【正文】 1 XX市地方稅務(wù)局網(wǎng)絡(luò)安全規(guī)劃建議方案 一、網(wǎng)絡(luò)安全概述 XX 市地方稅務(wù)局的網(wǎng)絡(luò)環(huán)境關(guān)系到保障國家稅收安全，支持城市發(fā)展等重大問題，因此其系統(tǒng)對安全性和穩(wěn)定性有較高的要求，我們從整個系統(tǒng)的安全出發(fā)，對網(wǎng)絡(luò)設(shè)計完整而嚴(yán)密的安全體系。 信息系統(tǒng)潛在的安全風(fēng)險分析 信息系統(tǒng)存在的安全風(fēng)險主要來自技術(shù)和社會兩方面，技術(shù)方面的風(fēng)險是由于網(wǎng)絡(luò)的脆弱性以及系統(tǒng)設(shè)計過程中不可預(yù)見的漏洞等技術(shù)原因引起的，我們可以通過提供完善的網(wǎng)絡(luò)安全服務(wù)加以解決；社會方面的風(fēng)險則主要是由于社會中人的因素引起的，如安全管理制度的健全程度 、某人的惡意破壞傾向等都會對信息系統(tǒng)造成極大的安全隱患。 信息系統(tǒng)面臨的安全風(fēng)險主要表現(xiàn)在以下方面： （ 1） 物理風(fēng)險 除人為破壞基礎(chǔ)設(shè)施外，常見的物理風(fēng)險有自然災(zāi)難（水災(zāi)、火災(zāi)、地震、臺風(fēng)、海嘯等）直接破壞信息系統(tǒng)中的各種基礎(chǔ)設(shè)施以及備份數(shù)據(jù)的存儲介質(zhì)；電力供應(yīng)相關(guān)的支持的喪失，包括電力供應(yīng)不足或中斷等；靜電、強磁場可能會破壞硬件設(shè)備，毀壞存儲介質(zhì)；存儲介質(zhì)、計算機設(shè)備、網(wǎng)絡(luò)設(shè)備、傳輸介質(zhì)等自身的老化和損壞。 （ 2） 無意錯誤風(fēng)險 在信息系統(tǒng)的信息處理、傳輸、存儲、維護 等過程中，由于人 2 為或系統(tǒng)原因造成的錯誤影響信息的完整性，有時也會影響信息的機密性和可用性，在一些情況下，錯誤是一種風(fēng)險（如操作員數(shù)據(jù)輸入或存取錯誤將導(dǎo)致信息的泄露、篡改和丟失）；而在一些情況下，錯誤可能帶來新的脆弱性（如錯誤地將信息存取權(quán)提供給未授權(quán)者）。 常見的錯誤有在數(shù)據(jù)輸入、文檔編排等過程中相應(yīng)人員出現(xiàn)的操作失誤，而應(yīng)用軟件又缺乏必要的輸入數(shù)據(jù)合法性、有效性檢查機制，將導(dǎo)致處理結(jié)果的錯誤；數(shù)據(jù)在傳輸過程中出現(xiàn)錯誤，可能是傳輸數(shù)據(jù)中途被篡改，也包括傳輸?shù)哪康牡劐e誤，這種錯誤多數(shù)都與傳輸線路和設(shè)備密 切聯(lián)系，導(dǎo)致信息完整性的破壞和將信息傳輸給未授權(quán)者 。 （ 3） 有意破壞風(fēng)險 有意破壞是指內(nèi)部和外部人員有意通過物理手段對信息系統(tǒng)組件、結(jié)構(gòu)和信息進行更改、移動和銷毀等，直接危及信息的機密性、完整性、可用性和可控性，嚴(yán)重時會引起整個系統(tǒng)癱瘓和不可恢復(fù)。由于進行有意破壞的人員特別是內(nèi)部人員可能熟悉整個系統(tǒng)的情況并擁有某些操作權(quán)限和信任關(guān)系，因此這種風(fēng)險帶來的破壞一般而言都是巨大的。 常見的有意破壞包括：破壞基礎(chǔ)設(shè)施、電磁干擾、蓄意備份未授權(quán)信息、蓄意刪除 /修改信息、擴散病毒、竊聽、偵聽 、截包、電子欺騙、竊密、偽造、惡意代碼（病毒、特洛伊木馬、邏輯炸彈、時間炸彈、蠕蟲）等等 （ 4） 管理風(fēng)險 3 信息系統(tǒng)作為一個軟硬件集成的有機整體，其安全性除這些軟硬件設(shè)備自身的安全保護能力以外，重要的是對其進行有效管理。