启明星辰IPS：网上办税系统安全运营的幕后英雄

　　随着信息及互联网技术的深入普及，网上办税系统正以其灵活多样的服务方式、方便快捷的申报渠道、即时高效的互动沟通优势，广泛服务于全国的纳税人及税务机关。

　　目前，国家金税三期工程建设正深入推进，各省地税系统也正面临着税收业务系统的整合，目标是实现税收业务的集约化管理以及业务数据全省集中处理和存储的新型信息化管理模式，并在此基础上逐步完成国家税务总局对信息系统的建设规划和要求，实现税收管理的科学化、专业化和精细化，实现为纳税人提供优质便捷的服务。

　　随着“业务上网”及数据的集中，如何保障网上办税系统的信息安全成为了系统建设之初就必须考虑的问题。由于网上办税系统基于互联网提供服务，具有很强的开放性，同时，其后台处理又分别要连接税务系统内部业务网络及国库系统的金融业务网络，因此网上办税业务系统面临着巨大的安全威胁，尤其是来自互联网的应用层安全攻击。一旦网上办税系统被攻击或者出现数据篡改，将会给纳税人及国家税务机关造成难以估量的损失。

　　通过对网上办税系统的业务结构分析(如下图)我们不难发现，在外部区域和网上办税访问区域存在直接的逻辑访问边界，这是外部威胁进入业务系统的首要通道。在此边界上，仅依靠防火墙提供的网络层访问控制，难以解决日益复杂的应用层攻击，尤其是针对Web应用系统的SQL注入、跨站脚本攻击，它们是当前网上办税前置业务服务器面临的最常见、最危险的威胁。入侵防御系统作为防火墙的有效补充，能够实现对网络层、应用层攻击的检测及实时阻断，抵挡来自互联网的入侵及攻击，是网上办税系统边界防护的最佳方案。

　　网上办税系统业务逻辑示意图

　　以下是某省地税网上办税业务系统部署实施方案，启明星辰的天清入侵防御系统(以下简称天清IPS)部署于网上办税系统的外置服务区边界，为办税业务提供安全保障，其作用主要体现在以下两个方面：

　　业务系统拓扑图

　　1、 抵挡外部安全威胁

　　最大限度的发挥天清IPS的应用层防护能力以抵挡外部安全威胁。具体方案是：在天清IPS上配置安全防护策略，启用防攻击、入侵防御、防病毒功能，对应用层威胁尤其是针对基于B/S的业务系统的SQL注入、XSS攻击进行全面防护。在入侵防御的核心功能上，通过对入侵防御特征库的定期升级，来保证天清IPS设备能够识别和防御最新的威胁。

　　2、 保障纳税业务的可用性

　　首先，天清IPS采用HA部署结构，并采用链路健康状态作为主备切换条件，即同时监控链路的物理状态及网络路径的检测，保障在设备及链路出现故障的情况下，能够及时切换。其次，天清IPS防护链路配备硬件Bypass，能够保障在设备本身硬件、软件故障时，避免单点故障造成业务中断，最大限度的确保网上办税业务的可用性。

　　启明星辰的天清入侵防御系统围绕“深层防御、精确阻断”的核心，以其精确的检测能力，实时的攻击阻断以及对新威胁的迅速响应，赢得了全国多个税务机关的认可，正在为越来越多的网上办税业务系统提供最佳的安全保障，成为网上办税系统正常运营的幕后英雄。