【正文】 絡系統(tǒng)具有良好的傳輸速率、可靠性、可升級性和可擴展性；通過安全技術措施、組織管理機制和人才隊伍建設，在 稅務 信息系統(tǒng)中形成有效的安全防護能力、隱患發(fā)現(xiàn)能力 、應急響應能力和系統(tǒng)恢復能力，為 稅務 信息系統(tǒng)的運行提供安全的網(wǎng)絡運行環(huán)境和應用安全支撐設施，保 障安全可靠的連接、數(shù)據(jù)交換和信息共享，實現(xiàn)以安全保業(yè)務，用安全促業(yè)務的目標， 全面提高 企業(yè)事務運行的效率和質量，為 稅務 信息化建設的深入發(fā)展奠定基礎。 4 第三章 稅務 安全需求分析 稅務 門戶網(wǎng)站 信息 系統(tǒng)的總體安全需求是： 以 金 稅工程（三期 ）的安全目標 為依據(jù) ， 按照“統(tǒng)一規(guī)劃、分步實施；綜合防范、整體安全；分級保護、務求實效、滾動發(fā)展，長抓不懈”的原則，從物理、網(wǎng)絡、系統(tǒng)、應用和管理等方面，以應用與實效為主導，管理與技術并重，建立綜合防范機制，保障 稅務 門戶網(wǎng)站 信息平臺安全、高效、可靠的運行。 系統(tǒng)的整體架構如圖所示： 門 戶 網(wǎng) 站子 網(wǎng) 站 群站群建設管理系統(tǒng)內 容 管 理系 統(tǒng) 管 理智 能 分 析模 板 管 理用 戶站 內 搜 索子 站 管 理 員權 限 認 證系 統(tǒng) 管 理 員個 性 化 管 理應 用 交 互 系 統(tǒng) 系統(tǒng)網(wǎng)絡架構如下： 5 現(xiàn)有安全措施 網(wǎng)站的安全性直接影響網(wǎng)上稅務系統(tǒng)的應用，因此本次 稅務 門戶網(wǎng)站建設會重點考慮信息系統(tǒng)的安全建設， 保護網(wǎng)絡中信息存放、傳輸?shù)陌踩?，提高網(wǎng)絡防護、檢測、響應恢復和對抗攻擊的能力，保證網(wǎng)絡的保密性、鑒別性、完整性、可用性和可控性。例如：設備被盜、被毀壞；設備老化、意外故障等。許多安全問題都集中體現(xiàn)在網(wǎng)絡的安全方面。信息在傳輸 中丟失或泄漏，如黑客們利用電磁泄漏或搭線竊聽等方式可截獲機密信息，通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、帳號等重要信息，信息在存儲介質中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。網(wǎng)絡入侵者一般采用預攻擊探測、竊聽等搜集信息，然后利用 IP 欺騙、重放或重演、拒絕服務攻擊（ SYN FLOOD， PING FLOOD，UDP FLOOD 等）、分布式拒絕服務攻擊、篡改、堆棧溢出等手段進行攻擊。然而，基于數(shù)據(jù)流設計的 TCP/IP 協(xié)議自身存在著許多安全漏洞，在 Inter發(fā)展的早期，由于應用范圍和技術原因，沒有引起重視。 7 目前 稅務 門戶網(wǎng)站 一方面有互聯(lián)網(wǎng)接入?yún)^(qū)，面臨互聯(lián)網(wǎng)的威脅，黑客可能通過對服務器的攻擊進而侵入到稅務的業(yè)務系統(tǒng)中，給稅務系統(tǒng)造成極大的破壞； 另一方面，在 稅務 專網(wǎng)與門戶網(wǎng)站 之間存在網(wǎng)絡任意的非授權訪問，有可能造成網(wǎng)絡的故障，影響到稅務應用系統(tǒng)。另一方面，系統(tǒng)管理員或使用人員對復雜的操作系統(tǒng)和其自身的安全機制了解不夠，配置不當也會造成安全隱患。如 Windows NT/2020/XP的安全問題簡單說明如下： Windows NT/2020/XP 操作系統(tǒng)由于其簡單明了的圖形化操作界面，以及逐漸提高的系統(tǒng)穩(wěn)定性等因素，正逐步成為電子政務系統(tǒng)主要的網(wǎng)絡操作系統(tǒng)，并且在政府辦公網(wǎng)絡中占有重要地位。 