【文章內容簡介】 由于其出色的穩(wěn)定性和高性能而成為電子政務網絡系統(tǒng)常采用的操作系統(tǒng)，當前承 擔著電子政務應用的的關鍵任務。缺省安裝的 UNIX 操作系統(tǒng)（以HP UNIX 為例）會存在以下安全問題： ? FINGER（泄露系統(tǒng)信息） ? 各類 RPC（存在大量的遠程緩沖區(qū)溢出、泄露系統(tǒng)信息） ? SENDMAIL（許多安全漏洞、垃圾郵件轉發(fā)等） ? NAMED（遠程緩沖區(qū)溢出、拒絕服務攻擊等） ? SNMP（泄露系統(tǒng)信息） ? 操作系統(tǒng)內核中的網絡參數存在許多安全隱患（ IP 轉發(fā)、堆棧參數等） ? 存在各種緩沖區(qū)溢出漏洞 ? 存在其它方面的安全問題 目前 稅務 門戶網站多是 LINUX 的服務器， 對于網絡管理人員來說，很難對網絡設備、主機的系統(tǒng)存 在的漏洞進行有效的監(jiān)測、管理，如果系統(tǒng)中存在的漏洞不能及時發(fā)現和修補的話，那么整個稅務系統(tǒng)的安全性也就很難保證。 應用安全風險 稅務 有各種應用服務，這些應用服務提供給 稅務 系統(tǒng)內部使用，如果不能防止未經驗證的操作人員利用應用系統(tǒng)的脆弱性來攻擊應用系統(tǒng)，會造成系統(tǒng)數據丟失、數據更改、非法獲得數據等。 另外， 稅務 的外部網絡是通過 ISP 來實現的，如果 ISP 內部管理出現問題，有可能造成連接處的安全隱患，對此必須使用防火墻系統(tǒng)來進行隔離和防護。 防火墻的訪問控制功能能夠很好的對使用應用服務的用戶進行嚴格的控制 ，配合以入侵檢測系統(tǒng)就能安全的保護 稅務 內網的各種應用系統(tǒng)。 應用層安全的解決目前往往依賴于網絡層、操作系統(tǒng)、數據庫的安全，由于應用系統(tǒng)復雜多樣，沒有特定的安全技術能夠完全解決一些特殊應用系統(tǒng)的安全問題。一些通用的應用程序，如 Web Server 程序， FTP 服務程序， Email 服務程序，瀏覽器， MS Office 辦公軟件等這些應用程序自身的安全漏洞和由于配置不當造成的安全漏洞會導致整個網絡的安全性下降。 Web 服務器安全風險 服務器崩潰，各種 WEB 應用服務停止 WEB 服務腳本的安全漏洞，遠程溢出 (.Printer 漏洞 ) 通過 WEB 服務獲取系統(tǒng)的超級用戶特權 9 WEB 頁面被惡意刪改 通過 WEB 服務上傳木馬等非法后門程序，以達到對整個服務器的控制 WEB 服務器的數據源被非法入侵，用戶的一些私有信息被竊 利用 WEB 服務器作為跳板，進而攻擊內部的重要數據庫服務器 拒絕服務攻擊或分布式拒絕服務攻擊 針對 IIS 攻擊的工具，如 IIS Crash 各種網絡病毒的侵襲，如 Nimda,Redcode II 等 惡意的 JavaApplet,Active X 攻擊等 WEB 服務的某些目錄可寫 CGIBIN 目錄未授權可寫，采用默認設置， 一些系統(tǒng)程序沒有刪除 FTP 服務器安全風險 匿名登錄，非法訪問未授權資源 FTP 不同版本存在的安全漏洞 拒絕服務 惡意用戶名與密碼的猜測 FTP 權限可寫 用戶上傳惡意代碼，含毒文件等 Email 服務器安全風險 郵件病毒 郵件炸彈 惡意代碼 拒絕服務 垃圾郵件 郵件服務軟件本身的漏洞 業(yè)務應用系統(tǒng)安全風險 源程序中存在的 BUG 源程序中出于程序調試的方便，人為設置許多陷阱 應用系統(tǒng)自身很弱的身份認證 應用系統(tǒng)的用戶名和口令以明文方式被傳遞，容易截獲 各種可執(zhí)行文件成為病毒的直接攻擊對象 數據庫安全風險 稅 務 網絡中許多關鍵的業(yè)務系統(tǒng)運行在數據庫平臺上，如果數據庫安全無法保證，其上的應用系統(tǒng)也會被非法訪問或破壞。