稅收信息化中信息安全論文

時間:2022-09-13 07:46:00

導語:稅收信息化中信息安全論文一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

稅收信息化中信息安全論文

從三個方面來考慮:首先是信息狀態(tài)安全,即稅務系統(tǒng)安全,要防止稅務系統(tǒng)中心的數(shù)據(jù)被攻擊者破壞。稅務系統(tǒng)要通過Internet對納稅人提供納稅便利,必須以一定的方式將它的數(shù)據(jù)中心開放,這對稅務系統(tǒng)本身帶來了很大的風險。其次是信息轉(zhuǎn)移安全,即服務安全,如納稅人識別號、口令、納稅金額等在傳輸中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保證稅務人員正確、安全的使用。本文主要針對以上前兩個方面也就是信息安全技術進行研究。

一、信息狀態(tài)安全技術

信息狀態(tài)安全主要包括系統(tǒng)主機服務器安全、操作系統(tǒng)安全和數(shù)據(jù)庫安全三個方面。

(一)系統(tǒng)主機服務器安全(ServerSecurity)

服務器是存儲數(shù)據(jù)、處理請求的核心,因此服務器的安全性尤為重要。服務器的安全性主要涉及到服務器硬件設備自身的安全性防護,對非法接觸服務器配件具有一定的保護措施,比如加鎖或密碼開關設置等;同時,服務器需要支持大數(shù)據(jù)量及多線程存儲矩陣以滿足大數(shù)據(jù)量訪問的實時性和穩(wěn)定性,不會因為大量的訪問導致服務器崩潰;服務器要能夠支持基于硬件的磁盤陣列功能,支持磁盤及磁帶的系統(tǒng)、數(shù)據(jù)備份功能,使得安裝在服務器上的操作系統(tǒng)和數(shù)據(jù)庫能夠在災難后得到備份恢復,保證服務器的不間斷運行;服務器設備配件的高質(zhì)量及運行可靠性也是服務器安全的非常重要的一個方面,這直接關系到服務器不間斷運行的時間和網(wǎng)絡數(shù)據(jù)訪問的效率。

(二)操作系統(tǒng)安全(OperatingSystemSecurity)

設置操作系統(tǒng)就像為構筑安全防范體系打好“地基”。

1.自主訪問控制(DiscretionaryAccessControl,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問。為實現(xiàn)完備的自主訪問控制,由訪問控制矩陣提供的信息必須以某種形式保存在稅務操作系統(tǒng)中。訪問控制矩陣中的每行表示一個主體,每列表示一個受保護的客體,矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個主體上都附加一個該主體可訪問的客體的明細表,根據(jù)表中信息的不同可分為三種形式:(1)權力表(CapabilitiesList),它決定是否可對客體進行訪問以及可進行何種模式的訪問。(2)前綴表(PrefixList),它包括受保護客體名以及主體對客體的訪問權。(3)口令(Password),主體對客體進行訪問前,必須向稅務操作系統(tǒng)提供該客體的口令。對于口令的使用,建議實行相互制約式的雙人共管系統(tǒng)口令。

2.強制訪問控制(MandatoryAccessControl,MAC)。鑒于自主訪問控制不能有效的抵抗計算機病毒的攻擊,這就需要利用強制訪問控制來采取更強有力的訪問控制手段。在強制訪問控制中,稅務系統(tǒng)對主體和客體都分配一個特殊的一般不能更改的安全屬性,系統(tǒng)通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。稅務系統(tǒng)一般可采取兩種強制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權系統(tǒng)的功能調(diào)用,該功能依據(jù)用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下,用這種方法可以消除偷改訪問控制信息的計算機病毒的威脅。(2)限制編程。鑒于稅務系統(tǒng)僅需要進行事務處理,不需要任何編程的能力,可將用于應用開發(fā)的計算機系統(tǒng)分離出去,完全消除用戶的編程能力。

