【正文】 丟失，對于 XX地稅這樣對歷史數(shù)據(jù)及其敏感的部門，數(shù)據(jù)備份的意義就更加重要了。訪問控制與加密系統(tǒng)通過防火墻、隔離網(wǎng)閘、 VPN、 VLAN以及操作系統(tǒng) DAC 構(gòu)成，通過統(tǒng)一的策略設(shè)置實現(xiàn)對關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等資源的訪問控制；動態(tài)安全檢測系統(tǒng)則通過防病毒系統(tǒng)、入侵檢測與審計系統(tǒng)系統(tǒng)及時監(jiān)測網(wǎng)絡(luò)活動，發(fā)現(xiàn)并處理攻擊行為，通過自動 /手動修改訪問配置策略的方式動態(tài)調(diào)整網(wǎng)絡(luò)防御。 身份認證與基礎(chǔ)服務(wù)系統(tǒng) 訪問控制與加密系統(tǒng) 動態(tài)安全檢測系統(tǒng) 安全管理系統(tǒng) 數(shù)據(jù)備份與恢復(fù)系統(tǒng) 5 任何系統(tǒng)的可信操作在初始執(zhí)行時，首先要求用戶標識自己的身份，并提供證明自己身份的依據(jù)，計算機系統(tǒng)對其進行鑒別。 4 網(wǎng)絡(luò)安全設(shè)計模型 網(wǎng)絡(luò)安全是個整體的概念，它遵循“木桶原理” ―― 就像木桶盛水的多少取決于最短的那塊木板一樣，整個網(wǎng)絡(luò)的安全強度取決于防護最薄弱的位置。 常見的管理不當(dāng)和失控有口令和密鑰管理不嚴格和保管不妥當(dāng)，可造成直接丟失、泄露給未授權(quán)者和易被猜測的安全隱患；管理制度相關(guān)內(nèi)容的缺乏，制度遺漏可造成信息系統(tǒng)的無序運行，嚴重時導(dǎo)致雪崩式的安全漏洞和脆弱性；安全崗位及其職責(zé)設(shè)置不全面，以及崗位與職責(zé)對應(yīng)關(guān)系混亂。 常見的有意破壞包括：破壞基礎(chǔ)設(shè)施、電磁干擾、蓄意備份未授權(quán)信息、蓄意刪除 /修改信息、擴散病毒、竊聽、偵聽 、截包、電子欺騙、竊密、偽造、惡意代碼（病毒、特洛伊木馬、邏輯炸彈、時間炸彈、蠕蟲）等等 （ 4） 管理風(fēng)險 3 信息系統(tǒng)作為一個軟硬件集成的有機整體，其安全性除這些軟硬件設(shè)備自身的安全保護能力以外，重要的是對其進行有效管理。 （ 2） 無意錯誤風(fēng)險 在信息系統(tǒng)的信息處理、傳輸、存儲、維護 等過程中，由于人 2 為或系統(tǒng)原因造成的錯誤影響信息的完整性，有時也會影響信息的機密性和可用性，在一些情況下，錯誤是一種風(fēng)險（如操作員數(shù)據(jù)輸入或存取錯誤將導(dǎo)致信息的泄露、篡改和丟失）；而在一些情況下，錯誤可能帶來新的脆弱性（如錯誤地將信息存取權(quán)提供給未授權(quán)者）。 1 XX市地方稅務(wù)局網(wǎng)絡(luò)安全規(guī)劃建議方案 一、網(wǎng)絡(luò)安全概述 XX 市地方稅務(wù)局的網(wǎng)絡(luò)環(huán)境關(guān)系到保障國家稅收安全，支持城市發(fā)展等重大問題，因此其系統(tǒng)對安全性和穩(wěn)定性有較高的要求，我們從整個系統(tǒng)的安全出發(fā)，對網(wǎng)絡(luò)設(shè)計完整而嚴密的安全體系。 