導(dǎo)語：稅務(wù)信息系統(tǒng)安全保障研究一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1信息安全保障體系

1.1信息安全。信息安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)和密碼技術(shù)等多個領(lǐng)域的交叉學(xué)科，它關(guān)注信息系統(tǒng)在安全方面存在的問題和面臨的威脅，貫穿于信息系統(tǒng)中信息生命周期的整個過程。信息本身應(yīng)具有的安全屬性主要有保密性、完整性和可用性3個方面。1.1.1特征與范疇。與傳統(tǒng)安全相比，信息安全有4個鮮明特征：系統(tǒng)性、動態(tài)性、無邊界性和非傳統(tǒng)性。（1）系統(tǒng)性，信息安全問題是復(fù)雜的，在這個“人-機(jī)”、“人-網(wǎng)”緊密結(jié)合的復(fù)雜系統(tǒng)中，某一分支或某一要害受到損害，均可能引發(fā)全局性的系統(tǒng)危機(jī)。（2）動態(tài)性，信息系統(tǒng)從規(guī)劃設(shè)計，到開發(fā)建設(shè)，再到運(yùn)行維護(hù)，最后到廢棄，在整個生命周期中，信息系統(tǒng)面臨著不同的安全問題。（3）無邊界性，信息化的重要特點(diǎn)是開放性和互通性，這使得信息安全威脅超越了現(xiàn)實(shí)地域的限制。（4）非傳統(tǒng)性，與軍事安全、政治安全等傳統(tǒng)安全相比，信息安全涉及的領(lǐng)域和影響范圍十分廣泛，必須采用新方法來治理。1.1.2信息安全問題根源。技術(shù)故障、黑客攻擊、病毒和漏洞等原因都可以引發(fā)信息安全問題，信息安全問題產(chǎn)生的根源可以從內(nèi)因和外因兩個方面加以分析。內(nèi)因是信息系統(tǒng)自身存在脆弱性，信息系統(tǒng)過程、結(jié)構(gòu)和應(yīng)用環(huán)境的復(fù)雜性導(dǎo)致系統(tǒng)本身不可避免地存在脆弱性。外因是信息系統(tǒng)面臨著眾多威脅，這些威脅包括人為因素和非人為因素兩大類。1.2信息系統(tǒng)安全保障。信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性。1.2.1信息安全技術(shù)。信息安全技術(shù)涵蓋密碼技術(shù)、訪問控制技術(shù)、網(wǎng)絡(luò)安全技術(shù)、操作系統(tǒng)安全技術(shù)、數(shù)據(jù)庫安全技術(shù)、安全漏洞與惡意代碼防護(hù)技術(shù)和軟件安全開發(fā)技術(shù)等多種技術(shù)類型。1.2.2信息安全管理。信息安全管理體系包括建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)等一系列管理活動。此外，還需要結(jié)合信息安全風(fēng)險管理、信息安全控制措施、應(yīng)急響應(yīng)與災(zāi)難恢復(fù)和信息安全等級保護(hù)等多層面的管理方法。1.2.3信息安全工程。規(guī)范的信息安全工程過程包括發(fā)掘信息保護(hù)需要、定義信息系統(tǒng)安全要求、設(shè)計系統(tǒng)安全體系結(jié)構(gòu)、開發(fā)詳細(xì)安全設(shè)計和實(shí)現(xiàn)系統(tǒng)安全5個階段及相應(yīng)活動。1.2.4信息安全人員。在信息安全保障諸要素中，人是最關(guān)鍵也是最活躍的要素。網(wǎng)絡(luò)攻防對抗，最終較量的是攻防雙方人員的能力。組織機(jī)構(gòu)要建立一個完整的信息安全人才體系。