應用安全風險 稅務 有各種應用服務，這些應用服務提供給 稅務 系統(tǒng)內部使用，如果不能防止未經驗證的操作人員利用應用系統(tǒng)的脆弱性來攻擊應用系統(tǒng)，會造成系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、非法獲得數(shù)據(jù)等。一些通用的應用程序，如 Web Server 程序， FTP 服務程序， Email 服務程序，瀏覽器， MS Office 辦公軟件等這些應用程序自身的安全漏洞和由于配置不當造成的安全漏洞會導致整個網(wǎng)絡的安全性下降。 資源共享 稅務 系統(tǒng)內部自動化辦公系統(tǒng)，因為缺少必要的訪問控制策略。這就要求我們必須提高服務器的抗破壞能力，防止拒絕服務（ ）或分布式拒絕服務（ DDOS）之類的惡意攻擊，提高服務器備份與恢復、防篡改與自動修復能力。 病毒傳播風險 網(wǎng)絡是病毒傳播的最好、最快的途徑之一。該文件可能來自盤片介質或你所在的局域網(wǎng)及互聯(lián)網(wǎng)。 當你執(zhí)行另外一個程序時，病毒便將其自身附著在內存中的文件上。 于是，當你再次開機時，并裝入一個已被病毒感染的程序，病毒將重新感染內存并繼續(xù)感染其他正在支行的程序。 管理安全風險 在管理層層面上， 稅務 信息系統(tǒng)網(wǎng)絡系統(tǒng)應該成立專門的運營管理維護職能部門，制訂相關的管理制度，初步形成 稅務 信息系統(tǒng)信息安全管理體系。 信息系統(tǒng)需求分析 12 根據(jù)以上風險分析得出本期項目安全需求： 身份認證和 訪問控制需求 ：互聯(lián)網(wǎng)、稅務外網(wǎng)和稅務內部辦公網(wǎng)不同安全區(qū)域之間訪問控制需求； 入侵檢測和安全審計的需求 ：能夠針對互聯(lián)網(wǎng)的入侵進行檢測和報警，針對非法操作能夠進行審計的需求； 網(wǎng)站監(jiān)控與恢復 ：能夠監(jiān)測網(wǎng)站的運行情況， 在網(wǎng)站出現(xiàn)異常時， 能夠 快速恢復的需求； 防病毒的需求： 針對業(yè)務系統(tǒng)主機系統(tǒng)的防病毒需求。 ? 三分技術，七分管理；管理與技術并重，互為支撐，互為補充，相互協(xié) 同，形成有效的綜合預防、追查及應急響應體系。通過安全區(qū)域最大限度的實施數(shù)據(jù)源隱藏，結構化和縱深化區(qū)域防御防止和抵御各種網(wǎng)絡攻擊，保證 稅務 信息系統(tǒng)各個網(wǎng)絡系統(tǒng)的持續(xù)、穩(wěn)定、可靠運行。 關于這方面的建設可以依托總局來完成，這樣可以對安全成本的降低是有很大好處。 需求、風險、代價平衡的原則 ：對任何類型網(wǎng)絡，絕對安全難以達到，也不一定是必須的，需正確處理需求、風險與代價的關系，等級保護，適度防護，做到安全性與可用性相容，做到技術上可實現(xiàn)，經濟上可執(zhí)行。因此，在考慮 稅務 信息系統(tǒng)安全方案時，應首先滿足基本的和必須的安全需要，并在此基礎上有良好的可擴展性，以滿足今后新的應用和網(wǎng)絡安全技術的所產生的信息安全需求。主要適用于一般信息系統(tǒng)。 第二級 指導性保護級 在政府職能部門指導下，有公民、法人和社會組織按照國家標準自 主進行保護。 系統(tǒng)化設計和比較完整的安全功能是本級安全的重要特征。 第三級安全的信息系統(tǒng)具備對信息和系統(tǒng)進行基于安全策略強制的安全保護能力。根據(jù)實際安全需求，建立安全管理機構，配備專職安全管理人員，落實各級領導及相關人員的責任。采用結構化設計方法，按照完整的安全策略模型，實現(xiàn)各層面相結合的強制性安全保護，使數(shù)據(jù)信息免遭非授權的泄漏和破壞，保證高安全的系統(tǒng)服務。建立安全管理機構，配備 專職安全管理人員，落實各級領導及相關人員的責任。 在技術方面，第五級要求按照的安全策略，在整體的實施強制性的安全保護的基礎上，通過可驗證設計增強系統(tǒng)的安全性，使其具有抗?jié)B透能力，使數(shù)據(jù)信息免遭非授權的泄露和破壞，保證最高安全的系統(tǒng)服務。