前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)稅收信息論文文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
(一)創(chuàng)新管理方式
提高管理效率稅收征管信息化是一項(xiàng)技術(shù)創(chuàng)新和管理創(chuàng)新相結(jié)合的復(fù)雜創(chuàng)新過程,是通過利用信息技術(shù)把組織管理的計(jì)劃、組織、人事、領(lǐng)導(dǎo)和控制五大職能集合起來,在新的管理平臺上創(chuàng)新原有的組織結(jié)構(gòu)、管理手段與業(yè)務(wù)流程的活動(dòng)。嚴(yán)密的理論和豐富的實(shí)踐表明,把信息化建設(shè)與稅收征管業(yè)務(wù)工作充分結(jié)合,可以在很大程度上彌補(bǔ)稅收征管體系原有的缺陷,進(jìn)一步完善稅務(wù)機(jī)關(guān)的崗位職責(zé)體系,優(yōu)化管理人員與稅務(wù)征收業(yè)務(wù)的有機(jī)結(jié)合,更加明確不同崗位的工作職責(zé)和權(quán)力義務(wù),推動(dòng)稅收征管工作從傳統(tǒng)的粗放型向現(xiàn)代的精細(xì)化方向轉(zhuǎn)變,從根本上解決以往“管事和管戶”在稅源分配和稅收信息溝通方面存在的矛盾。
(二)提供數(shù)據(jù)支撐
確保工作質(zhì)量稅收征管信息化是以科技創(chuàng)新為動(dòng)力,以信息技術(shù)、網(wǎng)絡(luò)技術(shù)為基本手段,把現(xiàn)代最新科學(xué)技術(shù)與稅收征管活動(dòng)結(jié)合起來的一項(xiàng)活動(dòng)。這種跨行業(yè)、跨學(xué)科的深度融合,為稅收征管提供了科學(xué)、準(zhǔn)確的數(shù)據(jù)支撐。這種具有“科技+管理”特點(diǎn)的稅收征管信息系統(tǒng)具有強(qiáng)大的數(shù)據(jù)集中和整合功能。一方面,通過它的運(yùn)行可以及時(shí)獲得大量、完整、真實(shí)和系統(tǒng)的稅源數(shù)據(jù),大幅度提高和優(yōu)化稅務(wù)系統(tǒng)各種數(shù)據(jù)的應(yīng)用層次;另一方面,通過使用這些經(jīng)過篩選和處理的高質(zhì)量的數(shù)據(jù),可以輔助稅務(wù)征管部門較大程度上提高稅收征管的工作效率,促進(jìn)征管部門工作質(zhì)量的顯著提高,同時(shí),還可以大幅度降低出錯(cuò)率,減少重復(fù)性工作,從而起到提高業(yè)務(wù)效率和行政管理效率的目的。
(三)強(qiáng)化稅源監(jiān)控
規(guī)范稅收執(zhí)法稅源管理是稅收征管中的重要任務(wù)之一,實(shí)現(xiàn)稅務(wù)征管信息化則可以從一個(gè)方面大大強(qiáng)化對稅源的監(jiān)督管理。依托稅收征管系統(tǒng),輔之以無限的互聯(lián)網(wǎng)絡(luò),可以更大程度上拓展稅源監(jiān)控體系的功能,在更廣泛的空間內(nèi)加大稅源監(jiān)控的覆蓋面,充分提高監(jiān)控的靈敏程度和反應(yīng)速度。通過構(gòu)建和使用稅收征管信息系統(tǒng),可以從源頭上依照不同行業(yè)、不同組織、不同稅種和不同的時(shí)限對所有納稅對象實(shí)現(xiàn)全方位的高度監(jiān)控,同時(shí)做好稅收計(jì)劃和預(yù)測工作,實(shí)現(xiàn)有效的稅源監(jiān)控。以稅收征管信息系統(tǒng)為代表的稅收征管信息化的實(shí)現(xiàn),對規(guī)范稅收征管工作也具有十分積極的作用。當(dāng)稅收征管信息系統(tǒng)引入到征管工作中后,科學(xué)的程序和模塊將會(huì)使征管人員執(zhí)行稅收政策法規(guī)的行為進(jìn)一步程序化、模式化和固定化,從而起到在更高的層次上保障稅收執(zhí)法工作法制化、正常化的基礎(chǔ)性作用,大幅度減少和克服稅收征管中長期存在的隨意執(zhí)法、違規(guī)執(zhí)法的行為和機(jī)會(huì)。稅收征管流程的程序化和規(guī)范化不僅可以使征管工作本身更加條理化、高效化,而且便于納稅對象更早的準(zhǔn)備納稅相關(guān)材料和需要繳納的稅金,減少或消除征管部門與納稅單位之間的矛盾,更好的服務(wù)于納稅單位。
