网上办税系统信息安全建设经验谈_信息安全管理系统建设

网上办税系统信息安全建设经验谈由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“信息安全管理系统建设”。

厦门地税网上办税系统信息安全建设经验谈

内容提要：随着电子政务的迅猛发展，网上办税已经成为广大纳税人越来越喜爱采 用的纳税申报方式。网上办税系统是一个运用计算机网络应用技术，由纳税人通过互联网访问税务机关网站办理税务登记、申报纳税、涉税事务等业务，与税务机关 互动的计算机综合信息处理系统。本文从管理、技术、服务等方面入手，剖析厦门地税网上办税系统信息安全建设情况，总结安全建设经验，为税务系统网上办税系 统信息安全建设工作提供借鉴。

关键词：网上办税系统 信息安全 管理 技术 服务

厦门地税网上办税系统于1997年底开通，在全国税务系统率先推出基于互联网的电子申报方式，为纳税人提供网上办税和涉税咨询服务；2003年，厦门地税 提出全面构建“厦门电子地税局”的目标，不断拓展和完善厦门地税网上办税系统办税服务功能，加大网上办税服务力度，经过几年的努力，网上办税在厦门地区形 成普及的态势。厦门地税网上办税系统可办理的业务主要有税务（社保）登记、纳税申报、表报报送、发票管理、社保管理、全民医保管理、个税管理、房产土地税 管理、建安税收管理、车船税管理、涉税申请审批、涉税信息查询等，并提供电子邮件、短信服务等，基本实现“所有涉税业务均可网上办理”的目标。为切实保障 厦门地税网上办税系统信息安全，多年来，厦门地税在管理、技术、服务等方面做了深入而细致的工作，有效保障了网上办税系统的信息安全。

一、安全管理措施

（一）遵循体系化原则

厦门地税始终把网上办税系统信息安全保障建设作为网络与信息安全体系的工作重点。按照信息安全管理体系标准BS7799-2和国家税务总局关于保障网上办 税系统的相关要求，扎实推进网上办税系统信息安全保障建设。确定网上办税系统信息安全管理范围、制定信息安全策略方针、明确管理职责、以风险评估为基础提 升网上办税系统信息安全建设。厦门地税网上办税系统信息安全设计原则如图1所示：制定厦门地税网上办税系统总体安全策略，从安全管理，安全技术、安全服务 等三主轴全面分析网上办税系统面临的安全威胁，采取相应的安全防范措施，不断循环改进使之符合总体安全策略的要求。

（二）安全管理制度的建设与落实并举

厦门地税根据网上办税系统的特点，努力规范完善网上办税系统信息安全管理和发布管理制度。一方面，通过出台制度管理办法、形成会议纪要、定期通报分析、广 泛征求纳税人意见等方式，不断完善网上办税系统管理的各项制度；另一方面，遵从国家及税务总局有关基础设施、应用系统、人员管理相关要求，制定了一系列较 完善的网上办税系统信息安全保障制度。涉及网上办税的安全管理制度包括：总体策略、安全设施、安全配置、风险评估、应急响应等。在抓好制度建设的同时，厦 门地税十分重视各项管理制度的落实，将安全管理职责细分到人，并列入工作绩效考核的范畴。为及时处理网上安全事件，厦门地税多年来坚持安排人员每天24小 时值班，实时监控网上办税系统的安全运行情况，并做好值班领导带队和督查工作，确保网上办税系统安全、稳定的运行。

（三）做好安全应急演练工作

厦门地税建立网上办税系统安全保障工作的应急保障框架，成立厦门地税网络与信息安全领导小组、应急保障办公室及各专项保障组，在网络与信息安全领导小组的 领导下，坚持日常管理与应急响应相结合，形成“统一指挥、协调联动、专业处置、沟通顺畅、反应灵敏、运转高效”的保障和应急体系。制定一系列与网上办税系 统相关的应急预案：《网上办税系统管理特定系统预案》、《网上办税系统网络线路应急处理专题预案》、《网上办税系统网页被篡改应急处理专题预案》、《蠕虫 病毒应急处理专题预案》等。做好安全应急演练工作，每年举行一次安全应急演练，根据预案模拟网上办税系统可能遇到的安全事故，按照应急响应流程对安全事故 进行处理，在应急响应演练结束之后，针对应急响应工作过程中遇到的问题，分析应急响应预案的科学性和合理性，针对预案中的问题向应急保障办公室提出修改建 议。通过安全应急演练，能及时发现网上办税系统存在的安全隐患，有效应对网上办税系统的突发事件。

（四）加强信息安全技术培训

厦门地税为加强信息安全防范意识，提高技术、管理人员的信息安全技能和操作水平，开展形式多样的信息安全技能培训：

（一）集中授课培训。制订统一的信息安全培训计划，编写信息安全培训教材。培训内容包括：网络攻击测试与安全策略、网络数据窃听与安全加密、网络和安全系 统的运行监控、网络配置管理与安全合规审计、社会工程学与安全意识教育、网络与安全运维全景图、信息安全评估与管理等。信息安全专家以理论讲授+案例分 析+模拟演练+操作实践等多种方式实施培训，强调技术、管理人员参与和互动，在培训授课过程中根据技术、管理人员的实际需求进行有针对性的案例讲解与互动 交流。

