税务系统信息安全管理的问题研究

白心阳

摘要：21世纪是互联网飞速发展的时代，我们享受着互联网技术及相关产品带来的便利，同时也承受着潜在的安全隐患。该文以地方税务局为例，浅析了税务系统中存在的信息安全管理的问题以及成因，并提出了个人的看法。

关键词：税务系统；信息安全；网络安全

中图分类号：TP3 文献标识码：A 文章编号：1009-3044（2017）25-0048-02

从整体上来说，我国的税务系统是一个非常巨大以及复杂的系统，从业务的范畴来划分，税务系统分为国税和地税；而从地域等级来划分，税务系统可分为区县级、地市级、省级、国家级。在整个税务系统中，网络结点数不胜数，应用软件不计其数且正在逐代更新，对于这样一个庞大且复杂的系统来说，安全隐患非常容易藏匿其中，比如网络信息安全的隐患。在此期间，税务体系中各位信息安全员长期地进行着钻研和探究，在他们的不懈努力下，终于累积了一些应对税务系统中频繁出现的安全问题的经验，总结出了一套有效的可行方法，且不断地在进行着补充与完善，以促使税务系统的顺利运行并高效率地处理各种业务。

区县级的地方税务局相对于国家级、省级、地市级的税务局来说，规模最小，属于基层机关。网络设备老化、基层干部网络信息安全意识淡薄、信息部门技术工作人员人手不足等问题显得尤为突出。本文旨在分析基层税务机关的网络安全管理现状，并探究其中存在的问题以及解决方法。

近年来我国进入了互联网技术飞速发展的时代，随着信息技术水平的提高，大数据、云计算、互联网+等词汇不仅进入了我们的视线，相应的技术与算法还在我们生活的方方面面都起到重要作用，移动终端和无线技术也均广泛应用于各行业领域。信息技术水平的提高也都体现在基层税务单位中，例如开设移动终端支付窗口，配备POS机，使纳税人缴纳税款时更快捷方便；税务相关的应用软件逐代更新，旧的软件相继停止使用，功能更齐全的新软件逐步替代了不能满足工作需求的旧软件，以便于更好地开展工作；网络带宽虽在增长，但趋势略显缓慢。税务机关的网络信息安全显得尤为重要，所以，保障系统的顺利运行、维护计算机等设备的正常使用和普及网络安全知识是信息部门工作人员的日常工作。近期，我对地方税务机关的网络和信息系统进行了一定的观察和了解，现就目前基层国税系统的网络信息安全问题谈一点个人看法。

1 目前国税系统网络信息安全保障体系中存在的隐患

1.1 信息数据来源途径较多，有一定的安全隐患

网络之所以称作网络，是因为各结点之间是互相连通的，有着千丝万缕的关系，各部分不能独立存在的。目前网络终端并不仅仅是分布在税务系统基层单位，更是与税库银联网系统、网上办税系统相关联，数据及信息在此之间存储与运输传递。此外，由于业务协作关系，国税部门与地税、工商，民政等部门建立了数据交换制度，真正地实现了数据共享，在享受着便利的同时，也有安全隐患埋伏其中。在数据采集的过程中，有需纳税人自行申报的电子数据，辦税服务厅的工作人员和纳税人所持有的私人移动存储设备在未经任何检测和防范措施的情况下与办税服务厅的办公计算机连接，办公计算机很可能会被动地感染计算机病毒，并造成病毒在内部系统的传播、众所周知，计算机病毒的传播速度非常快，所以应做好防范措施，尽可能杜绝此情况发生。

1.2 机关工作人员网络信息安全意识不足

非信息部门的基层工作人员普遍认为，机关内部有专业的信息安全工作人员作为保障，且办公计算机都安装了杀毒软件，网络以及信息安全不会出现纰漏，所以并未加以重视。但实际情况并非万无一失，在业务工作中存在着以下不足之处：不设置通行口令或口令强度不足；认为只要安装了杀毒软件就能万无一失，没有定期进行病毒和木马查杀；下发上级的通知文件时，随意设定共享目录且开放全部权限。