2稅務(wù)信息系統(tǒng)安全保障現(xiàn)狀

2.1數(shù)據(jù)安全管理還需強(qiáng)化。隨著稅收信息化的不斷發(fā)展，稅務(wù)數(shù)據(jù)高度集中并呈指數(shù)級增長，具有數(shù)據(jù)規(guī)模大、應(yīng)用類型多樣、涉及個人隱私和敏感信息等特點(diǎn)。國家有關(guān)法律法規(guī)對數(shù)據(jù)安全保護(hù)提出了具體要求，《中華人民共和國稅收征收管理法》明確要求稅務(wù)機(jī)關(guān)應(yīng)當(dāng)依法為納稅人、扣繳義務(wù)人的情況保密；《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》要求應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止電子信息的泄露、毀損、丟失等；《中華人民共和國網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度，這些都對稅務(wù)數(shù)據(jù)安全保護(hù)提出了更高的要求。2.2“三同步”工作尚需加強(qiáng)。網(wǎng)絡(luò)安全和信息化發(fā)展是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施?！吨腥A人民共和國網(wǎng)絡(luò)安全法》要求建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)用確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。隨著稅收信息化的深入推進(jìn)，信息系統(tǒng)安全已經(jīng)引起廣泛重視，但仍存在信息系統(tǒng)與安全技術(shù)措施規(guī)劃不同步、安全技術(shù)保障體系尚不完善、缺乏周期性的綜合風(fēng)險評估機(jī)制等問題。

3稅務(wù)信息系統(tǒng)安全保障提升措施

3.1扎實(shí)推進(jìn)“三同步”工作。對于稅務(wù)信息系統(tǒng)，要嚴(yán)格按照“三同步”要求，在規(guī)劃、建設(shè)和使用階段，同步落實(shí)應(yīng)用系統(tǒng)管理與安全技術(shù)措施各項(xiàng)工作。規(guī)劃階段要開展應(yīng)用系統(tǒng)擬定級工作，在項(xiàng)目采購需求中明確安全要求；建設(shè)階段要全面梳理網(wǎng)絡(luò)安全需求，嚴(yán)格做好安全設(shè)計與開發(fā)，做實(shí)階段安全評審，上線前要完成等級保護(hù)定級備案和測評整改；運(yùn)行階段要明確運(yùn)行責(zé)任，做好文檔管理、資產(chǎn)管理、變更管理和運(yùn)維管理，細(xì)化監(jiān)控與審計要求，定期開展應(yīng)急演練。3.2嚴(yán)格管控數(shù)據(jù)安全風(fēng)險。要將電子數(shù)據(jù)按照核心數(shù)據(jù)、敏感數(shù)據(jù)和受控數(shù)據(jù)進(jìn)行分級分類保護(hù)，做到事前管控、嚴(yán)格管理、保證安全。稅務(wù)電子數(shù)據(jù)安全使用要遵循“合規(guī)進(jìn)、授權(quán)用、加密傳、保險存、審核出、銷毀凈”的總體策略，在電子數(shù)據(jù)創(chuàng)建、使用、傳輸、存儲和銷毀的全生命周期內(nèi)，采取安全保護(hù)管理策略和技術(shù)措施，實(shí)現(xiàn)電子數(shù)據(jù)的防攻擊、防越權(quán)、防泄漏、防篡改和防抵賴。3.3細(xì)化落實(shí)日志留存要求。要按照《中華人民共和國網(wǎng)絡(luò)安全法》關(guān)于日志留存技術(shù)措施和保存期限要求，采取相關(guān)措施，確保應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、中間件、主機(jī)存儲、網(wǎng)絡(luò)、安全、終端等系統(tǒng)日志至少留存六個月，特別是留存應(yīng)用系統(tǒng)登錄日志和后臺數(shù)據(jù)庫操作日志以備安全事件調(diào)查評估時追蹤溯源，并注意做好日志數(shù)據(jù)轉(zhuǎn)存和備份。3.4逐步提升用戶身份鑒別能力。為進(jìn)一步提升稅務(wù)信息系統(tǒng)的應(yīng)用安全，防止用戶身份冒用，應(yīng)根據(jù)等級保護(hù)相關(guān)規(guī)定，做好用戶身份鑒別。身份鑒別是保障應(yīng)用系統(tǒng)安全的第一道屏障，一般可分為所知、所有和實(shí)體特征三類鑒別方式：所知即實(shí)體所知道的知識，如口令；所有即實(shí)體所持有的物品，如令牌、手機(jī)、數(shù)字證書等；實(shí)體特征即實(shí)體所具有的指紋、語音、人臉、虹膜等生物特征。重要信息系統(tǒng)應(yīng)同時實(shí)現(xiàn)多種鑒別方式，推薦采用口令與稅務(wù)數(shù)字證書或者短信的組合。

參考文獻(xiàn)

[1]吳世忠,李斌,張曉菲,沈傳寧,李淼.信息安全技術(shù)[M].北京：機(jī)械工業(yè)出版社,2015.

作者:曹爽 單位:國家稅務(wù)總局電子稅務(wù)管理中心