前言:中文期刊网精心挑选了税务信息安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
税务信息安全范文1
税务信息是国家税务决策、税收计划制定与调整的重要依据,是税务机关税收征管工作的必要支撑,也是纳税人信息权利的核心内容,因而其安全管理具有重要意义。税务信息安全管理有利于维护并促进国家职能的实现。税收是实现国家宏观调控职能的重要手段,而这一手段必须借助和运用税务信息才能达到。因为税务信息管理一方面能使信息正确地反映经济税源和税收进度情况,为制定国民经济和社会发展计划及调整国民经济结构提供可靠依据。另一方面,可了解纳税人的经济活动状况,并掌握国民经济发展变化情况,鉴定税收政策与经济发展需要是否相适应,以便迅速做出明智的决策,有效地发挥税收调节经济的作用。换言之,如果税务信息安全无法得到保障的话,既无法实现税收为国家筹集财政收入的职能,也将使国家以税收进行宏观调控经济的政策大打折扣,影响经济与社会的发展。税务信息安全管理有利于税务机关税收征管的现代化。税务信息安全管理是税收征管的组成部分,正确、及时、安全的税务信息是把握财政发展和税务管理客观规律的钥匙,有利于实现税务管理科学化、现代化,使税务管理工作从经验走向科学,以适应社会和经济形势发展对税务管理的要求;有利于提高税务管理水平和税务管理效率,做到努力开发税源,尽力足额征收,增加税收收入;有利于提高税务管理队伍的素质,强化信息意识,掌握信息技术,开展税务管理工作,适应社会主义市场经济体制下的税务管理需要。税务信息安全管理有利于纳税人权利的保障。从纳税人角度而言,税收是纳税人根据法律的规定及程序向税务机关提供纳税申报资料并缴纳税款的过程。在此过程中,不论是纳税人提供的纳税申报资料,还是税务机关依法定职权收集的信息,不可避免的会涉及到纳税人的商业秘密(客户资料、销购价格、专利技术等),正常生产经营信息(生产经营范围、工商税务登记证件号等),个人隐私(个人及家庭身份信息、社会关系等),涉税负面信息(欠税记录、税务处罚信息等),一旦这些信息的泄露不仅会对企业的正常经营带来严重影响,而且还会给个人和家庭生活带来恶性干扰,甚至还有可能引起诈骗和金融犯罪。因此,税务信息安全管理是纳税人权利的重要保障。
2基层税务信息安全管理的难题
2.1基层税务信息安全管理存在的风险
信息技术飞速发展,尤其是大数据时代的到来,基层税务信息安全技术管理风险与日俱增。科学技术水平日新月异,移动互联网、虚拟化、云技术、大数据应用等新技术层出不强。此类技术的应用对于专业技术的要求较高,安全保障措施也较为严密,但现有的税务信息安全管理的软硬件、制度、顶层设计、税务人员素质、社会要求等方面无法适应其方便、快捷、高效的特点,使得税务信息暴露在数据的海洋,极易造成信息被盗取、被非法病毒所侵入,税务信息安全技术管理必然风险激增。改革不断深化,尤其是简政放权要求逐步提高,基层税务信息安全行政管理风险突飞猛进。全面深化改革的推进,行政管理被要求回归理性简政放权,实现由权力管制到权利治理,基层税务部门必然面临着工作重心后移及执法风险加大的交汇压力,后续管理将成为税务部门工作的一种常态。税务管理信息化是保证后续管理科学、有效、规范进行的基本方式且根本保障,而税务信息安全管理是税务管理信息化的基础,是故税务信息安全管理必然成为税收征收与管理过程的基础和支撑。税务管理信息化下税务信息不论是频率还是数量均不断提高,数量和质量相生相克,前者的增多必然导致后者的下降,税务信息安全行政管理风险骤升。依法治税加强,尤其是纳税人权利意识的觉醒,基层税务信息安全管理涉纷风险不断提高。随着经济、社会以及文化的不断发展,纳税人权利意识在不断觉醒,私权保护、正当程序、公平正义成为了普遍诉求。纳税人信息是税务信息安全管理的重要内容之一,包含着巨大的商业价值,税务机关在采集、保管和使用纳税人信息过程中往往由于安全措施不到位而导致纳税人权利受到损害事件时有发生,甚至诱发违法犯罪。近些年来,由于税务信息安全管理不善带来的税务纠纷呈水涨船高之势,纳税人诉诸法律途径的越来越多,基层税务部门涉议、涉诉风险不断提高。
2.2基层税务信息安全管理面临的困境
2.2.1税务信息安全管理意识淡薄
税务管理信息化在我国方兴未艾,关于税务信息安全的理解、保护方法、风险防范手段等社会所知甚微。就税务部门而言,大部分基层税务工作人员对于税务信息安全管理是什么、税务信息安全管理意义是什么、怎样实现税务信息安全管理等内容的认识与理解存在偏差,主观地认为税务信息安全与税务部门的核心业务无关,是一种简单的信息存储与传输,意义不大。甚至是一提到税务信息安全,不少人就当然的认为是病毒和黑客,而往往忽视内部人员的过错或故意行为等因素。就纳税人而言,大部分纳税人抱有这样的态度,就是只要按照法定规定和法定程序上缴完税,其他的就与自己没有多大干系,税务信息安全管理也是如此,因而往往不配合税务信息的收集等工作。由于少数人的安全意识淡薄和管理不善,会影响整个税务信息系统的安全性。
2.2.2税务信息安全管理方式滞后
整体上看,基层税务信息安全管理还主要是依靠单一的技术方法,税务信息保密措施少、身份认证未得到全面应用、缺少路由安全和防止入侵的技术措施,难以适应税务信息安全管理的要求。首先,税务信息技术管理方式赖以生存的硬件设施可靠性、稳定性不足,缺少日常维护及安全配套措施。其次,税务信息技术管理核心之处的软件设施开放性强,比如,内部网路终端信息共享范围广、操作系统主要是国外研发的,内外网机器存在混用现象,极大增加了税务信息安全风险。最后,采集数据分散,不能形成有效共享,普遍存在“信息孤岛”现象;业务信息不能通过计算机有效流转,自动化管理过程隔离;尤其是信息缺乏高效的数据监控措施,没有形成科学的内、外监督体系,不断遭受黑客攻击,还出现数据丢失的现象等。
