稅務信息安全精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇稅務信息安全，期待它們能激發您的靈感。

篇1

關鍵詞：稅務系統；網絡；信息；安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2012) 11-0000-02

目前，全國各級稅務機關已形成以計算機網絡為依托的征管格局，隨著稅務信息化建設的不斷蓬勃發展，網絡與信息安全的風險也逐漸顯露。隨著電子信息技術的飛速發展，網絡與信息安全面臨越來越嚴峻和復雜的形勢，各種安全事件層出不窮，病毒破壞和黑客入侵等安全隱患會使我們丟失數據，會造成機密數據泄漏，會使我們的業務癱瘓，危害極大。無論是外部有意的攻擊，還是內部無意的誤操作，任何安全問題都可能導致安全事故，由此所帶來的損失與嚴重后果都將無法估量。因此，加強稅務系統網絡與信息系統安全顯得尤為重要。

一、稅務系統網絡與信息安全風險分析

隨著我國各行業信息化程度的不斷提高，利用計算機系統進行各類犯罪活動的案件每年以較大的速度遞增，在稅務系統也出現了利用稅收管理系統進行犯罪的案件。例如，2003年原國稅局干部吳芝剛虛開增值稅專用發票的“京城第一稅案”，就是吳芝剛利用操作員安全意識不強，盜用其密碼進入系統篡改發票發售權限，將增值稅專用發票非法賣給犯罪團伙。盡管目前在稅務系統計算機犯罪案件發生率很小，但不能因此放松警惕，防微杜漸做好網絡與信息安全工作至關重要。根據對稅務系統網絡和信息安全的研究分析，威脅稅務系統網絡信息安全的因素主要有以下方面：

（一）網絡與信息安全意識淡薄

目前稅務系統相當部分工作人員缺乏網絡信息安全意識。很多人以為自己計算機上安裝有殺毒軟件，就不會存在安全問題，總覺得信息安全工作離自己很遙遠，和自己沒關系。缺乏網絡信息安全知識，如不按規定使用移動存儲介質甚至內外網混用等等，都可能導致計算機病毒入侵或“黑客”攻擊，對網絡與信息安全構成威脅。

（二）計算機病毒的危害

計算機病毒是對稅務系統網絡信息安全最為常見、影響最為廣泛的威脅。幾乎沒有計算機沒有感染過病毒，計算機病毒通常通過移動存儲介質等感染計算機，并能通過網絡迅速傳播。稅務系統一臺計算機感染病毒，就可能造成病毒在整個辦公內網計算機中迅速傳播，輕則堵塞網絡，影響稅務信息系統的正常運行，重則破壞系統，造成無法估量的直接和間接損失。

（三）計算機犯罪的危害

計算機犯罪對網絡和信息安全的威脅顯而易見，危害極大。常見的計算機犯罪有內部人員泄露信息、竊取他人密碼、越權訪問和外部“黑客”攻擊等。比如“黑客”通過某種方式侵入稅務系統辦公內網，就可能破壞稅務信息系統或竊取機密數據，造成極大的危害。

（四）移動存儲介質使用的風險

目前光盤、優盤、移動硬盤等移動存儲介質使用非常普遍，大量內部信息通過移動介質存儲傳播。一方面移動介質如果不受控，會形成泄密隱患；另一方面納稅人報送涉稅信息帶來的移動存儲介質需要接入辦公內網，如果疏忽了病毒和木馬的查殺，就存在著將計算機病毒和木馬等惡意程序傳入辦公內網的安全風險。

（五）網絡技術本身的缺陷

網絡技術本身存在的技術缺陷，使網絡容易成為受攻擊的目標，從而對稅務系統網絡信息安全形成威脅。目前各級稅務機關組建廣域網通常租用電信或聯通的網絡線路，不法分子就可能通過公共網侵入稅務系統網絡或者通過公共網對稅務系統網絡進行竊聽、攻擊。

（六）自然災害襲擊

例如火災、地震、雷擊等自然災害都可能使計算機及網絡設備遭到破壞，影響系統正常運行。

（七）人為無意失誤

工作人員防范意識不強，工作中“圖方便”，如操作員安全配置不當，不按要求設置口令，隨意把自己的用戶給他人使用等等問題，雖然不是主觀故意，但可能造成較大危害，對網絡與信息安全帶來威脅。

二、稅務系統網絡與信息安全風險的防范對策

網絡與信息安全風險，需要從人、管理、技術等以下幾個方面進行防范：

（一）必須加強信息安全教育

“人是網絡信息安全系統的重要組成部分”，要保障網絡與信息系統的安全，需要全體稅務干部的參與。通過在稅務機關全體工作人員中開展信息安全普及教育，對信息化專業人員加強信息安全專業培訓，提高各級人員的信息安全意識，共同防范網絡與信息安全風險。

（二）強化安全管理

要加強稅務機關內部控制，改進網絡信息安全管理中的薄弱環節，防范內部人員有意犯罪或無意失誤造成的網絡信息安全風險。各級稅務機關要建立健全網絡與信息安全組織機構，逐步建立健全各種網絡與信息安全制度，明確崗位責任與分工，把各項工作及責任落實到人。要把強化管理與技術手段相結合來防止內部人員有意犯罪和無意失誤，從內部嚴防各類安全事件的發生。