常見的錯誤有在數(shù)據(jù)輸入、文檔編排等過程中相應(yīng)人員出現(xiàn)的操作失誤，而應(yīng)用軟件又缺乏必要的輸入數(shù)據(jù)合法性、有效性檢查機制，將導(dǎo)致處理結(jié)果的錯誤；數(shù)據(jù)在傳輸過程中出現(xiàn)錯誤，可能是傳輸數(shù)據(jù)中途被篡改，也包括傳輸?shù)哪康牡劐e誤，這種錯誤多數(shù)都與傳輸線路和設(shè)備密 切聯(lián)系，導(dǎo)致信息完整性的破壞和將信息傳輸給未授權(quán)者 。只有有效的管理，安全性才能得到相應(yīng)的保障。這種情況可導(dǎo)致管理中某些環(huán)節(jié)多重控制，而某些環(huán)節(jié)缺乏控制，造成信息系統(tǒng)的無序運行，嚴重時導(dǎo)致雪崩式的安全漏洞和脆弱性；對信息系統(tǒng)管理員、信息安全管理員、機密信息操作員和存儲介質(zhì)管理員等的審查、錄用、素質(zhì)和道德培養(yǎng)以及調(diào)離、解聘各個環(huán)節(jié)中，管 理制度及執(zhí)行中出現(xiàn)的漏洞和疏忽。 因此，我們參考國際安全標準設(shè)計了的網(wǎng)絡(luò)安全對 象模型，該模型全面考慮了涉及信息安全的各個方面，我們對地稅網(wǎng)絡(luò)的安全設(shè)計以此為模型，全面分析網(wǎng)絡(luò)的各個方面，提出合理的建議，從而建立全面的安全防御體系，該模型如圖所示： 整個安全系統(tǒng)應(yīng)由五大體系構(gòu)成：身份認證與基礎(chǔ)安全服務(wù)系統(tǒng)、訪問控制與數(shù)據(jù)加密系統(tǒng)、動態(tài)安全檢測系統(tǒng)、安全管理系統(tǒng)以及數(shù)據(jù)備份與恢復(fù)系統(tǒng)構(gòu)成。身份的標識和鑒別是對訪問者授權(quán)的前提，并通過審計機制使系統(tǒng)保留追究用戶行為責(zé)任的能力。 安全管理系統(tǒng)位于安全防御的最上層，一般由管理員定期或在線進行管理。 二、 XX 市地方稅務(wù)局網(wǎng)絡(luò)安全環(huán)境分析 地稅現(xiàn)有網(wǎng)絡(luò)安全環(huán)境 XX市地方稅務(wù)局計算機網(wǎng)絡(luò)已經(jīng)構(gòu)成了一個覆蓋 全市各分局以及相關(guān)政府職能部門的大型現(xiàn)代化網(wǎng)絡(luò)，同時，還通過高速寬帶線路實現(xiàn)了網(wǎng)上稅局以及內(nèi)部用戶的互聯(lián)網(wǎng)訪問，充分利用了先進的 WEB 技術(shù)來加速提高稅務(wù)辦公的效率和透明度。地稅內(nèi)部網(wǎng)由市局包括各分局內(nèi)部辦公機組成，通過核心交換機互連，市局與分局間通過城域 VPN 網(wǎng)絡(luò)相連。外部連接網(wǎng)主要是同政府其它職能部門互連，實現(xiàn)信息的互連互通。同時，由于 WEB 服務(wù)器具有訪問服務(wù)器網(wǎng)段的權(quán)限，因此，保護 WEB 不被攻占具有十分重要的意義。而前置機更多的是考慮應(yīng)用而設(shè)計的，在安全防護方面做得很少，漏洞很多。可能的風(fēng)險包括三個方面：一是黑客攻占 WEB 服務(wù)器然后作為跳板向內(nèi)網(wǎng)發(fā)動攻擊；二是黑客利用漏洞更改站點頁面，導(dǎo)致用戶訪問被重定向，竊取用戶商業(yè)機密甚至用戶網(wǎng)絡(luò)在不知情下被破壞；三是病毒引起該網(wǎng)癱瘓，從而造成服務(wù)不可用以及內(nèi)部的廣播風(fēng)暴，甚至感染內(nèi)部網(wǎng)絡(luò)。