关键词:个人信用信息;信息采集;信息披露;信息使用
文章编号:1003-4625(2007)02-0066-03中图分类号:F832.2文献标识码:A
从法律制度设计上来保证和增进社会相关主体获取使用个人信用信息的能力,同时又兼顾被征信者正当合法的信用权,是本文探讨的重点。
一、个人信用信息的规范利用与法律保护的模式考察
个人征信体系模式选择,与该国的市场经济发展状况、法治状况、法律文化传统密切相关。个人信用信息的规范涉及两个方面,一方面个人征信体系的构建应以信息利用为目的,信息的规范和保护是为了“使用”和“收益”,另一方面信息利用必须合法,信息保护应适度,不能成为信息传播、加工、使用和处分的障碍。个人信用信息规范利用模式有三种:一是市场化模式(或称企业化运作模式)。在这种模式下,征信机构是由民间投资组成的营利性的组织,它独立于政府与大型金融机构,能在法律允许范围内为所有市场主体提供信用调查服务。二是行政管理模式。此种模式的征信机构一般隶属于中央银行,由政府出资,具有非营利性,征信机构的个人信用数据主要由金融机构提供,征信机构服务对象主要是金融机构。三是折中模式。即以市场化为主、行政管理为辅或以行政管理为主辅之以市场调节。从信用信息市场的发展规模和抵御信用交易风险能力上看,市场模式、折中模式、行政管理模式依次递减。市场化模式的市场空间大,服务对象为法律所允许的所有的社会主体,其抵御社会信用交易风险的能力强;行政管理模式的市场化运作空间较小,服务对象限于金融系统,主要规避的是金融风险;折中模式居其中。从信用信息征集、使用的安全程度及生成的成本来看,市场模式、折中模式、行政管理模式逐渐增加。在“行政管理模式”中,个人信用信息在系统内循环,不会流出系统外,能较大程度地保护个人隐私,但建库(数据库)投资大,系统维护、更新成本高;个人征信市场模式的信息收集和提供并不局限于金融系统内,具有广泛的社会性,它对法律环境和执法水平要求较高,在法治环境差或执法水平较低时,滥用信息资源、侵害被征信人隐私就不可避免,但作为配置信息资源的基础性方式,市场化模式对信息投入产出良性机制的形成,对扩大信用规模、带动市场需求增长作用显著。从信息传导的畅阻程度及满足社会、个人对信用信息的需求程度来看,个人征信市场模式、折中模式、行政管理模式依次下降。
目前世界上多数国家的个人信用制度主要形式有两种模式。一是美国模式,即受政府制约与规范的民营企业运作模式,征信机构由一些企业、部门或个人组成,搜集各方面的信息,银行、个人都要利用信用评级,征信机构则靠提供信用证明获取报酬。二是以欧洲为代表的以政府和中央银行为主导的公共征信模式并联合私人模式。欧洲公共征信模式下的个人信用信息的征集和使用有如下特点:(1)公共征信系统由中央银行运行或管理。(2)公共征信系统的信息提供者(包括直接参与者和间接参与者)必须在一定的期间内(每月或每季)向中央银行报告数据,“系统”只登记贷款额超过一定数额的借款人的数据。(3)公共征信系统登记的信息主要是借款人的负面信息,即该系统的消费者只能共享借款人(被征信人)的负面信息,且该负面信息保存时间有一定的限制。(4)查询公共征信系统的数据通常遵循对等原则,即只有那些向公共征信系统贡献数据的信贷机构、保险公司、风险资本投资公司(包括其分支机构或子公司)等才能获得数据。也有少数国家比如奥地利、阿根廷、尼日利亚等国,该系统的参加者不仅能接受本机构借款人或信贷申请人的数据,也可以获得整个数据库的信息。私营模式下个人信用信息的征集和使用特点:(1)征信系统的维护者、加工者和出资者为私营企业。(2)全面征信,征信系统既征集被征信人的正面信息,又征集被征信人的负面信息。(3)私营征信模式中,只要基于正当目的,征信机构不要求贷款者或其他人为获得数据而提供数据。(4)数据库的信息,基本上是征信机构应使用者(或消费者)的要求进行信用调查的结果。
二、个人信用信息的规范利用与法律保护的原则
(一)被征信人参与原则。征信机关或相关机构(包括各金融机构、政府有关机关)在做出影响被征信人或相关利益主体的合法权益的决定时,必须给予利害关系当事人表达自己意见和建议的权利和机会,否则,这种决定可能因为缺乏最低限度的正当性不能取得法律上的效果。信息建设离不开被征信人的参与,为保证被征信人参与信息建设的积极性、主动性,需要通过法律、法规赋予被征信人知情权、查询权、异议权和退出权。第一,个人信用信息的采集、使用、披露必须获得被征信人的同意,除非法律、行政法规另有规定。第二,基于被征信人正当的要求,征信机关应该通知被征信人信用信息的存在、使用和披露的内容和方式,除非这种要求是不适当的。各金融机构、征信机关在采集被征信人的个人信息时,应履行如实说明义务。第三,征信机关向特定范围的公民、法人或其他组织披露被征信人信用档案时,必须取得法律的授权或被征信人的同意,未向被征信人披露的信息,不得作为制作信用报告的依据,也不得提供给第三人。第四,征信机关做出任何一项关于被征信人(或牵涉到相关利益主体)的信用报告或决定时,尤其是不利于被征信人的决定或报告,必须阐明其事实、理由、依据和真实用意,便于被征信人监督,以防止征信机关的专横和滥用权力。第五,被征信人基于正当的请求,有向个人信用数据库提出查找、咨询本人信用报告的权利。第六,被征信人有权质疑其个人信用档案中信息的准确性和完整性,并能寻求适当的救济途径来修正其信用档案中的这种错误。第七,在一定条件下,赋予被征信人从征信数据库的名单中退出的权利。
(二)确定采集的目的。即征信机构在采集个人信息时或之前,应将采集的信息与使用该信息的目的、范围、方式加以明确。这种目的性必须与该征信机关实际运营的或法律明令授权的业务活动直接关联,与该目的性无关的信息采集项目,被征信人有权拒绝提供;征信机构必须保证,凡与个人档案制度相关的个人信息的使用应该遵循该目的;数据的使用偏离(或修改)建库目的,必须明确说明;不得任意将数据用于新目的;征信机关有关任何个人信息数据的微调,都必须符合建立数据库的最初目的。
(三)信息采集的途径合法、正当。信息的征集必须采取公平、正当、合法的方式。征信机关可从下列渠道获得信息:从被征信人处获取;从被征信人许可的第三人处获得;从一个能被公众自由获取的信息源中获得;在具备正当合理的条件下,征信机关不经被征信人的同意,就可采集、使用或披露个人信用信息。
(四)限制数据的采集、使用、披露与保存。即不能将征集到的置于原目的项下个人信用信息挪作他种目的采集、使用或披露,除非经被征信人的同意或法律的规定或明确授权。
(五)准确性和安全性。准确性是指征信机关使用披露的个人信用信息,应该是准确、完整和及时的。征信机关应采取适当的措施来保护客户的敏感信息(包括个人隐私或商业秘密),这些措施同样适用于征信机关将个人信用信息披露于第三人或其他组织,也适用于征信机关为了自己的利益而将征集个人信用信息的任务安排予第三方。
(六)公开性。即征信机构应该畅通渠道,使被征信人很容易获得关于规制或操纵个人信用信息的政策或习惯做法方面的具体信息,必须建立机制,使被征信人能够了解到个人数据的存在及其性质、数据的主要用途、掌握数据机构的名称和地址。
(七)公共秩序保留原则。如因保护国家安全、公共秩序、公共利益、公众健康之目的,上述原则的贯彻实施可以有例外。
三、对个人信用信息采集、使用、披露行为的规制
