王再堂

(吉林財(cái)經(jīng)大學(xué) 稅務(wù)學(xué)院，吉林 長(zhǎng)春 130117)

一、網(wǎng)上辦稅的發(fā)展現(xiàn)狀

稅務(wù)機(jī)關(guān)網(wǎng)上辦稅是從納稅人角度出發(fā)所采取的一項(xiàng)便民措施，該業(yè)務(wù)依托稅務(wù)機(jī)關(guān)的信息化網(wǎng)絡(luò)，改進(jìn)稅務(wù)部門的納稅服務(wù)手段，提高辦稅的效能，全面提升征納雙方的稅務(wù)信息化水平。稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)開通后，基于互聯(lián)網(wǎng)的電子申報(bào)方式為納稅人提供網(wǎng)上辦稅和涉稅咨詢服務(wù)，為廣大納稅人辦理涉稅事項(xiàng)和了解納稅流程提供了極大的便利；隨著稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)的不斷拓展和完善，網(wǎng)上辦稅逐步形成普及的態(tài)勢(shì)。[1]稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)是一個(gè)運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，將辦稅場(chǎng)所從實(shí)體辦稅服務(wù)廳移至互聯(lián)網(wǎng)站，從8小時(shí)到全天24小時(shí)的多元化服務(wù)體系，可實(shí)現(xiàn)稅務(wù)登記申請(qǐng)、納稅申報(bào)、劃繳稅款、稅收認(rèn)定申請(qǐng)和涉稅查詢等功能，納稅人通過互聯(lián)網(wǎng)瀏覽器直接訪問，并提供電子郵件、短信服務(wù)等，基本實(shí)現(xiàn)了所有涉稅業(yè)務(wù)均可網(wǎng)上辦理。從當(dāng)前運(yùn)轉(zhuǎn)的整體態(tài)勢(shì)來看，業(yè)務(wù)流轉(zhuǎn)基本順暢、受理辦結(jié)情況較好。但同時(shí)也發(fā)現(xiàn)在具體操作過程中仍存在一些有待改進(jìn)的地方。

二、網(wǎng)上辦稅面臨的舊問題和新挑戰(zhàn)

隨著金稅工程的不斷發(fā)展和完善，技術(shù)手段和管理手段的不斷加強(qiáng)，各級(jí)稅務(wù)信息系統(tǒng)的可靠性、可用性得到了有效的改善，基本上能夠滿足當(dāng)前網(wǎng)上辦稅系統(tǒng)的業(yè)務(wù)需求。但是隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及和計(jì)算機(jī)信息犯罪事件的日益增加，稅務(wù)機(jī)關(guān)內(nèi)部信息系統(tǒng)也暴露出一系列需要完善和改進(jìn)的問題。尤其是當(dāng)前大數(shù)據(jù)背景下信息安全形勢(shì)嚴(yán)峻，網(wǎng)上辦稅系統(tǒng)所面臨的信息安全問題不容忽視。

1.信息泄露影響大。2011年7月，全球最大互聯(lián)網(wǎng)娛樂社區(qū)之一的日本索尼Play Station Network遭受黑客攻擊，導(dǎo)致7700萬用戶資料外泄；2011年12月，CSDN安全系統(tǒng)遭到黑客攻擊，導(dǎo)致600多萬用戶的登錄名、郵箱和密碼遭到泄露；隨后，世紀(jì)佳緣和天涯等網(wǎng)站相繼被曝用戶數(shù)據(jù)遭到泄露。當(dāng)前，各地信息安全犯罪案件呈現(xiàn)快速上升趨勢(shì)，普通人只要花上幾元或者幾十元錢，就可以批量買到手機(jī)號(hào)碼、身份證號(hào)碼、汽車牌照、職業(yè)、家庭住址、財(cái)產(chǎn)收入等詳細(xì)的個(gè)人信息。個(gè)人信息的泄露會(huì)導(dǎo)致當(dāng)事人不斷接到騷擾電話、廣告短信和垃圾郵件，甚至遭遇敲詐勒索、電信詐騙和綁架拘禁等犯罪活動(dòng)，對(duì)公民的人身安全和財(cái)產(chǎn)安全構(gòu)成嚴(yán)重威脅。稅務(wù)機(jī)關(guān)作為稅款的征收管理者，掌握著網(wǎng)上辦稅相關(guān)的企業(yè)信息、用戶信息和納稅信息等等，如果稅務(wù)機(jī)關(guān)所掌握的納稅人信息遭到泄露，將會(huì)對(duì)企業(yè)和納稅人構(gòu)成嚴(yán)重威脅，甚至?xí)斐芍卮蟮纳鐣?huì)負(fù)面影響。