（三）強化安全技術

1.科學使用計算機防病毒軟件防范計算機病毒

各級稅務機關的計算機設備，要使用統一的正版計算機防病毒軟件，指派專人進行計算機防病毒監控，及時處理計算機病毒威脅。其中，移動存儲介質管理是計算機病毒防范的重點和難點。光盤、優盤、移動硬盤等移動存儲介質是病毒和木馬的重要傳播途徑，不管好移動存儲介質,就不可能做到病毒和木馬的有效防控。必須加強管理，對所有的外來軟件或盤片，必須先查殺病毒、木馬，才能接入辦公內網進行安裝和使用。

2.做好辦公內網與互聯網的完全隔離

篇2

1管理維護人員少

我局信息系統管理維護工作主要由計算機中心負責，下設軟件科、系統科、綜合科共14名在編人員。信息系統的維護管理工作主要由系統科4名人員負責。一方面在開展系統維護工作時人手不足，無法覆蓋到區縣；另一方面由于新技術更新較快，人員對新知識與新技術的掌握不足，不利于有效的開展信息安全維護管理工作。

2系統漏洞影響大

稅務信息系統對數據完整性與服務實時性高要求非常高，當今漏洞挖掘技術極大縮短系統漏洞的發現周期，經常性對核心應用系統進行升級補丁將對系統數據完整性與保障系統服務及時性造成一定的風險。

3黑客攻擊與計算機病毒傳播路徑廣

我局內部業務網已連接到全市23個下屬單位，黑客可通過任何一個單位對我局核心業務應用發起攻擊。同時隨著移動互聯網的快速發展，wfif、手機連接到終端計算機等都有可能成為業務內網與互聯網的接口，使我局核心業務應用遭受到互聯網的攻擊。同時移動存儲介質不安全的使用方式、工作員通過互聯網下載的軟件等都有可能導致病毒大規模傳播。

二、新形勢稅務信息安全管理工作實踐

1信息安全管理工作分解，明確分工與職責

我局信息安全工作的未來發展方向與符合我局實際情況的管理要求、監督指導執行層落實工作信息安全工作、考評執行層與支撐層的工作績效。為全局的信息安全保障工作發揮著規劃、指導、監督、考評作用，推動我局各項信息安全管理工作得以落實。執行層由各區縣局單位指派在編工作人員擔任，目前我局在各區縣局設立信息崗，由具備一定計算機基礎知識的工作人員擔任。主要工任務是按照市局的管理要求開展日常的信息安全維護工作，并處理常規信息安全問題、向其他工作人員宣傳市局既定的管理要求，提高全員的信息安全意識。通過執行層開展的信息安全工作，使市局規劃的各項信息安全管理要求在基層得到落實。為提高執行層的工作能力，市局定期集中工作人員開展培訓，傳達市局信息安全工作思路、講解工作中涉及的信息安全技術、宣傳信息安全形勢等。支撐層由第三方公司擔任，為使我局信息安全管理工作更高效，我局將信息系統各項技術維護工作外包給各技術領域有一定實力的公司，由公司安排具備工作經驗與能力的專業技術人員常駐我局，開展技術維護工作。我局管理人員根據制定的管理要求對各公司的維護工作進行考評。

2周期性檢測，評估安全風險

漏洞挖掘技術很大程度的縮短了系統漏洞的發現周期，對稅務系統是個非常大的安全隱患，常規的運行維護難以發現深層次的安全漏洞。因此我局將對信息系統及終端計算機的安全檢測列入周期性的工作計劃，不流于風險評估與等級保護測評的工作形式。以實質性的發現系統與終端安全漏洞為手段；以采取有效、可靠、安全的處置方法，降低系統安全風險為目標。將安全檢測工作委托第三方專業的公司定期開展，將檢查結果轉交各類技術的維護公司進行處理。并對安全專業公司的檢測能力，各類技術維護公司的處置能力納入到統一考評體系，確保我局安全漏洞檢測的全面性、準確性，問題處理的正常性、有效性。3建立以制度為依據、以技術為支撐的監督、管理工作流程為解決我局終端數量多、地域分布廣、安全管理難度大的難題，管理層經討論、研究針對終端安全及網絡邊界管理的方法，論證管理要求與技術實現的可行性，制定終端安全管理與網絡邊界管理的總體綱領策略。并測試、采購符合我局安全管理需求的安全技術實施部署。市局下發針對性的安全管理要求文件，安全技術根據市局管理要求部署基本的控制與審計策略。為更好的發揮技術平臺的管理功效，市局將基本安全管理策略之外的管理權限下放到各區縣局，由各單位根據自身實際情況制定管理規則。市局根據平臺產生的數據，對違規使用資源、違規操作的個人與單位進行監督與通報，并納入對各單位的考評。通過管理要求與技術平臺的有機結合，使我局各項信息安全管理制度得到落實，并定期召集各單位對信息安全管理工作的經驗進行交流與推廣，提高全局的信息安全管理水平。

三、新形勢稅務信息安全管理探索方向

信息安全管理工作在設計上需成體系、在落實上需有支撐，這項工作有著一定的復雜性、周密性與完整性。并非依靠制定一系列的管理規定，或部署完善的信息安全技術就能立即提高信息安全管理水平。而是需要規劃整體的安全管理方針與目標；根據方針與目標制定基礎的保障框架；逐步完成基礎保障框架中的管理、技術與過程建設；并在運行維護中不斷的找出管理、技術與過程建設存在的不足，并進行改進，使信息安全管理水平不斷的提高，逐漸形成適合我局的信息安全管理體系。目前我局制定信息安全管理的基本方針是建立以風險管理為核心的信息安全管理體系。在該方針的指導下，我局計劃建立的基本信息安全保障框架為：