(一)个人信息的采集行为。
1.个人征信机关。应为法律赋权的机关或经被征信人授权的机关,除此之外其他机关组织和个人无权采集。
2.个人征信信息采集必须置于一定的范围之内。个人征信信息采集有三种情况。不经被征信人同意而采集的信息,主要包括信用交易过程中受害方当事人提供的经执法、仲裁或公证部门确认的对方当事人的不良信用记录,行政、司法机关和具有行政管理职能的事业单位依法供公众查阅的公共信用信息等;应经被征信人同意才能提供的信息(依法可以公开的除外),包括个人在借贷、贸易、投资、服务等经济活动中形成的,反映自身经济状况、履约能力、商业信誉等信用能力和信用行为;禁止采集的信息(依法已经公开或当事人主动提供的除外)包括种族、家庭出身、个人收入、、性取向以及法律和行政法规规定应当保密的信息。征集的信息包括被征信人的基本信息、信用信息,包括了被征信人正负面两方面的信用信息,但与信用活动无关的正面信息严禁采集。
3.个人信用信息采集的渠道。一是通过政府政务信息公开渠道直接采集个人公共记录。二是通过个人授权的方式由银行的信贷等机构向征信机构提供个人信用信息。有的国家如美国,商业银行、租赁公司等授信机构向征信机构提供个人信用信息时无需征得个人的授权。三是个人的负面信息记录可不经本人的同意,直接提供给征信机构。
4.个人信用信息的维护和更新。征信机构对于贷款和信用卡透支的还款情况一般要按月更新,对于个人地址和工作单位的变迁等应按需更新,对于重要信息如不良信用信息应及时更新。
(二)个人信用信息的使用。征信机构不得对个人的信用记录妄加判断,在对个人信用信息使用或披露时,必须确保个人信用信息处于自己的监管和控制之下,个人信用数据(包括生成的信用报告)的使用,必须遵守数据库的建库目的,必须符合法定目的的用途或信息接受者的合法利益。
(三)个人信用信息披露的限制。个人信用信息在下列情况下可以不被披露:
1.查询人要求征信机关提供信用报告的行为将有损于法律的实施。包括:披露将有损于刑事侦查、国家经济安全、国防安全或国际反恐;披露将威胁到执法人员或其他人的生命或身体健康;披露将剥夺一个人获得公正裁判、判决的权利;披露将损害制度安全;披露将损害财产安全等。
2.披露将损害个人或公众的安全。如果某一项信息的披露将威胁到他人的安全、精神和身体健康,或者有使公众安全处于危险的境地,或者将严重或迅速损害申请人的身心健康安全。
3.披露将损害第三方的商业利益。如某一项信息的披露是关于第三方的商业秘密,或是关于第三方的商业、金融、劳工关系的内容,或是关于第三方的科学、技术信息,或者这种信息已由信息提供者作了加密处理,或这种信息的提供将极大损害第三方在磋商中的竞争地位,或者这种信息的披露将导致其他人、组织的不适当的损失等。
4.披露不得损害个人隐私。不过征信机关要综合考虑所有相关情况,包括披露能否增进社会公共福祉、公共安全、环境保护,个人信息是否准确或可信,个人信息涉及第三方的收入、资产、债务等情况。
5.个人信息的披露,不能损害政府间的关系,不能损害公共机构的经济利益。
6.关联公司共享被征信人的信用信息应征得被征信人的同意。
(四)对未被披露信息的保护。根据TRIPS,未披露的信息得到保护必须符合三个条件:第一,信息是秘密的,即信息的整体或者其组成部分的确切组合不是从该信息行业所普遍知悉或容易获得的;第二,该信息因为秘密而具有商业上的价值;第三,合法控制信息的人(包括信息提供者、征集者、消费者等)为了保守该信息的秘密,已根据情况采取了适当措施。合法控制符合上述条件的信息的自然人和法人有权制止他人未经其许可,以违反诚实的商业惯例的方式公开、获得或使用该信息。如果该协议(TRIPS)成员要求呈送未公开的试验或其他数据,若该实验或数据包含了相当大的努力,则有关人员(包括信息征集者和消费者)应当加以保护,以防止不正当的商业使用或公开。
参考文献:
[1]玛格里特・米勒主编.征信体系和国际经济[C].北京:中国金融出版社,2004.
[2]陈潜,唐民皓主编.信用・法律制度及运行实务[M].法律出版社,2005.
(一)税收信息化建设发展方面。
1.税收信息化建设发展的总体态势缓慢。经过近十年的实践,税收信息化基础设施建设虽已具备一定规模,但距离税收业务高度信息化处理的最终目标还相距甚远,税务机关内部还不能有效地利用现代信息技术,建立税源信息库,以加强税源监控;外部还不能与工商、银行、审计、海天等部门联网实现信息共享,形成社会性的全方位、高效率的税源监控网络。
2.税收信息化建设发展不平衡。(1)就目前全国税收信息化建设的情况看,国税系统快于地税系统。全国国税系统计算机四级网络已基本建成,地税系统计算机二级网络建设仅初具规模。(2)发达地区快于欠发达地区。如全国统一征管软件CTAIS已在征管改革24个试点城市成功运行,而经济欠发达地区由于基础较差、财力窘迫,信息化建设则仍处于起步阶段。
(二)税收信息化建设的实践与税收信息化发展的内在要求不相适应。
1.贪大求洋。不少地方一味追求在硬件上上档次,致使前几年购置的设备一批批被淘汰,造成了资源的极大浪费。
2.重硬轻软。税务系统在全国没有一套统一的计算机应用平台,各省甚至各地市竞相开发自己的应用软件。到目前为止,全国统一的《中国税收征管信息系统(CTAIS)》还仍在试点阶段,全面推广应用还有一段时期。
3.认识偏差。在税收信息化建设过程中,有两种认识上的偏差值得注意。一些同志热衷于“人海战术”,认为搞税收信息化投入大、周期长,纳税人的纳税意识普遍较低,与其花费大量饱财力、物力,还不如对纳税人实行人人过失的办法;还有一些同志认为搞税收信息化就是搭好架子、配好人员、购置微机,这些同志对税收信息化的理解还局限在“手工操作向计算机处理转变”的认识上,缺乏高度,没有认识到信息化建设是建立科学的、相互制约的现代化征管运行机制的重要途径,是实现征管高效能、高质量的重要手段。
(三)缺乏一个与税收信息化相适应的统一、高效的税收征管运行机制。
1.缺乏一套科学、有效的机构间监督机制。目前征管机构是建立在县(市)基础上征、管、查的低层次分离,虽然取消了专管员管户制度,对基层征管机构进行了收缩、撤并,但集征、管、查于一体的全职能基层征收机构仍偏多。由于基层权力过于集中,不利于计算机监控,虽然加大了对税收执法权的监督制约,但随意执法的现象还相当普遍。
2.缺乏一套科学、合理的征管岗位责任体系。目前的征管岗位责任体系是基于征、管、查全能机构建立的,岗位设置分工不细,职责存在交叉。这种粗线条的征管岗位责任体系无法满足信息化职责分工专业化的要求。
3.统一的征管业务规程执行不到位。1998年国家税务总局制定下发了一整套规范的《税收征管业务规程》,但在具体执行中还未完全到位。在1999年全国发生的涉税诉讼案件中,税务机关胜诉的只有15%、败诉的有32%、撤诉的有53%。税务机关败诉的主要原因就是不按税法程序办事,。
二、税收信息化管理的国际经验与借鉴
现代信息技术在世界各国税收领域已广泛应用,税收信息化管理已成为不可逆转的国际趋势。几乎所有西方国家都在全国范围内建立了计算机税务信息管理系统,极大地提高了管理效率。
