税务系统网络安全方案

中科网威税务行业网络安全方案一、税务信息系统应用需求 税务信息化建设的总体目标，就是要建立和完善中国税收管理信息系统，简称为“金税工程”。“金税工程”是中国税收管理信息系统的简称，是我国电子政务工程重点建设的“十二金”工程之一。通过金税工程的实施，加强税收征管工作，实现数据和应用大集中，在全国实现“一个平台、两级处理、三个覆盖、四个系统”。自金税工程一、二期以来，通过以税收业务流为主线的信息化建设起到了不断优化税务系统的组织结构、不断强化部门职能等作用，因此早日建成中国电子税务管理信息系统，最大化降低征收成本，全面实现与其他信息系统的互联互通和一体化，是税务信息化建设的核心目标。 金税三期“一个平台”建设就是在税务系统信息安全总体策略下，定制开发安全管理平台，规范各级税务机关信息安全管理组织机构，确定岗责流程，制定符合实际的规范、制度、指南和相关规程，建立合适的信息安全评价体系，确保税务系统信息安全管理工作有序开展，信息化工作安全可控。依据安全管理体系设计，将组织架构、岗责体系、管理制度、评价体系等要求以工具化形式落实到安全管理平台中，以及将系统自身安全防护以及网络安全防护产品所产生的大量安全信息进行统一分析和管理，实现安全监控、安全管理、安全运维管理功能，为业务系统提供安全保障。 二、税务信息系统建设要求 为实现税务系统信息安全运维的规范化，对整个业务系统进行运行监控，完善税务系统网络安全保障体系，中科网威为税务行业设计一套整体安全运维方案。方案平台架构设计需合理，功能实现灵活，可以实现对网络设备、安全设备、应用系统、数据/存储、机房环境以及分局网络等进行全方位的监管及网络安全保障，各方面功能适合于税务信息系统整体监控的需要，特别是全新的应用系统监控方案的初步实现，可以解决以往税务信息系统故障时，繁琐的故障定位问题，通过安全管理平台直观的了解故障点，可以在业务承载链路发生故障或异常时通过短信通知相关负责人，极大地提高安全运维工作效率。 通过中科网威安全管理平台的实施部署，可实现税务信息系统安全管理以下预期目标： 1、五位一体监控 实现了对税务信息系统网络设备、安全设备、应用系统、数据/存储、机房环境以及分局网络的整体监控； 2、应用系统监控 以纵向角度，按应用系统数据流，对征管、网上申报、税库银等21个重要业务系统进行全方位的监控，监控包含对系统自身监控、数据流链路监控以及与本系统有关的其它交集系统监控； 3、网络运维监控 以横向到内网，纵向到区县的方式，实现了对税务信息系统内网、横向网以及区县局的全方位监控，实现了对全网之中的网络、安全设备状态监控，为税务信息系统构建了辐射到区县局的完善的网络运维平台； 4、安全事件监控 以安全的视角，对全网中的各类安全事件进行收集、汇总、展现，及时发现最新的安全事件，使税务系统领导可以及时掌握税务信息系统安全态势、安全事件； 5、短信预警系统 以事件处理角度，在故障事件发生时，及时触发短信功能，通过短信通知相关人员进行故障处理，同时故障恢复后，也可通过短信告知相关人员故障已恢复；同时每日进行全网、全系统的健康度检测（包括骨干网络、应用系统、机房环境等多个层面），检查结果正常，会向税务系统领导发平安短信。 三、中科网威安全运维管理方案1、网络攻击及入侵（入侵防御系统） 当税务系统遇到互联网的非法攻击和入侵的时候，势必对网上应用和交易系统产生影响，造成访问效率下降、网络拥堵等状况，采用主动式入侵防御系统利用高可靠识别攻击，精确判断入侵及攻击行为并作出相应的反应来解决客户遇到的上述问题。 