王再堂

(吉林財經大學 稅務學院，吉林 長春 130117)

一、網上辦稅的發(fā)展現狀

稅務機關網上辦稅是從納稅人角度出發(fā)所采取的一項便民措施，該業(yè)務依托稅務機關的信息化網絡，改進稅務部門的納稅服務手段，提高辦稅的效能，全面提升征納雙方的稅務信息化水平。稅務機關網上辦稅系統(tǒng)開通后，基于互聯網的電子申報方式為納稅人提供網上辦稅和涉稅咨詢服務，為廣大納稅人辦理涉稅事項和了解納稅流程提供了極大的便利；隨著稅務機關網上辦稅系統(tǒng)的不斷拓展和完善，網上辦稅逐步形成普及的態(tài)勢。[1]稅務機關網上辦稅系統(tǒng)是一個運用計算機網絡技術，將辦稅場所從實體辦稅服務廳移至互聯網站，從8小時到全天24小時的多元化服務體系，可實現稅務登記申請、納稅申報、劃繳稅款、稅收認定申請和涉稅查詢等功能，納稅人通過互聯網瀏覽器直接訪問，并提供電子郵件、短信服務等，基本實現了所有涉稅業(yè)務均可網上辦理。從當前運轉的整體態(tài)勢來看，業(yè)務流轉基本順暢、受理辦結情況較好。但同時也發(fā)現在具體操作過程中仍存在一些有待改進的地方。

二、網上辦稅面臨的舊問題和新挑戰(zhàn)

隨著金稅工程的不斷發(fā)展和完善，技術手段和管理手段的不斷加強，各級稅務信息系統(tǒng)的可靠性、可用性得到了有效的改善，基本上能夠滿足當前網上辦稅系統(tǒng)的業(yè)務需求。但是隨著計算機網絡的普及和計算機信息犯罪事件的日益增加，稅務機關內部信息系統(tǒng)也暴露出一系列需要完善和改進的問題。尤其是當前大數據背景下信息安全形勢嚴峻，網上辦稅系統(tǒng)所面臨的信息安全問題不容忽視。

1.信息泄露影響大。2011年7月，全球最大互聯網娛樂社區(qū)之一的日本索尼Play Station Network遭受黑客攻擊，導致7700萬用戶資料外泄；2011年12月，CSDN安全系統(tǒng)遭到黑客攻擊，導致600多萬用戶的登錄名、郵箱和密碼遭到泄露；隨后，世紀佳緣和天涯等網站相繼被曝用戶數據遭到泄露。當前，各地信息安全犯罪案件呈現快速上升趨勢，普通人只要花上幾元或者幾十元錢，就可以批量買到手機號碼、身份證號碼、汽車牌照、職業(yè)、家庭住址、財產收入等詳細的個人信息。個人信息的泄露會導致當事人不斷接到騷擾電話、廣告短信和垃圾郵件，甚至遭遇敲詐勒索、電信詐騙和綁架拘禁等犯罪活動，對公民的人身安全和財產安全構成嚴重威脅。稅務機關作為稅款的征收管理者，掌握著網上辦稅相關的企業(yè)信息、用戶信息和納稅信息等等，如果稅務機關所掌握的納稅人信息遭到泄露，將會對企業(yè)和納稅人構成嚴重威脅，甚至會造成重大的社會負面影響。

2.網絡維護壓力大。隨著稅務機關網上辦稅業(yè)務7*24小時不間斷服務的推廣，對信息系統(tǒng)及網絡系統(tǒng)的依賴程度越來越緊密，對信息系統(tǒng)的運行效率、穩(wěn)定性、安全性和服務水平等提出了越來越高的要求，任何細小的系統(tǒng)隱患或操作隱患都可能威脅網上辦稅系統(tǒng)的安全運行，系統(tǒng)風險呈幾何級數加大。與此同時，網上辦稅系統(tǒng)經過長期的發(fā)展演化，業(yè)務處理流程與技術支持平臺相互融合、緊密關聯，一項簡單的稅收應用處理流程往往會涉及到多個業(yè)務部門，各個系統(tǒng)的穩(wěn)定性及數據一致性等都關系到業(yè)務的完整處理。由于稅務系統(tǒng)的運維工作集合業(yè)務支持與技術支持為一身，因而要求運維人員既要精通技術又要掌握大量的業(yè)務知識，才能夠順利地對應用系統(tǒng)進行維護。正是因為這些變化，使得如何構建高效的運維支撐體系，確保網上辦稅系統(tǒng)的安全穩(wěn)定和高效運行，成為稅務系統(tǒng)迫切需要解決的問題。

