【正文】 絡(luò)系統(tǒng)具有良好的傳輸速率、可靠性、可升級(jí)性和可擴(kuò)展性；通過(guò)安全技術(shù)措施、組織管理機(jī)制和人才隊(duì)伍建設(shè)，在 稅務(wù) 信息系統(tǒng)中形成有效的安全防護(hù)能力、隱患發(fā)現(xiàn)能力 、應(yīng)急響應(yīng)能力和系統(tǒng)恢復(fù)能力，為 稅務(wù) 信息系統(tǒng)的運(yùn)行提供安全的網(wǎng)絡(luò)運(yùn)行環(huán)境和應(yīng)用安全支撐設(shè)施，保 障安全可靠的連接、數(shù)據(jù)交換和信息共享，實(shí)現(xiàn)以安全保業(yè)務(wù)，用安全促業(yè)務(wù)的目標(biāo)， 全面提高 企業(yè)事務(wù)運(yùn)行的效率和質(zhì)量，為 稅務(wù) 信息化建設(shè)的深入發(fā)展奠定基礎(chǔ)。 4 第三章 稅務(wù) 安全需求分析 稅務(wù) 門(mén)戶網(wǎng)站 信息 系統(tǒng)的總體安全需求是： 以 金 稅工程（三期 ）的安全目標(biāo) 為依據(jù) ， 按照“統(tǒng)一規(guī)劃、分步實(shí)施；綜合防范、整體安全；分級(jí)保護(hù)、務(wù)求實(shí)效、滾動(dòng)發(fā)展，長(zhǎng)抓不懈”的原則，從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等方面，以應(yīng)用與實(shí)效為主導(dǎo)，管理與技術(shù)并重，建立綜合防范機(jī)制，保障 稅務(wù) 門(mén)戶網(wǎng)站 信息平臺(tái)安全、高效、可靠的運(yùn)行。 系統(tǒng)的整體架構(gòu)如圖所示： 門(mén) 戶 網(wǎng) 站子 網(wǎng) 站 群站群建設(shè)管理系統(tǒng)內(nèi) 容 管 理系 統(tǒng) 管 理智 能 分 析模 板 管 理用 戶站 內(nèi) 搜 索子 站 管 理 員權(quán) 限 認(rèn) 證系 統(tǒng) 管 理 員個(gè) 性 化 管 理應(yīng) 用 交 互 系 統(tǒng) 系統(tǒng)網(wǎng)絡(luò)架構(gòu)如下： 5 現(xiàn)有安全措施 網(wǎng)站的安全性直接影響網(wǎng)上稅務(wù)系統(tǒng)的應(yīng)用，因此本次 稅務(wù) 門(mén)戶網(wǎng)站建設(shè)會(huì)重點(diǎn)考慮信息系統(tǒng)的安全建設(shè)， 保護(hù)網(wǎng)絡(luò)中信息存放、傳輸?shù)陌踩?，提高網(wǎng)絡(luò)防護(hù)、檢測(cè)、響應(yīng)恢復(fù)和對(duì)抗攻擊的能力，保證網(wǎng)絡(luò)的保密性、鑒別性、完整性、可用性和可控性。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障等。許多安全問(wèn)題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。信息在傳輸 中丟失或泄漏，如黑客們利用電磁泄漏或搭線竊聽(tīng)等方式可截獲機(jī)密信息，通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如用戶口令、帳號(hào)等重要信息，信息在存儲(chǔ)介質(zhì)中丟失或泄漏，通過(guò)建立隱蔽隧道等竊取敏感信息等。網(wǎng)絡(luò)入侵者一般采用預(yù)攻擊探測(cè)、竊聽(tīng)等搜集信息，然后利用 IP 欺騙、重放或重演、拒絕服務(wù)攻擊（ SYN FLOOD， PING FLOOD，UDP FLOOD 等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等手段進(jìn)行攻擊。