中国电子政务网--方案案例--公共安全--国家税务总局信息安全深层防御案例

国家税务总局信息安全深层防御案例

来源:IT世界更新时间:2012-04-15

“金税工程”的全称为全国增值税专用发票计算机稽核网络系统，是利用覆盖全国税务机关的计算机网络对增值税专用发票和企业纳税状况进行严密监控的一个体系。全国目前已有27万用户使用了增值税一般纳税人防伪税控发票系统，这些企业缴纳的增值税约占全国增值税总量的60%以上。

　　从1994年的金税工程一期的增值税计算机交叉稽核系统在50个大中城市试点，到2000年以“一个平台、四个系统“为内容的金税二期工程的开始实施，以及2001年底金税二期工程基本建成，税务的税收征管业务已经完全放在了网络上面进行；现在，各级税务机关信息化工作主要工作在继续巩固、完善、提高金税工程二期完善建设，扩大防伪税系统的覆盖面。

　　在实现全国税务信息化的税务网络过程中，要实现国、地税信息共享及与总局的联网运行，并要加快与海关、银行、外贸、外汇、工商、质监、公安等相关部门间的联网运行，进行信息数据的共享。如此多的不同单位、机关以及管理部门与金税信息网络系统相连，必然产生许多的安全规划与设计的问题。

　　随着税务网络系统规模的扩大，各种应用系统及不同厂家的机器设备的增加，用户群体相应地高速增长，税务系统的安全问题已经提到重要的日程上来，迫切的需要整体的安全解决方案及一整套的安全服务提供。

　　金税网络工程的主干网络是国家总局到各省局的网络系统，分布网络是省局到地市局节点的网络系统，接入网络是地市局节点到区县节点的网络系统。

　　主干网络通过总局采用256K的帧中继高速通信端口，建成了国家税务总局连接各省、自治区、直辖市、计划单列市及八大省会城市国家税务局和地方税务局的共计84个节点的中高速网络通道。

　　地区性网络主要通过各省局级的中心，采用64k或128k的DDN专用数据通信线路，或采用X.25或9600bit电话线路通信方式与区县级国税进行互连。也有一些条件比较好的省级国税中心，比如计划单列市，它们分别通过E1的2M通信带宽与区县级国税部门进行通信。

　　经过三期广域网络建设，目前国税系统初步建成了覆盖总局、省局、地市局的三级中低速广域网络，形成了较规范的三级树状结构网络，为金税网络的建设打下了坚实的基础。

　　网络现状如图1：

一.安全设计规划

　　1.1设计思路

　　信息保障强调信息系统整个生命周期的防御和恢复，同时安全问题的出现和解决方案也超越了纯技术范畴。信息保障的核心思想是深层防御战略（DefenseinDepth）。所谓深层防御战略就是采用一个层次化的、多样性的安全措施来保障用户信息及信息系统的安全。
　　如图2所示：

　　图2：深层防御战略体系

　　在深层防御战略（DefenseinDepth）中，人、技术和操作是三个主要核心因素，要保障信息及信息系统的安全，三者不可或缺；从技术上讲深层防御战略体现为在包括主机、网络、系统边界和支撑性基础设施等多个网络环节之中如何实现预警、保护、检测、反应和恢复（WPDRR）这五个安全内容。

　　深层防御战略的含义是多方面的，它试图全面覆盖一个层次化的、多样性的安全保障框架。深层防御战略的核心目标就是在攻击者成功地破坏了某个保护机制的情况下，其它保护机制依然能够提供附加的保护。

“金税工程”的全称为全国增值税专用发票计算机稽核网络系统，是利用覆盖全国税务机关的计算机网络对增值税专用发票和企业纳税状况进行严密监控的一个体系。全国目前已有27万用户使用了增值税一般纳税人防伪税控发票系统，这些企业缴纳的增值税约占全国增值税总量的60%以上。

　　从1994年的金税工程一期的增值税计算机交叉稽核系统在50个大中城市试点，到2000年以“一个平台、四个系统“为内容的金税二期工程的开始实施，以及2001年底金税二期工程基本建成，税务的税收征管业务已经完全放在了网络上面进行；现在，各级税务机关信息化工作主要工作在继续巩固、完善、提高金税工程二期完善建设，扩大防伪税系统的覆盖面。

　　在实现全国税务信息化的税务网络过程中，要实现国、地税信息共享及与总局的联网运行，并要加快与海关、银行、外贸、外汇、工商、质监、公安等相关部门间的联网运行，进行信息数据的共享。如此多的不同单位、机关以及管理部门与金税信息网络系统相连，必然产生许多的安全规划与设计的问题。

　　随着税务网络系统规模的扩大，各种应用系统及不同厂家的机器设备的增加，用户群体相应地高速增长，税务系统的安全问题已经提到重要的日程上来，迫切的需要整体的安全解决方案及一整套的安全服务提供。

　　金税网络工程的主干网络是国家总局到各省局的网络系统，分布网络是省局到地市局节点的网络系统，接入网络是地市局节点到区县节点的网络系统。

　　主干网络通过总局采用256K的帧中继高速通信端口，建成了国家税务总局连接各省、自治区、直辖市、计划单列市及八大省会城市国家税务局和地方税务局的共计84个节点的中高速网络通道。