二、通過信息化推動(dòng)稅收征管轉(zhuǎn)型的途徑
我國經(jīng)濟(jì)體量已經(jīng)躍居世界第二,但稅收征管信息化總體水平偏低,導(dǎo)致大量的稅源流失和稅收管理混亂。當(dāng)前,要實(shí)現(xiàn)稅收征管工作的轉(zhuǎn)型,必須充分利用現(xiàn)代利息手段提高稅務(wù)部門的管理效率,強(qiáng)化稅收征管的服務(wù)意識,拓展稅收監(jiān)控的功能。
(一)加強(qiáng)信息化建設(shè)
密切部門間聯(lián)系為了加強(qiáng)部門之間的聯(lián)系,強(qiáng)化稅收征管,減少稅源流失,我國頒布的稅收征管法以及稅收征管實(shí)施條例強(qiáng)調(diào),工商管理部門、公安部門、銀行等金融機(jī)構(gòu)、司法和海關(guān)等部門必須互相配合,共同做好稅收征管工作。現(xiàn)有的法規(guī)雖然強(qiáng)調(diào)了部門之間配合的必要性,但是這些部門之間應(yīng)該采取什么手段,如何實(shí)現(xiàn)有機(jī)的高度配合,實(shí)現(xiàn)信息資源共享,卻并沒有給出現(xiàn)成的答案。而信息化作為稅收征管信息的快速傳遞和處理渠道,具有天然的強(qiáng)化各部門之間的聯(lián)系,實(shí)現(xiàn)信息資源共享的功能。它為密切政府不同部門間的聯(lián)系,加強(qiáng)部門溝通,通過電子化處理納稅人信息資源在全國或區(qū)域范圍內(nèi)的順暢流通提供了可能,同時(shí)也為解決信息占有在部門間、部門和個(gè)人之間的不對稱提供了更多的條件。
(二)發(fā)揮信息優(yōu)勢
提高評估質(zhì)量稅收征管部門對納稅人履行納稅義務(wù)情況進(jìn)行稅務(wù)管理、提供納稅服務(wù)常用的有效手段之一是進(jìn)行納稅評估。科學(xué)性強(qiáng)、結(jié)構(gòu)合理、質(zhì)量優(yōu)異的納稅評估具有提高納稅遵從意識和高效實(shí)施征管監(jiān)控的功能,對完善稅收征管擴(kuò)大稅收來源具有直接的引導(dǎo)作用。而真實(shí)、及時(shí)、全面的信息是取得合理評估結(jié)果的前提。也就是說,只有掌握納稅人的資金周轉(zhuǎn)情況,了解其經(jīng)濟(jì)業(yè)務(wù)的實(shí)質(zhì),才能對其納稅申報(bào)和稅款的繳納進(jìn)行監(jiān)控。而信息化具有強(qiáng)大的信息集成和處理能力,稅收征管部門通過應(yīng)用現(xiàn)代信息技術(shù),建立不同行業(yè)納稅評估模型,實(shí)現(xiàn)納稅評估方法創(chuàng)新,將會(huì)對提高納稅評估質(zhì)量起到明顯的保障和推動(dòng)作用。
(三)發(fā)揮網(wǎng)絡(luò)功能
關(guān)鍵詞:稅收信息化;信息狀態(tài)安全;信息轉(zhuǎn)移安全;信息安全技術(shù)
從三個(gè)方面來考慮:首先是信息狀態(tài)安全,即稅務(wù)系統(tǒng)安全,要防止稅務(wù)系統(tǒng)中心的數(shù)據(jù)被攻擊者破壞。稅務(wù)系統(tǒng)要通過Internet對納稅人提供納稅便利,必須以一定的方式將它的數(shù)據(jù)中心開放,這對稅務(wù)系統(tǒng)本身帶來了很大的風(fēng)險(xiǎn)。其次是信息轉(zhuǎn)移安全,即服務(wù)安全,如納稅人識別號、口令、納稅金額等在傳輸中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保證稅務(wù)人員正確、安全的使用。本文主要針對以上前兩個(gè)方面也就是信息安全技術(shù)進(jìn)行研究。
一、信息狀態(tài)安全技術(shù)
信息狀態(tài)安全主要包括系統(tǒng)主機(jī)服務(wù)器安全、操作系統(tǒng)安全和數(shù)據(jù)庫安全三個(gè)方面。
(一)系統(tǒng)主機(jī)服務(wù)器安全(ServerSecurity)