然而，基于數(shù)據(jù)流設(shè)計(jì)的 TCP/IP 協(xié)議自身存在著許多安全漏洞，在 Inter發(fā)展的早期，由于應(yīng)用范圍和技術(shù)原因，沒(méi)有引起重視。 7 目前 稅務(wù) 門(mén)戶網(wǎng)站 一方面有互聯(lián)網(wǎng)接入?yún)^(qū)，面臨互聯(lián)網(wǎng)的威脅，黑客可能通過(guò)對(duì)服務(wù)器的攻擊進(jìn)而侵入到稅務(wù)的業(yè)務(wù)系統(tǒng)中，給稅務(wù)系統(tǒng)造成極大的破壞； 另一方面，在 稅務(wù) 專網(wǎng)與門(mén)戶網(wǎng)站 之間存在網(wǎng)絡(luò)任意的非授權(quán)訪問(wèn)，有可能造成網(wǎng)絡(luò)的故障，影響到稅務(wù)應(yīng)用系統(tǒng)。另一方面，系統(tǒng)管理員或使用人員對(duì)復(fù)雜的操作系統(tǒng)和其自身的安全機(jī)制了解不夠，配置不當(dāng)也會(huì)造成安全隱患。如 Windows NT/2020/XP的安全問(wèn)題簡(jiǎn)單說(shuō)明如下： Windows NT/2020/XP 操作系統(tǒng)由于其簡(jiǎn)單明了的圖形化操作界面，以及逐漸提高的系統(tǒng)穩(wěn)定性等因素，正逐步成為電子政務(wù)系統(tǒng)主要的網(wǎng)絡(luò)操作系統(tǒng)，并且在政府辦公網(wǎng)絡(luò)中占有重要地位。 應(yīng)用安全風(fēng)險(xiǎn) 稅務(wù) 有各種應(yīng)用服務(wù)，這些應(yīng)用服務(wù)提供給 稅務(wù) 系統(tǒng)內(nèi)部使用，如果不能防止未經(jīng)驗(yàn)證的操作人員利用應(yīng)用系統(tǒng)的脆弱性來(lái)攻擊應(yīng)用系統(tǒng)，會(huì)造成系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、非法獲得數(shù)據(jù)等。一些通用的應(yīng)用程序，如 Web Server 程序， FTP 服務(wù)程序， Email 服務(wù)程序，瀏覽器， MS Office 辦公軟件等這些應(yīng)用程序自身的安全漏洞和由于配置不當(dāng)造成的安全漏洞會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的安全性下降。 資源共享 稅務(wù) 系統(tǒng)內(nèi)部自動(dòng)化辦公系統(tǒng)，因?yàn)槿鄙俦匾脑L問(wèn)控制策略。這就要求我們必須提高服務(wù)器的抗破壞能力，防止拒絕服務(wù)（ ）或分布式拒絕服務(wù)（ DDOS）之類的惡意攻擊，提高服務(wù)器備份與恢復(fù)、防篡改與自動(dòng)修復(fù)能力。 病毒傳播風(fēng)險(xiǎn) 網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。該文件可能來(lái)自盤(pán)片介質(zhì)或你所在的局域網(wǎng)及互聯(lián)網(wǎng)。 當(dāng)你執(zhí)行另外一個(gè)程序時(shí)，病毒便將其自身附著在內(nèi)存中的文件上。 于是，當(dāng)你再次開(kāi)機(jī)時(shí)，并裝入一個(gè)已被病毒感染的程序，病毒將重新感染內(nèi)存并繼續(xù)感染其他正在支行的程序。 管理安全風(fēng)險(xiǎn) 在管理層層面上， 稅務(wù) 信息系統(tǒng)網(wǎng)絡(luò)系統(tǒng)應(yīng)該成立專門(mén)的運(yùn)營(yíng)管理維護(hù)職能部門(mén)，制訂相關(guān)的管理制度，初步形成 稅務(wù) 信息系統(tǒng)信息安全管理體系。 