稅務信息安全
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇稅務信息安全范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
稅務信息安全范文第1篇
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10406-02
On the Information Security Policy and Management of Tax Information Management System
HUANG Jian-qun
(Xi'an Shiyou University, Xi'an 710065, China)
Abstract: In this paper, first, points out that information on the importance of the tax system through the presentation of tax information management systems, Concludes with the tax information security and management solutions, The program in improving safety and reliability of tax information has some referential significance.
Key words: tax systems; information security; security policy
稅收是國家財政收入的重要途徑,相關的稅務系業務要求其具有準確性、公證性和完整性的特點,因此保證稅務信息系統的安全性意義重大。稅務系統作為電子政務系統的一部分,屬國家基礎信息建設,其基本特點是:網絡地域廣、信息系統服務對象復雜;稅務信息具有數據集中、安全性要求高;應用系統的種類較多,網絡系統安全設備數量大,種類多,管理難度大。
稅務系統是一個及其龐大復雜的系統,從業務上有國稅、地稅之分,從地域來說又有國家級、省級、地市級、區縣四級。網絡結點眾多、網絡設備和網絡出口不計其數、操作系統種類繁多、應用系統五花八門、網絡機構極其復雜。面對如此復雜的系統,其內部安全隱患隨處可見,經過不斷的研究和探索,目前已經積累了大量解決稅務系統信息基礎設施安全的方法和經驗,形成一整套稅務系統的安全保障方法,相關安全保障的體系也在不斷完善和發展中。
1 網絡信息安全在稅務系統中的重要性
計算機軟硬件技術的發展和互聯網技術的普及,為電子稅務的發展奠定了基礎。尤其是國家金稅工程的建設和應用,使稅務部門在遏止騙稅和稅款流失上取得了顯著成效。電子稅務可以最大限度地確保國家的稅收收入,但卻面臨著系統安全性的難題。
雖然我國稅務信息化建設自開始金稅工程以來,取得了長足進步,極大提高了稅務工作效率和質量。但稅務系統本身也暴露出了一系列要改進的問題,各種應用軟件自成體系、重復開發、信息集中程度低。隨著信息化水平的不斷提高,基于信息網絡及計算機的犯罪事件也日益增加。稅務系統所面臨的信息網絡安全威脅不容忽視。建立稅務管理信息化網絡安全體系,要求人們必須提高對網絡安全重要性的認識,增強防范意識,加強網絡安全管理,采取先進有效的技術防范措施。
2 稅務系統安全建設
如何保證信息在傳遞過程中的安全性對稅務系統來說至關重要,任何網絡設備或者解決方案的漏洞都會對稅務系統造成很大影響。如何成功處理信息安全問題,使國家稅務系統在充分利用信息技術的同時,保障系統的安全,對稅務系統建設具有極大意義。信息安全的建設涉及到信息賴以存在和傳遞的一切設施和環境。構筑這個體系的目的是保證信息的安全,不僅需要信息技術的努力與突破,還需要相關政策、法律、管理等方面提供的有力保障,同時也需要提高操作信息系統的工作人員的安全意識。
2.1 稅務系統安全防護體系
稅務系統安全防護體系保證了系統在生命期內處于動態的安全狀態,確保系統功能正確,不受系統規模變化的影響,性能滿意,具有良好的互操作性和強有力的生存能力等。
稅務信息系統安全模型提供了必要的安全服務和措施,增加了動態特性,強調了各因素之間關系的重要性。該模型是一種實時的、動態的安全理論模型,是實施信息安全保障的基礎。在模型基礎上建立安全體系架構隨著環境和時間改變,框架和技術將會主動實時動態的調整,從而確保稅務系統的信息安全。
2.2 稅務系統風險評估
稅務系統信息安全保障的目的是確保系統的信息免受威脅,但絕對的安全并不可能實現,只能通過一定的控制措施將系統受到威脅的可能性降到一個可接受的范圍內。風險評估是對信息及信息處理設施的威脅、影響、脆弱性及三者發生的可能性的評估。風險評估用來確認稅務系統的安全風險及大小,即利用適當的風險評估技術,確定稅務系統資產的風險等級和優先風險控制順序。
