税务电子政务信息系统探讨论文

摘要：税务电子政务的实施为税务部门承担的税收管理和服务实现电子化、网络化和透明、高效开辟了广阔的空间。然而税务电子政务信息系统的安全问题也变得更加突出、严重。认识电子政务信息系统安全的威胁，把握系统安全的影响因素和要求，建设系统安全保障体系，对保证税务电子政务的有效运行具有重要意义。

关键词：税务；政务信息系统；安全体系

引言

所谓税务电子政务是指税务部门运用现代电脑和网络技术，将其承担的税务管理和服务职能转移到网络上进行，同时实现税务部门组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，向社会和纳税人提供高效优质、规范透明和全方位的管理与服务。税务电子政务的实施使得税务部门事务变得公开、高效、透明、廉洁和信息共享，与此同时，也使得政务信息系统安全问题更加突出和严重，影响税务电子政务信息系统功能的发挥，甚至对税务部门和纳税人产生危害，严重的还将对国家信息安全乃至国家安全产生威胁。因此，建设税务电子政务信息系统安全的保障体系是发展税务电子政务的关键所在，具有极其重要的意义。

1税务电子政务系统安全体系概述

税务电子政务系统安全体系方面的研究始终是学术界研究重点和税务部门、企业界广泛关注的焦点之一，已经出现了较多的研究成果和实践案例，比如将税务电子政务安全相关标准分成信息安全总体标准、密码算法、密码管理标准、防信息泄漏标准、信息安全产品标准、系统与网路安全标准、信息安全评估标准、信息安全管理标准8个类别；将税务电子政务安全体系划分为“网络安全政策法规、网络安全组织管理、网络安全标准规范、网络安全服务产业、网络安全技术产品和网络安全基础设施”六个组成部分；将税务电子政务安全保障体系划分为安全法规、安全管理、安全标准、安全服务、安全技术产品和安全基础设施6大要素；部分厂商则或者从网络、传输、存储安全以及可靠性、隐秘性、易维护性等角度构建安全体系，或者从物理、网络、主机、应用角度设计；或者从物理隔离、基础平台安全、应用平台安全和安全管理四个方面进行总体考虑。

2如何构建完善的税务电子政务系统安全体系

我们知道，税务电子政务系统安全体系是整个税务电子政务系统安全、有效、高效运行的重要保证，因此安全体系应切合税务电子政务系统实际需求，在保证物理安全和网络安全的基础上，充分保证数据安全和应用系统安全，同时通过安全制度建设和安全教育培训实现安全体系有效实施，以全面保证税务电子政务应用系统中各类信息的采集、处理、管理、传输等安全进行，并满足将来税务电子政务系统安全方面的扩展需求。下面我们将在阐述税务电子政务系统安全体系基本构建原则的基础上，从物理安全、网络安全、数据安全、应用系统安全、安全制度建设、安全教育和培训等方面对完善的税务电子政务安全体系进行说明。

（1）构建电子政务系统安全体系的基本原则

参照我国税务电子政务建设指导意见并结合税务电子政务安全体系方面的研究，我认为：构建税务电子政务系统安全体系应当遵循以下原则：

Ÿ1）全面设计、整体部署

2）统一标准，加强管理

Ÿ3）需求主导，重点突出

Ÿ4）灵活配置、动态部署

5）制度建设、安全培训

（2）电子政务系统安全体系之物理安全

物理安全是整个税务电子政务系统安全的前提，用于保证计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。税务电子政务系统安全体系中的物理安全可以分为环境安全、设备安全和媒体安全，涉及到税务电子政务系统应用范围内的各方主体。其中，环境安全是对系统运行环境的安全保护，如区域保护和灾难保护等，具体可以参照国家标准GB50173-93、GB2887-89、GB9361-88等相关要求进行设计；设备安全则主要包括存储、传输或系统运行所用设备的防盗、防毁、防磁、防止线路截获、抗电磁干扰及电源保护等；媒体安全则包括存储媒体本身的安全以及媒体中存储数据安全。

