導語：稅務信息系統(tǒng)安全保障研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1信息安全保障體系

1.1信息安全。信息安全是一門涉及計算機科學、網(wǎng)絡技術(shù)、通信技術(shù)和密碼技術(shù)等多個領(lǐng)域的交叉學科，它關(guān)注信息系統(tǒng)在安全方面存在的問題和面臨的威脅，貫穿于信息系統(tǒng)中信息生命周期的整個過程。信息本身應具有的安全屬性主要有保密性、完整性和可用性3個方面。1.1.1特征與范疇。與傳統(tǒng)安全相比，信息安全有4個鮮明特征：系統(tǒng)性、動態(tài)性、無邊界性和非傳統(tǒng)性。（1）系統(tǒng)性，信息安全問題是復雜的，在這個“人-機”、“人-網(wǎng)”緊密結(jié)合的復雜系統(tǒng)中，某一分支或某一要害受到損害，均可能引發(fā)全局性的系統(tǒng)危機。（2）動態(tài)性，信息系統(tǒng)從規(guī)劃設計，到開發(fā)建設，再到運行維護，最后到廢棄，在整個生命周期中，信息系統(tǒng)面臨著不同的安全問題。（3）無邊界性，信息化的重要特點是開放性和互通性，這使得信息安全威脅超越了現(xiàn)實地域的限制。（4）非傳統(tǒng)性，與軍事安全、政治安全等傳統(tǒng)安全相比，信息安全涉及的領(lǐng)域和影響范圍十分廣泛，必須采用新方法來治理。1.1.2信息安全問題根源。技術(shù)故障、黑客攻擊、病毒和漏洞等原因都可以引發(fā)信息安全問題，信息安全問題產(chǎn)生的根源可以從內(nèi)因和外因兩個方面加以分析。內(nèi)因是信息系統(tǒng)自身存在脆弱性，信息系統(tǒng)過程、結(jié)構(gòu)和應用環(huán)境的復雜性導致系統(tǒng)本身不可避免地存在脆弱性。外因是信息系統(tǒng)面臨著眾多威脅，這些威脅包括人為因素和非人為因素兩大類。1.2信息系統(tǒng)安全保障。信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性。1.2.1信息安全技術(shù)。信息安全技術(shù)涵蓋密碼技術(shù)、訪問控制技術(shù)、網(wǎng)絡安全技術(shù)、操作系統(tǒng)安全技術(shù)、數(shù)據(jù)庫安全技術(shù)、安全漏洞與惡意代碼防護技術(shù)和軟件安全開發(fā)技術(shù)等多種技術(shù)類型。1.2.2信息安全管理。信息安全管理體系包括建立、實施、運作、監(jiān)視、評審、保持和改進等一系列管理活動。此外，還需要結(jié)合信息安全風險管理、信息安全控制措施、應急響應與災難恢復和信息安全等級保護等多層面的管理方法。1.2.3信息安全工程。規(guī)范的信息安全工程過程包括發(fā)掘信息保護需要、定義信息系統(tǒng)安全要求、設計系統(tǒng)安全體系結(jié)構(gòu)、開發(fā)詳細安全設計和實現(xiàn)系統(tǒng)安全5個階段及相應活動。1.2.4信息安全人員。在信息安全保障諸要素中，人是最關(guān)鍵也是最活躍的要素。網(wǎng)絡攻防對抗，最終較量的是攻防雙方人員的能力。組織機構(gòu)要建立一個完整的信息安全人才體系。

