中国税务信息系统安全现状

    我国税务信息系统经过多年的建设，已基本实现了总局、省局、地市局、区县局四级网络的互连和信息交换，各级税务节点也基本建成了本地局域网。

    税务系统局域网内配置有小型机、服务器、PC机等各类计算机，使用SOLARIS、Windows 98/NT/2000/XP、Linux等多种操作系统。此外还使用了Lotus Domino/Notes群件系统、MS Office办公软件、电子邮件服务器等通用应用软件。

    为防范病毒的入侵、传播和对系统的破坏，各税务局根据实际需要各自购置安装了防病毒软件。随着税务系统信息化建设的进一步发展，对银行、海关等部门横向连接的增加，以及网上报税等新业务的开展，病毒入侵、传播的渠道大大增加，病毒防御的任务更加艰巨，以往分散的、各自为政的单一层次的防病毒产品已经难以于满足网络防病毒现状的要求，只有建立起覆盖全网的、立体的、集中控制的防病毒网， 并对其实施行之有效的组织管理，才能达到防控病毒的目的。

    为有效防范病毒的入侵、传播和对系统的破坏，需要引入一套先进的防病毒产品，实现对税务信息系统全方位、多层次的整体防护，以及病毒防御系统的集中管理与分级维护。

    金税工程网络防护漏洞分析

    基于上述对税务网络安全的分析，瑞星公司认为应该评估金税工程目前是否存在以下病毒防护漏洞：

    Ø 是否具有良好的防病毒安全策略，且能构成动态自适应防病毒系统

    构建一个全面有效的网络防病毒系统，应根据特定的网络环境定制病毒防护策略。从宏观角度统筹规划网络安全体系，全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段，能够在病毒爆发生命周期各个阶段对病毒进行有效的控制，将病毒造成的损失降到最低。

    Ø 是否部署针对不同操作系统平台及应用防病毒软件

    在金税工程的网络体系中，各类操作系统平台有大量应用，如Windows/NT/2000系统，Unix/Linux/Netware系统，此外还分布有大量应用系统，如：邮件系统，数据库系统等。应该针对所有操作系统及应用系统制定保护措施，否则会对全网产生潜在的安全威胁。

    Ø 缺少防病毒中央控管系统

    由于金税工程网络节点太多，且分布较散，要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过控制中心实现远程异地管理远程防病毒软件，监视该软件的运行状况参数（如防病毒软件病毒库、扫描引擎更新日期，系统配置等）。能实现病毒集中报警，准确定位病毒入侵节点，让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动，协同管理工作。

    Ø 缺少全网病毒代码统一自动更新功能

    构建有效病毒防护的关键环节需要保证产品能做到定期升级，网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能，同时具备自动分发功能，能够在单点更新，然后在不需要人为干预的情况下，实现全网所有产品的病毒码更新。

    Ø 尚未建立完善的安全制度和制定安全培训机制

    防病毒工作是一项复杂、长期的任务，需要全体人员配合，提高对病毒的警觉和防范意识。金税工程防病毒系统需要建立良好的安全规范，以制度严格控制不良行为，另外还得提高全体人员的防范病毒的能力。网络安全应急小组至少配备2-3人才能很好的处理网络安全运营的所有事件，应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。

    病毒对金税工程网络的威胁重点分析

    Ø 文件服务器： 文件服务器是网络环境下文件储存和访问的主要应用服务器，由于税务网络内部通常会有大量的文件存储到服务器中，病毒极易通过文件复制的方式在服务器中传播、复制，大量的病毒入侵可以导致文件服务器功能下降或瘫痪。

    Ø 邮件服务器： 电子邮件已成为病毒传播的最大载体，任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施，极易受到攻击。当客户机染毒并产生几何数量级的信件时，邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降，直至当机。

    Ø 客户机： 局域网中的工作站会受到病毒的感染，病毒的攻击方式多种多样，有通过Internet、局域网传播、传统介质(光盘、软盘等)传播等等，一旦客户机感染病毒，便会迅速传播，并且会给日常的工作带来极大的威胁。

    Ø 网络带宽： 高速传播和具有网络攻击能力的病毒，能占用有限的网络带宽，导致网络瘫痪。如：“冲击波”就是典型导致网络瘫痪的病毒，能导致网络交换机、路由器、服务器严重过载瘫痪。

    金税工程网络防病毒系统总体构架需求

    与税务系统广域网络的四级架构相对应，在总局、省局、地市局建立防病毒子系统的三级管理架构，各级税务局由一个防病毒监控中心及相应的客户端、邮件、群件、网关、文件和各业务系统服务器的防病毒功能组件组成，并建立相应的防病毒域。

    各防病毒域通过监控中心和广域网与上级和下级防病毒域监控中心互连，监控中心组成自上而下的树状网络。各级监控中心互相协同，执行全网防病毒的监控管理、引擎升级、病毒代码更新、策略配置、告警报告、任务调度等职能。
税务系统防病毒子系统的总体结构如下图所示：

 

    金税工程网络防病毒整体解决方案的实施

    根据金税工程网络防病毒系统各单位计算机网络潜在的病毒威胁分析，结合瑞星科技公司系列防毒产品的特性，在金税工程网络防病毒系统的各单位网络将实施由点及面，全方位网络防病毒产品部署，彻底截断病毒入侵的所有途径，具体产品布置根据不同病毒防范采用不同产品。