信息系統(tǒng)需求分析 12 根據(jù)以上風(fēng)險(xiǎn)分析得出本期項(xiàng)目安全需求： 身份認(rèn)證和 訪問(wèn)控制需求 ：互聯(lián)網(wǎng)、稅務(wù)外網(wǎng)和稅務(wù)內(nèi)部辦公網(wǎng)不同安全區(qū)域之間訪問(wèn)控制需求； 入侵檢測(cè)和安全審計(jì)的需求 ：能夠針對(duì)互聯(lián)網(wǎng)的入侵進(jìn)行檢測(cè)和報(bào)警，針對(duì)非法操作能夠進(jìn)行審計(jì)的需求； 網(wǎng)站監(jiān)控與恢復(fù) ：能夠監(jiān)測(cè)網(wǎng)站的運(yùn)行情況， 在網(wǎng)站出現(xiàn)異常時(shí)， 能夠 快速恢復(fù)的需求； 防病毒的需求： 針對(duì)業(yè)務(wù)系統(tǒng)主機(jī)系統(tǒng)的防病毒需求。 ? 三分技術(shù)，七分管理；管理與技術(shù)并重，互為支撐，互為補(bǔ)充，相互協(xié) 同，形成有效的綜合預(yù)防、追查及應(yīng)急響應(yīng)體系。通過(guò)安全區(qū)域最大限度的實(shí)施數(shù)據(jù)源隱藏，結(jié)構(gòu)化和縱深化區(qū)域防御防止和抵御各種網(wǎng)絡(luò)攻擊，保證 稅務(wù) 信息系統(tǒng)各個(gè)網(wǎng)絡(luò)系統(tǒng)的持續(xù)、穩(wěn)定、可靠運(yùn)行。 關(guān)于這方面的建設(shè)可以依托總局來(lái)完成，這樣可以對(duì)安全成本的降低是有很大好處。 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 ：對(duì)任何類型網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必須的，需正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，等級(jí)保護(hù)，適度防護(hù)，做到安全性與可用性相容，做到技術(shù)上可實(shí)現(xiàn)，經(jīng)濟(jì)上可執(zhí)行。因此，在考慮 稅務(wù) 信息系統(tǒng)安全方案時(shí)，應(yīng)首先滿足基本的和必須的安全需要，并在此基礎(chǔ)上有良好的可擴(kuò)展性，以滿足今后新的應(yīng)用和網(wǎng)絡(luò)安全技術(shù)的所產(chǎn)生的信息安全需求。主要適用于一般信息系統(tǒng)。 第二級(jí) 指導(dǎo)性保護(hù)級(jí) 在政府職能部門(mén)指導(dǎo)下，有公民、法人和社會(huì)組織按照國(guó)家標(biāo)準(zhǔn)自 主進(jìn)行保護(hù)。 系統(tǒng)化設(shè)計(jì)和比較完整的安全功能是本級(jí)安全的重要特征。 第三級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制的安全保護(hù)能力。根據(jù)實(shí)際安全需求，建立安全管理機(jī)構(gòu)，配備專職安全管理人員，落實(shí)各級(jí)領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。采用結(jié)構(gòu)化設(shè)計(jì)方法，按照完整的安全策略模型，實(shí)現(xiàn)各層面相結(jié)合的強(qiáng)制性安全保護(hù)，使數(shù)據(jù)信息免遭非授權(quán)的泄漏和破壞，保證高安全的系統(tǒng)服務(wù)。建立安全管理機(jī)構(gòu)，配備 專職安全管理人員，落實(shí)各級(jí)領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。 