【正文】 ................................................................. 29 安全網(wǎng)關(guān)系統(tǒng)解決方案 ...................................................................... 30 網(wǎng)絡(luò)防病毒系統(tǒng)部署于說明 ............................................................... 31 安全檢測方案 ............................................................................................ 32 入侵檢測系統(tǒng)解決方案 ...................................................................... 32 安全審計(jì)系統(tǒng)部署說明 ...................................................................... 32 安全恢復(fù)方案 ............................................................................................ 33 網(wǎng)頁防篡改系統(tǒng)部署與說明 .............................................................. 33 2 第七章 安全集成和服務(wù)解決方案 ........................................................................... 35 . 安全服務(wù)體系概述 ................................................................................... 35 . 詳細(xì)的安全服務(wù) ...................................................................................... 35 安全集成服務(wù) ................................................................................. 35 安全評估服務(wù) ................................................................................. 36 安全運(yùn)維服務(wù) .................................................................................. 41 安全培訓(xùn)服務(wù) ................................................................................. 43 第八章 安全管理保障體系建設(shè) ............................................................................... 45 健全安全管理組織 ..................................................................................... 45 完善安全管理制度 ..................................................................................... 45 加強(qiáng)人才 隊(duì)伍建設(shè) ..................................................................................... 46 遵循法規(guī)標(biāo)準(zhǔn) ............................................................................................ 47 重視安全管理手段 ..................................................................................... 47 開展信息安全評估 ..................................................................................... 47 應(yīng)急響應(yīng)支援體系 ..................................................................................... 47 應(yīng)急響應(yīng)的重要性 ............................................................................. 47 應(yīng)急響應(yīng)的組織建設(shè) ......................................................................... 48 應(yīng)急響應(yīng)預(yù)案制訂 ............................................................................. 49 檢測內(nèi)容及方法 ................................................................................ 