稅務系統(tǒng)信息安全管理的問題研究

白心陽

摘要：21世紀是互聯(lián)網飛速發(fā)展的時代，我們享受著互聯(lián)網技術及相關產品帶來的便利，同時也承受著潛在的安全隱患。該文以地方稅務局為例，淺析了稅務系統(tǒng)中存在的信息安全管理的問題以及成因，并提出了個人的看法。

關鍵詞：稅務系統(tǒng)；信息安全；網絡安全

中圖分類號：TP3 文獻標識碼：A 文章編號：1009-3044（2017）25-0048-02

從整體上來說，我國的稅務系統(tǒng)是一個非常巨大以及復雜的系統(tǒng)，從業(yè)務的范疇來劃分，稅務系統(tǒng)分為國稅和地稅；而從地域等級來劃分，稅務系統(tǒng)可分為區(qū)縣級、地市級、省級、國家級。在整個稅務系統(tǒng)中，網絡結點數(shù)不勝數(shù)，應用軟件不計其數(shù)且正在逐代更新，對于這樣一個龐大且復雜的系統(tǒng)來說，安全隱患非常容易藏匿其中，比如網絡信息安全的隱患。在此期間，稅務體系中各位信息安全員長期地進行著鉆研和探究，在他們的不懈努力下，終于累積了一些應對稅務系統(tǒng)中頻繁出現(xiàn)的安全問題的經驗，總結出了一套有效的可行方法，且不斷地在進行著補充與完善，以促使稅務系統(tǒng)的順利運行并高效率地處理各種業(yè)務。

區(qū)縣級的地方稅務局相對于國家級、省級、地市級的稅務局來說，規(guī)模最小，屬于基層機關。網絡設備老化、基層干部網絡信息安全意識淡薄、信息部門技術工作人員人手不足等問題顯得尤為突出。本文旨在分析基層稅務機關的網絡安全管理現(xiàn)狀，并探究其中存在的問題以及解決方法。

近年來我國進入了互聯(lián)網技術飛速發(fā)展的時代，隨著信息技術水平的提高，大數(shù)據、云計算、互聯(lián)網+等詞匯不僅進入了我們的視線，相應的技術與算法還在我們生活的方方面面都起到重要作用，移動終端和無線技術也均廣泛應用于各行業(yè)領域。信息技術水平的提高也都體現(xiàn)在基層稅務單位中，例如開設移動終端支付窗口，配備POS機，使納稅人繳納稅款時更快捷方便；稅務相關的應用軟件逐代更新，舊的軟件相繼停止使用，功能更齊全的新軟件逐步替代了不能滿足工作需求的舊軟件，以便于更好地開展工作；網絡帶寬雖在增長，但趨勢略顯緩慢。稅務機關的網絡信息安全顯得尤為重要，所以，保障系統(tǒng)的順利運行、維護計算機等設備的正常使用和普及網絡安全知識是信息部門工作人員的日常工作。近期，我對地方稅務機關的網絡和信息系統(tǒng)進行了一定的觀察和了解，現(xiàn)就目前基層國稅系統(tǒng)的網絡信息安全問題談一點個人看法。

1 目前國稅系統(tǒng)網絡信息安全保障體系中存在的隱患

1.1 信息數(shù)據來源途徑較多，有一定的安全隱患

網絡之所以稱作網絡，是因為各結點之間是互相連通的，有著千絲萬縷的關系，各部分不能獨立存在的。目前網絡終端并不僅僅是分布在稅務系統(tǒng)基層單位，更是與稅庫銀聯(lián)網系統(tǒng)、網上辦稅系統(tǒng)相關聯(lián)，數(shù)據及信息在此之間存儲與運輸傳遞。此外，由于業(yè)務協(xié)作關系，國稅部門與地稅、工商，民政等部門建立了數(shù)據交換制度，真正地實現(xiàn)了數(shù)據共享，在享受著便利的同時，也有安全隱患埋伏其中。在數(shù)據采集的過程中，有需納稅人自行申報的電子數(shù)據，辦稅服務廳的工作人員和納稅人所持有的私人移動存儲設備在未經任何檢測和防范措施的情況下與辦稅服務廳的辦公計算機連接，辦公計算機很可能會被動地感染計算機病毒，并造成病毒在內部系統(tǒng)的傳播、眾所周知，計算機病毒的傳播速度非?？?，所以應做好防范措施，盡可能杜絕此情況發(fā)生。

1.2 機關工作人員網絡信息安全意識不足

非信息部門的基層工作人員普遍認為，機關內部有專業(yè)的信息安全工作人員作為保障，且辦公計算機都安裝了殺毒軟件，網絡以及信息安全不會出現(xiàn)紕漏，所以并未加以重視。但實際情況并非萬無一失，在業(yè)務工作中存在著以下不足之處：不設置通行口令或口令強度不足；認為只要安裝了殺毒軟件就能萬無一失，沒有定期進行病毒和木馬查殺；下發(fā)上級的通知文件時，隨意設定共享目錄且開放全部權限。

