顾瑞 卢加元

【摘要】 随着我国税务信息化的迅速发展，税务信息系统的安全问题日益引起广泛重视。文章在分析税务信息系统的结构和特点的基础上，从资产、脆弱性和威胁三个方面对税务信息系统进行风险评估，并设计出有效的风险控制模型。

【关键词】 税务； 风险； 控制； 模型

当前，随着计算机和网络技术的日益成熟和完善，全国各个税务部门都致力于税务信息化的建设，主要是开展数据集中和网络建设，即县区级到城市级、省级、全国级的网络建设，同时将业务数据逐步上收和集中到各级数据中心。由于税务信息系统所处理的信息数据往往涉及到国家、集体乃至个人的经济利益，有的甚至涉及国家和商业机密，随着税务信息系统的普及，尤其是税务信息的集中处理和实时共享，意味着信息风险的集中以及损失的破坏性和传播性的加大。因此，如何对税务信息系统进行风险控制，成为税务管理工作中面临的一个重大而严峻的课题。本文将结合税务信息系统的特点从资产、脆弱性和威胁三个方面进行风险评估，从而设计出有效的风险控制模型。

一、税务信息系统风险分析

以某市国税局的信息系统为风险分析对象，通常国税的组织形式分为三层，即省国税局—市级国税局—县级国税局，因此税务信息系统的广域网络通常分为三层树形结构，即省国税局网络—市级国税局网络—县级国税局网络，省国税局往上则与国家税务总局相连。市国税局通常布有三类网络，第一类是连接省局、县区级局的广域网，该网络是国家税务系统的专网，用来及时传输税务信息的。该网络的主线路通常是采用路由器和运营商的光纤，使用ATM与省局相连，备份线路则是路由器和运营商的光纤采用MPLS方式和省局相连。第二类是市局的局域网，该网络采用星型网络结构，布在市税务局的办公楼内，用于办公自动化系统、各应用系统的客户机提供信息通道。第三类是与外单位相连的互联网，主要连接各商业银行、工商、地税、政府等部门，为电子报税和银行的数据交换提供信息传输渠道。该网络通常由Web服务器、DNS服务器、Email服务器和若干客户终端组成，为市局内部人员提供Web浏览和邮件服务，并提供Internet的互联网服务。

在分析了市国税局税务信息系统的基本架构后，将对其进行风险评估，通常，风险受到资产、威胁和脆弱性三方面影响，因此风险评估关注的重点也是这三个要素。下面将结合税务信息系统的特点对这三要素进行识别分析。

要素一：资产识别

税务信息系统的资产通常分为以下几类：

1.数据：即税务系统日常办公所处理的用于集中管理和网络交互的各种电子化信息数据。包括税务日常管理的数据库和各类应用数据文件，如纳税申报数据、内部办公数据、财务管理数据等。

2.软件：即税务信息系统日常办公所设计的各类系统软件和管理应用软件，如Window Server/XP系统软件和金税工程软件。

3.硬件资产：即构成税务信息系统的所有硬件资源，如计算机、路由器、交换机、防火墙以及布线、存储设备等。

4.服务：税务信息系统提供的所有计算机应用服务和税务网络服务。如网络报税和集中管理等。

5.文档：各级税务系统日常办公所处理的各类纸质文件、传真、电报、财务报告、规章制度等。

6.设备：即确保税务信息系统正常运转所提供的各种硬件设备，如电源、空调、保险柜、门禁和消防设施等。

7.人员：即各级税务局的管理工作人员和使用税务信息系统的外单位人员。

以上七类资产在税务信息系统里的价值是不一样的，其中数据、软件、硬件资产、文档和服务的资产价值相对来说最高，其安全属性遭到风险损害后会带来严重的影响。而设备的资产价值相对来说比较高，在其安全属性遭到风险损害后虽然会对税务信息系统带来影响但不至于造成很严重的影响。