風險評估是信息安全管理體系的基礎,為降低網絡的風險、實施風險管理及風險控制提供了直接依據。系統風險評估貫穿于系統整個生命期的始終,是系統安全保障討論最為重要的一個環節。
3 稅務信息系統整體安全構架
一般稅務信息系統所采用的安全架構模型如圖1所示。
從安全結構模型可以看出,該安全架構主要分為三部分:網絡系統基礎防御體系、應用安全體系和安全管理體系。網絡系統基礎防御體系是一個最基本的安全體系,主要從物理級、網絡級、系統級幾個層次采取一系列統一的安全措施,為信息系統的所有應用提供一個基礎的、安全的網絡系統運行環境。
該體系的主要安全建設范圍如下:
1) 物理級安全:主要提供對系統內部關鍵設備、線路、存儲介質的物理運行環境安全,確保系統能正常工作。
2) 網絡級安全:在網絡層上,提供對系統內部網絡系統、廣域網連接和遠程訪問網絡的運行安全保障,確保各類應用系統能在統一的網絡安全平臺上可靠地運作。
3) 系統級安全:主要是從操作系統的角度考慮系統安全措施,防止不法分子利用操作系統的一些BUG、后門取得對系統的非法操作權限。
4 信息安全管理策略
4.1 安全管理平臺
信息安全管理的總體原則是“沒有明確表述為允許的都被認為是被禁止的”。信息安全管理實行安全等級保護制度,制定安全等級劃分標準和安全等級的保護辦法。從管理的角度,將系統中的各類安全管理工具統一到一個平臺,并對各種安全事件、報警、監控做統一處理,發現各類安全問題的相關性,按照預定義的安全策略,進行自動的流程化處理,從而大為縮短發現問題、解決問題的時間,減少了人工操作的工作量,提高安全管理工作的效率。
通過技術手段,構建一個專門的安全管理平臺,將各類安全管理工具集成在這個統一的平臺上,對信息系統整體安全架構的實施進行實時監視并對發現的問題或安全漏洞從技術角度進行分析,為安全管理策略的調整提供建議和反饋信息。統一的安全管理平臺將有助于各種安全管理技術手段的相互補充和有效發揮,也便于從系統整體的角度來進行安全的監視和管理,從而提高安全管理工作的效率。
4.2 物理安全策略
物理安全是對計算機網絡系統中的設備、設施及相關的數據存儲介質提供的安全保護,使其免受各類自然災害及人為導致的破壞。物理安全防范是系統安全架構的基礎,對系統的正常運行具有重要的作用。
當然,信息系統安全不是一成不變的,它是一個動態的過程。隨著安全攻擊和防范技術的發展,安全策略也必須分階段進行調整。日常的安全工作要靠合理的制度和對制度的遵守來實現。只有建立良好的信息安全管理機制,做到技術與管理良好配合,才能長期、有效地防范信息系統的風險。
5 網絡信息安全所采取的主要措施
目前網絡信息安全所采取的主要措施是使用一系列的安全技術來防止對信息系統的非授權使用。討論稅務系統安全策略問題時,相關人員往往傾向于防火墻、入侵檢測系統等實際的安全設備。其實,造成系統安全問題的本質是稅務信息系統本身存在脆弱性。任何信息系統都不可避免的存在或多或少的脆弱性,而且這些脆弱性都是潛在的,無法預知。系統出現脆弱性的根本原因是由于系統的復雜性使得系統存在脆弱性的風險成正比,系統越復雜,系統存在的脆弱性的風險就越大,反之亦然。
安全防御的總策略為:1)建立網絡邊界和安全域防護系統,防止來自系統外部的攻擊和對內部安全訪問域進行控制;2)建立基于整個網絡和全部應用的安全基礎設施,實現系統的內部的身份認證、權限劃分、訪問控制和安全審計;3)建立全系統網絡范圍內的安全管理與響應中心,強化網絡可管理、安全可維護、事件可響應;4)進行分級縱深安全保護,構成系統網絡統一的防范與保護、監控與檢查、響應與處置機制。
6 結束語
解決信息系統的安全不是一個獨立的項目問題,安全策略包括各種安全方案、法律法規、規章制度、技術標準、管理規范等,是整個信息系統安全建設的依據。現有的安全保障體系一般基于深度防御技術框架,若能進一步利用現代信息處理技術中的人工智能技術、嵌入式技術、主動技術、實時技術等,將形成更加完善的信息安全管理體系。
稅務信息安全直接關系到稅收信息化建設的成敗,必須引起稅務機關和每一位稅務人的重視。科學技術的發展不一定能對任何事物的本質和現象都產生影響,技術只有與先進的管理思想、管理體制相結合,才能產生巨大的效益。
參考文獻:
[1] 蔡皖東.信息安全工程與管理[M].西安:西安電子科技大學出版社,2004.
[2] 譚思亮.網絡與信息安全[M].北京:人民郵電出版社,2002.
[3] 譚榮華.稅務信息化簡明教程[M].北京:中國人民大學出版社,2001.
[4] 李濤.網絡安全概論[M].北京:電子工業出版社,2004.
[5] 朱建軍,熊兵.網絡安全防范手冊[M].北京:人民郵電出版社,2007.
[6] 戴英俠,連一峰,王航.系統安全與入侵檢測[M].北京:清華大學出版社,2002.
