1、税务信息系统平安保障研究 1信息平安保障体系 1.1信息平安。信息平安是一门涉及计算机科学、网络技术、通信技术和密码技术等多个领域的交叉学科,它关注信息系统在平安方面存在的问题和面临的威胁,贯穿于信息系统中信息生命周期的整个过程。信息本身应具有的平安属性主要有保密性、完整性和可用性3个方面。 1.1.1特征与范畴。与传统平安相比,信息平安有4个鲜明特征:系统性、动态性、无边界性和非传统性。(1)系统性,信息平安问题是复杂的,在这个“人-机、“人-网紧密结合的复杂系统中,某一分支或某一要害受到损害,均可能引发全局性的系统危机。(2)动态性,信息系统从规划设计,到开发建设,再到运行维护,最后到废弃
2、,在整个生命周期中,信息系统面临着不同的平安问题。(3)无边界性,信息化的重要特点是开放性和互通性,这使得信息平安威胁超越了现实地域的限制。(4)非传统性,与军事平安、政治平安等传统平安相比,信息平安涉及的领域和影响范围十分广泛,必须采用新方法来治理。 1.1.2信息平安问题根源。技术故障、黑客攻击、病毒和漏洞等原因都可以引发信息平安问题,信息平安问题产生的根源可以从内因和外因两个方面加以分析。内因是信息系统自身存在脆弱性,信息系统过程、结构和应用环境的复杂性导致系统本身不可防止地存在脆弱性。外因是信息系统面临着众多威胁,这些威胁包括人为因素和非人为因素两大类。 1.2信息系统平安保障。信息系
3、统平安保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出平安保障要求,确保信息系统的保密性、完整性和可用性。 1.2.1信息平安技术。信息平安技术涵盖密码技术、访问控制技术、网络平安技术、操作系统平安技术、数据库平安技术、平安漏洞与恶意代码防护技术和软件平安开发技术等多种技术类型。 1.2.2信息平安管理。信息平安管理体系包括建立、实施、运作、监视、评审、保持和改进等一系列管理活动。此外,还需要结合信息平安风险管理、信息平安控制措施、应急响应与灾难恢复和信息平安等级保护等多层面的管理方法。 1.2.3信息平安工程。标准的信息平安工程过程包括开掘信息保护需要、定义信息系统平安要
4、求、设计系统平安体系结构、开发详细平安设计和实现系统平安5个阶段及相应活动。 1.2.4信息平安人员。在信息平安保障诸要素中,人是最关键也是最活泼的要素。网络攻防对抗,最终较量的是攻防双方人员的能力。组织机构要建立一个完整的信息平安人才体系。 2税务信息系统平安保障现状 2.1数据平安管理还需强化。随着税收信息化的不断开展,税务数据高度集中并呈指数级增长,具有数据规模大、应用类型多样、涉及个人隐私和敏感信息等特点。国家有关法律法规对数据平安保护提出了具体要求,中华人民共和国税收征收管理法明确要求税务机关应当依法为纳税人、扣缴义务人的情况保密;全国人民代表大会常务委员会关于加强网络信息保护的决定
5、要求应当采取技术措施和其他必要措施,确保信息平安,防止电子信息的泄露、毁损、丧失等;中华人民共和国网络平安法要求网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度,这些都对税务数据平安保护提出了更高的要求。 2.2“三同步工作尚需加强。网络平安和信息化开展是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。中华人民共和国网络平安法要求建设关键信息根底设施应用确保其具有支持业务稳定、持续运行的性能,并保证平安技术措施同步规划、同步建设、同步使用。随着税收信息化的深入推进,信息系统平安已经引起广泛重视,但仍存在信息系统与平安技术措施规划不同步、平安技术保障体系尚
6、不完善、缺乏周期性的综合风险评估机制等问题。 3税务信息系统平安保障提升措施 3.1扎实推进“三同步工作。对于税务信息系统,要严格按照“三同步要求,在规划、建设和使用阶段,同步落实应用系统管理与平安技术措施各项工作。规划阶段要开展应用系统拟定级工作,在工程采购需求中明确平安要求;建设阶段要全面梳理网络平安需求,严格做好平安设计与开发,做实阶段平安评审,上线前要完成等级保护定级备案和测评整改;运行阶段要明确运行责任,做好文档管理、资产管理、变更管理和运维管理,细化监控与审计要求,定期开展应急演练。 3.2严格管控数据平安风险。要将电子数据按照核心数据、敏感数据和受控数据进行分级分类保护,做到事前
7、管控、严格管理、保证平安。税务电子数据平安使用要遵循“合规进、授权用、加密传、保险存、审核出、销毁净的总体策略,在电子数据创立、使用、传输、存储和销毁的全生命周期内,采取平安保护管理策略和技术措施,实现电子数据的防攻击、防越权、防泄漏、防篡改和防抵赖。 3.3细化落实日志留存要求。要按照中华人民共和国网络平安法关于日志留存技术措施和保存期限要求,采取相关措施,确保应用系统、操作系统、数据库、中间件、主机存储、网络、平安、终端等系统日志至少留存六个月,特别是留存应用系统日志和后台数据库操作日志以备平安事件调查评估时追踪溯源,并注意做好日志数据转存和备份。 3.4逐步提升用户身份鉴别能力。为进一步提升税务信息系统的应用平安,防止用户身份冒用,应根据等级保护相关规定,做好用户身份鉴别。身份鉴别是保障应用系统平安的第一道屏障,一般可分为所知、所有和实体特征三类鉴别方式:所知即实体所知道的知识,如口令;所有即实体所持有的物品,如令牌、 、数字证书等;实体特征即实体所具有的指纹、语音、人脸、虹膜等生物特征。重要信息系统应同时实现多种鉴别方式,推荐采用口令与税务数字证书或者短信的组合。 参考文献 1吴世忠,李斌,张晓菲,沈传宁,李淼.信息平安技术m.北京:机械工业出版社,2023. 第5页 共5页