网上办税系统信息安全基本技术规范(税总函〔2014〕13号)
网上办税系统技术咨询服务商管理办法
网上办税系统技术咨询服务商管理办法第一章总则第一条为持续优化税收营商环境,提升办税便利度,规范网上办税系统技术咨询服务行为,加强网上办税系统技术咨询服务商(以下简称“服务商”)的管理,特制定本办法。
第二条本办法所称的网上办税系统技术咨询服务是指经国家税务总局上海市税务局(以下简称“市局)委托,上海市政府采购中心按照规定的政府采购流程公开招标采购项目中列示的服务,中标的企业为该项目服务商。
第三条服务商为纳税人提供涉及网上办税系统使用的流程类、操作类咨询服务,为纳税人提供办税指引,帮助其正确、便捷地通过互联网办理涉税事项。
服务内容涉及的软件系统目前主要包括:网上电子申报软件(又称“eTax@SH3”)、网上认证软件(又称“eTax@SH网上认证”)、自然人税收管理系统(ITS)扣缴客户端、企业所得税汇算清缴申报软件、出口退税申报软件、出口退税网上申报软件、国际贸易单一窗口出口退税申报系统、离境退税管理信息系统、通用开票软件、电子税务局、税收调查网上直报软件等各类面向纳税人直接使用的网上办税系统。
第二章技术咨询服务内容和要求第四条提供网上在线咨询服务。
服务商开通网上在线咨询服务功能,7×24小时为纳税人提供技术咨询问题的受理与解答。
要求:咨询员应在系统提示发起对话30秒内作出回应。
纳税人较多,无法即时应答的,系统推送提示语对纳税人进行回应。
在实时咨询交互过程当中,咨询员预计静默时间超过2分钟的,应征询纳税人意见,根据纳税人意愿采取继续等待或事后答复的方式处理。
纳税人静默时间超过4分钟的,系统自动推送提醒,纳税人仍旧无回应的,推送结束用语后结束对话。
第五条提供电话咨询服务。
服务商开通热线服务电话,热线系统与12366热线系统对接,纳税人可以拨打服务商热线电话也可以拨打12366热线进行技术咨询。
人工接通率需达到90%,60秒人工接通率接通率需达到80%;咨询员应耐心听取纳税人的提问,判断其是否属于咨询服务受理范围,为纳税人提供准确、高效的咨询服务,不得出现违反首问责任制,推诿不答的情况;不属于受理范围的,咨询员应主动告知纳税人不予受理的理由。
国家税务总局信息中心关于税务系统首期网络与信息安全防护体系200
乐税智库文档财税法规策划 乐税网国家税务总局信息中心关于税务系统首期网络与信息安全防护体系2007年6月份运行情况的通报【标 签】安全防护体系,首期网络与信息,全国税务系统【颁布单位】国家税务总局【文 号】信便函﹝2007﹞266号【发文日期】2007-09-05【实施时间】2007-09-05【 有效性 】全文有效【税 种】征收管理各省、自治区、直辖市和计划单列市国家税务局、地方税务局: 根据各单位2007年6月上报的首期安全防护体系运行情况报表统计,本月安全防护体系整体运行稳定,系统内没有发生重大网络安全事件。
现将运行情况通报如下: 一、安全体系运行情况 税务系统首期安全防护体系配备防火墙设备在线使用637台,不在线2台;入侵检测系统设备在线使用575台,不在线0台;瑞星杀毒软件运行稳定,总局总控制中心能够有效管理的省级系统中心有58个,都已升级到最新版本;漏洞扫描系统使用正常。
二、安全体系防护情况分析 (一)防火墙事件分析 本月针对联想防火墙日志进行统计分析,共发生攻击事件15513次,扫描事件5155次,入侵事件0次。
与5月相比,攻击事件增加260%,扫描降低450%,入侵事件降低200%,总体报警事件比上月有所减低。
攻击、入侵、扫描较多事件大部分是由一些正常使用的系统和北信源桌面安全防护产品扫描在线设备运行的正常访问事件;同时有部分ICMP攻击LargePacket(ping大包)和端口扫描。
(二)病毒疫情分析 根据各地上报数据统计,本月共查杀病毒5219359个,较上月数量有所增加,病毒爆发情况依然严重,其中主要感染病毒为蠕虫,主要病毒类型有:(1)Worm.Pabug及其变种,该病毒主要通过MP3(或者U盘)进行传播,由于现在使用MP3(U盘)交换歌曲和电影文件的用户非常多,使得该病毒传播极广。
(2)Worm.Nimaya(熊猫烧香)及其变种,该变种会感染用户计算机上的EXE可执行文件,被病毒感染的文件图标均变为"熊猫烧香".同时,受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
网上办税系统开发技术要求 - 国家税务总局
附件1网上办税系统技术要求国家税务总局2014年10月目录网上办税系统技术要求 (1)说明 (3)第1部分网上办税系统概述 (3)1.1用户 (3)1.2数据 (4)1.3业务功能 (4)1.4系统管理功能 (6)1.5业务数据流向 (6)第2部分系统设计开发要求 (8)2.1系统规划设计 (8)2.1.1系统设计原则 (8)2.1.2总体逻辑设计 (9)2.2系统开发要求 (13)2.2.1总体要求 (13)2.2.2纳税人端应用开发要求 (14)2.2.3业务受理区应用开发要求 (14)2.2.4业务处理区应用开发要求 (15)2.3系统测试要求 (16)2.3.1总体要求 (16)2.3.2关键环节及要求 (17)2.3.3测试内容及要求 (17)2.4系统部署要求 (18)2.4.1总体要求 (18)2.4.2基础设施要求 (19)2.4.3网络要求 (20)2.4.4应用部署要求 (21)2.5信息安全要求 (21)第3部分管理要求 (22)3.1总体要求 (22)3.2系统管理制度 (22)3.2.1管理策略 (22)3.2.2管理规章制度 (22)3.2.3策略与制度文档管理 (22)3.2.4项目管理要求 (22)3.2.5工程管理要求 (23)3.3运行和维护管理 (23)3.3.1升级管理 (23)3.3.2维护管理 (24)3.3.3数据管理 (24)3.3.4可用性监控 (24)3.3.5应急响应管理 (24)3.3.6信息安全管理 (25)3.3.7变更及缺陷管理 (25)3.3.8事件跟踪及问题管理 (25)3.3.9运维知识库管理 (25)3.3.10沟通汇报 (25)3.3.11系统优化管理 (25)3.4质量保证 (25)3.5配置管理 (26)3.6技术文档管理 (26)3.7验收管理 (26)第4部分技术服务要求 (28)4.1服务原则 (28)4.2技术服务内容 (28)4.3技术服务方式 (29)4.4技术服务体系 (29)4.5第三方的服务监管要求 (30)第5部分附录 (32)5.1引用文件 (32)5.2名词解释 (32)说明编制目的:根据国家税务总局进一步优化纳税服务工作的要求,各地税务机关大力依托公共网络向纳税人提供网上办税服务,各地网上办税系统的数量和覆盖的业务范围快速增加,逐渐成为税务部门为纳税人办理涉税业务的一种重要方式。
