国恒联合科技：国税网络安全解决方案

　　一、概述

　　税收是我国国民经济宏观调控的重要手段之一，在国计民生中占有非常重要的地位。

　　近年来，为了加强税收监管和保障税收来源，我国税务部门将信息化建设作为各项改革的突破口，大力实施“科技兴税”战略，广泛推行税收信息管理系统和机关办公自动化系统，使税收管理的现代化水平获得了较大提高。与此同时，我国税收收入持续快速增长，连年增收1000亿元人民币左右，2000年增收额超过2000亿元人民币，税收收入已占到我国GDP比重的14%。有关税务专家认为，这一切与我国税务系统突飞猛进的信息化建设是密不可分的。

　　国家税务总局金人庆局长曾多次表示，科技加管理代表着税收管理今后的发展方向，税务系统将充分利用信息技术，为税收管理提供现代化服务手段，并在管理观念、管理体制、管理方法等方面不断创新，使之与现代化手段相适应，实现人机的最佳结合，真正建立起一个以税务管理信息系统为核心、以信息化管理为特征、高效优质的现代化税务管理体系。同时，面对我国加入WTO的步伐日益加快，如何以更高的效率和准确性为企业、个人提供更好的服务，也对税务行业提出了严峻的挑战，这同样需要通过信息技术建立强大的支撑平台。

　　根据发达国家的经验和我国税务行业的现状，计算机技术在我国税务系统的应用正朝着事务性工作集中、管理分散的模式发展，以便有效地降低税收成本，更好地加强对纳税人的监控和服务。例如，美国全国只有5个征税中心，而我国一个县就有6～15个征税中心。国家税务总局也充分认识到这一点，在“十五”规划中明确将“集中征收”作为信息化建设的发展目标。但目前，各地税务所运行的计算机业务处理系统无法形成上述管理模式，因此，建设一个全新的IT技术支持系统是实现税收改革的必由之路。

　　二、国税的网络结构和应用

　　从网络应用上来讲，我国税务行业的典型IT 应用与税务改革有着密切的关系。目前，我国税务改革主要集中在以下三个方面：一是业务系统的改革，主要是对税收增收的管理，业务系统的改革是税务改革的灵魂，也是改革的主要部分；二是机构改革；三是人事改革。税务改革的

　　三大方向产生了相应的重点项目：

　　金税工程；

　　税收征管业务综合系统，包括从国家到省市、地市的三级征管系统；

　　纳税人服务系统(网上报税、自动报税)，包括省级地税之间的联网；

　　对汇总数据进行分析的征收系统，包括数据仓库、决策支持系统等基础系统；

　　办公自动化系统。

　　具体而言，我国税务行业的应用内容主要包括以下方面：支持各种申报方式、基层税收征管业务与省(市、县)级管理业务、实现通报通缴、定量考核、提高管理与核算的准确性和规范性、省(市、县)级税收监控和管理、税收分析系统、专家系统、税收辅助决策、提供数据产品和服务(如税收信息综合发布与查询等)、完善的税收法规库与简明检索系统、外部信息交换(省内信息交换)。其业务范围涵盖了税收的征收、管理、服务等各个方面，使税务行业全面进入高速信息化建设时代。

　　随着信息化的日益深刻，信息网络技术的应用日益普，网络安全问题也会成为影响网络效能的重要问题。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和病毒的入侵，如何保障数据传输的安全性、可靠性，也是税务信息化过程中所必须考虑的重要事情之一。

　　网络的组成是网络安全设计的依据。

　　省国税局计算机网络系统总体上是一个星型结构的局域网，从管理的分工上可以分为四个层次：

　　第一层次：省国税局内部网，由于整个国税网络的服务器均集中在这个局域网上，所以该局域网是整个系统的心脏部分。该网络向上与国税总局连接，横向与其他各省国税局连接，向下与所辖地市国税局连接。

　　第二层：省国税局下属地市国税局网络。该网络向上通过专线与XX国税局连接，向下与区县国税局连接。

　　第三层：区县国税局网络。该网络向上与地市国税局连接，向下与基层税务征收点连接(可能)。

　　第四层：省国税局Internet访问和对外信息发布区域。根据国家政策规定，该网络与国税内部网物理隔离。

　　国税计算机网络系统的应用应该主要包括三个方面：其一是处理国税业务信息，其二是办公自动化、其三是对外发布信息。无论是哪一种应用都会涉及到一些敏感或涉密信息，所以，采取相应的技术措施加强信息系统的安全保密是一项十分重要的工作。

　　三、网络风险分析及安全方案设计

　　风险分析的一个步骤是判定需要保护的所有资源，特别是受安全问题影响的资源。这些资源包括：主机、工作站、各种网络设备等硬件；源程序、应用程序、操作系统等软件；在线存储、传输、及备份数据；等等。