服務(wù)器是存儲(chǔ)數(shù)據(jù)、處理請求的核心,因此服務(wù)器的安全性尤為重要。服務(wù)器的安全性主要涉及到服務(wù)器硬件設(shè)備自身的安全性防護(hù),對非法接觸服務(wù)器配件具有一定的保護(hù)措施,比如加鎖或密碼開關(guān)設(shè)置等;同時(shí),服務(wù)器需要支持大數(shù)據(jù)量及多線程存儲(chǔ)矩陣以滿足大數(shù)據(jù)量訪問的實(shí)時(shí)性和穩(wěn)定性,不會(huì)因?yàn)榇罅康脑L問導(dǎo)致服務(wù)器崩潰;服務(wù)器要能夠支持基于硬件的磁盤陣列功能,支持磁盤及磁帶的系統(tǒng)、數(shù)據(jù)備份功能,使得安裝在服務(wù)器上的操作系統(tǒng)和數(shù)據(jù)庫能夠在災(zāi)難后得到備份恢復(fù),保證服務(wù)器的不間斷運(yùn)行;服務(wù)器設(shè)備配件的高質(zhì)量及運(yùn)行可靠性也是服務(wù)器安全的非常重要的一個(gè)方面,這直接關(guān)系到服務(wù)器不間斷運(yùn)行的時(shí)間和網(wǎng)絡(luò)數(shù)據(jù)訪問的效率。
(二)操作系統(tǒng)安全(OperatingSystemSecurity)
設(shè)置操作系統(tǒng)就像為構(gòu)筑安全防范體系打好“地基”。
1.自主訪問控制(DiscretionaryAccessControl,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問。為實(shí)現(xiàn)完備的自主訪問控制,由訪問控制矩陣提供的信息必須以某種形式保存在稅務(wù)操作系統(tǒng)中。訪問控制矩陣中的每行表示一個(gè)主體,每列表示一個(gè)受保護(hù)的客體,矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個(gè)主體上都附加一個(gè)該主體可訪問的客體的明細(xì)表,根據(jù)表中信息的不同可分為三種形式:(1)權(quán)力表(CapabilitiesList),它決定是否可對客體進(jìn)行訪問以及可進(jìn)行何種模式的訪問。(2)前綴表(PrefixList),它包括受保護(hù)客體名以及主體對客體的訪問權(quán)。(3)口令(Password),主體對客體進(jìn)行訪問前,必須向稅務(wù)操作系統(tǒng)提供該客體的口令。對于口令的使用,建議實(shí)行相互制約式的雙人共管系統(tǒng)口令。
2.強(qiáng)制訪問控制(MandatoryAccessControl,MAC)。鑒于自主訪問控制不能有效的抵抗計(jì)算機(jī)病毒的攻擊,這就需要利用強(qiáng)制訪問控制來采取更強(qiáng)有力的訪問控制手段。在強(qiáng)制訪問控制中,稅務(wù)系統(tǒng)對主體和客體都分配一個(gè)特殊的一般不能更改的安全屬性,系統(tǒng)通過比較主體與客體的安全屬性來決定一個(gè)主體是否能夠訪問某個(gè)客體。稅務(wù)系統(tǒng)一般可采取兩種強(qiáng)制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個(gè)特權(quán)系統(tǒng)的功能調(diào)用,該功能依據(jù)用戶終端輸入的信息而不是靠另一個(gè)程序提供的信息來修改訪問控制信息。在確信用戶自己不會(huì)泄露文件的前提下,用這種方法可以消除偷改訪問控制信息的計(jì)算機(jī)病毒的威脅。(2)限制編程。鑒于稅務(wù)系統(tǒng)僅需要進(jìn)行事務(wù)處理,不需要任何編程的能力,可將用于應(yīng)用開發(fā)的計(jì)算機(jī)系統(tǒng)分離出去,完全消除用戶的編程能力。
3.安全核技術(shù)(SecurityKernelTechnology)。安全核是構(gòu)造高度安全的操作系統(tǒng)最常用的技術(shù)。該技術(shù)的理論基礎(chǔ)是:將與安全有關(guān)的軟件隔離在操作系統(tǒng)的一個(gè)可信核內(nèi),而操作系統(tǒng)的大部分軟件無須負(fù)責(zé)系統(tǒng)安全。稅務(wù)系統(tǒng)安全核技術(shù)要滿足三個(gè)原則:(1)完備性(Completeness),要求使主體必須通過引進(jìn)監(jiān)控器才能對客體進(jìn)行訪問操作,并使硬件支持基于安全核的系統(tǒng)。(2)隔離性(Isolation),要求將安全核與外部系統(tǒng)很好的隔離起來,以防止進(jìn)程對安全核的非法修改。(3)可驗(yàn)證性(Verifiability),要求無論采用什么方法構(gòu)造安全核,都必須保證對它的正確性可以進(jìn)行某種驗(yàn)證。
其他常見措施還有:信息加密、數(shù)字簽名、審計(jì)等,這些技術(shù)方法在數(shù)據(jù)庫安全等方面也可廣泛應(yīng)用,我們將在下面介紹。
