《某省地税局网络安全建议书》由会员分享,可在线阅读,更多相关《某省地税局网络安全建议书(40页珍藏版)》请在金锄头文库上搜索。
1、某省地税局网络安全建议书 1 某省地税局某省地税局 网络安全系统网络安全系统 技术建议书技术建议书 上上海海 某某 网网络络公公司司 二二 三年三年 八八 月月 某省地税局网络安全建议书 2 目目 录录 第一章前言第一章前言 4 第二章第二章某地税基本情况某地税基本情况 6 2 1 网络拓扑 6 2 2 目标需求 7 2 3 地税的网络结构和应用 8 第三章第三章公司内网安全风险分析公司内网安全风险分析 10 3 1 某地税网络安全隐患 10 3 2 防火墙建设的需求 11 3 2 1防火墙与VPN的一体化设计 11 3 2 2 抵御 DOS DDOS攻击 11 3 2 3 防止入侵者的扫描
2、12 3 2 4 防止非法用户非法访问 12 3 2 5 防止合法用户非授权访问 12 3 2 6 防止假冒合法用户非法访问 13 第四章第四章网络安全方案建设原则网络安全方案建设原则 14 4 1 网络安全方案设计的原则 14 4 2 防火墙选型的原则 15 第五章第五章防火墙配备及说明防火墙配备及说明 16 5 1 防火墙的简介 16 5 1 1 产品外观 16 5 1 2 产品功能 17 5 1 3 防火墙的管理 24 5 1 4 防火墙性能 25 5 2 防火墙在某地税网络中的位置 25 5 3 防火墙在公司网络中的作用及规则 28 5 3 1访问控制的配置规则 29 5 3 2 抵御
3、攻击的规则 31 5 3 3 其它功能 规则 32 第六章第六章 技术支持及售后服务技术支持及售后服务 34 6 1 阿姆瑞特 中国 有限公司组织机构介绍 34 6 2 完备的演示环境和培训体系 35 6 3 完善的服务体系 36 6 3 1服务内容 36 6 3 2服务流程 37 6 3 3服务承诺 38 6 4 安装 调试 验收 39 6 4 1现场安装与调试 39 某省地税局网络安全建议书 3 6 4 2 验 收 39 某省地税局网络安全建议书 4 第一章前言第一章前言 以 Internet 为代表的全球性信息化浪潮迅猛发展 信息网络技术的应用正日 益普及和广泛 应用层次正在深入 应用领
4、域也从传统的 小型业务系统逐渐 向大型 关键业务系统扩展 典型的如行政部门业务系统 金融业务系统 企 业商务系统等 伴随网络的普及 网络安全也日益成为影响网络效能的重要问 题 Internet 所具有的开放性 国际性和自由性在增加应用自由度的同时 对 安全提出了更高的要求 如何使网络信息系统不受黑客和工业间谍的入侵 已 成为政府机构 企事业单位信息化健康发展所必需考虑和解决的重要问题 税收是我国国民经济宏观调控的重要手段之一 在国计民生中占有非常重 要的地位 近年来 为了加强税收监管和保障税收来源 我地税务部门将信息 化建设作为各项改革的突破口 大力实施 科技兴税 战略 广泛推行税收信息 管理
5、系统和机关办公自动化系统 使税收管理的现代化水平获得了较大提高 与此同时 我地税收收入持续快速增长 2000 年增收额超过 2000 亿元人民币 税收收入已占到我国 GDP 比重的 14 有关税务专家认为 这一切与我地税 务系统突飞猛进的信息化建设是密不可分的 科技加管理代表着税收管理今后的发展方向 税务系统将充分利用信息技 术 为税收管理提供现代化服务手段 并在管理观念 管理体制 管理方法等 方面不断创新 使之与现代化手段相适应 实现人机的最佳结合 真正建立起 一个以税务管理信息系统为核心 以信息化管理为特征 高效优质的现代化税 务管理体系 同时 面对我国加入 WTO 的步伐日益加快 如何以