(1)以采取一切手段發現整體信息系統中存在的安全問題為基礎。

(2)以評估發現的問題對信息系統可能產生的安全風險為支撐。

(3)以找出問題的有效、可靠、安全處置機制為保障。

(4)以監督、評估問題處置的有效性，降低安全風險為目標。因此在已定的安全保障框架下，管理層還需繼續探索符合我局實際情況的信息安全管理方法，以管理有效方法為基礎制定管理策略、以管理策略為依據選購安全技術、以安全技術為支撐開展具體管理工作、以具體管理工作為監督推動管理落實、以管理落實效果為依據檢驗管理方法、以優化管理方法目標提高安全管理效益。

四、結語

篇3

[關鍵詞]稅務信息；信息安全；安全管理；風險評估

doi：10.3969/j.issn.1673 - 0194.2015.24.160

[中圖分類號]F812.42 [文獻標識碼]A [文章編號]1673-0194（2015）24-0-03

科學技術發展變革了傳統的稅收管理模式，稅務管理信息化成為了稅收征管業務工作的重要依托和基礎保證。稅務信息安全管理是稅務信息管理的重要內容，是稅務機關工作的重要安全保障，它涉及稅務信息的采集、整理、貯存、傳輸、反饋及應用等全過程，因此必須引起重視。而基層稅務信息安全管理是稅務信息安全的一項重要內容，其隨著技術的突飛猛進，政府簡政放權的深入以及依法治稅的全面推進，面臨的技術管理風險、行政管理風險及涉紛管理風險日益凸顯，形勢日益嚴峻。如何在既按照信息安全一體化的要求和安全風險等級管理的要求，又結合基層稅務工作的特點和難點，做好基層稅務信息安全管理工作顯得尤為重要。為實現國家職能、促進稅收現代化、保障納稅人信息權利，有必要對基層稅務信息安全管理所面臨的難題進行分析，并提出相應策略。

1 實施稅務信息安全管理的重要意義

稅務信息是國家稅務決策、稅收計劃制定與調整的重要依據，是稅務機關稅收征管工作的必要支撐，也是納稅人信息權利的核心內容，因而其安全管理具有重要意義。

稅務信息安全管理有利于維護并促進國家職能的實現。稅收是實現國家宏觀調控職能的重要手段，而這一手段必須借助和運用稅務信息才能達到。因為稅務信息管理一方面能使信息正確地反映經濟稅源和稅收進度情況，為制定國民經濟和社會發展計劃及調整國民經濟結構提供可靠依據。另一方面，可了解納稅人的經濟活動狀況，并掌握國民經濟發展變化情況，鑒定稅收政策與經濟發展需要是否相適應，以便迅速做出明智的決策，有效地發揮稅收調節經濟的作用。換言之，如果稅務信息安全無法得到保障的話，既無法實現稅收為國家籌集財政收入的職能，也將使國家以稅收進行宏觀調控經濟的政策大打折扣，影響經濟與社會的發展。

稅務信息安全管理有利于稅務機關稅收征管的現代化。稅務信息安全管理是稅收征管的組成部分，正確、及時、安全的稅務信息是把握財政發展和稅務管理客觀規律的鑰匙，有利于實現稅務管理科學化、現代化，使稅務管理工作從經驗走向科學，以適應社會和經濟形勢發展對稅務管理的要求；有利于提高稅務管理水平和稅務管理效率，做到努力開發稅源，盡力足額征收，增加稅收收入；有利于提高稅務管理隊伍的素質，強化信息意識，掌握信息技術，開展稅務管理工作，適應社會主義市場經濟體制下的稅務管理需要。

稅務信息安全管理有利于納稅人權利的保障。從納稅人角度而言，稅收是納稅人根據法律的規定及程序向稅務機關提供納稅申報資料并繳納稅款的過程。在此過程中，不論是納稅人提供的納稅申報資料，還是稅務機關依法定職權收集的信息，不可避免的會涉及到納稅人的商業秘密（客戶資料、銷購價格、專利技術等），正常生產經營信息（生產經營范圍、工商稅務登記證件號等），個人隱私（個人及家庭身份信息、社會關系等），涉稅負面信息（欠稅記錄、稅務處罰信息等），一旦這些信息的泄露不僅會對企業的正常經營帶來嚴重影響，而且還會給個人和家庭生活帶來惡性干擾，甚至還有可能引起詐騙和金融犯罪。因此，稅務信息安全管理是納稅人權利的重要保障。

2 基層稅務信息安全管理的難題

2.1 基層稅務信息安全管理存在的風險

信息技術飛速發展，尤其是大數據時代的到來，基層稅務信息安全技術管理風險與日俱增。科學技術水平日新月異，移動互聯網、虛擬化、云技術、大數據應用等新技術層出不強。此類技術的應用對于專業技術的要求較高，安全保障措施也較為嚴密，但現有的稅務信息安全管理的軟硬件、制度、頂層設計、稅務人員素質、社會要求等方面無法適應其方便、快捷、高效的特點，使得稅務信息暴露在數據的海洋，極易造成信息被盜取、被非法病毒所侵入，稅務信息安全技術管理必然風險激增。

