[经济学]技术与管理共同保障网络安全_浅谈税务信息化网络安全系统的建设

《[经济学]技术与管理共同保障网络安全_浅谈税务信息化网络安全系统的建设》由会员分享，可在线阅读，更多相关《[经济学]技术与管理共同保障网络安全_浅谈税务信息化网络安全系统的建设（2页珍藏版）》请在金锄头文库上搜索。

1、2 0 0 8 . 0 9 . 2 9 每周电脑报 2 9企业信息化E Enterprise技术与管理共同保障网络安全浅谈税务信息化网络安全系统的建设文/ 张学明随着金税三期建设的不断深入，金税工程计算机广域网络的逐步完善，以及税务网络与政府信息网、 政府办公网的联通，各级税务机关已经建成统一、高效的网络平台。 然而， 在当今计算机网络风险日益严峻的形势下，如何构建一个完善的网络安全系统， 为金税工程信息系统保驾护航， 是税务信息化建设不可缺少的重要内容。构建监管平台 实现目标信息化安全涉及网络与信息系统的软硬件故障、 恶意代码和病毒的攻击、 合法用户的误操作、 恶意攻击者或黑客利用网络与信息

2、系统的管理漏洞恶意攻击和破坏等情况。随着计算机及网络技术的发展， 原有的安全理念、 安全措施、 管理方法已不能满足信息化安全的要求， 需要采取新技术建立起多重的安全防线才能为信息化提供可靠的保障。为此， 应按照金税工程安全系统建设要求，结合实际， 通过优化网络拓扑结构， 隔离风险， 提高网络效率 ； 通过操作系统补丁自动下发、及时更新，实现系统软件自动升级，堵塞安全漏洞 ； 通过统一管理， 严密防范和监控计算机病毒感染、非法访问等入侵情况， 构建网络与信息安全监管平台， 实现改善结构、 集中管理、 堵塞漏洞、 积极防范的总体目标。六个方面实施工程建立双链路互为备份的通信方式。 由于常用的双链路

3、冗余备份通信方式采用主线路优先访问机制， 主线路在不通的情况下才自动切换到备用线路进行通信。 这种通信方式的缺点是主线路在正常通信的情况下备用线路为闲置状态， 即使主线路较为拥塞， 传输速率降低的情况下也是如此， 浪费了网络资源。 为此， 税务网络要对原有网络进行升级改造， 建立双链路互为备份的通信方式 ： 一是将市局至县 （区） 局的备用线路由原来的电缆接入改为与主用线路一样的2 兆光纤接入，提高物理链路的传输速率和安全可靠性；二是升级农村分局网络传输介质和带宽， 将原有低于1 兆速率的电缆电路改造成2 兆光纤电路， 提高农村分局的连接速率和链路稳定性 ； 三是对基层单位访问总局、 省局、

4、市局的数据进行分流， 主备两条线路分别传输总局、 省局和市局数据， 将传统的双链路冗余备份改造成双链路互为热备方式，从而有效提高网络的利用率。构建网络集中管理平台。 税务网络是一个较为复杂的广域网系统， 在用的网络设备型号较多， 网络节点配置的设备也不一样，常连接的P C 服务器也是不同品牌以及上千台不同类型的计算机， 如果没有一个有效的网络管理平台， 就难以发现网络链路及设备的故障。 为建设好税务网络管理平台， 应通过比较选型， 调研认证， 选用先进的第三方网络管理软件，如N E T W I N 2 0 0 0 。该系统有以下几个特点 ： 一是兼容性强。 可对若干主要网络设备重新配置网络管理