美国从1960年开始,税收预测、税务登记。纳税申报、税款征收、税务稽查、税源监控、纳税资料的收集存储检索、人事行政管理以及计、会、统等各方面的工作都广泛使用了计算机,并逐步在全国范围内建立起计算机征管网络,据此联邦税务局4个征收中心就可以处理全美上亿份纳税申报表。目前,美国联邦税收收入约有犯%是通过计算机系统收上来的,每年有几百万纳税人使用IRS电子服务来报税。最近,美国还启用了~种运用了“数据挖掘”信息技术的新征管软件。这种软件的优点在于纳税申报表上的数据在录入时要经过过滤,有偷逃税嫌疑的纳税申报表就会很快被挑选出来。
澳大利亚税务机关与政府的有关部门如海关、保险、金融及大企业实现了计算机互联,为其有效实施税源监控及有针对性地开展税务审计打下了坚实的基础。澳大利亚开发了大量税收管理应用软件,包括税款征收管理软件、办公自动化管理软件、纳税服务管理软件。特别是在纳税申报方面,澳联邦税务局提供了数十种表格,供国际互联网下载,应用于报税系统。目前全澳约有八成的纳税人都采用电子申报方式报税。澳大利亚还非常重视计算机应用的安全保密工作。主要的安全措施有,为防止火灾及地震毁坏等,建立数据库拷贝运行系统,以备不时之需;为防止病毒感染,安装计算机杀毒保护软件。保密措施也有很多,如启用口令或密码、屏幕保护功能、权限保护功能、电子通行证、追踪查询功能等。
西班牙税务管理部门在硬件设备采购上,不依赖于任何单一生产厂家和供货商,它使用的所有硬件都相互兼容,在不超过电子信息处理局预算乃%的前提下,从标价最合理的供货商那里购买。西班牙的应用软件系统包括新税务管理系统(用于税务登记、自我申报、年终纳税申报、通知)、国家数据库(主要用于纳税稽查,包括身份识别。信息处理、纳税人选择三部分)、国家征税系统和自动化海关管理系统(目前正在把这两个系统并入新税务管理系统数据库,前者覆盖面广,包括税务当局的评估结果。纳税人纳税、强迫缴纳、法令通知、赔款和书记处迟延缴纳;后者每年要处理6500万份进出口申报)、地方行政经济法庭系统、大型企业监控系统。西班牙1990年预算法案中设立了一个计算机专业人员类别,分高级、中级和管理人员三层。1991年预算法案中为这三类人员设立了税务类别,还设立了其所属的政府税务管理局,为计算机人员设计一个管理专业方向,使他们在税务管理中能有中期和长期的工作前景。同时还建立了一个透明、广泛、有活力的人才流动市场来填补计算机专业人才流失所造成的空缺。
意大利是欧洲最后实现税收征管计算机化的国家,但它却有欧盟中最成功的也是最大的税收信息管理系统:ITIS(ItalyTaxInformationSystem)。ITIS由16个子系统构成,主要包括税务登记注册子系统、所得税子系统、增值税子系统、税务检查子系统、技术支持与培训子系统等。这些干系统均以税务登记代码体系为连接点,进行税务机关与纳税人、各子系统之间、税务信息系统与其他公共部门以及个人之间的信息交换。
新西兰于20世纪90年代初投资2亿新元,研制开发了超大型的ORACL税务数据库,运用先进的SUNU‘NIX小型机和数据转换技术,建成了南半球最大的税务处理系统和信息特快系统,即电话申报咨询系统。在日常税收征管中,还充分利用电子扫描和拆信机等机器操作。
日本在国税厅、11个国税局以及524个税务署形成了全国计算机管理网络系统,国税局信息中心接收税务署传送的纳税人的基本情况和申报信息,对银行传送的税款入库信息进行统计,验算核对后再传送给税务署,后者用统一的定型统计,促使国税局、税务署的电脑系统在统一的状态下运行。各信息中心形成由若干系统构成的信息管理系统,包括第一部分子系统是按税种建立的信息管理系统;第二部分子系统具有税收统计分析功能,是对第一系统的补充;第三部分子系统是公共通用系统,能对纳税人有共性的信息资源如纳税人的编号、地址等信息实行资源共享。
#p#副标题#e#上述国家税收信息化建设给我们的启示是多方面的:首先必须明确税收信息化管理的目标。现代信息技术在税收管理中的广泛应用,至少应达到使税务机关能够有效地运用现代信息技术和网络技术,并将其整合到税收管理中去,使全体税务人员能够更容易更直接地获取相关信息,从而达到提高税收管理的效率和质量的目的。其次,加强税收信息化管理必须以优化税收管理为基础。上述国家由于其税收信息化管理以科学、严密的税收管理为基础,特别是税收信息化的发展带来了征收的高度集中,税收直接成本显著下降,比如日本国的税收成本就从20世纪60年代的1.9%下降到1990年的0.8%,美国1990年的直接征收成本不到0.4%。这些国家税收信息化的实践证明,缺乏管理创新的税收信息化不可能取得成功,技术永远只是管理手段,它只有与先进的管理思想。管理体制相结合才能产生巨大的效益。再次,要加强税收信息化管理还必须建立起全国统一的税收计算机网络,必须重视计算机软件的开发和新技术的广泛运用,以及不断提高信息的安全性和培养吸收计算机专业人才。
三、推进税收信息化建设的基本途径
总体而言,税收信息化建设的最根本目标就是要不断提高税收征管过程的信息化程度,充分发挥信息和网络技术在税收征管各业务环节的作用,以提高税收征管运行速度和税收管理效率。因此,税收信息化建设的重点应放在充分运用现代信息技术克服和解决税收征管过程中存在的一些突出问题上,进一步明确“以计算机网络为依托”的具体内涵,并丰富和完善税收征管模式的合理内核,从而构建信息化支持下的征管新格局。但就目前而言,我们还是应当按照统筹规划、分步实施的原则,以信息处理的集中性、及时性、准确性为基本目标,实现信息技术的广域联网,实现税务系统内各职能部门征收、管理与稽查以及与社会各相关部门的广泛联网,以达到信息共享,并实现税收信息管理系统的有效运行。
(一)进一步明确税收信息化管理的目标。
税收信息化管理不单纯是一个信息技术和网络技术在税收管理过程中的运用问题,而是我们适应社会进步与发展的必然选择。但是,尽管我国近年来对信息化建设的重视程度在增强,投入在增加,软硬件配置日益现代化,然而设备和信息的利用率却极低,计算机往往成了打字机、开票机,对信息只重视录入,忽视了分析整理和利用,造成信息的严重堆积和浪费,共享性、开放性极为不足,管理效率和质量不尽人意,突出表现在纳税申报率和申报准确率较低,偷逃骗税增多的情况普遍存在。信息化管理最重要的内涵或精髓是构建起一个“虚拟机关”,即跨越时间、地点和部门的全方位的税务综合信息集合体,因此它至少应达到这样几个目标:一是使税务机关能够有效地运用现代化信息技术,并将其整合到税收管理中去,从而实现税收管理的目标;二是税收信息的公开和可获得性,使全体税务人员能够更容易地获得各个方面的信息,在工作中创造更高的附加值,从而提高税收管理的效率和质量。离开了提高税收管理效率和质量这一目标,税收信息化管理将走弯路。徒增税收征收成本。
(二)实现税收管理的全方位创新。
多年来,我国税收信息化建设始终没有跳出一个认识上的误区,即把税收信息化视为征管改革的根本和惟一的出路。这种认识上的误区是与税收信息化管理目标不明确相联系的。认识上的误区,导致在推进税收信息化过程中,孤立地单纯地强调应用技术手段,忽视了改革和创新管理体制;强调以技术设备的配置为主体,忽视了以税收管理的优化为支撑点,期望税收信息化破解征管实践中的所有难题。结果不少地方的税收信息化建立在税收管理体制落后、低效的架构上,使高技术与低效益并存,高投入与低产出共生,税收成本不但没有减少,反而不断攀升。事实证明,税收信息化管理应以科学、严密的税收管理为基础,税收管理必须以服务为导向,遵循信息技术规律,立足为纳税人服务,对税收业务和工作规程进行重组和优化,建立符合信息技术要求的、统一规范的业务规程、流程,努力使管理标准化;税务部门内部组织设计必须具有弹性和适应性,应建立一种具有高度灵敏度和回应力的税务行政组织,减少内部管理的层次和环节,改变内部集权结构,向下级授予权能,使其承担责任;决策程序必须优化和改进,构建从人治到法治的管理环境。