6、更高的效率 和准确性为企业 个人提供更好的服务 也对税务行业提出了严峻的挑战 这 同样需要通过信息技术建立强大的支撑平台 根据发达国家的经验和我地税务行业的现状 计算机技术在我地税务系统 的应用正朝着事务性工作集中 管理分散的模式发展 以便有效地降低税收成 本 更好地加强对纳税人的监控和服务 国家税务总局也充分认识到这一点 在 十五 规划中明确将 集中征收 作为信息化建设的发展目标 但目前 各地 某省地税局网络安全建议书 5 税务所运行的计算机业务处理系统无法形成上述管理模式 因此 建设一个全 新的 IT 技术支持系统是实现税收改革的必由之路 某省地税局网络安全建议书 6 三三三某地税基本情况
7、某地税基本情况 2 1 网络拓扑网络拓扑 某省地税省市广域联网网络系统网络拓扑如下 租用电信专线实现省局和各地市分局之间的广域互连 采用防火墙实现对各地税分局 和省局以及各地税分局之间的访问控制 在省局和各地市分局之间实现 VPN 互连 实现明密结合的 VPN 网络 一般的数据流 直接通过明文的方式在专线上传输 对于重要的数据为防止 ISP 搭线窃听 采用 VPN 加密 的方式在专线上传输 某省地税各地市地税分局网上交税子系统拓扑图 省局 各市局 某省地税局网络安全建议书 7 2 2 目标需求目标需求 某省地税省市广域联网网络安全系统 在广域互连上 由于采用电信专线的方式 相 对比较安全 但同
8、样存在安全隐患 比如来自 ISP 的搭线窃听 各地市地税子网之间以及 省局与各地市网络之间的安全访问控制问题 以防某部分网络被侵入后 把侵入范围扩展 到整个广域网络中 所以广域互连部分的安全系统的实施迫在眉睫 某省地税局网络安全建议书 8 网上报税是该系统的重要组成部分 它是利用电子信息网络技术实现的报税和纳税的 一种新方式 纳税人通过互联网将企业的纳税数据报送给税务局 从而实现纳税人不必亲 临税务机关 即可完成税务申报 同时 纳税人还可以通网上报税系统 委托银行在指定 的纳税帐户中 划缴应纳税款 从而代替人工到银行缴纳税款的过程 2 3地税的网络结构和应用 从网络应用上来讲 我地税务行业的典
9、型 IT 应用与税务改革有着密切的关系 目前 我地税务改革主要集中在以下三个方面 一是业务系统的改革 主要是对税收增收的管理 业务系统的改革是税务改革的灵魂 也是改革的主要部分 二是机构改革 三是人事改革 税务改革的三大方向产生了相应的重点项目 金税工程 税收征管业务综合系统 包括从国家到省市 地市的三级征管系统 纳税人服务系统 网上报税 自动报税 包括省级地税之间的联网 对汇总数据进行分析的征收系统 包括数据仓库 决策支持系统等基础系统 办公自动化系统 具体而言 我地税务行业的应用内容主要包括以下方面 支持各种申报方式 基层税 收征管业务与省 市 县 级管理业务 实现通报通缴 定量考核 提高
10、管理与核算的准 确性和规范性 省 市 县 级税收监控和管理 税收分析系统 专家系统 税收辅助决 策 提供数据产品和服务 如税收信息综合发布与查询等 完善的税收法规库与简明检索 系统 外部信息交换 省内信息交换 其业务范围涵盖了税收的征收 管理 服务等各个 方面 使税务行业全面进入高速信息化建设时代 随着信息化的日益深刻 信息网络技术的应用日益普 网络安全问题也会成为影响网 络效能的重要问题 而 Internet 所具有的开放性 国际性和自由性在增加应用自由度的同 时 对安全提出了更高的要求 如何使信息网络系统不受黑客和病毒的入侵 如何保障数 据传输的安全性 可靠性 也是税务信息化过程中所必须考
11、虑的重要事情之一 网络的组成是网络安全设计的依据 省地税局计算机网络系统总体上是一个星型结构的局域网 从管理的分工上可以分为 四个层次 第一层次 省地税局内部网 由于整个地税网络的服务器均集中在这个局域网上 所 以该局域网是整个系统的心脏部分 该网络向上与地税总局连接 横向与其他各省地 税局连接 向下与所辖地市地税局连接 某省地税局网络安全建议书 9 第二层 省地税局下属地市地税局网络 该网络向上通过专线与省地税局连接 向下 与区县地税局连接 第三层 区县地税局网络 该网络向上与地市地税局连接 向下与基层税务征收点连 接 第四层 省地税局 Internet 访问和对外信息发布区域 根据国家政策