改革不斷深化，尤其是簡政放權要求逐步提高，基層稅務信息安全行政管理風險突飛猛進。全面深化改革的推進，行政管理被要求回歸理性簡政放權，實現由權力管制到權利治理，基層稅務部門必然面臨著工作重心后移及執法風險加大的交匯壓力，后續管理將成為稅務部門工作的一種常態。稅務管理信息化是保證后續管理科學、有效、規范進行的基本方式且根本保障，而稅務信息安全管理是稅務管理信息化的基礎，是故稅務信息安全管理必然成為稅收征收與管理過程的基礎和支撐。稅務管理信息化下稅務信息不論是頻率還是數量均不斷提高，數量和質量相生相克，前者的增多必然導致后者的下降，稅務信息安全行政管理風險驟升。

依法治稅加強，尤其是納稅人權利意識的覺醒，基層稅務信息安全管理涉紛風險不斷提高。隨著經濟、社會以及文化的不斷發展，納稅人權利意識在不斷覺醒，私權保護、正當程序、公平正義成為了普遍訴求。納稅人信息是稅務信息安全管理的重要內容之一，包含著巨大的商業價值，稅務機關在采集、保管和使用納稅人信息過程中往往由于安全措施不到位而導致納稅人權利受到損害事件時有發生，甚至誘發違法犯罪。近些年來，由于稅務信息安全管理不善帶來的稅務糾紛呈水漲船高之勢，納稅人訴諸法律途徑的越來越多，基層稅務部門涉議、涉訴風險不斷提高。

2.2 基層稅務信息安全管理面臨的困境

2.2.1 稅務信息安全管理意識淡薄

稅務管理信息化在我國方興未艾，關于稅務信息安全的理解、保護方法、風險防范手段等社會所知甚微。就稅務部門而言，大部分基層稅務工作人員對于稅務信息安全管理是什么、稅務信息安全管理意義是什么、怎樣實現稅務信息安全管理等內容的認識與理解存在偏差，主觀地認為稅務信息安全與稅務部門的核心業務無關，是一種簡單的信息存儲與傳輸，意義不大。甚至是一提到稅務信息安全，不少人就當然的認為是病毒和黑客，而往往忽視內部人員的過錯或故意行為等因素。就納稅人而言，大部分納稅人抱有這樣的態度，就是只要按照法定規定和法定程序上繳完稅，其他的就與自己沒有多大干系，稅務信息安全管理也是如此，因而往往不配合稅務信息的收集等工作。由于少數人的安全意識淡薄和管理不善，會影響整個稅務信息系統的安全性。

2.2.2 稅務信息安全管理方式滯后

整體上看，基層稅務信息安全管理還主要是依靠單一的技術方法，稅務信息保密措施少、身份認證未得到全面應用、缺少路由安全和防止入侵的技術措施，難以適應稅務信息安全管理的要求。首先，稅務信息技術管理方式賴以生存的硬件設施可靠性、穩定性不足，缺少日常維護及安全配套措施。其次，稅務信息技術管理核心之處的軟件設施開放性強，比如，內部網路終端信息共享范圍廣、操作系統主要是國外研發的，內外網機器存在混用現象，極大增加了稅務信息安全風險。最后，采集數據分散，不能形成有效共享，普遍存在“信息孤島”現象；業務信息不能通過計算機有效流轉，自動化管理過程隔離；尤其是信息缺乏高效的數據監控措施，沒有形成科學的內、外監督體系，不斷遭受黑客攻擊，還出現數據丟失的現象等。

2.2.3 稅務信息安全管理制度不完善

稅務信息采集、整理、貯存、傳輸、反饋及應用等過程中安全管理的理念并未得到貫徹，稅務信息安全管理制度還不全面、缺乏體系性、可操作性也不強。具體來講，一是缺乏強有力的稅務信息安全管理領導制度。一般而言，基層稅務信息安全管理主要是由稅務信息中心實施，與其他內設機構之間是并列關系，信息安全管理無法滲透到稅收征管的其他環節。二是缺乏科學的稅務信息安全事故預防、報告及處理制度，各基層稅務部門普遍缺失完備的信息安全事故報告程序與預防處理方案，稅務信息安全事故的預防、處理沒有可持續的制度支撐。三是缺乏規范的稅務信息安全管理考核制度，基層稅務信息安全崗位與責任相適應的考核標準，機制不規范，致使信息安全管理深度與力度得不到有效落實。此外，信息安全責任制度還需進一步細化和完善。

2.2.4 信息安全風險管理機制存在缺陷

稅務信息化下，稅務信息安全風險有來自基礎設施毀損的風險，有技術應用帶來的風險，有人為操作引發的風險，可謂無處不在、無時不有。但目前基層稅務機關并沒有形成體系化的稅務信息安全風險識別、評估、控制等管理機制。就稅務信息安全風險識別而言，稅務信息并未被確定成為一種資產，因而缺乏稅務信息必要的分類管理。同時，這種安全風險識別僅局限于技術硬件故障或錯誤、技術軟件故障或錯誤、技術淘汰等技術層面，而對于其他層面的信息安全威脅鮮有涉及。就稅務信息安全風險評估而言，由于專業技術和人才的缺乏，加之評估頻率與方法不當，很難真正分析出信息安全風險的高低，影響到控制措施的選擇。就稅務信息安全風險控制而言，由于識別與評估分析中的不健全，使得風險控制策略選擇失去了可信基礎，致使避免、轉移、緩解及接受等風險控制策略無從選擇。