2.2.3税务信息安全管理制度不完善
税务信息采集、整理、贮存、传输、反馈及应用等过程中安全管理的理念并未得到贯彻,税务信息安全管理制度还不全面、缺乏体系性、可操作性也不强。具体来讲,一是缺乏强有力的税务信息安全管理领导制度。一般而言,基层税务信息安全管理主要是由税务信息中心实施,与其他内设机构之间是并列关系,信息安全管理无法渗透到税收征管的其他环节。二是缺乏科学的税务信息安全事故预防、报告及处理制度,各基层税务部门普遍缺失完备的信息安全事故报告程序与预防处理方案,税务信息安全事故的预防、处理没有可持续的制度支撑。三是缺乏规范的税务信息安全管理考核制度,基层税务信息安全岗位与责任相适应的考核标准,机制不规范,致使信息安全管理深度与力度得不到有效落实。此外,信息安全责任制度还需进一步细化和完善。
2.2.4信息安全风险管理机制存在缺陷
税务信息化下,税务信息安全风险有来自基础设施毁损的风险,有技术应用带来的风险,有人为操作引发的风险,可谓无处不在、无时不有。但目前基层税务机关并没有形成体系化的税务信息安全风险识别、评估、控制等管理机制。就税务信息安全风险识别而言,税务信息并未被确定成为一种资产,因而缺乏税务信息必要的分类管理。同时,这种安全风险识别仅局限于技术硬件故障或错误、技术软件故障或错误、技术淘汰等技术层面,而对于其他层面的信息安全威胁鲜有涉及。就税务信息安全风险评估而言,由于专业技术和人才的缺乏,加之评估频率与方法不当,很难真正分析出信息安全风险的高低,影响到控制措施的选择。就税务信息安全风险控制而言,由于识别与评估分析中的不健全,使得风险控制策略选择失去了可信基础,致使避免、转移、缓解及接受等风险控制策略无从选择。
3基层税务信息安全管理的应对
3.1加大信息安全管理教育培训,更新税务信息安全管理理念
应当认识到,税务信息安全管理既是国家信息安全管理的有机构成,也是基层税务工作的重要组成部分,它涵盖税收信息的采集、整理、存储、传输、反馈、开发及应用等全过程,不仅可以加强税收收入的规划性,有效发挥税收促进生产,调节、监督经济的作用,还能衡量税收分配是否合理,税负负担是否平衡,保障纳税人的权利。因此,基层税务部门要摒弃税务信息安全管理不重要的观念,提高对税务信息安全的认识,充分了解税务信息安全管理的内容、作用及方法,以此更新税务信息安全管理理念。税务信息安全管理意识之所以淡薄,原因在于信息安全管理教育与培训少,税务信息安全管理专业人才匮乏。对此,一方面要灵活多样地培训学习形式,综合平衡信息安全相关项目,提高税务工作人员的信息安全意识与能力水平;另一方面,要建立税务信息安全管理培训机制,通过组织开展多层次、多方位的信息安全培训,提高安全员信息安全防范技能,培养税务信息安全管理骨干。此外,税收普法宣传教育中还要强化纳税人信息安全意识。
3.2综合内外部控制手段,实现税务信息安全管理方式多元化
税务信息安全管理是一个系统工程,涉及信息技术体系、信息风险管理及组织管理框架等诸多方面,面对终端规模大、地域分布广、技术类型多的现实,单纯的依靠外部技术手段无法实现税务信息安全管理,需要内部控制措施予以协同,多元化的管理方法才能更好地、更有效地保障税务工作人员完成信息安全管理工作。首先,完善税务信息安全技术手段,做好信息安全防护体系建设和运行管理。不论是采取何种技术手段进行税务信息管理,都要建立完备的病毒防范、身份鉴别与访问控制、入侵检测及信息加密等信息安全管理技术体系,定时检查并更新硬件设备以确保其可靠性与稳定性。其次,要克服“唯技术论”的倾向,税务部门要建立统一的信息安全保障中心,保证税务信息安全集中和集成管理,努力形成完整的数据安全与备份体系。最后,完善税务信息安全管理内部控制手段,以减轻由于内部人员道德风险、系统资源风险所造成的信息危害。主要是采用人机联控的控制方式,通过实施一系列的控制活动和保护措施,以实现对与税务信息安全相关的人与物的管理,并最大限度地保障税务信息安全。
3.3完善税务信息安全管理框架,健全税务信息安全管理制度
借鉴信息安全管理一般理论,完整的税务信息安全管理框架包括定义税务信息安全政策、定义税务信息安全管理范围、进行税务信息安全风险评估、确定管理目标和选择管理措施、准备税务信息安全适用性声明、建立相关文档、文档的严格管理及安全事件记录回馈。针对目前税务信息安全管理框架的不完善,税务部门应严格按照信息安全管理框架,制定完善的信息安全规章、明确管理范围、风险、目标、措施等予以完善。与此同时,还要健全税务信息安全管理相关制度。一是建议基层税务机关应成立信息安全领导小组,各区局、科室、所都应明确专人负责税务信息安全的管理,以健全税务信息安全管理领导制度;二是建议明确安全事故预防任务、报告时限与程序、处理方法与措施,以健全税务信息安全事故预防、报告及处理制度;三是建议制定规范、可行的信息安全管理考核机制,明确规定每个税务工作人员在信息安全方面应承担的责任、保密要求以及违约责任,以健全税务信息安全管理责任制度。总之,就是要建立安全管理机构,确定安全管理人员,建立安全管理制度,建立责任和监督机制,切实保障税务信息安全管理有效开展。
3.4实施税务信息分类管理,健全税务信息安全风险管理机制
税务信息安全范文2
关键词:煤炭企业;安全费用;会计;税务处理
中图分类号:F23 文献标识码:A 文章编号:1001-828X(2014)02-0-01
在新的经济形势下,煤炭已成为我国经济发展的主要能源,这对煤炭企业来说,既是机遇也是挑战。煤炭企业要适应社会经济的发展,就需要不断规范煤炭企业安全费用会计及税务处理的过程。特别是近年来,煤炭企业中频频发生重大事故,安全生产形势面临严峻挑战,通过建立安全的投入长效机制,指定相应的安全费用提取制度,不断促进煤炭企业持续发展。
