为了提高税务系统广域网络网间通信的安全性，方正信息安全技术有限公司根据税务系统信息安全体系建设的总体目标，提出针对目前税务系统广域网络防火墙子系统的技术需求和工程实施需求。方正安全以金税工程（三期）的安全需求为税务信息安全体系建设的总目标，保证金税工程（二期）网络及应用系统安全的需求，基于现代信息安全理论，采用目前国内先进的信息安全技术，建设国家税务系统统一、安全、稳定、高效的信息安全体系，形成涵盖税务系统网络、应用和管理等信息系统各个方面的安全总体方案及安全策略，根据税务系统信息化建设进程制定税务信息安全体系建设的分步实施方案，逐步形成完整的信息安全保障体系。

税务系统广域网络概况
　　税务系统广域网络是金税工程的基础设施，由国家税务总局至各省级国、地税局、省国家税务局至所属地市级国家税务局、地市级国家税务局至所属区县级国家税务局的四级树状广域网络构成：

　　核心网络——核心网络是一个采用光技术的宽带IP高速网，其拓扑结构为双星结构，分为主干层和接入层。核心网络采用POS技术组建。

　　省级网络规划——每一个省的国税机关和地税机关独立组网，采用双星或星形结构，形成自己独立的管理域和路由域。

　　接入层网络规划——根据运营商提供的各类接入业务的资费情况及其特点，将分别采用不同的接入设计方案，如以太、SDH、DDN/FR、PSTN/ISDN、xDSL、VPN等。

　　业务专网与互联网通过防火墙实现逻辑隔离，并要求只在总局及省一级设置出口。

　　广域网间的访问关系如下：总局与各省级（含计划单列市）单位间可自由互访，其它单位按行政隶属关系实现总局、省级局、地市级局至区县局的访问（跨级别单位间的互访需经过一级或多级路由转发实现），跨行政隶属关系不能进行互访。

　　项目需求分析

　　本次税务系统广域网络防火墙系统建设的目标是通过在各地税务系统之间以及税务系统同其它合作单位连接处采用防火墙技术，防止外部网络对各个地市本地税务系统数据的非法使用和访问，监控整个网络数据过程。有效防止来自外部的攻击行为。限制对内部资源和系统的访问范围。通过在税务系统广域网络系统中设置防火墙的安全措施将达到以下目标：

　　1、保护基于税务系统广域网络的业务不间断的正常运作。包括构成税务系统网络的所有设施、系统、以及系统所处理的数据（信息）。

　　2、保证税务系统网络安全可靠的运行

　　3、实现系统安全及数据安全

　　4、税务系统的重要信息在可控的范围内传播，即有效的控制信息传播的范围，防止重要信息泄露给外部的组织或人员。

　　5、实现税务系统广域网络节点间边界的接入安全

　　6、在用户和资源之间进行严格的访问控制（通过身份认证，访问控制）

　　7、建立一套数据审计、记录的安全管理机制（网络数据采集，审计）

　　8、融合技术手段和行政手段，形成全局的安全管理。

　　方正安全提供项目方案

　　面对上述这些风险，方正安全公司的工程师根据各个税务局域网中具有不同安全要求的区域的安全策略可设置为不同的安全域。在省以上各个局域网内部可建立不同的安全域，保证安全风险的隔离：数据中心安全域，对数据中心进行专门安全保护；网络安全管理中心安全域，对网络安全管理中心进行集中安全保护；CA中心安全域，对CA、AA、KMC系统进行集中安全保护；其它业务安全域，对各个税务单位的应用业务领域进行安全分割和保护。同时选用方正FG系列防火墙为主构筑整个网络的安全体系。

　　方正FG系列防火墙是一款由方正自主研发而成的高性能全硬件防火墙产品，产品采用了新一代数据流检测技术——智能IP识别技术。该技术可在防火墙内核对应用和协议进行高效分组识别，实现对应用高效的访问控制。此外，该产品同时集成了防火墙、入侵检测、安全评估、虚拟专用网4大功能模块。四道安全防线对用户网络形成全方位的防护、大大提高了用户网络的安全系数的同时，还对网络攻击事前、事中和事后实行全程防护，保证了数据传输的安全可靠性。

　　ü 安全性：方正防火墙提供一整套访问控制/防护的安全策略，既最大限度的保证税务系统广域网络系统的安全性，同时保证防火墙系统本身的安全性

　　ü 高效性：该防火墙系统的实施能够最大限度保证税务系统广域网络系统的运行效率。

　　ü 高可靠性：产品采用软件、硬件结合的形式，保证系统长期稳定、安全运行；方正防火墙系统的实施不影响税务系统广域网络系统的正常运行与可靠性，同时系统本身必须是可靠的。

　　ü 可扩充性：采用模块化设计方式，方便产品升级、功能增强、调整系统结构。

　　ü 可管理性：采用基于windows平台GUI模式进行管理，方便各种安全策略设置，且支持可授权的集中管理。

　　ü 易实现性：方正防火墙的安装、配置与管理简洁，安装便捷、配置灵活、操作简单。

　　来自方正安全的技术专家表示：将通过这次项目对整个税务系统广域网络平台进行完整的安全防护规划，通过访问控制技术、入侵检测技术、身份认证技术、数据传输加密技术、漏洞扫描技术、病毒防护技术等多种安全技术手段的融合，形成一个完整的电子政务信息安全的保障体系，塑造一个可信赖的应用计算环境。建设网络防护系统的目的是将庞大的税务计算机网络系统进行安全域的划分，在计算机网络的链路层、网络层和传输层建立各个局部网络的边界安全防护体系，把可能出现的网络安全风险减少到较小的程度，与其它安全防护措施配合工作，保证整个网络的安全。

　　方正信息安全技术有限公司作为国内最大的信息安全整体解决方案提供商，一直以来的服务宗旨是“为客户创造价值”。先后给客户建设和实施了多个备受称赞的信息安全项目，并且提供了优质的安全服务和技术支持。