（3）税务电子政务系统安全体系之网络安全

税务电子政务系统安全体系之网络安全主要分为传输网络安全和业务网络安全两类。对于税务电子政务系统相关的传输网络，网络安全主要是保证参与税务电子政务系统各方主体之间的数据传输网络以及公共网络服务的安全可靠运行，从目前税务电子政务建设情况来看，传输网络安全目前需要由网络基础设施提供商或服务商为其安全性提供充分保证。对于税务电子政务系统相关的业务网络，网络安全主要包括控制拨号用户接入、设置防火墙、防范病毒、控制与公网互连、防范黑客入侵以及就网络安全进行严格监控和规范管理等以保护业务网络资源和电子政务应用服务。

1）拨号用户接入问题：

目前，我国税务电子政务系统网络建设并不完善，还存在部分网络环境较差的单位，在使用税务电子政务系统的时候需要通过拨号方式利用公用电话交换网在网络上传输数据。以该种方式传输的数据可能在传输过程中被窃听、被篡改，因此针对由于使用拨号方式传输数据所产生的安全隐患，需要采用拨号用户身份认证等加强对拨号用户的安全验证，对拨号用户实现统一管理，采用加密手段对关键数据加密后进行传输，防止数据泄漏和被非法窃取；严格限制拨号上网用户能访问的系统信息和系统资源，防止非法用户拨号进入电子政务系统所在网络。

2）防火墙设置问题：

在税务电子政务系统运行所在专网和外网之间、不同安全域之间需要根据需要设置防火墙，依据安全政策对出入网络的信息流进行控制，有条件地允许、拒绝、检测或过滤。防火墙设置需要综合考虑电子政务系统所要求的速度、性能、管理、便易性和性价比等各个方面，进行周密设计和总体规划；另外应注意加强安全管理，采取一些必要的措施保证较高的安全性，比如防火墙要安装在不同的介质上，尽量使用不同的服务器提供不同性质的服务，对于重要系统的出口应重点配置防火墙，在实际配置和实施时应该关闭不需要的服务，要经常检查防火墙的日志，发现异常应该及时处理，采取多层防御、冗余防御等多种方法和措施。

3）关于防病毒问题：

在税务电子政务系统中，需要基于业务需求建立多层次病毒防卫体系。无论是B/S还是C/S结构，均需要在税务电子政务系统每一个安装或运行点强调安装反病毒软件，在税务电子政务系统中的业务处理终端和服务器端应同时提供对应的防病毒保护措施。防病毒工作是一个长期的工作，应及时进行防病毒软件或系统的升级、换代工作。另外除了采用各种防病毒产品以外，还应建立和实施完善的综合安全性操作程序，该操作程序应包括各种安全措施，如定期数据备份、关键信息加密保护等。

4）控制与公网互连的问题：

在税务电子政务系统中，数据传输的方式一般包括纸质传输、介质传输和网络传输，因此对于公网传输的情况应加强安全方面的管理和控制。税务电子政务系统要求内外网物理隔离，一般可以采用双穴主机及类似措施，在严格控制与公网互连的前提下，妥善解决公网与专网之间的数据传输问题。

5）关于防止黑客问题：

随着网络规模的扩张和信息技术的飞速发展，黑客技术也不断发展，其攻击的范围和层次也不断扩张。税务电子政务系统作为我国政府信息化的重要项目（比如金税工程、秦税工程等）也有可能成为某些恶意黑客的攻击对象。因此在设计和实施税务电子政务系统安全体系时，应加强采用入侵检测技术防范黑客入侵和侵袭，并在必要的时候采取证据记录、跟踪恢复、强制断开等措施保证业务网络的安全。

6）网络安全管理和监测：

网络安全管理和监测是税务电子政务系统安全设施和安全机制有效发挥作用的重要保证，主要包括安全规范的制定和实施、各类操作用户的安全管理、安全体系的运营监控、应急处理和安全控制等。