1.3 信息部门技术工作人员较少

据了解，区县级别的税务机关信息部门技术人员通常在一至三人，而办公楼有五层，办公计算机有七十余台，UPS、交换机、无线路由器等其余网络设备约二十余台。由于技术人员一人分管多部门，不能实时监测到非法入侵的攻击，且网络安全相关知识更新较慢。由于技术人员人手不足，所以外出参加专业的业务培训机会也少，不能及时并有效地更新知识储备，大多时候只能通过在网上找相关资料进行自学相关技术操作，来应对可能出现的安全问题。

今年五月，世界范围内大规模爆发比特币勒索病毒，病毒主要是将电脑中的文件进行加密，需支付高额赎金，否则将永远无法打开文件。中国范围内，使用校园网的高校是病毒重灾区，其次病毒攻击的对象便是国家机关。病毒爆发次日早上，信息技术人员紧急通知机关内部全体在职工作人员不要打开计算机，等待技术部门人员对计算机进行处理后再联网办理业务。当日，局里的两名技术人员对七十余台办公计算机进行了打补丁和堵端口等操作，确保计算机的网络以及信息安全，有力地应对了此次病毒攻击。

如果技术人员没有及时了解到病毒的种类、危害和应对办法，将造成不可想象的后果。

1.4 对于来自内部的攻击和越权访问认识不足

就目前的情况来说，整个国税系统都建立在假设内部绝对安全的基础上，只设有最基础的安全防护措施。由于税务系统内部的业务相关性，外加内部之间疏于防范，导致存在着安全隐患。一旦内部出现问题，整个网络都会遭到破坏，影响业务处理的进程。内部的恶意攻击表现在超权限获取并改动有关信息等。

内部的攻击针对性比较强，而且内部人员对彼此的安全防护程度也比较了解，实施起来相对容易，容易造成重要数据及信息的篡改与丢失，在极大程度上损坏数据的完全性与真实性。

1.5 基层网络设备存在安全隐患

一是网络带宽存在问题，网络带宽的增长趋势略显缓慢，每月的月初月末均是业务高峰期，每天的上午十点也是业务高峰期，机关单位的4M光线已经不能满足工作需求。如果网络带宽不能满足需求，就会造成网络拥堵，降低办理税务业务的效率。二是设备老化，就目前的情况来说，基层机关单位的网络设备由于使用时间较长且没有备用设备，一旦发生故障网络就会中断。endprint

2 机关内部网络安全隐患的成因。

2.1 基层国税干部对网络安全重视不足

各级机关都针对网络信息安全制定一系列的制度，采取过一系列的措施，但是在日常的实际工作中落实不到位。有些干部对网络安全的重要程度认识不足，网络信息安全意识淡薄，所以做不到足够的重视。

2.2 基层干部的“老龄化”

“老龄化”不单单是指年龄，更是指知识的老龄化。根据目前的情况来分析，基层单位的干部群体中，年龄在四十岁至五十五岁之间的干部占很大比重，中年工作人员对新事物新知识的敏锐程度和接纳学习程度远不如年轻工作人员。在日常的业务工作中，尤其是使用辦公计算机时，常会出现上文所说的不设置密码、不定期查杀木马病毒、随意使用私人移动设备等问题。还有一点就是中年干部的英文能力普遍不如年轻的机关工作人员，使用计算机软件时，对于一些弹出窗口的英文警告内容不重视，以至于不能很好地使用新版本软件，造成部分数据丢失，篡改。无法保证网络信息安全及数据的完全性与准确性。

2.3 信息化设备预算较少

网络保障设施的置办充足与否，很大一部分取决于基层办公经费，基层办公经费不足必定导致网络设施不能及时更新换代。比如机关正在使用的UPS，使用时间过长，设备已经老化，工作时容易出现电压不稳等情况，导致正在使用的计算机突然关机，造成数据信息的丢失。此外，信息部门的技术人员外出学习的机会也得不到保障，无法定期去与其他旗县的技术工作人员参加培训课程。