5、协议， 建立清晰的图形化管理平台， 将税务机关包括农村分局的网络设备全部纳入管理范围， 使网络链路运行状态一目了然；二是实用工具丰富。 通过内嵌的网络设备分析系统可以准确及时的获取各核心设备的通讯质量分析表，可提高处理网络链路故障的效率 ； 三是附加功能完善。 通过合理规划， 使用I P 代理工具可以有效的监控局域网I P 地址使用情况， 避免I P 地址混乱或冲突等现象的发生 ； 四是扩充性能强。 系统具备二次开发功能， 能够在今后的安全建设中进行二次开发， 在网络管理平台的基础上构建安全管理平台， 实现两个管理平台的无缝衔接。构建漏洞扫描、 升级中心。 计算机的应用离不开操作系统， 由于操

6、作系统代码多，黑客和及病毒常利用这些代码的漏洞对计算机系统进行攻击和破坏。 因此， 构建漏洞扫描、 升级中心显得尤为必要。为保障操作系统安全， 可采用先进的安全评估系统和微软操作系统补丁更新系统S U S ， 构建税务网络系统的漏洞扫描、升级中心。 一是重点保障核心服务器安全， 通过合理配置安全评估系统， 对通信服务器、 金税工程小型机、 防伪税控应用服务器、 综合业务系统、 公文处理系统等核心服务器进行漏洞扫描和模拟攻击， 获取服务器存在的安全漏洞及安全风险值， 帮助系统管理员了解服务器运行的安全状况， 并提供安全漏洞的解决方案供系统管理员参考， 保障核心服务器的安全运行 ； 二是建立M i

7、 c r o s o f t S o f t w a r eU p d a t e S e r v i c e s （S U S ） 微软操作系统升级中心， 将操作系统的自动升级服务移植到内网， 在内网的所有计算机设备上安装S U S 客户 端 ，由 升 级 中 心 实 现 税 务 内 网W i n d o w s 2 0 0 0 、W i n d o w s X P 操作系统补丁的统一分发， 从而保障全局计算机操作系统的安全。构建病毒监控中心。 各种文件病毒、 邮件病毒、 网络蠕虫等计算机病毒严重威胁着网络与信息安全。 为防治计算机病毒， 保护网络系统安全运行， 应采用总局统一配置的瑞星网络

8、版杀毒软件。 在各级税务内网计算机全面安装防病毒客户端， 在省、 市局服务器安装瑞星网络版系统软件， 建立起病毒监控中心， 对计算机病毒实行统一监控、 病毒企业信息化E Enterprise3 0 每周电脑报2 0 0 8 . 0 9 . 2 9代码库统一自动升级， 以降低维护成本， 缩短升级的响应时间。构建防火墙逻辑隔离系统。 目前， 网络区域防护最为有效的方式是采用防火墙， 为不同安全级别的多个网络区域提供共享数据的安全路径。 在税务内网部署防火墙 ： 一是服务器区防火墙。 将金税工程小型机， 综合征收管理系统C T A I S 小型机，防伪税控应用服务器等核心服务器通过网络汇聚的方式形成

9、服务器区， 配置一台防火墙将服务器区与其它网络系统隔离； 二是广域网防火墙。在省局与市局、县局之间各安装一台防火墙， 将税务广域网划分为若干独立的网络安全区域， 抵御来自网络上、 下层的安全威胁。通过合理部署防火墙， 对省、 市、 县局广域网安全区进行有效的访问控制， 封杀病毒常用端口， 屏蔽垃圾数据包， 使网络系统抵御风险的能力得到提高， 从而保障网络信息系统安全。构建入侵检测系统。 构建入侵检测系统主要是通过实时侦听网络数据流， 及时发现网络上的违规模式和未授权的网络访问尝试。 为此， 配置前要仔细分析网络的拓扑结构， 抓住网络子网之间的数据交换都集中在核心交换机的特点， 采取两级部署入侵

10、检测设备的方案， 即市局数据端口与省局数据端口分别镜像， 一台入侵检测器检测市级数据交换， 另一台设备检测省级数据， 做到实时检测， 分类管理。 在实施中要配好和完善入侵检测系统的安全策略， 以便实时检测网络违规、 非法访问、 病毒爆发等网络安全事件，当发现网络违规行为和未授权的网络访问时， 网络检测系统能够根据安全策略做出反应， 如实时报警、 事件登录， 或执行其它自定义的安全策略等， 从而有效防止网络的非法操作和恶意攻击， 大大提高网络安全系统的实时性和可靠性。将安全管理落实到细节安全技术和安全产品仅仅是技术层面的手段， 而这些技术和产品能否起到其应有的作用， 很大程度取决于对这些安全技术