在技術(shù)方面，第五級(jí)要求按照的安全策略，在整體的實(shí)施強(qiáng)制性的安全保護(hù)的基礎(chǔ)上，通過(guò)可驗(yàn)證設(shè)計(jì)增強(qiáng)系統(tǒng)的安全性，使其具有抗?jié)B透能力，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證最高安全的系統(tǒng)服務(wù)。建立安全管理機(jī)構(gòu)，配備專職安全管理人員，落實(shí)各級(jí)領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。 稅務(wù) 信息系統(tǒng)安全域劃分依據(jù) 稅務(wù) 信息系統(tǒng)安全區(qū)域及邊界的定義依據(jù)風(fēng)險(xiǎn)需求分析結(jié)果，將包括縱深防御、等級(jí)保護(hù)、管理差 別、訪問(wèn)源群體、服務(wù)器應(yīng)用范圍，特定資產(chǎn)評(píng)價(jià)，流量密集程度等多方面合理劃分安全區(qū)域邊界，并以此制定整體網(wǎng)絡(luò)及各區(qū)域中的分域保護(hù)安全策略和訪問(wèn)控制要求，需要對(duì) 稅務(wù) 信息系統(tǒng)進(jìn)行安全域的劃分。并同時(shí)伴隨有管理區(qū)域，用于審計(jì)和監(jiān)察整體或特定區(qū)域流量的狀態(tài)，相輔相成， 協(xié)調(diào)威脅的管理監(jiān)控，入侵者將難于發(fā)現(xiàn)被審核的過(guò)程及日志源位置。 18 ? 流量密集程度：針對(duì)不同服務(wù)實(shí)體的流量 密集程度可能不同，對(duì) 于要求 高流量密度的群體，可單獨(dú)進(jìn)行區(qū)域隔離保護(hù)或啟用的單獨(dú)隔離的出口 線路，避 免針對(duì)該服務(wù)群體的諸如 DDoS 攻擊會(huì)影響到其它業(yè)務(wù)服務(wù)實(shí)體的運(yùn) 行。 （ 1）安全域劃分 稅務(wù) 網(wǎng)絡(luò)系統(tǒng)的安全域定義為一個(gè)多安全域的層次模型。 ? 外 聯(lián)網(wǎng)接入?yún)^(qū) ? …… 本期安全方案設(shè)計(jì)的重點(diǎn)是考慮稅務(wù) 門(mén)戶網(wǎng)站 的 網(wǎng)上涉稅業(yè)務(wù)服務(wù)區(qū) ,通過(guò) 設(shè)定不同安全域之間的訪問(wèn)控制策略 劃分安全域。 19 通過(guò)這種動(dòng)態(tài)的循環(huán)防護(hù)過(guò)程，可以逐漸降低 系統(tǒng) 面臨的安全風(fēng)險(xiǎn)，提高整個(gè)系統(tǒng)的 安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力，確保 稅務(wù) 信息 系統(tǒng) 能夠提供高效、安全的服務(wù)。 區(qū)域計(jì)算環(huán)境保護(hù)技術(shù)：為 稅務(wù) 信息系統(tǒng)各安全域內(nèi)部主機(jī)提供區(qū)域計(jì)算環(huán)境安全保護(hù)。 2．安全管理機(jī)制 稅務(wù) 信息系統(tǒng)要建立的安全管理機(jī)制包括： 安全管理組織：建立一個(gè)能夠有效管理 稅務(wù) 信息系統(tǒng)安全建設(shè)、運(yùn)行的組織機(jī)構(gòu)。 安全管理手段：建立有效的安全管理手段，保證 稅務(wù) 信息系統(tǒng)安全管理活動(dòng)的有效執(zhí)行。 基于國(guó)際權(quán)威的動(dòng)態(tài)信息安全理論提出了自己的立體安全模型： P2DR2F 模型，示意如下圖： 21 P2DR2F 模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具（如：防火墻、CA 身份認(rèn)證、加密等手段）的同時(shí)，利用檢測(cè)工具（如：安全評(píng)估、入侵檢測(cè)等系統(tǒng)）了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過(guò)適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)，并通過(guò)備份容錯(cuò)手段來(lái)保證系統(tǒng)在受到攻擊后的迅速恢復(fù)，通過(guò)取證系統(tǒng)來(lái)實(shí)現(xiàn)對(duì)非法網(wǎng)絡(luò)使用的追查。