、應用角度設計；或者從物理隔離、基礎平臺安全、應用平臺安全和安全管理四個方面進行總體考慮。

2如何構建完善的稅務電子政務系統安全體系

我們知道，稅務電子政務系統安全體系是整個稅務電子政務系統安全、有效、高效運行的重要保證，因此安全體系應切合稅務電子政務系統實際需求，在保證物理安全和網絡安全的基礎上，充分保證數據安全和應用系統安全，同時通過安全制度建設和安全教育培訓實現安全體系有效實施，以全面保證稅務電子政務應用系統中各類信息的采集、處理、管理、傳輸等安全進行，并滿足將來稅務電子政務系統安全方面的擴展需求。下面我們將在闡述稅務電子政務系統安全體系基本構建原則的基礎上，從物理安全、網絡安全、數據安全、應用系統安全、安全制度建設、安全教育和培訓等方面對完善的稅務電子政務安全體系進行說明。

（1）構建電子政務系統安全體系的基本原則

參照我國稅務電子政務建設指導意見并結合稅務電子政務安全體系方面的研究，我認為：構建稅務電子政務系統安全體系應當遵循以下原則：

Ÿ1）全面設計、整體部署

2）統一標準，加強管理

Ÿ3）需求主導，重點突出

Ÿ4）靈活配置、動態部署

5）制度建設、安全培訓

（2）電子政務系統安全體系之物理安全

物理安全是整個稅務電子政務系統安全的前提，用于保證計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞。稅務電子政務系統安全體系中的物理安全可以分為環境安全、設備安全和媒體安全，涉及到稅務電子政務系統應用范圍內的各方主體。其中，環境安全是對系統運行環境的安全保護，如區域保護和災難保護等，具體可以參照國家標準GB50173-93、GB2887-89、GB9361-88等相關要求進行設計；設備安全則主要包括存儲、傳輸或系統運行所用設備的防盜、防毀、防磁、防止線路截獲、抗電磁干擾及電源保護等；媒體安全則包括存儲媒體本身的安全以及媒體中存儲數據安全。

（3）稅務電子政務系統安全體系之網絡安全

稅務電子政務系統安全體系之網絡安全主要分為傳輸網絡安全和業務網絡安全兩類。對于稅務電子政務系統相關的傳輸網絡，網絡安全主要是保證參與稅務電子政務系統各方主體之間的數據傳輸網絡以及公共網絡服務的安全可靠運行，從目前稅務電子政務建設情況來看，傳輸網絡安全目前需要由網絡基礎設施提供商或服務商為其安全性提供充分保證。對于稅務電子政務系統相關的業務網絡，網絡安全主要包括控制撥號用戶接入、設置防火墻、防范病毒、控制與公網互連、防范黑客入侵以及就網絡安全進行嚴格監控和規范管理等以保護業務網絡資源和電子政務應用服務。

1）撥號用戶接入問題：

目前，我國稅務電子政務系統網絡建設并不完善，還存在部分網絡環境較差的單位，在使用稅務電子政務系統的時候需要通過撥號方式利用公用電話交換網在網絡上傳輸數據。以該種方式傳輸的數據可能在傳輸過程中被竊聽、被篡改，因此針對由于使用撥號方式傳輸數據所產生的安全隱患，需要采用撥號用戶身份認證等加強對撥號用戶的安全驗證，對撥號用戶實現統一管理，采用加密手段對關鍵數據加密后進行傳輸，防止數據泄漏和被非法竊取；嚴格限制撥號上網用戶能訪問的系統信息和系統資源，防止非法用戶撥號進入電子政務系統所在網絡。

2）防火墻設置問題：

在稅務電子政務系統運行所在專網和外網之間、不同安全域之間需要根據需要設置防火墻，依據安全政策對出入網絡的信息流進行控制，有條件地允許、拒絕、檢測或過濾。防火墻設置需要綜合考慮電子政務系統所要求的速度、性能、管理、便易性和性價比等各個方面，進行周密設計和總體規劃；另外應注意加強安全管理，采取一些必要的措施保證較高的安全性，比如防火墻要安裝在不同的介質上，盡量使用不同的服務器提供不同性質的服務，對于重要系統的出口應重點配置防火墻，在實際配置和實施時應該關閉不需要的服務，要經常檢查防火墻的日志，發現異常應該及時處理，采取多層防御、冗余防御等多種方法和措施。

3）關于防病毒問題：

在稅務電子政務系統中，需要基于業務需求建立多層次病毒防衛體系。無論是B/S還是C/S結構，均需要在稅務電子政務系統每一個安裝或運行點強調安裝反病毒軟件，在稅務電子政務系統中的業務處理終端和服務器端應同時提供對應的防病毒保護措施。防病毒工作是一個長期的工作，應及時進行防病毒軟件或系統的升級、換代工作。另外除了采用各種防病毒產品以外，還應建立和實施完善的綜合安全性操作程序，該操作程序應包括各種安全措施，如定期數據備份、關鍵信息加密保護等。

