表象繁荣背后的危机
税务市场一直是让人极度觊觎,又暗自挠头叹息的白金行业市场。随着国家金税工程一期、二期的完成,以及目前正在深入推进的金税三期,税务市场的行情持续攀升。但是要进入这个行业,不仅要具备相应的产品和完整的行业解决方案,更需要行业的准入证书。这个证书包括由国家公安部签发的销售许可证和国家税务总局的相关审批。
从这个市场的容量来看,金税三期将掀起覆盖所有税种,覆盖所有工作环节,覆盖各级国、地税机关,并与有关部门联网的税务信息化普及高潮。按照国务院第105次常务会议审议结果,79亿元投资规模将进入金税三期工程中,而这只包括建设经费,不包含日常运行维护经费。无可争议,这是一个让众多厂商虎视眈眈的超级“肥肉”。
但在繁荣的市场表象背后,潜在的安全危机总是困扰各级税务机关的难言之隐。一方面税务安全属于国家机密,在网络上传输的每一项数据都关系国家税收大计,另一方面安全厂商提供的解决方案集成度低与税务从业人员的安全意识薄弱一再给税务安全系统带来漏洞。
我们经常能看到地税人员在各自的岗位上尽职尽责,纳税者也在规定的窗口办理着自己的业务的场景。一切都显得是那么平静而秩序井然。但是,在这平静的表象下,他们考虑过是否危机四伏呢?
一直以来,税务机关进行网络设备采购的时候,都采取类似于PC机攒机的方式。也就是说从单一的产品融合上来组成应用的网络。张家买一款防火墙,李家买一套杀毒软件,这样单一产品采购,尽管能起到一定程度的网络安全防护,但对于税务安全来说还远远不够。尽管税网不允许与外部互联网相接,但来自黑客的攻击依然不可忽视;如果税务从业人员本身对于网络技术非常熟悉,那内网安全防范同样不可给予有心人士可乘之机;税务部门还存在一个网络边界安全,它要与银行、工商等进行信息的传递,这些应用业务仅依靠简单的“1+1”式的网络产品的融合,未免显得过于单薄。
安全集成大势所趋
成都市地税局信息系统是成都市地税局综合管理信息系统,该系统采用数据集中的管理模式,包括税收业务管理系统、税务行政管理系统、税收决策分析系统、外部信息管理系统4个系统。其中,税收业务管理系统为主要业务系统,包括税收征收、稽查,拟开通12366电话报税、网上报税、发票查询等业务;外部管理信息系统将实现与工商、国税等部门的联网。成都市地税局信息系统涉及的范围包括6个直属分局,20个区(市)县地税局,共计2000多个用户终端。如此庞大的信息管理系统禁不住让人咋舌,一方面是惊叹它的复杂与宽泛;另一方面,这样的一个系统其安全问题的确不容小觑.
成都地税信息系统的搭建周期很长,仅内部局域网的建设就用了近半年的时间,他们采用的是集成化的IT安全策略。这不太相同于一种被思科与微软充分运用过的理念--IT安全化。思科在其路由器中,把安全因素加入进去,无形中抬高了竞争的门槛;微软则是因为其操作系统存在的漏洞,不得不进行安全的防范--打补丁。但补丁的方式在安全性和可靠性上都不是最优的方式。与其在事后打补丁,还不如在系统建设之前,就把IT的建设和安全进行同步的规划,这是“安全IT化”的理念。
卫士通是成都地税在20几家投标公司中选中的安全厂商,据卫士通市场经理吴晓萍介绍,卫士通采用的就是“安全IT化”的理念。“安全IT化”将使IT在规划及建设中一体化考虑安全,系统性统一设计,也就是说在安全系统开始规划的时候就把安全因素考虑进去,这样一方面节省投资并有效保障安全,另一方面会为安全产业带来持续的发展商机。除此之外,吴晓萍还表示:“‘安全IT化’的理念,对于我们的用户来讲,他们的投资、他们对安全的有效性、对资源的充分利用,以及包括对效率、流量的影响和方便管理监控等各个方面都是非常有利的。”
成都市地税局在其有奖发票系统、地税办公终端、社会综合治税系统成功应用卫士通的解决方案。这三个系统在过去都是最直接暴露于公众面前的,其运行的稳定性、数据的安全性以及控管的严密性与否,也对局内正常的业务流程和行业信誉起着至关重要的作用。而实施“一KEY通”之后的这三个系统,不仅保证了日常业务的顺利开展,更在发生紧急事件启动应急预案时提供了所必需的软硬件条件,所以才有了成都地税人员及广大纳税者可以轻松、放心地进行税务活动,而不必担心出现任何问题的局面。
据成都市地税局局长姜希源介绍,下一步成都地税将计划在全市各区、县等二级和三级系统中,推广“一KEY通”的使用,这无疑将有利于成都市商税两网的安全稳定与整齐划一。
安全集成的理念不仅是厂商提出的,税务行业的用户也对安全厂商提出集成的要求。据成都地税局信息负责小组介绍,他们对该系统提出了四个方面的具体要求,归纳起来包括:局域网系统安全;对数据传输、存储的有效保护和备份以及恢复;对网络入侵行为的有效预警、控制和测评;对网络中病毒传播的有效控制。要实现上述功能,就要对通信网络、应用、管理都熟悉。
成都地税硬件科科长王雨凌说:“安全会是IT行业未来的一个亮点,是可以得到很快提升的行业。但是对于安全厂商来说,一定要做到高起点与高集成度。高起点表现在安全厂商在做安全规划的时候,不能仅从网络基础建设、防毒、防火墙、入侵检测上来考虑,更是要为客户做好未来几年的规划。”王雨凌所提出的要求与“安全IT化”的理念不谋而合。
“我们的客户现在对于安全也不是一无所知,相反是非常的专业,我们之间可以互相交流讨论他们对业务的需求,在此基础上提出更有针对性和前瞻性的安全规划。”联想网御马虔表示。
高集成度意味着当IT技术与IT管理真正融合到一起的时候,信息安全要解决的问题则不仅在网络通信这一领域,安全厂商还要能够解决IT业务应用与管理带来的一系列问题。
安全问题人员为先
成都地税目前所有的数据都汇总在地税总局,只需要一个数据操作员就可以完成对所有数据的操作,而在此这前,要经历开发票、登记、资金入库等一系列复杂的手工记录过程。王雨凌同时也表露出对税务从业人员安全意识淡薄的担忧,很多人都没有计算机操作经验,有些人甚至连开关机都不会。这就造成对应用体验的两极分化:一部人极力推崇,认为计算机是万能的,什么都可以做;另一部分人极力排斥,觉得计算机什么都做不了,坚持手工记录的方式。
吴晓萍对此表示,我们对客户安全意识的培训,不仅针对领导人员,同时也对技术人员进行培训。有时候他们也有安全意识,但往往都不深入,我们要用专业的思想去引导他们。信息安全问题已经被国家相关部门给予很高的关注,安全要落实到人头。马虔表示:“国家正在健全人员与职责对应的体制,税务部门的信息中心也要把安全问题对应到人。”