建立安全管理機構，配備專職安全管理人員，落實各級領導及相關人員的責任。 稅務 信息系統(tǒng)安全域劃分依據(jù) 稅務 信息系統(tǒng)安全區(qū)域及邊界的定義依據(jù)風險需求分析結果，將包括縱深防御、等級保護、管理差 別、訪問源群體、服務器應用范圍，特定資產評價，流量密集程度等多方面合理劃分安全區(qū)域邊界，并以此制定整體網(wǎng)絡及各區(qū)域中的分域保護安全策略和訪問控制要求，需要對 稅務 信息系統(tǒng)進行安全域的劃分。并同時伴隨有管理區(qū)域，用于審計和監(jiān)察整體或特定區(qū)域流量的狀態(tài)，相輔相成， 協(xié)調威脅的管理監(jiān)控，入侵者將難于發(fā)現(xiàn)被審核的過程及日志源位置。 18 ? 流量密集程度：針對不同服務實體的流量 密集程度可能不同，對 于要求 高流量密度的群體，可單獨進行區(qū)域隔離保護或啟用的單獨隔離的出口 線路，避 免針對該服務群體的諸如 DDoS 攻擊會影響到其它業(yè)務服務實體的運 行。 （ 1）安全域劃分 稅務 網(wǎng)絡系統(tǒng)的安全域定義為一個多安全域的層次模型。 ? 外 聯(lián)網(wǎng)接入?yún)^(qū) ? …… 本期安全方案設計的重點是考慮稅務 門戶網(wǎng)站 的 網(wǎng)上涉稅業(yè)務服務區(qū) ,通過 設定不同安全域之間的訪問控制策略 劃分安全域。 19 通過這種動態(tài)的循環(huán)防護過程，可以逐漸降低 系統(tǒng) 面臨的安全風險，提高整個系統(tǒng)的 安全防護能力、隱患發(fā)現(xiàn)能力和應急反應能力，確保 稅務 信息 系統(tǒng) 能夠提供高效、安全的服務。 區(qū)域計算環(huán)境保護技術：為 稅務 信息系統(tǒng)各安全域內部主機提供區(qū)域計算環(huán)境安全保護。 2．安全管理機制 稅務 信息系統(tǒng)要建立的安全管理機制包括： 安全管理組織：建立一個能夠有效管理 稅務 信息系統(tǒng)安全建設、運行的組織機構。 安全管理手段：建立有效的安全管理手段，保證 稅務 信息系統(tǒng)安全管理活動的有效執(zhí)行。 基于國際權威的動態(tài)信息安全理論提出了自己的立體安全模型： P2DR2F 模型，示意如下圖： 21 P2DR2F 模型是在整體的安全策略的控制和指導下，在綜合運用防護工具（如：防火墻、CA 身份認證、加密等手段）的同時，利用檢測工具（如：安全評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)姆磻獙⑾到y(tǒng)調整到“最安全”和“風險最低”的狀態(tài)，并通過備份容錯手段來保證系統(tǒng)在受到攻擊后的迅速恢復，通過取證系統(tǒng)來實現(xiàn)對非法網(wǎng)絡使用的追查。對于一個策略體系的建立包括：安全策略的制訂、安全策略的評估、安全策略的執(zhí)行等。 22 Response（響應） 緊急響應在安全系統(tǒng)中占有重要的地位，是解決安全潛在性問題最有效的辦法。 Recovery(恢復 ) 災難恢復系統(tǒng)是當網(wǎng)絡、數(shù)據(jù)、服務受到黑客攻擊并遭到破壞或影響后，通過必要的專業(yè)技術手段（如備份、冗余等）對其加以最大程度的恢復，使系統(tǒng)恢復正常。 網(wǎng)絡邊界安全 在 省 局 門戶網(wǎng)站與互聯(lián)網(wǎng)接入 邊界上建立包括防火墻 、安全網(wǎng)關以及 網(wǎng)絡 IDS 的 防御機制，所有網(wǎng)上訪問必須通過相關安全管理和控制。 部署 網(wǎng)絡入侵監(jiān)測 系統(tǒng) 入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時 發(fā)現(xiàn) ，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。 