只有有效的管理，安全性才能得到相應(yīng)的保障。例如，就操作系統(tǒng)而言，即使其安全特性比較好，而相應(yīng)的安全管理不當(dāng)，其運行時的安全性能就會大大降低，整個操作系統(tǒng)就會逐漸腐敗，直至崩潰。比如針對 Unix的口令攻擊，如果管理不當(dāng)，攻擊者就很容易獲得存放口令的文件，然后對其進行字典攻擊。 常見的管理不當(dāng)和失控有口令和密鑰管理不嚴(yán)格和保管不妥當(dāng)，可造成直接丟失、泄露給未授權(quán)者和易被猜測的安全隱患；管理制度相關(guān)內(nèi)容的缺乏，制度遺漏可造成信息系統(tǒng)的無序運行，嚴(yán)重時導(dǎo)致雪崩式的安全漏洞和脆弱性；安全崗位及其職責(zé)設(shè)置不全面，以及崗位與職責(zé)對應(yīng)關(guān)系混亂。這種情況可導(dǎo)致管理中某些環(huán)節(jié)多重控制，而某些環(huán)節(jié)缺乏控制，造成信息系統(tǒng)的無序運行，嚴(yán)重時導(dǎo)致雪崩式的安全漏洞和脆弱性；對信息系統(tǒng)管理員、信息安全管理員、機密信息操作員和存儲介質(zhì)管理員等的審查、錄用、素質(zhì)和道德培養(yǎng)以及調(diào)離、解聘各個環(huán)節(jié)中，管 理制度及執(zhí)行中出現(xiàn)的漏洞和疏忽。這些漏洞和疏忽可導(dǎo)致人為操作錯誤、有意破壞信息和信息系統(tǒng)的可用性，以及直接竊取信息等安全事故 。 我們將從以上各個方面考慮，結(jié)合 XX 市地方稅務(wù)局目前的實際情況，提出相應(yīng)的網(wǎng)絡(luò)防御補充方案，從而構(gòu)成一個安全強度較高、管理嚴(yán)密、運行穩(wěn)定的網(wǎng)絡(luò)安全環(huán)境。 4 網(wǎng)絡(luò)安全設(shè)計模型 網(wǎng)絡(luò)安全是個整體的概念，它遵循“木桶原理” ―― 就像木桶盛水的多少取決于最短的那塊木板一樣，整個網(wǎng)絡(luò)的安全強度取決于防護最薄弱的位置。 因此，我們參考國際安全標(biāo)準(zhǔn)設(shè)計了的網(wǎng)絡(luò)安全對 象模型，該模型全面考慮了涉及信息安全的各個方面，我們對地稅網(wǎng)絡(luò)的安全設(shè)計以此為模型，全面分析網(wǎng)絡(luò)的各個方面，提出合理的建議，從而建立全面的安全防御體系，該模型如圖所示： 整個安全系統(tǒng)應(yīng)由五大體系構(gòu)成：身份認(rèn)證與基礎(chǔ)安全服務(wù)系統(tǒng)、訪問控制與數(shù)據(jù)加密系統(tǒng)、動態(tài)安全檢測系統(tǒng)、安全管理系統(tǒng)以及數(shù)據(jù)備份與恢復(fù)系統(tǒng)構(gòu)成。 身份認(rèn)證與基礎(chǔ)服務(wù)系統(tǒng)是整個網(wǎng)絡(luò)環(huán)境的基礎(chǔ)性安全設(shè)施，它為整個網(wǎng)絡(luò)環(huán)境 提供數(shù)據(jù)機密性、完整性、身份認(rèn)證和行為的不可抵賴性等基礎(chǔ)安全功能。 這 些功能將為上層的訪問控制、加密、安全檢測、以及安全管理提供基礎(chǔ)性的安全服務(wù)。 身份認(rèn)證與基礎(chǔ)服務(wù)系統(tǒng) 訪問控制與加密系統(tǒng) 動態(tài)安全檢測系統(tǒng) 安全管理系統(tǒng) 數(shù)據(jù)備份與恢復(fù)系統(tǒng) 5 任何系統(tǒng)的可信操作在初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，并提供證明自己身份的依據(jù)，計算機系統(tǒng)對其進行鑒別。