3 基層稅務信息安全管理的應對

3.1 加大信息安全管理教育培訓，更新稅務信息安全管理理念

應當認識到，稅務信息安全管理既是國家信息安全管理的有機構成，也是基層稅務工作的重要組成部分，它涵蓋稅收信息的采集、整理、存儲、傳輸、反饋、開發及應用等全過程，不僅可以加強稅收收入的規劃性，有效發揮稅收促進生產，調節、監督經濟的作用，還能衡量稅收分配是否合理，稅負負擔是否平衡，保障納稅人的權利。因此，基層稅務部門要摒棄稅務信息安全管理不重要的觀念，提高對稅務信息安全的認識，充分了解稅務信息安全管理的內容、作用及方法，以此更新稅務信息安全管理理念。稅務信息安全管理意識之所以淡薄，原因在于信息安全管理教育與培訓少，稅務信息安全管理專業人才匱乏。對此，一方面要靈活多樣地培訓學習形式，綜合平衡信息安全相關項目，提高稅務工作人員的信息安全意識與能力水平；另一方面，要建立稅務信息安全管理培訓機制，通過組織開展多層次、多方位的信息安全培訓，提高安全員信息安全防范技能，培養稅務信息安全管理骨干。此外，稅收普法宣傳教育中還要強化納稅人信息安全意識。

3.2 綜合內外部控制手段，實現稅務信息安全管理方式多元化

稅務信息安全管理是一個系統工程，涉及信息技術體系、信息風險管理及組織管理框架等諸多方面，面對終端規模大、地域分布廣、技術類型多的現實，單純的依靠外部技術手段無法實現稅務信息安全管理，需要內部控制措施予以協同，多元化的管理方法才能更好地、更有效地保障稅務工作人員完成信息安全管理工作。首先，完善稅務信息安全技術手段，做好信息安全防護體系建設和運行管理。不論是采取何種技術手段進行稅務信息管理，都要建立完備的病毒防范、身份鑒別與訪問控制、入侵檢測及信息加密等信息安全管理技術體系，定時檢查并更新硬件設備以確保其可靠性與穩定性。其次，要克服“唯技術論”的傾向，稅務部門要建立統一的信息安全保障中心，保證稅務信息安全集中和集成管理，努力形成完整的數據安全與備份體系。最后，完善稅務信息安全管理內部控制手段，以減輕由于內部人員道德風險、系統資源風險所造成的信息危害。主要是采用人機聯控的控制方式，通過實施一系列的控制活動和保護措施，以實現對與稅務信息安全相關的人與物的管理，并最大限度地保障稅務信息安全。

3.3 完善稅務信息安全管理框架，健全稅務信息安全管理制度

借鑒信息安全管理一般理論，完整的稅務信息安全管理框架包括定義稅務信息安全政策、定義稅務信息安全管理范圍、進行稅務信息安全風險評估、確定管理目標和選擇管理措施、準備稅務信息安全適用性聲明、建立相關文檔、文檔的嚴格管理及安全事件記錄回饋。針對目前稅務信息安全管理框架的不完善，稅務部門應嚴格按照信息安全管理框架，制定完善的信息安全規章、明確管理范圍、風險、目標、措施等予以完善。與此同時，還要健全稅務信息安全管理相關制度。一是建議基層稅務機關應成立信息安全領導小組，各區局、科室、所都應明確專人負責稅務信息安全的管理，以健全稅務信息安全管理領導制度；二是建議明確安全事故預防任務、報告時限與程序、處理方法與措施，以健全稅務信息安全事故預防、報告及處理制度；三是建議制定規范、可行的信息安全管理考核機制，明確規定每個稅務工作人員在信息安全方面應承擔的責任、保密要求以及違約責任，以健全稅務信息安全管理責任制度。總之，就是要建立安全管理機構，確定安全管理人員，建立安全管理制度，建立責任和監督機制，切實保障稅務信息安全管理有效開展。

3.4 實施稅務信息分類管理，健全稅務信息安全風險管理機制

信息化時代，信息無處不在，不同的信息管理有著不同的安全要求，稅務信息也是如此。因此，要充分實現稅務信息的安全管理就必須對者紛繁復雜的稅務信息進行分類，不同的稅務信息實施不同的安全管理戰略，這樣才能提高稅務信息安全管理的效率。根據信息系統組成部分不同，可將稅務信息安全管理分為員工（正式與非正式）、稅務征管過程、數據、軟件和硬件（系統設備及外設、網絡組件）等幾大部分，在此基礎上健全稅務信息安全風險管理機制。首先，通過建立健全稅務信息分類與價值評估、安全調查、威脅識別與評估、漏洞識別等制度以健全稅務信息安全風險識別機制。其次，通過由業務、技術和管理等方面的專家、學者、工作骨干等人員組成的團隊定期對稅務信息安全風險進行評估，確定風險的大小并制定科學的安全預算。最后，構建完備的稅務信息安全管理措施以防止信息安全的發生，在科學的風險估測基礎上，選擇“知己知彼”的風險控制策略。也就是說，稅務信息安全管理需要在稅務信息分類管理的基礎上，通過健全信息安全風險識別、評估以及控制策略選擇等機制予以最充分的實現。

主要參考文獻

[1]王春東.信息安全管理[M].武漢：武漢大學出版社，2008.