2、链路负载均衡（安全接入网关） 为了避免出现链路单点故障，保证链路接入的高可用性，税务单位一般采用不同运营商的多条链路接入，采用链路负载均衡产品，把访问外网资源的内网用户按照要求负载均衡到两条链路，任何一条链路出现故障，都能够实时发现，自动把请求转发至正常的链路；同时把访问内网资源的用户自动导向到访问质量最优的链路，并实时监控链路的状态，如果某一链路出现故障，自动切换到其他正常链路。 3、安全区域划分和隔离（入侵防火墙） 税务客户在数据中心根据不同的安全级别划分出不同的访问区域，不同的区域之间互相访问需要通过安全设备进行隔离，根据不同的安全级别设定策略进行访问控制，通过多种检测机制，发现攻击流量，实时进行阻断，提高应用系统的安全性。 4、移动办公接入（VPN安全网关） 税务客户为加强远程办公终端的安全性和易用性，采用SSLVPN的接入方式，利用对客户端安全检查、灵活定制访问策略和权限的技术手段，满足移动办公用户接入数据中心简单方便。 5、Web应用安全防护，服务器防护（WEB应用防火墙） 税务单位在数据中心的建设过程中Web服务也是核心业务系统，建议采用Web防火墙对Web服务器进行安全保护，避免针对服务器应用层和源代码攻击的风险，中科网威Web应用防护系统（ANYSEC-WAF）是中科网威公司结合多年在应用安全领域实践经验积累的基础上，自主研发的一款Web应用安全防护系统。在提供Web应用实现深度防御的同时，实现Web应用安全防护，黑客漏洞攻击防护，恶意扫描及探测防护，DDOS/CC攻击防御，URL自学习保护、Web漏洞扫描、服务器防护、网页防篡改，数据库防篡改，网站访问统计，Web负载均衡等常见及最新的安全问题，为Web应用提供全方位的安全防护解决方案。 6、服务器、网络设备运维操作审计（运维审计堡垒机系统） 税务单位在数据中心的建设过程中最重要的就是核心业务系统，它包含了至关重要的应用系统服务器和核心数据服务器，因此各类服务器及税务应用系统的安全防护是客户最关心的重点，建议采用运维审计（堡垒机）系统进行安全审计保护，避免针对服务器应用层和源代码攻击的风险，采用堡垒机系统安全审计平台对各类数据库操作，数据表调用和修改的动作进行审计和告警，保证在数量繁多的用户访问数据库的情况下行为能够进行审计。中科网威堡垒机系统动态口令认证系统确保网上交易系统用户帐户和口令的密码保护，形成"双因素"强身份认证。 中科网威运维堡垒机（又称IT运维管理系统/设备）是针对管理“IT管理员”的设备，可对企业IT运维人员在运维操作过程中进行统一身份认证、统一授权、统一审计、统一监控，消除了传统运维过程中的盲区，实现了运维简单化、操作可控化、过程可视化，它通过Web方式对主机、服务器、网络设备、安全设备、数据库、应用等实施统一认证、授权、审计、分析；具有与身份认证系统无缝结合接口,支持用户密码、手机动态口令双因子认证。实现对操作过程的全程监控与审计录像回放，以及对违规操作行为的实时阻断,保证只有合法用户才能使用其拥有运维权限的关键资源。为组织在操作风险控制、内控安全及规范性等提供一套完善、有效的审计手段。 7、机房服务器、网络设备、动力环境运维监控报警（运维监控系统） 建议在税务信息中心运维管理层部署一套运维监控网管系统，为税务运维人员提供统一的运维设备状态短信报警。中科网威自主研发的运维审计系统（中科网警系统）产品以高性能、高稳定性和实用设计为原则，运行于安全可靠的Linux操作系统，采用多层高性能架构设计，可管理上万个监控对象。全中文WEB架构，全面支持IP网络上的SNMP、WMI、SYSLOG和IPMI协议以及自有的SECROS协议，动力环境监控的Modbus协议，提供非常丰富IT网络监控和动力环境监控功能，操作简单，是追求高稳定性和高性价比的企业用户、政府、税务单位的首选产品，通过中科网警系统，税务系统运维人员可对单位内所有网络安全设备、应用系统服务器、机房动力环境的运行状况进行全方面的动态监控及故障短信告警。