要素二：潜在安全威胁识别

对于税务信息系统来说，威胁的来源有很多种，通常分为以下几类：

1.人员威胁：包括税务信息系统的内部管理和工作人员或者外部人员故意破坏（网络攻击、恶意代码、有意泄密、偷窃信息）和无意失误（误操作、维护错误、无意泄密）。

2.系统威胁：指税务信息系统在运行中所出现的各种非人为因素的故障，如系统死机、网络中端、服务终止等各种软硬件故障和介质老化等。

3.环境威胁：指税务信息系统运行所处的环境发生变化所带来的威胁，比如电源故障、污染、液体泄漏、火灾等。

4.自然威胁：主要指恶劣的自然天气灾难，如洪水、地震、台风等，这些是人力所不能及的。

以上四种威胁中发生频率最多影响最坏的还是第一和第二类威胁，因此，在设计风险控制模型中要特别加以注意和防范。

要素三：脆弱性识别

脆弱性是资产本身的弱点，但是只有当被威胁所利用后便会对资产造成损害，从而构成风险。

对于税务信息系统来说，其脆弱性通常分为两类：

1.技术脆弱性：指税务信息系统的内部资产因为技术原因而造成的漏洞和弱点，如物理环境安全、网络安全、系统软件安全和数据库软件安全等。

2.管理脆弱性：指税务系统的管理人员在制定相应的管理规章、制度和策略时所产生的漏洞及弱点。

对于税务信息系统的资产脆弱性进行评估必须考虑两个因素，一个是脆弱性的严重程度，即脆弱性被威胁利用后会对资产带来的损害程度；另一个因素则是脆弱性的暴露程度，即脆弱性被威胁所利用的可能性。资产脆弱性的这两种因素，彼此之间相互独立、互不影响，通常来讲，脆弱性的识别对于制定风险控制措施有极其重要的意义。

在对税务信息系统风险的三要素即资产、威胁和脆弱性进行识别后，给出如图1所示的税务信息系统风险评估模型。即：

税务信息系统风险=税务系统资产×税务系统所受到的威胁×税务系统资产的脆弱性。

二、税务信息系统风险控制模型

税务信息系统的风险控制是在全面识别和评估了税务信息系统所面临的风险的基础上，针对风险的三要素，采取相应的控制措施，将风险控制在可接受的范围内。通过对税务信息系统的风险分析，不难看出风险是客观存在的，是无法完全消除的，因此，风险控制的目的并不是彻底地消除风险，而是将风险降低到税务信息系统可接受的范围内，当风险发生的时候不至于影响税务信息系统的正常业务运作。

针对税务信息系统的特点，将风险控制模型设计成五个组成部分，即策略性安全控制、防护性安全控制、检测性安全控制、纠正性安全控制和恢复性安全控制。如图2所示，对这五类控制进行逐一阐述。

1.策略性安全控制：策略性安全控制是整个风险控制模型的第一步，也是最基础和最重要的环节，是指针对税务信息系统的特点以及可能受到的威胁来源而制定相应的安全管理制度和规章，如设备管理制度、机房管理制度、系统安全管理制度等。只有建立健全各种与安全相关的规章制度和操作规范，才能最大可能地从威胁来源上加以控制，从而使得防护、检测和纠正等环节有章可循、切实有效。

2.防护性安全控制：防护性安全控制是针对资产的脆弱性所采取的一系列技术手段和措施从而保护税务信息系统资产的脆弱性，使攻击难以成功，或者降低攻击造成的影响。通常防护性控制有物理安全防护、网络安全防护、系统安全防护以及应用安全防护。防护性控制的实施是税务信息系统抵御风险的一道重要屏障，在风险控制模型中处于重要的地位。

3.检测性安全控制：检测性安全控制是对税务信息系统运行情况的实时监测，为了及时发现系统所受到的攻击活动，并激活纠正性控制和防护性控制。检测性安全控制主要有主机入侵检测、主机状态监测、网络入侵检测和网络状态监测等。

4.纠正性安全控制：纠正性安全控制是指在攻击发生的时候对故障进行修复，排除事故，从而降低风险攻击对系统造成的影响。通常，纠正性安全控制是在检测性安全控制之后，受到其激活后才进行的，该控制可以最大限度地减少风险对系统造成的损害。

5.恢复性安全控制：恢复性安全控制是整个风险控制模型的最后一个环节，也是最关键的一个环节，它是在通过前面四个环节的控制之后对系统进行安全备份与恢复，使系统恢复到遭受风险攻击之前的正常运行状态。恢复性安全控制主要包括设施备份与恢复、系统备份与恢复、数据备份与恢复和应用备份与恢复。

通过对风险控制模型中五个环节的逐一阐述，不难发现该风险模型是依据风险的三要素即资产、威胁和脆弱性以及风险发生的过程来设计的，这五个环节构成了一个完整的、动态的安全控制循环，共同实现系统的安全保障，达到实时控制风险的目的。

三、结束语

税务系统的信息化建设使得税务信息的集中处理和实时共享成为可能，极大提升了各级税务部门的工作效率和服务质量，但是，由于信息系统固有的结构和特点使其极容易受到风险的攻击，因此，建立良好、完善的网络信息系统风险控制是税务信息化正常发展和税务信息安全的重要保证。本文在分析了税务信息系统的特点以及风险的构成要素之后设计了可以有效控制税务信息系统风险的风险模型，并详述了该模型的功能和特点。

【参考文献】

［1］ 李龙.网络安全税务系统的设计和实现［J］.电脑知识与技术，2008（27）.

［2］ 欧阳菁.税务信息系统风险防范对策分析［J］.江西广播电视大学学报，2006（4）.

［3］ 徐伟清.构建安全网络架构保障网上申报安全［J］.上海财税，2002（7）.