[2]賀志東.稅務管理學[M].上海：立信會計出版社，2003.

[3]羅四平.稅務信息安全的內部控制研究[D].北京：中央財經大學，2012.

篇4

【關鍵詞】物聯網；智慧水利；信息安全

基于互聯網+的水利物聯網建設蓬勃發展，水利物聯網系統信息安全保護問題倍加突出，應加大研究和建設力度，一個物聯網系統應該包括三個邏輯層：感知層、網絡層（又稱為傳輸層）與處理應用層。

1感知層安全設計

物聯網的感知層主要用于感知環境信息。在智慧水利物聯網系統中，感知層包括傳感器節點和匯聚節點（又稱為感知層網關節點）構成。1.1安全算法的選取針對感知層安全保護，選取RECTANGLE密碼算法，這是一種輕量級密碼算法。RECTANGLE算法的整體結構是SP網絡，總輪數為25輪，最后再增加一個子密鑰異或操作。每一輪變換包含三個步驟：輪子密鑰加Ad-dRoundKey（ARK），列替換SubColumn（SC），行移位ShiftRow（SR）。而且，RECTANGLE算法能極好地支持軟件、硬件環境，都能很容易和高效實現突出的性能。針對8位AVR微處理器、16位MSP微控制器、32-位ARM處理器、64位x64處理器平臺上的實現顯示，RECTANGLE具有讓人印象深刻的軟件實現性能。1.2傳感器節點的公鑰密碼算法需求分析傳感器節點的密碼算法和處理器實施方案在具體應用中還要解決密鑰管理問題。匯聚節點較傳感節點有著更多資源，但在公鑰密碼算法的選取上，必須滿足一定的輕量級或近輕量級特征。根據分析，基于橢圓曲線的密碼算法可以通過一定技術處理達到低資源需求的性能。可以根據美國國家標準局（NIST）標準對性能測試結果和實際需求選擇合適對硬件平臺來實現感知層數據的安全保護。

2網絡層和處理應用層設計

2.1網絡層設計水利物聯網項目的實施地點一般在荒郊野外，因此聯網系統的網絡層一般采用3G或4G移動通信。物聯網號碼段的3G或4G模塊的網絡傳輸速度可以是目前移動通信系統的網絡傳輸速度的數倍，而且可以為更多的用戶提供服務。2.2處理應用層設計物聯網的處理應用層就是一個數據處理中心，而智慧水利物聯網系統的處理應用層由兩層處理構成，即本地云計算處理平臺和向云計算中心。本地云處理平臺，是指用于水利監控數據處理的平臺，可以是水利監控服務機構自己的數據處理平臺，也可以是地方市政信息服務平臺。云計算處理中心的數據是綜合處理后的數據，數據用于全國范圍的水利數據分析，用于科學地制定政策和防護措施等。

3整體安全方案設計

智慧水利物聯網系統的安全體系傳感器節點不分種類，都需要實現RECTANGLE算法和一種橢圓曲線密碼算法，建議使用SM2國密標準算法。匯聚節點除了需要實現RECTANGLE算法和ECC算法外，還需要使用3G／LTE模塊實現對數據對遠程傳輸。3.1傳感節點與匯聚節點之間的安全協議1）當傳感器節點向匯聚節點抄報數據時，需要將數據進行加密。通過公鑰密碼算法與對稱密碼算法相結合的方式，可以實現對數據的機密性保護，其步驟如下：傳感器節點獲取感知數據m；隨機產生會話密鑰k；傳感器節點用匯聚節點的公鑰加密會話密鑰k，得到HK；用k加密數據m，得到c=Ek（m，T），其中T是時間戳;將（HK|c）發送給匯聚節點；匯聚節點首先使用自己的私鑰解密HK，得到會話密鑰k；使用k解密c，得到（m，T）=Dk（c）；檢查時間戳T是否在被允許對范圍內，若是，則接受數據m，否則丟棄。通過上述步驟，傳感器節點可以將抄報數據m安全發送給匯聚節點。2）當匯聚節點需要向傳感器節點發送指令數據d時，可通過如下步驟完成：匯聚節點產生指令數據d，或從上位服務器獲取指令數據d；使用上次與目標感知節點通信的會話密鑰k（如果這是第一次通信，則使用感知節點的出場密鑰k0）；匯聚節點產生隨機數IV作為初始向量，使用會話密鑰k加密數據d和IV，得到c=Ek（d，IV，T），其中T為時間戳；將（IV|c）發送給傳感器節點；傳感器節點使用k解密c，得到（d，IV’，T）=Dk（c）；比較IV＝IV’是否成立。如果不成立，則停止執行；檢查時間戳T是否在被允許的范圍內，如果是，則執行指令d，否則丟棄。通過上述步驟，匯聚指令可以將一個指令信息安全地發送給傳感器節點。3.2匯聚節點與本地云平臺之間的安全協議匯聚節點與本地云平臺之間使用3G／LTE移動通信協議。在LTE的認證協議使用了UMTSAKA協議，具體的流程圖見圖1。3.3本地云平臺與云計算中心之間的安全協議在本地云平臺與云計算中心之間的通信，使用IPSec協議的隧道模式，這種模式使得在本地云平臺與水利部云計算中心之間通過密鑰協商，建立安全隧道，之后的數據通信便可通過這一安全隧道來完成。