稅務信息安全范文第2篇
縣經科局:
根據你局《通知》(鎮經科通〔2011〕9號)和《昭通市工業和信息委員會關于報送2011年度下半年政府信息系統安全檢查自查報告和開展抽查工作的通知》(昭工信信推〔2011〕279號)文件精神。我局對信息系統安全情況進行了自查,現將自查情況匯報如下:
一、信息安全總體情況
2011年我局信息系統安全工作與2010年相比,有了一些改進。在安全管理、落實解決方案方面加大了力度,確保在系統升級項目完成之前,現有的系統能夠保持良好的運行狀態。
二、2011年信息安全主要工作情況
(一)信息安全組織管理
1、成立了安全小組。明確了信息安全的主管領導和具體負責的管護人員,安全小組為管理機構。(1)制定了2011年信息安全工作方案。隨著系統升級項目的進行,接處警系統信息的安全是重點考慮的問題之一。(2)進一步制定和完善了信息安全方面的制度。(3)不定期進行安全檢查工作。
2、有指定的信息安全員,負責維護本單位網絡安全,指導協調相關工作。
(二)日常信息安全管理
1、人員管理情況。(1)重要崗位指定保密員并簽訂了保密協議;各信息專員對重要文件和信息資源要做到及時備份。(2)人員離崗離職需要通過各部門審核,持有單位信息、帳戶密碼的,需交接清楚,單位配備的專用存儲設備必須回收,人員離職后,信息安全員必須修改相關計算機設備的帳戶、密碼。(3)外部人員訪問機房必須登記,由相關部門人員監督,帶出設備需要相關部門簽章。(4)違反制度規定造成信息安全事件的,視情節輕重予以相應處罰。
2、資產管理情況。(1)每個部門指定一個資產管理人員,單位設定固定資產管理員。(2)計算機及相關設備送修需報固定資產管理員,報廢銷毀需要做好登記。
3、各辦公用計算機均已安裝殺毒軟件,嚴禁使用不可靠、不知名的辦公軟件。涉密計算機專人專用,用戶名和密碼專人持有。
4、今年年初相關股室已將信息安全經費納入年度預算。
(三)信息安全防護管理
1、每個部門設置不同的網段。相關科室定期檢查服務器運行情況,防病毒是否正常,及時排查防火墻等防護設備的故障。
2、門戶網站的信息嚴格按照審核程序執行,防止敏感信息泄露,上傳工作由局辦公室專門負責。電子郵箱由專人管理,定期更新用戶口令。
3、涉密和非涉密計算機物理隔離,分類明確。專用移動存儲設備需登記,使用前必須先進行殺毒檢查,存儲設備報廢需使用有效的工具進行銷毀。
(四)信息安全應急管理
1、制定了應急響應預案。當網絡、設備在運行中發生重大故障時,須報告相關領導。發現可疑攻擊,及時追查其網絡地址,并阻斷。一旦發現有計算機中病毒,及時將其斷網,并殺毒。
2、根據需要設置了備份服務器,以應對突發事件。
(五)信息安全檢查工作
1、上一年度存在的問題主要是接處警數據拷貝安全性,今年配置了兩臺計算機終端專門用于處警日常查詢數據和拷貝文件,避免接處警計算機使用外部存儲設備。
2、部分在用設備為我局建設初期購置,存在設備陳舊、故障率高的問題,應加大對設備進行維護、保養的力度,提高防范意識。
三、檢查發現中發現的主要問題及整改情況
根據《通知》中的具體要求,在自查過程中我們也發現了一些不足,同時結合我局實際,今后要在以下幾個方面進行整改。
1、安全意識不夠。要繼續加強對機關干部的安全意識教育,提高做好安全工作的主動性和自覺性。
2、設備維護、更新及時。要加大對線路、系統等的及時維護和保養,同時,針對信息技術的飛快發展的特點,要加大更新力度。
3、安全工作的水平還有待提高。對信息安全的管護還處于初級水平,提高安全工作的現代化水平,有利于我們進一步加強對計算機信息系統安全的防范和保密工作。
4、工作機制有待完善。創新安全工作機制,是信息工作新形勢的必然要求,這有利于提高機關網絡信息工作的運行效率,有利于辦公秩序的進一步規范。
四、對信息安全工作的意見和建議
信息系統安全教育培訓有待重視。由于我局不具備很專業的信息系統安全工作人員,對信息系統安全工作一知半解,希望相關部門能加強這方面的業務培訓工作。
稅務信息安全范文第3篇
關鍵詞:信息;安全;問題;對策
隨著應用系統數據集中、資源整合工作進一步深入,基層國稅機關日常要輸入、傳輸大量的重要數據,在網絡安全事件頻發的今天,稅務網絡的安全也同樣面臨著嚴峻的挑戰。
一、信息安全面臨的問題
(一)信息安全教育和安全管理松懈,信息安全觀念淡薄,保密意識不強。不少操作人員普遍認為只要有了殺毒軟件,有了網絡防火墻,內網電腦不上因特網,不使用移動存儲介質,就不用擔心自己的電腦會出現什么安全問題,覺得黑客、病毒離自己很遙遠。由于操作者普遍沒有危機感,造成各類安全管理制度執行不到位,對信息保密技術的運用持“無所謂態度”,這實際已經構成信息安全的最大隱患。
