金税三期省级网络解决方案
来源:中国电子政务网 更新时间:2012-04-14
一、金税工程建设回顾

税收是国家的经济命脉,利用现代信息技术改造我国的税收工作,已成为税收工作适应社会主义市场经济新形势的要求,是更好发挥职能作用,促进国民经济与社会发展的一项迫切任务。作为电子政务重点建设的“十二金”工程之一,金税工程建设也已写入《征管法》。《征管法》第六条规定:“国家有计划地利用现代信息技术装备各级税务机关,加强税收征收管理信息系统的现代化建设,建立健全税务机关与政府其他管理机关的信息共享制度”,明确了政府在实施税收信息化方面的主体地位和责任。同时通过以税收业务流为主线的信息化建设起到了不断优化税务系统的组织结构、不断强化部门职能等作用,早日建成中国电子税务管理信息系统,并最终实现与其他信息系统的互联互通和一体化,成为税务信息化建设的核心目标。

二、金税工程的建设目标

建设和谐“电子税务”征纳信息化平台

国家自税务信息化建设开始,涵盖了国家税务和地方税务业务,简称国税和地税。 1994年至今,“金税工程”二期已经走过10个年头。07年“金税工程”步入了省级大集中建设的快速发展阶段,全国税务系统在现有网络平台上进行综合征管软件的省级集中部署,并围绕省级大集中的建设需要进行网络平台和数据中心的改造建设,确保IT资源全面向大集中建设倾斜。

金税工程建设需要更好地为纳税个人或法人提供纳税服务,同时需要实现与其它政务部门如社保、海关、工商、银行进行信息交换和共享。税务信息化整体建设方面分为两个部分:一是为外联单位、纳税个人提供的征收服务网络平台需要提供外部流量的接入和交互信息处理,二是系统内部的数据和业务大集中建设,其中税务数据中心、灾备中心是重点内容。总体看,建设和谐的电子税务征纳平台,是全面涵盖税务业务处理流程,使得业务处理更智能、高效、灵活的关键。

 

三、金税工程三期建设面临的挑战:

税务信息化建设近20年,无论在技术还是设备应用上都有一定积累,金税工程作为税务信息化的主要建设内容,一直承担了网络承载平台、整体安全体系、统一管理的建设任务。   

目前国家进入了金税三期建设阶段,税务业务系统更加规范统一如国税CTAIS系统、地税综合征管系统,都增加了更多的征、管、查功能,对网络依赖程度增加。同时网上的多业务流量增加包括视频、语音业务流量增加,网络承载平台需要足够支撑。金税三期建设不再仅仅关注税务系统内部的建设,未来必须提供外部门联合报税、个人报税服务等内容,这些建设任务都是以往尚未完善的,应该说都是面临的新挑战,因此如何采用更优的解决方案,是摆在建设者面前的问题。

挑战一:统一多业务承载网络平台建设

税务网络建设起步早,部分设备性能已经不满足业务对网络的要求;尤其是地税系统,改造相对较晚,问题明显,西部地区与东部地区相差更大。如何以省级为单位进行统一建设是金税三期建设中需要考虑的问题。

同时税务系统业务由单一走向多元化,目前除综合征管业务外,国税的金税工程业务、稽查集合业务、进出口退税等业务等均直接覆盖到各级部门,网络带宽面临压力,需要建设核心业务流的“绿色通道”,也要具备多业务融合能力,带宽保证、QOS策略等技术部署。不同业务之间的流量控制如何做到动态、高效是面临的新挑战。

挑战二:网络统一管理建设新挑战

税务网络规模越来越大,对于网络的管理要求不断提高,集中管理、远程维护的压力越来越大;如何在省级大集中建设后,更好的进行统一网管、定制策略下发、安全准入等控制工作成为实际的管理问题。

挑战三:业务安全体系建设

外部门信息交互的安全挑战:目前与公安、工商、海关、银行、外汇管理部门等系统实现信息交换不足。如与工商、技术监督部门交流不足,难于获得纳税人办理工商登记和全国企事业单位机构编码的信息,做不到从源头控制漏征漏管户,追查失踪业户;难于防止利用假停、歇业等手段的偷税行为。如何部署合适的安全产品及其安全策略、安全统一策略管理等是完成这些外联单位接入的前提考虑,甚至在税务大集中建设后相应的安全解决方案应该是怎样的?是否还是早期采用边缘逻辑隔离的方案?这些都是现在面临的问题。