(三)數(shù)據(jù)庫安全(DatabaseSecurity)
數(shù)據(jù)庫是信息化及很多應(yīng)用系統(tǒng)的核心,其安全在整個(gè)信息系統(tǒng)中是最為關(guān)鍵的一環(huán),所有的安全措施都是為了最終的數(shù)據(jù)庫上的數(shù)據(jù)的安全性。另外,根據(jù)稅務(wù)網(wǎng)絡(luò)信息系統(tǒng)中各種不同應(yīng)用系統(tǒng)對各種機(jī)密、非機(jī)密信息訪問權(quán)限的要求,數(shù)據(jù)庫需要提供安全性控制的層次結(jié)構(gòu)和有效的安全性控制策略。
數(shù)據(jù)庫的安全性主要是依靠分層解決的,它的安全措施也是一級一級層層設(shè)置的,真正做到了層層設(shè)防。第一層應(yīng)該是注冊和用戶許可,保護(hù)對服務(wù)器的基本存取;第二層是存取控制,對不同用戶設(shè)定不同的權(quán)限,使數(shù)據(jù)庫得到最大限度的保護(hù);第三層是增加限制數(shù)據(jù)存取的視圖和存儲(chǔ)過程,在數(shù)據(jù)庫與用戶之間建立一道屏障。基于上述數(shù)據(jù)庫層次結(jié)構(gòu)的安全體系,稅務(wù)網(wǎng)絡(luò)信息系統(tǒng)需要設(shè)置對機(jī)密和非機(jī)密數(shù)據(jù)的訪問控制:(1)驗(yàn)證(Authentication),保證只有授權(quán)的合法用戶才能注冊和訪問;(2)授權(quán)(Authorization),對不同的用戶訪問數(shù)據(jù)庫授予不同的權(quán)限;(3)審計(jì)(Auditing),對涉及數(shù)據(jù)庫安全的操作做一個(gè)完整的記錄,以備有違反數(shù)據(jù)庫安全規(guī)則的事件發(fā)生后能夠有效追查,再結(jié)合以報(bào)警(Alert)功能,將達(dá)到更好的效果。還可以使用數(shù)據(jù)庫本身提供的視圖和存儲(chǔ)過程對數(shù)據(jù)庫中的其他對象進(jìn)行權(quán)限設(shè)定,這樣用戶只能取得對視圖和存儲(chǔ)過程的授權(quán),而無法訪問底層表。視圖可以限制底層表的可見列,從而限制用戶能查詢的數(shù)據(jù)列的種類。二、信息轉(zhuǎn)移安全技術(shù)
信息轉(zhuǎn)移安全即網(wǎng)絡(luò)安全。為了達(dá)到保證網(wǎng)絡(luò)系統(tǒng)安全性的目的,安全系統(tǒng)應(yīng)具有身份認(rèn)證(IdentificationandAuthentication);訪問控制(AccessControl);可記賬性(Accountability);對象重用(ObjectReuse);精確性(Accuracy);服務(wù)可用性(AvailabilityofServices)等功能。
1.防火墻技術(shù)(FirewallTechnology)
為保證信息安全,防止稅務(wù)系統(tǒng)數(shù)據(jù)受到破壞,常用防火墻來阻擋外界對稅務(wù)局?jǐn)?shù)據(jù)中心的非法入侵。所謂防火墻,是一類防范措施的總稱,是指在受保護(hù)的企業(yè)內(nèi)聯(lián)網(wǎng)與對公眾開放的網(wǎng)絡(luò)(如Internet)之間設(shè)立一道屏障,對所有要進(jìn)入內(nèi)聯(lián)網(wǎng)的信息進(jìn)行分析或?qū)υL問用戶進(jìn)行認(rèn)證,防止有害信息和來自外部的非法入侵進(jìn)入受保護(hù)網(wǎng),并且阻止內(nèi)聯(lián)網(wǎng)本身某個(gè)節(jié)點(diǎn)上發(fā)生的非法操作以及有害數(shù)據(jù)向外部擴(kuò)散,從而保護(hù)內(nèi)部系統(tǒng)的安全。防火墻的實(shí)質(zhì)是實(shí)施過濾技術(shù)的軟件防范措施。防火墻可以分為不同類型,最常見的有基于路由器的IP層防火墻和基于主機(jī)的應(yīng)用層防火墻。兩種防火墻各有千秋,IP層防火墻對用戶透明性好,應(yīng)用層防火墻具有更大的靈活性和安全性。實(shí)踐中只要有資金許可,常常將兩種防火墻結(jié)合使用,以互相補(bǔ)充,確保網(wǎng)絡(luò)的安全。另外,還有專門用于過濾病毒的病毒防火墻,隨時(shí)為用戶查殺病毒,保護(hù)系統(tǒng)。