《税务系统信息安全基本要求(试行)》
5.1.4 税务应用软件系统安全技术基本要求 ...................................................................... 9
5.1.5 数据保护安全技术基本要求 ...................................................................................... 9
5.3.6 密码技术基本要求 .................................................................................................... 27
5.3.7 安全集中管控技术基本要求 .................................................................................... 27
6.1.1 安全管理机构设置 .................................................................................................... 38
6.1.2 安全管理机构人员配备及职责 ................................................................................ 39
5.2.2 网络安全技术基本要求 ............................................................................................. 11
《税务计算机信息系统安全管理规定》
国家税务总局关于印发《税务计算机信息系统安全管理规定》的通知1999年7月20日国税发【1999】131号各省、自治区、直辖市和计划单列市国家税务局、地方税务局,扬州培训中心、长春税务学院:为加强全国税务机关计算机信息系统安全保护工作,保证税收电子化事业的顺利发展,根据公安部、国家保密局的有关规定,针对新形势下计算机应用的特点,总局对1997年发布的《税务系统计算机系统安全管理暂行规定》(国税发【1997】069号)进行了修订和完善,并更名为《税务计算机信息系统安全管理规定》。
现印发给你们,请遵照执行。
原国税发【1997】069号同时作废。
国家保密局国保发【1998】1号、中央保密委员会、国家保密局中保发【1998】6号、中华人民共和国公安部令第33号等文件随本文一并印发。
税务计算机信息系统安全管理规定第一章总则第一条根据《中华人民共和国保守国家秘密法》和公安部、国家保密局的有关规定及要求,为了更好地规范和管理税务系统的计算机、网络设备和电子信息,使之安全运行,更好地发挥计算机、网络和信息资源的作用,特制定《税务计算机信息系统安全管理规定》(以下简称《规定》)。
第二条本《规定》适用于全国地市级以上税务机关的网络、计算机及附属设备和电子数据的管理。
第三条税务系统计算机信息系统安全保护工作谁主管、谁负责,预防为主、综合治理、人员防范与技术防范相结合的原则,逐级建立安全保护责任制,加强制度建设,逐步实现管理科学化、规范化。
第四条任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第五条各级税务机关计算机信息系统的建设和规划应按国家保密局(国保发【1998】1号)文件的规定,同步规划并落实相应的保密措施。
第六条涉及国家秘密的计算机信息系统的建设,必须严格按照中共中央保密委员公办公室和国家保密局(中保办发【1998】6号)的通知要求,报经省局以上保密部门审批后,方可投入使用。
税务系统信息中心规章制度
税务系统信息中心规章制度
《税务系统信息中心规章制度》
税务系统信息中心是国家税务部门的重要组成部分,负责税收信息的收集、处理、储存和查询。
为了规范信息中心的运作,保障税务工作的顺利进行,税务系统信息中心制定了一系列规章制度。
首先,信息中心建立了完善的信息安全管理制度,包括机房保护措施、网络安全规定、数据备份方案等,确保税收信息的安全可靠。
其次,信息中心规定了信息采集、处理和查询的流程和标准,明确了各环节的责任人和操作规范,保证税务信息的真实性和准确性。
再次,信息中心建立了用户权限管理制度,对不同级别的用户给予相应的权限,以保护税收信息不被非法获取和篡改。
此外,信息中心还规定了信息共享和交流的程序和规定,促进税务部门内部和外部单位的信息互通互联。
这些规章制度的制定和执行,保障了税务工作的顺利进行,也保障了纳税人的合法权益。
同时,信息中心也不断完善和更新规章制度,以适应信息技术的发展和税收工作的需要。
税务系统信息中心规章制度的贯彻执行,将为国家税收工作的高效运行提供有力保障。
网上办税系统安全保障要求分析
网上办税系统安全保障要求分析一、概述本文档分析的内容是辽宁国税网上办税厅系统(含网络发票部分)【后简称系统】与国税总局发布的《网上办税系统安全保障要求》【后简称要求】之间的异同。
本次分析仅包括要求文档中第二部分(既系统安全保障技术要求)中的应用和数据安全要求,安全保障基础设施和系统安全开发和实现。
不包括涉及硬件环境或管理制度的环境安全要求,系统安全配置要求和第三部分系统安全管理要求。
分析分为两部分:一分原文分析(采用原文加注的方式),二为针对原文分析部分的简要总结。
二、原文分析---------------------------------------------------------------------------------------------------------------- 2.3 应用和数据安全要求2.3.1 用户数据保护2.3.1.1用户数据完整性与抗抵赖性应从以下方面设计和实现应用系统的数据完整性与抗抵赖性控制功能:(1)应对纳税登记数据、纳税申报数据、纳税证书数据等用户数据进行完整性与抗抵赖性检测,确保数据完整性和抗抵赖。