大量互联网业务开展的挑战:金税三期建设中个人业务在互联网上会大量开展,提高征管效率、并提高办公效率,实现网上报税,包括个人所得税、车船税等已经成为趋势,并且已经在省级开展起来,但是对于网络出口的安全、出口业务流量的控制/加速等成为日前希望解决的问题。

四、H3C金税三期省级网解决方案

基于税务行业的建设特点,H3C公司多年来服务税务行业的经验,提出了业务承载平台建设、统一网络管理建设、业务安全体系建设解决方案,解决上述遇到的挑战,可以为金税二期工程改造,以及金税三期网络建设规划提供技术参考。

(一)业务承载平台建设解决方案

税务大集中建设部署(作为拓扑图的标题)

   税务系统确立了省级大集中的业务模式,需要基础网络平台的支撑,为业务开展提供高速可靠的网络通道。通过省级大集中建设,可以很好解决税务网络因为设备档次、建设规范不统一等现象,提升整体税务网络支撑能力。

1、业务承载平台建设需求分析

部署省级大集中建设,需要建设从省级节点到地市、区县及以下的多级广域网络,对省级节点的设备的扩展性、广域吞吐能力等方面进行着重考虑,同时考虑到地市以下节点的带宽扩充需求,地市及区县设备的广域网接口应具备一定的扩展能力包括信道化广域网接口,设备本身冗余性要求等。在省级二、三级网络平台搭建中,通常建议采用星形拓扑结构。链路选择上;如果是同一运营商的话,采用不同链路或者采用不同运营商的相同链路也可,在省级核心节点采用信道化的SDH或者ATM接口与下级节点互联,包括省核心到地市、地市到区县节点的连接,通过采用不同速率的信道化模块连接,可以减少动态路由中邻居的计算数量、并方便网络扩展、保护网络投资。

   考虑到税务以征管业务为主并有其它业务并存的特点,所有业务均有纵向性特点,都需要可靠性支撑。因此在税务大集中建设中以主备的方式来部署广域两条链路,配合在全网进行动态路由部署,实现业务的自动冗余备份,快速传输等。

   H3C广域网特色产品SR88/66系列,适合税务省级网骨干节点的部署,提供高密度的SDH接口包括E1、155MCPOS口的接入,同时提供母卡配合子卡的方式,实现全分布式硬件处理,为金税三期省网广域网提供高扩展能力。

2、业务承载平台高可靠性解决方案

    税务网络延升至税所节点,存在备份链路,同时需要承载数据、语音、视讯等多业务,在完成大集中建设后的网络基础平台除了需要通过技术部署完成对业务流量的控制、调配外,对于网络中各个节点进行冗余备份策略是目前税务网络建设中需要考虑的关键问题。

在税务网络中部署快速收敛、双向快速检测(BFD)技术可以提高网络对于业务流量状态的快速响应。且由于税务主要业务是征管业务,征管业务流量占据整体业务流量的70%。在每个月1-10日为征收期,但是实际上在每月的7、8、9几天为流量的高峰期,占据当月征收流量的90%,为更好的确保核心业务在高峰期的正常开展,合理利用网络资源,完全有必要部署快速双向检测技术方案。部署BFD技术的目的是在不同的链路都可以作为主用业务的承载链路,做到在正常IGP收敛之前能够通过BFD技术快速感知到路由链路状态的变化,及早完成网络收敛,确保业务不中断。部署简单,BFD是一个简单的“Hello”协议,在很多方面,它与那些普通的路由协议的邻居检测部分相似,BFD能够在任何类型通道上进行故障检测,这些通道包括直接的物理链路,虚电路,隧道,MPLS LSP,多跳路由通道,以及非直接的通道。

此外在税务网络平台上采用基于类的QOS策略部署BFD快速检测技术的配套方案,可以动态识别业务,并动态调整网络资源-带宽、时延等。也是目前应用最为成熟、广泛的面向业务的解决方案。

为很好监控网络中流量,尤其是生产业务流量如税务综合征管(CTAIS)业务,H3C公司NTA解决方案中通过XLOG管理软件可以对主机、业务流进行分析,可以对业务流高峰期、每月平均带宽利用率、不同业务带宽占有率等数据进行分析,为掌握网络资源提供有力依据。

H3C广域网特色产品SR88/66系列多业务路由器支持BFD双向检测技术,支持BFD与OSPF、VRRP等关联,可以做到快速的链路感知、链路收敛。同时SR88/66支持OAM(可运维管理)监测技术,可以实现IP、MPLS的全链路监测,为业务的不见断处理提供技术保证。