2.信息加密技術(shù)(InformationEncryptionTechnology)
信息加密包括密碼設(shè)計(jì)、密碼分析、密鑰管理、驗(yàn)證等內(nèi)容。利用加密技術(shù)可以把某些重要信息或數(shù)據(jù)從明文形式轉(zhuǎn)換成密文形式,經(jīng)過線路傳送,到達(dá)目的端用戶再把密文還原成明文。對數(shù)據(jù)進(jìn)行加密是防止信息泄露的有效手段。適當(dāng)?shù)脑黾用荑€的長度和更先進(jìn)的密鑰算法,可以使破譯的難度大大增加。具體有兩種加密方式:(1)私鑰加密體制(Secret-keyCryptography),即加密與解密時(shí)使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進(jìn)行分組,然后逐組加密。而序列密碼把明文符號立即轉(zhuǎn)換為密文符號,運(yùn)算速度更快,安全性更高。(2)公鑰加密體制(Public-keyCryptography),其加密密鑰與解密密鑰分為兩個(gè)不同的密鑰,一個(gè)用于對信息的加密,另一個(gè)用于對已加密信息的解密。這兩個(gè)密鑰是一對互相依賴的密鑰。
在傳輸過程中,只有稅務(wù)系統(tǒng)和認(rèn)證中心(AuthenticationCenter,AC)才有稅務(wù)系統(tǒng)的公開密鑰,只有納稅人和認(rèn)證中心才有納稅人的公開密鑰,在這種情況下,即使其他人得到了經(jīng)過加密后雙方的私有密鑰,也因?yàn)闊o法進(jìn)行解密而保證了私有密鑰的重要性,從而保證了傳輸文件的安全性。
3.信息認(rèn)證技術(shù)(InformationAuthenticationTechnology)
數(shù)字簽名技術(shù)(DigitalSignatureTechnology)。數(shù)字簽名可以證實(shí)信息發(fā)送者的身份以及信息的真實(shí)性,它具備不可偽造性、真實(shí)性、不可更改性和不可重復(fù)性四大特征。數(shù)字簽名是通過密碼算法對數(shù)據(jù)進(jìn)行加密、解密交換實(shí)現(xiàn)的,其主要方式是:信息發(fā)送方首先通過運(yùn)行散列函數(shù),生成一個(gè)欲發(fā)送報(bào)文的信息摘要,然后用所持有的私鑰對這個(gè)信息的摘要進(jìn)行加密以形成發(fā)送方的數(shù)字簽名,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。接收方在接收到信息后,首先運(yùn)行和發(fā)送方相同的散列函數(shù)生成接收報(bào)文的信息摘要,然后再用發(fā)送方的公開密鑰對報(bào)文所附的數(shù)字簽名進(jìn)行解密,產(chǎn)生原始報(bào)文的信息摘要,通過比較兩個(gè)信息摘要是否相同就可以確認(rèn)發(fā)送方和報(bào)文的正確性。
完整性認(rèn)證(IntegrityAuthentication)。完整性認(rèn)證能夠使既定的接收者檢驗(yàn)接收到的信息是否真實(shí)。常用的方法是:信息發(fā)送者在信息中加入一個(gè)認(rèn)證碼,經(jīng)加密后發(fā)送給接收者檢驗(yàn),接收者利用約定的算法對解密后的信息進(jìn)行運(yùn)算,將得到的認(rèn)證碼與收到的認(rèn)證碼進(jìn)行比較,若兩者相等,則接收,否則拒絕接收。
4.防病毒技術(shù)(Anti-virusTechnology)
病毒防范是計(jì)算機(jī)安全中最常見也是最容易被忽視的一環(huán)。我們建議采用由單機(jī)防毒和網(wǎng)絡(luò)防毒同時(shí)使用的這種防病毒措施,來最大限度地加強(qiáng)網(wǎng)絡(luò)端到端的防病毒架構(gòu),再加上防病毒制度與措施,就構(gòu)成了一套完整的防病毒體系。
參考文獻(xiàn):
[1]楊懷則.稅收信息化建設(shè)存在的問題及建議[J].草原稅務(wù),2002,(12):31-32.
[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.
[3]滕至陽.現(xiàn)代操作系統(tǒng)教程[M].北京:高等教育出版社,2000.
[4]陸楠.現(xiàn)代網(wǎng)絡(luò)技術(shù)[M].西安:西安電子科技大學(xué)出版社,2003.