2.網(wǎng)絡(luò)維護(hù)壓力大。隨著稅務(wù)機(jī)關(guān)網(wǎng)上辦稅業(yè)務(wù)7*24小時(shí)不間斷服務(wù)的推廣，對(duì)信息系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)的依賴程度越來越緊密，對(duì)信息系統(tǒng)的運(yùn)行效率、穩(wěn)定性、安全性和服務(wù)水平等提出了越來越高的要求，任何細(xì)小的系統(tǒng)隱患或操作隱患都可能威脅網(wǎng)上辦稅系統(tǒng)的安全運(yùn)行，系統(tǒng)風(fēng)險(xiǎn)呈幾何級(jí)數(shù)加大。與此同時(shí)，網(wǎng)上辦稅系統(tǒng)經(jīng)過長(zhǎng)期的發(fā)展演化，業(yè)務(wù)處理流程與技術(shù)支持平臺(tái)相互融合、緊密關(guān)聯(lián)，一項(xiàng)簡(jiǎn)單的稅收應(yīng)用處理流程往往會(huì)涉及到多個(gè)業(yè)務(wù)部門，各個(gè)系統(tǒng)的穩(wěn)定性及數(shù)據(jù)一致性等都關(guān)系到業(yè)務(wù)的完整處理。由于稅務(wù)系統(tǒng)的運(yùn)維工作集合業(yè)務(wù)支持與技術(shù)支持為一身，因而要求運(yùn)維人員既要精通技術(shù)又要掌握大量的業(yè)務(wù)知識(shí)，才能夠順利地對(duì)應(yīng)用系統(tǒng)進(jìn)行維護(hù)。正是因?yàn)檫@些變化，使得如何構(gòu)建高效的運(yùn)維支撐體系，確保網(wǎng)上辦稅系統(tǒng)的安全穩(wěn)定和高效運(yùn)行，成為稅務(wù)系統(tǒng)迫切需要解決的問題。

3.容災(zāi)系統(tǒng)隱患多。隨著金稅三期工程的向前推進(jìn)和稅務(wù)機(jī)關(guān)征管大集中的建設(shè)，相關(guān)的數(shù)據(jù)安全是網(wǎng)上辦稅業(yè)務(wù)系統(tǒng)持續(xù)運(yùn)行的前提和保障。目前通過物理安全、應(yīng)用安全和網(wǎng)絡(luò)安全的防護(hù)，可以從多個(gè)層面對(duì)數(shù)據(jù)予以安全防護(hù)，但數(shù)據(jù)損壞或丟失的情況在現(xiàn)實(shí)中還是時(shí)有發(fā)生。如今頻繁發(fā)生的各種火災(zāi)、水災(zāi)、地震等自然災(zāi)難，以及IT 設(shè)備硬件、軟件故障等系統(tǒng)故障和人為誤刪除、誤操作等災(zāi)難，都可能對(duì)數(shù)據(jù)安全帶來巨大的沖擊。這些故障和災(zāi)難給我們帶來慘痛的教訓(xùn)，使我們意識(shí)到作為網(wǎng)上辦稅系統(tǒng)的災(zāi)難備份系統(tǒng)是數(shù)據(jù)安全的最終防護(hù)線。

4.網(wǎng)上辦稅風(fēng)險(xiǎn)意識(shí)差。在稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)終端操作的人員一般是企業(yè)的財(cái)務(wù)人員。受計(jì)算機(jī)操作水平、人員年齡和文化程度等因素影響，其網(wǎng)上操作能力往往參差不齊，并且安全風(fēng)險(xiǎn)意識(shí)較差。大多數(shù)操作人員沒有設(shè)置開機(jī)密碼，即使設(shè)置開機(jī)密碼也往往是應(yīng)用弱口令，沒有定期進(jìn)行補(bǔ)丁更新以及病毒查殺。對(duì)于光盤和U盤以及郵件等外來傳遞介質(zhì)的防護(hù)性不夠。在當(dāng)前大數(shù)據(jù)時(shí)代，網(wǎng)上辦稅安全問題嚴(yán)峻，如何通過技術(shù)手段防止越權(quán)訪問、竊取口令和篡改破壞等惡意攻擊，建立數(shù)據(jù)加密機(jī)制、身份鑒別機(jī)制和抗抵賴機(jī)制，保證辦稅信息的正確性、完整性和安全性，是保障信息安全的重中之重。

