方案模板-XX省地税信息安全规划方案.docx

XX地税信息安全项目规划方案 方案说明方案类型：省级地税安全建设整体安全规划方案。目标分析：目标网络是覆盖XX省地税的整个广域网。税务系统的结构可分为横向、纵向两个层面，横向包括：税务外网、税务内网和前置区，三个网络之间相互隔离，税务外网与互联网逻辑隔离，前置区与银行、社保等行业专网连接。纵向结构指的是税务内网，整体可分为四级：省级、地市级、区县级和厅所级。业务类型主要考虑核心的税收征管系统和网上报税系统。税务系统的边界具备一定的典型意义，涵盖了目前总结的各种边界类型，包括：互联网边界、业务受理平台（网上报税）、同业互联边界（前置区与银行、社保等专网边界），纵向级联边界，内部安全域边界等。不同的边界特点可以有各种灵活的方案设计。方案思路：地税系统信息化建设的一个主要内容是进行省级数据大集中，国家税务总局主要起到指导的作用，而具体建设均由地方财政解决。地税系统以往采用的安全产品还比较单一，主要是防火墙、防病毒等，对新型安全产品的认知逐渐加强，因此除了对防火墙这样的产品持续需求外，对于IPS等产品存在很多市场机会。本方案要点如下：l 完整性，提出了安全建设的完整架构，并提出了分期分批进行建设的整体思路。l 针对性，重点设计省级数据中心，保障核心税收征管系统的安全。同时针对各类不同的边界类型特点，利用丰富的产品种类进行方案设计，对于IPS等新型安全网关可重点设计。包含产品：防火墙、AV网关、IPS、IDS、APM、异常流量管理、网闸、内网安全管理、网络防病毒软件、漏洞扫描、安全审计、安全管理平台。XX省地税信息安全规划方案联想网御科技（北京）有限公司目 录1概述51.1背景介绍51.2规划目标61.3规划范围61.4规划原则72现状分析82.1网络现状82.1.1横向网络结构82.1.1.1税务外网92.1.1.2税务内网92.1.1.3前置区102.1.2纵向网络结构112.2应用现状122.2.1税收征管系统122.2.2货运发票系统132.2.3网上电子报税132.2.4行政管理系统132.2.5决策支持系统132.2.6外部信息系统142.3安全现状143安全风险分析143.1边界风险分析143.2内网风险分析153.3应用风险分析163.4安全管理风险分析174安全需求分析184.1边界安全需求分析194.1.1防止越权访问204.1.2建立安全通道204.1.3数据安全交换214.2内网安全需求分析214.2.1部署入侵检测214.2.2体系化防病毒214.2.3自动补丁分发224.2.4统一桌面管理224.3应用安全需求分析224.3.1业务运行监控234.3.2网络行为审计234.3.3安全风险评估234.4安全管理需求分析244.5安全需求分析总结245总体安全规划255.1整体安全框架255.2边界安全规划265.2.1边界划分285.2.2边界防护285.3内网安全规划325.4应用安全规划345.5安全管理规划405.6规划实现效果416安全建设方案426.1建设内容426.2建设目标426.2.1边界安全建设目标426.2.2内网安全建设目标436.2.3应用安全建设目标436.2.4安全管理建设目标436.3边界安全建设456.3.1省局边界安全建设456.3.1.1部署说明466.3.1.2具体功能476.3.2广域网边界安全建设596.3.2.1部署说明596.3.2.2具体功能606.4内网安全建设626.4.1部署说明636.4.2具体功能646.5应用安全建设706.5.1部署说明706.5.2具体功能716.6安全管理建设786.6.1部署说明796.6.2具体功能796.7配置清单817建设计划828方案总结831 概述1.1 背景介绍2002年底，金税三期启动，基本任务是用四到五年的时间，基本完成“一个平台，两级处理，三个覆盖，四个系统”的建设。一个平台建立一个包含网络硬件和基础软件的统一技术基础平台；两级处理依托统一的技术基础平台，逐步实现税务系统的数据信息在国家总局和省局的集中处理；三个覆盖应用内容逐步覆盖所有税种，覆盖所有工作环节，覆盖各级国、地税机关，并与有关部门联网；四个系统通过业务的重组、优化和规范，逐步形成一个以征管业务为主，包括行政管理、外部信息和决策支持在内的四个信息管理应用系统。