(三)我国的税收信息化建设应制定一个全国统一的长远规划,在全国税务部门使用同样的标准化计算机系统,形成从上到下的计算机网络。
硬件的配置和软件的开发运用,都要有全国一盘棋的思想。能在网上共享的软件、数据尽量采用共享方式,提高现有资源的利用率。加快实现与金融、工商、海关等有关部门网络的实时联接,共享相关部门的动态信息,并逐步将以税务机关计算机网络为媒体的信息公路,延伸到纳税人和社会各部门中去,通过《税法》规定有关信息不得对税务部门保密,最终实现全社会的涉税信息共享。
(四)重视计算机软件的开发和运用。
信息技术最关键的因素是软件的开发。在应用系统建设中,应注重对纳税人的监控,建立一套支持税务稽查的系统,该系统包括申报税摘要系统,用于处理纳税人在不同纳税期申报的数据、统计数据和从外部渠道搜集到的有关纳税人经济活动的数据;向政府的销售系统,用于处理政府的公司和政府机构进行购买的数据,核查纳税人是否如实申报;公司购买和销售系统,用于对大、中型公司的销售和购买数据进行分析处理,排查申报销售量长期小于从大、中型公司购买数量的采购者;进口系统,用于对纳税人申报的进口量或收入进行比较分析。有必要在业务统一规范的前提下,按照“平台统一。一次录入、数据一致、信息共享、综合利用”的原则,分析业务发展变化和信息技术发展趋势,搭建一个立足于“一个网络、一个平台、一套数据标准”的全新应用框架,尽可能保护已有的软件投入及税收业务和行政管理信息的积累,实现软件开发的系统性、全面性、兼容性、规范性。(五)采用新技术提高税收信息化管理水平。
尽快在信息采集环节广泛应用光电扫描技术,改变我国目前手工录入信息资料速度慢、随意性大,漏项多、差错率高的状况;尽快在全国统一的征管软件中开发应用数据挖掘技术,提高税务稽查的效率和质量;尽快拓展在互联网上的税务网站的服务内容和服务层次,使纳税人利用各自的计算机或电话机,在网上处理纳税事宜,实现电子申报和电子支付;尽快开发计算机自动化系统,实现与纳税人的“人机对话”,使计算机在有关程序的控制下,自动电话通知纳税人办理有关纳税事宜。
(六)提高税收信息的安全性。
随着我国信息化的迅猛发展,信息安全问题变得日益严峻。从税务部门来看,有些税务局没有备用服务器,外部备份设备少,一旦出现故障,很容易造成网络瘫痪或数据丢失;随着局域网、广域网、Internet的大范围应用,数据的接收、传送很容易传染计算机病毒,防火墙很容易破解,有些密码趋于公开,系统内部的数据很容易被修改。保证税收信息的安全,从宏观上来说,要建立健全有效的信息安全管理体系;加强信息安全法制建设;加速中文信息资源开发,积极开拓网上空间;全力研究开发信息安全核心技术。作为税务部门,应通过建立各级技术层次的安全体系,利用网络系统、数据库系统和应用系统的安全机制设置,拒绝非法用户进入系统和合法用户的越权操作,避免系统遭到破坏,防止系统数据被窃取和篡改;采用具有容错功能的服务器和具有双机热备份技术的硬件设备,出现故障时能够迅速恢复并有适当的应急措施;采用数据备份恢复、数据日志、故障处理等系统故障对策功能;严格执行并切实做好信息系统的安全与标准化工作,选择合适的网络管理软件进行网络管理,健全工作人员的操作规范,有效采取身份认证、密码签名、访问控制。防火墙等技术手段加强内部网络和数据库安全管理,保护纳税信息和办公信息的安全,以适应税收信息系统安全运行稳定的需要。
一、修订的主要原则
按照积极利用、科学发展、依法管理、确保安全的方针,坚持发展与管理并重,坚持从实际出发,切实服务于互联网执法实践,修订工作主要遵循以下原则:
1、坚持管理与发展相协调。鼓励互联网信息服务提供者开展有益于提高民族素质、推动经济社会发展的信息服务。管理重在维护国家安全、公共利益和公民个人的合法权益,重在加强基础管理,解决多年来发展、管理工作实践中的突出问题;同时,努力使新的管理措施能够促进互联网的健康发展与合理应用。
2、着力明确相关主体权责关系。着力明确互联网信息服务活动相关的互联网信息服务提供者、互联网接入服务提供者、政府管理部门及用户等主体的权利、义务和责任。鼓励互联网信息服务提供者开展行业自律活动,鼓励公众监督互联网信息服务。
3、增强前瞻性和包容性。尽可能对相关内容作原则性规定,避免因具体概念而制约法规的适用性,为互联网的未来发展和管理预留空间。
二、修订的主要内容
征求意见稿共6章、40条。修订的主要内容如下:
1、明确论坛、微博客等的许可审批。提供由互联网用户向公众信息的服务直接涉及国家安全、公共安全,关系公民人身健康、财产安全,根据行政许可法的规定,应当设定行政许可。据此,征求意见稿第十条对论坛、博客、微博客等服务的许可作出了规定。为增强法规的前瞻性,征求意见稿将上述服务形态概括为“提供由互联网用户向公众信息的服务”。
2、完善办网站准入条件。提供互联网信息服务属于涉及国家安全、公共安全,关系公民人身健康、生命财产安全的行业,需要服务提供者具备特定信誉、特定条件。为此,征求意见稿第七条对办网站规定了统一的基本准入条件。
3、强化相关服务提供者的安全管理责任。借鉴国外互联网管理的一些做法,征求意见稿从事前、事中、事后各环节明确规定了互联网信息服务提供者、互联网接入服务提供者所应承担的责任和义务,包括公共信息巡查、合法资质查验、应急处置及具备安全防范措施等,以更好体现谁主办、谁负责的精神,使权利和责任相统一。
4、强化相关服务提供者的记录留存义务。为适应打击网络违法犯罪的需要,征求意见稿参照其他国家的有关规定,对现行办法有关互联网接入服务提供者、互联网信息服务提供者的记录留存期限作了调整,明确“互联网信息服务提供者应当记录所的信息和服务对象所的信息,并保存6个月”;“互联网信息服务提供者、互联网接入服务提供者应当记录日志信息,保存12个月,并为公安机关、国家安全机关依法查询提供技术支持”。
5、对用户用真实身份信息注册作出规定。去年12月以来,北京、上海、天津、广州、深圳等5城市试点推行了微博客用户用真实身份信息注册工作,对打击网上违法犯罪活动、净化网络环境、强化网民责任意识、推动诚信社会建设,起到了积极作用。在总结试点经验的基础上,征求意见稿第十五条规定,“提供由互联网用户向公众信息服务的互联网信息服务提供者,应当要求用户用真实身份信息注册”,明确了使用论坛、博客、微博客等互动服务的用户用真实身份信息注册的要求。
[关键词]征地移民;信息化建设;水库工程
中图分类号:W352.1文献标识码:A文章编号:1009-914X(2014)45-0287-01
近年来,随着我国大批水库项目的实施,其中的征地移民工作也陆续开展起来。在征地移民工作中,需要对项目区大量的实物情况进行调查统计,并通过一些传统软件进行调查数据的后期统计、整理与分析。但由于征地移民调查数据的复杂性――其数据量的庞大性、其政策的多变性等,致使目前征地移民工作人员在实物调查数据采集、录入和整理期间花费大量时间,且只能将基础数据及成果数据分散存储在各自的硬件设备中,无法达到对数据进行合理地系统化管理,降低了基础数据的可用性及价值,也给征地移民工作的后期展开带来弊端。