一、煤炭企业安全费用的计提标准和适用范围
煤炭安全费用的提取标准主要是根据矿井灾害程度和生产能力的不同来进行制定,对于大中型的煤矿,属于煤与瓦斯突出、高瓦斯、涌水量大的矿井、自燃发火严重的矿井吨煤应不低于8元,属于低瓦斯得矿井吨煤应不低于5元,重点监控的煤矿吨煤应不低于15元,而露天矿的吨煤不低于3元。煤矿企业根据上述标准的范围,确定安全费用的提取标准,并报当地的煤炭管理部门、煤矿安全监察机构和主管税务机关备案。
煤炭企业的安全费用主要用于改造和完善矿井瓦斯抽放系统与监测系统支出、矿井瓦斯突出与综合防治煤支出、矿井的防灭火与防治水支出、矿井供配电系统和矿井机电设备安全防护设备支出、通风设备更新改造支出、矿井运输系统与综合防尘系统的设备相关支出等。煤炭企业安全生产费用均按照专款专用、专户核算的原则使用,并严格规定专项只用于安全生产,不得挪用、挤占[1]。
二、煤炭企业安全费用税务处理
煤炭企业安全费用的使用和提取,在企业的所得税法中都有体现,包括成本在内的税金、费用、支出和损失项目的管理。煤炭企业对安全费用中专用设备的税务处理,可以按照专用设备10%的投资额来抵免企业所得税的应纳税额,可在五个纳税内结转纳税。对于专用设备的投资额,可以按照设备的发票价税来合计价格。煤炭企业在购买专用设备投资额时,应依据自身的性质来决定是否需要抵免企业的应纳所得税额,但在增值税中,不包括有关规定允许抵扣的税额、退还的税款、及调试、安装和设备运输等费用[2]。政府所投资购买的,不在抵免范围内,但依靠自发融资购置和银行贷款,根据相关规定计入抵免的范围之内。
在煤炭企业的安全费用支出中,属于收益性的费用支出,安全生产费作为税前扣除,而资本性的资产成本,在税前扣除摊派或折旧报销费用,这与企业安全管理费用的性质有关。另外,安全生产的储备资金,属于费用项的支出,也要作为企业的所得税扣除。企业利用银行自筹资金和贷款购置一定的专用设备,使用的投资额可以按照规定的企业所得税法来抵免企业应纳的所得税额,而利用财政拨款来购置专用设备所使用的投资额,不能抵免企业应纳的所得税额。从现行的安全费用核算可以看出,安全费用的计提使用与增减变化,不仅简便合理,还能够促进安全生产稳步运行[3]。
三、煤炭企业安全费用会计处理
煤炭企业安全生产费用中的会计处理是依据国家政策实施的,安全费用的提取应计入当期损益和产品成本。从所有权和企业的角度分析,税收改革将安全生产的费用真正落实到企业优惠政策中。从政府对煤炭企业的安全费用处理办法来看,是为了能够实现煤炭企业的可持续发展而制定的。根据国家对煤炭企业安全费用会计处理的办法,加重煤炭企业税费,是改善国民经济基础行业与煤炭企业地位不相称的有效措施。在已经落实的税收政策中,“一次性提取折旧”的方法并不能作为会计处理的定式,应根据安全费用的处理办法提取安全生产费用,将其作为冲减煤炭企业专项储备费用的存在。
安全费用顺利提取完毕后,就可以进入会计核算阶段,应按照国家的相关规定,分类记述借贷项目的实施情况,如借:生产成本——安全费用;贷:专项储备——安全费用。提取安全费用时,金额要转入相应的专户储存,在银行存款时设安全费的用的明细科目,并会计分录借、贷的情况[4]。对于原材料的投入,应按照安全费用规定与用途,选购材料,并按照原材料的核算程序进行验收入库,这时会计分录为借:原材料,应交税费、增值税;贷:应付账款。出库材料会计分录为借:专项储备;贷:原材料。对于成本费用的投入,如安全费用的培训、设计、咨询、差旅费等支出,会计分录为借:专项储备——安全费用;贷:银行存款——安全费用。固定资产会计分录为借:固定资产;贷:银行存款——安全费用。
四、煤炭企业安全费用税务和会计处理意见
煤炭企业安全费用的提取,从表面上看,企业的利润和股东应得的股利都有所减少,但从企投资行为来看,却形成了两种独立的处理方式,即资本性支出和费用性支出。费用性支出属于税前扣除,在相当程度上对专项储备进行核减,严重影响到企业可分配性的固定资产,在实施的过程中需要恪守会计准则,严格实施提取费用。
从财务的账面来看,实施一次性提取折旧的措施后,资产价值已形同虚设,在后续的资产评估和计量中,会出现许多的问题。国家政策调整是为了促进企业的安全生产,但在实际的实施过程中,报表所反映出来的却不是企业的真实财务状况。在新的核财企算中,增加了专项储备和盈余公积金两项。政策的调整在一定程度上也反映出了煤炭企业的被动性,但总的来看,是为了维护企业的合法权益,增加企业的利润空间,逐步消解固定资产核算中账实不符的现象[5]。
由于煤炭企业的安全费用提取没有明确的标准,企业利用项目的调节利润问题来解决安全费用抵税及利润结余的问题,一直未得到解决。特别是在新的经济形势下,煤炭企业应紧跟国家步伐,做好相应的税务处理。无论是“一次性计提折旧”,还是“逐年折旧”,都应引起企业纳税人的重视。对于账实处理问题,企业资产负债和盈余情况,可以采取相应的宏观调控措施,并坚持适度原则,促进煤炭企业的持续发展。
综上所述,新经济形势下的煤炭已成为我国经济发展的主要能源,这对煤炭企业来说既是机遇也是挑战。煤炭企业需要依据国家政策实施安全生产,建立安全的投入长效机制,指定相应的安全费用提取制度,不断规范煤炭企业安全费用会计及税务处理,以提高煤炭企业的经济效益和社会效益,从而促进煤炭企业持续发展。
参考文献:
[1]杨霞.论煤炭企业安全生产费用财税处理[J].企业家天地:中旬刊,2011,8(10):171-172.
[2]王顺超,刘可芳.浅谈煤炭企业安全生产费用的财务管理[J].会计之友,2012,3(31):144-145.
[3]赵旺圣.关于煤炭生产企业安全费用会计、税务处理的探讨[J].现代经济信息,2011,6(8):167-168.