(二)安全保密制度落實不到位。筆者曾對所在單位公文處理系統空密碼進行掃描,在109位用戶中發現34位用戶密碼為空,占31%,如果加上弱口令,這個比率應該會更高。由于大部分應用系統的數據集中在省、市局,縣局無法通過技術手段批量篩選出弱口令、空口令賬戶。筆者以為,全省弱口令、空口令用戶應該不在少數。此外,諸如涉密文檔不加密存儲、不按規定銷毀涉密文檔等現象也普遍存在。
(三)移動存儲介質管理存在較大安全隱患。不少稅收管理員為方便工作,也會要求企業報送的部分報表均通過U盤或電子信箱傳遞。如此一來,U盤內外網混用就不可避免。現在提倡使用擺渡機,就是一臺既不聯外網也不聯內網的電腦,從外網下載了資料后先拷到擺渡機上并查毒,然后將擺渡機上的資料保存到U盤或移動硬盤再拷到內網,但這種方法一方面十分繁瑣,遇到時間緊張的情況就難以做到。另一方面也不能保證萬無一失,因為不能保證擺渡機的徹底干凈。
(四)違規登陸因特網無法及時發現。雖然實行內、外網物理隔離,但是違規通過無線網卡、寬帶拔號私自上因特網的現象依然存在。部分操作人員錯誤的以為拔下內網網線,然后上因特網就實現了物理隔離。殊不知,在上外網的過程中,如果瀏覽了帶木馬的網頁或運行了帶病毒的軟件,木馬、病毒就會植入個人電腦,當插上內網網線,木馬程序或病毒就會在整個網絡中傳播。
(五)瑞星病毒庫、上游補丁服務器更新補丁滯后,殺毒軟件實時監控功能效果有限。由于病毒庫更新、補丁下發的滯后性,稅務內網的病毒、木馬有時不能得到及時發現并清除。筆者所在單位就曾發現Worm.Win32.MS08-067.d病毒,通過瑞星殺毒軟件反復查殺均不能徹底清除,最后只能手工清除。據省局信息中心2008年統計,全省共查殺病毒2740536個,入侵事件236900件,形勢不容樂觀。
(六)缺少計算機安全策略設置。大部分計算機沒有設置過本地安全策略,為圖方便,大部分用戶使用空口令登陸Windows。使用口令的用戶,在密碼復雜性、長度、更換周期方面也遠遠達不到安全的需要。基層單位電腦使用的操作系統一般采用默認安裝,開放了所有端口,為病毒、木馬入侵留下了窗口。
二、加強信息安全的對策
(一)加強信息安全宣傳,樹立信息安全理念。采取舉辦信息安全專題培訓班、開辟信息安全宣傳園地等多種形式進行信息安全宣傳,使廣大稅務干部職工樹立正確的安全意識、法律意識并初步掌握必備的安全技能。幫助干部牢固樹立“防勝于治”的安全理念,克服麻痹思想和僥幸心理。要高度重視系統口令的重要性,省市局可以通過后臺定期對空口令弱口令掃描,并將結果下發給各縣局,由縣局督促相關人員做好口令安全工作。
(二)加強制度落實的執行力,降低信息安全風險。大多數安全事件的發生和安全隱患的存在與其說是技術上的原因,不如說是管理上的原因。國內已經發生的許多計算機安全事件,包括計算機犯罪,技術手段并不怎么高明,主要是由于鉆了管理上的漏洞。管理的關鍵在于人員管理,因為各種安全措施要靠人來實施,另一方面,有相當多的安全隱患出自系統內部人員。因此必須提高安全管理人員的素質,加強對系統內部人員的教育和管理。
(三)嚴格按規定使用移動存儲介質。通過北信源桌面防護系統控制U盤使用節點,確實因工作需要使用USB接口的電腦,必須先進行病毒查殺,在確保安全的情況下方可使用。
(四)強化信息安全管理可控能力。鑒于信息系統的復雜性和使用行為的多樣性,光靠技術手段是不能完全奏效的,必須要動用管理可控手段,雙管齊下,所以信息安全的對策是技術與管理手段并用。加強日常網絡檢查,嚴格執行內外網物理隔離相關制度。建立必要的懲處機制,對違規外聯其他網絡的個人除經濟處罰外,應追究其行政責任,以切實提高信息安全制度的剛性。
稅務信息安全范文第4篇
關鍵詞:稅收信息化;信息狀態安全;信息轉移安全;信息安全技術
中圖分類號:F810.42文獻標志碼:A文章編號:1673-291X(2008)13-0022-02
從三個方面來考慮:首先是信息狀態安全,即稅務系統安全,要防止稅務系統中心的數據被攻擊者破壞。稅務系統要通過Internet對納稅人提供納稅便利,必須以一定的方式將它的數據中心開放,這對稅務系統本身帶來了很大的風險。其次是信息轉移安全,即服務安全,如納稅人識別號、口令、納稅金額等在傳輸中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保證稅務人員正確、安全的使用。本文主要針對以上前兩個方面也就是信息安全技術進行研究。
一、信息狀態安全技術
信息狀態安全主要包括系統主機服務器安全、操作系統安全和數據庫安全三個方面。
(一)系統主機服務器安全(Server Security)
服務器是存儲數據、處理請求的核心,因此服務器的安全性尤為重要。服務器的安全性主要涉及到服務器硬件設備自身的安全性防護,對非法接觸服務器配件具有一定的保護措施,比如加鎖或密碼開關設置等;同時,服務器需要支持大數據量及多線程存儲矩陣以滿足大數據量訪問的實時性和穩定性,不會因為大量的訪問導致服務器崩潰;服務器要能夠支持基于硬件的磁盤陣列功能,支持磁盤及磁帶的系統、數據備份功能,使得安裝在服務器上的操作系統和數據庫能夠在災難后得到備份恢復,保證服務器的不間斷運行;服務器設備配件的高質量及運行可靠性也是服務器安全的非常重要的一個方面,這直接關系到服務器不間斷運行的時間和網絡數據訪問的效率。
