浅议税务信息系统网络安全问题的思考 .pdfVIP

浅议税务信息系统网络安全问题的思考

浅议税务信息系统网络平安问题的思考

目前，随着各级税务信息化系统建设的不断深化，通过不断提高设备

的可靠性和通信线路带宽，以及对关键设备和通信节点采取冗余设计等手

段，各级税务信息系统的可靠性、可用性得到了有效地改善，根本上能够

满足税务系统的业务需求。从信息系统的整体开展看来，高性能、高可靠

性和高可用性的问题已经有很多成熟的技术储藏和解决方案，随着税务信

息系统的不断开展和完善，技术手段和管理手段的不断落实，这些方面的

问题将不再是制约信息系统开展的瓶颈。

而随着信息系统网络化的开展，和目前网络环境下平安问题的不断暴

露，以及对信息平安和网络平安的要求的不断提高，目前所到达的应用水

平和用户需求之间存在很大的差距，甚至网络平安和信息平安技术目前能

到达的最高水平，也远远不能满足用户需求。在这种情况下，应采取什么

样的管理和技术措施，提高网络信息系统的平安性，就成为一个非常关键

的问题。

根据目前税务系统的现状，实际上往往把信息平安和网络平安作为一

个工作方向，在行政和技术管理上也是作为一个问题来看待的。事实上，

除了一些机要部门因平安问题缺乏保障而采取了涉密不上网，上网不涉

密的物理隔离措施外，大局部日常应用的税务信息系统都是网络信息系

统，它们的信息平安和网络平安问题是统一的。因此，这里我们把它们统

称为网络平安问题。而目前网络平安存在以下几个方面的问题：1.对

平安问题整体上非常重视，但不够细化，造成在具体实施上管理手段和技

术手段的脱节如上所述，平安问题分为信息平安和网络平安两个方面。

信息平安主要解决关键信息保护的问题，即如何防止关键信息泄露；而网

络平安侧重于保护网络信息系统的正常运行，防止通过网络手段造成信息

泄露是网络平安的一个重要组成局部，但并不是网络平安的全部内容，网

络平安还包括防止停止效劳〔DO〕攻击，防止网络病毒传播等等。信息平

安和网络平安两个方面之间存在很大的差异，因此在管理和技术手段上也

有很大的不同。目前各级政府、保密部门、公安部门和税务部门本身都对

平安问题非常重视，在管理和实施上都有非常严格的要求，也在不断地提

高对平安技术和平安产品的投入；然而，同信息系统的其他方面〔如网络

建设、系统维护、软件开发和维护等〕相比，目前采取的各项平安措施往

往还停留在起步阶段，尚未取得比拟明显的效果。

这里需要说明的是，平安问题是一个世界范围内的问题，包括信息技

术兴旺国家在内，在管理和技术手段上，很多方面仍处于探索阶段，很多

新类型的技术隐患仍在不断地暴露出来，世界范围内的信息系统都在面对

严峻的平安形势的挑战。正因如此，需要我们不断努力探索，逐步解决各

种平安问题。

在税务系统内，信息平安主要包括信息保密和信息审核两个局部。除

了防止关键信息泄露外，还要对信息的发布采取一定的审核措施，防止通

过网络发布有害信息。以目前的计算机技术开展水平，这两者主要都需要

以行政管理手段为主来采取平安措施。目前上网不涉密、涉密不上网的

管理手段，虽然在一定程度上解决了防止关键信息泄露的问题，但也对信

息系统的开展和应用造成了一定影响；从另一方面看，很多未划分为秘密

的信息，如果泄露也会产生不良后果。因此，亟需建立更加完善的信息审

核机制，恰当地划分各种涉密和非涉密信息的平安等级，根据不同平安等

级的需要，有针对性地采取不同的平安措施，并对建立不同防护等级的应

用系统提出具体要求和指导。

而防护等级的划分，要充分考虑目前和未来的黑客技术和防护技术，

以及信息系统开展的需要。如果对某些信息的防护等级划分偏低，无疑会

增加信息泄露的风险；如果防护等级划分过高，又会造成平安措施过于繁

琐，不仅增加了建设和维护本钱，还会反而降低保护目标的平安性。任何

系统都需要投入人力物力进行建设和维护，在总体投入有限的情况下，高

估某些信息的防护等级，必然减少整体防护的覆盖范围，从而减低整体的

平安保护水平；任何系统的使用者都是人，对某些信息的平安片面夸大，

会降低信息使用者的警觉性和重视程度，从而形成平安隐患。

对于信息发布的审核机制，除行政管理手段外，尚需提供一定的技术

手段支持。比方严格、完整的信息发布记录，结合身份认证和网络管理系

统，确保有能力对特定的信息发布提供有效追踪。而关于信息审核自动化

方面，目前尚无有效的技术手段；仅存在一些非常初级的以关键词检索