該網(wǎng)絡(luò)存在的風(fēng)險包括：一是內(nèi)部沒有完整統(tǒng)一的防病毒系統(tǒng)，由于其內(nèi)網(wǎng)用戶大量訪問互聯(lián)網(wǎng)，因此，遭病毒攻擊的可能性極高，沒有統(tǒng)一的防病毒體系，整個網(wǎng)絡(luò)將面臨全面被病毒感染的風(fēng)險；二是黑客有可能利用該網(wǎng)絡(luò)攻擊服務(wù)器網(wǎng)段，內(nèi)部客戶機在網(wǎng)上無意觸發(fā)的惡意 JAVA 小程序、 ActivX控件都有可能使黑客獲得跳板攻擊服務(wù)器網(wǎng)段，或是以反彈方式旁路防火墻，這些 攻擊威脅很大，極容易突破防御。同時，認證系統(tǒng)必須與應(yīng)用系統(tǒng)結(jié)合起來，才能提供完 整的認證與授權(quán)功能。在 XX 市地稅的實際環(huán)境中，我們可以通過部署新的安全產(chǎn)品將四個子網(wǎng)分開，并嚴格限制它們之間的訪問范圍和端口，將風(fēng)險域限定在一個 盡量小的范圍，縮小收攻擊的可能性。 4) 建立安全維護與管理體系 ―― 日志管理、口令管理以及網(wǎng)絡(luò)監(jiān)控系統(tǒng)是重要的安全管理手段，同時也是保證網(wǎng)絡(luò)安全的最后一道防線。網(wǎng)絡(luò)監(jiān)控同樣具有非凡的意義，攻擊行為一旦成功，將具有極強的隱蔽性，尤其對于類似 XX 地稅這樣的龐大系統(tǒng)來說，發(fā)現(xiàn)潛藏在系統(tǒng)中的惡意進程更是困難，往往借助網(wǎng)絡(luò)監(jiān)控工具我們才能有效地發(fā)現(xiàn)異常的活動，從而進一步對其定位。 12 整體安全策略 地稅內(nèi)部網(wǎng)安全策略： ，實現(xiàn)全網(wǎng)一致的殺毒和升級策略，最大限度地防御病毒的襲擊。 地稅服務(wù)器網(wǎng)安全策略： 1. 升級 Checkpoint FW 至最新軟件版本，作為核心防火墻負責(zé)將 對外服務(wù)網(wǎng)、服務(wù)器網(wǎng)、內(nèi)部網(wǎng)以及其它連入地稅的網(wǎng)絡(luò)邏輯隔斷，并控制訪問規(guī)則。 2. 將地稅內(nèi)網(wǎng) Internt 訪問防火墻與核心防火墻合并 ，統(tǒng)一利用 Checkpiont防火墻實現(xiàn)訪問控制，這樣有利于集中管理，最大化地解決管理帶來的安全隱患。 三、 XX 地稅系統(tǒng)安全設(shè)計 14 身份認證及基礎(chǔ)安全服務(wù)系統(tǒng)設(shè)計 目前廣泛采用的認證體系是基于 PKI 公鑰體制的 CA 體系，該體 系基于公鑰體制建立，具有極強的安全性，已經(jīng)成為國際標準認證模式。該體系早已成為國際標準 ，能夠為包括 VPN、安全中間件、 SSL、認證等安全技術(shù)提供基礎(chǔ)服務(wù)，實現(xiàn)良好的集成。這就要求這些網(wǎng)絡(luò)的 CA 系統(tǒng)實現(xiàn)交叉驗證，由于電子政務(wù)系統(tǒng)廣泛采用PKI/CA體系，因此可實現(xiàn)地稅系統(tǒng)與個系統(tǒng)間的交叉驗證，實現(xiàn)系統(tǒng)資源的共享。 數(shù)字證書認證中心(業(yè) 務(wù)CA )證書審核注冊中心(R A)證書目錄管理服務(wù)時間戳服務(wù)數(shù)字證書認證與管理中心(根 CA )密鑰管理中心(K M)證書在線狀態(tài)查詢服務(wù)橋CA 其它根CA PKI 信任服務(wù)體系結(jié)構(gòu) 目前國內(nèi)外主要有兩種不同的 PKI 建設(shè)方式，即基于服務(wù)的 PKI與自建 PKI。 