税务信息安全范文3
文章摘要:税收管理信息化是现代信沪息科学技术在枕收管理工作中的应用,能够推动税收征收管理水平的极大提高。本文通过时税收管理信息化建设中存在问题的分析,认为税收管理信息化的顺利进行就需要加强信息管理基础设施的建设,增强税收人员安全意识,提升税收人员专业化水平。
信息化是指在经济和社会活动中,通过大量的采用信息技术、电子装备及通讯网络等,更有效地开发和利用信息资源,使国民经济各部门由于信息技术的应用和信息产业的发展而获得巨大利益的过程。税收管理信息化是电子政务在政府部门管理工作中具体实施的表现形式之一。税收管理信息化建设作为税收管理现代化的突破口,不仅是降低税收成本、提高征收管理效率和征收管理质量的技术保障,也是加强税收征收管理、实现依法治税的重要措施。但目前我国税收管理信息化建设还不完善,还存在一定的问题。文章通过对税收管理信息化建设中存在问题的分析,认为税收管理信息化的顺利进行就需要加强信息管理基础设施的建设,增强税收人员安全意识,提升税收人员专业化水平。
1、税收管理信息化建设中存在的问题
1 .1资金投入不足
目前在信息化方面的资金投入还难以满足实际需要,同时,部分偏远地区税务部门至今仍存在计算机装备不足的情况,网络建设更是无从谈起。在一些经济比较发达的地区和沿海城市虽然税收工作的计算机装备充足,由于税务软件开发欠缺以及税务人员应用能力有限,导致高配置计算机只能充当简单的打字功能和存储功能,在相应的税收业务工作中难以发挥高配置计算机应有的作用,造成税收成本极大的浪费。
1.2网络管理体系不完善
税收管理网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。技术方面,避免出现病毒和防御网络黑客的攻击,保证税收数据的真实性和完整性,避免非法人员恶意修改数据,对国家税款造成巨大损失。管理方面,加大对人员素质培训,增强安全意识,减少因专业水平不高所造成的数据丢失、毁坏、泄露;增加数据备份机制,防止因自然灾害所造成的数据丢失;增加监督和检查机制,防止恶意修改数据和安全配置参数,使税收信息化信息安全问题变得复杂化。税收是非常敏感的工作,收税管理的信息化要发挥其应有的作用,一定要健全税收管理制度,增加安全系数。
1 .3高素质人才缺乏
税务人员素质不高,计算机应用专业人才缺乏,制约了税务系统信息化建设的全面推进。部分的税务人员观念落后,认识不到税收信息化管理的必要性。他们开展工作方式陈旧,完全凭经验做事,尤其是部分管理层人员,带头作用较差,个别排斥情绪明显;税收人员安全意识差,数据丢失、输人错误现象时有发生;计算机专业人员缺乏,具有较高计算机应用水平的人才不多,精通技术管理,又熟悉业务规程的复合型人才则更少。税收信息化管理归根到底离不开人员的配备,人员素质不高,专业人才缺乏严重制约了税收信息化管理的实施进程。这就要求我们在增加投人,开发、配备硬件的基础上进行人员的专业化培训,提高税收人员素质,改变陈旧的观念意识,培养其安全意识,还要培训即懂技术有懂业务规程的专业化、复合型、高素质人才。
2、加强税收管理信息化建设的对策分析
2.1加强基础设施建设
我国信息化建设中设备和信息的利用率极低,对信息只录人,忽视了更为重要的分析整理,造成信息堆积,共享性、开放性不足,信息的录人成了井中月、水中花只是好看,却没有任何实际的意义。这都要求我们要强化计算机软件的开发应用。目前,我国税务应用软件的开发和应用管理都比较混乱,部分部门和单位仅从各自需求的出发,自行研制开发软件,没有统一的开发标准,管理和使用起来比较困难。因此,我们必须要在“业务统一、数据一致、信息共享、综合利用”的原则下,有计划的、稳妥地分步实施应用软件开发,实现软件开发的系统性、全面性、兼容性和规范性。同时加强对计算机硬件的配备,尤其是欠发达地区,计算机配备不足严重影响了我国税收管理信息化建设的进程,国家应加大对此地区税收改革的资金投人力度,提升其整体操作水平,缩小地区差距。对东部发达地区,计算机硬件配备较好的税收部门,而要加大软件的开发管理。
2.2加强信息安全管理
信息安全不单纯是技术问题,也是社会经济问题。信息安全问题的解决需要建立健全有效的信息安全管理体制,从技术安全和管理安全两方面人手,加强监督和检查力度;加强信息安全法制建设,蓄意破坏、工作不负责税收人员承担起相应的责任;
2.3注重专业人才培养
税收信息化离不开高素质的人才。目前,税务系统现有专业技术人员积极性不高,人员结构不合理,既懂技术又懂操作流程的复合型人才缺乏。解决这一问题,要求我们要拓宽育人、用人视野。税收管理信息化人才队伍应包括计算机、通信技术人才和信息管理、综合规划人才,杜绝人才一面倒情况;要加大税务系统内部计算机知识培训力度,提高税收人员技术水平;要从政治上、生活上、工作上关心信息专业人员,提高他们的待遇,为专业人员设立税务类别,设立管理专业方向,使他们在税务部门有中长期的工作前景,形成一个吸引人才、培养人才、人尽其才的良好环境。
税务信息安全范文4
关键词:税收信息化;信息状态安全;信息转移安全;信息安全技术
从三个方面来考虑:首先是信息状态安全,即税务系统安全,要防止税务系统中心的数据被攻击者破坏。税务系统要通过Internet对纳税人提供纳税便利,必须以一定的方式将它的数据中心开放,这对税务系统本身带来了很大的风险。其次是信息转移安全,即服务安全,如纳税人识别号、口令、纳税金额等在传输中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保证税务人员正确、安全的使用。本文主要针对以上前两个方面也就是信息安全技术进行研究。
一、信息状态安全技术
信息状态安全主要包括系统主机服务器安全、操作系统安全和数据库安全三个方面。
(一)系统主机服务器安全(ServerSecurity)
服务器是存储数据、处理请求的核心,因此服务器的安全性尤为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护,对非法接触服务器配件具有一定的保护措施,比如加锁或密码开关设置等;同时,服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性,不会因为大量的访问导致服务器崩溃;服务器要能够支持基于硬件的磁盘阵列功能,支持磁盘及磁带的系统、数据备份功能,使得安装在服务器上的操作系统和数据库能够在灾难后得到备份恢复,保证服务器的不间断运行;服务器设备配件的高质量及运行可靠性也是服务器安全的非常重要的一个方面,这直接关系到服务器不间断运行的时间和网络数据访问的效率。
(二)操作系统安全(OperatingSystemSecurity)
设置操作系统就像为构筑安全防范体系打好“地基”。
1.自主访问控制(DiscretionaryAccessControl,DAC)。自主访问控制是基于对主体(Subject)或主体所属的主体组的识别来限制对客体(Object)的访问。为实现完备的自主访问控制,由访问控制矩阵提供的信息必须以某种形式保存在税务操作系统中。访问控制矩阵中的每行表示一个主体,每列表示一个受保护的客体,矩阵中的元素表示主体可对客体的访问模式。以基于行的自主访问控制方法为例。它是在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分为三种形式:(1)权力表(CapabilitiesList),它决定是否可对客体进行访问以及可进行何种模式的访问。(2)前缀表(PrefixList),它包括受保护客体名以及主体对客体的访问权。(3)口令(Password),主体对客体进行访问前,必须向税务操作系统提供该客体的口令。对于口令的使用,建议实行相互制约式的双人共管系统口令。