系統(tǒng)層安全建設 目前 省 局系統(tǒng)中的操作系統(tǒng)類型和金稅工程（三期）建設要求的主機操作系統(tǒng)類型基本相同。同時對管理員的權限也要進行相應限制。 24 系統(tǒng) 安全監(jiān)測 由于入侵手段的日益復雜和常用系統(tǒng)出現(xiàn)的安全缺陷，分析網(wǎng)絡 系統(tǒng)對破壞的抵抗能力有助于保障安全。 系統(tǒng)的安全 審計 在重點 區(qū)域 部 署審計類產品。 因此需要部署網(wǎng)絡防病毒系統(tǒng)針對病毒能夠實時查殺，能夠統(tǒng)一升級，統(tǒng)一管理，并且與防病毒網(wǎng)關結合形成立體縱深的防病毒體系。 管理層安全建設 從安全風險分析可以看出， 稅務 系統(tǒng)的安全需求是全方位的、整體的，需要從技術、管理等方面進行全面的安全設計和建設，有效提高 稅務 系統(tǒng)的防護、檢測、響應、恢復能力，以抵御不斷出現(xiàn)的安全威脅與風 險，保證系統(tǒng)長期穩(wěn)定可靠的運行。 稅務 信息系統(tǒng)涉及面廣、情況復雜，管理的制度化程度極大地影響著整個系統(tǒng)的安全，因此，整個 稅務 信息系統(tǒng)安全建設、運行、維護、管理都要重視安全管理，嚴格按制度進行辦事，明確責任權力，規(guī)范操作，加強人員、設備的管理以及人員的培訓，提高安全管理水平。 攻擊試探的預警技術：入侵檢測系統(tǒng) 當黑客試探攻擊時，大多采用一些 已知的攻擊方法來試探。通過該系統(tǒng)可以快速定位內部惡意的用戶攻擊行為和針對漏洞的攻擊、內部的 BT 下載等。 事件追蹤、查詢技術： 安全審計系統(tǒng) 通過安全審計系統(tǒng)可以 對信息系統(tǒng)的各種事件進行監(jiān)測、信息采集、分析，并對違反安全策略的事件進行響應，是審查網(wǎng)絡安全事故原因，追蹤惡意破壞者的重要手段，從而建立完整的責任認定與授權體系。 由于互聯(lián)網(wǎng)的風險性，在門戶網(wǎng)站的網(wǎng)絡接入處必須部署防火墻等隔離設備， 通過在防火墻上做嚴格的訪問控制， 訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保 29 證重要資源不被非法使用和非常訪問。防火墻可以實現(xiàn)單向或雙向控制，對一些高層協(xié)議實現(xiàn)較細的訪問控制。 防火墻建議使用透明模式，原因主要有以下幾點： ? 對網(wǎng)絡的拓撲幾乎沒有影響。 ? 不會對安全策略的部署，各種安全域的劃分，安全設備的管理監(jiān)控產生任何影響。任何安裝瀏覽器的機器都可以使用SSL VPN， 這是因為 SSL 內嵌在瀏覽器中，它不需要象傳統(tǒng) IPSec VPN 一樣必須為每一臺客戶機安裝客戶端軟件。在連接階段，客戶端與服務器交換證書并協(xié)議安 30 全參數(shù)，如果客戶端接受了服務器證書，便生成主密鑰，并對所有后續(xù)通信進行加密。保證通信進程安全的一個關鍵步驟是對通信雙方進行認證， SSL 握手子協(xié)議負責這一進程處理：客戶端向服務器提交有效證。 2．安全認證 SSL 安全功能組件包括三部分：認證，在連接兩端對服務器或同時對服務器和客戶端進行驗證；加密，對通信進行加密，只有經過加密的雙方才能交換信息并相互識別 。 SSL VPN 的主要功能 1．數(shù)據(jù)加密 SSL 能基于 Inter 實現(xiàn)安全數(shù)據(jù)通信：數(shù)據(jù)在從瀏覽器發(fā)出時進行加密，到達數(shù)據(jù)中心后解密；同樣地，數(shù)據(jù)在傳回客戶端時也進行加密，再在 Inter 中傳輸。 SSL VPN 部署說明 應用方式說明 SSL VPN 是解決遠程用戶訪問 網(wǎng)站 敏感數(shù)據(jù)最簡單最安全的解決技術。采用透明模式，可以不對已經直聯(lián)鏈路的 IP 地址做任何改變，在原來網(wǎng)絡拓撲的基礎上，充分利用原來交換設備的冗余設計，使每個方向的數(shù)據(jù)流透明的保持轉發(fā)