(2)应对网上办税业务数据、业务管理数据等用户数据进行完整性与抗抵赖性检测,确保数据完整性和抗抵赖。
【目前系统的完整性和抗抵赖性检测由电子签章技术实现。
由于文中没有相关的技术标准,所以该项技术是否符合要求不确定。
】2.3.1.2 用户数据保密性应从以下方面设计和实现应用系统的数据保密性控制功能:(1)纳税登记数据、纳税申报数据、纳税证书数据等用户数据,应进行一定的保密性保护,确保外部用户不能用简单的方法获得该类用户数据。
(2)应对网上办税业务数据、业务管理数据等用户数据进行数据保密性保护。
【目前系统应已实现外部用户不能用简单的方法获得该类用户数据。
但文中未明确简单的方法是什么意思,也没有明确保密性措施是在以哪种方式实现,有没有什么标准要求。
】2.3.2身份鉴别2.3.2.1用户身份标识(1)对用户身份标识要求进行基本标识、标识唯一性和标识信息管理:①基本标识:应在系统安全功能实施所要求的动作之前,先对提出该动作要求的用户进行标识;②标识唯一性:应确保所标识用户在信息系统生命周期内的唯一性,并将用户标识与安全审计相关联;③标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。
税务系统网络与信息安全信息通报制度(试行)
税务系统网络与信息安全信息通报制度(试行)附件5税务系统网络与信息安全信息通报制度(试行)第一条为规范全国税务系统网络与信息安全信息通报管理工作,及时做好相应的安全防范措施,降低信息安全事件的发生概率,减少信息安全事件带来的损失和影响。
根据国家网络与信息安全协调小组办公室《网络与信息安全信息通报暂行办法》(信安通…2003?10号)及国家税务总局税务系统网络与信息安全应急响应规划,制定本制度。
第二条税务系统内县级以上单位网络与信息安全信息的通报,适合本制度。
第三条本制度中所称的安全信息除了包括已发生的和正在发生的安全事件的信息,还包括可预见的将来可能发生的安全事件的信息。
第四条为加强税务系统网络与信息系统安全信息共享和统一协调行动,按照“统一领导、归口负责”的原则,由各级网络与信息安全领导小组办公室负责网络与信息安全信息通报工作的组织、指导和协调,并确定承担本单位网络与信息安全信息通报工作的职能部门、负责人和联络员。
第五条税务系统网络与信息安全信息通报采用下管一级办法实行,上级单位负责将相关的安全信息通报给下一级单位,如遇到一些特别重大安全事件或特别紧急的安全预警,可连级或跨级通报。
各单位还有责任向当地政府网络与信息安全管理部门进行通报。
第六条通报可采取例行通报、紧急通报两种方式进行。
例行通报为定期方式,适用于对安全信息的汇总分析,每月一次,在安全事件多发地区及多发时期可根据实际调整为每半月一次或每星期一次。
紧急通报为不定期方式,适用于对突发的安全事件或重大安全预警信息的发布,对具有紧急和有重要指导作用的安全信息应在当天内完成通报。
第七条全国税务系统应在充分利用现有资源基础上建立本单位信息通报网络系统和技术平台,确定安全信息通报渠道和联系方式,可采用口头、电话、网络电子公告、邮件、传真或公文等多种形式,在遇到重要安全信息需要通报时,应在最短时间内采取最有效的办法通知各有关单位。
第八条安全事件是税务网络与信息系统已经发生、正在发生或预计将要发生的有较大不利影响的事件。
《税务计算机信息系统安全管理规定》
《税务计算机信息系统安全管理规定》税务计算机信息系统安全管理规定是为了保障国家税务系统的信息安全,有效防止信息泄露、丢失、篡改等风险而制定的一系列管理规定。
本文将对税务计算机信息系统安全管理规定进行详细阐述,主要包括管理目标、管理范围、安全责任、安全控制措施等内容。
一、管理目标税务计算机信息系统安全管理的目标是保障税务体系内部数据的完整性、机密性和可用性。
通过建立严格的安全管理制度、完善的技术措施和培训机制,提高税务计算机信息系统的安全性和可靠性,确保税务系统的正常运行和数据的安全。
二、管理范围三、安全责任1.税务机构应当明确安全责任,建立完善的安全管理机构,明确安全责任人员的职责和权限。
2.安全责任人员应当定期进行安全风险评估和监测,及时发现和排除安全隐患。
3.对于违反安全规定的责任人员,应当给予相应的处罚和纪律处理。
四、安全控制措施1.权限管理:对于税务计算机信息系统内的各种权限,应进行有效的管理和控制,确保只有具备相应权限的人员才能进行相关操作。
2.密码管理:对于所有登录系统的用户,应采用严格的密码规定,要求定期更换密码,并对密码进行加密处理。
3.数据备份:对于重要的数据和信息,应进行定期的备份,确保在数据丢失或损坏的情况下能够及时恢复。
4.网络安全控制:建立防火墙、入侵检测系统等技术措施,保护网络的安全,阻止未授权的访问和攻击。
5.安全审计:对税务计算机信息系统进行定期的安全审计,及时发现和排除潜在的安全风险。
五、应急响应建立完善的信息安全事件应急响应机制,明确各个应急响应阶段的职责和流程。
在出现安全事件时,能够迅速响应、及时处置,降低安全事件对税务计算机信息系统的影响。
六、培训和教育建立定期的安全培训和教育机制,提高税务计算机信息系统用户的安全意识和技能水平,增强其对信息安全的认识和管理能力。
七、监督和检查建立相应的监督和检查机制,对税务计算机信息系统安全管理工作进行定期检查和评估,确保安全管理措施的有效性和合规性。
税务计算机信息系统安全管理规定
税务计算机信息系统安全管理规定一、总则随着信息技术的不断发展,税务计算机信息系统在税收征管工作中发挥着越来越重要的作用。
为了保障税务计算机信息系统的安全、稳定运行,保护税收数据的机密性、完整性和可用性,特制定本规定。
本规定适用于各级税务机关及其工作人员在使用、管理税务计算机信息系统过程中的安全管理活动。
二、安全管理职责(一)税务机关应成立信息安全领导小组,负责统筹规划、协调指导本单位的信息安全工作。
领导小组应由单位主要负责人担任组长,相关部门负责人为成员。
(二)信息安全管理部门负责制定和落实信息安全管理制度,组织开展信息安全检查和评估,及时处理信息安全事件。
(三)系统运维部门负责税务计算机信息系统的日常运行维护,保障系统的稳定运行,及时排除安全隐患。
(四)业务部门应按照“谁主管谁负责、谁使用谁负责”的原则,落实本部门业务系统的安全管理责任,规范业务操作流程,防止因业务操作不当引发信息安全问题。
三、系统建设安全(一)税务计算机信息系统的建设应遵循国家有关法律法规和标准规范,进行安全需求分析和风险评估,制定安全方案。