一、信息狀態(tài)安全技術(shù)
信息狀態(tài)安全主要包括系統(tǒng)主機(jī)服務(wù)器安全、操作系統(tǒng)安全和數(shù)據(jù)庫安全三個(gè)方面。
(一)系統(tǒng)主機(jī)服務(wù)器安全(ServerSecurity)
服務(wù)器是存儲(chǔ)數(shù)據(jù)、處理請求的核心,因此服務(wù)器的安全性尤為重要。服務(wù)器的安全性主要涉及到服務(wù)器硬件設(shè)備自身的安全性防護(hù),對非法接觸服務(wù)器配件具有一定的保護(hù)措施,比如加鎖或密碼開關(guān)設(shè)置等;同時(shí),服務(wù)器需要支持大數(shù)據(jù)量及多線程存儲(chǔ)矩陣以滿足大數(shù)據(jù)量訪問的實(shí)時(shí)性和穩(wěn)定性,不會(huì)因?yàn)榇罅康脑L問導(dǎo)致服務(wù)器崩潰;服務(wù)器要能夠支持基于硬件的磁盤陣列功能,支持磁盤及磁帶的系統(tǒng)、數(shù)據(jù)備份功能,使得安裝在服務(wù)器上的操作系統(tǒng)和數(shù)據(jù)庫能夠在災(zāi)難后得到備份恢復(fù),保證服務(wù)器的不間斷運(yùn)行;服務(wù)器設(shè)備配件的高質(zhì)量及運(yùn)行可靠性也是服務(wù)器安全的非常重要的一個(gè)方面,這直接關(guān)系到服務(wù)器不間斷運(yùn)行的時(shí)間和網(wǎng)絡(luò)數(shù)據(jù)訪問的效率。
(二)操作系統(tǒng)安全(OperatingSystemSecurity)
設(shè)置操作系統(tǒng)就像為構(gòu)筑安全防范體系打好“地基”。
1.自主訪問控制(DiscretionaryAccessControl,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問。為實(shí)現(xiàn)完備的自主訪問控制,由訪問控制矩陣提供的信息必須以某種形式保存在稅務(wù)操作系統(tǒng)中。訪問控制矩陣中的每行表示一個(gè)主體,每列表示一個(gè)受保護(hù)的客體,矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個(gè)主體上都附加一個(gè)該主體可訪問的客體的明細(xì)表,根據(jù)表中信息的不同可分為三種形式:(1)權(quán)力表(CapabilitiesList),它決定是否可對客體進(jìn)行訪問以及可進(jìn)行何種模式的訪問。(2)前綴表(PrefixList),它包括受保護(hù)客體名以及主體對客體的訪問權(quán)。(3)口令(Password),主體對客體進(jìn)行訪問前,必須向稅務(wù)操作系統(tǒng)提供該客體的口令。對于口令的使用,建議實(shí)行相互制約式的雙人共管系統(tǒng)口令。
2.強(qiáng)制訪問控制(MandatoryAccessControl,MAC)。鑒于自主訪問控制不能有效的抵抗計(jì)算機(jī)病毒的攻擊,這就需要利用強(qiáng)制訪問控制來采取更強(qiáng)有力的訪問控制手段。在強(qiáng)制訪問控制中,稅務(wù)系統(tǒng)對主體和客體都分配一個(gè)特殊的一般不能更改的安全屬性,系統(tǒng)通過比較主體與客體的安全屬性來決定一個(gè)主體是否能夠訪問某個(gè)客體。稅務(wù)系統(tǒng)一般可采取兩種強(qiáng)制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個(gè)特權(quán)系統(tǒng)的功能調(diào)用,該功能依據(jù)用戶終端輸入的信息而不是靠另一個(gè)程序提供的信息來修改訪問控制信息。在確信用戶自己不會(huì)泄露文件的前提下,用這種方法可以消除偷改訪問控制信息的計(jì)算機(jī)病毒的威脅。(2)限制編程。鑒于稅務(wù)系統(tǒng)僅需要進(jìn)行事務(wù)處理,不需要任何編程的能力,可將用于應(yīng)用開發(fā)的計(jì)算機(jī)系統(tǒng)分離出去,完全消除用戶的編程能力。
