图3：典型用户系统的安全框架划分

主机及其计算环境安全：

在主机及其计算环境中，安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。

对主机及其计算环境实施保护是为了：

1）建立防止有恶意的内部人员攻击的首道防线；

2）防止外部人员穿越系统保护边界并进行攻击的最后防线。

网络传输设施：

网络是为用户数据流和用户信息获取提供一个传输机制。网络和支撑它的基础设施必须防止拒绝服务攻击（DoS）。

保护网络设施的相关技术有：

1）防火墙
2）网络检测，包括入侵检测、漏洞扫描、病毒检测
3）数据加密
4）强认证功能
5）数据完整性保护
6）网络流量控制
7）冗余、备份技术

网络边界：

网络边界安全保护关注的是如何对进出网络边界的数据流进行有效的控制与监视。有效的控制措施包括防火墙、边界护卫、虚拟专用网（VPN）以及对于远程用户的识别与认证（I&A）/访问控制。有效的监视机制包括基于网络的入侵检测系统（IDS）、脆弱性扫描器与局域网中的病毒检测器。

网络边界采用的安全保护措施有：

1）防火墙
2）物理隔离
3）远程访问
4）病毒/恶意代码防御
5）入侵检测

1.3安全设计总结

在前面章节中按照这种模块划分对系统的安全风险和需求都进行了分析，而图4中则列出了针对这些风险和需求的安全支持技术：

图4：信息安全系统支持技术

冠群金辰软件有限公司是一家专业的信息网络安全公司，有着长期的信息安全建设和管理的实践经验，公司也从最早的防计算机病毒领域全面转型到提供整体的信息安全解决方案。在这个转型过程中，我们的信息安全产品也随着整体安全解决方案的需求不断充实，到目前已经逐步形成三大系列七大产品。

冠群金辰公司目前的信息安全产品系列包括：

主机系列安全产品：
龙渊主机核心防护系统
泰阿KILL安全胄甲
网络传输设施系列安全产品：
轩辕系列网关防火墙
干将/莫邪入侵检测系统
承影漏洞扫描器
网络边界系列产品：
轩辕系列网关防火墙
干将/莫邪入侵检测系统
赤霄病毒过滤系统
纯均虚拟专用网

随着安全环境的变化，信息安全的技术也会不断发展，因此未来我们还会为用户提供更能满足安全要求的解决方案和更多的信息安全产品。

二．国税网信息网络深层防御结构

从网络拓扑上分析看,我们认为国税网络结构较为复杂，相对而言安全区域的划分也较为复杂，我们以下面的拓扑图举例说明，相当于一个中心局域网的网络情况。

我们依据现有的网络拓扑情况，依据信息安全的深层防御的思想，把网络进行初步规划。如图5所示：

图5：国税系统网络深层防御划分

划分情况说明：

主机环境（红颜色标注）：我们把主机环境确定为包括国税信息系统中的全部服务器（多台）和工作站。

网络设施（蓝颜色标注）：连接各服务器和工作站的网络交换机及路由器设备，包括Cisco等主交换机和各部门交换机及路由器等网络设备。

网络边界（绿颜色标注）：国税信息系统和系统外的边界可以划分为如图所示，连接到国税信息系统的内部系统可以访问中心网络的各种服务及信息内容，而对于非中心系统之外的网络环境及客户情况（如下属其它单位可能连接多个不同的网络，并没有安全防护的措施，攻击者通过这些单位，可以很容易地穿透内部网络，到达国税络内部）国税中心内部是无从控制这些的，我们只能设置安全措施，保证访问受到控制及监控。

2.1防毒体系

本方案从深层防御战略的三个技术层面全面考虑国税网络系统的防杀毒体系，如图6所示：

1)系统边界，配置“赤霄网关过滤系统”，全面过滤防杀通过互联网邮件传播的病毒；

2)网络系统，配置“干将/莫邪网络入侵检测系统”，检测网络带毒流量；

3)主机，全面安装用户已经采购的查杀主机/客户PC上驻留病毒；

图6：建成后的国税网络防病毒系统

建成后的国税网络防病毒系统具有以下功能特点：

层次化的防毒体系：在网络边界处通过“赤霄网关过滤系统”防止病毒进入国税信息系统，在网络中再配置对在网络上传输的病毒进行查获，对可能通过各种介质或其它方式传播的病毒通过国税已有杀毒软件进行清除，尽量减少漏网之毒；

