应对税务省级信息集中的风险

技术和业务人员的能力风险。省级信息集中后，随着总局各类省级集中应用系统的推广使用，各级技术人员、业务人员都必须投入很大的精力在新系统的学习上，才能熟悉、掌握新系统技术维护和业务操作技巧，保证系统运行质量和业务的正常开展。特别是省级信息中心技术人员的知识更新和深层次培训就显得尤为迫切。

安全产品的可信度风险。由于目前省级数据中心的规划和建设中核心的主机系统、操作系统、数据库系统、通讯系统都是国外公司产品，其提供的安全保护级别较低，因而难以提高数据中心总体的安全程度，所用软硬件产品可能存在后门和安全漏洞。

IT外包的风险。省级信息集中后，对系统开发、网络管理、运行维护等的要求更加专业化了。随着IT外包服务的概念逐步被接受，我省也已经开始尝试一些IT服务外包。但是税务机关的信息系统、数据的安全关系着整个国家的经济命脉，而实行IT外包服务后税务机关内部掌握的大量敏感数据可能被外包公司掌握，并可能造成企业商业机密的泄漏。

而在技术风险方面也存在五个方面。集中化风险。在原有分散的数据向省级数据中心集中的同时，原来分散的风险也随之集中。在这种模式下，虽然安全性事故、灾难的发生频率可能大大降低，但是其影响面和破坏程度大大增加了。一旦出现问题，将可能导致全省性的税收业务停顿，极端情况下甚至会引发社会问题。

运行维护风险。省级信息集中后，虽然在管理上便于维护、升级，但系统的架构变得更加复杂，运行维护的战线被拉长，省局运行维护的范围常常会远离系统应用的第一线，同时很多问题由于权限的原因在前置端无法得到及时解决，需要向省级数据中心反映，应变能力就相对削弱了。

网络管理风险。省级信息集中后，全省广域网络上的单点故障风险变得越来越突出，实时备份设备的配置十分重要。同时，由于集中系统的日益增多，各种类型数据传输的优化管理也十分必要，这可以有效地保证核心数据流的传输不被非重要的数据访问干扰。

遭受恶意攻击与入侵风险。随着信息的集中，省级数据中心越来越可能成为外部恶意攻击与入侵的目标与对象等，这种有组织的攻击与入侵行为往往攻击强度大、持续时间长、方式种类多，破坏力强，故一旦相应的安全防护体系无法防止此类攻击，会导致全省系统运行瘫痪的严重后果。

数据丢失和管理风险。全省所有的税收业务数据都集中在省级数据中心，一旦发生生产数据或备份数据丢失，会带来给日后的系统恢复留下隐患。同时，省级信息集中后，数据空前丰富，但日益增多的垃圾数据将极大地影响全省数据的质量，引起数据的失真，造成决策的失误。此外，大量无效的数据也耗用了大量的信息化资源，造成了不必要的浪费。

十大风险如何应对？

省级信息集中后的信息化建设，业务系统建设是核心，主机系统建设、网络系统建设、环境支撑系统建设是基础，运行维护管理是关键，高素质的技术与管理人才是建设成功的必要保证，这要求从管理理念、基础保障、运维机制、网络防护、数据管理、项目管理、队伍建设等方面提出切实的防范策略，最大程度的控制各类技术和系统风险，降低风险发生的可能性。

转变管理理念。随着省级集中的逐步到位，各级管理层特别是省级管理部门必须切实转变管理观念，充分认识省级信息集中的重要性，树立“一线”观念，绷紧信息安全这根弦，逐步完成由“发令员”到“运动员”的角色转换。同时，处理好业务与技术的关系，逐步转变简单的“技术支持”思想，建立“技术驱动”的理念，通过技术手段推动业务的发展，从而更好地服务于税收业务工作。

夯实基础建设。省级信息集中程度的日益提高，风险的日益积累，势必对信息化的各项基础建设提出了更高的要求，特别是在中心机房环境和相配套的信息化规章制度。省局应认真研究落实各项风险防范措施，切实加强系统运行环境的监控。同时，需要整理现有信息化建设规章制度，建立起一整套符合省级信息集中发展需要和特点的制度体系。

完善运行维护机制。应用系统的省级集中，日常运行维护工作的重要性日趋明显，运维工作是否到位直接决定了系统风险发生的概率。这就要求我们进一步完善运行维护机制，完善系统维护和系统安全责任制度，着重消除安全漏洞和隐患，健全应急工作预案，提高应急反应能力。同时，科学设置运维岗位，明确工作职责，在日常运行维护中提倡精细化管理，对核心业务系统定期公布《系统运维报告》，通过各类运维统计表的公布，结合考核指标，使各级操作人员规范操作程序，减少操作失误，通过加强管理进入良性循环。

建立网络安全防护体系。网络安全管理是风险防范工作中的重要一环，其核心是建立一套全面有效的网络安全防护体系。网络安全防护体系的建设包括了网络防护、防病毒、入侵检测、安全审计和桌面安全防护等多项内容。通过一整套防护体系的建设，消除各个风险点的安全隐患、堵塞安全漏洞，确保信息和网络的安全。同时，还要全面评估全省网络的现状，定期组织全省范围的网络与信息安全检查，及时解决各种安全问题和隐患，促进全省网络与信息安全防范体系的建立。

提高数据管理能力。按照总局数据利用规范，完善各类数据管理制度和流程，加大数据质量的监控力度，做好数据集中存储和管理，定期清理垃圾数据，以化解数据失真导致决策失误的风险。同时，通过建立异地备份站点来消除数据丢失或损坏的风险。目前，我省已经有近10个应用系统省级集中，随着金税三期各项目的陆续实施，还会有更多的系统在省局实施，为保证数据的安全性，有必要建立异地备份站点，以保证全省数据的安全。

严格项目管理。按照信息一体化的要求，加强省级范围内的信息系统项目管理。严格按照项目的质量目标对项目进行质量检测、质量评估，并根据质量评估结果修正项目建设的方式。严格项目的产品管理，严禁在建设过程中使用无法达标的安全产品。严格项目的人员管理和文档管理，杜绝技术机密和管理机密的泄露。