来源:CNET中国 更新时间:2012-04-15
一、网上报税系统现状
随着我国电子政务的建设和税制改革,随着金税工程的不断深入,税务网上电子申报系统应运而生,通过精简和整合现有管理与服务职能,依托目前先进的网络技术和信息技术,实现网络化办公。在提高我国税务部门对税收征收效率、管理科学化水平的同时,为社会公众、纳税单位、纳税个人提供了更加高效、优质的服务。
随着金税工程的建设,我国已经建成税务总局至各省、市、县国税局的四级网络,目前,国税系统四级广域网运行顺畅。各省地税局全部实现与税务总局联网,部分省地税局建设完成了省内广域网。
如上图所示,根据所面临的信息安全管理风险和安全保障需求,已经配备使用了防火墙、入侵检测、漏洞扫描、防病毒软件等安全产品,具备了一定的安全防护能力。但仅仅通过这些产品还无法全面满足网上报税系统的安全需求,仍存在隐患:
一是纳税人到税务网络后台数据库之间存在着完整的物理链路和完成TCP/IP会话,黑客可以通过此物理链路向内网发起恶意攻击,进入到内网,获取、篡改或破坏重要数据信息,造成服务器系统崩溃,造成网络瘫痪;
二是在数据交换过程中,对传递的数据内容没有进行安全检测,缺乏有效的安全控制机制,很容易导致病毒的传播扩散,造成网络瘫痪。
二、安全需求
税务网上电子申报系统在给广大社会公众带来便利的同时,也面临新的安全问题的挑战,因此,我们急需解决向广大社会公众提供高效、优质服务与面临新的网络安全及信息安全问题的矛盾。虽然,现有网络中已经部署了防火墙、IDS等安全产品,阻止了部分非法访问和非法连接,保证了一定的安全性,但是,从纳税人到网上电子申报系统受理服务器、数据库服务器之间还存在完整的物理链路和完整连接会话,恶意用户有可能利用这点,向内网发起攻击,进行恶意破坏,依据中共中央办公厅2002 年第17 号文件《国家信息化领导小组关于我国电子政务建设指导意见》要求,政务内网和政务外网之间必须进行物理隔离,政务外网与互联网之间逻辑隔离。
同时,由于网上报税系统涉及国家机密和敏感信息,依据2000年国家保密局发布实施《计算机信息系统国际互联网保密管理规定》要求,凡是涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连,必须实行物理隔离。
为了确保网络的安全和数据信息的安全,我们需要在外网服务平台与内网处理平台间部署安全隔离网闸,在保证链路层安全隔离的前提下,并对传递的数据进行内容检查,实现高效的、可控的、安全的数据交换。
三、解决方案
和勤软件公司根据多年的技术沉淀和安全经验积累,全面结合税务系统的需求,提供安全隔离与数据交换和安全隔离与数据访问两种模式的解决方案。二者都是在防火墙之后,网上报税系统的业务受理服务器和业务处理服务器、数据库服务器、文件服务器之间,部署和勤安全隔离与信息交换系统,将税务网络安全隔离成内网和外网。
采用防火墙对互联网和税务外网进行逻辑隔离,阻止网络层的非法连接和非法访问,保证外网服务平台的安全,同时,在税务外网与税务内网间部署和勤安全隔离与信息交换系统,实现税务内外网间的链路层隔离,切断TCP/IP连接或会话,中止来自于互联网的任何连接到税务外网。
安全隔离与数据交换模式
如下图所示,在外网服务区增加数据库服务器、文件服务器,存储纳税人申报税数据信息及税务对外发布的、审批的数据信息。
此模式的数据交换过程如下:
1) 纳税人通过互联网访问报税系统的业务受理服务器,进行网上报税,报税系统将数据存储到外网数据库服务器或文件服务器。
2) 通过和勤网闸的数据库同步、文件同步子系统,将税务外网中的数据库记录、文件提取出来,安全检查完后,及时将数据同步到税务内网的数据库、文件服务器。
3) 税务内部人员通过业务处理服务,对申报的数据进行审批、审核后,将数据存储到税务内网的文件服务器和数据库服务器。
4) 通过和勤网闸的数据库同步、文件同步子系统,将税务内网中的指定的数据库记录、文件提取出来,安全检查完后,及时将数据同步到税务外网的数据库、文件服务器,供纳税人查询使用。
5) 纳税人通过互联网访问报税系统的业务受理服务,查询申报审批情况。
6) 通过重复执行1)、2)、3)、4)、5)的数据处理过程,实现网上报税。
安全隔离与数据访问模式
如上图所示,在现有税务网上报税系统的基础,只需增加和勤安全隔离与信息交换系统即可,无需额外购置其他存储设备。
此模式的数据交换过程如下:
1) 纳税人通过互联网访问报税系统的业务受理服务器,进行网上报税,报税系统将数据直接发送的和勤网闸的外网处理数据服务。
2) 和勤网闸的外网数据服务子系统接替业务受理服务,对接收到的数据进行安全检查、数据格式化和数据传递,数据通过网闸摆渡后,最终由和勤网闸的内网数据服务子系统提交到内网业务处理服务或数据库。
3) 税务内部人员,对申报的数据进行审批、审核,并将数据提交到内网的数据库。
4) 纳税人通过互联网访问报税系统的业务受理服务,查询申报审批情况。
5) 通过重复执行1)、2)、3)、4)、5)的数据处理过程,实现网上报税。
四、方案总结
本方案从税务网上电子申报系统的背景、安全需求和解决方案等方面进行了阐述。采用了软硬一体化的和勤安全隔离与信息交换系统,保证了税务外网与税务内网的链路隔离,彻底阻断了TCP/IP连接,从链路层、网络层、传输层、应用层逐层采用安全防范措施,确保了内网网络、系统、信息数据的安全。同时,通过专用硬件和专有协议,采用合理的算法和优化过的服务程序,实现内外网间高效的、可靠的、安全的数据交换。
用户无改变现有网络结构,也无需重新调整现有应用模式,即可无缝部署,具有安全性强、适应性好、性能卓越、操作方便等优势。