2.2反黑体系

同样，本方案也是从深层防御战略的三个技术层面全面考虑国税网络系统的反黑体系，如图7所示：

1)系统边界，配置“轩辕防火墙”，实现国税信息系统网络和其它系统或者国税信息系统网络内部不同系统之间的安全隔离；

2)网络系统，配置“干将/莫邪网络入侵检测系统”，检测黑客对国税网络的攻击；同样也可以通过“干将/莫邪网络入侵检测系统”防止内部人员对网络资源的滥用；

3)主机，在关键服务器，域名服务器、OA、业务自动化服务器上安装配置“龙渊主机核心防护”系统，加固这些服务器的安全，提升它们的安全层次；

图7：建成后的国税网络防黑系统

建成后的国税网络防黑系统有如下功能特点：

1）安全保护、安全检测、反应和恢复相结合，真正保障国税信息系统网络系统的安全；

2）层次化多重防黑安全体系；

2.4方案特点

针对国税现有网络状况及今后发展的情况，我们本着对用户负责的态度，充分利用我们在安全领域的专业化知识及能力，提供科学的、系统的及可扩充的产品及技术方案，并充分利用国税网络现有的产品及人员的能力，构建一整套安全的防护体系。

1）坚持安全以用户业务安全为目标的原则。
坚持信息安全保障的深层防御安全体系设计思想，层次化、多样性地保护国税网络网的信息及其系统安全。在整个方案中自始至终地贯彻管理和技术相结合，从主机、网络、边界等层面利用预警、保护、检测、反应和恢复等技术手段综合的对系统整体安全有重点、有针对性的进行设计和考虑。

2）坚持技术上的先进性和实用性相结合。

3）充分考虑用户的投资回报，充分考虑用户已有安全投入的重利用。

厂家及集成公司介绍

专业的税务系统集成商——雄龙万维公司

北京雄龙万维系统集成有限公司，是一家专业为税务行业用户通过网络系统全面解决方案和技术服务的公司。雄龙万维公司与网络安全系统生产厂商－－北京冠群金辰软件有限公司长期紧密合作，提出了针对税务行业用户特点的网络安全解决方案，即网络纵深安全防护体系。

现已在黑龙江、辽宁、广西、广东、南京、厦门等地的税务系统实施建立了基于冠群金辰网络安全产品的网络纵深安全防护体系，取得了良好的效果。
例如在黑龙江省国税局：

在全省的国税系统的主机和工作站上全部部署安装了安全胄甲防病毒系统；
在广域网的出入口部署安装了防火墙系统；
在省局网络中部署了入侵检测系统；
在省局网络中部署了网络漏洞扫描系统；
在全省网络中部署了网警系统，用于检测内网用户登录外网的行为。

专业的安全厂家——冠群金辰公司

冠群金辰前身是中国公安部金辰公司，其创立了著名的反病毒品牌——“KILL”，经过十余年的积累，KILL在中国安全领域，家喻户晓，深入人心。目前融合了其它公司全球领先的安全技术和雄厚的资金背景下，冠群金辰得以迅速成长。

冠群金辰公司具备前瞻性的发展理念：从战略转型到3S理念，3S理念是：SecuritySolution（解决方案）、SecurityApplication（安全应用）、SecurityService（安全服务）。通过立足用户安全应用，定制针对性的解决方案，并致力于提供专业化的安全服务。使冠群金辰向集产品提供商、安全集成商、安全服务商于一体的可信赖的安全实体的方向发展。

针对不同用户的不同应用，冠群金辰公司提供三大系列解决方案，即:大型企业/行业网络解决方案、中小企业网络解决方案、单机用户网络解决方案。同时，根据用户具体业务的需求，冠群金辰向客户提供定制化的产品和解决方案。

冠群金辰在北京、上海、广州、成都、西安等地设立有公司，并将在更多地区设立办事处。同时与各地合作伙伴保持良好了的合作关系，相继建立了60多家授权技术服务中心，完善的服务体系可以向全国范围用户及时提供安全服务。

冠群金辰公司已经为全国的税务系统提供了各种安全产品及技术服务支持,在广东、广西、江西、黑龙江等省国税以及南京、武汉、广州的市国税系统中，冠群金辰公司的安全产品已经得到的全面应用，并取得了很好的效果。