网上办税系统信息安全基本技术规范(税总函〔2014〕13号)
网上办税系统技术咨询服务商管理办法
网上办税系统技术咨询服务商管理办法第一章总则第一条为持续优化税收营商环境,提升办税便利度,规范网上办税系统技术咨询服务行为,加强网上办税系统技术咨询服务商(以下简称“服务商”)的管理,特制定本办法。
第二条本办法所称的网上办税系统技术咨询服务是指经国家税务总局上海市税务局(以下简称“市局)委托,上海市政府采购中心按照规定的政府采购流程公开招标采购项目中列示的服务,中标的企业为该项目服务商。
第三条服务商为纳税人提供涉及网上办税系统使用的流程类、操作类咨询服务,为纳税人提供办税指引,帮助其正确、便捷地通过互联网办理涉税事项。
服务内容涉及的软件系统目前主要包括:网上电子申报软件(又称“eTax@SH3”)、网上认证软件(又称“eTax@SH网上认证”)、自然人税收管理系统(ITS)扣缴客户端、企业所得税汇算清缴申报软件、出口退税申报软件、出口退税网上申报软件、国际贸易单一窗口出口退税申报系统、离境退税管理信息系统、通用开票软件、电子税务局、税收调查网上直报软件等各类面向纳税人直接使用的网上办税系统。
第二章技术咨询服务内容和要求第四条提供网上在线咨询服务。
服务商开通网上在线咨询服务功能,7×24小时为纳税人提供技术咨询问题的受理与解答。
要求:咨询员应在系统提示发起对话30秒内作出回应。
纳税人较多,无法即时应答的,系统推送提示语对纳税人进行回应。
在实时咨询交互过程当中,咨询员预计静默时间超过2分钟的,应征询纳税人意见,根据纳税人意愿采取继续等待或事后答复的方式处理。
纳税人静默时间超过4分钟的,系统自动推送提醒,纳税人仍旧无回应的,推送结束用语后结束对话。
第五条提供电话咨询服务。
服务商开通热线服务电话,热线系统与12366热线系统对接,纳税人可以拨打服务商热线电话也可以拨打12366热线进行技术咨询。
人工接通率需达到90%,60秒人工接通率接通率需达到80%;咨询员应耐心听取纳税人的提问,判断其是否属于咨询服务受理范围,为纳税人提供准确、高效的咨询服务,不得出现违反首问责任制,推诿不答的情况;不属于受理范围的,咨询员应主动告知纳税人不予受理的理由。
国家税务总局信息中心关于税务系统首期网络与信息安全防护体系200
乐税智库文档财税法规策划 乐税网国家税务总局信息中心关于税务系统首期网络与信息安全防护体系2007年6月份运行情况的通报【标 签】安全防护体系,首期网络与信息,全国税务系统【颁布单位】国家税务总局【文 号】信便函﹝2007﹞266号【发文日期】2007-09-05【实施时间】2007-09-05【 有效性 】全文有效【税 种】征收管理各省、自治区、直辖市和计划单列市国家税务局、地方税务局: 根据各单位2007年6月上报的首期安全防护体系运行情况报表统计,本月安全防护体系整体运行稳定,系统内没有发生重大网络安全事件。
现将运行情况通报如下: 一、安全体系运行情况 税务系统首期安全防护体系配备防火墙设备在线使用637台,不在线2台;入侵检测系统设备在线使用575台,不在线0台;瑞星杀毒软件运行稳定,总局总控制中心能够有效管理的省级系统中心有58个,都已升级到最新版本;漏洞扫描系统使用正常。
二、安全体系防护情况分析 (一)防火墙事件分析 本月针对联想防火墙日志进行统计分析,共发生攻击事件15513次,扫描事件5155次,入侵事件0次。
与5月相比,攻击事件增加260%,扫描降低450%,入侵事件降低200%,总体报警事件比上月有所减低。
攻击、入侵、扫描较多事件大部分是由一些正常使用的系统和北信源桌面安全防护产品扫描在线设备运行的正常访问事件;同时有部分ICMP攻击LargePacket(ping大包)和端口扫描。
(二)病毒疫情分析 根据各地上报数据统计,本月共查杀病毒5219359个,较上月数量有所增加,病毒爆发情况依然严重,其中主要感染病毒为蠕虫,主要病毒类型有:(1)Worm.Pabug及其变种,该病毒主要通过MP3(或者U盘)进行传播,由于现在使用MP3(U盘)交换歌曲和电影文件的用户非常多,使得该病毒传播极广。
(2)Worm.Nimaya(熊猫烧香)及其变种,该变种会感染用户计算机上的EXE可执行文件,被病毒感染的文件图标均变为"熊猫烧香".同时,受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
网上办税系统开发技术要求 - 国家税务总局