(二)操作系統安全(Operating System Security)
設置操作系統就像為構筑安全防范體系打好“地基”。
1.自主訪問控制(Discretionary Access Control,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問。為實現完備的自主訪問控制,由訪問控制矩陣提供的信息必須以某種形式保存在稅務操作系統中。訪問控制矩陣中的每行表示一個主體,每列表示一個受保護的客體,矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個主體上都附加一個該主體可訪問的客體的明細表,根據表中信息的不同可分為三種形式:(1)權力表(Capabilities List),它決定是否可對客體進行訪問以及可進行何種模式的訪問。(2)前綴表(Prefix List),它包括受保護客體名以及主體對客體的訪問權。(3)口令(Password),主體對客體進行訪問前,必須向稅務操作系統提供該客體的口令。對于口令的使用,建議實行相互制約式的雙人共管系統口令。
2.強制訪問控制(Mandatory Access Control,MAC)。鑒于自主訪問控制不能有效的抵抗計算機病毒的攻擊,這就需要利用強制訪問控制來采取更強有力的訪問控制手段。在強制訪問控制中,稅務系統對主體和客體都分配一個特殊的一般不能更改的安全屬性,系統通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。稅務系統一般可采取兩種強制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權系統的功能調用,該功能依據用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下,用這種方法可以消除偷改訪問控制信息的計算機病毒的威脅。(2)限制編程。鑒于稅務系統僅需要進行事務處理,不需要任何編程的能力,可將用于應用開發的計算機系統分離出去,完全消除用戶的編程能力。
3.安全核技術(Security Kernel Technology)。安全核是構造高度安全的操作系統最常用的技術。該技術的理論基礎是:將與安全有關的軟件隔離在操作系統的一個可信核內,而操作系統的大部分軟件無須負責系統安全。稅務系統安全核技術要滿足三個原則:(1)完備性(Completeness),要求使主體必須通過引進監控器才能對客體進行訪問操作,并使硬件支持基于安全核的系統。(2)隔離性(Isolation),要求將安全核與外部系統很好的隔離起來,以防止進程對安全核的非法修改。(3)可驗證性(Verifiability),要求無論采用什么方法構造安全核,都必須保證對它的正確性可以進行某種驗證。
其他常見措施還有:信息加密、數字簽名、審計等,這些技術方法在數據庫安全等方面也可廣泛應用,我們將在下面介紹。
(三)數據庫安全(Database Security)
數據庫是信息化及很多應用系統的核心,其安全在整個信息系統中是最為關鍵的一環,所有的安全措施都是為了最終的數據庫上的數據的安全性。另外,根據稅務網絡信息系統中各種不同應用系統對各種機密、非機密信息訪問權限的要求,數據庫需要提供安全性控制的層次結構和有效的安全性控制策略。
數據庫的安全性主要是依靠分層解決的,它的安全措施也是一級一級層層設置的,真正做到了層層設防。第一層應該是注冊和用戶許可,保護對服務器的基本存取;第二層是存取控制,對不同用戶設定不同的權限,使數據庫得到最大限度的保護;第三層是增加限制數據存取的視圖和存儲過程,在數據庫與用戶之間建立一道屏障。基于上述數據庫層次結構的安全體系,稅務網絡信息系統需要設置對機密和非機密數據的訪問控制:(1)驗證(Authentication),保證只有授權的合法用戶才能注冊和訪問;(2)授權(Authorization),對不同的用戶訪問數據庫授予不同的權限;(3)審計(Auditing),對涉及數據庫安全的操作做一個完整的記錄,以備有違反數據庫安全規則的事件發生后能夠有效追查,再結合以報警(Alert)功能,將達到更好的效果。還可以使用數據庫本身提供的視圖和存儲過程對數據庫中的其他對象進行權限設定,這樣用戶只能取得對視圖和存儲過程的授權,而無法訪問底層表。視圖可以限制底層表的可見列,從而限制用戶能查詢的數據列的種類。
二、信息轉移安全技術