(二)系统开发应采用安全可靠的技术和工具,进行严格的代码审查和测试,确保系统的安全性和稳定性。
(三)系统上线前应进行安全验收,对系统的安全性、功能完整性、性能等方面进行全面检测,验收合格后方可上线运行。
四、网络安全(一)税务机关应构建安全可靠的网络架构,划分不同的网络区域,实施访问控制策略,确保网络通信的安全。
(二)加强网络设备的管理,定期对网络设备进行安全配置检查和更新,及时发现和处理网络设备的安全漏洞。
(三)对税务计算机信息系统的网络访问进行严格控制,实行内外网隔离,禁止未经授权的网络访问。
五、数据安全(一)税收数据是税务工作的重要资产,应采取严格的安全措施进行保护。
对数据的采集、传输、存储、使用、备份和恢复等环节进行全程加密,防止数据泄露。
(二)建立数据备份管理制度,定期对重要数据进行备份,并对备份数据进行定期恢复测试,确保备份数据的可用性。
国家税务总局税务系统计算机软件开发应用管理办法
国家税务总局关于印发《税务系统计算机软件开发应用管理办法》的通知国税发〔1997〕149号各省、自治区、直辖市和计划单列市国家税务局、地方税务局:为了进一步规范税务系统计算机应用软件的开发,加强计算机开发与管理,保证各地计算机的开发和应用逐步规范化、科学化,国家税务总局拟定了《税务系统计算机软件开发应用管理办法》,现印发给你们,请遵照执行。
总局将根据各地在计算机开发与应用中的使用情况和意见,不断完善此管理办法,各地有何建议和意见,请函告总局(信息中心)。
一九九七年九月九日税务系统计算机软件开发应用管理办法第一章总则第一条为加强全国税务系统计算机软件的管理工作,规范系统内计算机软件的开发,保障应用系统的安全运行,根据国家的有关法规和税务系统的具体情况,制定本办法。
第二条全国税务系统软件开发与应用管理工作,必须按照“统一领导、统一规划、统一标准、分级管理、分步实施”的原则进行。
第三条计算机软件开发应用管理工作的主要内容包括:项目管理、开发管理、应用管理和维护管理。
第四条税务系统各级机构的计算机软件开发、应用工作均由同级别的计算机管理部门管理和指导。
第五条本办法所指的计算机软件(简称软件,下同)是指在税务系统内使用以及由税务系统推广使用的计算机应用软件。
第二章项目管理第六条税务系统应用软件按其使用范围分为国家税务总局级、省局级和省辖市(地区)局级。
国家税务总局级软件开发前应编制软件开发报告报总局(信息中心),省局级软件开发前应编制软件开发报告上报国家税务总局(信息中心)。
省辖市(地区)局级软件开发前应填写软件开发报告上报省局信息中心。
软件开发报告应包括以下方面内容:项目名称、项目目标、系统功能结构、进度安排、开发方式、人员投入情况、资金投入情况等等。
第七条软件开发可以采取独立开发、合作开发和委托开发等方式。
第八条采用合作开发、委托开发等方式开发的软件,应在项目任务书或合同中注明其版权归属于税务部门;属于税务部门与其他单位共用的或向其它单位推广的软件,合作方或被委托方可与税务部门共享版权,并应在项目任务书或合同中注明各自的权限。
税务应用系统网络安全审核指南原文
税务应用系统网络安全审核指南原文
引言部分:
阐述该指南的出台背景和目的,即为了加强税务应用系统的网络安全防护,规范税务系统网络安全审核工作。
适用范围:
明确该指南适用于税务总局及其分支机构的各类税务应用系统。
术语和定义:
对文中使用的专业术语进行准确定义,如网络安全审核、系统漏洞、风险评估等。
基本原则:
列举网络安全审核所应遵循的基本原则,如合法合规、客观公正、保密性等。
审核内容和要求:
对审核的主要内容和具体要求进行详细说明,可能包括系统架构审核、访问控制审核、数据安全审核、应用代码审核、病毒防护审核等多个方面。
审核流程:
阐述审核的工作流程,如审核准备、现场审核、审核报告出具、整改验证等环节。
职责分工:
明确税务机关、系统运维单位、审核机构在审核工作中的职责分工。
附则:
对指南的发布、实施和解释单位等作出规定。
以上是根据题目对指南可能内容的概括性概述,没有复制任何现有文本内容。
如有其他需求,尽管告知。
税务系统网络与信息安全标准规范信息安全管理体系框架
税务系统网络与信息安全标准规范信息安全管理体系框架“税务系统信息安全管理体系”编制说明两办发27号文对国家信息安全保障工作提出了具体的意见~为了落实党和国家对信息安全保障工作的部署~切实保障税务系统的信息安全问题~总局领导指示将税务系统的建章立制工作作为近两年税务系统信息安全保障的重要工作内容之一。
本“税务系统信息安全管理体系”依据信息系统全生命周期中各阶段对于信息安全保障工作的不同需求~提出在信息系统全生命周期的安全管理制度。
在制定税务系统信息安全管理体系时~紧紧围绕国家信息安全管理部门制定的国家信息安全保障工作重点以及税务系统的网络和业务应用的特征。
所提出的税务系统信息安全管理体系力求突出体系化的特征并符合国际与国内相关的标准要求。
税务系统信息安全管理体系分为三个层次:安全策略-程序与管理制度-过程控制文件。
其中税务系统网络与信息安全总体方案属于第一个层次~程序与管理制度共37类文档~过程控制文件包括11类文档。
本文档制定了税务系统信息安全管理体系的框架~在该框架内每个层次的具体管理制度与规范等可以根据具体情况进行增减。
税务系统网络与信息安全标准规范之信息安全管理体系框架(征求意见稿)编制::审核.批准:国家税务总局信息中心二〇〇四年六月2版本控制版本号日期参与人更新说明 1.0分发控制:编号读者文档权限与文档的主要关系 1 2 3 5 61第 1 章管理体系建设综述网络与信息安全管理是指对计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协调,进而从整体上提高计算机网络的防范入侵、抵抗攻击的能力。
解决信息系统的安全问题,成败通常取决于两个要素:技术和管理。
信息安全管理是信息安全技术发挥功效的重要保障和支撑。
如果说,安全技术是信息安全的构筑材料,那么,信息安全管理就是粘合剂和催化剂,只有将有效的安全管理贯彻落实于信息安全的方方面面,信息安全的长期性和有效性才能有所保证。
信息系统安全管理要深入至信息系统生命周期的每一个阶段从而保证信息的机密性、完整性和可用性来实现信息系统的安全。
税务计算机信息系统安全管理规定
税务计算机信息系统安全管理规定随着信息技术的不断发展,税务工作对计算机信息系统的依赖程度日益加深。