　　国税计算机网络系统包含了上述几乎所有的网络资源，系统较为复杂，目前尚未建立系统的安全防护体制，存在着明显的安全威胁。

　　1)全网易受入侵。首先，网络各个部分没有按照其应用的安全要求不同划分为不同的安全域；同时，整个网络通过基本简单静态的通行字进行身份鉴别(可能)，一旦身份鉴别通过，用户即可访问整个网络。侵袭者可以通过三种方式很容易地获取通行字：一是内部的管理人员因安全管理不当而造成泄密；二是通过在公用网上搭线窃取通行字；三是通过假冒，植入嗅探程序，截获通行字。侵袭者一旦掌握了通行字，即可在任何地方通过网络访问全网，并可能造成不可估量的损失。而且由于不可控制的接入点比较多，导致全网受攻击点明显增多。

　　2) Internet访问和对外信息发布区域与Internet直接连接，未采取有效的访问控制措施，该区域将面临着来自Internet网络的安全威胁。

　　3)系统保密性差。由于与外部连接通路采用公用线路连接，全部线路上的信息多以明文的方式传送，其中包括登录通行字和一些敏感信息，可能被侵袭者截获、窃取和篡改，造成泄密。

　　4)易受欺骗性。由于网络主要采用的是TCP/IP协议，不法分子就可能获取IP地址，在合法用户关机时，冒充该合法用户，从而窜入网络服务或应用系统，窃取甚至篡改有关信息，乃至会破坏整个网络。

　　5)数据易损。由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络上的各种对数据库及个人终端的攻击；同时一旦不法分子针对网上传输数据做出伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。

　　6)缺乏对全网的安全控制与管理。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。

　　缺乏防范泄密行为的安全措施。国税计算机网络系统目前应该有一些敏感信息，如果这些信息由内部工作人员有意或无意通过网络传播或扩散出去，可能造成十分严重的影响和损失。

　　了解了攻击手段和安全隐患之后，国恒联合科技结合现有的网络技术，设计了如下图所示的动态安全防护体系。通过这样的设计可以尽可能地阻止来着外部的攻击、监控和管理内部的访问，尽量杜绝现存的安全隐患。

　　整个方案设计分为以下几部分：

　　1、国税局域网安全保护的基本措施，是采用防火墙进行访问控制。关于这一措施应该从两个层次进行考虑，即对于局域网与外部网之间的访问控制和内部网中各个安全域之间的访问控制。

　　1)局域网与银行网络之间的访问控制

　　在局域网与银行前置机之间安装防火墙，来实现对国税局域网的安全保护，利用防火墙的过滤来实现它与外部网之间相互访问控制。

　　2)省级、地市级国税网络与国税用户之间的访问控制

　　国税用户主要是通过Internet访问国税网络，可在国税网络与Internet接入路由器之间安装防火墙，来实现对国税局域网的安全保护，利用防火墙的过滤来实现它与外部网之间相互访问控制。

　　2、入侵检测和病毒防护。速通防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统，超越了传统防火墙中的基于统计异常的入侵检测功能，实现了可扩展的攻击检测库，真正实现了抵御目前已知的各种攻击方法，并通过升级入侵检测库的方法，不断抵御新的攻击方法。速通防火墙的入侵检测模块，可以自动检测网络数据流中潜在的入侵、攻击和滥用方式，并防火墙模块实现联动，自动调整控制规则，为整个网络提供动态的网络保护。速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测，可以在计算机病毒和蠕虫传输到宿主机之前检测出来，在网关上防止网络病毒的传播，防患于未然。真正实现了少花钱多办事的效果。对于网络内部的病毒防护建议使用网络防病毒软件进行整体防护。

　　3、速通防火墙自带的认证功能，可以实现内部用户认证，同时可以结合用户原有的域用户认证或者radius认证，实现用户级的访问控制。

　　4、数据备份与恢复技术：利用备份系统可以快速地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：场点内高速度、大容量的自动数据存储、备份与恢复；场点外的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。

　　5、建成之后的计算机信息网络系统将是一个比较复杂的系统，因此需要对网络活动进行有效控制和管理。网络管理员可随时监测系统中的所有网络设备运行状况，能够在不改变系统运行的情况下对网络进行调整；也不管网络设备的物理位置在何处，都能对网络进行管理与维护。网络管理应具有一体化管理措施和方法，能对网络设备进行远程管理和维护，能合理配置和调整网络资源，能提供用户访问权管理、网络性能管理以及故障管理，能准确报告与故障有关的事件，并能监视网络状态与控制网络运行。

　　本方案的特点在于：根据国税的实际需要，充分结合了各种网络安全产品和管理软件，实现了各系统的协同工作。