2.强制访问控制(MandatoryAccessControl,MAC)。鉴于自主访问控制不能有效的抵抗计算机病毒的攻击,这就需要利用强制访问控制来采取更强有力的访问控制手段。在强制访问控制中,税务系统对主体和客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。税务系统一般可采取两种强制措施:(1)限制访问控制的灵活性。用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用,该功能依据用户终端输入的信息而不是靠另一个程序提供的信息来修改访问控制信息。在确信用户自己不会泄露文件的前提下,用这种方法可以消除偷改访问控制信息的计算机病毒的威胁。(2)限制编程。鉴于税务系统仅需要进行事务处理,不需要任何编程的能力,可将用于应用开发的计算机系统分离出去,完全消除用户的编程能力。
3.安全核技术(SecurityKernelTechnology)。安全核是构造高度安全的操作系统最常用的技术。该技术的理论基础是:将与安全有关的软件隔离在操作系统的一个可信核内,而操作系统的大部分软件无须负责系统安全。税务系统安全核技术要满足三个原则:(1)完备性(Completeness),要求使主体必须通过引进监控器才能对客体进行访问操作,并使硬件支持基于安全核的系统。(2)隔离性(Isolation),要求将安全核与外部系统很好的隔离起来,以防止进程对安全核的非法修改。(3)可验证性(Verifiability),要求无论采用什么方法构造安全核,都必须保证对它的正确性可以进行某种验证。
其他常见措施还有:信息加密、数字签名、审计等,这些技术方法在数据库安全等方面也可广泛应用,我们将在下面介绍。
(三)数据库安全(DatabaseSecurity)
数据库是信息化及很多应用系统的核心,其安全在整个信息系统中是最为关键的一环,所有的安全措施都是为了最终的数据库上的数据的安全性。另外,根据税务网络信息系统中各种不同应用系统对各种机密、非机密信息访问权限的要求,数据库需要提供安全性控制的层次结构和有效的安全性控制策略。
数据库的安全性主要是依靠分层解决的,它的安全措施也是一级一级层层设置的,真正做到了层层设防。第一层应该是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。基于上述数据库层次结构的安全体系,税务网络信息系统需要设置对机密和非机密数据的访问控制:(1)验证(Authentication),保证只有授权的合法用户才能注册和访问;(2)授权(Authorization),对不同的用户访问数据库授予不同的权限;(3)审计(Auditing),对涉及数据库安全的操作做一个完整的记录,以备有违反数据库安全规则的事件发生后能够有效追查,再结合以报警(Alert)功能,将达到更好的效果。还可以使用数据库本身提供的视图和存储过程对数据库中的其他对象进行权限设定,这样用户只能取得对视图和存储过程的授权,而无法访问底层表。视图可以限制底层表的可见列,从而限制用户能查询的数据列的种类。
二、信息转移安全技术
信息转移安全即网络安全。为了达到保证网络系统安全性的目的,安全系统应具有身份认证(IdentificationandAuthentication);访问控制(AccessControl);可记账性(Accountability);对象重用(ObjectReuse);精确性(Accuracy);服务可用性(AvailabilityofServices)等功能。
1.防火墙技术(FirewallTechnology)
为保证信息安全,防止税务系统数据受到破坏,常用防火墙来阻挡外界对税务局数据中心的非法入侵。所谓防火墙,是一类防范措施的总称,是指在受保护的企业内联网与对公众开放的网络(如Internet)之间设立一道屏障,对所有要进入内联网的信息进行分析或对访问用户进行认证,防止有害信息和来自外部的非法入侵进入受保护网,并且阻止内联网本身某个节点上发生的非法操作以及有害数据向外部扩散,从而保护内部系统的安全。防火墙的实质是实施过滤技术的软件防范措施。防火墙可以分为不同类型,最常见的有基于路由器的IP层防火墙和基于主机的应用层防火墙。两种防火墙各有千秋,IP层防火墙对用户透明性好,应用层防火墙具有更大的灵活性和安全性。实践中只要有资金许可,常常将两种防火墙结合使用,以互相补充,确保网络的安全。另外,还有专门用于过滤病毒的病毒防火墙,随时为用户查杀病毒,保护系统。
2.信息加密技术(InformationEncryptionTechnology)
信息加密包括密码设计、密码分析、密钥管理、验证等内容。利用加密技术可以把某些重要信息或数据从明文形式转换成密文形式,经过线路传送,到达目的端用户再把密文还原成明文。对数据进行加密是防止信息泄露的有效手段。适当的增加密钥的长度和更先进的密钥算法,可以使破译的难度大大增加。具体有两种加密方式:(1)私钥加密体制(Secret-keyCryptography),即加密与解密时使用相同的密码。私钥加密体制包括分组密码和序列密码两种。分组密码把明文符号按固定大小进行分组,然后逐组加密。而序列密码把明文符号立即转换为密文符号,运算速度更快,安全性更高。(2)公钥加密体制(Public-keyCryptography),其加密密钥与解密密钥分为两个不同的密钥,一个用于对信息的加密,另一个用于对已加密信息的解密。这两个密钥是一对互相依赖的密钥。
在传输过程中,只有税务系统和认证中心(AuthenticationCenter,AC)才有税务系统的公开密钥,只有纳税人和认证中心才有纳税人的公开密钥,在这种情况下,即使其他人得到了经过加密后双方的私有密钥,也因为无法进行解密而保证了私有密钥的重要性,从而保证了传输文件的安全性。
3.信息认证技术(InformationAuthenticationTechnology)
数字签名技术(DigitalSignatureTechnology)。数字签名可以证实信息发送者的身份以及信息的真实性,它具备不可伪造性、真实性、不可更改性和不可重复性四大特征。数字签名是通过密码算法对数据进行加密、解密交换实现的,其主要方式是:信息发送方首先通过运行散列函数,生成一个欲发送报文的信息摘要,然后用所持有的私钥对这个信息的摘要进行加密以形成发送方的数字签名,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方在接收到信息后,首先运行和发送方相同的散列函数生成接收报文的信息摘要,然后再用发送方的公开密钥对报文所附的数字签名进行解密,产生原始报文的信息摘要,通过比较两个信息摘要是否相同就可以确认发送方和报文的正确性。
完整性认证(IntegrityAuthentication)。完整性认证能够使既定的接收者检验接收到的信息是否真实。常用的方法是:信息发送者在信息中加入一个认证码,经加密后发送给接收者检验,接收者利用约定的算法对解密后的信息进行运算,将得到的认证码与收到的认证码进行比较,若两者相等,则接收,否则拒绝接收。
4.防病毒技术(Anti-virusTechnology)
病毒防范是计算机安全中最常见也是最容易被忽视的一环。我们建议采用由单机防毒和网络防毒同时使用的这种防病毒措施,来最大限度地加强网络端到端的防病毒架构,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
参考文献:
[1]杨怀则.税收信息化建设存在的问题及建议[J].草原税务,2002,(12):31-32.