3.安全核技術(shù)(SecurityKernelTechnology)。安全核是構(gòu)造高度安全的操作系統(tǒng)最常用的技術(shù)。該技術(shù)的理論基礎(chǔ)是:將與安全有關(guān)的軟件隔離在操作系統(tǒng)的一個(gè)可信核內(nèi),而操作系統(tǒng)的大部分軟件無須負(fù)責(zé)系統(tǒng)安全。稅務(wù)系統(tǒng)安全核技術(shù)要滿足三個(gè)原則:(1)完備性(Completeness),要求使主體必須通過引進(jìn)監(jiān)控器才能對客體進(jìn)行訪問操作,并使硬件支持基于安全核的系統(tǒng)。(2)隔離性(Isolation),要求將安全核與外部系統(tǒng)很好的隔離起來,以防止進(jìn)程對安全核的非法修改。(3)可驗(yàn)證性(Verifiability),要求無論采用什么方法構(gòu)造安全核,都必須保證對它的正確性可以進(jìn)行某種驗(yàn)證。
其他常見措施還有:信息加密、數(shù)字簽名、審計(jì)等,這些技術(shù)方法在數(shù)據(jù)庫安全等方面也可廣泛應(yīng)用,我們將在下面介紹。
(三)數(shù)據(jù)庫安全(DatabaseSecurity)
數(shù)據(jù)庫是信息化及很多應(yīng)用系統(tǒng)的核心,其安全在整個(gè)信息系統(tǒng)中是最為關(guān)鍵的一環(huán),所有的安全措施都是為了最終的數(shù)據(jù)庫上的數(shù)據(jù)的安全性。另外,根據(jù)稅務(wù)網(wǎng)絡(luò)信息系統(tǒng)中各種不同應(yīng)用系統(tǒng)對各種機(jī)密、非機(jī)密信息訪問權(quán)限的要求,數(shù)據(jù)庫需要提供安全性控制的層次結(jié)構(gòu)和有效的安全性控制策略。
數(shù)據(jù)庫的安全性主要是依靠分層解決的,它的安全措施也是一級一級層層設(shè)置的,真正做到了層層設(shè)防。第一層應(yīng)該是注冊和用戶許可,保護(hù)對服務(wù)器的基本存取;第二層是存取控制,對不同用戶設(shè)定不同的權(quán)限,使數(shù)據(jù)庫得到最大限度的保護(hù);第三層是增加限制數(shù)據(jù)存取的視圖和存儲(chǔ)過程,在數(shù)據(jù)庫與用戶之間建立一道屏障。基于上述數(shù)據(jù)庫層次結(jié)構(gòu)的安全體系,稅務(wù)網(wǎng)絡(luò)信息系統(tǒng)需要設(shè)置對機(jī)密和非機(jī)密數(shù)據(jù)的訪問控制:(1)驗(yàn)證(Authentication),保證只有授權(quán)的合法用戶才能注冊和訪問;(2)授權(quán)(Authorization),對不同的用戶訪問數(shù)據(jù)庫授予不同的權(quán)限;(3)審計(jì)(Auditing),對涉及數(shù)據(jù)庫安全的操作做一個(gè)完整的記錄,以備有違反數(shù)據(jù)庫安全規(guī)則的事件發(fā)生后能夠有效追查,再結(jié)合以報(bào)警(Alert)功能,將達(dá)到更好的效果。還可以使用數(shù)據(jù)庫本身提供的視圖和存儲(chǔ)過程對數(shù)據(jù)庫中的其他對象進(jìn)行權(quán)限設(shè)定,這樣用戶只能取得對視圖和存儲(chǔ)過程的授權(quán),而無法訪問底層表。視圖可以限制底層表的可見列,從而限制用戶能查詢的數(shù)據(jù)列的種類。
二、信息轉(zhuǎn)移安全技術(shù)
信息轉(zhuǎn)移安全即網(wǎng)絡(luò)安全。為了達(dá)到保證網(wǎng)絡(luò)系統(tǒng)安全性的目的,安全系統(tǒng)應(yīng)具有身份認(rèn)證(IdentificationandAuthentication);訪問控制(AccessControl);可記賬性(Accountability);對象重用(ObjectReuse);精確性(Accuracy);服務(wù)可用性(AvailabilityofServices)等功能。
1.防火墻技術(shù)(FirewallTechnology)
為保證信息安全,防止稅務(wù)系統(tǒng)數(shù)據(jù)受到破壞,常用防火墻來阻擋外界對稅務(wù)局?jǐn)?shù)據(jù)中心的非法入侵。所謂防火墻,是一類防范措施的總稱,是指在受保護(hù)的企業(yè)內(nèi)聯(lián)網(wǎng)與對公眾開放的網(wǎng)絡(luò)(如Internet)之間設(shè)立一道屏障,對所有要進(jìn)入內(nèi)聯(lián)網(wǎng)的信息進(jìn)行分析或?qū)υL問用戶進(jìn)行認(rèn)證,防止有害信息和來自外部的非法入侵進(jìn)入受保護(hù)網(wǎng),并且阻止內(nèi)聯(lián)網(wǎng)本身某個(gè)節(jié)點(diǎn)上發(fā)生的非法操作以及有害數(shù)據(jù)向外部擴(kuò)散,從而保護(hù)內(nèi)部系統(tǒng)的安全。防火墻的實(shí)質(zhì)是實(shí)施過濾技術(shù)的軟件防范措施。防火墻可以分為不同類型,最常見的有基于路由器的IP層防火墻和基于主機(jī)的應(yīng)用層防火墻。兩種防火墻各有千秋,IP層防火墻對用戶透明性好,應(yīng)用層防火墻具有更大的靈活性和安全性。實(shí)踐中只要有資金許可,常常將兩種防火墻結(jié)合使用,以互相補(bǔ)充,確保網(wǎng)絡(luò)的安全。另外,還有專門用于過濾病毒的病毒防火墻,隨時(shí)為用戶查殺病毒,保護(hù)系統(tǒng)。
