大数据时代税务机关网上办税安全管理问题探析

王再堂

(吉林财经大学 税务学院，吉林 长春 130117)

一、网上办税的发展现状

税务机关网上办税是从纳税人角度出发所采取的一项便民措施，该业务依托税务机关的信息化网络，改进税务部门的纳税服务手段，提高办税的效能，全面提升征纳双方的税务信息化水平。税务机关网上办税系统开通后，基于互联网的电子申报方式为纳税人提供网上办税和涉税咨询服务，为广大纳税人办理涉税事项和了解纳税流程提供了极大的便利；随着税务机关网上办税系统的不断拓展和完善，网上办税逐步形成普及的态势。[1]税务机关网上办税系统是一个运用计算机网络技术，将办税场所从实体办税服务厅移至互联网站，从8小时到全天24小时的多元化服务体系，可实现税务登记申请、纳税申报、划缴税款、税收认定申请和涉税查询等功能，纳税人通过互联网浏览器直接访问，并提供电子邮件、短信服务等，基本实现了所有涉税业务均可网上办理。从当前运转的整体态势来看，业务流转基本顺畅、受理办结情况较好。但同时也发现在具体操作过程中仍存在一些有待改进的地方。

二、网上办税面临的旧问题和新挑战

随着金税工程的不断发展和完善，技术手段和管理手段的不断加强，各级税务信息系统的可靠性、可用性得到了有效的改善，基本上能够满足当前网上办税系统的业务需求。但是随着计算机网络的普及和计算机信息犯罪事件的日益增加，税务机关内部信息系统也暴露出一系列需要完善和改进的问题。尤其是当前大数据背景下信息安全形势严峻，网上办税系统所面临的信息安全问题不容忽视。

1.信息泄露影响大。2011年7月，全球最大互联网娱乐社区之一的日本索尼Play Station Network遭受黑客攻击，导致7700万用户资料外泄；2011年12月，CSDN安全系统遭到黑客攻击，导致600多万用户的登录名、邮箱和密码遭到泄露；随后，世纪佳缘和天涯等网站相继被曝用户数据遭到泄露。当前，各地信息安全犯罪案件呈现快速上升趋势，普通人只要花上几元或者几十元钱，就可以批量买到手机号码、身份证号码、汽车牌照、职业、家庭住址、财产收入等详细的个人信息。个人信息的泄露会导致当事人不断接到骚扰电话、广告短信和垃圾邮件，甚至遭遇敲诈勒索、电信诈骗和绑架拘禁等犯罪活动，对公民的人身安全和财产安全构成严重威胁。税务机关作为税款的征收管理者，掌握着网上办税相关的企业信息、用户信息和纳税信息等等，如果税务机关所掌握的纳税人信息遭到泄露，将会对企业和纳税人构成严重威胁，甚至会造成重大的社会负面影响。

2.网络维护压力大。随着税务机关网上办税业务7*24小时不间断服务的推广，对信息系统及网络系统的依赖程度越来越紧密，对信息系统的运行效率、稳定性、安全性和服务水平等提出了越来越高的要求，任何细小的系统隐患或操作隐患都可能威胁网上办税系统的安全运行，系统风险呈几何级数加大。与此同时，网上办税系统经过长期的发展演化，业务处理流程与技术支持平台相互融合、紧密关联，一项简单的税收应用处理流程往往会涉及到多个业务部门，各个系统的稳定性及数据一致性等都关系到业务的完整处理。由于税务系统的运维工作集合业务支持与技术支持为一身，因而要求运维人员既要精通技术又要掌握大量的业务知识，才能够顺利地对应用系统进行维护。正是因为这些变化，使得如何构建高效的运维支撑体系，确保网上办税系统的安全稳定和高效运行，成为税务系统迫切需要解决的问题。