用戶 只需通過駐留在企業(yè)內(nèi)部的前臺系統(tǒng)對后臺的 用戶 PKI 進行遠程控制、監(jiān)管，以對用戶提供證書生命周期的各項服務(wù)。同時，在外網(wǎng)防火墻上啟用基 于數(shù)字證書的 VPN 鏈路，使地稅移動辦公用戶可在Inter上建立安全鏈路訪問地稅內(nèi)部系統(tǒng)。 ：作為 PKI 系統(tǒng)的注冊中心， RA 是 LRA和 CA 之間通訊的使者。 整個部署結(jié)構(gòu)如圖所示： 18 廣 東 省 C A 中 心珠 海 地 稅 C A 系 統(tǒng)數(shù) 字 證 書 用 戶 證書存儲方式選擇： 采用具有自主知識產(chǎn)權(quán)的硬件證書存儲方式，將用戶、設(shè)備的數(shù)字證書存儲在客戶端的實體鑒別密碼器中，具有傳 統(tǒng)證書存儲方式無法比擬的安全性，是組建網(wǎng)絡(luò)信任 環(huán)境 的用戶終端 PKI證書認證的專用支持設(shè)備。對于XX 地稅 WEB、報稅等應(yīng)用系統(tǒng)來說，可以在程序開發(fā)階段利用安全中間件或 CA廠家提供的接口 API 實現(xiàn)對數(shù)字證書認證與加密方式的支 20 持。 從性能上來講， Checkpoint 防火墻作為企業(yè)級的防火墻系統(tǒng)具有極強的穩(wěn)定性與性能，其 狀態(tài)檢測（ Stateful Inspection）專利技術(shù)，以不同的服務(wù)區(qū)分應(yīng)用類型，為網(wǎng)絡(luò)提供高安全、高性能和高擴展性保證。 。 ? 數(shù)據(jù)完整性，所有來自地稅移動辦公人員通過 Inter網(wǎng)流向地稅內(nèi)網(wǎng)的數(shù)據(jù)在這里經(jīng)過簽名處理后傳輸，接受方可驗證在傳輸過程中數(shù)據(jù)未被篡改。我們部署了兩臺隔離網(wǎng)閘系統(tǒng)，一臺處于 Inte入口處用于防御針對 WEB 服務(wù)器群以及地稅內(nèi)部辦公網(wǎng)發(fā)動的各類基于網(wǎng)絡(luò)及協(xié)議漏洞的各類攻擊，另一臺處于核心防火墻與數(shù)據(jù)庫前置機之間，用于隔離保護整個數(shù)據(jù)庫區(qū)域。另外，由于防火墻的安全性依賴于其低層的操作系統(tǒng)和防火墻軟件，因此存在漏洞是必然的，這使黑客總是能尋找機會穿透防火墻進入內(nèi)網(wǎng)，甚至修改防火墻訪問規(guī)則，從而使得邊界處訪問控制失效，黑客進入 內(nèi)網(wǎng)。從以上我們可以看出，隔離網(wǎng)閘在網(wǎng)絡(luò)邊界處強有力地保證了內(nèi)外網(wǎng)的隔離和訪問控制的實現(xiàn)。在非面向連接的公用 IP 網(wǎng)絡(luò)上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過 隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。 XX地稅系統(tǒng)中包括視頻會議、 WEB 服務(wù)、 GIS 應(yīng)用等在內(nèi)的 不同的業(yè)務(wù)對服務(wù)質(zhì)量 、延遲等特性 保證的要求差別較大。 QoS 通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。 AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。出差員工利用當(dāng)?shù)?ISP 提供的 VPN 服務(wù)，就可以和公司的 VPN 網(wǎng)關(guān)建立私有的隧道連接。 IntraVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠程辦事處和分支機構(gòu)。這種方式最合適地稅 VPN 系統(tǒng)網(wǎng) 25 絡(luò)環(huán)境的現(xiàn)狀和今后發(fā)展的需要。這樣在運行效率和安全性上都有保證。下面的例子闡述 了隔離網(wǎng)閘的工作原理： 假設(shè)一個周圍環(huán)境比較危險的加油站，在加油完畢之后要向顧客收取現(xiàn)金，同時要避免受到損害（如搶劫）。這時，抽屜和里面的東西對顧客來說變得不可訪問。從下面的圖中我們可以了解物理隔離比傳統(tǒng)防火墻方式帶來的優(yōu)點： 27 純 數(shù) 據(jù)拒 絕 所 有 已 知 或 未 知 攻 擊的 連 接隔 離 區(qū)僅 傳 送 純 數(shù) 據(jù)安 全 區(qū) 的 連 接 與 外 網(wǎng) 完 全隔 開內(nèi) 網(wǎng)隔 離 區(qū)外 網(wǎng) I n e r n e t 物理隔離的作用是保證在網(wǎng)絡(luò)在數(shù)據(jù)交換的情況下，內(nèi)網(wǎng)與外網(wǎng)完全隔離，外網(wǎng)的攻擊 行為無論已知或未知攻擊都無法直接連接到內(nèi)網(wǎng)，物理隔離將攻擊范圍限定在了內(nèi)外網(wǎng)的邊界處，從而避免內(nèi)網(wǎng)受到攻擊的情況發(fā)生。 由于訪問請求包括來自 WEB、地稅內(nèi)部辦公網(wǎng)和外部連接網(wǎng)的訪問，因此，隔離網(wǎng)閘最大并發(fā)連接數(shù)應(yīng)保證在 750 以上，才能較可靠的滿足應(yīng)用訪問的需求。由于音、視頻對延遲的高度敏感性和地稅系統(tǒng)所要求的快速的信息匯總能力，因此，在網(wǎng)關(guān)處的隔離網(wǎng)閘必須提供高帶寬和低延遲的特性才能保證系統(tǒng)的應(yīng)用要求。同時，對高層協(xié)議進行規(guī)則設(shè)置能將協(xié)議命令限制在最小范圍，從而實現(xiàn)對訪問的細粒度控制，有效增強網(wǎng)絡(luò)的安全防御能力。 30 建議隔離網(wǎng)閘性能 指標等于或優(yōu)于以下指標： 隔離部件 具有硬件隔離部件實現(xiàn)內(nèi)外網(wǎng)雙向物理隔離 隔離部件的數(shù)據(jù)交換帶寬 =1Gbps 系統(tǒng)交換速率 =90Mbps 應(yīng)用支持 廣泛支持基于 TCP/IP 以上的各類應(yīng)用協(xié)議，包括 SNMP、 IRC、流媒體協(xié)議、 GIS 等應(yīng)用系統(tǒng)特殊協(xié)議以及 HTTP、 SMTP、 DNS等。偉思 ViGap100隔離網(wǎng)閘系統(tǒng)提供用戶名口令、 Radius在內(nèi)的認證方式，根據(jù)地稅的具體情況，我們選用用戶名 /口令方式實現(xiàn)認證。防火墻通過監(jiān)測、限制、更改通過”防火墻”的數(shù)據(jù)流，可以保護內(nèi)部系統(tǒng)不受來自外部的攻擊。已有的防火墻包括地稅內(nèi)網(wǎng)訪問 Inter的華依防火墻一臺