　　地区性网络主要通过各省局级的中心，采用64k或128k的DDN专用数据通信线路，或采用X.25或9600bit电话线路通信方式与区县级国税进行互连。也有一些条件比较好的省级国税中心，比如计划单列市，它们分别通过E1的2M通信带宽与区县级国税部门进行通信。

　　经过三期广域网络建设，目前国税系统初步建成了覆盖总局、省局、地市局的三级中低速广域网络，形成了较规范的三级树状结构网络，为金税网络的建设打下了坚实的基础。

　　网络现状如图1：

　　图3：典型用户系统的安全框架划分

　　主机及其计算环境安全：

　　在主机及其计算环境中，安全保护对象包括用户应用环境中的服务器、客户机以及其上安装的操作系统和应用系统。这些应用能够提供包括信息访问、存储、传输、录入等在内的服务。

　　对主机及其计算环境实施保护是为了：

　　1）建立防止有恶意的内部人员攻击的首道防线；

　　2）防止外部人员穿越系统保护边界并进行攻击的最后防线。

　　网络传输设施：

　　网络是为用户数据流和用户信息获取提供一个传输机制。网络和支撑它的基础设施必须防止拒绝服务攻击（DoS）。

　　保护网络设施的相关技术有：

　　1）防火墙
　　2）网络检测，包括入侵检测、漏洞扫描、病毒检测
　　3）数据加密
　　4）强认证功能
　　5）数据完整性保护
　　6）网络流量控制
　　7）冗余、备份技术

　　网络边界：

　　网络边界安全保护关注的是如何对进出网络边界的数据流进行有效的控制与监视。有效的控制措施包括防火墙、边界护卫、虚拟专用网（VPN）以及对于远程用户的识别与认证（I&A）/访问控制。有效的监视机制包括基于网络的入侵检测系统（IDS）、脆弱性扫描器与局域网中的病毒检测器。

　　网络边界采用的安全保护措施有：

　　1）防火墙
　　2）物理隔离
　　3）远程访问
　　4）病毒/恶意代码防御
　　5）入侵检测

　　1.3安全设计总结

　　在前面章节中按照这种模块划分对系统的安全风险和需求都进行了分析，而图4中则列出了针对这些风险和需求的安全支持技术：

　　图4：信息安全系统支持技术

　　冠群金辰软件有限公司是一家专业的信息网络安全公司，有着长期的信息安全建设和管理的实践经验，公司也从最早的防计算机病毒领域全面转型到提供整体的信息安全解决方案。在这个转型过程中，我们的信息安全产品也随着整体安全解决方案的需求不断充实，到目前已经逐步形成三大系列七大产品。

　　冠群金辰公司目前的信息安全产品系列包括：

　　主机系列安全产品：
　　龙渊主机核心防护系统
　　泰阿KILL安全胄甲
　　网络传输设施系列安全产品：
　　轩辕系列网关防火墙
　　干将/莫邪入侵检测系统
　　承影漏洞扫描器
　　网络边界系列产品：
　　轩辕系列网关防火墙
　　干将/莫邪入侵检测系统
　　赤霄病毒过滤系统
　　纯均虚拟专用网

　　随着安全环境的变化，信息安全的技术也会不断发展，因此未来我们还会为用户提供更能满足安全要求的解决方案和更多的信息安全产品。

二．国税网信息网络深层防御结构

　　从网络拓扑上分析看,我们认为国税网络结构较为复杂，相对而言安全区域的划分也较为复杂，我们以下面的拓扑图举例说明，相当于一个中心局域网的网络情况。

　　我们依据现有的网络拓扑情况，依据信息安全的深层防御的思想，把网络进行初步规划。如图5所示：

　　图5：国税系统网络深层防御划分

　　划分情况说明：

主机环境（红颜色标注）：我们把主机环境确定为包括国税信息系统中的全部服务器（多台）和工作站。

　　网络设施（蓝颜色标注）：连接各服务器和工作站的网络交换机及路由器设备，包括Cisco等主交换机和各部门交换机及路由器等网络设备。

　　网络边界（绿颜色标注）：国税信息系统和系统外的边界可以划分为如图所示，连接到国税信息系统的内部系统可以访问中心网络的各种服务及信息内容，而对于非中心系统之外的网络环境及客户情况（如下属其它单位可能连接多个不同的网络，并没有安全防护的措施，攻击者通过这些单位，可以很容易地穿透内部网络，到达国税络内部）国税中心内部是无从控制这些的，我们只能设置安全措施，保证访问受到控制及监控。