數據庫安全隱患集中在： 10 系統(tǒng)認證：口令強度不夠，過期帳號，登錄攻擊等 系統(tǒng)授權：帳號權限，登錄時間超時等 系統(tǒng)完整性：特洛伊木馬，審核配置，補丁和修正程序等 數據丟失，操作日志被刪除 沒有采用數據冗余備份 數據庫系統(tǒng)自身的 BUG 沒有打最新的數據庫系統(tǒng)的補丁 選擇了不安全的默認配置 軟件的漏洞或者“后門” 隨著軟 件類型的多樣化，軟件上的漏洞也是日益增加，一些系統(tǒng)軟件、桌面軟件等等都被發(fā)現過存在安全隱患。 可以說任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽、設計中的一個缺陷等原因而存在漏洞，這也是 稅務 網絡系統(tǒng)信息安全的主要威脅之一。 資源共享 稅務 系統(tǒng)內部自動化辦公系統(tǒng)，因為缺少必要的訪問控制策略。而辦公網絡應用通常是共享網絡資源，比如文件共享、打印機共享等。由此就可能存在著：同事有意、無意把硬盤中重要信息目錄共享，長期暴露在網絡鄰居上，可能被外部人員輕易偷取或被內部其他員工竊取并傳播出去造成泄密 . 服務漏洞 Web 服務器本身不能保證沒有漏洞，不法分子可能利用服務的漏洞修改頁面，甚至破壞服務器。系統(tǒng)中的 BUG，使得黑客可以遠程對公開服務器發(fā)出指令，從而導致對系統(tǒng)進行修改和損壞，包括無限制地向服務器發(fā)出大量指令，以至于服務器“拒絕服務”，最終引起整個系統(tǒng)的崩潰。這就要求我們必須提高服務器的抗破壞能力，防止拒絕服務（ ）或分布式拒絕服務（ DDOS）之類的惡意攻擊，提高服務器備份與恢復、防篡改與自動修復能力。 數據信息的安全風險分析 數據安全對 稅務 網絡系統(tǒng)說是至關重要的，在網上傳輸的數據可能存在保密性質，而出于網絡本身的自由、廣泛等特性，數據在廣域網線路上傳輸，很難保證在傳輸過程中不被非法竊取和篡改。黑客或 一些不法份子會通過一些手段，設法在線路上獲得傳輸的數據信息，造成信息的泄密。對于 稅務 信息通信網來說，數據丟失、破壞、被修改或泄漏等情況都是不允許發(fā)生的。 病毒傳播風險 網絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內部網。例如：一種簡單的附著在文件上的病 11 毒將遵照以下步驟感染你系統(tǒng)中的文件。 首先，你一定把一個感染的文件裝入計算機內存。該文件可能來自盤片介質或你所在的局域網及互聯網。當你執(zhí)行該文件時，病毒將其自身拷貝到計算機內存中。 病毒將 自身拷貝到計算機內存后，它將等待你來運行機器上的其他程序。本質上，病毒是在內存中等待新的載體，就仿佛感冒病毒漂浮在空氣中一樣。 當你執(zhí)行另外一個程序時，病毒便將其自身附著在內存中的文件上。另外，病毒還會將其自身附著到已存在磁盤上的程序備份上。 病毒繼續(xù)這個過程，直到計算機上的所有程序被感染或關機。關機時，機器會把病毒從內存中刪除，但卻不能將其從被感染的文件中刪除。 于是，當你再次開機時，并裝入一個已被病毒感染的程序，病毒將重新感染內存并繼續(xù)感染其他正在支行的程序。 當其他人員通過共享資源得到你共享的文件，當 打開執(zhí)行時，病毒就感染他的機器；或者你通過電子郵件進行通信時，受病毒感染的文件附件會很自然地傳播到網絡中的其它主機，結果可想而知。 