1、市国税局信息网络安全解决方案1、说明 本文是北京天融信网络安全技术有限公司对某市国家税务局信息网络系统实施的网络安全整体解决方案。某市国家税务局信息网络系统是一个覆盖全市的广域网络,它包含如下几部分:一是,以市国家税务局为核心、向上连接省国税局、向下连接各县税务局的内部网络(以下简称“内联网” ),该网络功能主要包括“金税工程” 以及其它税务内部业务;二是与国税内联网物理隔离的外部网络(以下简称“外部网),该网络连接 INTERNET,提供对外信息公开服务等;三是国税的网上税务服务平台,该服务平台提供国税系统的网上电子报税和缴税服务,并为广大纳税人提供周到便捷的个性化服务;四是与其它单位,如银
2、行网络的连接,实现银税转帐业务,该业务目前主要是运行在国税内联网上。2、市国税局内部局域网描述市国税局内部局域网,是整个市国税局税务网络系统的核心,是市国税局的税务业务、网上电子报税及其他业务系统的中心,同时也是整个网络的管理中心:市国税局内部局域网的对外连接情况如下: 市国税局与上级单位(省国税局)经路由器通过 DDN 专线(备份连接为速率较低的 PSTN 或X.25)连接;协议采用 TCP/IP。 市国税局和各县国税局、分局、税所等分支机构的局域网经路由器通过广域网连接,连接线路采用 DDN 专线(或广电光纤、Frame Relay 等,备份连接可选速率较低的 PSTN 或 X.25) ;
3、协议采用 TCP/IP。 市国税局到电信局经路由器通过 DDN 专线(或其它方式)连接;协议采用 TCP/IP。而网上报税用户通过 PSTN、DDN 等方式经电信连接市国税局的网上税务服务平台 市国税局与银行系统:工行、农行、建行等经路由器通过 DDN 专线(或:Frame、Relay、X.25 等,备份连接可选速率较低的 PSTN 或 X.25)连接;实现银税转帐业务,协议采用 TCP/IP。 3、市国税局内联网安全性分析根据上面对市国税局内部局域网的分析,其安全问题主要表现在几方面: 网络边界的安全问题,包括与省国税局、县国税局、国税分局,特别是与银行、电信(网上报税的企业网络网络连接的安
4、全问题。 数据传输的安全保护,包括与省国税局、县国税局、国税分局传输的内部业务数据以及办公自动化数据的安全;与银行传输的业务数据的安全保护;与网上报税企业用户传输数据的安全保护。 市国税局内部局域网中重要服务器的安全保护,应能防止外部入侵,并进行实时响应。 4、市国税系统内联网安全保密解决方案结合市国税局系统内联网实际情况,以解决目前存在的最基本、也是最主要的安全隐患问题为出发点,北京天融信公司提供并实施了一个基本的网络安全解决方案,总体网络安全设备配置图见下图。使用 4 套北京天融信公司生产的网络卫士防火墙系统,分别实现税局内部 LAN(包括服务器)与INTERNET(防火墙 1)、省地税局
5、(防火墙 2)、银行(防火墙 3)、下级税务系统(防火墙 4)的隔离与访问控制。使用与防火墙联动的入侵检测系统(IDS),重点保护国税的网上税务服务器以及各种内部应用服务器,并与防火墙系统构成一个动态的、统一的防御报警系统。在市国税局在与各县国税局或分局连接的网络出口处配置 1 台北京天融信公司生产的 SJW11 网络密码机,在各县税务局分别配置 1 台同型号 SJW11 网络密码机,用于市国税局与县国税局或分局之间建立 VPN加密隧道,保护相互之间传输信息的机密性与完整性。在市国税局在与各商业银行连接的网络出口处配置 1 台北京天融信公司生产的 SJW11 网络密码机,在各商业银行分别配置
6、1 台同型号 SJW11 网络密码机,用于市国税局与商业银行之间建立 VPN 加密隧道,保护相互之间传输信息的机密性与完整性。使用网络安全评估系统对 Internet/Intranet 中所有部件(Web 站点,防火墙,路由器, TCP/IP 及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。5、 本方案技术特点本方案是一种可适应性网络安全系统,通过将数据加密、防火墙等安全手段与主动的漏洞检测、实时的监控与响应相结合,创造了一种灵活的、可持续改进的安全模式-“ 可适应性网络安全系统方案”。以主动进行风险评估为基础的方式对网络进行安全管理,在对产品不断升级的过程中有效地将安全方针和安全实践结合起来。通过积极的网络安全策略:即不断地对网络进行主动性漏洞检测,再结合以安全监控和响应,配以如防火墙等安全产品,能使网络的安全性得到充分的保证,这是对传统静态网络安全技术(如防火墙、加密和认证)的重要补充和增强。可适应性网络安全系统可以对用户网络系统的网络安全做最大的全面提升: 在动态的网络环境下对单位安全风险进行管理; 加速对系统安全的不断改进,发展和强化自主性安全策略; 保护网络中所有装置(如 Web 服务器、路由器和内部网络) ; 确保静态安全产品(如防火墙、加密和认证)的安全性能。