为了保障税务计算机信息系统的安全、稳定运行,保护税务数据的完整性、保密性和可用性,特制定以下税务计算机信息系统安全管理规定。
一、总则(一)本规定适用于税务机关内部使用的计算机信息系统,包括硬件、软件、网络、数据以及相关的人员和流程。
(二)税务计算机信息系统安全管理的目标是确保系统的可用性、完整性和保密性,防止未经授权的访问、使用、披露、修改或破坏。
(三)税务机关应建立健全信息安全管理体制,明确各级部门和人员的安全职责,加强安全意识教育和培训。
二、安全组织与职责(一)成立信息安全领导小组,负责制定信息安全策略,审批安全管理制度,协调解决重大安全问题。
(二)设立信息安全管理部门,具体负责信息安全的日常管理工作,包括制定安全规划、组织安全评估、监督安全措施的落实等。
(三)各业务部门应指定专人负责本部门的信息安全工作,配合信息安全管理部门落实各项安全措施,及时报告安全事件。
三、人员安全管理(一)对税务工作人员进行背景审查,确保其具备良好的品行和职业道德。
(二)新入职人员应接受信息安全培训,了解信息安全政策和规定。
(三)定期对工作人员进行信息安全意识教育和技能培训,提高其安全防范能力。
(四)工作人员离职时,应及时收回其访问权限,清理相关的账户和信息。
四、设备与环境安全管理(一)计算机设备应放置在安全的环境中,具备防火、防盗、防潮、防尘、防电磁干扰等措施。
(二)定期对设备进行维护和保养,确保其正常运行。
(三)对网络设备、服务器、存储设备等关键设备进行冗余配置,提高系统的可靠性。
(四)建立机房管理制度,限制无关人员进入机房。
五、网络安全管理(一)划分网络安全区域,实行不同区域之间的访问控制和隔离。
(二)采用防火墙、入侵检测、防病毒等安全技术手段,防范网络攻击和恶意软件。
(三)定期对网络进行安全扫描和漏洞检测,及时发现和修复安全隐患。
国家税务总局关于加强网上办税系统技术管理工作的通知
国家税务总局关于加强网上办税系统技术管理工作的通知
【法规类别】税收综合规定
【发文字号】税总函[2014]505号
【发布部门】国家税务总局
【发布日期】2014.10.20
【实施日期】2014.10.20
【时效性】现行有效
【效力级别】XE0303
国家税务总局关于加强网上办税系统技术管理工作的通知
(税总函〔2014〕505号)
各省、自治区、直辖市和计划单列市国家税务局、地方税务局:
近年来,为落实国家税务总局优化纳税服务工作要求,各地税务机关大力依托互联网络向纳税人提供办税服务,极大地方便了纳税人,应用成效显著。
但由于税收信息化发展水平及税收业务管理需求不同,各地网上办税系统的业务功能、技术实现、安全防护和技术保障等方面仍然参差不齐。
为规范各地网上办税系统的设计和实施,全面提升网上办税系统技术保障能力,税务总局制定了《网上办税系统技术要求》(附件1,以下简称《技术要求》),并就加强网上办税系统技术管理工作通知如下:
一、明确工作要求,高度重视网上办税系统技术管理工作。
网上办税系统和纳税人密切
相关,确保网上办税系统安全稳定运行是落实“便民办税春风行动”、《全国县级税务机关纳税服务规范》的重要保障,是提高纳税人满意度和税法遵从。
国家税务总局公告2010年第3号--关于发布《网上纳税申报软件管理
国家税务总局公告2010年第3号--关于发布《网上纳税申报软件管理规范(试行)》的公告【法规类别】税收征收管理【发文字号】国家税务总局公告2010年第3号【发布部门】国家税务总局【发布日期】2010.07.19【实施日期】2010.11.01【时效性】现行有效【效力级别】XE0303国家税务总局公告(2010年第3号)关于发布《网上纳税申报软件管理规范(试行)》的公告为加强网上纳税申报软件的管理,优化纳税服务,确保纳税人申报的电子涉税数据准确、完整、安全,国家税务总局制定了《网上纳税申报软件管理规范(试行)》现予公布,自2010年11月1日起施行。
国家税务总局还将制定《网上纳税申报软件业务标准》,并统一开展网上纳税申报软件的评测工作。
评测合格的企业及软件产品,国家税务总局统一向社会公布,由纳税人选择使用。
《网上纳税申报软件业务标准》及评测相关事项另行公告。
特此公告。
国家税务总局二○一○年七月十九日网上纳税申报软件管理规范(试行)第一章总则第一条为规范网上纳税(费)申报软件开发与服务,加强对软件开发与服务单位(以下简称开发服务商)的监管,确保纳税人申报的电子涉税数据准确、完整和安全,特制定《网上纳税申报软件管理规范》(以下简称管理规范)。
第二条网上纳税申报软件分为低保型纳税申报软件、商品化纳税申报软件和纳税人自行开发纳税申报软件。
低保型纳税申报软件,是指税务机关免费为纳税人提供、符合相关规定、满足基本要求的纳税申报软件。
商品化纳税申报软件,是指市场上开发服务商根据相关规定开发的,纳税人自愿选用并享有配套服务的纳税申报软件。
纳税人自行开发纳税申报软件,是指纳税人自行研发符合相关规定的纳税申报软件。
第三条根据国家法律法规和税收政策,国家税务总局制定和修订统一的网上纳税申报业务标准(以下简称业务标准),并及时向社会发布。
业务标准之外税(费)申报,由省税务机关依据业务标准增补相应的内容,并报国家税务总局备案后及时向社会发布。
国家税务总局关于发布《纳税信用管理办法(试行)》的公告
国家税务总局关于发布《纳税信用管理办法(试行)》的公告文章属性•【制定机关】国家税务总局•【公布日期】2014.07.04•【文号】国家税务总局公告2014年第40号•【施行日期】2014.10.01•【效力等级】部门规范性文件•【时效性】部分失效•【主题分类】税务综合规定正文本篇法规中第十五条第二款、第三十二条第七项已被《国家税务总局关于纳税信用管理有关事项的公告》(国家税务总局公告2020年第15号)自2020年11月1日起废止。
国家税务总局关于发布《纳税信用管理办法(试行)》的公告(国家税务总局公告2014年第40号)现将《纳税信用管理办法(试行)》予以发布,自2014年10月1日起施行。
特此公告。
国家税务总局2014年7月4日纳税信用管理办法(试行)第一章总则第一条为规范纳税信用管理,促进纳税人诚信自律,提高税法遵从度,推进社会信用体系建设,根据《中华人民共和国税收征收管理法》及其实施细则、《国务院关于促进市场公平竞争维护市场正常秩序的若干意见》(国发〔2014〕20号)和《国务院关于印发社会信用体系建设规划纲要(2014-2020年)的通知》(国发〔2014〕21号),制定本办法。