[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.
[3]滕至阳.现代操作系统教程[M].北京:高等教育出版社,2000.
[4]陆楠.现代网络技术[M].西安:西安电子科技大学出版社,2003.
税务信息安全范文5
关键词:税务系统;信息化;网络安全;互联网
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2012) 07-0000-02
随着网络技术的飞速发展,互联网日益普及,税务系统开始探索实现信息化,建立自己的局域网系统,这不但提高了工作效率,而且减轻了劳动强度,实现了资源共享。不过,伴随着方便快捷的同时,网络安全问题也开始出现,阻碍了税务系统信息化进程。为了保证税务系统的信息安全,应该重点分析网络安全问题出现的成因,并采用有效的措施进行防范,确保税务系统的网络安全管理。
一、税务系统网络安全的内涵
网络安全本质上就是指网络上的信息安全,是指网络系统的固有硬件、软件及其相关数据受到一定的保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,保证系统的正常运行,避免网络服务的中断。
对于网络中的不同接入者,其所要求的安全权限并不相同。对于用户来说,他们不希望个人信息被不合法用户利用,个人信息属于机密信息,在网络上应该受到保护,防止合法利益受到损害和侵犯。对于网络运营商和管理者而言,他们希望网络信息收到严格的控制和保护,以免出现病毒、拒绝服务等的威胁,保证网络的安全性。
二、税务系统网络安全的特征
网络安全是在信息化过程中,逐渐凸显出来的,它的特征不可避免的和信息化有所关联。根据我们对网络安全内涵的理解,其应该具有以下特征。
(一)保密性
网络安全的保密性是指信息不泄露给非授权的个人、实体和过程,或供其利用的特性。网络系统的不同层次因机密性程度不同而防范措施不同,特别是系统运行层面,要保障系统不管在任何条件下都不能被非授权用户使用,使授权用户的个人信息受到保密性的保护,能够拒绝任何非法权限,真正保障用户的合法权益。
(二)完整性
网络安全的完整性是指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。对于用户来说,我们都不想信息在传输过程中发生改变,导致信息传输出现障碍,阻碍我们在网络中的交流。我们使用网络就是为了方便的传输信息,如果信息在传输过程中出现改变,就背离了我们交流的目的。而且某些未授权用户为了自己的利益,经常会非法获得某些信息,使用户得到很大的麻烦,这都是我们应该避免的。
(三)可用性
网络安全的可用性是指可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。网络的便利性就是让我们可以随时随地的获取网络信息,实现信息的共享交流,这就要求网络安全必须提高网络的可用性,使授权用户能够获得所需信息。并且阻止非法用户攻击网络,造成网络的不可用,甚至瘫痪,影响用户的合法使用。
(四)可控性
网络安全的可控性是指对信息的传播及内容具有控制能力。这样可以限制某些非法信息的传播,控制不良信息造成更大的影响,保证授权用户可以获得健康有益的信息,促进社会更加的和谐。
(五)可审查性
网络安全的可审查性是指在网络中出现安全问题时能够提供依据与手段。不论是税务系统,还是其它的系统,虽然我们在硬件以及软件方面都设置了一定的安全手段,限制某些非授权用户的入侵,不过由于网络的开放性和系统的不完善性,总有很多的漏洞会不断出现,仍然会造成不少非授权用户去攻击系统获得相关信息。对于网络的安全性来说,这是很不利的。这就要求当网络中出现问题时,网络安全措施能够记录非法用户的操作,保证授权用户在必要时利用法律武器保护自己的合法权益。
三、税务系统网络安全现状以及问题
随着信息社会的不断推进,通信技术深入发展,计算机技术不断进步,网络信息的安全成了最为关键的问题,要求急需解决信息的保密性。计算机网络以其开放性、共享性等特征才得以广泛发展,使其规模日益扩大,人们选择网络的最初原因无不是方便快捷高效,不过这些优点恰恰成为了网络的致命缺陷。计算机网络暴露出的安全漏洞使网络饱受攻击,造成信息被非授权用户获得,使授权用户的合法权益受到侵害。税务系统作为特殊的系统,更不能让其受到非授权用户的攻击,否则会给国家造成很大的损失,为了保证税务系统的网络安全性,应该从各个方面采取措施保证税务系统不能受到威胁,从而使税务系统能够保证信息的安全性。不过由于税务系统网络安全的不完善性,在运行管理和税务系统等的很多方面,都暴露出了一些问题,必须引起我们的重视。
(一)税务系统网络安全人才配备不足
由于网络通信的发展较快,新的客户服务器不断升级并投入到新的系统中,而且由于种类不同,配置也各不相同,技术应用的发展很快,不过相应的技术管理并没有增加,系统管理人员的技能达不到要求,致使系统在运行期间,管理维护都不到位,增加了系统被攻击的风险,使系统的危险系数增加,不能适应信息安全形势的发展。
(二)税务系统网络安全措施落实不到位
网络安全的开放性使网络技术的发展迅速,不过也造成了网络的不安全因素存在。对于税务系统的某些授权用户,并没有对其清醒认识,没有采取相应的安全措施,使敏感数据暴露于网络中,增加了系统的风险,留下了被某些非授权用户利用的隐患。虽然系统会经常升级来保障其安全性,不过有些用户并没有意识到这个问题,及时给系统打补丁,使系统的问题没有得到解决,加大了网络的不安全风险。
(三)税务系统网络安全综合方案不完善
网络安全技术发展太快,而且技术复杂,大部分的用户无法跟上技术的发展,只能依赖硬件防护和软件加密等技术,并且认为这些措施可以保障系统的网络安全,使他们产生了安全感。可是这种防范措施虽然起到一定的防范作用,并不能真正的保障系统的绝对安全,网络安全问题也并不是这么就能简单解决,这也暴露出了目前系统网络安全方案的不完善,应该采取多种措施综合防范才能有效解决目前的困境。
四、税务系统网络安全管理
税务系统网络安全管理是对系统中的设备和安全技术进行统一的管理和系统,从而全面的保证系统的安全,提高网络的防御能力,增加网络的安全系数,保证税务系统的安全性,使国家的利益不遭受到侵犯。