1水库工程征地移民信息化的意义
1.1数据的统一管理与有效利用
征地移民信息化系统通过合理组织相关数据的分类方式和统一管理数据的录入形式,对数据进行有效完善的集成管理。如使用传统软件采集使用的数据,不仅需要制作大量的表格模板,而且管理也极为不便。征地移民信息管理系统则可以提供统一的录入界面,让多人同时异地且在不同的设备环境中实现数据的统一采集,形成高质量的数据仓库,做到数据归类合理有序、管理使用简单便捷、统计分析精确高效。
1.2降低项目成本与提高工作效率
征地移民信息化系统的建成将实现数据的统一录入、自动合并与统计分析,避免以往人工统计汇总带来的人力物力财力的浪费,有效地提高工作效率。对于后期征地移民安置规划的设计和征地移民安置实施阶段都能通过一系列前期信息系统设计,提供辅助设计和实时进度计划编排和显示,将会大幅提高水库征地移民工作的效率。
1.3增强了征地移民工作的透明性
对于水库征地移民工作前期调查汇总后整理进入数据库的实物数据,经过合理分析和筛选,可以建立网络查询模式,在征地移民实施工作期间可以开放移民个人信息数据供其查询、调阅。移民通过对自己个人信息的查询,能够及时了解自己在实物调查中涉及的数据信息,同时增加了移民对于征地移民工作的信任感,为地方政府更加顺利平稳的实施征地移民工作提供了一定的技术支持。
2目前我国水库工程征地移民信息化现状
2.1采用地理信息系统及技术
地理信息技术,也称3S,是指获取、管理、分析和应用地理空间信息的现代技术的总称,主要包括遥感、全球定位系统(简称GPS)和地理信息系统(简称GIS)。遥感是人们在航空器或航天器上利用一定的技术设备,对地表物体进行远距离的感知。全球定位系统(GPS)是利用卫星,在全球范围内适时进行导航、定位的系统。地理信息系统(GPS)是以地理空间数据库为基础,在计算机软硬件的支持下,对空间相关数据进行采集、管理、操作、分析、模拟和演示,并以地理模型分析方法为手段,适时提供多种空间和动态的地理信息。遥感主要用于地理信息数据的获取,全球定位系统主要用于地理信息的空间定位,地理信息系统主要用于对地理信息数据进行输入、管理、分析和表达。传统征地移民实物调查方式相对落后,开发基于地理信息技术的征地移民实物信息化系统,可有效提高征地移民调查成果的工作效率。该系统具有根据调查内容需求设置专门数据库,以遥感解释为基础,完整表述土地调查数据并进行现场修正,同时可满足调查工作快速查询、汇总、统计和输出等功能。为在地理空间上实现各种资源调查、规划配置提供了高效的辅助技术手段。
2.2存在问题
随着“3S”及其集成技术的日趋成熟和广泛应用,采用新技术新方法改善传统的征地移民信息化现状的建设条件和技术也已逐渐成熟和完备,且已具有一定的研究工作基础。尽管相关单位针对征地移民信息化建设开展了不少的努力和探索,但受限于建设目标和研究重点的不同,更由于信息化系统开发建设资金和时限的限制(开发资金动辄数千万元,研发周期长辄3年或更长),加之在实践应用中出现了各种各样的难题,目前,国内尚无针对水库征地移民信息化工作领域专业可靠且完整和高效的信息化建设系统。
3水库工程征地移民信息化建设的几点建议
3.1信息化系统的通用性
由于水库移民工作具有很强的区域性,不同省份之间、省内各县(市)之间都会存在或多或少的区别,而且随着时间的推移,同一地区的水库可能会存在政策处理上的不同,这些因素决定了系统既要考虑本阶段所涉及的库区,又要考虑其他库区水库移民工作的普遍性,要能适应各管理对象和环境的变化。这不仅对于系统的开发人员是一种挑战,对于制定和实施征地移民信息化系统的设计人员也是一种高要求。因此信息化系统的设计需要具有一定的前瞻性,并充分了解分析库区征地移民工作的业务需求,结合库区征地移民工作的共性与特性,形成一套完善、可靠、稳定的信息化系统设计方案。
3.2信息化系统的扩展性
信息化系统应采用模块化结构思想进行设计。功能模块间相互独立,数据共享。信息化系统在功能上、体系结构上、数据处理上应具有较大的可塑性和扩展性,以便于水库工程征地移民信息化系统的进一步扩展。
对于实际工作中经常会遇到的各种分组、分工协同作业的情况也同样需要根据实际各地方进行现场测量、绘图、登记等具体的情况采用网络版开发,通过建立服务器的方式实现实时的多输入端录入功能,最大程度的提高实物调查工作的效率和精度。
3.3信息化系统的安全性
信息化系统中的数据直接关系到移民的切身利益,也是工程业主计算投资的重要依据,因此为了要保证水库工程征地移民信息化系统数据内容的高度安全,必须从各方面提供全面的安全机制,保证数据的安全、稳定。
EnterpriseInternetInformationSecurityThreatsandCountermeasure
ResearchBasedonIndustryDistribution
王茜WANGQian;习磊XILei
(中山大学管理学院,广州510006)
(SchoolofBusiness,SunYat-SenUniversity,Guangzhou510006,China)
摘要:在互联网日益普及的今天,企业越来越重视自身的信息化建设,企业信息化的发展使得接入互联网的企业不断增长,如何保护企业信息安全成为企业发展的关键内容之一。本文采取数理统计及文本分类的方法,对来自某知名黑客论坛的300余万条数据进行分析,通过TF-IDF模型与KNN算法分类思想,得出不同行业的网络信息安全威胁程度,并划分出较低、适中以及较高三类等级。在此基础上,根据行业特点深入剖析了不同行业产生信息安全问题的原因,并提出了相应的改进措施和建议。
Abstract:Withthegrowingpopularityoftheinternettoday,theenterpriseshavepaidmoreattentiontotheirinformatizationconstruction.Thedevelopmentofenterpriseinformatizationmademoreandmoreenterpriseconnecttotheinternet,howtoprotecttheinformationsecurityisoneofthecriticalproblemsenterprisesshouldconsider.Thispapertookmathmaticalstatisticsandtextclassificationtoanalyzemorethan3milliondatafromafamousehacker´sforum.ThepapergotthelevelsofinformaitonsecuritythreatsfordifferentindustriesthroughTF-IDFmodelandKNNalgorithm.Fromthat,itanalyzedthereasonswhytherearesomanyinformationsecurityproblemsindifferentindustriesdeeply,andprovidedsometargetedsuggestions.