第二条本办法所称纳税信用管理,是指税务机关对纳税人的纳税信用信息开展的采集、评价、确定、发布和应用等活动。
第三条本办法适用于已办理税务登记,从事生产、经营并适用查账征收的企业纳税人(以下简称纳税人)。
扣缴义务人、自然人纳税信用管理办法由国家税务总局另行规定。
个体工商户和其他类型纳税人的纳税信用管理办法由省税务机关制定。
第四条国家税务总局主管全国纳税信用管理工作。
省以下税务机关负责所辖地区纳税信用管理工作的组织和实施。
第五条纳税信用管理遵循客观公正、标准统一、分级分类、动态调整的原则。
第六条国家税务总局推行纳税信用管理工作的信息化,规范统一纳税信用管理。
第七条国家税务局、地方税务局应联合开展纳税信用评价工作。
第八条税务机关积极参与社会信用体系建设,与相关部门建立信用信息共建共享机制,推动纳税信用与其他社会信用联动管理。
国家税务总局关于推行增值税一般纳税人纳税申报电子信息采集系统的通知
国家税务总局关于推行增值税一般纳税人纳税申报电子信息采集系统的通知文章属性•【制定机关】国家税务总局•【公布日期】2003.03.27•【文号】国税函[2003]328号•【施行日期】2003.03.27•【效力等级】部门规范性文件•【时效性】失效•【主题分类】增值税,税收征管正文*注:本篇法规已被《国家税务总局关于发布已失效或废止有关增值税规范性文件清单的通知》(发布日期:2009年2月2日实施日期:2009年2月2日)宣布失效或废止国家税务总局关于推行增值税一般纳税人纳税申报电子信息采集系统的通知(国税函[2003]328号2003年3月27日)各省、自治区、直辖市和计划单列市国家税务局:为了实现增值税专用发票信息与增值税一般纳税人税款申报和缴纳信息的交叉比对,即“票税稽核”功能,以充分发挥金税工程二期的税控作用,国家税务总局决定推行增值税一般纳税人纳税申报电子信息采集系统,现将有关事项通知如下:一、推行增值税一般纳税人纳税申报电子信息采集工作的统一时间安排和考核办法,国家税务总局将另行制定下达。
目前,各省、自治区、直辖市和计划单列市国家税务局可结合本地区的实际情况制定推行工作计划,于2003年4月30日前上报总局。
二、对各地税务机关推荐的增值税电子申报软件,国家税务总局进行了统一测试评审,现将测试合格企业名单通知你们(见附件1),凡未经国家税务总局测评合格并公布的增值税电子申报软件,各地一律不得采用。
三、目前部分地区已推行了增值税电子申报,为有利于总局研究制定推行增值税一般纳税人纳税申报电子信息采集系统的统一工作部署,请各地将已推行的增值税电子申报情况于2003年4月30日前上报国家税务总局(上报内容见附件2)。
附件:1.测试合格企业名单(按测试顺序排列)2.增值税纳税人推行电子申报情况调查表附件1:测试合格企业名单(按测试顺序排列) ┌───┬──────────────────┬──────────┐│ 序号│企业名称│支持传输方式│├───┼──────────────────┼──────────┤│ 1│北京久其软件股份有限公司│网络、介质│├───┼──────────────────┼──────────┤│ 2│北京天畅伟业科技有限公司│网络、介质│├───┼──────────────────┼──────────┤│ 3│北京中税华通科技发展有限公司│网络、介质│├───┼──────────────────┼──────────┤│ 4│北大青鸟商用信息系统有限公司│网络、介质│├───┼──────────────────┼──────────┤│ 5│北京博天科技发展有限公司│网络、介质│├───┼──────────────────┼──────────┤│ 6│航天信息股份有限公司│网络、介质│├───┼──────────────────┼──────────┤│ 7│山西真诚科技有限公司│网络、介质│├───┼──────────────────┼──────────┤│ 8│哈尔滨工业大学软件工程有限公司│网络、介质│├───┼──────────────────┼──────────┤│ 9│广州方欣科技有限公司│介质│├───┼──────────────────┼──────────┤│10│深圳艾博克电脑系统有限公司│介质│├───┼──────────────────┼──────────┤│11│交大龙山软件有限公司│网络、介质│├───┼──────────────────┼──────────┤│12│浙江浙科信息技术有限公司│介质│├───┼──────────────────┼──────────┤│13│杭州时比特电子有限公司│网络、介质│├───┼──────────────────┼──────────┤│14│北京市中兴通电子技术有限公司│网络、介质│├───┼──────────────────┼──────────┤│15│广州市瑞智系统集成有限公司│网络、介质│├───┼──────────────────┼──────────┤│16│广西德意数码股份有限公司│网络、介质│├───┼──────────────────┼──────────┤│17│长城软件与系统有限公司│网络、介质│├───┼──────────────────┼──────────┤│18│上海沪友科技发展有限公司│网络、介质│├───┼──────────────────┼──────────┤│19│北京泰和数码科技有限公司│网络、介质│├───┼──────────────────┼──────────┤│20│广东粤税科技有限公司│网络、介质│├───┼──────────────────┼──────────┤│21│南京天王星科技发展有限公司│介质│├───┼──────────────────┼──────────┤│22│福建汇胜科技股份有限公司│介质│├───┼──────────────────┼──────────┤│23│深圳市中财翰海科技有限公司│介质│├───┼──────────────────┼──────────┤│24│沈阳天久信息科技有限公司│介质│└───┴──────────────────┴──────────┘附件2:增值税纳税人推行电子申报情况调查表┌──┬────────┬───────────────────┬──────┐│序号│软件开发商名称│推行户数│推行开始时间│││├─────────┬──────┬──┤││││增值税一般纳税人│小规模纳税人│合计││├──┼────────┼─────────┼──────┼──┼──────┤│ 1││││││├──┼────────┼─────────┼──────┼──┼──────┤│ 2││││││├──┼────────┼─────────┼──────┼──┼──────┤│ … ││││││├──┼────────┼─────────┼──────┼──┼──────┤│合计││││││└──┴────────┴─────────┴──────┴──┴──────┘。