信息轉移安全即網絡安全。為了達到保證網絡系統安全性的目的,安全系統應具有身份認證(Identification and Authentication);訪問控制(Access Control);可記賬性(Accountability);對象重用(Object Reuse);精確性(Accuracy);服務可用性(Availability of Services)等功能。
1.防火墻技術(Firewall Technology)
為保證信息安全,防止稅務系統數據受到破壞,常用防火墻來阻擋外界對稅務局數據中心的非法入侵。所謂防火墻,是一類防范措施的總稱,是指在受保護的企業內聯網與對公眾開放的網絡(如Internet)之間設立一道屏障,對所有要進入內聯網的信息進行分析或對訪問用戶進行認證,防止有害信息和來自外部的非法入侵進入受保護網,并且阻止內聯網本身某個節點上發生的非法操作以及有害數據向外部擴散,從而保護內部系統的安全。防火墻的實質是實施過濾技術的軟件防范措施。防火墻可以分為不同類型,最常見的有基于路由器的IP層防火墻和基于主機的應用層防火墻。兩種防火墻各有千秋,IP層防火墻對用戶透明性好,應用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可,常常將兩種防火墻結合使用,以互相補充,確保網絡的安全。另外,還有專門用于過濾病毒的病毒防火墻,隨時為用戶查殺病毒,保護系統。
2.信息加密技術(Information Encryption Technology)
信息加密包括密碼設計、密碼分析、密鑰管理、驗證等內容。利用加密技術可以把某些重要信息或數據從明文形式轉換成密文形式,經過線路傳送,到達目的端用戶再把密文還原成明文。對數據進行加密是防止信息泄露的有效手段。適當的增加密鑰的長度和更先進的密鑰算法,可以使破譯的難度大大增加。具體有兩種加密方式:(1)私鑰加密體制(Secret-key Cryptography),即加密與解密時使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進行分組,然后逐組加密。而序列密碼把明文符號立即轉換為密文符號,運算速度更快,安全性更高。(2)公鑰加密體制(Public-key Cryptography),其加密密鑰與解密密鑰分為兩個不同的密鑰,一個用于對信息的加密,另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰。
在傳輸過程中,只有稅務系統和認證中心(Authentication Center,AC)才有稅務系統的公開密鑰,只有納稅人和認證中心才有納稅人的公開密鑰,在這種情況下,即使其他人得到了經過加密后雙方的私有密鑰,也因為無法進行解密而保證了私有密鑰的重要性,從而保證了傳輸文件的安全性。
3.信息認證技術(Information Authentication Technology)
數字簽名技術(Digital Signature Technology)。數字簽名可以證實信息發送者的身份以及信息的真實性,它具備不可偽造性、真實性、不可更改性和不可重復性四大特征。數字簽名是通過密碼算法對數據進行加密、解密交換實現的,其主要方式是:信息發送方首先通過運行散列函數,生成一個欲發送報文的信息摘要,然后用所持有的私鑰對這個信息的摘要進行加密以形成發送方的數字簽名,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。接收方在接收到信息后,首先運行和發送方相同的散列函數生成接收報文的信息摘要,然后再用發送方的公開密鑰對報文所附的數字簽名進行解密,產生原始報文的信息摘要,通過比較兩個信息摘要是否相同就可以確認發送方和報文的正確性。
完整性認證(Integrity Authentication)。完整性認證能夠使既定的接收者檢驗接收到的信息是否真實。常用的方法是:信息發送者在信息中加入一個認證碼,經加密后發送給接收者檢驗,接收者利用約定的算法對解密后的信息進行運算,將得到的認證碼與收到的認證碼進行比較,若兩者相等,則接收,否則拒絕接收。
4.防病毒技術(Anti-virus Technology)
病毒防范是計算機安全中最常見也是最容易被忽視的一環。我們建議采用由單機防毒和網絡防毒同時使用的這種防病毒措施,來最大限度地加強網絡端到端的防病毒架構,再加上防病毒制度與措施,就構成了一套完整的防病毒體系。
參考文獻:
[1] 楊懷則.稅收信息化建設存在的問題及建議[J].草原稅務,2002,(12):31-32.
[2] Andrew S. Tanenbaum,“Modern Operating Systems”,Prentice Hall,1992.
[3] 滕至陽.現代操作系統教程[M].北京:高等教育出版社,2000.
[4] 陸楠.現代網絡技術[M].西安:西安電子科技大學出版社,2003.