身份的標(biāo)識和鑒別是對訪問者授權(quán)的前提，并通過審計機制使系統(tǒng)保留追究用戶行為責(zé)任的能力。因此，我們會首先建立身份認(rèn)證與基礎(chǔ)安全服務(wù)系統(tǒng)，并向上層應(yīng)用系統(tǒng)及網(wǎng)絡(luò)設(shè)備提供包括身份認(rèn)證、數(shù)據(jù)加密、密鑰保存與更新、數(shù)據(jù)完整性驗證等在內(nèi)的基礎(chǔ)性安全服務(wù)。 訪問控制與加密系統(tǒng)以及動態(tài)安全檢測系統(tǒng)是整個網(wǎng)絡(luò)系統(tǒng)中的核心網(wǎng)絡(luò)防御層，它們 相互作用從而建立起一個高強度的防御系統(tǒng)，并能根據(jù)實際情況做出響應(yīng)，阻斷黑客的攻擊行為。訪問控制與加密系統(tǒng)通過防火墻、隔離網(wǎng)閘、 VPN、 VLAN以及操作系統(tǒng) DAC 構(gòu)成，通過統(tǒng)一的策略設(shè)置實現(xiàn)對關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等資源的訪問控制；動態(tài)安全檢測系統(tǒng)則通過防病毒系統(tǒng)、入侵檢測與審計系統(tǒng)系統(tǒng)及時監(jiān)測網(wǎng)絡(luò)活動，發(fā)現(xiàn)并處理攻擊行為，通過自動 /手動修改訪問配置策略的方式動態(tài)調(diào)整網(wǎng)絡(luò)防御。 安全管理系統(tǒng)位于安全防御的最上層，一般由管理員定期或在線進行管理。這部分工具使得管理員能夠利用審查管理日志，掃描系統(tǒng)隱患、檢 查口令策略以及網(wǎng)絡(luò)流量監(jiān)控等措施，將配置不當(dāng)或人為原因造成的損失減少到最低程度，并分析可能存在的成功攻擊行為，及時做出補救 數(shù)據(jù)備份與恢復(fù)系統(tǒng)。數(shù)據(jù)的備份與恢復(fù)系統(tǒng)通過磁盤陣列、磁帶庫等存儲設(shè)施以及備份及恢復(fù)軟件定期對系統(tǒng)數(shù)據(jù)進行全備份或增量備份。該方式可有效消除因為硬件故障、自然災(zāi)害或網(wǎng)絡(luò)攻擊、 6 病毒所造成的數(shù)據(jù)丟失，對于 XX地稅這樣對歷史數(shù)據(jù)及其敏感的部門，數(shù)據(jù)備份的意義就更加重要了。 二、 XX 市地方稅務(wù)局網(wǎng)絡(luò)安全環(huán)境分析 地稅現(xiàn)有網(wǎng)絡(luò)安全環(huán)境 XX市地方稅務(wù)局計算機網(wǎng)絡(luò)已經(jīng)構(gòu)成了一個覆蓋 全市各分局以及相關(guān)政府職能部門的大型現(xiàn)代化網(wǎng)絡(luò)，同時，還通過高速寬帶線路實現(xiàn)了網(wǎng)上稅局以及內(nèi)部用戶的互聯(lián)網(wǎng)訪問，充分利用了先進的 WEB 技術(shù)來加速提高稅務(wù)辦公的效率和透明度。 在整個網(wǎng)絡(luò)系統(tǒng)的建設(shè)過程中， XX 市地方稅務(wù)局以安全為首要考慮之一，充分考慮了安全技術(shù)和設(shè)備的運用，建立了數(shù)據(jù)庫本地備份系統(tǒng)、防火墻系統(tǒng)以及基于主機保護的入侵檢測系統(tǒng)，同時規(guī)劃了CA 認(rèn)證系統(tǒng)和遠(yuǎn)程異地備份系統(tǒng)。