3.容災系統(tǒng)隱患多。隨著金稅三期工程的向前推進和稅務機關征管大集中的建設，相關的數據安全是網上辦稅業(yè)務系統(tǒng)持續(xù)運行的前提和保障。目前通過物理安全、應用安全和網絡安全的防護，可以從多個層面對數據予以安全防護，但數據損壞或丟失的情況在現實中還是時有發(fā)生。如今頻繁發(fā)生的各種火災、水災、地震等自然災難，以及IT 設備硬件、軟件故障等系統(tǒng)故障和人為誤刪除、誤操作等災難，都可能對數據安全帶來巨大的沖擊。這些故障和災難給我們帶來慘痛的教訓，使我們意識到作為網上辦稅系統(tǒng)的災難備份系統(tǒng)是數據安全的最終防護線。

4.網上辦稅風險意識差。在稅務機關網上辦稅系統(tǒng)終端操作的人員一般是企業(yè)的財務人員。受計算機操作水平、人員年齡和文化程度等因素影響，其網上操作能力往往參差不齊，并且安全風險意識較差。大多數操作人員沒有設置開機密碼，即使設置開機密碼也往往是應用弱口令，沒有定期進行補丁更新以及病毒查殺。對于光盤和U盤以及郵件等外來傳遞介質的防護性不夠。在當前大數據時代，網上辦稅安全問題嚴峻，如何通過技術手段防止越權訪問、竊取口令和篡改破壞等惡意攻擊，建立數據加密機制、身份鑒別機制和抗抵賴機制，保證辦稅信息的正確性、完整性和安全性，是保障信息安全的重中之重。

三、加強稅務機關網上辦稅系統(tǒng)安全的若干建議

面對上述風險與挑戰(zhàn)，稅務機關應該在教育、管理、技術、運維、服務等方面做深入而細致的工作，努力探索一套全面科學、行之有效的工作規(guī)范和管理策略。為此，提出以下幾個方面建議。

1.健全安全管理制度。按照信息安全管理體系標準BS7799-2和國家稅務總局的相關要求，扎實推進信息安全保障建設。各地稅務機關應該成立網絡與信息安全領導小組。在網絡與信息安全領導小組的領導下，結合本局信息化工作的實際情況制定相應的信息保密管理制度、機房出入管理制度、口令密碼管理制度和內外網強制隔離制度等；根據對人負責和職責分離的原則，建立嚴密的安全管理責任制度和計算機管理監(jiān)督機制，形成內部各職能部門、各基層人員以及各應用系統(tǒng)的相互制約關系， 杜絕內部安全隱患。在抓好制度建設的同時，應重視各項管理制度的落實，將安全管理職責細分到人，并列入工作績效考核范疇。為及時處理可能發(fā)生的信息安全事件，要實時監(jiān)控征管業(yè)務系統(tǒng)的安全運行情況。要安排人員每天24小時值班，并做好督查和值班領導帶隊工作，確保稅收業(yè)務信息系統(tǒng)的穩(wěn)定、安全運行。

2.完善信息安全基礎設施建設。目前稅務機關網上辦稅系統(tǒng)大多數采用J2EE模式的三層技術架構，以應用服務器和數據庫服務器為硬件平臺，以Linux或者UNIX操作系統(tǒng)、Weblogic中間件、Oracle數據庫等為系統(tǒng)軟件平臺。此平臺系統(tǒng)安全層次高、隱患少。[2]與之相適應的是稅務機關網上辦稅系統(tǒng)利用CA數字簽名認證技術，建立了安全有效的身份認證機制，確保數據傳輸過程中數據的真實性和可靠性，利用SSL加密技術，對納稅人的傳輸信息進行加密，保障用戶信息在互聯網上傳輸的安全性。稅務機關要遵循深度防御和分級保護的思想，充分評估網上辦稅系統(tǒng)面臨的安全威脅，結合安全域的劃分，從物理層、網絡層和管理層等多個層面進行整體設計，利用多種有效的安全防護技術措施，實現多層次的縱深防御。在外網應用區(qū)要及時采用入侵檢測系統(tǒng)以監(jiān)測非法入侵和違規(guī)操作，建設網頁防火墻和網頁防篡改系統(tǒng)，以防止跨站腳本攻擊和網站篡改，采用網頁審計系統(tǒng)和安全審計系統(tǒng)提高網站安全事故的審計分析能力，同時要建立防病毒系統(tǒng)管理中心，自動檢測和清除各種計算機病毒，嚴密防范病毒入侵和傳播。