49 安全加固 ........................................................................................... 50 1 第一章 項(xiàng)目 概 述 概述 信 息安全 保障 工作是 稅務(wù) 信息化建設(shè)的重要組成部分， 信息安全無法保障，將直接影響稅務(wù)行業(yè) 的正常運(yùn)作以及網(wǎng)上交互辦公的有效性、穩(wěn)定性和高效性，將大大制約 稅務(wù)行業(yè) 的深入發(fā)展，嚴(yán)重影響 稅務(wù)行業(yè) 工作的信息化進(jìn)程。本方案根據(jù) 稅務(wù) 信息系統(tǒng)的訪問控制要求，進(jìn)行了合理的安全域劃分，建立合理有效的邊界保護(hù)措施，實(shí)現(xiàn)安全域之間的訪問控制，抵御非法攻擊。 ? 遵循集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的整體安全保障體系。這個平臺規(guī)劃為軟件平臺、應(yīng)用系統(tǒng)、以及安全系統(tǒng)三大部分。 網(wǎng)絡(luò)安全風(fēng)險 網(wǎng)絡(luò) 設(shè) 備的使用不當(dāng)帶來的問題，比如不能正確使用其中的訪問控制功能，導(dǎo)致它受到各種威脅。 拒絕服務(wù)攻擊： 它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被 排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。稅務(wù)系統(tǒng)廣域網(wǎng)絡(luò)是建立在 TCP/IP 協(xié)議基礎(chǔ)之上的，所以對 TCP/IP 網(wǎng)絡(luò)服務(wù)的任一環(huán)節(jié)的攻擊，都有可能威脅到電子政務(wù)內(nèi)網(wǎng)應(yīng)用的穩(wěn)定性，都可能使重要的信息，比如重要數(shù)據(jù)、重要 的口令在傳遞過程中遭到竊聽和篡改。 操作系統(tǒng)的安全是 稅務(wù) 網(wǎng)絡(luò)系統(tǒng)信息安全的基礎(chǔ)。 防火墻的訪問控制功能能夠很好的對使用應(yīng)用服務(wù)的用戶進(jìn)行嚴(yán)格的控制 ，配合以入侵檢測系統(tǒng)就能安全的保護(hù) 稅務(wù) 內(nèi)網(wǎng)的各種應(yīng)用系統(tǒng)。由此就可能存在著：同事有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密 . 服務(wù)漏洞 Web 服務(wù)器本身不能保證沒有漏洞，不法分子可能利用服務(wù)的漏洞修改頁面，甚至破壞服務(wù)器。例如：一種簡單的附著在文件上的病 11 毒將遵照以下步驟感染你系統(tǒng)中的文件。 病毒繼續(xù)這個過程，直到計(jì)算機(jī)上的所有程序被感染或關(guān)機(jī)。 例如，如下幾點(diǎn)與技術(shù)維護(hù)緊密結(jié)合的安全管理制度：遠(yuǎn)程操控人員管理、操控時間及特權(quán)使用管理、物理臨近人員管理、備份及修復(fù)對業(yè)務(wù)影響的時間管理，例行維護(hù)管理、應(yīng)急安全預(yù)案等，這些管理制度面對的人群皆包括本地管理員和各其它行政單位的遠(yuǎn)程管理員。 ? 網(wǎng)絡(luò)安全策略 明確等級保護(hù)措施；合理劃分安全域，確定各安全域的物理邊界和邏輯邊界，明確不同安全域之間的信 任關(guān)系。 設(shè)計(jì)原則 按照安全工程的建設(shè)需求和目標(biāo)，以及“統(tǒng)一規(guī)劃、分步實(shí)施；綜合防范、整體安全；分級保護(hù)、務(wù)求實(shí)效”的建設(shè)原則，在進(jìn)行 稅 務(wù) 信息系統(tǒng)安全方案設(shè)計(jì)時，將遵循以下設(shè)計(jì)原則： 分域防護(hù)、綜合防范的原則 ：任何安全措施都不是絕對安全的，都可能被攻破。 具體實(shí)施上就要求各信息系統(tǒng)運(yùn)營、使用單位根據(jù)《信息安全等級保護(hù)管理辦法》和《信息安全等級保 15 護(hù)定級指南》確定信息系統(tǒng)的安全保護(hù)等級，將信息系統(tǒng)安全等級保護(hù)工作落實(shí)到位。 第二級安全的信息系統(tǒng)具備對信息和系統(tǒng)進(jìn)行比較完整的系統(tǒng)化的安全保護(hù)能力。 完整的安全策略模型和由系統(tǒng)進(jìn)行的強(qiáng)制性的安全保護(hù)是本級的重要特征，前者是從設(shè)計(jì)角度確保安全功能的安全性達(dá)到預(yù)期目標(biāo)，后者是指安全策略是由系統(tǒng)統(tǒng) 一執(zhí)行，并加強(qiáng)于所有保護(hù)對象之上的。 在安全管理方面，強(qiáng)制性保護(hù)級要求“建立持續(xù)改進(jìn)的信息系統(tǒng)安全管理體系，在對安全管理過程進(jìn)行規(guī)范化定義，并對過程執(zhí)行實(shí)施監(jiān)督和檢查的基礎(chǔ)上，具有對缺陷自我發(fā)現(xiàn)、糾正和改正的能力。 在安全管理方面，專控性保護(hù)級要求“由信息系統(tǒng)的主管部門和使用單位根據(jù)安全需求，建立核心部門的專用信息系統(tǒng)安全管理體系，對安全管理過程進(jìn)行規(guī)范化的定義，并對過程執(zhí)行實(shí)施監(jiān)督和檢查，具有對缺陷自我發(fā)現(xiàn)、糾正和改進(jìn)的能力。 安全域劃分依據(jù)是： 縱深防御：遵循縱深防御理論，這包括將網(wǎng)絡(luò)結(jié)構(gòu)細(xì)化為邊界防御、自定義安全區(qū)域防御。 