附件1网上办税系统技术要求国家税务总局2014年10月目录网上办税系统技术要求 (1)说明 (3)第1部分网上办税系统概述 (3)1.1用户 (3)1.2数据 (4)1.3业务功能 (4)1.4系统管理功能 (6)1.5业务数据流向 (6)第2部分系统设计开发要求 (8)2.1系统规划设计 (8)2.1.1系统设计原则 (8)2.1.2总体逻辑设计 (9)2.2系统开发要求 (13)2.2.1总体要求 (13)2.2.2纳税人端应用开发要求 (14)2.2.3业务受理区应用开发要求 (14)2.2.4业务处理区应用开发要求 (15)2.3系统测试要求 (16)2.3.1总体要求 (16)2.3.2关键环节及要求 (17)2.3.3测试内容及要求 (17)2.4系统部署要求 (18)2.4.1总体要求 (18)2.4.2基础设施要求 (19)2.4.3网络要求 (20)2.4.4应用部署要求 (21)2.5信息安全要求 (21)第3部分管理要求 (22)3.1总体要求 (22)3.2系统管理制度 (22)3.2.1管理策略 (22)3.2.2管理规章制度 (22)3.2.3策略与制度文档管理 (22)3.2.4项目管理要求 (22)3.2.5工程管理要求 (23)3.3运行和维护管理 (23)3.3.1升级管理 (23)3.3.2维护管理 (24)3.3.3数据管理 (24)3.3.4可用性监控 (24)3.3.5应急响应管理 (24)3.3.6信息安全管理 (25)3.3.7变更及缺陷管理 (25)3.3.8事件跟踪及问题管理 (25)3.3.9运维知识库管理 (25)3.3.10沟通汇报 (25)3.3.11系统优化管理 (25)3.4质量保证 (25)3.5配置管理 (26)3.6技术文档管理 (26)3.7验收管理 (26)第4部分技术服务要求 (28)4.1服务原则 (28)4.2技术服务内容 (28)4.3技术服务方式 (29)4.4技术服务体系 (29)4.5第三方的服务监管要求 (30)第5部分附录 (32)5.1引用文件 (32)5.2名词解释 (32)说明编制目的:根据国家税务总局进一步优化纳税服务工作的要求,各地税务机关大力依托公共网络向纳税人提供网上办税服务,各地网上办税系统的数量和覆盖的业务范围快速增加,逐渐成为税务部门为纳税人办理涉税业务的一种重要方式。
《税务系统信息安全基本要求(试行)》
5.1.4 税务应用软件系统安全技术基本要求 ...................................................................... 9
5.1.5 数据保护安全技术基本要求 ...................................................................................... 9
5.3.6 密码技术基本要求 .................................................................................................... 27
5.3.7 安全集中管控技术基本要求 .................................................................................... 27
6.1.1 安全管理机构设置 .................................................................................................... 38
6.1.2 安全管理机构人员配备及职责 ................................................................................ 39
5.2.2 网络安全技术基本要求 ............................................................................................. 11
《税务计算机信息系统安全管理规定》
国家税务总局关于印发《税务计算机信息系统安全管理规定》的通知1999年7月20日国税发【1999】131号各省、自治区、直辖市和计划单列市国家税务局、地方税务局,扬州培训中心、长春税务学院:为加强全国税务机关计算机信息系统安全保护工作,保证税收电子化事业的顺利发展,根据公安部、国家保密局的有关规定,针对新形势下计算机应用的特点,总局对1997年发布的《税务系统计算机系统安全管理暂行规定》(国税发【1997】069号)进行了修订和完善,并更名为《税务计算机信息系统安全管理规定》。
