一、前言

　　税收是国家财政收入的主要来源，是国民经济的重要命脉。随着我国信息化技术的发展，作为履行我国税收职能的税务机构，其信息化建设越来越成为推动我国经济建设的重要动力之一。二十年来，经过实施“金税一期”和“金税二期”两期金税工程，我国税收信息化建设取得了长足的进步。大量先进的信息技术的应用极大地提高了我国税务工作的效率和质量，税务信息系统的功能也更加全面。

　　目前，我国正在实施“金税三期”工程建设。“金税三期”的建设内容概括为“一个平台，两级处理，三个覆盖，四个系统”。一个平台——建立一个包含网络硬件和基础软件的统一技术基础平台；两级处理——依托统一的技术基础平台，逐步实现××地税的数据信息在总局和省局的集中处理；三个覆盖——应用内容逐步覆盖所有税种，覆盖所有工作环节，覆盖各级国、地税机关，并与有关部门联网；四个系统——通过业务的重组、优化和规范，逐步形成一个以征管业务为主，包括行政管理、外部信息和决策支持在内的信息管理应用系统。在“金税三期”建设中，地税信息化也被列入其中，这说明地税信息化建设将逐步进入总局的统一规划之中。

　　多元化报税、税银等系统的应用，使地税信息系统由相对封闭和低风险逐渐转变为更加开放和高安全风险。数据大集中模式在国、地税的推广，又对地税信息系统的安全提出了更高的要求。由于近年来，网络及计算机犯罪每年以多于十倍的速度增长，对信息系统的入侵和恶意破坏给各国经济造成了重大的损失。因此，世界各国都在加快建设政府类信息系统的安全保障体系，并为此制定相关的信息安全标准。中国的信息化建设发展迅速，为了防止因信息系统破坏造成的损失，国家相关部门在信息安全建设方面也不断加强。地税信息系统作为国家级信息系统，一定要有可靠的信息安全保障体系，来保证其高效、安全运行。只有在系统安全稳定的前提下，才能够正常履行地税的税收职能。

　　××省地方税务局为××省人民政府直属机构。目前通过网络开展的业务主要包括：税务登记、纳税申报、发票管理、纳税服务等，这些重点业务的数据与国家财政收入息息相关，必然会成为网络外部和内部别有用心的攻击者的关注目标，对网络的威胁包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等，因此应引起足够警惕，采取必要的安全措施，以降低系统的安全风险，提高系统的抗攻击能力，提升业务的持续能力。

　　根据与××地税的前期交流与沟通，我们意识到，××地税的信息安全保障体系主要体现在五个层面，业务层面、技术层面、产品层面、工程实施层面、管理运维层面，业务层面指业务的持续性，如何确保在安全事件发生时，××地税的核心业务能够持续进行或者在尽快的时间内得到恢复；技术层面主要关注当前主流的安全技术，关注技术的先进性、成熟性、易用性以及对××地税实际业务的针对性；产品层面则主要关注技术的“落地”，即技术通过什么产品来实现；工程实施层面主要考虑如何根据××地税的信息资产、安全威胁，制定具体的安全策略，通过产品的部署，来实现组织的安全防护体系；管理运维则从管理的角度，实现整体的安全管理和运维，包括组织安全、技术安全、人员安全组成，通过整体的管理、人员培训、系统长期的运营维护、安全服务来达到系统的长治久安。

　　 二、用户系统现状

　　 网络架构分析

　　根据前期与××地税的沟通，参考国内其他地税系统的网络架构，我们看到××地税网络系统呈现一种典型的星形网络结构，包括省局、地市分局、区县分局、税务所四个部分组成，呈现典型的四级广域系统结构。采用电信运营商租用的高速广域通信线路，将分散在全省的各级地税局机关的局域网连接起来，在统一的网络平台上实现全省地税全面的税收业务处理、发票管理，以及全面的行政管理应用、对税收和人财物管理的高级决策支持，和为全省各类纳税人的征纳、咨询、举报提供服务服务，该平台作为四套应用系统(以征管业务为主，包括税务登记、纳税申报、发票管理、纳税服务等)的支撑，在统一的网络平台上，实现全省税务业务的集中处理。