　　2.1防毒体系

　　本方案从深层防御战略的三个技术层面全面考虑国税网络系统的防杀毒体系，如图6所示：

　　1)系统边界，配置“赤霄网关过滤系统”，全面过滤防杀通过互联网邮件传播的病毒；

　　2)网络系统，配置“干将/莫邪网络入侵检测系统”，检测网络带毒流量；

　　3)主机，全面安装用户已经采购的查杀主机/客户PC上驻留病毒；

　　图6：建成后的国税网络防病毒系统

　　建成后的国税网络防病毒系统具有以下功能特点：

　　层次化的防毒体系：在网络边界处通过“赤霄网关过滤系统”防止病毒进入国税信息系统，在网络中再配置对在网络上传输的病毒进行查获，对可能通过各种介质或其它方式传播的病毒通过国税已有杀毒软件进行清除，尽量减少漏网之毒；

　　2.2反黑体系

　　同样，本方案也是从深层防御战略的三个技术层面全面考虑国税网络系统的反黑体系，如图7所示：

　　1)系统边界，配置“轩辕防火墙”，实现国税信息系统网络和其它系统或者国税信息系统网络内部不同系统之间的安全隔离；

　　2)网络系统，配置“干将/莫邪网络入侵检测系统”，检测黑客对国税网络的攻击；同样也可以通过“干将/莫邪网络入侵检测系统”防止内部人员对网络资源的滥用；

　　3)主机，在关键服务器，域名服务器、OA、业务自动化服务器上安装配置“龙渊主机核心防护”系统，加固这些服务器的安全，提升它们的安全层次；

　　图7：建成后的国税网络防黑系统

　　建成后的国税网络防黑系统有如下功能特点：

　　1）安全保护、安全检测、反应和恢复相结合，真正保障国税信息系统网络系统的安全；

　　2）层次化多重防黑安全体系；

　　2.4方案特点

　　针对国税现有网络状况及今后发展的情况，我们本着对用户负责的态度，充分利用我们在安全领域的专业化知识及能力，提供科学的、系统的及可扩充的产品及技术方案，并充分利用国税网络现有的产品及人员的能力，构建一整套安全的防护体系。

　　1）坚持安全以用户业务安全为目标的原则。
　　坚持信息安全保障的深层防御安全体系设计思想，层次化、多样性地保护国税网络网的信息及其系统安全。在整个方案中自始至终地贯彻管理和技术相结合，从主机、网络、边界等层面利用预警、保护、检测、反应和恢复等技术手段综合的对系统整体安全有重点、有针对性的进行设计和考虑。

　　2）坚持技术上的先进性和实用性相结合。

　　3）充分考虑用户的投资回报，充分考虑用户已有安全投入的重利用。

厂家及集成公司介绍

　　专业的税务系统集成商——雄龙万维公司

　　北京雄龙万维系统集成有限公司，是一家专业为税务行业用户通过网络系统全面解决方案和技术服务的公司。雄龙万维公司与网络安全系统生产厂商－－北京冠群金辰软件有限公司长期紧密合作，提出了针对税务行业用户特点的网络安全解决方案，即网络纵深安全防护体系。

　　现已在黑龙江、辽宁、广西、广东、南京、厦门等地的税务系统实施建立了基于冠群金辰网络安全产品的网络纵深安全防护体系，取得了良好的效果。
　　例如在黑龙江省国税局：

　　在全省的国税系统的主机和工作站上全部部署安装了安全胄甲防病毒系统；
　　在广域网的出入口部署安装了防火墙系统；
　　在省局网络中部署了入侵检测系统；
　　在省局网络中部署了网络漏洞扫描系统；
　　在全省网络中部署了网警系统，用于检测内网用户登录外网的行为。

专业的安全厂家——冠群金辰公司

　　冠群金辰前身是中国公安部金辰公司，其创立了著名的反病毒品牌——“KILL”，经过十余年的积累，KILL在中国安全领域，家喻户晓，深入人心。目前融合了其它公司全球领先的安全技术和雄厚的资金背景下，冠群金辰得以迅速成长。

　　冠群金辰公司具备前瞻性的发展理念：从战略转型到3S理念，3S理念是：SecuritySolution（解决方案）、SecurityApplication（安全应用）、SecurityService（安全服务）。通过立足用户安全应用，定制针对性的解决方案，并致力于提供专业化的安全服务。使冠群金辰向集产品提供商、安全集成商、安全服务商于一体的可信赖的安全实体的方向发展。

　　针对不同用户的不同应用，冠群金辰公司提供三大系列解决方案，即:大型企业/行业网络解决方案、中小企业网络解决方案、单机用户网络解决方案。同时，根据用户具体业务的需求，冠群金辰向客户提供定制化的产品和解决方案。

　　冠群金辰在北京、上海、广州、成都、西安等地设立有公司，并将在更多地区设立办事处。同时与各地合作伙伴保持良好了的合作关系，相继建立了60多家授权技术服务中心，完善的服务体系可以向全国范围用户及时提供安全服务。

　　冠群金辰公司已经为全国的税务系统提供了各种安全产品及技术服务支持,在广东、广西、江西、黑龙江等省国税以及南京、武汉、广州的市国税系统中，冠群金辰公司的安全产品已经得到的全面应用，并取得了很好的效果。

　　通过与各个代理商及税务系统用户的紧密配合，相信，我们的合作会更加全面，提供的服务及产品支持也更满足实际应用。