http://
关键词:网络信息安全;TF-IDF模型;KNN算法;行业分布
Keywords:Internetinformationsecurity;TF-IDFmodel;KNNalgorithm;industrydistribution
中图分类号:TP399文献标识码:A文章编号:1006-4311(2015)20-0050-04
0引言
随着互联网的迅速发展和普及,企业的信息化建设的步伐也在不断地加快。从外部环境来看,由于市场范围不断扩大,科技竞争、营销竞争、市场和人才的争夺日益激烈,对企业形成了强大的压力。依托互联网及信息资源,采用信息技术来实现信息化,是企业保持竞争优势的有力措施。从企业内部来看,为适应外部竞争环境,企业内部结构、业务流程、管理方式以及商业模式都需不断调整、重组、变革。企业与互联网结合进行信息化建设,在引入新技术的同时,能够提高企业的应变能力、创新能力和竞争能力[1]。
同时,企业通过互联网可以快速了解市场信息,掌握市场动态,传递和交换商业信息,进而提高工作效率,节省成本,企业的信息化建设在市场竞争中具有重要的战略地位[2]。
关于企业网络信息安全的研究多集中于网络威胁的检测和具体的方法技术,或者从安全管理制度入手,协调企业内部管理机制,建立信息安全管理模型[4]。也有学者从技术、管理和资源角度出发,考虑信息安全体系的构建原则,或者针对具体的安全问题,提出具有创见性的解决或操作方案[5]。这些都是从企业建设的角度,来分析企业信息安全问题,企业个体层面的研究较多。
而从宏观上来看,不同行业面临的信息安全问题也会有所区别,如何明确不同行业的信息安全威胁程度,并出台相应政策改善信息安全状况,是相关政策制定者亟需考虑的问题。
从行业分布来看企业的信息安全状况,能够给企业带来战略性的指导,通过明确信息安全威胁程度,可以有针对性地制定信息安全投入策略,优化企业管理资源配置[6]。
此外,信息安全的行业分布特征可以从整体上反映我国的信息安全体系建设的状况,进而通过加强对不同行业的引导,探索保护企业信息安全的有效途径,来完善相应的法律法规制度。
网络信息安全事件中,绝大多数是由黑客行为造成的,在易受黑客攻击的行业中,依然有部分企业完全忽视了信息安全的重要性。
本文从探究不同行业的网络信息安全威胁的角度出发,以某知名黑客论坛搜集到的300多万条黑客攻击数据为基础,旨在通过实证研究得出不同行业的网络信息安全威胁程度,为相关部门制定信息安全政策提供支持,同时为不同的行业区分不同的信息安全等级,有针对性地实施信息安全保护措施。
1入侵行为样本数据采集及预处理
本文所采用的数据来自于某知名黑客论坛,该论坛收录了大量的网站入侵数据,每条数据由黑客攻击者本身上传,并提供相应的证据证实该行为的真实性,该论坛的工作人员会对提交的信息进行审核,确认其真实性后才会在网站社区进行。数据的采集以网络爬虫(WebCrawler)抓取的方式进行,主要抓取被攻击网站的中文标题和中文关键字,便于后续的数据处理和分析。
从该网站采集的数据文字信息杂乱无规律,且数据量大,其中大部分为无效数据。由于无效数据扩大了样本容量,不具有分析价值,在对数据的冗余统计上,会使结果造成很大的偏差。为了使分析结果更加准确,我们通过编写相应的程序代码,对初始数据进行预处理,包括外文字符的处理、半角及全角转换、汉字编码转换以及无效数据的清除等工作。清除无效数据主要包括去除无明显含义的字词、空白字符和特殊符号。我们收集到的数据总量为3445153条,经过筛选和预处理,有效数据为725550条。
《财富中国》曾经根据发达国家的行业界定与行业演变规则,对中国的行业进行了新的分类,本文参考它的分类标准,将细分的行业归结到新的行业大类中。由于分析的数据量比较大,我们采用文本分类算法对数据进行分类,先由算法学习训练数据集的分类标准,再批量完成对其他数据的分类。从有效数据中随机选取10000条不同的数据进行人工分类作为训练数据集,通过每条数据的关键字和句子描述的意义判断它属于哪个具体的行业。
2网络信息安全数据分析
由于每一条有效数据代表着一次黑客攻击或者信息安全事件,得出每条数据的行业分类,就能看出整体的网络信息安全事件的行业分布情况。本文根据现有数据选择能够代表每个行业的关键字集合,即行业特征值,再结合训练数据集(人工分类数据集),以及KNN分类算法,对数据进行自动分类。
在数据分类过程中,对于行业特征值的选择遵循两个原则,一是关键字要具有代表性,不仅在语义上能表明这个行业,还要在分析的样本数据中,与其他行业具有一定的区分度;二是与其他行业关键字之间互斥,尽量避免与其他行业的分类词相关联,并且在其他行业数据中出现的次数比较少。为了更有效地选取行业特征值,我们采用TF-IDF模型来确定。
获得数据中每个行业的特征值之后,我们采用KNN算法对数据进行分类。由于KNN算法是非参数算法,只需要提供已经按照规则分类好的训练数据集,和分类属性的特征值,KNN算法便可以通过学习来进行新的分类。此外,KNN算法分类效果较为准确,虽然需要比对训练数据集,但由于本训练集的内容是单条数据,可以克服KNN运算时空开销大的弊端[7]。
2.1TF-IDF模型选取行业特征值
在本研究中,TF-IDF模型的主要作用是用来寻找能够有效代表某一行业的名词,即行业特征值。一个名词在某一行业的文本中出现的频率越高,而在所有的文本中出现的越少,则区分其他行业的效用越大,相应的TF-IDF值就越大[8]。TF-IDF值的计算是基于10000条样本数据进行的。其公式为:
其中:TF:该名词在某一行业文本中的词频;n:该名词在某一行业文本中出现的次数;N:行业文本中名词的总数;IDF:逆向文本频率,即所有文本数与包含该关键字文本数的商的对数;W:所有文本数,在样本数据中,值为10000;d:包含该关键字的文本数。
TF-IDF模型能够减少模糊匹配和互斥性差对分类造成的影响,较好地体现了行业特征值对行业的代表性,以及行业特征值对于分类结果的互斥性[9]。
①获取关键字的TF值。
TF-IDF模型使用人工分类的数据(训练数据集)来获取行业特征值,在得到某一行业的行业特征值之前,我们将候选的名词称为关键字。由于篇幅有限,这里只以信息相关行业为例介绍如何通过TF-IDF模型选择关键字,并优化形成行业特征值的过程。首先通过编写程序对“信息相关行业”样本数据进行分词并标注词性,随后选取名词作为关键字,统计词频获得TF值。
②计算IDF值,并获得TF-IDF值。
经过分词后会产生很多与信息相关行业无关的名词,这些名词并不都能代表信息相关行业。我们从上述列表中依次挑选出可以代表信息相关行业的关键字,并在10000条样本数据中搜索包含该关键字的数据条数,即模型中的d。依据TF-IDF模型公式计算出IDF值,然后将TF值与IDF值相乘获得TF-IDF值。
③基于TF-IDF模型获取行业特征值集合。
TF-IDF值计算出来后,根据大小排列,我们可以很好地了解哪些关键字最能代表信息相关行业,并能进一步明确行业特征值集合。设信息相关行业的行业特征值集合为M{n1,n2,n3…},ni表示集合中的关键字,依据TF-IDF值列表,由高到低依次向该集合中添加一个关键字,并以M集合中的关键字作为查询条件,获得数据条数。该过程是一个动态的优化过程,每添加一个关键字,搜索的数据条数都会改变,与人工分类的结果越接近我们认为分类效果越好。
我们设置参数偏离度De来衡量优化性能,De的计算公式为:
其中:De:用来衡量与人工分类偏离程度,值越小,表明分类效果越好;R:经过TF-IDF模型优化后的分类方案所得出的行业百分比;s:用行业特征值集合查询的数据条数;S:样本数据总条数,为10000;P:人工分类的行业百分比,信息相关行业P值为19.01%。
2.2应用KNN算法进行数据分类