现印发给你们,请遵照执行。
原国税发【1997】069号同时作废。
国家保密局国保发【1998】1号、中央保密委员会、国家保密局中保发【1998】6号、中华人民共和国公安部令第33号等文件随本文一并印发。
税务计算机信息系统安全管理规定第一章总则第一条根据《中华人民共和国保守国家秘密法》和公安部、国家保密局的有关规定及要求,为了更好地规范和管理税务系统的计算机、网络设备和电子信息,使之安全运行,更好地发挥计算机、网络和信息资源的作用,特制定《税务计算机信息系统安全管理规定》(以下简称《规定》)。
第二条本《规定》适用于全国地市级以上税务机关的网络、计算机及附属设备和电子数据的管理。
第三条税务系统计算机信息系统安全保护工作谁主管、谁负责,预防为主、综合治理、人员防范与技术防范相结合的原则,逐级建立安全保护责任制,加强制度建设,逐步实现管理科学化、规范化。
第四条任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第五条各级税务机关计算机信息系统的建设和规划应按国家保密局(国保发【1998】1号)文件的规定,同步规划并落实相应的保密措施。
第六条涉及国家秘密的计算机信息系统的建设,必须严格按照中共中央保密委员公办公室和国家保密局(中保办发【1998】6号)的通知要求,报经省局以上保密部门审批后,方可投入使用。
税务系统信息中心规章制度
税务系统信息中心规章制度
《税务系统信息中心规章制度》
税务系统信息中心是国家税务部门的重要组成部分,负责税收信息的收集、处理、储存和查询。
为了规范信息中心的运作,保障税务工作的顺利进行,税务系统信息中心制定了一系列规章制度。
首先,信息中心建立了完善的信息安全管理制度,包括机房保护措施、网络安全规定、数据备份方案等,确保税收信息的安全可靠。
其次,信息中心规定了信息采集、处理和查询的流程和标准,明确了各环节的责任人和操作规范,保证税务信息的真实性和准确性。
再次,信息中心建立了用户权限管理制度,对不同级别的用户给予相应的权限,以保护税收信息不被非法获取和篡改。
此外,信息中心还规定了信息共享和交流的程序和规定,促进税务部门内部和外部单位的信息互通互联。
这些规章制度的制定和执行,保障了税务工作的顺利进行,也保障了纳税人的合法权益。
同时,信息中心也不断完善和更新规章制度,以适应信息技术的发展和税收工作的需要。
税务系统信息中心规章制度的贯彻执行,将为国家税收工作的高效运行提供有力保障。
网上办税系统安全保障要求分析
网上办税系统安全保障要求分析一、概述本文档分析的内容是辽宁国税网上办税厅系统(含网络发票部分)【后简称系统】与国税总局发布的《网上办税系统安全保障要求》【后简称要求】之间的异同。
本次分析仅包括要求文档中第二部分(既系统安全保障技术要求)中的应用和数据安全要求,安全保障基础设施和系统安全开发和实现。
不包括涉及硬件环境或管理制度的环境安全要求,系统安全配置要求和第三部分系统安全管理要求。
分析分为两部分:一分原文分析(采用原文加注的方式),二为针对原文分析部分的简要总结。
二、原文分析---------------------------------------------------------------------------------------------------------------- 2.3 应用和数据安全要求2.3.1 用户数据保护2.3.1.1用户数据完整性与抗抵赖性应从以下方面设计和实现应用系统的数据完整性与抗抵赖性控制功能:(1)应对纳税登记数据、纳税申报数据、纳税证书数据等用户数据进行完整性与抗抵赖性检测,确保数据完整性和抗抵赖。
(2)应对网上办税业务数据、业务管理数据等用户数据进行完整性与抗抵赖性检测,确保数据完整性和抗抵赖。
【目前系统的完整性和抗抵赖性检测由电子签章技术实现。
由于文中没有相关的技术标准,所以该项技术是否符合要求不确定。
】2.3.1.2 用户数据保密性应从以下方面设计和实现应用系统的数据保密性控制功能:(1)纳税登记数据、纳税申报数据、纳税证书数据等用户数据,应进行一定的保密性保护,确保外部用户不能用简单的方法获得该类用户数据。
(2)应对网上办税业务数据、业务管理数据等用户数据进行数据保密性保护。
【目前系统应已实现外部用户不能用简单的方法获得该类用户数据。