對(duì)于一個(gè)策略體系的建立包括：安全策略的制訂、安全策略的評(píng)估、安全策略的執(zhí)行等。 22 Response（響應(yīng)） 緊急響應(yīng)在安全系統(tǒng)中占有重要的地位，是解決安全潛在性問(wèn)題最有效的辦法。 Recovery(恢復(fù) ) 災(zāi)難恢復(fù)系統(tǒng)是當(dāng)網(wǎng)絡(luò)、數(shù)據(jù)、服務(wù)受到黑客攻擊并遭到破壞或影響后，通過(guò)必要的專業(yè)技術(shù)手段（如備份、冗余等）對(duì)其加以最大程度的恢復(fù)，使系統(tǒng)恢復(fù)正常。 網(wǎng)絡(luò)邊界安全 在 省 局 門(mén)戶網(wǎng)站與互聯(lián)網(wǎng)接入 邊界上建立包括防火墻 、安全網(wǎng)關(guān)以及 網(wǎng)絡(luò) IDS 的 防御機(jī)制，所有網(wǎng)上訪問(wèn)必須通過(guò)相關(guān)安全管理和控制。 部署 網(wǎng)絡(luò)入侵監(jiān)測(cè) 系統(tǒng) 入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí) 發(fā)現(xiàn) ，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。 系統(tǒng)層安全建設(shè) 目前 省 局系統(tǒng)中的操作系統(tǒng)類型和金稅工程（三期）建設(shè)要求的主機(jī)操作系統(tǒng)類型基本相同。同時(shí)對(duì)管理員的權(quán)限也要進(jìn)行相應(yīng)限制。 24 系統(tǒng) 安全監(jiān)測(cè) 由于入侵手段的日益復(fù)雜和常用系統(tǒng)出現(xiàn)的安全缺陷，分析網(wǎng)絡(luò) 系統(tǒng)對(duì)破壞的抵抗能力有助于保障安全。 系統(tǒng)的安全 審計(jì) 在重點(diǎn) 區(qū)域 部 署審計(jì)類產(chǎn)品。 因此需要部署網(wǎng)絡(luò)防病毒系統(tǒng)針對(duì)病毒能夠?qū)崟r(shí)查殺，能夠統(tǒng)一升級(jí)，統(tǒng)一管理，并且與防病毒網(wǎng)關(guān)結(jié)合形成立體縱深的防病毒體系。 管理層安全建設(shè) 從安全風(fēng)險(xiǎn)分析可以看出， 稅務(wù) 系統(tǒng)的安全需求是全方位的、整體的，需要從技術(shù)、管理等方面進(jìn)行全面的安全設(shè)計(jì)和建設(shè)，有效提高 稅務(wù) 系統(tǒng)的防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)能力，以抵御不斷出現(xiàn)的安全威脅與風(fēng) 險(xiǎn)，保證系統(tǒng)長(zhǎng)期穩(wěn)定可靠的運(yùn)行。 稅務(wù) 信息系統(tǒng)涉及面廣、情況復(fù)雜，管理的制度化程度極大地影響著整個(gè)系統(tǒng)的安全，因此，整個(gè) 稅務(wù) 信息系統(tǒng)安全建設(shè)、運(yùn)行、維護(hù)、管理都要重視安全管理，嚴(yán)格按制度進(jìn)行辦事，明確責(zé)任權(quán)力，規(guī)范操作，加強(qiáng)人員、設(shè)備的管理以及人員的培訓(xùn)，提高安全管理水平。 