因此， 稅務 網絡中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內迅速擴散，傳播到網絡上的所有主機，有些病毒會在你的系統(tǒng)中自動打包一些文件自動從發(fā)件箱中發(fā)出?？赡茉斐尚畔⑿孤?、文件丟失、機器死機等不安全因素。 管理安全風險 在管理層層面上， 稅務 信息系統(tǒng)網絡系統(tǒng)應該成立專門的運營管理維護職能部門，制訂相關的管理制度，初步形成 稅務 信息系統(tǒng)信息安全管理體系。 稅務 信息系統(tǒng)在安全管理方面雖然從組織、人員、制度等方面都得到了一定的落實，但由于人員編制有限，安全的專業(yè)性、復雜性、不可預計性等，基于 稅務 信息系統(tǒng)現有應用安全措施建設，通過適當的風險分析，總結得出 稅務 在安全管理方面仍然存在一些有可能造成不良影響的安全管理隱患。 例如，如下幾點與技術維護緊密結合的安全管理制度：遠程操控人員管理、操控時間及特權使用管理、物理臨近人員管理、備份及修復對業(yè)務影響的時間管理，例行維護管理、應急安全預案等，這些管理制度面對的人群皆包括本地管理員和各其它行政單位的遠程管理員。這些制度的缺乏也 將直接影響到安全事件預防和排障措施的順利開展以及安全事件發(fā)生后的原因追查、損失及責任確定等方面的明確。 信息系統(tǒng)需求分析 12 根據以上風險分析得出本期項目安全需求： 身份認證和 訪問控制需求 ：互聯網、稅務外網和稅務內部辦公網不同安全區(qū)域之間訪問控制需求； 入侵檢測和安全審計的需求 ：能夠針對互聯網的入侵進行檢測和報警，針對非法操作能夠進行審計的需求； 網站監(jiān)控與恢復 ：能夠監(jiān)測網站的運行情況， 在網站出現異常時， 能夠 快速恢復的需求； 防病毒的需求： 針對業(yè)務系統(tǒng)主機系統(tǒng)的防病毒需求。 13 第四章 稅務 安全方案 總體設計 根據 《稅 務系統(tǒng)信息安全體系需求分析》 和總參三部的風險評估報告 ， 綜合上述風險需求分析所得到的可預見隱患條目， 本方案將分別針對邊界，縱深，服務，系統(tǒng)，應用，管理等幾方面對 稅務 門戶網站 信息系統(tǒng)安全進行規(guī)劃和設計，實現 稅務 信息系統(tǒng)安全工程的建設目標，并將具體實施建議體現在下文的敘述中，工程建設應遵循以下總體安全策略和基本安全策略。 安全策略 為應對上述所面臨的威脅和風險，實現 稅務 信息系統(tǒng) 的安全建設目標，安全建設應遵循以下總體安全策略和基本安全策略： 總體安全目標： ? 遵循金稅工程（三期）的安全需求為稅務信息安全體系建設 的總目標 。 ? 遵循國家 相關政策、法規(guī)和標準； ? 貫徹等級保護和分域保護原則，特別是對不同類別關鍵業(yè)務的單獨保護。 ? 三分技術，七分管理；管理與技術并重，互為支撐，互為補充，相互協 同，形成有效的綜合預防、追查及應急響應體系。 總體安全策略： ? 物理安全策略 在現有物理安全措施基礎上，從環(huán)境、設備、介質、配電的故障切換、冗余等方面，完善物理安全保障措施，保障 稅務 信息系統(tǒng)免受因上述內容破壞造成的服務停止或數據損失。 ? 網絡安全策略 明確等級保護措施；合理劃分安全域，確定各安全域的物理邊界和邏輯邊界，明確不同安全域之間的信 任關系。在安全域的網絡邊界建立有效的訪問控制措施。