内容摘要:
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征致使网络易受各种各样的攻击。电子税务的纵深开展,使得税务网络同样暴露在易受攻击的网络环境中。怎样才能确保电子税务安全顺利运行,是摆在众多税务技术人员面前的重要问题。
关键字:电子税务信息安全病毒防护
进入21世纪后,随着信息技术的迅猛发展,特别是互联网技术的普及应用,使电子政务的发展成为当代信息化的最重要的领域之一。目前,我国各级政府已悄然兴起一股电子政务热,同世界各国一样,我国也将电子税务作为电子政务的启动工程。
一、电子税务的概念及内涵
所谓税务系统的电子政务,就是税务机关应用现代信息和通信技术,将管理和服务通过网络技术进行集成,上网实现组织结构和工作流程的优化重组,超越时间和空间及部门之间的分隔限制,向社会提供优质和全方位的、规范而透明的、符合国际水准的管理和服务。简言之,税务电子政务就是利用现有的IT技术进行涉税事项和行政管理。政府电子政务的主要对象是G2G(政府-政府),B2G(企业-政府)、C2G(公众-政府)G2B(政府-企业)、G2C(政府-公众)。作为一个重要分支,税务系统电子政务所服务和监管的对象自然就是"税务-税务"、"税务-纳税人"、"税务-政府"、"税务-工商、海关等"。其内涵是电子政务必须借助于信息技术,处理的是与税收有关的公共事务,但并不等于简单地将传统的管理事务原封不动地搬到网络上,而是进行组织的业务重组和流程再造;也就是要运用现代信息技术打破原有的组织机构界限,构建一个电子化的虚拟组织,使得人们可以从不同的渠道获取信息和服务,而不是传统的经过层层关卡,书面审核的作业方式。同时,税务电子政务既有别于税收信息化建设,却又密可分。当前,税收信息化建设的工作重点是在"一体化"的原则下打基础、抓应用,实现的目标是实现信息集中与信息共享,而电子政务则是在税收信息化建设的基础上实现税务部门之间及其与公众间进行双向的信息交换,及时传递信息。
二、税务信息安全
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。作为国家的重要金融部门,每天要传输总多敏感数据的税务网络的安全和保密是一个至关重要的问题。
随着金税工程一期、二期在全国的成功推行,金税工程三期也在紧锣密鼓的建设中。与主要监控增值税专用发票不同,金税工程三期征管业务系统(CTAIX)包括七个子系统:管理、征收、稽查、处罚、执行、救济和监控等,不仅将全面实现全国各级国、地税间的信息共享、统一管理,还将与工商、银行、海关、外贸、质监、公安等部门的联网运行。税务征管系统的全面上网可以最大限度的杜绝个别人“做文章”、“动手脚”,保证国家的税收。但却面临着另一个难题:“电子税务的安全”。安全问题并非税务信息化进程中独有,所有涉及网络的应用与交易都不可避免地存在着攻击与防护的较量。然而因为税务征管关系重大,因此安全问题就极为的突出。
三、目前国税网络所面临的安全问题
(一)网络结构安全风险
省级税务局网络系统是一个覆盖全省的大型广域网络,它包含省局机关内部局域网、省市县三级内联网、以及与税务内联网完全物理隔离的公共网络三个部分。其中,国税网络与Internet网连通之后,可能遭受到来自多方面的恶意攻击。我认为现有的的网络结构在安全性方面存在以下三大类问题:
1、第一类来自公网的安全隐患
(1)所有的内部网络都直接或间接和公网连接。国税局的某些服务器分配了公网地址,可以被外界毫无限制地访问。任何来自城域网的用户都可以对这些服务器进行攻击,极易对服务器产生破坏。
(2)由于需要开放一些内外网都能使用的服务器和服务端口,如邮件、WEB、FTP、TELNET等,就给企图入侵者留下了进入内部网络的直接通道。攻击者可以通过这些对外开放的服务端口直接攻击其它未对外开放的服务器,也可以通过这些TCP/IP服务的不安全因素,取得在这些服务器上的更高的权限,并进一步攻击内部网的其它服务器。
2、第二类来自各级国税机关网络内部的安全隐患
这种网络结构没有考虑到来自内部的攻击风险。在该网络结构中,各种数据库服务器、应用服务器、WEB服务器、网管工作站等重要的服务器和主机都是通过交换机直接与各部门的办公子网连接的,内部员工对这些服务器可以很容易实施攻击。虽然在交换机上可以通过配置提供一些安全保证,但是其强度是不足的。现在的黑客攻击工具在网络上泛滥成灾,任何一个稍微有点计算机操作能力的人员都可以利用这些工具进行攻击。同时,内部员工往往对内部一些信息更感兴趣(如财务状况、人事调整信息等),更容易发生攻击行为,而且由于他们熟悉内部的情况,其攻击行为更容易取得成功。据权威数据表明,有97%的攻击是来自内部攻击和内外勾结的攻击,而且内部攻击成功的概率要远远高于来自于Internet的攻击,造成的后果也严重的多。
此外,内部无意损坏也是国税网的安全隐患。一是操作员的安全意识不强,用户口令选择不慎,或者将自己的账号随意转借他人,使软件中的权限管理形同虚设;二是操作员安全配置不当造成安全漏洞;三是随意共享计算机而又不设置相应安全权限;四是随意下载不明程序等都对网络安全带来威胁。