稅務(wù) 信息系統(tǒng) 安全域規(guī)劃 根據(jù)現(xiàn)有的網(wǎng)絡(luò)建設(shè)狀況和 省 局業(yè)務(wù)特點(diǎn)以及國稅總局關(guān)于 國稅 系統(tǒng)有關(guān)網(wǎng)絡(luò)規(guī)劃要求，在網(wǎng)絡(luò)結(jié)構(gòu)上依據(jù)業(yè)務(wù)系統(tǒng)等級進(jìn)行安全區(qū)域劃分，將辦公網(wǎng)和業(yè)務(wù)專網(wǎng)分開；業(yè)務(wù)專網(wǎng)和國家電子政務(wù)外網(wǎng)分開；業(yè)務(wù)專網(wǎng)根據(jù) 業(yè)務(wù)發(fā)展需要和互聯(lián)網(wǎng)安全連接，業(yè)務(wù)專網(wǎng)和其它相關(guān) 行業(yè)部門安全連接 。 其中，風(fēng)險分析和評估產(chǎn)生安全策略，安全策略決定預(yù)防、防護(hù)、檢測和響應(yīng)、恢復(fù)措施。 應(yīng)用安全技術(shù)：為 稅務(wù) 信 息系統(tǒng) 涉稅系統(tǒng)已經(jīng)由 省 政府 提供統(tǒng)一身份認(rèn)證、統(tǒng)一權(quán)限管理、數(shù)字簽名、數(shù)據(jù)加密等應(yīng)用安全保護(hù) （該技術(shù)可以通過國家局統(tǒng)一實(shí)現(xiàn) ）。 3．應(yīng)急響應(yīng)支援體系 稅務(wù) 信息系統(tǒng)應(yīng)急響應(yīng)支援體系建設(shè)主要包括應(yīng)急響應(yīng)組織建設(shè)和應(yīng)急預(yù)案的制訂、完善，用于保證 稅務(wù) 系統(tǒng)出現(xiàn)黑客攻擊、病毒入侵等安全事件時，能得到及時的響應(yīng)和支援。 通過防火墻監(jiān)視限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，可以防范外對內(nèi)及內(nèi)對外的非法訪問，提高了網(wǎng)絡(luò)的防護(hù)能力，當(dāng)然需要根據(jù)安全策略制定合理的防火墻策略；也可以利用上網(wǎng)行為控制審計(jì)的方法來增加系統(tǒng)的安全性等等。 稅務(wù) 信息系統(tǒng) 整體安全技術(shù) 保障 解決方案 根據(jù)總局 《稅務(wù)系統(tǒng)信息安全體系需求分析》 和省局的統(tǒng)一要求，結(jié)合 稅務(wù) 信息安全評估和總體規(guī)劃，并參照網(wǎng)絡(luò) 安全 與信息安全相關(guān) 法律 法規(guī) ，本技術(shù)解決方案分別從物理、 網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用 、管理五個不同 層面提出 策略性建議，使 稅務(wù) 的信息系統(tǒng)達(dá)到相應(yīng)的保護(hù)等級 監(jiān)督性保護(hù)級。在 省 局核心交換機(jī)上及外聯(lián)網(wǎng)（ 海關(guān)、政府等 ） 區(qū)域各 部署千兆入侵監(jiān)測系統(tǒng) ，監(jiān)聽來自 不同出口進(jìn)入的數(shù)據(jù)流和內(nèi)部關(guān)鍵區(qū)域數(shù)據(jù)流，及時了解和發(fā)現(xiàn)入侵攻擊行為 。系統(tǒng)管理員應(yīng)當(dāng)有選擇地設(shè)置需要審計(jì)的事件，這些事件的活動就會在系統(tǒng)中留下痕跡，事件的類型、用戶的身份、操作的時間、參數(shù)和狀態(tài)等構(gòu)成 一個審計(jì)記錄記入審計(jì)日志，以便系統(tǒng)管理員根據(jù)審計(jì)日志，檢查系統(tǒng)中有無危害安全性的活動。 . 4 部署 防病毒 系統(tǒng) 目前 IDC 數(shù)據(jù)表明 99%以上針對應(yīng)用層的威脅都是來自 INTERNET 進(jìn)行傳播。因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員的使用方面，這是計(jì)算機(jī)網(wǎng)絡(luò)安全必須考慮和高度重視的基本問題。而從另外一個角度考慮問題，“實(shí)時監(jiān)測”，發(fā)現(xiàn)黑客攻擊的企圖，對于網(wǎng)絡(luò)安全來說也是非常有意義的。 網(wǎng)絡(luò)防病毒系統(tǒng) 27 針對 網(wǎng)絡(luò)中 的主機(jī)進(jìn)行防病毒防護(hù)，采用集中管理方式針對全網(wǎng)防病毒統(tǒng)一部署、升級和病毒查、殺，避免防護(hù)系統(tǒng)的漏洞存在。 部署說明 在 稅務(wù) 門戶網(wǎng)站的網(wǎng)絡(luò)出口處路由器后面部署一臺防火墻系統(tǒng)，作為互聯(lián)網(wǎng)與 稅務(wù) 系統(tǒng)的訪問控制設(shè)備，保護(hù)國稅系統(tǒng)的安全。 SSL VPN 部署說明 應(yīng)用方式說明 SSL VPN 是解決遠(yuǎn)程用戶訪問 網(wǎng)站 敏感數(shù)據(jù)最簡單最安全的解決技術(shù)。 2．安全認(rèn)證 SSL 安全功能組件包括三部分：認(rèn)證，在連接兩端對服務(wù)器或同時對服務(wù)器和客戶端進(jìn)行驗(yàn)證；加密，對通信進(jìn)行加密，只有經(jīng)過加密的雙方才能交換信息并相互識別 。在連接階段，客戶端與服務(wù)器交換證書并協(xié)議安 30 全參數(shù)，如果客戶端接受了服務(wù)器證書，便生成主密鑰，并對所有后續(xù)通信進(jìn)行加密。 ? 不會對安全策略的部署，各種安全域的劃分，安全設(shè)備的管理監(jiān)控產(chǎn)生任何影響。防火墻可以實(shí)現(xiàn)單向或雙向控制，對一些高層協(xié)議實(shí)現(xiàn)較細(xì)的訪問控制。 事件追蹤、查詢技術(shù)： 安全審計(jì)系統(tǒng) 通過安全審計(jì)系