税务信息系统建设的风险管理

2022-05-07 02:47:12   文档大全网     [ 字体: ] [ 阅读: ]

#文档大全网# 导语】以下是®文档大全网的小编为您整理的《税务信息系统建设的风险管理》,欢迎阅读!
风险管理,税务,建设,系统,信息
税务信息系统建设的风险管理

随着信息技术在税务系统不断深入,税务行业信息化建 设也取得了令人瞩目的成就。信息对企业来说越来越重要, 信息已经成为企业特别关心的重要资产。但随着日常工作 信息系统结合程度的不断加深,我们对信息系统的依赖性也 不断增强,信息全成为我们日常管理中越来越关注的问题。

内网外网威胁不断

目前的税务信息系统一般包含税务内部办公网和互联 网区这两套网络。这两套网络对应的不用的信息系统所面临 的安全威胁也不尽相同。

首先是税务内部办公网(以下简称内网) 。由于我们严 格遵照总局内外网物理隔离的要求,因此内网面临的威胁主 要是病毒、蠕虫和木马程序,此外还有少量的后门及暴力破 解。其中病毒造成的网络堵塞、系统崩溃、数据丢失乃至硬 件损坏等都是我们曾经经历过的噩梦。而木马程序、后门和 暴力猜解虽然在我们的内网中不常见,但是其影响及破坏程 度同样不容小觑。

其次是税务系统的互联网区(以下简称外网) 。由于现 在税务机关普遍对纳税人提供实时的网上申报、网上认证 出口退税等业务。这些业务影响面广,实时性强,一旦发生 故障,其产生的社会影响对税务部门带来的损失将是不可估 量的。相较税


务内网而言,外网由于直接暴露在互联网上, 再加上自身安全防护措施不严格,防护技术不到位,因此极 易被黑客攻击。目前互联网面临的攻击主要是拒绝服务攻击 和网站的侵入。

拒绝服务攻击主要包括 Flooding 攻击、 Smurfing 拒绝服 务攻击、Fragmeng Attacks、带外数据包攻击/Nuking、分布式 拒绝服务攻击 DDoS 等。这些攻击的主要特点是,首先攻击 者向服务器发送众多的带有虚假地址的请求,服务器发送回 信息等待回传信息,由于地址是伪造的,所以服务器一 直等不到回传的消息,分配给这次请求的资源就始终没有被 释放。当服务器等待一定时间后,连接会因超时而被切断, 攻击者会再度传送新的一批请求,在这种反复发送伪地址请 求的情况下,服务器资源最终会被耗尽。网站入侵就是黑客 通过技术手段侵入到税务部门的门户网站,通过提升权限取 管理员的权限,然后随意修改网站的内容及窃取数据等信 息。

紧扣理论加强建设 以南通市国税局为例,我们制定了《南通市国家税务局 工作人员信息安全规范》和《计算机操作简明手册》等。规 范从设备管理网络操作、系统操作、数据操作和强制性五 个方面对所有人员的计算机操作进行约束。

虽然总局、省局和市局下发了一系列信息安全方面的规 章制度,在这些制度中多次强调税务信息系统必须实行内外 物理离,内外网机器不能混用。但是光靠制度的约束还 是不够的,为了真正达到初步实现税务信息系统网络准入制 度的目的,我们必


须从技术上采取严格的控制措施,才能从 源头上解决内外网混接的问题,也才能真正从风险管理的角 度,减少我们的信息系统所面临的威胁。

在这个方面,南通市国税局也做了积极的尝试,我们为 全市各级税务机关直至农村分局的所有单位,将内外网每一 网络点上的交换机全部更换成了可以实现端口和计算 MAC 地址绑定功能的交换机。由于每台计算机拥有唯一 MAC 地址,且不易修改,将 MAC 地址与交换机的端口进 行绑定后,一台机器无论在内网还是在外网,只能连接指定 网络接口才能进入网络连接其他接口则不能进入网络 而某一个网络接口也只允许事先配置好的一台机器连接,任 何其他没有授权的机器连接到该网络接口均不能连通网络 这样便可以在最大程度上防止内外网混接,防范未经授权的 电脑在窃取到 IP 地址的情况下, 未经允许便私自接入税务系 网络,有效保障了税务信息系统的安全。

为了应对风险、防范风险,不少单位制定了应急预案, 但是预案如果不在平时进行检验,不通过实践进行验证,在 信息系统真正面临威胁的时候就不能起到应有的效果。这就 要求我们不但要制定好各信息系统的应急预案,还必须将这 些预案进行演练,并且要将演练常态化,在演练中提高实际 操作的水平,增强分工协作的默契程度,为快速处理突发状 况打下坚实的基础,这样才能在威胁真正来临的时候应付自 如。


本文来源:https://www.wddqxz.cn/3544dbee33126edb6f1aff00bed5b9f3f80f7279.html

相关推荐