稅務信息安全范文第5篇
關鍵詞:公開密鑰基礎設施PKI,公鑰技術,電子政務
0 引言
在最近幾年中,關于政府服務和活動的重要信息已經逐漸地可以從因特網上獲得。隨著電子政務的迅速發展,將使政府機構的運作方式有所變化。正在尋求電子政務如何去促進公眾以及商業活動與政府之間的交互,并通過對IT資源的應用來提高政府的辦事效率和效力。然而,電子政務被期望能夠包括更多的服務,而不僅是信息的電子,它還應包括政府部門所提供服務的在線應用,如文件的歸檔和應用、稅務的征收以及商品的采購等。
但是要改善由電子政務提供的服務,同時也必須面臨某些威脅、風險和不利條件,許多這樣的服務涉及將敏感的個人信息通過網絡進行電子交換。敏感的信息和事務處理可能會需要更大的安全保證,信息安全已成為電子政務中的焦點問題之一。
由此可見,電子政務系統迫切需要建立能夠解決信息資源安全的可行性方案,為建立安全平臺。目前,唯一能夠全面解決信息資源安全問題的可行性方案是公開密鑰基礎設施PKI技術。
1 公開密鑰基礎設施PKI
(1)PKI基本原理
PKI即"公開密鑰體系",是一種遵循既定標準的密鑰管理平臺。它能夠為所有網絡應用提供加密和數字、簽名等密碼服務及所必需的密鑰和證書管理體系。
原有的單密鑰加密技術采用對稱型加密算法,采用此算法的加密方法如果用于網絡傳輸中的數據加密,不可避免地出現安全漏洞。而PKI采用非對稱的加密算法,即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰,以避免第三方獲取密鑰后將密文解密。PKI體制克服了網絡信息系統密匙管理的困難,同時解決了數字簽名問題,并可用于身份認證,可以較好地解決電子政務信息的安全傳輸問題。
(2)PKI的基本構成
PKI由認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢處理系統、應用接口系統等五大成分組成。
認證機構(CA):即數字證書的申請及簽發機關,CA必須具備權威性的特征。
數字證書庫:用于存儲已簽發的數字證書及公鑰,用戶可由此獲得所需的其他用戶的證書及公鑰。
密鑰備份及恢復系統:如果用戶丟失了用于脫密數據的密鑰,則密文數據將無法被脫密,造成數據丟失。為避免這種情況的出現,PKI提供備份與恢復脫密密鑰的機制。密鑰的備份與恢復應該由可信的機構來完成,CA可以充當這一角色。
證書作廢處理系統:是PKI的一個重要組件。同日常生活中的各種證件一樣,證書在CA為其簽署的有效期內也可能需要作廢,終止證書的生命期。為實現這一點,PKI提供作廢證書的一系列機制。
應用接口系統:PKI的價值在于使用戶能夠方便地使用加密、數字簽名等安全服務,因此一個完整的PKI提供良好的應用接口系統,使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互,確保所建立起來的網絡環境的可信性,同時降低管理維護成本。
電子政務安全中涉及到的數字證書認證中心CA、審核注冊中心RA、密鑰管理中心KM都是組成PKI的關鍵組件,PKI通過管理密鑰和證書,為用戶建立了一個安全的網絡運行環境。
2 基于PKI的公鑰技術
利用公鑰技術對政務信息在存儲環節和網間傳輸環節進行加密,使之以密文存儲和傳輸,可以有效抵卸對信息的惡意攻擊。基于PKI的公鑰技術主要用公鑰加密和數字簽名對信息進行加密。
(1)公鑰加密
公鑰加密使用兩個密鑰:一個公鑰和一個私鑰,這兩個密鑰在數學上是相關的。為了與對稱密鑰加密相對照,公鑰加密有時也叫做不對稱密鑰加密。在公鑰加密中,公鑰可在通信雙方之間公開傳遞,或在公用儲備庫中,但相關的私鑰是保密的。只有使用私鑰才能解密用公鑰加密的數據。使用私鑰加密的數據只能用公鑰解密。將公鑰加密與其它加密形式(如對稱密鑰加密)結合使用,可以優化性能。PKI還提供了密鑰備份系統及恢復系統,防止用戶私鑰丟失而丟失數據,而當用戶身份變更或懷疑私鑰泄密, PKI則及時公布證書廢除消息,構建了完整的密鑰管理體系。
(2)數字簽名
數字簽名是公共密鑰技術的另一個用途,是指使用密碼算法對待發的數據(報文、票證等)進行加密處理,生成一段信息,附著在原文上一起發送,這段信息類似現實中的簽名或印章,接收方對其進行驗證,判斷原文真偽。數字簽名可以分為發送方的簽名和接收方的簽名。前者用來驗證接收者收到的信息確來自于發送者和未經篡改,后者用來確認接收者已收到信息不能否認。
主要思想為:
①發送方的簽名指發送方對信息用單向散列函數作一次抽樣生成信息摘要,將信息摘要用其私鑰加密,生成簽名文,再利用接收方的公鑰對簽名文再次加密生成簽名密文傳給接收方,接收方用其私鑰解密獲得簽名文,再用發送方的公鑰解密還原為信息摘要。接收方將收到的信息用同樣的單向散列函數作一次抽樣,并與接收到的信息摘要比較,以判斷信息是否來自發送者、是否被修改,以驗證信息的真實性。