现在网络的防御已经从分散的单点式管理向集中的综合性发展,这是网络技术发展的需要,也是对于网络安全的综合考虑后提出的一种更加安全的防范方法。现在的设备繁多,造成系统的复杂性,而且缺乏互通性的管理工具,造成了管理的难度,为了从全局综合考虑网络安全的安全策略,管理员应该从整体考虑,对设备进行综合管理,从各个层面保证系统的安全性。
(一)加强税务系统网络安全管理
对于税务人员,应该对其加强安全教育,使其认识到网络安全的不稳定性,提高他们在日常管理工作中的保密性措施,能够不断提高业务操作技能,从管理层面保证网络安全性能。而且,对于网络的各种硬件,应该保证其物理安全性能,最好能够定期检测,防止出现破坏行为。
(二)加强税务系统终端管理
税务系统的终端管理包括对终端系统的运行检测、软件使用等方面的使用管理,维护好系统,保证终端系统的使用,并能对终端系统的信息进行保护,出现问题时,能够起到监管作用。
(三)加强税务系统防火墙技术
防火墙技术是解决网络安全问题的最主要手段之一,为了应对现代通信网络技术的安全问题,防火墙技术最早应用于互联网技术中,并得到广泛使用。防火墙能够检测、限制通过的信息,并组织一定的攻击行为。同时,可以监控网络中的任何活动,保证税务系统的网络安全。
(四)加强税务系统网络控制
为了防止非授权用户的非法接入,对于税务系统而言,网络能够对访问进行一定的控制,保证资源的合理应用,防止遭受非法使用和非法访问。主要通过限制网络权限、网络端口和节点等进行控制网络访问,设置访问控制的权限,从而有效防护网络安全问题。
五、结束语
由于网络本身的弱点,不管技术如何发展,网络安全威胁依然存在。随着经济全球化的不断深化,信息化的不断发展,信息时代的信息安全问题涉及到人们生活的各个方面。对于税务管理系统来说,更是涉及到纳税用户和国家的利益,我们必须不断加强监管,切实采用多种综合性措施,保障税务系统的网络安全,推动我国信息化安全的进程。
参考文献:
[1]吴钰锋,刘泉,李方敏.网络安全中的密码技术研究及其应用[J].真空电子技术,2004
税务信息安全范文6
(一)系统主机服务器安全(ServerSecurity)
服务器是存储数据、处理请求的核心,因此服务器的安全性尤为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护,对非法接触服务器配件具有一定的保护措施,比如加锁或密码开关设置等;同时,服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性,不会因为大量的访问导致服务器崩溃;服务器要能够支持基于硬件的磁盘阵列功能,支持磁盘及磁带的系统、数据备份功能,使得安装在服务器上的操作系统和数据库能够在灾难后得到备份恢复,保证服务器的不间断运行;服务器设备配件的高质量及运行可靠性也是服务器安全的非常重要的一个方面,这直接关系到服务器不间断运行的时间和网络数据访问的效率。
(二)操作系统安全(OperatingSystemSecurity)
设置操作系统就像为构筑安全防范体系打好“地基”。
1.自主访问控制(DiscretionaryAccessControl,DAC)。自主访问控制是基于对主体(Subject)或主体所属的主体组的识别来限制对客体(Object)的访问。为实现完备的自主访问控制,由访问控制矩阵提供的信息必须以某种形式保存在税务操作系统中。访问控制矩阵中的每行表示一个主体,每列表示一个受保护的客体,矩阵中的元素表示主体可对客体的访问模式。以基于行的自主访问控制方法为例。它是在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分为三种形式:(1)权力表(CapabilitiesList),它决定是否可对客体进行访问以及可进行何种模式的访问。(2)前缀表(PrefixList),它包括受保护客体名以及主体对客体的访问权。(3)口令(Password),主体对客体进行访问前,必须向税务操作系统提供该客体的口令。对于口令的使用,建议实行相互制约式的双人共管系统口令。
2.强制访问控制(MandatoryAccessControl,MAC)。鉴于自主访问控制不能有效的抵抗计算机病毒的攻击,这就需要利用强制访问控制来采取更强有力的访问控制手段。在强制访问控制中,税务系统对主体和客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。税务系统一般可采取两种强制措施:(1)限制访问控制的灵活性。用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用,该功能依据用户终端输入的信息而不是靠另一个程序提供的信息来修改访问控制信息。在确信用户自己不会泄露文件的前提下,用这种方法可以消除偷改访问控制信息的计算机病毒的威胁。(2)限制编程。鉴于税务系统仅需要进行事务处理,不需要任何编程的能力,可将用于应用开发的计算机系统分离出去,完全消除用户的编程能力。
3.安全核技术(SecurityKernelTechnology)。安全核是构造高度安全的操作系统最常用的技术。该技术的理论基础是:将与安全有关的软件隔离在操作系统的一个可信核内,而操作系统的大部分软件无须负责系统安全。税务系统安全核技术要满足三个原则:(1)完备性(Completeness),要求使主体必须通过引进监控器才能对客体进行访问操作,并使硬件支持基于安全核的系统。(2)隔离性(Isolation),要求将安全核与外部系统很好的隔离起来,以防止进程对安全核的非法修改。(3)可验证性(Verifiability),要求无论采用什么方法构造安全核,都必须保证对它的正确性可以进行某种验证。
其他常见措施还有:信息加密、数字签名、审计等,这些技术方法在数据库安全等方面也可广泛应用,我们将在下面介绍。
(三)数据库安全(DatabaseSecurity)