4）控制與公網互連的問題：

在稅務電子政務系統中，數據傳輸的方式一般包括紙質傳輸、介質傳輸和網絡傳輸，因此對于公網傳輸的情況應加強安全方面的管理和控制。稅務電子政務系統要求內外網物理隔離，一般可以采用雙穴主機及類似措施，在嚴格控制與公網互連的前提下，妥善解決公網與專網之間的數據傳輸問題。

5）關于防止黑客問題：

隨著網絡規模的擴張和信息技術的飛速發展，黑客技術也不斷發展，其攻擊的范圍和層次也不斷擴張。稅務電子政務系統作為我國政府信息化的重要項目（比如金稅工程、秦稅工程等）也有可能成為某些惡意黑客的攻擊對象。因此在設計和實施稅務電子政務系統安全體系時，應加強采用入侵檢測技術防范黑客入侵和侵襲，并在必要的時候采取證據記錄、跟蹤恢復、強制斷開等措施保證業務網絡的安全。

6）網絡安全管理和監測：

網絡安全管理和監測是稅務電子政務系統安全設施和安全機制有效發揮作用的重要保證，主要包括安全規范的制定和實施、各類操作用戶的安全管理、安全體系的運營監控、應急處理和安全控制等。

（4）稅務電子政務系統安全體系之數據安全

稅務電子政務系統一般將需要采集、整理、處理、傳輸、統計、分析等所對應的數據進行安全分級，比如有些系統將數據分為一般數據、重要數據和關鍵數據三級，有些系統將數據分為自主保護、審計保護、標記保護、結構化保護和驗證保護五級等，然后對于不同級別的數據采用不同的安全措施。

根據數據的處理形式不同，安全體系之數據安全可以分為數據傳輸安全、數據存儲安全、數據庫安全三個方面。

（5）稅務電子政務系統安全體系之應用系統安全

稅務電子政務系統安全體系之應用系統安全主要包括用戶身份認證、訪問控制、安全審計及日志、安全技術及應用四個部分。

1）用戶身份認證

這里的用戶是一個比較寬泛的概念，不僅包括使用稅務電子政務系統的政務工作者（人），還包括訪問或者使用稅務電子政務系統的其他系統或者主機、服務器等（系統、計算機）。

用戶身份認證根據稅務電子政務系統是否部署認證中心CA可以劃分為如下兩種情形：當稅務電子政務系統中沒有部署認證中心CA時，一般采用用戶名稱、密碼、附加驗證碼的形式進行用戶身份認證。只有稅務電子政務系統的數據庫中保存了該用戶的記錄，并且該用戶具有合法訪問當前稅務電子政務系統的權限，用戶才能夠登錄當前稅務電子政務系統。如果稅務電子政務系統部署了認證中心CA，那么一般CA是在全系統部署并發揮作用的，每個稅務電子政務系統用戶首先向CA申請數字證書并以此作為用戶參與稅務電子政務系統的合法身份。超級秘書網

用戶身份認證一般發生于用戶登錄稅務電子政務系統時或者不同稅務電子政務系統之間傳遞數據時的情況。在用戶登錄稅務電子政務系統時，需要對登錄用戶持有的數字證書進行認證，以保證只有合法持有有效數字證書的用戶才能夠登錄稅務電子政務系統，同時還需要進行安全審計和記錄系統安全日志。

2）訪問控制

在稅務電子政務系統中，需要指定各個應用層次中的每一個用戶所能夠訪問的業務資源和系統資源，也即訪問控制和權限分配策略。

這里的權限不但包括用戶能否訪問的業務范圍、業務數據、數據的訪問方式、操作類型等，還包括稅務電子政務系統相關的系統資源，包括打印、郵件等。

3）安全技術及應用

根據安全級別的劃分，可以采用包括數據加密與解密、數據摘要及驗證、數字簽名及驗證、時間戳加蓋及驗證等在內的安全技術保證系統的安全性、完整性和不可否認性。

（6）稅務電子政務系統安全體系之安全制度建設

稅務電子政務系統安全體系要真正發揮作用，還需要制定安全制度并嚴格實施。一般的，安全制度包括人員安全管理、系統文檔管理、環境安全管理、設備購置使用、系統開發管理、運營安全管理、應急情況處理等內容。

（7）稅務電子政務系統安全體系之安全教育和培訓

稅務電子政務系統中，用戶安全意識及其掌握的安全知識是整個安全體系高效、有效運行和正常維護的重要因素之一，因此在電子政務系統的設計、研發、實施、運維、服務的過程中，應建立完善的安全教育和培訓體系，以定期或不定期對電子政務系統涉及的各類用戶進行安全相關的教育和培訓。

綜上所述，建立全方位、多層次的、完善的稅務電子政務系統安全體系，應從物理安全、網絡安全、數據安全、應用系統安全、安全制度建設、安全教育培訓六個方面進行全面、細致規劃和周密、整體部署。另外，在構建稅務電子政務系統安全體系的同時，還需要注意切合稅務電子政務系統實際進行設計，安全思路清晰、安全體系全面、安全重點突出等相關問題。

參考文獻：

1曹凌，耿鵬．電子政務管理模式探析．西安電子科技大學學報(社科版)，2001(9)

2婁策群．保障電子政府信息安全是政策選擇．情報科學，2002(5)

3王晉東，張明清，韓繼紅．信息系統安全技術策略研究．計算機應用研究，2001(5)