解決了網(wǎng)上報稅系統(tǒng)系統(tǒng)的身份認(rèn)證問題，提供了一定的互連網(wǎng)攻擊防御能力，同時，備份系統(tǒng)提供了較高的數(shù)據(jù)保護能力，在發(fā)生硬件以及其它 問題的時候，可以通過恢復(fù)備份數(shù)據(jù)實現(xiàn)數(shù)據(jù)的安全存儲與保護。 XX 市地方稅務(wù)局目前的網(wǎng)絡(luò)環(huán)境如圖所示： 7 SiSiI n t e r n e tA D S LW E B E m a i lD D NC h e c k P o i n t F W 1移 移 移 移華 依 防 火 墻 （ 已 有 ）D M Z外 部 防 火 墻小 型 機服 務(wù) 器 網(wǎng)地 稅 內(nèi) 部 網(wǎng)異 地 容 災(zāi) 備 份 中 心外 部 連 接 網(wǎng)對 外 服 務(wù) 網(wǎng)內(nèi) 部 高 性 能防 火 墻 （ 計 劃 ）移 移移 移移 移 移 移移 移 移 移珠 海 地 稅 網(wǎng) 絡(luò) 環(huán) 境 XX 地稅網(wǎng)絡(luò)由四個子網(wǎng)構(gòu)成：地稅內(nèi)部網(wǎng)、服務(wù)器網(wǎng)、外部連接網(wǎng)和對外服務(wù)網(wǎng)。地稅內(nèi)部網(wǎng)由市局包括各分局內(nèi)部辦公機組成，通過核心交換機互連，市局與分局間通過城域 VPN 網(wǎng)絡(luò)相連。這個網(wǎng)絡(luò)主要為辦公服務(wù)，通過一臺華依防火墻以 ADSL 撥號方式訪問互聯(lián)網(wǎng)，并通過核心防火墻訪問內(nèi)部應(yīng)用系統(tǒng)。服務(wù)器網(wǎng)是 XX 地稅的核心資源，包括了所有關(guān)鍵業(yè)務(wù)系統(tǒng)及后臺數(shù)據(jù) 庫，該部分主要通過前置機對內(nèi)網(wǎng)、外連網(wǎng)和稅務(wù) WEB 數(shù)據(jù)服務(wù)。該部分是需要重點保護的網(wǎng)絡(luò)。外部連接網(wǎng)主要是同政府其它職能部門互連，實現(xiàn)信息的互連互通。對外服務(wù)網(wǎng)提供了網(wǎng)上辦稅等電子政務(wù)服務(wù)項目，是 XX 稅務(wù)的網(wǎng)上窗口，該網(wǎng)絡(luò)內(nèi)包含 WEB 和 Email 服務(wù)器，通過專線與互聯(lián)網(wǎng)相連，并連接一臺 CheckPoint防火墻提供對該區(qū)域的保護。 8 目前網(wǎng)絡(luò)環(huán)境存在的安全風(fēng)險 重要網(wǎng)絡(luò)資源 要分析網(wǎng)絡(luò)風(fēng)險，我們必須認(rèn)清我們需要保護的資源及其優(yōu)先順序， XX地稅網(wǎng)絡(luò)中需要保護的網(wǎng)絡(luò)資源如下： ? 服務(wù) 器網(wǎng)，該網(wǎng)段部署了 XX 地稅重要的應(yīng)用系統(tǒng)，更為重要的是，所有的稅務(wù)數(shù)據(jù)均存儲在該區(qū)域，因此，必須運用嚴(yán)格的措施保護該網(wǎng)絡(luò)的安全。 ? 對外服務(wù)網(wǎng)，對外服務(wù)網(wǎng)是網(wǎng)上辦公的窗口，存儲了大量信息，應(yīng)保護其不被篡改和非法獲取。同時，由于 WEB 服務(wù)器具有訪問服務(wù)器網(wǎng)段的權(quán)限，因此，保護 WEB 不被攻占具有十分重要的意義。 ? 內(nèi)部網(wǎng)客戶機，內(nèi)部網(wǎng)客戶機具有很高的內(nèi)部訪問權(quán)限，可以訪問內(nèi)部大多數(shù)應(yīng)用系統(tǒng)，同時，許多辦公信息都存儲在內(nèi)部客戶機上，因此，該部分也是保護的重點。 