但文中未明确简单的方法是什么意思,也没有明确保密性措施是在以哪种方式实现,有没有什么标准要求。
】2.3.2身份鉴别2.3.2.1用户身份标识(1)对用户身份标识要求进行基本标识、标识唯一性和标识信息管理:①基本标识:应在系统安全功能实施所要求的动作之前,先对提出该动作要求的用户进行标识;②标识唯一性:应确保所标识用户在信息系统生命周期内的唯一性,并将用户标识与安全审计相关联;③标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。
税务系统网络与信息安全信息通报制度(试行)
税务系统网络与信息安全信息通报制度(试行)附件5税务系统网络与信息安全信息通报制度(试行)第一条为规范全国税务系统网络与信息安全信息通报管理工作,及时做好相应的安全防范措施,降低信息安全事件的发生概率,减少信息安全事件带来的损失和影响。
根据国家网络与信息安全协调小组办公室《网络与信息安全信息通报暂行办法》(信安通…2003?10号)及国家税务总局税务系统网络与信息安全应急响应规划,制定本制度。
第二条税务系统内县级以上单位网络与信息安全信息的通报,适合本制度。
第三条本制度中所称的安全信息除了包括已发生的和正在发生的安全事件的信息,还包括可预见的将来可能发生的安全事件的信息。
第四条为加强税务系统网络与信息系统安全信息共享和统一协调行动,按照“统一领导、归口负责”的原则,由各级网络与信息安全领导小组办公室负责网络与信息安全信息通报工作的组织、指导和协调,并确定承担本单位网络与信息安全信息通报工作的职能部门、负责人和联络员。
第五条税务系统网络与信息安全信息通报采用下管一级办法实行,上级单位负责将相关的安全信息通报给下一级单位,如遇到一些特别重大安全事件或特别紧急的安全预警,可连级或跨级通报。
各单位还有责任向当地政府网络与信息安全管理部门进行通报。
第六条通报可采取例行通报、紧急通报两种方式进行。
例行通报为定期方式,适用于对安全信息的汇总分析,每月一次,在安全事件多发地区及多发时期可根据实际调整为每半月一次或每星期一次。
紧急通报为不定期方式,适用于对突发的安全事件或重大安全预警信息的发布,对具有紧急和有重要指导作用的安全信息应在当天内完成通报。
第七条全国税务系统应在充分利用现有资源基础上建立本单位信息通报网络系统和技术平台,确定安全信息通报渠道和联系方式,可采用口头、电话、网络电子公告、邮件、传真或公文等多种形式,在遇到重要安全信息需要通报时,应在最短时间内采取最有效的办法通知各有关单位。
第八条安全事件是税务网络与信息系统已经发生、正在发生或预计将要发生的有较大不利影响的事件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网上办税系统信息安全基本技术规范网上办税系统信息安全基本技术规范目录1文档概述 (1)1.1适用范围 (1)1.2文档相关说明 (1)1.3引用文件 (1)1.4术语和定义 (2)1.5符号和缩略语 (2)2网上办税系统概述 (3)2.1系统定义 (3)2.2系统描述 (3)2.2.1服务器端 (3)2.2.2客户端 (3)2.2.3专用辅助安全设备 (3)2.2.4网络通信 (4)2.3用户及数据描述 (4)2.3.1用户 (4)2.3.2数据 (4)2.4系统边界 (4)3信息安全基本技术规范 (5)3.1服务器端安全 (5)3.1.1 应用安全和数据安全 (5)3.1.2网络区域划分 (7)3.1.3 网络安全 (9)3.1.4 服务器安全 (11)3.2客户端安全 (13)3.2.1 客户端运行环境安全 (14)3.2.2 客户端软件 (14)3.2.3 密码保护 (14)3.2.4 登录控制 (15)3.2.5 信息保护 (15)3.3专用辅助安全设备安全 (15)3.3.1 USB Key (15)3.3.2 文件证书 (16)3.3.3 手机短信动态密码 (16)3.4网络通信安全 (16)前言编制目的:根据国家税务总局进一步优化纳税服务工作的要求,各地税务机关大力依托公共网络向纳税人提供网上办税服务,各地网上办税系统的数量和覆盖的业务范围快速增加,已经成为税务部门处理业务的一种重要方式。
特别是随着各地网上办税业务模式不断创新,纳税人在互联网上已从过去单一的业务查询、申报工作提升到网上缴税等资金类操作,显著增加了网上办税系统的安全风险。
与此同时,各地在网上办税中的信息安全防护水平参差不齐。
因此,为保证网上办税系统能够安全平稳,有效增强现有网上办税系统安全防范能力,促进网上办税规范、健康发展,提出税务网上办税系统信息安全基本技术规范。