　　下面我们将从纵向级联、横向互联的角度，对××地税当前的网络架构进行大致的分析如下：

　　纵向分析

　　根据前期与××地税的沟通，了解到，××地税的网络架构从纵向的角度可分为四级：省局、地市分局、县区分局、税务所。

　　××地税广域骨干网络的结构是由地方××地税的上下级的隶属关系、业务的流向的所决定的，表现为数据从县区分局税务所层层上传，分别集中在地市(将来××地税实施了数据大集中以后，将集中在省局)，访问由上而下，单位按行政隶属关系实现省局与各市局、各县(区)局之间可自由互访。跨行政隶属关系不能进行互访。

　　横向分析

　　针对网络架构的横向分析，一般主要采取划分区域的方式，这里我们描述的区域是指对信息进行处理的一组信息资产的集合，根据应用系统的分布情况系统，以及独立支撑某项业务的情况进行划分。

　　为了更清晰地描绘出××地税网络的逻辑分布，我们将××地税广域网划分为税务内网、税务外网、互联网三个大的区域，具体划分方法如图所示：

　　地税内网

　　地税内网包括分布在省局、地市局、区县局和税务所的以税收征管系统为核心应用，包括地税系统的办公用机、服务器和数据库，是地税系统广域网的主要组成部分，包含了税收征管系统、办公自动化、以及数据灾备中心四个子区域。

　　 税务外网

　　为进一步提高地税系统为纳税人服务的质量，××地税开始规划“网上报税系统”，目前我们看到，在××地税已经开通了“网上报税”的应用，纳税人通过互联网进行纳税申报。税务外网区域还包括了省局对外发布服务的服务器群组，通过该群组，地税系统实现了与公众的信息交互。通过“税收法规、办税指南、纳税人园地”等览目，极大的方便了纳税人。

　　此外，地税外网区域还包括地税系统与业务相关部门如银行、财政、社保专网的数据接口和交换的前置系统。

　　互联网

　　互联网区域则包括对××地税对外信息发布的一般访问者，和利用“网上报税”系统进行相关纳税业务访问的用户组成，由于互联网的公开性，使得对于该区域的防护显得尤为重要，如何在提供可靠的网上业务的同时，又要确保税务外网的安全。

　　应用系统分析

　　目前××地税应用系统的情况比较复杂，部分地市采取集中模式，而部分地市则采取分散的模式，常见处理过程为税所和区县局数据在各地市局数据中心处理和保存，处理完成的数据由地市局上传到省局。地税应用系统主要包括：基本税收征管系统、办公自动化系统、人事管理系统、行政财务管理系统、决策支持系统、档案管理与内容管理系统。

