网络安全工作调研报告(税务)

网络安全工作调研报告(税务)

网络技术在税收工作中的普及，固然大为方便纳税人申报纳税和税务机关信息采集，但是也对网络安全问题提出了严竣挑战。目前，税务部门对于网络安全主要还是从技术角度予以防范。技术因素诚然非常重要，但是也应看到，人员素质问题是任何技术手段都无法解决的。然而，信息系统的直接使用者始终是最终用户，具体到税务部门，最重要的使用者当然是面向广大纳税人的办税服务厅工作人员。办税服务厅出现任何网络安全问题，都可能造成无法想象的后果。有鉴于此，本文拟对唐山地税系统办税服务厅网络安全现状进行分析，并提出加强办税务服务厅网络安全工作的若干建议。

一、办税服务厅网络安全现状

国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全防范的重点一是计算机病毒，二是黑客犯罪。

办税服务厅是税务机关同纳税人、扣缴义务人发生交互业务的重要窗口，直接负责企业财务数据信息采集、纳税人网上报税服务支持以及个人所得收入明细表接收等信息交换事项。由于工作关系，办税人员通过办税服务窗口，完全可能通过技术手段直接或间接接触税收征管系统及税务机关内部网络。假如办税人员提供的存储介质存在安全隐患（例如带有未知木马程序）或者某些不法分子蓄意利用办税服务厅侵入税务内部网络，办税服务厅工作人员是否具备足够的网络安全意识和相应技术防范手段，就成为决定税务机关网络安全度的关键因素。

必须指出，各级税务机关信息工作人员为税务网络安全已经做了大量工作，这一点不容否认。但是，目前办税服务厅网络安全工作的现状仍然令人堪忧，在下列方面，明显存在不安全因素：

（一）忽视U盘等传递介质隐患造成的系统危险。就当前情况来看，相当一部分数据业务需要纳税人通过U盘等传递介质报送，但这种数据传递方式存在明显安全隐患。2021年2月份，国家计算机病毒应急处理中心曾发出警告，U盘已成为病毒和木马程序传播的最主要途径之一。江西省计算机用户协会最近的抽样调查显示，常用U盘有病毒的比例逼近80％。U盘已被信息安全业内人士视为电脑安全的头号杀手。利用U盘进行数据传递，有可能导致各种计算机病毒和木马程序侵入办税服务厅受理业务的计算机，从而侵入税收信息系统，造成外网与内网的非法数据传送，发生信息泄露，降低网络运行速度，甚至导致微机操作系统瘫痪。

（二）办税服务厅为纳税人网上报税提供支持服务造成的危险。目前，河北地税系统在办税服务厅开展的网上报税支持服务共有两种方式：一是在办税服务厅配备专门微机用于纳税人登陆因特网申报纳税；二是专门在内网设立报税网站，纳税人直接登陆地税内网申报纳税。

在第一种情况下，办税服务厅人员有可能利用工作闲暇时间使用因特网。由于内外网之间相互隔离，相当一部分工作人员会使用U盘之类传输介质在因特网上下载歌曲、软件和其他数据。这样就可能导致上文已经指出的U盘交互使用危险。

在第二种情况下，企业办税人员可以自由进入内网，甚至可以直接使用局域网内相邻计算机共享资源。在这种情况下，事实上内网已经无隔离地暴露在办税人员面前。冒充办税人员直接进入内网就成为黑客最简单、最直接的破坏手段。

（三）办税服务厅工作人员网络安全防患意识有待提高。根据我们调查，目前办税服务厅工作人员网络安全防患素质令人堪忧。办税服务厅工作人员普遍没有定期杀毒习惯，普遍没有设置开机密码，大多数不清楚黑客常见攻击途径，大多数对于光盘、U盘等外来传递介质警惕性不足，甚至还有一部分办税服务厅工作人员使用盗版游戏软件擅自安装电脑游戏。

（四）后台配套工作不够完善。由于与因特网的物理隔离，内网统一使用的瑞星防病毒软件无法做到及时升级。微软为Win〔…〕P操作系统、Office办公软件提供的安全补丁根本无从下载。特别应该指出，统计数据表明，目前国内木马的感染量已经达到总病毒的90%，且有愈演愈烈的趋势。由于反病毒软件对木马和钓鱼之类程序防范力普遍较弱，木马专杀工具对于维护网络安全具有重要意义；而系统内尚不具备可靠性较高的木马专杀工具。事实上，甚至可以认为内网计算机对于黑客攻击手段几乎不具备抵御能力。一旦发生黑客攻击事件，后果是不堪设想的。

税务数据安全度高度敏感，较之其他单位，税务部门对于网络安全更应予以高度重视。正因如此，当前办税服务厅网络安全现状亟待改观。

二、问题原因及对策分析

导致办税服务厅网络安全隐患的原因是多方面的。笔者认为最直接的原因集中于以下方面：

首先，税务信息系统解决方案尚不完善。目前，税务系统征管改革仍然处于摸索之中。征管模式的不断变化加之信息技术本身的迅猛发展，决定了我们不可能建立一套一劳永逸的完美税务信息系统解决方案。不仅如此，个别软件的上马，可能根本来不及进行安全论证。例如，河北地税系统正在使用的个人所得税软件，开发于网络申报纳税系统之前，并未预留网络申报接口。这样，纳税人至今仍然使用U盘等介质向税务部门办理个人所得税代扣代缴申报。其实，从技术角度来看，这一问题本来并不难解决。又如，就信息安全的一般原则而言，内网和外网在物理层必须严格断开，系统外人员不得访问内部网络。但是由于种种原因，一些地区的办税服务厅允许纳税人直接通过内网报税，而且提供给办税人员使用的是配备USB接口、光驱、软驱等设备的完整终端。这一做法事实上为企图入侵内网的非法访问者提供了足够的物质手段，无异于高悬于地税信息系统之上的达摩克利斯之剑。

其次，网络安全制度不够健全。众所周知，良好的制度对于工作习惯、人员素质、良性环境的培养具有不容忽视的重要意义。多年以来，税务部门之所以在票证问题上出现的问题少之又少，恰恰是因为存在一套严格的票证保管使用和审核制度。但是，在网络安全问题上，税务部门至今尚未形成一套完整有效的制度措施。一些零星规定，由于缺乏相应的考核和奖惩措施，实际上并未得到落实。经验表明，在缺乏有效制度的前提下，片面依靠个人自觉是很难指望网络安全现状能够有效改善的。

最后，办税服务厅人员素质尚有欠缺。在提高信息化支撑能力，加强网络安全的进程中，人的因素始终是第一位的。目前，办税服务厅人员普遍没有经过相关的培训，工作经验有待积累，工作技能尚需提升，网络安全意识有待加强，安全防范技术掌握不够。无可讳言，真正具有较高计算机水平的人员并不多，既精通计算机技术又熟悉