由于KNN算法能够学习训练数据集的分类标准,且具有分类精度高、稳定性强的特点[10],本文采用KNN算法实现文本的自动分类。KNN算法分类过程涉及到特征值的选取和相似度的计算,特征值即在TF-IDF模型优化的过程中选出的行业特征值集合。语义相似度采用夹角余弦函数进行计算,两个文本向量在空间中的夹角越小,余弦值越大,表示其语义相似度越大,反之亦然。KNN的决策过程如下:
量的相似度。
2.3数据分类结果
依据KNN算法分类思想,结合自然语言处理开源工具包(FudanNLP),编写相应的程序代码,实现KNN分类器的算法分类。FudanNLP运行环境为联想Z460笔记本电脑,6G内存,酷睿i3处理器,2.53GHz。全部的有效数据经过KNN分类器运算的分类结果如表1所示,信息相关行业、专业服务、教育、旅游休闲均超过了5%,其中信息相关行业逼近20%,是网络信息安全问题出现最多的行业。其次,建筑建材、医药卫生、文化超过了3%,企业的网络信息安全问题仍然严峻。其他行业占比比较低,交通运输和制造业相对较高。
3行业分类结果分析与建议
根据分类结果,我们对不同行业所面临的网络信息安全威胁进行了等级划分,如图1所示。在本研究数据中,网络信息安全问题占比5%以下的行业,网络信息安全威胁程度较低;占比5%-15%的行业,网络信息安全威胁程度适中;占比5%-15%的行业,网络信息安全威胁程度较高。
3.1建立信息安全管理体系框架
英国标准协会(SBI)于1959年制定了信息安全管理体系标准,并于1999年进行了修订改版,2000年12月经包括中国在内的国际标准组织成员国投票表决,正式转化成国际标准。信息安全管理体系框架(ISMS)的建立,对保护企业信息资产安全,建立良好的市场秩序,提升企业的综合竞争力,有着重要意义。这是一个庞大的系统工程,必须依赖政府自上而下的顶层设计,来构建新的治理体系[11]。该框架应对信息安全的管理目标、管理主体与客体及管理工具,进行详细的阐述与界定,对不同的行业应有不同的要求,根据行业信息安全威胁程度,来实施信息安全保护及等级评估的具体措施。
目前,我国政府以及各行各业已经认识到了信息安全的重要性,国务院办公厅先后颁布了一系列相关政策,直接引导推进信息安全系统的应用和发展。
此外,政府相关部门应对信息基础设施加以整合,集中网络信息安全的领导权和统一诸如加密标准、认证标准、数字签名标准等信息安全产业标准,通过加强跨区域、跨部门的系统互联来实现网络信息安全。
同时,各行业信息安全管理框架应由各机构根据自身的实际状况搭建,制定适合企业自身业务发展的信息安全管理框架。
3.2信息相关行业
由统计结果可以看出,信息相关行业中的企业更容易出现网络信息安全问题,占比接近20%,这和信息相关行业本身的性质有关。
首先,信息相关行业以互联网企业居多,与网络有更强的粘滞性,大部分的业务都需要通过网络来完成,网络中存在大量的信息安全威胁,对直接暴露在复杂网络环境中的服务器、主机终端等硬件设施,和处理企业事务的软件,具有较强的破坏性。
比如2014年9月,美国家得宝公司确认其支付系统遭到网络攻击,将近有5600万张银行卡的信息被盗。其次,部分企业自身的防范意识不足,防范措施不完善,无法适应较高的信息安全要求,尤其缺乏专业的信息安全管理人员,导致信息安全事件频发。
此外,国内信息相关行业的安全体系并没有完全建立起来,无法对企业形成有力的督促效应和政策约束,大部分企业忽视了在信息安全方面的投入,没有上升到企业战略的高度。
信息相关行业中的企业应明确自身承受着较高的网络信息安全威胁,首先应加大在信息安全方面的资源投入,一是增加物理防护,增加服务器,运行防火墙等软件,或者开辟网络专线;二是增加软件防护,安装企业级的杀毒软件,对网络安全状况进行及时的监控,并排除威胁。其次,设立严格的信息安全保障制度,保证业务的正常开展,从而减少信息泄露或企业业务中断的风险,获得商业竞争优势。
同时,国家信息安全相关部门可以对信息相关行业中的企业设置信息安全建设绿色通道,鼓励他们积极完善自身的信息安全防护机制,必要时设立审查制度,定期对企业的信息安全建设情况进行审查并进行评级,确保相关政策有效落实。
3.3专业服务、教育和旅游休闲行业
专业服务、教育和旅游休闲的信息安全事件均超过了5%,表明在这三个领域仍然存在着较高的网络信息安全威胁。服务行业包括广告、维修、设计、通信等,从行业特征来看,他们在互联网安全的投入中并不会占整体投入的太多比例,网络安全受到威胁,不会对他们的业务带来显著的影响。
相对于信息相关行业,专业服务、教育和旅游休闲的企业信息安全问题,更多的是来源于网络安全基础设备的不足,由于网络连接不涉及核心业务,大部分企业忽视了硬件设备的采购以及防护体系的建立,企业信息遭到窃取和泄露在所难免。
这一问题在教育行业尤为突出,一些高校为了减少网络建设投入,同时也为了给学生提供技术锻炼平台,直接将门户网站和非关键系统的建设与维护交给了学生团体,由于缺乏经验的积累和相关核心安全技术,部分高校网站的脆弱性可见一斑。
旅游休闲类服务型企业,通常会通过在线交易开展业务,比如预定付款、网络游戏充值等等,更容易成为不法分子的攻击目标,信息安全事件也时有发生。2014年10月,摩根大通银行网络数据库遭窃,其承认7600万家庭和700万小企业的相关信息被泄露。
该行业中的企业由于自身业务的限制,往往缺乏相应的信息安全应急机制和处理方案,更没有针对自身信息系统的安全管理措施。这种情况下,企业应加强寻求对外合作,让更专业的第三方机构负责信息系统的实施与维护,签订服务水平协议,并提供信息安全保障。
此外,尽量减少经济利益的网上流通,加大审查力度,网上支付、在线交易等要进行严格的审批,没有足够安全保障的企业,不能提供此项服务;同时也要对现有的线上支付方式进行检查,具有潜在安全隐患的要及时进行警告和撤销,并转换为线下支付。
3.4其他行业
建筑建材、文化、医药卫生、机构组织、交通运输、制造业等行业中的信息安全事件均超过了1%,其余行业的信息安全威胁较低。这类行业较少利用网络来开展业务,因此企业信息泄露的风险普遍较低,发生信息安全事件的可能性不高。
尽管如此,每年仍然会有相当规模的网络恶意攻击,导致部分企业服务器瘫痪,无法进行工作。这类安全事件主要由黑客造成,多半是为了展示能力、炫耀技术或者娱乐,并非仅仅是为了获得企业的商业机密信息。
此外,企业内部人员疏于管理,信息安全意识不强,通过文件传递、口头传播或者交流聊天都有可能泄露企业私密信息。值得关注的是,金融和军事类企业网络信息安全威胁较低,主要是因为它们具有严格的内部管理制度,员工的信息安全意识,纪律性较强。
其次,它们在物理防护和软件防护上都做的比较完善,军事类企业和组织甚至开辟专用网络链路来保证信息安全。这些行业中的企业在日常运作的过程中,所受信息安全威胁较低,应主要完善内部的制度建设,加强员工的信息安全意识的培养,做到人员管理安全。同时,建立完备的危机应急机制十分必要,当网络信息安全事件发生时,企业能够从容应对。
4结束语
网络信息安全威胁是现代企业都有可能面对的问题,通过互联网等现代信息技术开展业务是企业发展过程中的必然趋势。
本文采用TF-IDF模型和KNN算法,借用计算机编程,顺利地实现了文本数据的分类,获得不同行业的网络信息安全威胁程度。明确自身所处行业的网络信息安全威胁程度,企业才能采取更加有效的应对措施,合理利用管理资源。网络信息安全的行业差异性,为政府相关部门制定具有针对性的政策提供了依据,避免了一刀切、粗放型的管理方式。
然而本文的研究仍然存在一定的局限性,数据的挖掘深度不够,比如可以进一步探讨不同行业之间信息安全问题的联系和相关性,以及它们的对比分析,同时结合时间序列数据,也可以研究不同行业信息安全问题的演变和发展,这些将是今后进一步的研究内容。
http://
参考文献:
[1]刘文臣,朱建明.企业信息安全投资的博弈分析[J].湖北大学学报(哲学社会科学版),2012,03:138-141.