4安全性分析

4.1感知層的安全性分析感知層之間的通信協議分為上行數據安全協議和下行指令安全協議。前提是假定安全協議中所使用的密碼算法是安全的。1）對上行數據安全協議，考慮非法獲取攻擊、假冒攻擊、偽造攻擊、和重放攻擊的成功可能性。由于上行數據和下行數據都使用加密處理，攻擊者能從密文中獲得原始消息的可能性可以忽略；偽造攻擊者無法獲取會話密鑰，因此無法成功偽造數據。2）對于下行數據的安全性，其結果與上行數據類似。需要特別說明的是，下行數據使用加密技術實現了數據的完整性保護，使得重放攻擊完全沒有機會成功，即使在時間戳合法范圍內，也因為不能制造出新的有效的IV而失敗。4.2傳輸層和處理應用層的安全性分析傳輸層使用了國際標準的3G／LTE移動通信技術，無論3G還是LTE，都可以保證數據傳輸安全。對處理應用層則歸結為一個云平臺的安全性。

5結語

篇5

[關鍵詞] 水務；網絡信息安全；管理

[中圖分類號] F272.7 [文獻標識碼] A [文章編號] 1673 - 0194（2013）20- 0054- 03

0 引 言

隨著上海水務信息化工作的快速推進和不斷深化，電子政務、數字水務、水務公共信息平臺、水資源管理系統等信息化成果有力推動了水務的現代化建設。網絡平臺作為信息化建設和信息化成果應用的重要基礎平臺， 支撐起了巨大的IT價值，是水務IT價值實現的根本和基礎。在互聯網快速發展的背景下，網絡攻擊手段日益增多，信息系統所面臨的安全風險也越來越多，如何確保網絡信息安全已成為水務信息化進程中的一項重要工作。

1 現狀分析

上海水務網絡由中國水利信息網接入網、市防汛水務專網、市政務外網接入網、辦公局域網、無線專網等網絡組成，實現了上連國家防總、水利部、全國流域機構，中連全市各委辦局、下連所有局屬單位以及全市各區縣防汛指揮部，系統承載了防汛報訊系統、電子政務系統、水務公共信息平臺、視頻會議系統、視頻監控、水務熱線、水資源管理系統等重要水務防汛應用。

為確保網絡運行安全和系統應用正常，水務網絡實施了一系列的安全防護措施，主要包括：在網絡邊界處部署安全訪問控制設備，如防火墻、上網行為設備等，建立了安全的通信連接，確保數據訪問合法并在有效的安全管理控制之下，同時作為抵御外部威脅的第一道防線，有效檢測和防御惡意入侵；在網絡核心部位和重要區域部署了入侵檢測設備，分析網絡傳輸數據，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象；開展計算環境安全管理，主要內容包括操作系統策略管理、統一病毒防護管理、安全補丁管理等。

2 面臨的安全風險

2.1 信息系統缺乏同步安全建設

信息化進程中，普遍存在重建設輕管理，重應用功能輕安全防護，導致信息系統在建設過程中沒有充分考慮信息安全防護措施和管理要求，通常在安全測評階段，根據相應的測評指標，臨時、被動地實施相關安全防護措施，雖然滿足了測評的基本要求，但是安全措施比較零散，缺乏體系和相互關聯，甚至實施的安全措施治標不治本，安全隱患重重。

2.2 未充分發揮安全產品防御作用

當前，信息安全已深入到業務行為關聯和信息內容語義范疇。防火墻的訪問控制、入侵檢測的預警判斷、網閘的數據傳輸控制以及安全審計信息的合規性判斷均來自應用安全策略要求，信息安全產品更多的是面向應用層面的信息安全控制。但是由于系統開發缺乏明確的安全需求，造成了信息安全產品針對其實施的安全策略權限開放過大或無安全策略，安全告警無法有效判斷，使得部分產品形同虛設，不能充分發揮其防御作用。

2.3 軟件漏洞

軟件漏洞是信息安全問題的根源之一，易引發信息竊取、資源被控、系統崩潰等安全事件。軟件漏洞主要涉及操作系統漏洞、數據庫系統漏洞、中間件漏洞、應用程序漏洞等。操作系統、數據庫等廠商會不定期針對漏洞相應的補丁，但是，由于應用系統運行對程序開發環境的依賴度較高，補丁升級存在較大安全風險和不確定性，使得應用部門通常不實施操作系統等相關補丁升級工作。此外，應用程序本身也普遍缺失安全技術，存在諸多未知安全漏洞等問題。

2.4 網絡病毒

計算機病毒是數據安全的頭號大敵，根據國家計算機病毒應急處理中心的《2011年全國信息網絡安全狀況與計算機及移動終端病毒疫情調查分析報告》，2011年全國計算機病毒感染率為48.87%，雖呈下降態勢，但是病毒帶來的危害越來越大。