3.安全核技術(SecurityKernelTechnology)。安全核是構造高度安全的操作系統(tǒng)最常用的技術。該技術的理論基礎是:將與安全有關的軟件隔離在操作系統(tǒng)的一個可信核內(nèi),而操作系統(tǒng)的大部分軟件無須負責系統(tǒng)安全。稅務系統(tǒng)安全核技術要滿足三個原則:(1)完備性(Completeness),要求使主體必須通過引進監(jiān)控器才能對客體進行訪問操作,并使硬件支持基于安全核的系統(tǒng)。(2)隔離性(Isolation),要求將安全核與外部系統(tǒng)很好的隔離起來,以防止進程對安全核的非法修改。(3)可驗證性(Verifiability),要求無論采用什么方法構造安全核,都必須保證對它的正確性可以進行某種驗證。

其他常見措施還有:信息加密、數(shù)字簽名、審計等,這些技術方法在數(shù)據(jù)庫安全等方面也可廣泛應用,我們將在下面介紹。

(三)數(shù)據(jù)庫安全(DatabaseSecurity)

數(shù)據(jù)庫是信息化及很多應用系統(tǒng)的核心,其安全在整個信息系統(tǒng)中是最為關鍵的一環(huán),所有的安全措施都是為了最終的數(shù)據(jù)庫上的數(shù)據(jù)的安全性。另外,根據(jù)稅務網(wǎng)絡信息系統(tǒng)中各種不同應用系統(tǒng)對各種機密、非機密信息訪問權限的要求,數(shù)據(jù)庫需要提供安全性控制的層次結(jié)構和有效的安全性控制策略。

數(shù)據(jù)庫的安全性主要是依靠分層解決的,它的安全措施也是一級一級層層設置的,真正做到了層層設防。第一層應該是注冊和用戶許可,保護對服務器的基本存取;第二層是存取控制,對不同用戶設定不同的權限,使數(shù)據(jù)庫得到最大限度的保護;第三層是增加限制數(shù)據(jù)存取的視圖和存儲過程,在數(shù)據(jù)庫與用戶之間建立一道屏障。基于上述數(shù)據(jù)庫層次結(jié)構的安全體系,稅務網(wǎng)絡信息系統(tǒng)需要設置對機密和非機密數(shù)據(jù)的訪問控制:(1)驗證(Authentication),保證只有授權的合法用戶才能注冊和訪問;(2)授權(Authorization),對不同的用戶訪問數(shù)據(jù)庫授予不同的權限;(3)審計(Auditing),對涉及數(shù)據(jù)庫安全的操作做一個完整的記錄,以備有違反數(shù)據(jù)庫安全規(guī)則的事件發(fā)生后能夠有效追查,再結(jié)合以報警(Alert)功能,將達到更好的效果。還可以使用數(shù)據(jù)庫本身提供的視圖和存儲過程對數(shù)據(jù)庫中的其他對象進行權限設定,這樣用戶只能取得對視圖和存儲過程的授權,而無法訪問底層表。視圖可以限制底層表的可見列,從而限制用戶能查詢的數(shù)據(jù)列的種類。

二、信息轉(zhuǎn)移安全技術

信息轉(zhuǎn)移安全即網(wǎng)絡安全。為了達到保證網(wǎng)絡系統(tǒng)安全性的目的,安全系統(tǒng)應具有身份認證(IdentificationandAuthentication);訪問控制(AccessControl);可記賬性(Accountability);對象重用(ObjectReuse);精確性(Accuracy);服務可用性(AvailabilityofServices)等功能。

1.防火墻技術(FirewallTechnology)