11、的应用， 对安全产品的配置， 以及在网络应用环境下硬件设备、 软件系统和用户等各种综合因素的作用。 这一切都离不开管理。 为实现有效管理，在实施安全系统工程建设的同时， 需要制订一系列与之配套的安全管理措施， 并责任到人， 将安全管理落实到每一个工作环节。建立网络安全应急方案， 提高应急事件的处理能力。 为提高网络应急事件的处理能力， 及时恢复网络信息系统运行， 应对各种可能出现的软、 硬件故障及安全事件制订应急处理方案， 如 ： 为快速解决设备故障， 省、市局信息中心要建立网络设备备件库和网络配置备份库， 确保网络设备出现故障时可及时更换、 导入新配置， 恢复网络正常运行 ；又如， 为防止黑

12、客攻击和病毒爆发等安全事件发生， 网络安全管理员可通过入侵检测系统和防火墙的实时检测数据及时确定网络入侵攻击者的地域范围或病毒爆发源头， 及时切断网络制止攻击行为和病毒扩散。制订网络安全工作流程，规范运维系统操作。 为加强网络安全管理， 应制定和实行网络安全管理员守则和安全系统运维制度， 规范网络设备维护、 数据备份、 策略变更、 密码修改、 事件呈报等工作的流程， 健全网络安全管理岗位的责任制。网络安全管理员要及时记录网络安全故障，跟踪网络安全事件，按周填写安全系统运行情况及数据分析表，按月通报网络运行安全情况， 对出现的安全事件、 可疑事件要一一处理， 及时协调和解决， 确保各项安全管理工

13、作有序进行。实行安全审计，加强网络运行日常管理。 利用省、 市税务集中式网络安全管理平台， 在内网建立信息化网络安全专栏， 每周由信息中心对税务网络系统进行安全审计检查， 从S U S 更新、 病毒感染、 网络故障处理、入侵检测、 防火墙检测五个方面， 通报审计情况， 并将整改结果纳入全年的目标管理范围进行考核。作者单位： 南昌市国家税务局信息中心湖北实现水利数据三集中以联想奥运专属服务器R 6 3 0 G 6 为核心的数据库解决方案， 中标湖北省水利厅水利工程数据集中项目，为湖北省实现水利数据的集中存储、集中管理和集中维护提供了集高效、稳定和安全于一身的水利数据信息平台。该项目的实施不仅建立

14、健全了湖北省水利厅信息系统工作机制，而且提高了湖北省应对水利突发安全事件的组织指挥能力和应急处置能力。 此外， 联想服务器为湖北水利厅搭建的电子政务综合应用平台和水利公众服务平台也同时上马。联想万全R 6 3 0是一款兼顾计算性能与I O 吞吐能力的四路四核服务器， 主要面向高端企业级应用而开发。 R 6 3 0 不仅能够承载大规模数据处理应用， 而且可充分满足用户对虚拟化应用的复杂需求。万全R 6 3 0 采用了最新的英特尔酷睿微架构的四核X e o n M P 处理器， 其处理性能和性能功耗比分别比前一代产品提升了两倍和三倍之多。还采用了F B - D I M M D D R 2 6 6 7 内存，集成了4 通道内存控制器，内存带宽可达到3 2 G B / s，内存扩容能力高达2 5 6 G B ，提升1 0 0 % 。此外，该款服务器还采用主动保护、 提前预判和内存纠错等业界领先技术， 并实现了包括内存、 硬盘、 电源、风扇及P C I - E 、P C I - X 插槽全部热插拔冗余设计，并具备出色的扩展能力， 整机到所有关键部件具有卓越的易管理性。