3.容灾系统隐患多。随着金税三期工程的向前推进和税务机关征管大集中的建设，相关的数据安全是网上办税业务系统持续运行的前提和保障。目前通过物理安全、应用安全和网络安全的防护，可以从多个层面对数据予以安全防护，但数据损坏或丢失的情况在现实中还是时有发生。如今频繁发生的各种火灾、水灾、地震等自然灾难，以及IT 设备硬件、软件故障等系统故障和人为误删除、误操作等灾难，都可能对数据安全带来巨大的冲击。这些故障和灾难给我们带来惨痛的教训，使我们意识到作为网上办税系统的灾难备份系统是数据安全的最终防护线。

4.网上办税风险意识差。在税务机关网上办税系统终端操作的人员一般是企业的财务人员。受计算机操作水平、人员年龄和文化程度等因素影响，其网上操作能力往往参差不齐，并且安全风险意识较差。大多数操作人员没有设置开机密码，即使设置开机密码也往往是应用弱口令，没有定期进行补丁更新以及病毒查杀。对于光盘和U盘以及邮件等外来传递介质的防护性不够。在当前大数据时代，网上办税安全问题严峻，如何通过技术手段防止越权访问、窃取口令和篡改破坏等恶意攻击，建立数据加密机制、身份鉴别机制和抗抵赖机制，保证办税信息的正确性、完整性和安全性，是保障信息安全的重中之重。

三、加强税务机关网上办税系统安全的若干建议

面对上述风险与挑战，税务机关应该在教育、管理、技术、运维、服务等方面做深入而细致的工作，努力探索一套全面科学、行之有效的工作规范和管理策略。为此，提出以下几个方面建议。

1.健全安全管理制度。按照信息安全管理体系标准BS7799-2和国家税务总局的相关要求，扎实推进信息安全保障建设。各地税务机关应该成立网络与信息安全领导小组。在网络与信息安全领导小组的领导下，结合本局信息化工作的实际情况制定相应的信息保密管理制度、机房出入管理制度、口令密码管理制度和内外网强制隔离制度等；根据对人负责和职责分离的原则，建立严密的安全管理责任制度和计算机管理监督机制，形成内部各职能部门、各基层人员以及各应用系统的相互制约关系， 杜绝内部安全隐患。在抓好制度建设的同时，应重视各项管理制度的落实，将安全管理职责细分到人，并列入工作绩效考核范畴。为及时处理可能发生的信息安全事件，要实时监控征管业务系统的安全运行情况。要安排人员每天24小时值班，并做好督查和值班领导带队工作，确保税收业务信息系统的稳定、安全运行。

2.完善信息安全基础设施建设。目前税务机关网上办税系统大多数采用J2EE模式的三层技术架构，以应用服务器和数据库服务器为硬件平台，以Linux或者UNIX操作系统、Weblogic中间件、Oracle数据库等为系统软件平台。此平台系统安全层次高、隐患少。[2]与之相适应的是税务机关网上办税系统利用CA数字签名认证技术，建立了安全有效的身份认证机制，确保数据传输过程中数据的真实性和可靠性，利用SSL加密技术，对纳税人的传输信息进行加密，保障用户信息在互联网上传输的安全性。税务机关要遵循深度防御和分级保护的思想，充分评估网上办税系统面临的安全威胁，结合安全域的划分，从物理层、网络层和管理层等多个层面进行整体设计，利用多种有效的安全防护技术措施，实现多层次的纵深防御。在外网应用区要及时采用入侵检测系统以监测非法入侵和违规操作，建设网页防火墙和网页防篡改系统，以防止跨站脚本攻击和网站篡改，采用网页审计系统和安全审计系统提高网站安全事故的审计分析能力，同时要建立防病毒系统管理中心，自动检测和清除各种计算机病毒，严密防范病毒入侵和传播。