3.搭建高效的運維支撐體系。實用、高效的運維支撐體系是確保信息安全的重要屏障。第一，稅務機關應整合現有的監(jiān)控手段，建成一個覆蓋稅務機關核心IT元素的監(jiān)控平臺及運維平臺，并通過該平臺實現對征管主機、數據庫、中間件、網絡以及機房環(huán)境的運行情況及關鍵指標的統(tǒng)一采集匯總、實時監(jiān)控、綜合分析。第二，稅務機關要確立先進的信息安全理念，轉變服務觀念，并將這種理念以職能和流程的形式貫穿在運維戰(zhàn)略、運維設計、運維執(zhí)行和持續(xù)改進的整個生命周期過程中。將運維模式由傳統(tǒng)的“救火隊”轉變?yōu)椤氨＝♂t(yī)生”，由傳統(tǒng)的“被動解決”轉變?yōu)椤爸鲃臃烙?，由傳統(tǒng)的定期巡檢轉變?yōu)閷崟r監(jiān)控。第三，稅務機關要通過搭建運維技術支持平臺，建立運維知識庫以及運維技術支持隊伍，實現運行維護工作的智能化和高效率，為稅務系統(tǒng)培養(yǎng)一批“業(yè)務精、技術硬”的復合型管理人才。

4.做好安全應急演練工作。稅務機關要完善數據備份和容災機制，在本地備份的基礎上，還應該建設異地數據容災中心，以有效防范設備故障和自然災害對重要數據可能造成的危害。同時，應建立應急信息系統(tǒng)安全保障工作框架，成立應急保障辦公室及各專項保障組。堅持日常管理與應急響應相結合，形成統(tǒng)一指揮、協調聯動、專業(yè)處置、溝通順暢、反應靈敏、運轉高效的保障和應急體系。還應制定《稅務系統(tǒng)災難備份演練計劃》，并在應急響應演練結束以后，針對應急響應工作過程中遇到的問題，總結并分析應急響應預案的科學性和合理性，及時發(fā)現網上辦稅系統(tǒng)存在的安全隱患以及容災恢復中的問題，并采取有效措施應對災難。[3]

5.定期實施安全風險評估。稅務機關應該定期組織開展網上辦稅系統(tǒng)安全風險評估。安全風險評估的主要內容包括：信息資產調查、訪談和人工檢查、完善漏洞掃描工具、技術人工評估、管理人工評估、安全綜合評估報告等。根據風險評估的結果，參考通用標準的基本要求設計出短期解決方案及長期的安全規(guī)劃。近幾年，通過稅務機關不斷的探索，逐步建立健全了信息安全風險評估機制，提高了安全風險意識和安全防護水平；每年定期聘請安全專業(yè)服務公司對網上辦稅系統(tǒng)進行全面的安全風險評估；按照規(guī)范的評估工作流程和方法，利用安全專業(yè)工具進行掃描、滲透，發(fā)現存在的安全威脅，及時消除隱患和修補漏洞；利用安全風險評估的結果，變“被動防御”為“主動防御”，隨時了解征管業(yè)務系統(tǒng)安全的動態(tài)變化情況，并能根據實際情況采取相應的技術措施進行防護。今后應進一步健全制度、完善流程，拓展深度與廣度，使安全風險評估成為網上辦稅系統(tǒng)信息安全防護管理決策的“守護神” 。

6.提升為納稅人安全服務的質量。網上辦稅系統(tǒng)是一個稅務機關和納稅人之間交互的信息系統(tǒng)，不但要做好系統(tǒng)自身的安全防護工作，而且要盡力保護納稅人相關信息的安全，同時不斷引導和教育納稅人提高信息安全意識，做好安全防護工作，減少網上辦稅系統(tǒng)的風險。稅務機關應將“最大限度便利納稅人、最大限度規(guī)范稅務人”的理念貫穿于各項辦稅服務工作的始終，讓網上辦稅系統(tǒng)能夠為納稅人提供更加優(yōu)質、安全的服務。一是應通過發(fā)送手機短信、電子郵件等形式對納稅人納稅申報、扣繳稅款不成功等涉稅信息進行提醒；二是為了提高納稅人的安全意識與防范手段，應通過各種形式向納稅人宣傳信息安全知識及防范方法；三是為解決納稅人在網上辦稅期間遇到的安全問題，可以通過12366系統(tǒng)和信息技術人員通過電話方式提供解答，對于特殊和緊急的疑難雜癥還應組織相關安全人員上門服務解決問題。通過上述措施既可以解決納稅人網上辦稅遇到的各類問題，也可以增強納稅人的安全意識，從源頭上減輕網上辦稅系統(tǒng)可能受到的安全威脅，形成良性互動。

[1]李建中,劉顯敏.大數據時代的一個重要方面:數據可用性[J].計算機研究與發(fā)展,2013,(6).

[2]李彧琛.關于國稅信息安全體系建設的研究[M].北京：中國稅務出版社, 2010:78-96.

[3]稅務災難恢復系統(tǒng)建設編寫組.稅務災難恢復系統(tǒng)建設:思考篇[M].北京：中國稅務出版社，2010：123-126.