科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道广东国税网络安全解决方案

广东国税网络安全解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

广东国税计算机网络可划分成两部分,一部分是内部网络,另一部分是外联网络。

作者:天极网 来源:天极网 2008年5月21日

关键字: 网络安全 安全策略 网络安全解决方案

  • 评论
  • 分享微博
  • 分享邮件
  一、广东国税计算机网络的组成

  广东国税计算机网络可划分成两部分,一部分是内部网络,另一部分是外联网络。

  内部网络指国税计算机信息网中不涉及与非国税部门直接进行信息交流的部分,它是国税计算机信息网的基本部分。在总体结构上完全依照国税机构的设置情况而建立。基本情况如下:

  省局、地市局、县(区、县级市)局、分局分别建立计算机局域网络。省局局域网与每个地市局局域网之间分别通过一条租用电路(一般是DDN或Frame Relay,下同)直接连接;每个地市局局域网与其属下的每个县(区、县级市)局局域网、每个市属分局局域网分别通过一条租用电路直接连接;每个县(区、县级市)局局域网与其属下的每个分局的局域网分别通过一条租用电路直接连接;没有直接管属关系的两个单位的局域网之间没有直接电路连接;通过对各个局域网络路由器静态路由表的合理配置,省内内部网络任意两个局域网之间都是可实时传递信息的。整个广东国税广域网络的拓扑结构是一个以省局为根、市局为层数等于1的中间结点、县局为层数等于2的中间结点、分局为树叶的树状网。

  外联网络指国税计算机信息网络中与国税以外的计算机网络进行信息交流的部分,现有的外联网络主要有:

  ①各地国税部门提供给纳税人进行计算机网络缴税的“纳税人-国税局-银行"网络,国税部门的外联网络与银行之间通过专线连接,纳税人的计算机连接国税外联网络的方式有的地方采用纳税人通过电话拨号。直接连接到国税局网络的方式,有的地方则是纳税人的计算机通过电话拨号连接到电信部门的虚拟专用网VPDN,通过VPDN连接国税局网络。

  ②各地国税部门在因特网上建立网站,作为对外服务、向外界宣传国税形象、宣传税收法律和有关政策法规的手段。

  目前,不同地区国税部门所建设的外联网络相互之间是不相连的,按有关部门的规定,外联网络与内部网络在物理上是分开的。

  二、威胁国税计算机网络安全的人群

  (一)威胁内部网络的人群

  ①攻击者与攻击对象在同一局域网

  ②攻击者与攻击对象在内部网络不同的局域网

  ③攻击者来自内部网络之外

  (二)威胁外联网络的人群

  ①“纳税人-国税局-银行"网络

  ②国税部门在因特网上的网站

  三、解决国税网络安全的技术手段

  (一)解决内部网络安全的技术手段

  ①做好操作系统的安全工作

  广东国税主要的操作系统是Windows NT, NT系统有很多很好的安全特色,但NT缺省的安装配置并不安全,只有经手工配置启动后才能发挥其安全方面的功能和优势。因此,在设置NT时,必须本着“安全第一"的原则,同时,要注意在第一时间及时给NT打上新的补丁。

  对NT的安全机制,要充分加以利用,如NT的访问控制机制、审计机制等,我们可以利用它们对不同级别的用户设置精细的权限控制并对网络事件进行审计。

  ②做好各种应用系统的安全工作

  应用系统有两类:一类是国税的关键业务系统,如全省统一征管软件、税务稽核软件等,这类应用系统主要在Sybase上开发;另一类是办公自动化软件,如电子邮件、公文处理等,这类系统在 Lotus Notes上开发。不管是Sybase还是Lotus Notes,它们都有一套安全机制,充分加以利用,可以减少内部网络用户利用应用系统的漏洞进行攻击。

  ③在每个局域网络的出入口安装防火墙

  在每个局域网络的出入口安装了防火墙以后,利用防火墙过滤掉来自其它局域网络的与应用无关的操作,来自不同局域网络的威胁自然大大减少。在这里,防火墙只是一个概念,可以是专用的防火墙,也可以通过路由器的数据包过滤功能实现,专用的防火墙在这里优势并不明显。

  ④安装网络实时监测软件

  在局域网络的出入口安装防火墙并不能解决局域网络内部的攻击,解决局域网络内部的攻击光靠操作系统、应用系统本身的安全机制是不够的,还必须为此配备专用的安全工具,网络实时监测软件是一个比较好的选择。网络实时监测软件安装在局域网络的任意位置,监测着所在的以太网的整个共享网段,它的基本功能是通过监听以太网上的数据流,对用户指定的网络资源情况、网络状态和网络操作进行记录,供日后查询、审计;它的高级功能是实时分析网络上的数据流,对网络违规事件跟踪、实时报警、阻断连接。它既可对付局域网络内部人员的攻击,也可对付来自其它局域网的攻击。

  ⑤对不同局域网络之间的通信进行加密

  防止外部攻击者通过广域网络通信电路接入内部网络,可采用链路加密机或IP加密机对不同局域网络之间的通信进行加密。

  ⑥数据备份及恢复系统

  良好的备份和恢复机制,可在攻击造成损失时,帮助系统尽快地恢复数据和系统服务,是不可缺少的手段。

  (二)解决外联网络安全的技术手段

  ①“纳税人-国税局-银行"网络

  由于这部分网络的操作影响着银行的资金流动,因此这部分网络的安全特别引人注目。这部分网络是一个三方组成的网络,这里我只探讨涉及纳税人、国税局的安全措施。

  安全措施必须从五个方面考虑:

  ●身份认证和访问控制:对每一个向国税局注册使用网络方式缴税的纳税人,由国税局发放网络身份认证令牌,并对每个网络缴税的纳税人的访问权限进行严格的控制,保证纳税人身份不被假冒、只有合法用户才能进入国税网络、合法用户只能进行特定操作。

  ●传输数据加密:纳税人与国税网络之间、国税网络与银行之间所传输的数据经过加密,保证数据不被截获和篡改。

  ●数字签名:纳税人传送的缴税信息必须有数字签名,以保证信息的不可抵赖。

  ●专业防火墙:通过防火墙防止对网络的攻击和破坏,保证网络不停止工作。

  ●数据备份及恢复系统:万一数据遭到攻击破坏,能得到尽量完整的恢复。

  ②国税部门在因特网上的网站

  国税部门在因特网上的网站是供所有人访问的,它的安全措施无法象“纳税人-国税局-银行"网络那样落实到访问者头上,它的安全措施主要从两方面考虑:

  ●专业防火墙:利用专业防火墙堵截攻击是因特网上最基本的安全手段。

  ●内容检测恢复系统:大部分是静态信息,如果被攻击者破坏,对信息系统本身影响不大,但却有可能造成不良社会影响。网站信息万一遭到破坏,必须第一时间得到发现和恢复。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章