[2]孙军军,赵明清,李辉,冯梅.企业信息安全现状与发展趋势分析[J].信息网络安全,2012(10):90-92.
[3]尹鸿波.网络环境下企业信息安全管理对策研究[J].电脑与信息技术,2011(02):45-47.
[4]肖锟.浅议网络环境下的企业信息安全管理[J].标准科学,2010(08):20-23.
[5]曹如中,曾瑜,郭华.基于网络信息安全的国家竞争情报体系构建研究[J].情报杂志,2014(08):13-18,36.
[6]耿丽娟,李星毅.用于大数据分类的KNN算法研究[J].计算机应用研究,2014(05):1342-1344,1373.
[7]路永和,李焰锋.改进TF-IDF算法的文本特征项权值计算方法[J].图书情报工作,2013(03):90-95.
[8]张瑾.基于改进TF-IDF算法的情报http://
关键词提取方法[J].情报杂志,2014(04):153-155.
[9]路永和,何新宇.文档相似矩阵在提高KNN分类效率中的应用[J].情报理论与实践,2014(01):141-144.
[10]陈美.国家信息安全协同治理:美国的经验与启示[J].情报杂志,2014(02):10-14.
[11]KangAN,BarolliL,ParkJH,etal.Astrengtheningplanforenterpriseinformationsecuritybasedoncloudcomputing[J].ClusterComputing,2013:1-8.
xx市地税局信息科
2006年下半年xx地税信息化工作总的思路是:进一步科学拓宽工作思路,树立创新创牌意识,全面提升人员素质,狠抓基础工作规范,加强征管数据管理,积极推广应用技术,认真做好服务工作,主动展示品牌亮点。
一、充实整合信息技术人员队伍,进一步提升信息管理水平。
为了全面提升信息系统管理员队伍的整体素质,不断提高系统管理员处理信息技术的能力,进一步提升信息管理水平,要充实整合信息技术人员队伍,要把计算机专业人才安排在信息技术开发、推广、系统及数据维护管理的一线上,这样才有得于他们的成长和提高。鉴于日前信息管理科人员偏少的实际情况,要进一步加以调整和充实。
二、狠抓基础工作规范,全面提高基础数据质量。
(一)、进一步健全市局、基层分局二级数据管理规范和工作机制。
征管信息数据是税务部门据以统计、分析、管理、决策的基础,信息数据是否正确,直接关系到管理的质量和决策的正确性。根据上级要求及我局实际情况,进一步健全基础工作规范,进一步明确市局各部门和各分局数据管理的岗位、岗位职责、工作内容、分工和流程,明确了数据管理(包括业务代码管理、业务数据审计及系统数据调整等)工作的具体要求、方法,特别是要把税收征管信息数据的维护更新、校验审核等保全保真管理作为税收业务部门的基本工作职责,加强数据审计,确保数据信息的可靠、真实和一致,把数据管理工作作为一项日常工作进行落实。
(二)、加强数据的长效管理,强化相应的考核机制,确保信息、数据的可靠、真实和一致。
加强数据的长效管理,健全相应的考核机制,原创:加强对数据的清理、“整治”,对每次数据审计发现的问题,要充分重视,认真分析错误信息的成因,并及时进行更正,提高数据信息的正确性。各分局也要高度重视了数据信息的采集、录入工作,切实提高工作责任心,严把企业信息录入、鉴定、开票环节关,认真履行数据审计工作,确保各项数据信息正确无误,为领导决策提供真实、正确、可靠的依据,形成数据整合、提炼、加工、分析、推送的平台。
三、树立创新、创牌意识,积极开发实用、新型软件。
(一)、做好现有品牌项目的升级完善工作。
1、做好“个体双定户定额标准化管理系统”的升级完善。
“个体双定户定额标准化管理系统”是我局前几年开发并在全市推广应用的品牌项目,为了使这一软件更加完善,我们将针对实际应用中发现的问题,及时进行优化整合和升级完善,在这一软件的推广应用上取得新的进展。
2、做好“代征单位管理软件”的应用推广工作。
“代征单位管理软件”是我局新开发的适用于各行业使用的代征单位管理软件,不仅仅局限于简单的税票开具,还从对纳税人的管理、税款的征收与分析统计、税票的管理等方面考虑,能自动计算本身的应纳税额等。该系统使用效果明显,深得用户好评。因此我们要积极做好这一软件的推广应用工作。
3、做好“信息设备跟踪管理系统”的升级开发工作。
“信息设备跟踪管理系统”也是我局开发的为了加强对信息设备的管理,了解和掌握设备的运行情况的设备管理软件。为了便于在日常工作中对全局的信息设备进行跟踪管理,对出现故障的设备及时分析、诊断出故障的大体原因,缩短维护排除故障的时间,我们将进一步对其进行升级改造和完善,使该软件真正实现网络化、实时化。
(二)、积极开发实用新型软件,为征管工作服务。
1、研究开发税收征管电子地图。
2、
(三)、加强信息化宣传,主动展示信息化亮点品牌。
强化信息化工作的形象展示,强化亮点品牌的宣传推介,强力提升xx地税信息化的知名度。
四、以点带面,加强培训,全面提升全员信息化应用技能。
继续推进“系统管理员互动跟班制度”,不断完善“以点带面”的信息技术培训平台,全面提升全员信息化应用技能。
1、市局系统管理员(信息科技术人员)要坚持于每月申报期轮流到分局跟班作业,现场解决各类软、硬件问题,帮助分局信息维护员提高解决具体问题的能力,并在实际工作中深入调研,对分局好的操作方法给予推广,将各种典型问题和解决方案整合成书面交流材料,供各分局借鉴。
2、分局要主动安排系统维护员到市局信息科跟班实习,学习各种系统的日常应用和维护,以及部分硬件的保养与简单维修。分局系统管理员接受一定的指导后分配部分系统维护工作,学习数据库、数据处理等操作业务,在实践中得到提高。同时也将日常工作中遇到的信息技术问题与信息科技术人员交流、沟通,将理论知识与实际工作有机地结合起来。
3、组织系统管理员开展调研和交流。
为了培养和鼓励系统管理员对信息技术知识的学习兴趣,不断提高系统管理员队伍的整体素质,每位系统管理员根据市局布置的调研课题,针对性地选择题目进行调研,及时收集相关信息,认真搞好调研工作。
4、基层系统管理员要履行好本分局培训职责。
基层系统管理员通过学习提高后,要肩负起对本分局税务干部的培训提高的重担,真正起到以点带面、共同提高的作用。在每项新软件推广应用前我们将安排基层系统管理员集中进行培训学习,回去后再对基层税务干部进行培训、辅导,还要负责好对纳税人的相关操作系统的培训、辅导工作,履行好培训职责。
五、把握好新大楼搬迁契机,优化设备和网络性能。
1、整合计算机硬件配置,优化信息处理支持环境;
2、搞好机房建设,做好服务器、原创:防火墙、路由器、加密机等主机及网络设备的安装调试,确保网络设备的安全运行;
3、做好ups电源的维护,确保信息网络系统的不间断安全运行。
六、认真做好服务工作,全心全意为征管服务。
我们信息科作为沟通上级机关和基层分局、税务部门和纳税人的桥梁,是为领导提供决策依据的重要技术环节,为此我们认真做好服务工作。
(一)、配合职能科室做好技术支撑工作。
(二)、为基层提供技术保障、为纳税人提供技术服务。
1、及时处理基层分局出现的故障和问题,及时为税务干部做好技术指导和帮助;
2、通过技术手段帮助分局解决征管难题;
3、及时解决纳税人在电子申报和电脑开票中遇到的困难,为纳税人提供技术支持和服务;