攻擊試探的預(yù)警技術(shù)：入侵檢測(cè)系統(tǒng) 當(dāng)黑客試探攻擊時(shí)，大多采用一些 已知的攻擊方法來(lái)試探。通過(guò)該系統(tǒng)可以快速定位內(nèi)部惡意的用戶攻擊行為和針對(duì)漏洞的攻擊、內(nèi)部的 BT 下載等。 事件追蹤、查詢技術(shù)： 安全審計(jì)系統(tǒng) 通過(guò)安全審計(jì)系統(tǒng)可以 對(duì)信息系統(tǒng)的各種事件進(jìn)行監(jiān)測(cè)、信息采集、分析，并對(duì)違反安全策略的事件進(jìn)行響應(yīng)，是審查網(wǎng)絡(luò)安全事故原因，追蹤惡意破壞者的重要手段，從而建立完整的責(zé)任認(rèn)定與授權(quán)體系。 由于互聯(lián)網(wǎng)的風(fēng)險(xiǎn)性，在門(mén)戶網(wǎng)站的網(wǎng)絡(luò)接入處必須部署防火墻等隔離設(shè)備， 通過(guò)在防火墻上做嚴(yán)格的訪問(wèn)控制， 訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保 29 證重要資源不被非法使用和非常訪問(wèn)。防火墻可以實(shí)現(xiàn)單向或雙向控制，對(duì)一些高層協(xié)議實(shí)現(xiàn)較細(xì)的訪問(wèn)控制。 防火墻建議使用透明模式，原因主要有以下幾點(diǎn)： ? 對(duì)網(wǎng)絡(luò)的拓?fù)鋷缀鯖](méi)有影響。 ? 不會(huì)對(duì)安全策略的部署，各種安全域的劃分，安全設(shè)備的管理監(jiān)控產(chǎn)生任何影響。任何安裝瀏覽器的機(jī)器都可以使用SSL VPN， 這是因?yàn)?SSL 內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng) IPSec VPN 一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。在連接階段，客戶端與服務(wù)器交換證書(shū)并協(xié)議安 30 全參數(shù)，如果客戶端接受了服務(wù)器證書(shū)，便生成主密鑰，并對(duì)所有后續(xù)通信進(jìn)行加密。保證通信進(jìn)程安全的一個(gè)關(guān)鍵步驟是對(duì)通信雙方進(jìn)行認(rèn)證， SSL 握手子協(xié)議負(fù)責(zé)這一進(jìn)程處理：客戶端向服務(wù)器提交有效證。 2．安全認(rèn)證 SSL 安全功能組件包括三部分：認(rèn)證，在連接兩端對(duì)服務(wù)器或同時(shí)對(duì)服務(wù)器和客戶端進(jìn)行驗(yàn)證；加密，對(duì)通信進(jìn)行加密，只有經(jīng)過(guò)加密的雙方才能交換信息并相互識(shí)別 。 SSL VPN 的主要功能 1．?dāng)?shù)據(jù)加密 SSL 能基于 Inter 實(shí)現(xiàn)安全數(shù)據(jù)通信：數(shù)據(jù)在從瀏覽器發(fā)出時(shí)進(jìn)行加密，到達(dá)數(shù)據(jù)中心后解密；同樣地，數(shù)據(jù)在傳回客戶端時(shí)也進(jìn)行加密，再在 Inter 中傳輸。 SSL VPN 部署說(shuō)明 應(yīng)用方式說(shuō)明 SSL VPN 是解決遠(yuǎn)程用戶訪問(wèn) 網(wǎng)站 敏感數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。采用透明模式，可以不對(duì)已經(jīng)直聯(lián)鏈路的 IP 地址做任何改變，在原來(lái)網(wǎng)絡(luò)拓?fù)涞幕A(chǔ)上，充分利用原來(lái)交換設(shè)備的冗余設(shè)計(jì)，使每個(gè)方向的數(shù)據(jù)流透明的保持轉(zhuǎn)發(fā)