②接收方的簽名指接收方收到信息后,用其私鑰對一個簽名文件加密并傳送給發送者,發送者用接收者的公鑰打開簽名文件,獲取接收方對信息的簽收情況。由于私鑰具有唯一性,可證實該簽名確由接收方發出,從而證實了接收者確實收到了來自發送方的信息、不能否認。
3 PKI體系的應用
(1)PKI應用技術
PKI技術是信息安全技術的核心,也是電子政務的關鍵和基礎技術。由于通過網絡進行的電子政務、電子商務、電子事務等活動缺少物理的接觸,因而使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適用于電子商務、電子政務、電子事務的密碼技術,它能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。
典型應用案例分析
PKI作為一種在互聯網上提供安全保證的工具,在中國的電子政務建設中已經成為保障信息安全的利器。稅務系統也建立了自己的信息化平臺,北京國稅和惠州地稅等率先采用PKI及智能卡技術開展企業網上報稅的服務。這樣關鍵性的稅務行業內應用PKI項目是值得被大家關注的。
網上報稅是指稅務部門建立專門的申報網站,納稅戶通過Internet訪問稅務部門網站上的網上報稅系統,正確填寫電子化申報表后,遞交申報數據至稅務部門服務器,稅務部門的WWW服務器對這些數據進行處理、儲存,并將處理結果反饋給納稅人的一種電子申報方式。此種方式大大減少了納稅戶往返于稅務部門、銀行的煩惱,大大減輕了稅務部門的工作量。由此我們可以預見,網上報稅將成為今后主要的稅務申報方式。
目前網上報稅應用中存在的主要信息安全隱患有:身份認證、信息的機密性、信息的完整性和信息的不可抵賴性。針對這些安全隱患,基于PKI技術的、易于實施的網上報稅安全認證系統被推出了。通過為參與網上報稅應用的各方發放數字證書來對其進行身份標識,并且在網上報稅應用執行的過程中通過使用數字證書對各方進行身份驗證和簽名驗證,最終滿足網上報稅的安全需求,有效地防止各種網上報稅安全隱患。
此外,網上報稅安全認證系統還能夠實現訪問控制功能,保證稅務部門內部人員和納稅戶在網上報稅應用中擁有不同的權限,防止稅務部門內部人員竊取納稅戶敏感信息;能夠實現文件加密保存功能,保證存放在稅務部門和納稅戶計算機上的文件他人無法打開。網上報稅安全認證系統支持交叉認證,并可以與MS Exchange、Lotus Notes等辦公自動化軟件無縫集成。
(2)PKI應用前景
由于PKI是重大國家利益和網絡經濟的發展的制高點,也是推動互聯網發展、保障事務處理安全、推動電子政務、電子商務的支撐點。因此,建立健全的國家PKI體系,將有力地促進我國電子政務以及整個國家信息化的發展。
PKI支持SSL、IP over VPN、S/MIME等協議,這使得它可以支持加密Web、VPN、安全郵件等應用。而且,PKI支持不同CA間的交叉認證,并能實現證書、密鑰對的自動更換,這擴展了它的應用范疇。一個完整的PKI產品除主要功能外,還包括交叉認證、支持LDAP協議、支持用于認證的智能卡等。此外,PKI的特性融入各種應用(如防火墻、瀏覽器、電子郵件、群件、網絡操作系統)也正在成為趨勢。
隨著Internet應用的不斷普及和深入,政府部門需要PKI支持管理;商業企業內部、企業與企業之間、區域網絡、電子商務網站都需要PKI的技術和解決方案;大企業需要建立自己的PKI平臺;小企業需要社會提供商業PKI服務。
此外,作為PKI的一種應用,基于PKI和虛擬專用網市場也隨著B2B電子商務的發展而迅速膨脹。總的來說,PKI的市場需求非常巨大,基于PKI和應用包括了許多內容,如WWW安全、電子郵件安全、電子數據交換、信用卡交易安全、VPN。從行業應用來看,電子商務、電子政務、遠程教育等方面都離不開PKI技術。
4 結語
從以上分析可以看出,隨著PKI技術應用的不斷深入和對信息安全控制的研究,PKI技術本身也在不斷發展與變化,比如近年來比較重要的變化有屬性證書、漫游證書、無線PKI(WPKI)等。隨著PKI技術的應用與發展,無論是在有線網絡,還是在無線世界,PKI必將發揮巨大作用,其對信息安全的控制也將直接影響對電子政務的建設。并按照PKI體系方法和數值控控制法進行測評,從而提高PKI體系的科學性和對信息安全技術分析的準確性。
參考文獻:
[1]張昌明.PKI安全技術原理[M].北京:高等教育出版社,1998.
[2]劉禎.電子政務研究[J].中國科學進展,2001,12(1).
[3]沈振榮.安全新概念--安全技術PKI的研究與應用[M].北京:中國電子出版社,2003.
[4]史娟.控制性安全建模機理及研究進展[J].中國科學進展,2001.