三、加強(qiáng)稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)安全的若干建議

面對(duì)上述風(fēng)險(xiǎn)與挑戰(zhàn)，稅務(wù)機(jī)關(guān)應(yīng)該在教育、管理、技術(shù)、運(yùn)維、服務(wù)等方面做深入而細(xì)致的工作，努力探索一套全面科學(xué)、行之有效的工作規(guī)范和管理策略。為此，提出以下幾個(gè)方面建議。

1.健全安全管理制度。按照信息安全管理體系標(biāo)準(zhǔn)BS7799-2和國家稅務(wù)總局的相關(guān)要求，扎實(shí)推進(jìn)信息安全保障建設(shè)。各地稅務(wù)機(jī)關(guān)應(yīng)該成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組。在網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，結(jié)合本局信息化工作的實(shí)際情況制定相應(yīng)的信息保密管理制度、機(jī)房出入管理制度、口令密碼管理制度和內(nèi)外網(wǎng)強(qiáng)制隔離制度等；根據(jù)對(duì)人負(fù)責(zé)和職責(zé)分離的原則，建立嚴(yán)密的安全管理責(zé)任制度和計(jì)算機(jī)管理監(jiān)督機(jī)制，形成內(nèi)部各職能部門、各基層人員以及各應(yīng)用系統(tǒng)的相互制約關(guān)系， 杜絕內(nèi)部安全隱患。在抓好制度建設(shè)的同時(shí)，應(yīng)重視各項(xiàng)管理制度的落實(shí)，將安全管理職責(zé)細(xì)分到人，并列入工作績(jī)效考核范疇。為及時(shí)處理可能發(fā)生的信息安全事件，要實(shí)時(shí)監(jiān)控征管業(yè)務(wù)系統(tǒng)的安全運(yùn)行情況。要安排人員每天24小時(shí)值班，并做好督查和值班領(lǐng)導(dǎo)帶隊(duì)工作，確保稅收業(yè)務(wù)信息系統(tǒng)的穩(wěn)定、安全運(yùn)行。

2.完善信息安全基礎(chǔ)設(shè)施建設(shè)。目前稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)大多數(shù)采用J2EE模式的三層技術(shù)架構(gòu)，以應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器為硬件平臺(tái)，以Linux或者UNIX操作系統(tǒng)、Weblogic中間件、Oracle數(shù)據(jù)庫等為系統(tǒng)軟件平臺(tái)。此平臺(tái)系統(tǒng)安全層次高、隱患少。[2]與之相適應(yīng)的是稅務(wù)機(jī)關(guān)網(wǎng)上辦稅系統(tǒng)利用CA數(shù)字簽名認(rèn)證技術(shù)，建立了安全有效的身份認(rèn)證機(jī)制，確保數(shù)據(jù)傳輸過程中數(shù)據(jù)的真實(shí)性和可靠性，利用SSL加密技術(shù)，對(duì)納稅人的傳輸信息進(jìn)行加密，保障用戶信息在互聯(lián)網(wǎng)上傳輸?shù)陌踩?。稅?wù)機(jī)關(guān)要遵循深度防御和分級(jí)保護(hù)的思想，充分評(píng)估網(wǎng)上辦稅系統(tǒng)面臨的安全威脅，結(jié)合安全域的劃分，從物理層、網(wǎng)絡(luò)層和管理層等多個(gè)層面進(jìn)行整體設(shè)計(jì)，利用多種有效的安全防護(hù)技術(shù)措施，實(shí)現(xiàn)多層次的縱深防御。在外網(wǎng)應(yīng)用區(qū)要及時(shí)采用入侵檢測(cè)系統(tǒng)以監(jiān)測(cè)非法入侵和違規(guī)操作，建設(shè)網(wǎng)頁防火墻和網(wǎng)頁防篡改系統(tǒng)，以防止跨站腳本攻擊和網(wǎng)站篡改，采用網(wǎng)頁審計(jì)系統(tǒng)和安全審計(jì)系統(tǒng)提高網(wǎng)站安全事故的審計(jì)分析能力，同時(shí)要建立防病毒系統(tǒng)管理中心，自動(dòng)檢測(cè)和清除各種計(jì)算機(jī)病毒，嚴(yán)密防范病毒入侵和傳播。