　　三、安全风险和需求分析汇总

　　安全风险类别

　　安全风险描述

　　安全需求

　　网络架构

　　网络访问的合理性

　　来自外接专网的越权访问

　　访问控制

　　来自外接专网的恶意攻击

　　入侵检测

　　来自外接专网的病毒入侵

　　病毒防护

　　来自地税系统同级、上级和下级节点的越权访问

　　访问控制

　　来自地税系统同级、上级和下级节点的恶意攻击

　　入侵检测

　　来自地税系统同级、上级和下级节点的病毒入侵

　　病毒防护

　　TCP/IP的弱点

　　利用TCP/IP弱点进行拒绝服务攻击

　　边界隔离

　　利用TCP/IP弱点进行IP欺骗攻击

　　边界隔离

　　蠕虫病毒攻击

　　系统加固

　　网络设备的风险

　　路由器弱口令的风险

　　漏洞扫描

　　口令明文传递的风险

　　加密传输

　　假路由、路由欺骗攻击

　　漏洞扫描

　　网络及系统漏

　　洞的安全隐患

　　黑客利用已知的漏洞对网络或系统进行恶意攻击

　　漏洞扫描

　　应用系统

　　关键业务主机出现故障和系统漏洞的安全

　　不能实时监控关键业务主机硬件系统的运行情况

　　集中安全管理

　　（主机性能监控）

　　隐患

　　不能实时报告关键业务主机系统故障

　　集中安全管理

　　（主机稳定性监控）

　　操作系统的安全级别低，缺乏对使用关键业务主机操作系统用户权限的严格控制、文件系统的保护等

　　访问控制

　　（主机安全防护）

　　数据库系统的安全隐患

　　不能实时监控数据库系统的运行情况包括：数据库文件存储空间、系统资源的使用率、配置情况、数据库当前的各种死锁资源情况、数据库进程的状态、进程所占内存空间等。

　　集中安全管理

　　（数据库稳定性监控）

　　 四、技术方案概述

　　参考××地税的网络结构、应用现状，建议针对××地税整体安全体系建设，在技术层面上着重从边界防护、系统加固、应用安全、集中管理四个方面进行，在××地税网络中引入防火墙、入侵检测、物理隔离、过滤网关、漏洞扫描、网络防病毒、主页防篡改、身份认证、综合审计、灾备中心等十大子系统，并通过统一的平台进行集中管理。形成如下图所示的整体配置方案。

　　××地税内网纵向安全解决方案示意图

　　六、方案建设效果

　　通过安全防护体系的建设，使××地税整体防护能力上升比较高的空间，并解决以下的安全问题：

　　从物理链路的角度：解决了××地税内网与外网之间严格的隔离和数据交换问题。

　　技术上采用隔离交换设备，过滤网关设备，在外网与内网交换数据的过程中，“中断”两网之间直接的协议穿越，并利用“摆渡”技术将数据进行传递，对比逻辑隔离技术，提高了数据交换的安全性。

　　同时，针对××地税网络内部署的病毒系统的升级，可通过专用的机器(不接入××地税网络)从互联网上下载病毒升级包，然后通过光盘等存储介质，再将升级包传递到××地税网络内，通过病毒管理中心分发给其他机器。

　　管理上应生成关于机房操作维护人员岗位职责，进出要害部门、机房的规章制度，发生火灾时业务紧急处理流程，停电故障时业务紧急处理流程等相关安全规定。

　　从网络可信访问的角度：在网络边界和内部引入了访问控制措施、入侵检测措施。

　　技术上对××地税网络进行安全域划分，在边界采用防火墙进行访问控制及数据加密传输，在安全域的内部采用入侵检测系统进行监控，并和防火墙进行联动，严格限制跨域的非法访问并监控内部的攻击行为。

　　管理上应生成防火墙安全标准与配置守则，路由器安全配置标准，通用网络服务安全标准，网络设备安全标准，入侵检测产品安全配置标准，网络维护人员岗位职责等一系列安全标准和制度。

　　从系统安全的角度：解决了重要服务器、网络设备的安全隐患发现和解决以及管理员维护主机系统、网络系统的身份认证问题。

　　技术上通过漏洞扫描服务器进行定期漏洞扫描和评估，及时了解专网内的重要主机设备和网络设备的安全现状和安全隐患；通过安全加固及时解决重要主机设备和网络设备的安全问题；通过强身份认证系统解决管理员维护重要主机和网络设备时的身份认证和安全审计问题。

　　管理上应生成安全信息收集发布制度，Patch定期发布安装制度，主机设备安全标准，主机维护人员岗位职责，用户帐号及口令管理规定等一系列安全标准和制度。

　　针对应用系统：解决应用数据库的安全优化，专网内的病毒控制及网站恢复等问题。

　　技术上通过安全加固对应用数据库进行安全优化，采用防病毒系统对专网内的病毒发作和扩散进行控制，并且利用防火墙进行身份认证和访问控制，确保××地税网络重要的信息资产被授权、合法地进行访问，保障××地税网络应用系统的安全运行，采用主页防篡改技术保证网站的正常运行。

　　管理上应生成数据库安全标准，应用系统维护人员岗位职责，病毒防治管理规定，防病毒扩散紧急处理流程等一系列安全标准和制度。

　　从安全管理的角度：建立网络安全管理组织，结合实际情况建立完整的一系列安全策略以及安全策略的发布、执行、审查、修订的相关流程。同时采用了安全集中管理平台，对××地税网络部署安全设备、网络设备、重要服务器等进行统一的管理，对××地税网络的安全策略进行统一的下发，对××地税网络的安全事件进行统一的整理和归纳，确保专网系统的整体安全。