2.信息加密技術(shù)(InformationEncryptionTechnology)
信息加密包括密碼設(shè)計(jì)、密碼分析、密鑰管理、驗(yàn)證等內(nèi)容。利用加密技術(shù)可以把某些重要信息或數(shù)據(jù)從明文形式轉(zhuǎn)換成密文形式,經(jīng)過線路傳送,到達(dá)目的端用戶再把密文還原成明文。對數(shù)據(jù)進(jìn)行加密是防止信息泄露的有效手段。適當(dāng)?shù)脑黾用荑€的長度和更先進(jìn)的密鑰算法,可以使破譯的難度大大增加。具體有兩種加密方式:(1)私鑰加密體制(Secret-keyCryptography),即加密與解密時(shí)使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進(jìn)行分組,然后逐組加密。而序列密碼把明文符號立即轉(zhuǎn)換為密文符號,運(yùn)算速度更快,安全性更高。(2)公鑰加密體制(Public-keyCryptography),其加密密鑰與解密密鑰分為兩個(gè)不同的密鑰,一個(gè)用于對信息的加密,另一個(gè)用于對已加密信息的解密。這兩個(gè)密鑰是一對互相依賴的密鑰。
在傳輸過程中,只有稅務(wù)系統(tǒng)和認(rèn)證中心(AuthenticationCenter,AC)才有稅務(wù)系統(tǒng)的公開密鑰,只有納稅人和認(rèn)證中心才有納稅人的公開密鑰,在這種情況下,即使其他人得到了經(jīng)過加密后雙方的私有密鑰,也因?yàn)闊o法進(jìn)行解密而保證了私有密鑰的重要性,從而保證了傳輸文件的安全性。
3.信息認(rèn)證技術(shù)(InformationAuthenticationTechnology)
數(shù)字簽名技術(shù)(DigitalSignatureTechnology)。數(shù)字簽名可以證實(shí)信息發(fā)送者的身份以及信息的真實(shí)性,它具備不可偽造性、真實(shí)性、不可更改性和不可重復(fù)性四大特征。數(shù)字簽名是通過密碼算法對數(shù)據(jù)進(jìn)行加密、解密交換實(shí)現(xiàn)的,其主要方式是:信息發(fā)送方首先通過運(yùn)行散列函數(shù),生成一個(gè)欲發(fā)送報(bào)文的信息摘要,然后用所持有的私鑰對這個(gè)信息的摘要進(jìn)行加密以形成發(fā)送方的數(shù)字簽名,這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。接收方在接收到信息后,首先運(yùn)行和發(fā)送方相同的散列函數(shù)生成接收報(bào)文的信息摘要,然后再用發(fā)送方的公開密鑰對報(bào)文所附的數(shù)字簽名進(jìn)行解密,產(chǎn)生原始報(bào)文的信息摘要,通過比較兩個(gè)信息摘要是否相同就可以確認(rèn)發(fā)送方和報(bào)文的正確性。
完整性認(rèn)證(IntegrityAuthentication)。完整性認(rèn)證能夠使既定的接收者檢驗(yàn)接收到的信息是否真實(shí)。常用的方法是:信息發(fā)送者在信息中加入一個(gè)認(rèn)證碼,經(jīng)加密后發(fā)送給接收者檢驗(yàn),接收者利用約定的算法對解密后的信息進(jìn)行運(yùn)算,將得到的認(rèn)證碼與收到的認(rèn)證碼進(jìn)行比較,若兩者相等,則接收,否則拒絕接收。
4.防病毒技術(shù)(Anti-virusTechnology)
病毒防范是計(jì)算機(jī)安全中最常見也是最容易被忽視的一環(huán)。我們建議采用由單機(jī)防毒和網(wǎng)絡(luò)防毒同時(shí)使用的這種防病毒措施,來最大限度地加強(qiáng)網(wǎng)絡(luò)端到端的防病毒架構(gòu),再加上防病毒制度與措施,就構(gòu)成了一套完整的防病毒體系。
參考文獻(xiàn):