通過安全區(qū)域最大限度的實施數據源隱藏，結構化和縱深化區(qū)域防御防止和抵御各種網絡攻擊，保證 稅務 信息系統(tǒng)各個網絡系統(tǒng)的持續(xù)、穩(wěn)定、可靠運行。 ? 系統(tǒng)安全策略 對操作系統(tǒng)、數據庫及服務系統(tǒng)進行漏洞修補和安全加固，對關鍵業(yè)務的服務器建立嚴格的審核機制。最大限度解決由操作系統(tǒng)、數據庫系統(tǒng)、服務系統(tǒng)、網絡協議漏洞帶來的安全問題，解決黑客入侵、非法訪問、系統(tǒng)缺陷、病毒等安全隱患。 ? 應用安全策略 針對 稅務 業(yè)務系統(tǒng)的安全需求特點，解決服務發(fā)布內容更新和審核等方面的身份認證、 14 權限 控制、信息保密、數據完整性、責任認定、不可否認性等幾個方面建立相應措施。 關于這方面的建設可以依托總局來完成，這樣可以對安全成本的降低是有很大好處。 ? 安全管理策略 針對 稅務 信息系統(tǒng)安全管理需求，在安全管理上需要在完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理等方面機制、制度的同時，與管理技術緊密結合，形成一套比較完備的 稅務 信息系統(tǒng)安全管理保障體系。 設計原則 按照安全工程的建設需求和目標，以及“統(tǒng)一規(guī)劃、分步實施；綜合防范、整體安全；分級保護、務求實效”的建設原則，在進行 稅 務 信息系統(tǒng)安全方案設計時，將遵循以下設計原則： 分域防護、綜合防范的原則 ：任何安全措施都不是絕對安全的，都可能被攻破。為預防攻破一層或一類保護的攻擊行為而無法破壞整個 稅務 信息系統(tǒng)，需要合理劃分安全域和綜合采用多種有效措施，進行多層和多重保護。 需求、風險、代價平衡的原則 ：對任何類型網絡，絕對安全難以達到，也不一定是必須的，需正確處理需求、風險與代價的關系，等級保護，適度防護，做到安全性與可用性相容，做到技術上可實現，經濟上可執(zhí)行。 技術與管理相結合原則 ：信息安全涉及人、技術、操作等各方面要素，單靠技術或單靠管理都不可能實現。因此在考慮 稅務 信息系統(tǒng)安全方案時，必須將各種安全技術與運行管理機制、人員思想教育、技術培訓、安全規(guī)章制度建設相結合。 動態(tài)發(fā)展和可擴展原則 ：隨著網絡攻防技術的不斷發(fā)展，安全需求也會不斷變化，再加上環(huán)境、條件、時間的限制，要求安全防護一步到位，一勞永逸地解決信息安全問題是不現實的。因此，在考慮 稅務 信息系統(tǒng)安全方案時，應首先滿足基本的和必須的安全需要，并在此基礎上有良好的可擴展性，以滿足今后新的應用和網絡安全技術的所產生的信息安全需求。 信息系統(tǒng)安全等級和安全域劃分 稅務 信 息系統(tǒng)等級保護和安全域劃分依據 根據《信息安全等級保護管理辦法》（公通字 [2020]43 號）文件的 要求，信息系統(tǒng)運營、使用單位應當按照《信息系統(tǒng)安全等級保護實施指南》具體實施等級保護工作。 具體實施上就要求各信息系統(tǒng)運營、使用單位根據《信息安全等級保護管理辦法》和《信息安全等級保 15 護定級指南》確定信息系統(tǒng)的安全保護等級，將信息系統(tǒng)安全等級保護工作落實到位。 根據 《信息系統(tǒng)安全等級保護實施指南》和《信息系統(tǒng)安全等級保護評估指南》中規(guī)定的五個安全保護等級， 結合 《信息系統(tǒng)安全保護等級定級指南》 ，信息系統(tǒng)等級保護中的等級定義如下： 五級指標描述如下： 第一級 自主性保護級 由公民、法人和社會組