数据库是信息化及很多应用系统的核心,其安全在整个信息系统中是最为关键的一环,所有的安全措施都是为了最终的数据库上的数据的安全性。另外,根据税务网络信息系统中各种不同应用系统对各种机密、非机密信息访问权限的要求,数据库需要提供安全性控制的层次结构和有效的安全性控制策略。
数据库的安全性主要是依靠分层解决的,它的安全措施也是一级一级层层设置的,真正做到了层层设防。第一层应该是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。基于上述数据库层次结构的安全体系,税务网络信息系统需要设置对机密和非机密数据的访问控制:(1)验证(Authentication),保证只有授权的合法用户才能注册和访问;(2)授权(Authorization),对不同的用户访问数据库授予不同的权限;(3)审计(Auditing),对涉及数据库安全的操作做一个完整的记录,以备有违反数据库安全规则的事件发生后能够有效追查,再结合以报警(Alert)功能,将达到更好的效果。还可以使用数据库本身提供的视图和存储过程对数据库中的其他对象进行权限设定,这样用户只能取得对视图和存储过程的授权,而无法访问底层表。视图可以限制底层表的可见列,从而限制用户能查询的数据列的种类。
中国-二、信息转移安全技术
信息转移安全即网络安全。为了达到保证网络系统安全性的目的,安全系统应具有身份认证(IdentificationandAuthentication);访问控制(AccessControl);可记账性(Accountability);对象重用(ObjectReuse);精确性(Accuracy);服务可用性(AvailabilityofServices)等功能。
1.防火墙技术(FirewallTechnology)
为保证信息安全,防止税务系统数据受到破坏,常用防火墙来阻挡外界对税务局数据中心的非法入侵。所谓防火墙,是一类防范措施的总称,是指在受保护的企业内联网与对公众开放的网络(如Internet)之间设立一道屏障,对所有要进入内联网的信息进行分析或对访问用户进行认证,防止有害信息和来自外部的非法入侵进入受保护网,并且阻止内联网本身某个节点上发生的非法操作以及有害数据向外部扩散,从而保护内部系统的安全。防火墙的实质是实施过滤技术的软件防范措施。防火墙可以分为不同类型,最常见的有基于路由器的IP层防火墙和基于主机的应用层防火墙。两种防火墙各有千秋,IP层防火墙对用户透明性好,应用层防火墙具有更大的灵活性和安全性。实践中只要有资金许可,常常将两种防火墙结合使用,以互相补充,确保网络的安全。另外,还有专门用于过滤病毒的病毒防火墙,随时为用户查杀病毒,保护系统。
2.信息加密技术(InformationEncryptionTechnology)
信息加密包括密码设计、密码分析、密钥管理、验证等内容。利用加密技术可以把某些重要信息或数据从明文形式转换成密文形式,经过线路传送,到达目的端用户再把密文还原成明文。对数据进行加密是防止信息泄露的有效手段。适当的增加密钥的长度和更先进的密钥算法,可以使破译的难度大大增加。具体有两种加密方式:(1)私钥加密体制(Secret-keyCryptography),即加密与解密时使用相同的密码。私钥加密体制包括分组密码和序列密码两种。分组密码把明文符号按固定大小进行分组,然后逐组加密。而序列密码把明文符号立即转换为密文符号,运算速度更快,安全性更高。(2)公钥加密体制(Public-keyCryptography),其加密密钥与解密密钥分为两个不同的密钥,一个用于对信息的加密,另一个用于对已加密信息的解密。这两个密钥是一对互相依赖的密钥。
在传输过程中,只有税务系统和认证中心(AuthenticationCenter,AC)才有税务系统的公开密钥,只有纳税人和认证中心才有纳税人的公开密钥,在这种情况下,即使其他人得到了经过加密后双方的私有密钥,也因为无法进行解密而保证了私有密钥的重要性,从而保证了传输文件的安全性。
3.信息认证技术(InformationAuthenticationTechnology)
数字签名技术(DigitalSignatureTechnology)。数字签名可以证实信息发送者的身份以及信息的真实性,它具备不可伪造性、真实性、不可更改性和不可重复性四大特征。数字签名是通过密码算法对数据进行加密、解密交换实现的,其主要方式是:信息发送方首先通过运行散列函数,生成一个欲发送报文的信息摘要,然后用所持有的私钥对这个信息的摘要进行加密以形成发送方的数字签名,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方在接收到信息后,首先运行和发送方相同的散列函数生成接收报文的信息摘要,然后再用发送方的公开密钥对报文所附的数字签名进行解密,产生原始报文的信息摘要,通过比较两个信息摘要是否相同就可以确认发送方和报文的正确性。
完整性认证(IntegrityAuthentication)。完整性认证能够使既定的接收者检验接收到的信息是否真实。常用的方法是:信息发送者在信息中加入一个认证码,经加密后发送给接收者检验,接收者利用约定的算法对解密后的信息进行运算,将得到的认证码与收到的认证码进行比较,若两者相等,则接收,否则拒绝接收。
4.防病毒技术(Anti-virusTechnology)
病毒防范是计算机安全中最常见也是最容易被忽视的一环。我们建议采用由单机防毒和网络防毒同时使用的这种防病毒措施,来最大限度地加强网络端到端的防病毒架构,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
参考文献:
[1]杨怀则.税收信息化建设存在的问题及建议[J].草原税务,2002,(12):31-32.
[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.
[3]滕至阳.现代操作系统教程[M].北京:高等教育出版社,2000.
[4]陆楠.现代网络技术[M].西安:西安电子科技大学出版社,2003.
[5]谭伟贤,杨力平.计算机网络教程[M].北京:国防工业出版社,2001.
[6]陈伟强,黄求新.企业信息安全指南[M].广州:暨南大学出版社,2003中国-