浅析国税信息系统的安全风险

浅析国税信息系统的安全风险 随着计算机信息技术和网络通讯技术的普遍应用，社会信息化程度不断提高，信息系统已经渗透到社会的各个领域。信息系统的广泛应用推动了人类社会的发展，但也带来了一定的风险。一旦信息系统、通讯系统发生故障、停止运行或被恶意破坏，某领域的业务活动就不得不部分或完全终止，由此引起的直接或间接损失将是无法估量的。国内外大量信息化建设的实践表明，信息系统审计作为信息社会的安全对策，能有效地管理与信息系统有关的风险，从而确保信息系统的安全性、稳定性和有效性。 一、信息系统审计简介 “审计”一词起源于财务审计，人们比较熟悉的审计是对财务报表或会计账册的监督，好像和信息系统没有必然联系。但随着经济管理和科学技术的不断结合以及日益渗透，现代审计已经远远超出了仅对财务会计进行审查的狭窄范围，不断向管理领域和技术领域渗透。 信息技术的广泛应用使信息系统实际上已经成为企业及社会的中枢，在一定程度上左右着企业的命运。美国、日本等发达国家在信息化过程中率先意识到信息系统审计的必要性并对此进行了研究，目前已得到普及。在我国，虽然也早就提出了“计算机审计”的概念，但这种审计更多的是偏向于“利用计算机进行审计”。实际上我国的信息系统审计工作还处在摸索阶段。 信息系统审计是技术审计的一个典型，它实质上是对计算机软件、硬件及整个信息系统的审计，是指遵照普遍接受的信息系统审计标准和指南对信息系统及其应用的安全性、稳定性和有效性进行监测、评估和控制的过程，以确保预定的业务目标得以实现。 按国际上通行的规范，信息系统审计主要有6个方面的内容：评估信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务；评估技术基础设施的管理和运行实践方面的有效性及效率，以确保其充分支持组织的业务目标；评估信息资源在逻辑访问、运行环境与信息技术基础设施的安全性，以确保其满足组织的业务需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失；评估系统灾难恢复与保证业务连续性的能力，以确保组织能持续进行业务营运；评估应用系统开发、实施与维护的方式、方法及过程，以确保其满足组织的业务需求；评估业务处理流程的风险管理水平，确保根据组织的业务目标对相应风险实施管理。 二、国税信息系统面临的风险 国税部门作为行政执法部门，信息系统的安全与否直接关系到为纳税人提供服务的质量和效率，社会的和谐与稳定，因此国税信息系统的安全保护显得越来越重要。近年来，以数据省级集中为标志的新一轮国税信息化建设已成效凸显，为国税系统优化纳税服务，加强科学管理提供了广阔的技术平台，直接带来了税收理念的更新，征管机制的创新、管理手段的提高，但在数据由分散到集中的同时，原来分散的风险也随之集中。在这种模式下，虽然安全性事故、灾难的发生频率可能大大降低，但其潜在的风险不容忽视。 1、运行环境方面的风险。数据集中后，通过采用更高端的设备、技术等措施提高了系统的安全系数，故障概率大大低于分散式数据管理模式。但是应清醒地认识到数据集中后，其安全影响的范围也呈几何级数增长，一旦发生故障，可能影响全局。因此，必须建设、保障一流的运行环境，不仅要考虑供电、温湿度、洁净度、抗电磁干扰、火灾等常规因素，还要考虑到地震、洪水等自然灾害的影响。 2、数据备份中心及应急恢复机制方面的风险。电子化程度越高的行业，其对数据完整性和可用性的要求也越高。据美国的有关调查显示，如果公司在灾难过后两个星期内无法完全恢复信息系统的使用，75的公司业务将会完全停顿，43的公司将再也无法开业。对于依赖信息系统进行日常运作的国税部门而言，纳税人对于系统停机的可忍受时间甚至不能超过1天，而税收数据的丢失和破坏可能会导致税收秩序的混乱，影响社会的稳定与和谐。 3、软件开发及应用方面的风险。由于我国税收政策变动比较频繁，加之软件开发者水平参差不齐，软件开发的时间较紧，一些税收征管系统往往没有进行缜密的测试，因此有可能存在一定的缺陷和漏洞，让不法之徒有机可乘。 4、网络安全方面的风险。inter的迅猛发展为电子商务、电子政务提供了运作平台，但也带来了许多不安全隐患。各种迹象表明，网上申报、手机申报等信息系统已成为日益猖獗的网络攻击和计算机犯罪活动的主要目标。 三、国税信息系统审计的重点 国税信息化经过多年的建设，已初具规模，各种系统十分复杂、庞大，如对全部信息系统进行审计的话，工作量巨大，且目前信息系统审计的人员缺