税务安全要求
税务安全要求
税务安全要求是指在税务工作中,保障税收信息安全的要求和措施。
税务信息不仅包括个人和企业的纳税信息,还包括税务机关的工作文件、数据库等。
为了保障税务信息的安全,以下是税务安全要求: 1. 加强信息安全意识。
税务工作人员应该具备信息安全意识,向员工进行信息安全培训,加强其对信息安全的认识和重视,防止信息泄露。
2. 加强系统安全保护。
对税务信息系统进行安全评估,加强系统的安全防护,包括网络安全、系统访问控制、数据备份等。
3. 加强数据备份和恢复。
加强税务信息的备份和恢复工作,确保在系统故障或数据丢失时,能够快速恢复丢失的数据和信息。
4. 严格控制访问权限。
对税务信息系统的访问权限进行严格控制,根据不同的职责和权限,设置不同的访问权限,防止未经授权的人员访问税务信息系统。
5. 加强数据加密保护。
对税务信息系统中的重要数据进行加密处理,确保敏感信息不被泄露或篡改。
6. 建立安全事件应急预案。
建立税务信息安全事件应急预案,对可能出现的安全事件进行预防和处置,确保数据和信息安全不受影响。
以上是税务安全要求的主要内容,税务机关应根据实际情况,制定相应的安全措施和保障措施,保障税务信息安全。
- 1 -。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网上办税系统信息安全基本技术规范网上办税系统信息安全基本技术规范目录1文档概述 (1)1.1适用范围 (1)1.2文档相关说明 (1)1.3引用文件 (1)1.4术语和定义 (2)1.5符号和缩略语 (2)2网上办税系统概述 (3)2.1系统定义 (3)2.2系统描述 (3)2.2.1服务器端 (3)2.2.2客户端 (3)2.2.3专用辅助安全设备 (3)2.2.4网络通信 (4)2.3用户及数据描述 (4)2.3.1用户 (4)2.3.2数据 (4)2.4系统边界 (4)3信息安全基本技术规范 (5)3.1服务器端安全 (5)3.1.1 应用安全和数据安全 (5)3.1.2网络区域划分 (7)3.1.3 网络安全 (9)3.1.4 服务器安全 (11)3.2客户端安全 (13)3.2.1 客户端运行环境安全 (14)3.2.2 客户端软件 (14)3.2.3 密码保护 (14)3.2.4 登录控制 (15)3.2.5 信息保护 (15)3.3专用辅助安全设备安全 (15)3.3.1 USB Key (15)3.3.2 文件证书 (16)3.3.3 手机短信动态密码 (16)3.4网络通信安全 (16)前言编制目的:根据国家税务总局进一步优化纳税服务工作的要求,各地税务机关大力依托公共网络向纳税人提供网上办税服务,各地网上办税系统的数量和覆盖的业务范围快速增加,已经成为税务部门处理业务的一种重要方式。
特别是随着各地网上办税业务模式不断创新,纳税人在互联网上已从过去单一的业务查询、申报工作提升到网上缴税等资金类操作,显著增加了网上办税系统的安全风险。
与此同时,各地在网上办税中的信息安全防护水平参差不齐。
因此,为保证网上办税系统能够安全平稳,有效增强现有网上办税系统安全防范能力,促进网上办税规范、健康发展,提出税务网上办税系统信息安全基本技术规范。
基本原则:网上办税系统信息安全基本技术规范基于安全现状,符合安全需求,为网上办税系统提供基本的安全保障。
网上办税系统信息安全基本技术规范1文档概述1.1适用范围本规范明确了网上办税系统的定义,规定了基于公共网络(如互联网、移动网络)或专线的网上办税系统建设、部署、运行维护的技术和管理要求,提出了网上办税系统信息安全保障的基本技术规范。
1.2文档相关说明文档中使用*号标注的内容对技术检测要求能力较高,可由第三方检测机构检测,并提供相应报告证明。
1.3引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范。
凡是不注日期的引用文件,其最新版本适用于本规范。
(1)GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求(2)GB/T 20984-2007 信息安全技术信息系统风险评估规范(3)GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型(4)GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求(5)GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求(6)GB/T 22080-2008 信息技术安全技术信息安全管理体系要求(7)GB/T 22081-2008 信息技术安全技术信息安全管理使用规则(8)GB/T 14394-2008 计算机软件可靠性和可维护性管理(9)GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求(10)GB 17859-1999 计算机信息系统安全保护等级划分准则(11)GB/T 20269-2006 信息安全技术信息系统安全管理要求(12)GB/T 20271-2006 信息安全技术信息系统通用安全技术要求(13)GB/T 20272-2006 信息安全技术操作系统安全技术要求(14)GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求(15)公通字[2007]43号信息安全等级保护管理办法。
(16)《国家税务总局关于进一步加强网上办税系统信息安全保障工作的通知》(国税函〔2010〕124号)1.4术语和定义1)网上办税网上办税是指国家税务机关将传统的通过办税大厅向纳税人提供服务的方式转变为利用互联网向纳税人提供服务的一种办税方式。
