◆滕 龙
(广东省广州市花都区国家税务局 广东 510800)
基层税务机关网络与信息安全工作的思考
◆滕 龙
(广东省广州市花都区国家税务局 广东 510800)
习总书记4月19日上午在京主持召开网络安全和信息化工作座谈会并发表重要讲话,对做好网络与信息安全方面的工作要求提升至新的高度。近年来,随着金税三期、“营改增”、电子税务局等多项税收征管改革持续深入,在税收现代化的背景下,如何保障基层税务机关网络与信息安全,已成为当前值得探讨的问题。本文以基层税务机关网络与信息安全为着眼点,剖析当前环境下存在的风险及成因,并结合基层工作实际,为进一步做好该项工作提出几点建议及对策。
基层税务;网络与信息安全;税收现代化
当前,基层税务机关网络与信息安全主要面临以下几方面的威胁:
(1)病毒的传播。计算机病毒具有的破坏性、传染性、隐蔽性、潜伏性,使其成为当前国税系统网络安全的最大威胁。一方面,计算机病毒自我复制、传播会占用磁盘扇区,同时会抢占内存空间,影响正常的系统运行和软件使用,造成系统运行不稳定或瘫痪;另一方面,计算机病毒激发后会通过格式化、改写、删除、破坏设置等破坏计算机储存数据,窃取用户隐私信息(如账户密码),利用被病毒控制的用户计算机进行非法行为。此外,还有可能破坏计算机硬件设备。
(2)外部的攻击。①内网外联风险。目前,税务系统采取严格的内外网隔离技术,基层税务部门更是在物理层面对内外网进行了隔离,但是,由于办公室改造等原因,极易造成内外网标识混乱,接错线路,导致内网外联,给外部的攻击提供了条件;②暴力入侵风险。为方便纳税人办理涉税事项,基层办税服务厅设有ARM自助办税机、表证单书机、触摸式查询机等自助设备,并且接入税务内网。这种公共区域的内网入口,缺乏有效封锁,存在不法分子暴力入侵的风险。
(3)内部的攻击。①盗用账号密码。盗用他人征管信息系统账号密码,违规操作涉税事项,转嫁责任,混淆视听;②破坏网络通信。当前国税办公网络是树型结构,一旦重要的网络设备遭到破坏,很有可能导致全网通信瘫痪,正常工作无法进行,造成恶劣影响。
2.1 安全意识不强
税收现代化背景下,信息管税愈发成熟,而“互联网+”思维的兴起又进一步推动了税务系统的信息化进程,但是,与税务现代化进程相悖的是我们的网络安全意识的相对薄弱,部分基层税务人员片面地认为搞网络安全是上级部门和信息技术部门的责任,与自身关系不大,从而导致对这方面知识的学习兴趣不高、执行安全规范的自觉性不强等情况,给全局网络与信息安全造成隐患的存在。
2.2 人力资源不足
信息技术部门作为网络与信息安全的责任部门,人力资源明显不足,也增加了加固网络安全“防护墙”的工作压力。随着征管改革的不断推进,信息技术部门的职责也愈发多样化。例如信息技术部门的应用管理岗不仅要承担网络与信息安全工作,还要负责日常机房管理、金税工程维护,同时还需在微信平台上处理与各系统相关的运维保障及突发事件,以及快速满足业务部门的数据需求,在这种情况下,很难做到对全局网络与信息安全的实施监控预警。
2.3 基础管理薄弱
当前,部分基层税务机关内网ip、计算机名等信息仍采取登记手工台账的方式,没有形成统一、规范的计算机名命名规则,以至于无法有效利用桌面管理系统对全局内网设备进行精细化管理,对病毒爆发的机器不能第一时间精确定位;没有划分合理的ip地址段,计算机、打印机等各设备之间ip地址使用混乱;没有明确机房管理制度,网络布线粗放,数据库维护散漫。
2.4 制度短板明显
在当前国地税合作的大背景下,基层税务机关的着眼点更多的聚焦在“合作”二字上,对流程的再造虽体现了执法风险的防范,但往往忽略了网络与信息安全的重要性,制度短板明显,产生了以下隐患:①设备的保管使用。“营改增”后,部分代开发票业务由地税开展,国税提供相关的代开设备。这类代开设备属于重点保管、使用的特殊设备,由于一直都是国税部门的管理内容,因此在业务办理部门发生变化后,地税机关暂时没有制定相关管理规定,因此如果一旦发生遗失、被盗事件,后果将非常严重;②内控机制防御和管理评价系统监控作用不再生效。国税部门延用的监控系统安装在国地税联合办税服务厅的计算机上时,无法触发规则,处于无效状态,极易造成执法风险。
3.1 加强宣传,明确责任,增强安全意识
以座谈会、培训会、网络安全宣传周等多种形式在全局范围内加强对网络与信息安全方面的宣传,利用子网站、展板、动漫等多种媒介,把网络安全观念内化于心;明确各机构、人员责任,结合绩效考核,通报危害网络安全的行为,引领正确的安全导向;定期向全局人员发布提醒,更改系统密码;改进文件共享方式,探索采用NAS(网络附加存储)设备来取代目前的共享方式。
3.2 合理分工,强化执行,盘活人力资源。
由于网络安全问题爆发的偶然性和基层信息中心服务职能的特殊性,传统AB角互相补位的工作思路已不能满足需求,为此,建议在AB角工作机制的基础上,进一步细化工作分工和补位思路,建立突发情况应急预案;建议进一步强化兼职计算机管理员与运维制度的落实,将兼职计算机管理员考核办法及运维机制纳入绩效考核体系中,以考核促建设,并在子网站每月通报信息维护工作考评结果,同时规范相关工作流程。
3.3 正本溯源,预防为主,提高考核成绩
确保基层税务机关360天擎客户端安装率100%,及时修复系统高危漏洞,对不符合要求的软件进行卸载;在日常工作中遇到来源不明的链接不要去随意打开;纳税人的U盘必须在外网杀毒后才可接入内网;做好病毒的防控,对病毒多发机器,建议在安全模式下,利用安全软件的急救箱进行杀毒处理。
3.4 规范设置,加大维护,打牢基础管理
强化过程管理,明确计算机命名规则,规范全局的计算机名、工作组设置;划分合理、有效的ip地址段,为国地税联办窗口设置连续地址,并区分服务器、打印机、计算机等不同类型的设备;加大机房的维护力度,定期做好UPS巡检工作;选择合适的方式对数据库进行备份,合理利用完全备份、差异备份、增量备份、日志备份,节省数据库备份的时间和空间,提高数据安全性。
3.5 协作沟通,强化管理,加长制度短板
建议国地税进一步将业务上的合作拓宽到制度上的合作,加强协作沟通,对双方互派的人员、设备明确管理方案,确保人员考核有理有据,设备管理有条不紊,最大限度的降低风险;在国地税合作推进的过程中,积极查找业务与网络安全制度方面的短板,本级税务机关可以解决的,由本级机关明确要求强化落实,本级税务机关解决不了的,主动反馈至上级税务机关予以请示,确保网络安全制度无短板。
[1]张新,安体富.对我国税收信息化现状的反思与国际借鉴[J]. 税收经济研究,2012.
[2]张莹.浅谈我国税收信息化建设[J]. 计算机光盘软件与应用,2012.
[3]蒋丽斌.税务信息化发展的问题及对策探讨——基于“诺兰”阶段模型的分析[J]. 财务与金融,2009.