3.搭建高效的運(yùn)維支撐體系。實(shí)用、高效的運(yùn)維支撐體系是確保信息安全的重要屏障。第一，稅務(wù)機(jī)關(guān)應(yīng)整合現(xiàn)有的監(jiān)控手段，建成一個(gè)覆蓋稅務(wù)機(jī)關(guān)核心IT元素的監(jiān)控平臺(tái)及運(yùn)維平臺(tái)，并通過該平臺(tái)實(shí)現(xiàn)對(duì)征管主機(jī)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)以及機(jī)房環(huán)境的運(yùn)行情況及關(guān)鍵指標(biāo)的統(tǒng)一采集匯總、實(shí)時(shí)監(jiān)控、綜合分析。第二，稅務(wù)機(jī)關(guān)要確立先進(jìn)的信息安全理念，轉(zhuǎn)變服務(wù)觀念，并將這種理念以職能和流程的形式貫穿在運(yùn)維戰(zhàn)略、運(yùn)維設(shè)計(jì)、運(yùn)維執(zhí)行和持續(xù)改進(jìn)的整個(gè)生命周期過程中。將運(yùn)維模式由傳統(tǒng)的“救火隊(duì)”轉(zhuǎn)變?yōu)椤氨＝♂t(yī)生”，由傳統(tǒng)的“被動(dòng)解決”轉(zhuǎn)變?yōu)椤爸鲃?dòng)防御”，由傳統(tǒng)的定期巡檢轉(zhuǎn)變?yōu)閷?shí)時(shí)監(jiān)控。第三，稅務(wù)機(jī)關(guān)要通過搭建運(yùn)維技術(shù)支持平臺(tái)，建立運(yùn)維知識(shí)庫以及運(yùn)維技術(shù)支持隊(duì)伍，實(shí)現(xiàn)運(yùn)行維護(hù)工作的智能化和高效率，為稅務(wù)系統(tǒng)培養(yǎng)一批“業(yè)務(wù)精、技術(shù)硬”的復(fù)合型管理人才。

4.做好安全應(yīng)急演練工作。稅務(wù)機(jī)關(guān)要完善數(shù)據(jù)備份和容災(zāi)機(jī)制，在本地備份的基礎(chǔ)上，還應(yīng)該建設(shè)異地?cái)?shù)據(jù)容災(zāi)中心，以有效防范設(shè)備故障和自然災(zāi)害對(duì)重要數(shù)據(jù)可能造成的危害。同時(shí)，應(yīng)建立應(yīng)急信息系統(tǒng)安全保障工作框架，成立應(yīng)急保障辦公室及各專項(xiàng)保障組。堅(jiān)持日常管理與應(yīng)急響應(yīng)相結(jié)合，形成統(tǒng)一指揮、協(xié)調(diào)聯(lián)動(dòng)、專業(yè)處置、溝通順暢、反應(yīng)靈敏、運(yùn)轉(zhuǎn)高效的保障和應(yīng)急體系。還應(yīng)制定《稅務(wù)系統(tǒng)災(zāi)難備份演練計(jì)劃》，并在應(yīng)急響應(yīng)演練結(jié)束以后，針對(duì)應(yīng)急響應(yīng)工作過程中遇到的問題，總結(jié)并分析應(yīng)急響應(yīng)預(yù)案的科學(xué)性和合理性，及時(shí)發(fā)現(xiàn)網(wǎng)上辦稅系統(tǒng)存在的安全隱患以及容災(zāi)恢復(fù)中的問題，并采取有效措施應(yīng)對(duì)災(zāi)難。[3]