（二）视频安全讲座。通过信息安全专家对信息安全的形势分析、政策解读、案例介绍等讲演分析，达到警示教育的目的，提高技术、管理人员的信息安全意识。

（三）开辟信息安全专栏。在厦门地税远程教育培训系统上开辟专栏，上传信息安全教育视频和课件，充分发挥技术、管理人员学习信息安全的主动性。教育视频和 课件主要包括两类：一类是信息安全操作类，教授如何正确使用计算机，保护计算机的信息安全知识；另一类是信息安全新闻类，教育忽视信息安全所造成的危害和 损失，警醒认真对待信息安全，按照信息安全操作规范使用计算机，保证网上办税系统的信息安全。

（四）组织开展信息安全知识征文活动。在厦门地税开展信息安全知识征文活动，共收到信息安全征文二十余篇，既有学习信息安全的心得体会，也有不注意信息安全造成损失的切身经历等。通过征文让技术、管理人员加深对信息安全的认识，提高信息安全认知水平。

二、安全技术措施

（一）遵循安全相关指导思想

1、遵循分域防护的思想。根据厦门地税网上办税系统访问控制要求，合理划分安全域，建立有效的边界保护措施，实现安全域之间的访问控制，抵御非法攻击。

2、遵循深度防御的思想。充分评估厦门地税网上办税系统面临的安全威胁，结合安全域的划分，从物理层、网络层、系统层、应用层和管理层等多个层面进行整体的设计，利用多种有效的安全防护技术措施，实现多层次的纵深防御。

3、遵循分级保护的思想。根据总局等上级有关部门的关于安全等级保护的要求，结合厦门地税网上办税系统的实际情况，逐步提升网上办税系统的安全等级。

4、遵循动态发展的思想。在满足厦门地税网上办税系统目前的安全需求的基础上，随着业务应用系统和网络安全技术的不断发展变化，进行内部安全策略的调整，应对不断变化的安全环境。

（二）把好系统技术架构设计关

厦门地税网上办税系统采用J2EE三层技术架构，以小型机群为应用服务器和数据库服务器硬件平台，以UNIX操作系统、Weblogic中间件、Oracle数据库等为系统软件平台，系统安全层次高，安全隐患少。另外，在应用设计方面，利用CA数字签名认证技术，建立了安全有效的身份认证机制，确 保数据传输的真实性和可靠性；利用SSL加密技术，对纳税人的传输信息进行加密，保障用户信息在互联网上传输的安全性。

（三）加强信息安全基础设施建设

厦门地税网上办税系统是基于互联网应用的涉税服务系统，采用千兆防火墙系统保护对外网站服务器群，加强防攻击、防瘫痪的能力；采用入侵检测系统监测非法入 侵和违规操作；采用安全审计系统和网页审计系统提高网站安全事故的审计分析能力；建立防病毒系统管理中心，自动检测清除各种计算机病毒，严密防范病毒入侵 和传播；定期利用漏洞扫描技术发现网上办税系统的安全漏洞并封堵；建设网页防篡改系统加强网站的防篡改能力等；厦门地税建立了数据备份和容灾机制，在郊区 建设异地数据容灾中心，有效防范自然灾害和设备故障对重要数据可能造成的危害。

（四）定期实施安全风险评估

厦门地税定期组织开展网上办税系统安全风险评估。安全风险评估的主要内容包括：信息资产调查、人工检查和访谈、漏洞工具扫描、互联网渗透测试、技术人工评 估、管理人工评估、安全综合评估报告、安全加固建议、安全规划及集成方案、完善管理体系等。安全风险评估的工作流程：对厦门地税网上办税系统的信息资产进 行调查；参考国家及行业标准对网上办税系统进行安全级别划分，划分网上办税系统的安全子域；采用各种方式对网上办税系统进行全面评估；根据风险评估结果，参考通用标准基本要求设计短期解决方案及长期的安全规划。通过几年的探索，厦门地税意识到实施安全风险评估对提高安全防护水平的巨大作用，并逐步建立了健 全的信息安全风险评估机制。厦门地税每年均安排一定的资金预算，提出具体风险评估需求，聘请安全专业服务公司，定期对网上办税系统进行全面的安全风险评 估。按照规范的评估工作流程和方法，利用安全专业工具进行扫描、渗透，发现存在的安全威胁，及时消除隐患和修补漏洞。利用风险评估结果，了解网上办税系统 安全的动态变化情况，并采取相应的技术措施进行防护，变被动防御为主动防御，使信息安全风险评估为网上办税系统安全防护管理决策提供强有力的支持。