基本原则:网上办税系统信息安全基本技术规范基于安全现状,符合安全需求,为网上办税系统提供基本的安全保障。
网上办税系统信息安全基本技术规范1文档概述1.1适用范围本规范明确了网上办税系统的定义,规定了基于公共网络(如互联网、移动网络)或专线的网上办税系统建设、部署、运行维护的技术和管理要求,提出了网上办税系统信息安全保障的基本技术规范。
1.2文档相关说明文档中使用*号标注的内容对技术检测要求能力较高,可由第三方检测机构检测,并提供相应报告证明。
1.3引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范。
凡是不注日期的引用文件,其最新版本适用于本规范。
(1)GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求(2)GB/T 20984-2007 信息安全技术信息系统风险评估规范(3)GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型(4)GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求(5)GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求(6)GB/T 22080-2008 信息技术安全技术信息安全管理体系要求(7)GB/T 22081-2008 信息技术安全技术信息安全管理使用规则(8)GB/T 14394-2008 计算机软件可靠性和可维护性管理(9)GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求(10)GB 17859-1999 计算机信息系统安全保护等级划分准则(11)GB/T 20269-2006 信息安全技术信息系统安全管理要求(12)GB/T 20271-2006 信息安全技术信息系统通用安全技术要求(13)GB/T 20272-2006 信息安全技术操作系统安全技术要求(14)GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求(15)公通字[2007]43号信息安全等级保护管理办法。
(16)《国家税务总局关于进一步加强网上办税系统信息安全保障工作的通知》(国税函〔2010〕124号)1.4术语和定义1)网上办税网上办税是指国家税务机关将传统的通过办税大厅向纳税人提供服务的方式转变为利用互联网向纳税人提供服务的一种办税方式。
2)互联网因特网、无线网络或其他类似形式的通用性公共计算机通信网络。
3)敏感信息网上办税的敏感信息包括纳税人的身份认证信息等非公开信息以及税务机关的非公开信息。
4)客户端程序网上办税系统客户端包括通过浏览器访问的网上办税系统页面以及嵌入到浏览器中辅助完成网上办税业务的ActiveX控件,独立安装与运行在PC及移动终端上的专用网上办税客户端软件。
5)USB Key一种USB接口的硬件设备。
它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书。
1.5符号和缩略语以下缩略语和符号表示适用于本规范:Cookies 为辨别客户身份而储存在客户本地终端上的数据DOS/DDOS 拒绝服务/分布式拒绝服务(Denial of Service/Distributed ofService)IDS/IPS 入侵检测系统/入侵防御系统(Intrusion Detection System/Intrusion Prevention System)SSL 安全套接字层(Secure Socket Layer)TLS 传输层安全(Transfer Layer Secure)VPN 虚拟专用网络(Virtual Private Network)ACL 访问控制列表(Access Control List,ACL)2网上办税系统概述2.1系统定义网上办税系统是运用现代化的通信手段和计算机及网络信息处理技术,由纳税人通过Web服务等设施办理涉税业务的综合信息处理系统,是税务部门用于采集、处理、存储、传输、分发和发布涉税信息、提高服务质量的基础设施,是组织结构、人员和IT组件的集成。
2.2系统描述2.2.2客户端网上办税系统客户端包括通过浏览器访问的网上办税系统页面以及嵌入到浏览器中辅助完成网上办税业务的ActiveX控件,独立安装与运行在PC及移动终端上的专用网上办税客户端软件。