3 解决基层网络安全管理现状的个人看法

3.1 基层机关应建立网络安全管理联动机制

为了确保网络安全以及业务的正常开展与运行，基层单位应在每个部门选取一名较为年轻的工作人员，成立网络安全责任小组，定期和信息部门人员进行学习与交流，以协助本部门其他工作人员解决计算机与网络中出现的常见问题，做好本部门基本的网络维护，包括但不限于：IP地址管理，避免造成单位内部IP冲突；病毒木马的防范；网络及硬件设备的常见故障排除。如出现异常情况，应及时与机关内部的专业技术人员联系，及时地进行沟通并解决问题，来保证单位内部的网络及信息安全。

此项措施如果能顺利落实，就会缩短网络故障的处理时间，提高税务业务办理的效率。

在成立网络安全责任小组的同时，应进一步普及网络安全的重要性，做到基层机关内部人人都有足够的网络安全意识，每个人在做好本职工作的同时，也要保护好相关的数据信息的安全，避免造成数据丢失或被篡改。

3.2 进行网络安全应急处理演练

紧急情况包括但不限于：主干网故障、计算机病毒感染与传播。主干网故障主要包括以下几种情况：网络设备损坏、设备软件损坏，机关工作人员操作失误。针对以上的情况来进行紧急处理操作演练。为了提高应急处理的速度，减少机关人员对紧急情况的响应时间，应定期进行演练操作。通过应急演练来确保基层机关工作人员有能力应对可能出现的网络故障，自主进行初步的故障诊断，如果不能自行解决，再联系专业的技术部门工作人员来进行排查与修理。

众所周知，计算机一旦感染病毒后，病毒的传播速度是非常快的，造成的影响也是非常大的，例如常见的病毒会导致文件的隐藏，不熟悉计算机病毒的工作人员会误认为是文件被病毒删除无法恢复，导致返工重做，耽误工作时间，影响业务处理的效率。所以，计算机病毒的应急处理预案应该是以预防为主，以修复为辅。一旦出现问题，应进行及时的隔离与全面的根除来保障机关内部办公计算机的信息安全。一旦出现计算机感染病毒的情况，应先判断病毒的种类和感染计算机的数量，来分析病毒的危害程度，以便于进行后续的杀毒工作。

3.3 建立重要数据的备份

税务机关的业务工作都离不开数据与信息，保障数据的完全性与准确性是一项必不可少的工作。所以，税务机关的工作人员日常工作中应及时进行重要数据的备份，一旦出现了数据丢失、被篡改等错误情况，确保能及时对重要数据进行最大程度的恢复，来保障接下来税务业务的顺利开展与进行，确保工作效率。

3.4 建立网络安全培训机制

从某种程度上来说，机关内部网络安全管理员的水平对机关网络信息安全的保障程度有着决定性的影响，但目前来说机关内部存在着专业技术人员人手不足的情况。所以应有专业的技术人员定期组织网络安全教育的相关培训，培训人员为机关内所有业务工作人员，重点培训人员为新入职的年轻工作人员。让非技术工作人员也在一定程度上接触并认识到网络技术，提高自身的知识水平以及防范能力，能达到保证自己业务相关数据的安全和自主解决工作中出现基础故障即可。

3.5 建立网络安全评估机制

与机关外部专业的网络运营部门建立定期安全评估的机制，弥补机关内部技术工作人员可能出现的疏漏。安全评估机制包括但不限于：通讯线路的定期巡查，机房管理的安全评估，机房内网络设备的检查与维护，机房环境的安全评估。预先发现并处理可能造成故障的安全隐患，为机关的网络信息安全多一道保障。机关网络与信息的安全性得到保障，税务业务才能顺利开展与进行，提高税务机关的工作效率，节约办税人员和纳税人的时间，更是以便于税务系统的工作人员为纳税人提供更优质的服务。

参考文献：

[1] 湖南新闻网. 加强税务系统内部网络安全建设的思考， 2014-8-29.endprint