1.3 信息部門技術工作人員較少

據了解，區(qū)縣級別的稅務機關信息部門技術人員通常在一至三人，而辦公樓有五層，辦公計算機有七十余臺，UPS、交換機、無線路由器等其余網絡設備約二十余臺。由于技術人員一人分管多部門，不能實時監(jiān)測到非法入侵的攻擊，且網絡安全相關知識更新較慢。由于技術人員人手不足，所以外出參加專業(yè)的業(yè)務培訓機會也少，不能及時并有效地更新知識儲備，大多時候只能通過在網上找相關資料進行自學相關技術操作，來應對可能出現(xiàn)的安全問題。

今年五月，世界范圍內大規(guī)模爆發(fā)比特幣勒索病毒，病毒主要是將電腦中的文件進行加密，需支付高額贖金，否則將永遠無法打開文件。中國范圍內，使用校園網的高校是病毒重災區(qū)，其次病毒攻擊的對象便是國家機關。病毒爆發(fā)次日早上，信息技術人員緊急通知機關內部全體在職工作人員不要打開計算機，等待技術部門人員對計算機進行處理后再聯(lián)網辦理業(yè)務。當日，局里的兩名技術人員對七十余臺辦公計算機進行了打補丁和堵端口等操作，確保計算機的網絡以及信息安全，有力地應對了此次病毒攻擊。

如果技術人員沒有及時了解到病毒的種類、危害和應對辦法，將造成不可想象的后果。

1.4 對于來自內部的攻擊和越權訪問認識不足

就目前的情況來說，整個國稅系統(tǒng)都建立在假設內部絕對安全的基礎上，只設有最基礎的安全防護措施。由于稅務系統(tǒng)內部的業(yè)務相關性，外加內部之間疏于防范，導致存在著安全隱患。一旦內部出現(xiàn)問題，整個網絡都會遭到破壞，影響業(yè)務處理的進程。內部的惡意攻擊表現(xiàn)在超權限獲取并改動有關信息等。

內部的攻擊針對性比較強，而且內部人員對彼此的安全防護程度也比較了解，實施起來相對容易，容易造成重要數(shù)據及信息的篡改與丟失，在極大程度上損壞數(shù)據的完全性與真實性。

1.5 基層網絡設備存在安全隱患

一是網絡帶寬存在問題，網絡帶寬的增長趨勢略顯緩慢，每月的月初月末均是業(yè)務高峰期，每天的上午十點也是業(yè)務高峰期，機關單位的4M光線已經不能滿足工作需求。如果網絡帶寬不能滿足需求，就會造成網絡擁堵，降低辦理稅務業(yè)務的效率。二是設備老化，就目前的情況來說，基層機關單位的網絡設備由于使用時間較長且沒有備用設備，一旦發(fā)生故障網絡就會中斷。endprint

2 機關內部網絡安全隱患的成因。

2.1 基層國稅干部對網絡安全重視不足

各級機關都針對網絡信息安全制定一系列的制度，采取過一系列的措施，但是在日常的實際工作中落實不到位。有些干部對網絡安全的重要程度認識不足，網絡信息安全意識淡薄，所以做不到足夠的重視。

2.2 基層干部的“老齡化”

“老齡化”不單單是指年齡，更是指知識的老齡化。根據目前的情況來分析，基層單位的干部群體中，年齡在四十歲至五十五歲之間的干部占很大比重，中年工作人員對新事物新知識的敏銳程度和接納學習程度遠不如年輕工作人員。在日常的業(yè)務工作中，尤其是使用辦公計算機時，常會出現(xiàn)上文所說的不設置密碼、不定期查殺木馬病毒、隨意使用私人移動設備等問題。還有一點就是中年干部的英文能力普遍不如年輕的機關工作人員，使用計算機軟件時，對于一些彈出窗口的英文警告內容不重視，以至于不能很好地使用新版本軟件，造成部分數(shù)據丟失，篡改。無法保證網絡信息安全及數(shù)據的完全性與準確性。

2.3 信息化設備預算較少

網絡保障設施的置辦充足與否，很大一部分取決于基層辦公經費，基層辦公經費不足必定導致網絡設施不能及時更新?lián)Q代。比如機關正在使用的UPS，使用時間過長，設備已經老化，工作時容易出現(xiàn)電壓不穩(wěn)等情況，導致正在使用的計算機突然關機，造成數(shù)據信息的丟失。此外，信息部門的技術人員外出學習的機會也得不到保障，無法定期去與其他旗縣的技術工作人員參加培訓課程。