    建立三级病毒防范管理中心

    首先，在金税工程网络防病毒系统的总局网络建立一个一级系统中心，然后在各省局的网络中心建立省级二级系统中心，最后在其省下属各地市局分别建立三级系统中心，建立一个具有统一管理的防病毒体系。统一管理表现为由上级中心统一发送查杀病毒命令、下达版本升级提示，并及时掌握全部系统中心（包含下级中心）的病毒分布情况等。

    （金税工程病毒防护系统网络拓扑图）

    部署病毒监控管理中心(一级、二级和三级)

      控制管理中心是管理员能从本地位置控制和监控网络内任何一个节点的防毒策略、病毒事件和病毒监控。在确定上述网络病毒监控管理体系（一、二、三级病毒监控管理）后，可以在各自的网络结中心内建立一、二、三级病毒监控中心。

    一级病毒监控管理中心的建立：一级病毒监控管理管理中心，主要负责对二级子中心的管理，监督每个子二级子中心主机防病毒系统的升级情况；接收二级子中心上报的本中心内病毒发作统计信息，使一级系统中心的管理员能够及时了解掌握整个网络内病毒发作传播情况，以便及时采取相应措施。

    一级病毒监控管理管理中心的建立必须在总局网络中心内构建。

    二级病毒监控管理中心的建立：二级系统中心的划分可以按地理、行政网段划分，也可以按计算机数量划分，或依照行政单位划分。每个二级系统中心的架构分别在各下属省级单位网络中心配置一台专用服务器作为二级系统中心，实现本中心客户端和服务器的防病毒管理，并将本中心内病毒爆发情况的统计信息上报给一级系统中心的管理者。

     二级系统中心的安装和一级系统中心的安装是一致的，安装过程必须在一级系统中心已建立后再安装二级系统中心。

     三级病毒监控管理中心的建立：三级系统中心的和二级中心的安装部署是一样的，每个二级中心下可以安装多个三级中心。

    部署管理控制台

    瑞星杀毒软件网络版采用三层设计体系结构：病毒监控管理中心、管理控制台、杀毒客户端（服务器和客户机）。即在瑞星杀毒软件网络版中同时提供了病毒监控管理中心（系统中心）、管理控制台、杀毒客户端（服务器和客户机）的安装程序。

    在病毒监控管理中心（系统中心）安装后，系统中心会自动在系统中心所在的服务器上安装一个管理控制台；此外，瑞星杀毒软件网络版采用分布式三层体系设计，管理员可以在在网络上任何一台Windows计算机上安装了瑞星管理员控制台。所以，它又被称为“移动控制台”。

    部署服务器和客户机

    网络内的服务器由于应用环境、服务器硬件和操作系统不同，因此，在服务器的病毒防范体系中可以分为：WIN服务器和Unix服务器的部署。

    Windows服务器的部署：在网络病毒监控中心（系统中心）建立后，可以通过“域脚本安装”、“WEB安装”、“共享安装”、“服务器本地安装”及管理控制台提供的“远程安装”等多种方式为服务器部署服务器端病毒监控防范系统。

    Unix服务器的部署：在网络病毒监控中心（系统中心）建立后，可以通过瑞星杀毒软件FORU Unix版的具体产品为Unix服务器安装部署服务器端病毒监控防范系统。

    客户机的部署：在网络病毒监控中心（系统中心）建立后，可以通过“域脚本安装”、“WEB安装”、“共享安装”、“服务器本地安装”及管理控制台提供的“远程安装”等多种方式为客户机部署客户端病毒监控防范系统。

    建立安全的管理制度

    网络病毒防范监控系统是一套利用反病毒技术开发的安全产品，它可以在技术上为网络病毒的防范提供一个技术保障，然而，网络体系的安全更主要是有一套相适应的管理制度。为了确保网络和系统的正常运转，必须指定相应的管理制度，如：
    1） 准备相应的MIS人员负责整个网络安全的日常管理及维护。

    2） 制定相应的机房上机管理制度。

    3） 强制实施统一的防病毒策略。

    4） 及时更新升级最新的病毒定义码。一般情况下每星期应该更新一次病毒定义码和扫描引擎，在特别情况下如有新病毒出现时可能需要每天更新病毒定义码和扫描引擎。因此，管理员最好经常浏览瑞星的网站，查看有关最新病毒和有关病毒定义码和扫描引擎的最新动态。

    5） 如果发现隔离区有不能清楚的病毒时，要及时把其提交到瑞星的防病毒研究中心，以尽快得到相应的病毒定义码和扫描引擎。

    6） 不要随意使用盗版软件和盗版光盘。

    后记

    这是有史以来，国内厂商利用自己的技术力量和产品防卫的最大规模网络。一期工程部署完成之后，处于瑞星杀毒软件和其它国产设备保护下的计算机终端超过16万5千台，全国484个地级国税局、70个省级国税局和地税局网络都将拥有统一的网络信息安全防护设备，避免了以前由于网络安全设备不兼容、发生软件冲突的事件。二期工程将进一步覆盖全国税务网络，计算机终端将超过80万台。

    除了瑞星独家实施的网络防病毒模块之外，联想、方正等其他国内厂商在网络硬件方面也对税务网络进行了技术防护和支持。由于税务网络的防护软件和设备都采用了具有自主知识产权的国内产品，对中国税务网络安全的保护具有极其重要的意义。