(二)统一网络管理解决方案

税务网络从国家税务总局一直覆盖到乡镇税所节点,整网采用集中式网管的方式不合适,管理的难度和工作量大,建议采用分布式网管方式,并采用带内网管的方式以减轻网管工作人员的工作量。建立的网管平台能够自动发现网络拓扑、实时监控并动态报告网络设备的状态;具有事件管理功能,能收集、储存并分析Snmp Trap;具有性能管理功能,能采集设备性能数据,通过分析该数据以判断网络健康状况等。网管通常规划情况如下:

整个网管系统分为两级管理中心(NOC),总局网络管理中心和省局网络管理中心,地市一级税务局设立技术支持小组,负责本市范围内的网络运行维护。但是网络管理中心为网络运行机构的一个组成部分,除了负责处理日常网络故障、完成各种生产需求的网络支持外,还需要定时网管网络运行情况、网络性能参数以及网络安全(防火墙)的各类信息并填写值班日志及安全日志、定期将辖内路由器的配置文件备份到备份数据库、负责编写网络设备、网络拓扑、网络配置的资料文档,同时对于网络的边缘接入、网络中的异常流量主机监控、动态策略下发等都是目前税务网络中面临需要解决的问题。

H3C公司基于对税务信息化运维管理体系除了基本的网络平台管理之外,理解到 税务IT管理系统的发展趋势是标准化、智能化、统一平台、面向业务,通过H3C的业务软件产品提供了一个统一的平台架构,将网络管理、业务管理、用户管理、策略管理等各个部分深度融合,使各个模块能够互相协调和配合,达到统一面向业务的目的,这些模块之间的有机组合与分工,形成了IP智能管理中心的框架(IMC)。

 

H3C智能管理中心框架

IP网络基础架构管理

税务基础网络管理中心除了涵盖诸如网元管理、拓扑发现、参数配置、状态监控等传统网管软件的功能外,还可以实现网络业务、服务管理功能,如远程接入VPN隧道管理、网络能力基线识别、历史数据深层分析、业务影响关联分析等,也可以灵活扩展到对桌面、服务器、存储等网络实体的管理。

IP网络综合接入管理中心

对于税务网络边缘的接入控制也是网络安全的重要保障,同时是网络运营的保证。IP网络综合接入管理中心通过各种模块的控制,对各种方式的接入用户进行有效的身份管理以及安全保障,同时通过接入控制的机制使得网络可运营、可管理。

针对税务网络接入用户安全状态保障的EAD(端点准入防御)解决方案,它通过H3C安全设备、智能终端、安全策略服务器、第三方防病毒软件等共同配合,实现在基础认证之上,对接入用户终端的安全状态进行进一步认证,以保证终端以干净的状态进入网络。

IP网络智能分析中心

基础网络管理中心从设备生命周期的角度对网络进行管理,智能分析中心实现了自动化和精细化的深度分析,实时探测网络资源的分配状况,结合业务优先级和服务水平协议,按照预定策略实现网络资源的按需分配。

IP智能分析包括了用户行为分析、网络流量分析、安全事件分析、故障深度分析以及服务质量分析等分析模块,通过这样的深度分析与推理机制,管理员可以有效了解整个网络的运行状况、带宽占用状况等信息,为用户进行下一步的网络优化与控制提供了有力的依据。

 

IP智能管理中心(IMC)中的各个管理控制中心也不是彼此孤立的,可能需要多个管理控制中心互相联动,实现对企业业务应用的有力支撑。比如网络流量分析系统通过对网络中各种业务的构成状况,输出网络健康评估,资源管理中心则可以以网络健康评估为依据,按照一定的策略,对网络中的资源进行调配,从而通过先进的体系架构,达到智能管理的目的。

(三)面向业务的安全整体解决方案

金税工程的核心是业务与数据的集中,安全成为整个税务信息化建设过程中必须重视的问题。随着政务公开和政府上网工程的

开展,税务系统的对外业务服务必须要通过互联网来完成,例如税务信息公布、企业初始数据的采集、网上报税等,这些数据的审核需要由内网中的税务人员来完成,另外对于税务系统所有初始数据和审批过程都需要备份,存入系统内网的数据库中,既严格区分核心保密级的税务内网信息系统和普密级的税务外网信息系统,根据国家规定,两个网络之间必须要物理隔离,而外网部分虽然设有防火墙,但并不能保证100%的安全,而且目前这种内外分离的做法也不能满足电子政务开放性的要求。因此,必需要建立税务网络安全整体防护体系,提高税务网络的安全保障能力。