5.定期實(shí)施安全風(fēng)險(xiǎn)評(píng)估。稅務(wù)機(jī)關(guān)應(yīng)該定期組織開展網(wǎng)上辦稅系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估。安全風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容包括：信息資產(chǎn)調(diào)查、訪談和人工檢查、完善漏洞掃描工具、技術(shù)人工評(píng)估、管理人工評(píng)估、安全綜合評(píng)估報(bào)告等。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，參考通用標(biāo)準(zhǔn)的基本要求設(shè)計(jì)出短期解決方案及長(zhǎng)期的安全規(guī)劃。近幾年，通過稅務(wù)機(jī)關(guān)不斷的探索，逐步建立健全了信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，提高了安全風(fēng)險(xiǎn)意識(shí)和安全防護(hù)水平；每年定期聘請(qǐng)安全專業(yè)服務(wù)公司對(duì)網(wǎng)上辦稅系統(tǒng)進(jìn)行全面的安全風(fēng)險(xiǎn)評(píng)估；按照規(guī)范的評(píng)估工作流程和方法，利用安全專業(yè)工具進(jìn)行掃描、滲透，發(fā)現(xiàn)存在的安全威脅，及時(shí)消除隱患和修補(bǔ)漏洞；利用安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，變“被動(dòng)防御”為“主動(dòng)防御”，隨時(shí)了解征管業(yè)務(wù)系統(tǒng)安全的動(dòng)態(tài)變化情況，并能根據(jù)實(shí)際情況采取相應(yīng)的技術(shù)措施進(jìn)行防護(hù)。今后應(yīng)進(jìn)一步健全制度、完善流程，拓展深度與廣度，使安全風(fēng)險(xiǎn)評(píng)估成為網(wǎng)上辦稅系統(tǒng)信息安全防護(hù)管理決策的“守護(hù)神” 。

6.提升為納稅人安全服務(wù)的質(zhì)量。網(wǎng)上辦稅系統(tǒng)是一個(gè)稅務(wù)機(jī)關(guān)和納稅人之間交互的信息系統(tǒng)，不但要做好系統(tǒng)自身的安全防護(hù)工作，而且要盡力保護(hù)納稅人相關(guān)信息的安全，同時(shí)不斷引導(dǎo)和教育納稅人提高信息安全意識(shí)，做好安全防護(hù)工作，減少網(wǎng)上辦稅系統(tǒng)的風(fēng)險(xiǎn)。稅務(wù)機(jī)關(guān)應(yīng)將“最大限度便利納稅人、最大限度規(guī)范稅務(wù)人”的理念貫穿于各項(xiàng)辦稅服務(wù)工作的始終，讓網(wǎng)上辦稅系統(tǒng)能夠?yàn)榧{稅人提供更加優(yōu)質(zhì)、安全的服務(wù)。一是應(yīng)通過發(fā)送手機(jī)短信、電子郵件等形式對(duì)納稅人納稅申報(bào)、扣繳稅款不成功等涉稅信息進(jìn)行提醒；二是為了提高納稅人的安全意識(shí)與防范手段，應(yīng)通過各種形式向納稅人宣傳信息安全知識(shí)及防范方法；三是為解決納稅人在網(wǎng)上辦稅期間遇到的安全問題，可以通過12366系統(tǒng)和信息技術(shù)人員通過電話方式提供解答，對(duì)于特殊和緊急的疑難雜癥還應(yīng)組織相關(guān)安全人員上門服務(wù)解決問題。通過上述措施既可以解決納稅人網(wǎng)上辦稅遇到的各類問題，也可以增強(qiáng)納稅人的安全意識(shí)，從源頭上減輕網(wǎng)上辦稅系統(tǒng)可能受到的安全威脅，形成良性互動(dòng)。

[1]李建中,劉顯敏.大數(shù)據(jù)時(shí)代的一個(gè)重要方面:數(shù)據(jù)可用性[J].計(jì)算機(jī)研究與發(fā)展,2013,(6).

[2]李彧琛.關(guān)于國稅信息安全體系建設(shè)的研究[M].北京：中國稅務(wù)出版社, 2010:78-96.

[3]稅務(wù)災(zāi)難恢復(fù)系統(tǒng)建設(shè)編寫組.稅務(wù)災(zāi)難恢復(fù)系統(tǒng)建設(shè):思考篇[M].北京：中國稅務(wù)出版社，2010：123-126.