2.5 黑客攻擊

國家互聯網應急中心（CNCERT）的最新數據顯示，中國遭受境外網絡攻擊的情況日趨嚴重。CNCERT抽樣監測發現，2013年1月1日至2月28日不足60天的時間里，境外6 747臺木馬或僵尸網絡控制服務器控制了中國境內190萬余臺主機。在信息系統漏洞頻出的情況下，面向有組織的黑客攻擊行為，現有的技術防護和安全管理措施捉襟見肘。

2.6 信息安全意識薄弱

人是信息安全工作的核心因素，其安全管理水平將直接影響信息安全保障工作。由于缺少宣傳、培訓和教育，用戶信息安全意識較為淡薄。由于安全意識淡薄和缺乏識別潛在的安全風險，用戶在實際工作中容易產生違規操作，引發信息安全問題或失泄密事件。

3 采取的管理措施

存在這些安全風險的主要原因為缺乏信息安全規劃、缺乏持續改進的安全維護保障措施以及安全意識薄弱等，所以做好該部分工作是解決當前所面臨安全風險的主要措施。

3.1 信息安全規劃

信息安全規劃是一個涉及技術、管理、法規等多方面的綜合工程，是確保物理安全、網絡安全、主機安全、應用安全和數據安全的系統性規劃。信息安全規劃既依托于信息化規劃，又是信息化的重要組成部分。在信息安全規劃的指導下，信息系統安全建設與管理才能有計劃、有方向、有目標。信息安全規劃框架如圖1。

3.1.1 以信息化規劃為指引，以信息化建設現狀為基礎

信息安全規劃是以信息化規劃為指引，以信息化建設現狀為基礎，系統性的規劃信息安全架構，是信息化發展中的重要環節。信息安全規劃一方面要對信息化發展現狀進行深入和全面的調研，摸清家底、掌握情況，分析當前存在的安全問題和信息化發展所帶來的安全需求，另一方面要緊緊圍繞信息化規劃，按照信息化發展戰略和思路，同步考慮信息安全問題。

3.1.2 建立信息安全體系

信息安全規劃需要圍繞技術安全、管理安全、組織安全進行全面的考慮，建立相應的信息安全體系，確定信息安全的任務、目標、戰略以及人員保障。

3.2 日常安全運維保障

3.2.1 關注互聯網安全動態

互聯網的快速發展使得水務網絡安全與互聯網安全密切相關。因此，關注互聯網安全動態，及時更新或調整水務網絡安全策略和防護措施，是日常安全管理工作中的一項重要工作。

3.2.2 安全態勢分析

網絡信息安全是一個動態發展的過程，固化的安全防護措施無法持續確保網絡環境安全。定期對網絡安全環境進行態勢分析不僅可以掌握當前存在的問題，面臨的風險，而且可以及時總結原因，制定改進策略。安全態勢分析主要通過對網絡設備、安全設備、主機設備及安全管理工具等策略變更信息、日志信息、安全告警信息等，經過統計和關聯分析，綜合評估網絡系統安全狀態，并判斷發展變化趨勢。

3.2.3 信息安全風險評估

風險評估是信息安全管理工作的關鍵環節。通過開展風險評估工作，可以發現信息安全存在的主要問題和矛盾，找到解決諸多問題的辦法。安全風險評估的主要步驟和方法：①確定被評估的關鍵信息資產；②通過文檔審閱、脆弱性掃描、本地審計、人員訪談、現場觀測等方式，獲得評估范圍內主機、網絡、應用等方面與信息安全相關的技術與管理信息；③對所獲得的信息進行綜合分析，鑒別被評估信息資產存在的安全問題與風險；④從系統脆弱性鑒別、漏洞和威脅分析、現有技術和管理措施、管理制度等方面，根據不同風險的優先級，分析、確定管理相應風險的控制措施；⑤基于以上分析的結果，形成相應的信息安全風險評估報告。

3.2.4 應急響應

應急響應是信息安全防護的最后一道防線，其主要目的是盡可能地減小和控制信息安全事件的損失，提供有效的響應和恢復。應急響應包括事先應急準備和事件發生后的響應措施兩部分。事先應急準備主要包括明確組織指揮體系，預警及預防機制，應急響應流程，應急隊伍、應急設備、技術資料、經費等應急保障，定期開展應急演練等工作。事件發生后的應急措施包括收集系統特征，檢測病毒、后門等惡意代碼，限制或關閉網絡服務，系統恢復等工作。這兩方面互相補充，事前應急準備為事件發生后的響應提供指導，事后的響應處置進一步促進事前準備工作的不斷完善。

3.3 教育培訓

人是信息安全工作的核心因素，其知識結構和應用水平將直接影響信息安全保障工作。加強相關信息安全管理人員的專業培訓，以及開展面向網絡用戶的信息安全宣傳教育、行為引導等，是提升信息安全專業化管理水平，提高信息安全意識，有效避免信息安全問題或失泄密事件發生的重要工作。

4 總 結

隨著信息化進程的加快，信息系統所面臨的安全風險越來越多，信息安全管理工作要求也逐步提高。持續分析、總結網絡信息安全管理中存在的問題，并采取針對性的措施不斷加以改進，成為保證水務信息化戰略實現、不斷提升水務部門管理能力和服務水平的重要基礎保障工作。

主要參考文獻

[1]GB/T 22239-2008，信息安全技術信息系統安全等級保護基本要求[S].

[2]GB/T 25058-2010，信息安全技術信息系統安全等級保護實施指南[S].