面向业务的安全

在整个税务信息化建设过程中,信息系统的建设是重中之重,尤其是金税三期的规划,数据大集中和业务系统建设并重,在即将上线的税收征管、交叉稽核、行政办公等系统都将面临大量的网络访问。这些访问中不可避免的会夹杂攻击行为,而税务信息化由于采用数据大集中的形式,不出问题则可,一旦出现对于数据的破坏,后果是不堪设想的,因此金税三期中安全体系的核心是解决业务层面的安全问题。

基于针对业务的安全考虑,H3C采用特有的终端认证解决方案能够很好的解决用户访问的问题。H3C的终端安全认证可以结合CA身份认证共同对接入用户进行认证,这种认证主要对内部用户进行管理,在进行身份认证的同时对用户进行权限的划分,有助于内网用户更安全的接入系统。另外终端安全认证的客户端还可以监控终端的病毒库和操作系统补丁的升级情况,只有确认达到安全级别才允许客户端接入网络,H3C终端安全认证解决方案是结合CA认证的全面内网安全防护解决策略。

对于外网用户的接入,H3C采用SSL VPN的接入方式对链路文件传输进行加密,由于SSL VPN的模块是基于防火墙体系,因此在进行链路加密的同时能够对接入的用户实施全面的安全防护包括数据层安全过滤,区域访问策略等。终端安全认证结合外网用户的传输最终保障了税务信息化系统建设过程中应用体系的安全。

基于安全的带宽保障

       带宽是网络建设中的一个重要技术指标,金税三期建设中对于带宽的保障也是H3C解决方案的重要组成部分。由于税务系统网络中集中了数据、语音、视频等大量的数据格式因此对于带宽的保障成为H3C税务安全体系的重要组成部分。

       针对税务信息化中的带宽保障问题,H3C有自己独特的解决方案。对于应用协议部分,H3C采用基于安全与网络设备的QOS,能够实现全网的服务质量保证,针对带宽要求较高的语音、视频协议予以较大带宽的支持。对于网络中的垃圾数据,H3C防火墙可以对网络数据实现全面过滤,包括主流的DOS/DDOS攻击,ICMP/UDP数据包、JAVA等代码过滤等,保障了带宽的纯净。由于税务网络中的Internet出口主要集中在税务总局和各省税务局,因此对于BT协议的限流或阻断可以大大提高Internet出口带宽的利用率,对提高服务器应用响应速度大大提高。

构建立体安全网络

传统的安全解决方案中,安全产品往往处于被动防御的位置,难以应对变化莫测的安全威胁,面对税务信息化这样全国网络而言,这样的安全体系是远远不能满足税务应用的需求,H3C针对这种问题提出了智能化安全事件管理解决方案。

在自适应安全网络中,H3C将整个网络中的设备都涵盖在安全的范畴下,也就是税务信息化全国的核心网、局域网设备都可以被当作一个节点去管理,甚至还可以包括除了网络、安全产品之外的服务器以及应用系统,所有这些系统的加入都会大大丰富监控的信息,并能够更快捷、准确的发现存在的问题。

H3C拥有独创的专家分析系统会对这些数据进行分析,根据内置的策略和日志的关联分析可以快速找到发生问题的原点。税务行业曾经出现过伪造源地址的攻击问题,这种匿名攻击在很大程度上影响了税务广域网的带宽,并大大降低了局域网的安全性,但要解决这个问题单一的安全产品是远远不够的。进行全网统一事件管理后,我们不仅能查到是某台主机发送的信息,更可以精确到哪个地区,哪个楼层楼层,哪个交换机的网口出现的问题,如此精准的汇总分析数据应对于日益突出的安全问题是在合适不过了。

H3C的整体解决方案结合了对网络应用的保障以及对网络带宽的保障,将整个网络的设备通过安全管理中心结合在一起进行统一的分析、监控,最终实现在税务核心网中建立一个自适应安全网络的最终目标。

为了更好的支持我国税务信息化的建设,H3C公司建立了广泛的技术服务支持体系。目前,H3C在我国设立了28个办事处,30个区域备件库,服务网络覆盖30个省市和200多个地区,通过全球技术支持中心、SOL(Support On Line)和800免费电话等完善的服务网络,持续、高效、快捷地向税务部门提供专业化、标准化、多元化的服务。

H3C会用更多的用实际行动关注我国税务信息化领域的发展创新,不断提升自身规划咨询的能力、提供解决方案和售后服务的能力,为广大税务部门提供更多更好的选择,提供专业化网络维护和培训服务,降低税务用户的投入风险。