三、加强安全服务保障工作

网上办税系统是一个税务机关和广大纳税人交互的信息系统，不仅要做好自身系统的安全防护工作，也要尽力保护纳税人终端的安全，同时引导教育纳税人提高安全 意识，做好安全防护工作，减少对网上办税系统的安全威胁。厦门地税适应新形势对网上办税系统建设提出了“为纳税人提供更加优质安全服务”的新目标。一是通 过发送手机短信、电子邮件等形式对纳税人纳税申报、扣缴税款不成功等涉税信息进行提醒；二是定期发送一些信息安全小知识及防范方法，提高纳税人安全意识与 防范手段；三是通过12366系统和信息技术人员电话方式为纳税人在网上办税期间遇到的安全问题提供解答，对于特殊和紧急的疑难杂症还组织相关安全人员上 门服务解决问题。通过上述措施不仅解决了纳税人在网上办税期间碰到的各类问题，也加强了纳税人的安全意识；纳税人在今后的办税业务中会更加重视安全工作，从源头上减轻了网上办税系统可能受到的安全威胁，形成良性互动。

四、网上办税系统在安全方面存在的问题

虽然厦门地税在安全技术、安全管理及安全服务等方面做了大量的工作，但是由于信息安全是一个动态变化的过程，厦门地税目前还存在一些不足之处，需要紧跟信息安全发展的步伐，不断对网上办税系统的安全管理和技术保障体系进行完善。

（一）用户操作审计风险控制尚存缺陷

用户操作审计控制是整个网络信息安全管理的一个重要环节，由于厦门地税网上办税系统的重要服务器和网络设备数量较多，目前未有集中监控和统一登录设备对内 部人员及第三方维护人员在主机、交换机、路由器、防火墙等的操作命令内容进行审计监控；无法收集记录内部人员及第三方的操作过程、分析用户操作行为、定位 操作者的来龙去脉、重建事件过程直至完整的分析定位事件的本源；无法保证各种设备和系统日志不被篡改。

（二）缺少对内部安全产品之间关联互动的集中管理

随着厦门地税网上办税系统安全体系的不断建设，部署的网络防火墙系统、基于网络的入侵检测、安全审计系统、防病毒系统、安全评估系统和终端接入防护系统等 安全防护产品越来越多。这些安全防护产品的建设对保障网上办税系统的安全发挥很大的作用，但是我们也看到由于安全产品和安全管理的独立性，造成安全信息不 共享的现状，形成了一个个信息安全孤岛；各类设备产生了大量日志数据和安全信息数据格式各不相同，使得技术人员无法快速获取有价值的信息，无法实现网络安 全信息的集中整理和关联分析，导致定损关联也变成纸上谈兵；缺少统一的安全知识共享平台，导致组织整体安全水平不高；信息安全管理和安全技术相对孤立，缺 乏衔接二者的接口，使得管理和技术都只能事倍功半。这些分散、独立的安全策略和安全产品面临着整合和集中管理的问题。

厦门地税网上办税系统下一步安全工作主要将考虑如何建设统一的安全管理与操作审计平台和建设安全管理运维平台，更好的管理安全产品，更好的发挥网络和安全设备的功能。

五、总结

面对信息化和信息安全不断出现的新形势和新问题以及网上办税系统业务应用的新特点，厦门地税通过管理、技术、服务等方面保障网上办税系统安全，始建至今未 出现过大的安全事故。较好地完成了网上办税系统的安全保障要求，真正实现了“进不去、窃不走、看不懂、改不了、打不乱、赖不了、跑不掉”的安全保障目标。

信息安全是一个动态过程，不是一劳永逸的结果，即使我们做了很多安全保障工作，也不能确保现在网上办税系统的绝对安全，这需要我们与时俱进，不断加强网上 办税系统安全建设。信息安全是手段，应用才是目的，我们将紧紧围绕服务税收核心业务，优化系统支持，深化数据应用，完善运维体系，强化信息安全，推进工作 创新，不断提高信息化安全管理水平，有效发挥职能作用，确保信息系统稳定高效安全运行，为促进税收事业科学发展提供强有力的信息安全保障。

参考文献：

［1］陈冠值、王志强、吉增瑞、景乾元、宋健平，GB/T 20269-2006信息安全技术信息系统安全管理要求［S］。北京：中国标准出版社，2006.［2］陈冠值、王志强、吉增瑞、景乾元、宋健平，GBT20271-2006信息安全技术信息系统通用安全技术要求［S］。北京：中国标准出版社，2006.［3］范红、吴亚非、李京春、马朝斌、李嵩、应力、王宁、江常青、张鉴、赵敬宇，GBT20984-2007信息安全技术信息安全风险评估规范［S］。北京：中国标准出版社，2007.［4］张凡、冯登国、张立武、路晓明、庄涌、王延鸣，GBT21053-2007信息安全技术公钥基础设施PKI系统安全等级保护技术要求［S］。北京：中国标准出版社，2007.［5］上官晓丽、闵京华，赵战生、王连强、徐爱国，GBZ20985-2007信息技术安全技术信息安全事件管理指南［S］。北京：中国标准出版社，2007.［6］马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、罗峥、毕马宁，GBT 22239-2008信息安全技术信息系统安全等级保护基本要求［S］。北京：中国标准出版社，2008.作者单位：

福建省厦门市地方税务局信息技术分局