3、第三类来自远程接入单位的安全隐患
金融、工商、海关等这一类单位通过多种方式接入到网络中来,包括DDN专线,PSTN线路,光纤等。这些接入都属于远程,在某种意义上和第一类的类似,所以需要另外使用防火墙作为接入的安全屏障。
(二)系统安全风险
上面从网络结构方面论述了来自外部以及税务局内部的安全风险。这里,我们再从具体的对应用系统的安全威胁来看,此类安全威胁可以分为两类:
(1)如果攻击者(外部普通人员)对网络结构和系统应用模式缺乏了解,那么主要通过对应用服务器进行系统攻击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取重要数据;在现在通用的三层结构(数据库服务器-应用服务器-应用客户端)中,通过对数据库服务器的重点保护,可以防止大多数攻击。
(2)如果攻击者(内部员工)了解了网络结构和系统应用模式,直接通过对应用模式的攻击,获取单位机密信息,这些攻击包括:
①非法用户获取应用系统的合法用户账号和口令,访问应用系统;
②用户通过系统的合法用户账号,利用系统的BUG,访问其授权范围以外的信息;
③攻击者通过应用系统存在的后门和隐通道(如隐藏的超级用户账号、非公开的系统访问途径等),从应用服务器或数据库服务器获取数据;
④在数据传输过程中,通过窃听等方式获取数据包,通过分析、整合,获取机密信息。这类攻击主要来源于国税局内部,包括通过授权使用应用系统的人员,开发、维护这些应用系统的人员等。
四、安全措施
随着经济的飞速发展,电子税务的纵深开展,各地国税系统担当着为国聚财的重任,如果网络出现问题,势必会影响税款正常征收,造成损失不良社会影响。而今,电脑病毒日益猖獗,网络病毒开始大面积思肆虐,一些网络病毒的变种纷纷涌现,而且这些病毒的隐蔽特性越来越强,对网络的威胁性也越来越大,因此如何进行网络病毒防护,保障各级国税网的安全已经成为税务保障工作的重要一环。
(一)多项措施确保网络安全
安装硬件防火墙等硬件设备安装。配置全状态检测型防火墙,对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,防火墙能够有效地判断出各层中的非法侵入并加以阻断。由于现在病毒都具有攻击性,因此选择抗攻击性能好的防火墙尤为重要。
安装网络防病毒软件。网络防病毒方案主要是采用分布式防病毒体系作为整个防病毒管理架构。通过安装,防病毒软件能够对整个网络实行分级管理、多重防护策略,为税务网建立起一个完善的防病毒体系,以达到维护网络安全的目的。各省税务机关购买了一些专业杀毒软件。江苏省国税局2003年购买了VRV2003年版的杀毒引擎,河北省地方税务局也与2003年与瑞星签定购买合同,将瑞星2003网络版作为主要的防毒产品。
数据存储和容灾备份系统。灾难。地震、火灾、不稳定电压等都可能对设备或数据造成无法挽回的损失。采取多种形式的数据备份。作为一种主动的防范措施,建立完善的备份是非常必要的。国税系统中数据量很大(包括征管数据、稽查稽核数据、办公自动化OA数据、金税工程数据),处理起来很繁琐,稍有差池可能会造成数据丢失。因此各级税务机关都根据需要选择专门的机器来进行备份。比如我们县级国税机关就是每周备份一次,并将备份好的数据传到FTP服务器中。
(二)科学管理保障网络安全
关于网络安全,TI业流传这样一句话“三分技术,七分管理”。安全技术和安全产品仅仅是为信息网络实施安全管理提供了技术层面的手段,而这些技术和产品能否起到其应有的作用,更大程度取决与对这些安全技术的应用,对安全产品的配置,以及在网络应用环境下硬件设备、软件系统和用户等各种综合因素的作用。因此,我们还要做到:
加强系统管理,提高安全意识,养成良好的安全工作习惯。一是定期对服务器进行安全检查,发现其中的安全漏洞,并及时进行修补。二是禁止从软盘、光驱引导。从软盘、光驱引导,不仅能传播计算机病毒,还可以使一些安全措施形同虚设。三是在CMOS中设置开机口令。开机口令,只要不是太简单,在开机时被攻破几乎是不可能的,而且要攻击开机口令必须在本机上才能进行。四是设置屏幕保护口令。当不使用机器时,屏幕保护口令不仅能保持工作现场,还能有效地防止非授权者使用自己的计算机,避免对计算机的安全构成威胁。五是使用安全性较高的数据格式。六是尽量少将应用程序设置成自动登录。七是使用工作日志和网络运行日志,通过日志发现故障和隐患,找出解决办法。
加强培训,提高安全管理员的业务水平。安全管理员水平的高低在某种程度上对系统的安全性有着决定性的影响。
加强制度建设和落实。确定安全管理等级和安全管理范围,制定网络操作使用规程和人员出入机房管理制度,制定完善的数据备份策略,制定网络系统的维护制度和应急措施等。
参考文献:
武家麟《让数据备份更可靠高效》赛迪网-中国计算机报
安全话题:物理隔离功能以及实现技术分析国家计算机网络应急技术处理协调中心-中网
从网络全局着眼建立安全的体系防范拒绝服务攻击国家计算机网络应急技术处理协调中心-瑞星网
《网络安全发展的趋势》网络安全信息网