2.2.3专用辅助安全设备专用辅助安全设备是为提高网上办税系统的可信通信能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力而采用的安全辅助设备,包括USB Key、文件证书和动态口令等。
2.2.4网络通信网络通信是指网上办税系统借助互联网技术向纳税人提供纳税服务的过程中用户数据的流通交互过程。
2.3用户及数据描述2.3.1用户网上办税系统有两类用户:(1)管理员用户:包括业务系统管理人员、技术维护人员和安全审计人员等用户,分别具有各自特定的权限。
(2)纳税用户:包括所有网上办税的纳税人,数量众多,仅拥有纳税人独立使用网上办税系统的专有权限。
2.3.2数据网上办税系统数据主要包括:(1)业务数据:开展网上办税相关业务的数据,包括纳税登记数据、纳税申报数据等。
(2)业务管理数据:上述业务数据之外的,用于业务人员管理业务系统运行的有关数据。
(3)访问控制数据:网上办税系统及其使用者相关的权限管理和身份鉴别数据。
(4)安全审计数据:用于监测和审计业务系统运行管理以及系统安全的有关数据,如各类用户的重要操作记录、业务数据流转记录、系统运行安全监测的记录等。
(5)系统数据:网上办税业务系统涉及的网络数据、系统数据和安全设备产生的数据等,以及用于系统维护和安全管理的其他数据。
2.4系统边界网上办税系统信息安全基本技术规范适用于安全区域划分(安全区域划分详见本规范3.1.2)中外部区域、网上办税访问区域和网上办税业务受理区域,不适用于税务内部核心系统(如CTAIS等)、办公系统以及税务机关信息发布系统(如门户网站)等不直接向纳税人提供网上办税服务的系统。
3信息安全基本技术规范3.1服务器端安全3.1.1应用安全和数据安全用户数据包含不限于纳税登记数据、纳税申报数据、纳税证书数据,网上办税业务数据、业务管理数据以及存储和传输的用户数据。
为了提升网上办税系统应用安全以及数据的安全性,系统应用以及用户数据应满足以下安全要求。
用户数据保护(1)应采用密码技术或其他措施保证用户数据的完整性。
(2)应采用加密技术对存储和传输中的用户敏感数据进行机密性保护。
(3)应采用访问控制技术对数据进行分类保护。
密码应用(1)网上办税系统在数据生成、传输、交换、存储、应用以及对数据操作需采用密码技术进行保护。
(2)采用的密码算法必须符合密码管理局标准。
(3)密钥的生命周期必须遵循密码设计时对密钥使用期限的规定,定期更换密钥。
身份认证(1)身份认证除使用静态密码认证外,还必须结合使用其他认证方式(如证书等)。
(2)登录安全:●每次登录系统时,均需进行用户身份鉴别、认证。
如:强化的用户密码、基于数字证书等机制进行鉴别。
●系统登录时应规定不成功鉴别尝试次数和时间阀值●用户在认证成功前,只能执行登录功能。
(3)使用图形验证码来防范暴力破解静态密码,图形验证码应满足:●由服务端产生。
●在网页源代码中不可见。
●由数字和字母组成。
●随机产生。
●包含足够的噪音干扰信息,避免恶意代码自动识别图片上的信息。
●具有时间限制(不超过10分钟)并且仅能使用一次。
(4)认证密码相关安全:●登录认证密码需满足3.2.3密码保护的要求。
●密码修改前必须验证用户是否处于正常登录状态,且需提供原始密码。
●纳税人在丢失网上办税密码后,需持有效身份证件到相应的办税服务大厅重设密码。
(5)传输安全:●当用于身份鉴别的信息在网上传输时应采用密码技术进行保护。
●用户名密码等用户敏感信息在传输时应采用密码技术进行保护。
(6)退出登录或客户端程序后,应立即终止会话,保证无法通过后退或直接访问等方式重新进入登录后的网上办税系统,且在退出时应提示客户取下专用安全设备,如USB Key。
(7)*用户标示符安全:●纳税用户在第一次注册时,需为其确定一个唯一的用户标识符。
●用户标识生效时必须惟一存在,且不会被非授权访问、修改或删除。
●用户账号被删除后,其对应的惟一用户标识失效,不能再使用。
会话管理(1)网上办税系统Web服务器应用程序应设置客户登录网上办税后的空闲时间,当超过指定时间,应自动终止会话。
(2)会话标识应随机并且唯一,不能被猜测。
(3)会话必须具有一致性和持续性。
访问控制(1)纳税用户访问操作应包括对客体(申报表单)的创建、读、写、执行、修改和删除等,但在正式提交后为只读方式。
(2)系统在分配权限时应满足最小授权原则,只需授予不同管理员用户(系统管理员、系统安全员、安全审计员等)完成各自任务所需的最小权限。