2稅務信息系統(tǒng)安全保障現(xiàn)狀

2.1數(shù)據(jù)安全管理還需強化。隨著稅收信息化的不斷發(fā)展，稅務數(shù)據(jù)高度集中并呈指數(shù)級增長，具有數(shù)據(jù)規(guī)模大、應用類型多樣、涉及個人隱私和敏感信息等特點。國家有關(guān)法律法規(guī)對數(shù)據(jù)安全保護提出了具體要求，《中華人民共和國稅收征收管理法》明確要求稅務機關(guān)應當依法為納稅人、扣繳義務人的情況保密；《全國人民代表大會常務委員會關(guān)于加強網(wǎng)絡信息保護的決定》要求應當采取技術(shù)措施和其他必要措施，確保信息安全，防止電子信息的泄露、毀損、丟失等；《中華人民共和國網(wǎng)絡安全法》要求網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度，這些都對稅務數(shù)據(jù)安全保護提出了更高的要求。2.2“三同步”工作尚需加強。網(wǎng)絡安全和信息化發(fā)展是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施?！吨腥A人民共和國網(wǎng)絡安全法》要求建設關(guān)鍵信息基礎設施應用確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設、同步使用。隨著稅收信息化的深入推進，信息系統(tǒng)安全已經(jīng)引起廣泛重視，但仍存在信息系統(tǒng)與安全技術(shù)措施規(guī)劃不同步、安全技術(shù)保障體系尚不完善、缺乏周期性的綜合風險評估機制等問題。

3稅務信息系統(tǒng)安全保障提升措施

3.1扎實推進“三同步”工作。對于稅務信息系統(tǒng)，要嚴格按照“三同步”要求，在規(guī)劃、建設和使用階段，同步落實應用系統(tǒng)管理與安全技術(shù)措施各項工作。規(guī)劃階段要開展應用系統(tǒng)擬定級工作，在項目采購需求中明確安全要求；建設階段要全面梳理網(wǎng)絡安全需求，嚴格做好安全設計與開發(fā)，做實階段安全評審，上線前要完成等級保護定級備案和測評整改；運行階段要明確運行責任，做好文檔管理、資產(chǎn)管理、變更管理和運維管理，細化監(jiān)控與審計要求，定期開展應急演練。3.2嚴格管控數(shù)據(jù)安全風險。要將電子數(shù)據(jù)按照核心數(shù)據(jù)、敏感數(shù)據(jù)和受控數(shù)據(jù)進行分級分類保護，做到事前管控、嚴格管理、保證安全。稅務電子數(shù)據(jù)安全使用要遵循“合規(guī)進、授權(quán)用、加密傳、保險存、審核出、銷毀凈”的總體策略，在電子數(shù)據(jù)創(chuàng)建、使用、傳輸、存儲和銷毀的全生命周期內(nèi)，采取安全保護管理策略和技術(shù)措施，實現(xiàn)電子數(shù)據(jù)的防攻擊、防越權(quán)、防泄漏、防篡改和防抵賴。3.3細化落實日志留存要求。要按照《中華人民共和國網(wǎng)絡安全法》關(guān)于日志留存技術(shù)措施和保存期限要求，采取相關(guān)措施，確保應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、中間件、主機存儲、網(wǎng)絡、安全、終端等系統(tǒng)日志至少留存六個月，特別是留存應用系統(tǒng)登錄日志和后臺數(shù)據(jù)庫操作日志以備安全事件調(diào)查評估時追蹤溯源，并注意做好日志數(shù)據(jù)轉(zhuǎn)存和備份。3.4逐步提升用戶身份鑒別能力。為進一步提升稅務信息系統(tǒng)的應用安全，防止用戶身份冒用，應根據(jù)等級保護相關(guān)規(guī)定，做好用戶身份鑒別。身份鑒別是保障應用系統(tǒng)安全的第一道屏障，一般可分為所知、所有和實體特征三類鑒別方式：所知即實體所知道的知識，如口令；所有即實體所持有的物品，如令牌、手機、數(shù)字證書等；實體特征即實體所具有的指紋、語音、人臉、虹膜等生物特征。重要信息系統(tǒng)應同時實現(xiàn)多種鑒別方式，推薦采用口令與稅務數(shù)字證書或者短信的組合。

參考文獻

[1]吳世忠,李斌,張曉菲,沈傳寧,李淼.信息安全技術(shù)[M].北京：機械工業(yè)出版社,2015.

作者:曹爽 單位:國家稅務總局電子稅務管理中心