（4）税务电子政务系统安全体系之数据安全

税务电子政务系统一般将需要采集、整理、处理、传输、统计、分析等所对应的数据进行安全分级，比如有些系统将数据分为一般数据、重要数据和关键数据三级，有些系统将数据分为自主保护、审计保护、标记保护、结构化保护和验证保护五级等，然后对于不同级别的数据采用不同的安全措施。

根据数据的处理形式不同，安全体系之数据安全可以分为数据传输安全、数据存储安全、数据库安全三个方面。

（5）税务电子政务系统安全体系之应用系统安全

税务电子政务系统安全体系之应用系统安全主要包括用户身份认证、访问控制、安全审计及日志、安全技术及应用四个部分。

1）用户身份认证

这里的用户是一个比较宽泛的概念，不仅包括使用税务电子政务系统的政务工作者（人），还包括访问或者使用税务电子政务系统的其他系统或者主机、服务器等（系统、计算机）。

用户身份认证根据税务电子政务系统是否部署认证中心CA可以划分为如下两种情形：当税务电子政务系统中没有部署认证中心CA时，一般采用用户名称、密码、附加验证码的形式进行用户身份认证。只有税务电子政务系统的数据库中保存了该用户的记录，并且该用户具有合法访问当前税务电子政务系统的权限，用户才能够登录当前税务电子政务系统。如果税务电子政务系统部署了认证中心CA，那么一般CA是在全系统部署并发挥作用的，每个税务电子政务系统用户首先向CA申请数字证书并以此作为用户参与税务电子政务系统的合法身份。超级秘书网

用户身份认证一般发生于用户登录税务电子政务系统时或者不同税务电子政务系统之间传递数据时的情况。在用户登录税务电子政务系统时，需要对登录用户持有的数字证书进行认证，以保证只有合法持有有效数字证书的用户才能够登录税务电子政务系统，同时还需要进行安全审计和记录系统安全日志。

2）访问控制

在税务电子政务系统中，需要指定各个应用层次中的每一个用户所能够访问的业务资源和系统资源，也即访问控制和权限分配策略。

这里的权限不但包括用户能否访问的业务范围、业务数据、数据的访问方式、操作类型等，还包括税务电子政务系统相关的系统资源，包括打印、邮件等。

3）安全技术及应用

根据安全级别的划分，可以采用包括数据加密与解密、数据摘要及验证、数字签名及验证、时间戳加盖及验证等在内的安全技术保证系统的安全性、完整性和不可否认性。

（6）税务电子政务系统安全体系之安全制度建设

税务电子政务系统安全体系要真正发挥作用，还需要制定安全制度并严格实施。一般的，安全制度包括人员安全管理、系统文档管理、环境安全管理、设备购置使用、系统开发管理、运营安全管理、应急情况处理等内容。

（7）税务电子政务系统安全体系之安全教育和培训

税务电子政务系统中，用户安全意识及其掌握的安全知识是整个安全体系高效、有效运行和正常维护的重要因素之一，因此在电子政务系统的设计、研发、实施、运维、服务的过程中，应建立完善的安全教育和培训体系，以定期或不定期对电子政务系统涉及的各类用户进行安全相关的教育和培训。

综上所述，建立全方位、多层次的、完善的税务电子政务系统安全体系，应从物理安全、网络安全、数据安全、应用系统安全、安全制度建设、安全教育培训六个方面进行全面、细致规划和周密、整体部署。另外，在构建税务电子政务系统安全体系的同时，还需要注意切合税务电子政务系统实际进行设计，安全思路清晰、安全体系全面、安全重点突出等相关问题。

参考文献：

1曹凌，耿鹏．电子政务管理模式探析．西安电子科技大学学报(社科版)，2001(9)

2娄策群．保障电子政府信息安全是政策选择．情报科学，2002(5)

3王晋东，张明清，韩继红．信息系统安全技术策略研究．计算机应用研究，2001(5)