為保證信息安全,防止稅務系統(tǒng)數(shù)據(jù)受到破壞,常用防火墻來阻擋外界對稅務局數(shù)據(jù)中心的非法入侵。所謂防火墻,是一類防范措施的總稱,是指在受保護的企業(yè)內(nèi)聯(lián)網(wǎng)與對公眾開放的網(wǎng)絡(如Internet)之間設立一道屏障,對所有要進入內(nèi)聯(lián)網(wǎng)的信息進行分析或?qū)υL問用戶進行認證,防止有害信息和來自外部的非法入侵進入受保護網(wǎng),并且阻止內(nèi)聯(lián)網(wǎng)本身某個節(jié)點上發(fā)生的非法操作以及有害數(shù)據(jù)向外部擴散,從而保護內(nèi)部系統(tǒng)的安全。防火墻的實質(zhì)是實施過濾技術的軟件防范措施。防火墻可以分為不同類型,最常見的有基于路由器的IP層防火墻和基于主機的應用層防火墻。兩種防火墻各有千秋,IP層防火墻對用戶透明性好,應用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可,常常將兩種防火墻結(jié)合使用,以互相補充,確保網(wǎng)絡的安全。另外,還有專門用于過濾病毒的病毒防火墻,隨時為用戶查殺病毒,保護系統(tǒng)。

2.信息加密技術(InformationEncryptionTechnology)

信息加密包括密碼設計、密碼分析、密鑰管理、驗證等內(nèi)容。利用加密技術可以把某些重要信息或數(shù)據(jù)從明文形式轉(zhuǎn)換成密文形式,經(jīng)過線路傳送,到達目的端用戶再把密文還原成明文。對數(shù)據(jù)進行加密是防止信息泄露的有效手段。適當?shù)脑黾用荑€的長度和更先進的密鑰算法,可以使破譯的難度大大增加。具體有兩種加密方式:(1)私鑰加密體制(Secret-keyCryptography),即加密與解密時使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進行分組,然后逐組加密。而序列密碼把明文符號立即轉(zhuǎn)換為密文符號,運算速度更快,安全性更高。(2)公鑰加密體制(Public-keyCryptography),其加密密鑰與解密密鑰分為兩個不同的密鑰,一個用于對信息的加密,另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰。

在傳輸過程中,只有稅務系統(tǒng)和認證中心(AuthenticationCenter,AC)才有稅務系統(tǒng)的公開密鑰,只有納稅人和認證中心才有納稅人的公開密鑰,在這種情況下,即使其他人得到了經(jīng)過加密后雙方的私有密鑰,也因為無法進行解密而保證了私有密鑰的重要性,從而保證了傳輸文件的安全性。

3.信息認證技術(InformationAuthenticationTechnology)

數(shù)字簽名技術(DigitalSignatureTechnology)。數(shù)字簽名可以證實信息發(fā)送者的身份以及信息的真實性,它具備不可偽造性、真實性、不可更改性和不可重復性四大特征。數(shù)字簽名是通過密碼算法對數(shù)據(jù)進行加密、解密交換實現(xiàn)的,其主要方式是:信息發(fā)送方首先通過運行散列函數(shù),生成一個欲發(fā)送報文的信息摘要,然后用所持有的私鑰對這個信息的摘要進行加密以形成發(fā)送方的數(shù)字簽名,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。接收方在接收到信息后,首先運行和發(fā)送方相同的散列函數(shù)生成接收報文的信息摘要,然后再用發(fā)送方的公開密鑰對報文所附的數(shù)字簽名進行解密,產(chǎn)生原始報文的信息摘要,通過比較兩個信息摘要是否相同就可以確認發(fā)送方和報文的正確性。

完整性認證(IntegrityAuthentication)。完整性認證能夠使既定的接收者檢驗接收到的信息是否真實。常用的方法是:信息發(fā)送者在信息中加入一個認證碼,經(jīng)加密后發(fā)送給接收者檢驗,接收者利用約定的算法對解密后的信息進行運算,將得到的認證碼與收到的認證碼進行比較,若兩者相等,則接收,否則拒絕接收。

4.防病毒技術(Anti-virusTechnology)

病毒防范是計算機安全中最常見也是最容易被忽視的一環(huán)。我們建議采用由單機防毒和網(wǎng)絡防毒同時使用的這種防病毒措施,來最大限度地加強網(wǎng)絡端到端的防病毒架構,再加上防病毒制度與措施,就構成了一套完整的防病毒體系。

參考文獻:

楊懷則.稅收信息化建設存在的問題及建議[J].草原稅務,2002,(12):31-32.

AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992