12、规定 该网络与 地税内部网物理隔离 地税计算机网络系统的应用应该主要包括三个方面 其一是处理地税业务信息 其二 是办公自动化 其三是对外发布信息 无论是哪一种应用都会涉及到一些敏感或涉密 信息 所以 采取相应的技术措施加强信息系统的安全保密是一项十分重要的工作 某省地税局网络安全建议书 10 三三三公司内网安全风险分析公司内网安全风险分析 3 1 某地税网络安全隐患某地税网络安全隐患 风险分析的一个步骤是判定需要保护的所有资源 特别是受安全问题影响的资源 这 些资源包括 主机 工作站 各种网络设备等硬件 源程序 应用程序 操作系统等软件 在线存储 传输 及备份数据 等等 地税计算机网络系统包含
13、了上述几乎所有的网络资源 系统较为复杂 目前尚未建立 系统的安全防护体制 存在着明显的安全威胁 1 全网易受入侵 首先 网络各个部分没有按照其应用的安全要求不同划分为不同 的安全域 同时 整个网络通过基本简单静态的通行字进行身份鉴别 一旦身 份鉴别通过 用户即可访问整个网络 侵袭者可以通过三种方式很容易地获取 通行字 一是内部的管理人员因安全管理不当而造成泄密 二是通过在公用网 上搭线窃取通行字 三是通过假冒 植入嗅探程序 截获通行字 侵袭者一旦 掌握了通行字 即可在任何地方通过网络访问全网 并可能造成不可估量的损 失 而且由于不可控制的接入点比较多 导致全网受攻击点明显增多 2 Intern
14、et 访问和对外信息发布区域与 Internet 直接连接 未采取有效的访问控制措 施 该区域将面临着来自 Internet 网络的安全威胁 3 系统保密性差 由于与外部连接通路采用公用线路连接 全部线路上的信息多以 明文的方式传送 其中包括登录通行字和一些敏感信息 可能被侵袭者截获 窃取和篡改 造成泄密 4 易受欺骗性 由于网络主要采用的是 TCP IP 协议 不法分子就可能获取 IP 地址 在合法用户关机时 冒充该合法用户 从而窜入网络服务或应用系统 窃取甚 至篡改有关信息 乃至会破坏整个网络 5 数据易损 由于目前尚无安全的数据库及个人终端安全保护措施 还不能抵御来 自网络上的各种对数据
15、库及个人终端的攻击 同时一旦不法分子针对网上传输 数据做出伪造 删除 窃取 窜改等攻击 都将造成十分严重的影响和损失 6 缺乏对全网的安全控制与管理 当网络出现攻击行为或网络受到其它一些安全威 某省地税局网络安全建议书 11 胁时 如内部人员的违规操作等 无法进行实时的检测 监控 报告与预警 同时 当事故发生后 也无法提供黑客攻击行为的追踪线索及破案依据 即缺 乏对网络的可控性与可审查性 缺乏防范泄密行为的安全措施 地税计算机网络系统目前应该有一些敏 感信息 如果这些信息由内部工作人员有意或无意通过网络传播或扩散出去 可能造成十分严重的影响和损失 总之 无论入侵者通过何种方式入侵了某台计算机它
16、不但对该计算机的资源进行窃取 破坏外 他还可以通过该台计算机作为跳板入侵公司网络中的其他计算机 3 2 防火墙建设的需求防火墙建设的需求 通过对网络安全风险分析 采取必要的手段解决网络安全问题势在必行 我们将结合 本网络的具体情况 进行联网防火墙建设需求的分析 3 2 1 防火墙与防火墙与 VPN 的一体化设计的一体化设计 根据网络安全的水桶原理 所有业务子网的所有机器都不能直接或间接与公网相连 以防黑客攻击 网络需要跨越公网 利用电信的通讯线路 如果采用租用专线的方式实现 联网 成本太高 故采用 VPN 虚拟专用网技术建立 VPN 隧道实现各单位之间的相连 利用 电信的公用线路建立 VPN 加密隧道 实现某地税的安全互连 大大节省建设投资 VPN 隧 道的加密算法要非常安全 管理要规范 加密速度要能满足传输需求 由于 VPN 网关需要直接暴露在公网之上 所以其本身的安全性至关重要 根据阿姆瑞 特公司多年的防火墙和 VPN 经验 经过对多种方案的反复比较和实践 我们强烈建议采用 防火墙与 VPN 的一体化设计 这样既提供了防火墙的功能 又实现了 VPN 的功能 同时能 够对 VPN 网