3 解決基層網絡安全管理現(xiàn)狀的個人看法

3.1 基層機關應建立網絡安全管理聯(lián)動機制

為了確保網絡安全以及業(yè)務的正常開展與運行，基層單位應在每個部門選取一名較為年輕的工作人員，成立網絡安全責任小組，定期和信息部門人員進行學習與交流，以協(xié)助本部門其他工作人員解決計算機與網絡中出現(xiàn)的常見問題，做好本部門基本的網絡維護，包括但不限于：IP地址管理，避免造成單位內部IP沖突；病毒木馬的防范；網絡及硬件設備的常見故障排除。如出現(xiàn)異常情況，應及時與機關內部的專業(yè)技術人員聯(lián)系，及時地進行溝通并解決問題，來保證單位內部的網絡及信息安全。

此項措施如果能順利落實，就會縮短網絡故障的處理時間，提高稅務業(yè)務辦理的效率。

在成立網絡安全責任小組的同時，應進一步普及網絡安全的重要性，做到基層機關內部人人都有足夠的網絡安全意識，每個人在做好本職工作的同時，也要保護好相關的數(shù)據信息的安全，避免造成數(shù)據丟失或被篡改。

3.2 進行網絡安全應急處理演練

緊急情況包括但不限于：主干網故障、計算機病毒感染與傳播。主干網故障主要包括以下幾種情況：網絡設備損壞、設備軟件損壞，機關工作人員操作失誤。針對以上的情況來進行緊急處理操作演練。為了提高應急處理的速度，減少機關人員對緊急情況的響應時間，應定期進行演練操作。通過應急演練來確?；鶎訖C關工作人員有能力應對可能出現(xiàn)的網絡故障，自主進行初步的故障診斷，如果不能自行解決，再聯(lián)系專業(yè)的技術部門工作人員來進行排查與修理。

眾所周知，計算機一旦感染病毒后，病毒的傳播速度是非?？斓?，造成的影響也是非常大的，例如常見的病毒會導致文件的隱藏，不熟悉計算機病毒的工作人員會誤認為是文件被病毒刪除無法恢復，導致返工重做，耽誤工作時間，影響業(yè)務處理的效率。所以，計算機病毒的應急處理預案應該是以預防為主，以修復為輔。一旦出現(xiàn)問題，應進行及時的隔離與全面的根除來保障機關內部辦公計算機的信息安全。一旦出現(xiàn)計算機感染病毒的情況，應先判斷病毒的種類和感染計算機的數(shù)量，來分析病毒的危害程度，以便于進行后續(xù)的殺毒工作。

3.3 建立重要數(shù)據的備份

稅務機關的業(yè)務工作都離不開數(shù)據與信息，保障數(shù)據的完全性與準確性是一項必不可少的工作。所以，稅務機關的工作人員日常工作中應及時進行重要數(shù)據的備份，一旦出現(xiàn)了數(shù)據丟失、被篡改等錯誤情況，確保能及時對重要數(shù)據進行最大程度的恢復，來保障接下來稅務業(yè)務的順利開展與進行，確保工作效率。

3.4 建立網絡安全培訓機制

從某種程度上來說，機關內部網絡安全管理員的水平對機關網絡信息安全的保障程度有著決定性的影響，但目前來說機關內部存在著專業(yè)技術人員人手不足的情況。所以應有專業(yè)的技術人員定期組織網絡安全教育的相關培訓，培訓人員為機關內所有業(yè)務工作人員，重點培訓人員為新入職的年輕工作人員。讓非技術工作人員也在一定程度上接觸并認識到網絡技術，提高自身的知識水平以及防范能力，能達到保證自己業(yè)務相關數(shù)據的安全和自主解決工作中出現(xiàn)基礎故障即可。

3.5 建立網絡安全評估機制

與機關外部專業(yè)的網絡運營部門建立定期安全評估的機制，彌補機關內部技術工作人員可能出現(xiàn)的疏漏。安全評估機制包括但不限于：通訊線路的定期巡查，機房管理的安全評估，機房內網絡設備的檢查與維護，機房環(huán)境的安全評估。預先發(fā)現(xiàn)并處理可能造成故障的安全隱患，為機關的網絡信息安全多一道保障。機關網絡與信息的安全性得到保障，稅務業(yè)務才能順利開展與進行，提高稅務機關的工作效率，節(jié)約辦稅人員和納稅人的時間，更是以便于稅務系統(tǒng)的工作人員為納稅人提供更優(yōu)質的服務。

參考文獻：

[1] 湖南新聞網. 加強稅務系統(tǒng)內部網絡安全建設的思考， 2014-8-29.endprint