3.搭建高效的运维支撑体系。实用、高效的运维支撑体系是确保信息安全的重要屏障。第一，税务机关应整合现有的监控手段，建成一个覆盖税务机关核心IT元素的监控平台及运维平台，并通过该平台实现对征管主机、数据库、中间件、网络以及机房环境的运行情况及关键指标的统一采集汇总、实时监控、综合分析。第二，税务机关要确立先进的信息安全理念，转变服务观念，并将这种理念以职能和流程的形式贯穿在运维战略、运维设计、运维执行和持续改进的整个生命周期过程中。将运维模式由传统的“救火队”转变为“保健医生”，由传统的“被动解决”转变为“主动防御”，由传统的定期巡检转变为实时监控。第三，税务机关要通过搭建运维技术支持平台，建立运维知识库以及运维技术支持队伍，实现运行维护工作的智能化和高效率，为税务系统培养一批“业务精、技术硬”的复合型管理人才。

4.做好安全应急演练工作。税务机关要完善数据备份和容灾机制，在本地备份的基础上，还应该建设异地数据容灾中心，以有效防范设备故障和自然灾害对重要数据可能造成的危害。同时，应建立应急信息系统安全保障工作框架，成立应急保障办公室及各专项保障组。坚持日常管理与应急响应相结合，形成统一指挥、协调联动、专业处置、沟通顺畅、反应灵敏、运转高效的保障和应急体系。还应制定《税务系统灾难备份演练计划》，并在应急响应演练结束以后，针对应急响应工作过程中遇到的问题，总结并分析应急响应预案的科学性和合理性，及时发现网上办税系统存在的安全隐患以及容灾恢复中的问题，并采取有效措施应对灾难。[3]

5.定期实施安全风险评估。税务机关应该定期组织开展网上办税系统安全风险评估。安全风险评估的主要内容包括：信息资产调查、访谈和人工检查、完善漏洞扫描工具、技术人工评估、管理人工评估、安全综合评估报告等。根据风险评估的结果，参考通用标准的基本要求设计出短期解决方案及长期的安全规划。近几年，通过税务机关不断的探索，逐步建立健全了信息安全风险评估机制，提高了安全风险意识和安全防护水平；每年定期聘请安全专业服务公司对网上办税系统进行全面的安全风险评估；按照规范的评估工作流程和方法，利用安全专业工具进行扫描、渗透，发现存在的安全威胁，及时消除隐患和修补漏洞；利用安全风险评估的结果，变“被动防御”为“主动防御”，随时了解征管业务系统安全的动态变化情况，并能根据实际情况采取相应的技术措施进行防护。今后应进一步健全制度、完善流程，拓展深度与广度，使安全风险评估成为网上办税系统信息安全防护管理决策的“守护神” 。

6.提升为纳税人安全服务的质量。网上办税系统是一个税务机关和纳税人之间交互的信息系统，不但要做好系统自身的安全防护工作，而且要尽力保护纳税人相关信息的安全，同时不断引导和教育纳税人提高信息安全意识，做好安全防护工作，减少网上办税系统的风险。税务机关应将“最大限度便利纳税人、最大限度规范税务人”的理念贯穿于各项办税服务工作的始终，让网上办税系统能够为纳税人提供更加优质、安全的服务。一是应通过发送手机短信、电子邮件等形式对纳税人纳税申报、扣缴税款不成功等涉税信息进行提醒；二是为了提高纳税人的安全意识与防范手段，应通过各种形式向纳税人宣传信息安全知识及防范方法；三是为解决纳税人在网上办税期间遇到的安全问题，可以通过12366系统和信息技术人员通过电话方式提供解答，对于特殊和紧急的疑难杂症还应组织相关安全人员上门服务解决问题。通过上述措施既可以解决纳税人网上办税遇到的各类问题，也可以增强纳税人的安全意识，从源头上减轻网上办税系统可能受到的安全威胁，形成良性互动。

[1]李建中,刘显敏.大数据时代的一个重要方面:数据可用性[J].计算机研究与发展,2013,(6).

[2]李彧琛.关于国税信息安全体系建设的研究[M].北京：中国税务出版社, 2010:78-96.

[3]税务灾难恢复系统建设编写组.税务灾难恢复系统建设:思考篇[M].北京：中国税务出版社，2010：123-126.