目前采取的措施及風(fēng)險分析 服務(wù)器網(wǎng)段 ：該網(wǎng)目前采用前置機的方式對外提供服務(wù)，該方式將數(shù)據(jù)庫隱藏在后端，具有一定的安全能力，但風(fēng)險還是很大。主要表現(xiàn) 9 在：前置機的安全性無法得到保證，一旦前置機被攻陷，整個內(nèi)部資源便暴露在攻擊者面前。而前置機更多的是考慮應(yīng)用而設(shè)計的，在安全防護方面做得很少，漏洞很多。二是，當(dāng)面對異常攻擊時，防火墻和前置機有被旁路的可能，如 IP 碎片攻擊，就可繞過多數(shù)防火墻攻擊內(nèi)網(wǎng)，因此必須采取更堅固的堡壘主機，保證整個服務(wù)器網(wǎng)與外界隔離開，并通過代理的方式在外部提供數(shù)據(jù)訪問服務(wù)。 對外服務(wù)網(wǎng)：該網(wǎng)絡(luò)通過防火墻的 DMZ 區(qū)對外提供服務(wù) 。 WEB 站點是網(wǎng)上易受攻擊的目標(biāo)，這是因為其漏洞很多而且不可避免要開放大量對外服務(wù)造成的，這些都給了黑客成功攻擊服務(wù)器的機會?？赡艿娘L(fēng)險包括三個方面：一是黑客攻占 WEB 服務(wù)器然后作為跳板向內(nèi)網(wǎng)發(fā)動攻擊；二是黑客利用漏洞更改站點頁面，導(dǎo)致用戶訪問被重定向，竊取用戶商業(yè)機密甚至用戶網(wǎng)絡(luò)在不知情下被破壞；三是病毒引起該網(wǎng)癱瘓，從而造成服務(wù)不可用以及內(nèi)部的廣播風(fēng)暴，甚至感染內(nèi)部網(wǎng)絡(luò)。目前僅靠防火墻的 DMZ 區(qū)防護顯然不夠，眾所周知， DMZ 是防火墻上防護較弱的區(qū)域，這些完全不能滿足防護的需要，潛在被攻擊成功的可能性很大 。應(yīng)采取措施加固主機系統(tǒng)，并通過網(wǎng)關(guān)級防病毒產(chǎn)品掃描可能存在的病毒，保護該部分的安全。 內(nèi)部網(wǎng)客戶機：該網(wǎng)絡(luò)通過 ADSL 方式透過防火墻訪問互聯(lián)網(wǎng)，并可訪問服務(wù)器網(wǎng)段。該網(wǎng)絡(luò)存在的風(fēng)險包括：一是內(nèi)部沒有完整統(tǒng)一的防病毒系統(tǒng)，由于其內(nèi)網(wǎng)用戶大量訪問互聯(lián)網(wǎng)，因此，遭病毒攻擊的可能性極高，沒有統(tǒng)一的防病毒體系，整個網(wǎng)絡(luò)將面臨全面被病毒感染的風(fēng)險；二是黑客有可能利用該網(wǎng)絡(luò)攻擊服務(wù)器網(wǎng)段，內(nèi)部客戶機在網(wǎng)上無意觸發(fā)的惡意 JAVA 小程序、 ActivX控件都有可能使黑客獲得跳板攻擊服務(wù)器網(wǎng)段，或是以反彈方式旁路防火墻，這些 攻擊威脅很大，極容易突破防御。因此，應(yīng)加強認(rèn)證和監(jiān)控，使得這些木馬很 10 難產(chǎn)生作用。 市地方稅務(wù)局的安全目標(biāo) XX 地稅這樣的網(wǎng)絡(luò)環(huán)境，具有以下安全需求： 1) 用戶身份的認(rèn)證與授權(quán) ―― 對于 XX 地稅網(wǎng)絡(luò)系統(tǒng)來說來說，嚴(yán)格的用戶身份認(rèn)證與授權(quán)是保證整個系統(tǒng)有序工作，防止信息泄漏的重要手段。如同在現(xiàn)實社會中身份證的作用一樣，網(wǎng)絡(luò)環(huán)境中同樣需要建立用戶的識別系統(tǒng)，識別系統(tǒng)將為安全管理中重要的安全策略管理、日志管理、口令管理等提供基礎(chǔ)信息和識別機制，因此及其重要。同時，認(rèn)證系統(tǒng)必須與應(yīng)用系統(tǒng)結(jié)合起來，才能提供完 整的認(rèn)證與授權(quán)功能。因此，在選擇合適認(rèn)