2)互联网因特网、无线网络或其他类似形式的通用性公共计算机通信网络。
3)敏感信息网上办税的敏感信息包括纳税人的身份认证信息等非公开信息以及税务机关的非公开信息。
4)客户端程序网上办税系统客户端包括通过浏览器访问的网上办税系统页面以及嵌入到浏览器中辅助完成网上办税业务的ActiveX控件,独立安装与运行在PC及移动终端上的专用网上办税客户端软件。
5)USB Key一种USB接口的硬件设备。
它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
1.5符号和缩略语以下缩略语和符号表示适用于本规范:Cookies 为辨别客户身份而储存在客户本地终端上的数据DOS/DDOS 拒绝服务/分布式拒绝服务(Denial of Service/Distributed ofService)IDS/IPS 入侵检测系统/入侵防御系统(Intrusion Detection System/Intrusion Prevention System)SSL 安全套接字层(Secure Socket Layer)TLS 传输层安全(Transfer Layer Secure)VPN 虚拟专用网络(Virtual Private Network)ACL 访问控制列表(Access Control List,ACL)2网上办税系统概述2.1系统定义网上办税系统是运用现代化的通信手段和计算机及网络信息处理技术,由纳税人通过Web服务等设施办理涉税业务的综合信息处理系统,是税务部门用于采集、处理、存储、传输、分发和发布涉税信息、提高服务质量的基础设施,是组织结构、人员和IT组件的集成。
2.2系统描述2.2.2客户端网上办税系统客户端包括通过浏览器访问的网上办税系统页面以及嵌入到浏览器中辅助完成网上办税业务的ActiveX控件,独立安装与运行在PC及移动终端上的专用网上办税客户端软件。
2.2.3专用辅助安全设备专用辅助安全设备是为提高网上办税系统的可信通信能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力而采用的安全辅助设备,包括USB Key、文件证书和动态口令等。
2.2.4网络通信网络通信是指网上办税系统借助互联网技术向纳税人提供纳税服务的过程中用户数据的流通交互过程。
2.3用户及数据描述2.3.1用户网上办税系统有两类用户:(1)管理员用户:包括业务系统管理人员、技术维护人员和安全审计人员等用户,分别具有各自特定的权限。
(2)纳税用户:包括所有网上办税的纳税人,数量众多,仅拥有纳税人独立使用网上办税系统的专有权限。
2.3.2数据网上办税系统数据主要包括:(1)业务数据:开展网上办税相关业务的数据,包括纳税登记数据、纳税申报数据等。
(2)业务管理数据:上述业务数据之外的,用于业务人员管理业务系统运行的有关数据。
(3)访问控制数据:网上办税系统及其使用者相关的权限管理和身份鉴别数据。
(4)安全审计数据:用于监测和审计业务系统运行管理以及系统安全的有关数据,如各类用户的重要操作记录、业务数据流转记录、系统运行安全监测的记录等。
(5)系统数据:网上办税业务系统涉及的网络数据、系统数据和安全设备产生的数据等,以及用于系统维护和安全管理的其他数据。
2.4系统边界网上办税系统信息安全基本技术规范适用于安全区域划分(安全区域划分详见本规范3.1.2)中外部区域、网上办税访问区域和网上办税业务受理区域,不适用于税务内部核心系统(如CTAIS等)、办公系统以及税务机关信息发布系统(如门户网站)等不直接向纳税人提供网上办税服务的系统。
3信息安全基本技术规范3.1服务器端安全3.1.1应用安全和数据安全用户数据包含不限于纳税登记数据、纳税申报数据、纳税证书数据,网上办税业务数据、业务管理数据以及存储和传输的用户数据。
为了提升网上办税系统应用安全以及数据的安全性,系统应用以及用户数据应满足以下安全要求。
用户数据保护(1)应采用密码技术或其他措施保证用户数据的完整性。
(2)应采用加密技术对存储和传输中的用户敏感数据进行机密性保护。
(3)应采用访问控制技术对数据进行分类保护。
密码应用(1)网上办税系统在数据生成、传输、交换、存储、应用以及对数据操作需采用密码技术进行保护。
(2)采用的密码算法必须符合密码管理局标准。
(3)密钥的生命周期必须遵循密码设计时对密钥使用期限的规定,定期更换密钥。
身份认证(1)身份认证除使用静态密码认证外,还必须结合使用其他认证方式(如证书等)。
(2)登录安全:●每次登录系统时,均需进行用户身份鉴别、认证。
如:强化的用户密码、基于数字证书等机制进行鉴别。
●系统登录时应规定不成功鉴别尝试次数和时间阀值●用户在认证成功前,只能执行登录功能。
(3)使用图形验证码来防范暴力破解静态密码,图形验证码应满足:●由服务端产生。
●在网页源代码中不可见。
●由数字和字母组成。
●随机产生。
●包含足够的噪音干扰信息,避免恶意代码自动识别图片上的信息。
●具有时间限制(不超过10分钟)并且仅能使用一次。
(4)认证密码相关安全:●登录认证密码需满足3.2.3密码保护的要求。
●密码修改前必须验证用户是否处于正常登录状态,且需提供原始密码。
●纳税人在丢失网上办税密码后,需持有效身份证件到相应的办税服务大厅重设密码。
(5)传输安全:●当用于身份鉴别的信息在网上传输时应采用密码技术进行保护。
●用户名密码等用户敏感信息在传输时应采用密码技术进行保护。
(6)退出登录或客户端程序后,应立即终止会话,保证无法通过后退或直接访问等方式重新进入登录后的网上办税系统,且在退出时应提示客户取下专用安全设备,如USB Key。
(7)*用户标示符安全:●纳税用户在第一次注册时,需为其确定一个唯一的用户标识符。
●用户标识生效时必须惟一存在,且不会被非授权访问、修改或删除。
●用户账号被删除后,其对应的惟一用户标识失效,不能再使用。
会话管理(1)网上办税系统Web服务器应用程序应设置客户登录网上办税后的空闲时间,当超过指定时间,应自动终止会话。
(2)会话标识应随机并且唯一,不能被猜测。
(3)会话必须具有一致性和持续性。
访问控制(1)纳税用户访问操作应包括对客体(申报表单)的创建、读、写、执行、修改和删除等,但在正式提交后为只读方式。
(2)系统在分配权限时应满足最小授权原则,只需授予不同管理员用户(系统管理员、系统安全员、安全审计员等)完成各自任务所需的最小权限。