其中“两级处理”就是要建立总局、省局两级数据处理中心和以省局为主、总局为辅的数据处理机制，逐步实现涉税电子数据在总局、省局两级的集中存储、集中处理和集中管理，以使业务流程更加简化，机构趋于扁平化，管理和监控更加严密，纳税服务更加简便，系统维护更加便捷，系统运行更加安全，并使得数据的宏观分析与微观分析相结合、全局分析与局部透视相结合，全面提升数据的价值。金税工程的第三期将地税信息化纳入规划，所以地税信息化建设进度得到前所未有的加快。XX地税借着这股信息化浪潮依照金税三期要求，已完成全省骨干广域网（包括省、地市州、区县、税务所4级网络）的建设，针对全省地税信息系统安全防护薄弱、可管理性差的现状，在各种税收征管系统迁移到广域网上之前，各级公文系统互联互通之前，新的业务系统上线之前，必须对全省广域网以及各级机关局域网的安全防护措施进行全面、整体建设，为全省地税创造高效、安全、可靠的网络运行环境。1.2 规划目标1. 从XX省地税信息系统自身现状出发，通过对全省现有信息系统（包括：全省地税广域网，各级节点中的计算机终端、服务器、网络设备，以及省市两级中的各种应用系统）的安全现状评估、风险分析，充分了解、掌握全省地税信息系统安全需求。2. 参考国际、国内相关信息安全技术及标准，以及较发达省份国税、地税信息安全系统的建设经验，在风险分析、安全需求的基础上，结合XX省地税的具体情况，帮助XX地税系统建立全面的信息系统安全规划，并满足XX地税信息系统安全防护、安全定级，最终保障全省地税业务持续性发展。3. 要求“整体信息系统安全规划”能够满足安全建设以其为依托，根据分期、分段逐步建设的原则，做好具体的安全建设方案。1.3 规划范围本次XX地税信息安全规划项目将覆盖XX地税整个广域网（包括省、地市州、区县、税务所4级），以及各级机关局域网。同时基于税务数据省级大集中的发展趋势，重点防护省局数据中心。保障地税各业务得到及时、高效的处理。此次XX地税信息安全规划范围包括：Ø 省局广域网一级网络及内部局域网；Ø 省局数据中心区域以及各种网络接入边界（如：互联网边界、业务外联边界等）；Ø 各州、地市局广域网二级网络和内部局域网；Ø 各区县分局广域网三级网络及局域网；Ø 各税务所的网络；本次XX地税信息安全建设将XX地税骨干网络一直覆盖到征稽所，形成完善的四级网络安全防护体系。最终将XX省地税信息安全系统建设成为一个技术先进、布局合理、高效稳定、安全可靠、经济实用的信息安全系统，为现有的应用及将来可能的应用提供安全可靠的保障。1.4 规划原则1. 安全系统稳定可靠税务系统的业务都是在线实时的业务，网络基础设施已经是税务业务的命脉，一旦网络设备发生故障，业务系统将随之受到不同程度的影响，最严重的网络故障可以造成全部业务系统的瘫痪，因此要求XX地税的安全系统设计充分考虑稳定和可靠的性能。2. 安全设计切合实际进行XX地税信息化建设的安全设计，必须要理解地税业务，不了解地税业务的方案设计只会是纸老虎，一捅而破，最终浪费投资。同时，税务行业的网络及信息安全虽有许多共同点，但每个单位的实际情况都各自有各自的特点，照搬照抄和生搬硬套都会脱离客户的实际。所以，XX地税信息化建设的安全系统设计可以借鉴其他地税单位的成功经验，又一定要根据实际情况量身打造安全解决方案。3. 安全系统扩展灵活目前信息技术发展速度非常快，系统设计既要考虑解决眼前的现实问题，又要考虑未来扩展的需要，只有充分地考虑系统的扩展性才能提高投资的有效性、保证技术体制的连续性、避免重复投资。4. 安全体系科学完善系统设计应充分考虑到各个层面的安全风险，整体规划构建完整的安全防护体系，又要充分考虑投资有限、安全动态发展的因素进行分期建设、逐步完善的现实情况。同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。5. 安全措施协同关联建立协同防御体系，设计时所采用的各种安全措施，应充分考虑相互间的关联性，通过综合防护手段，保证安全措施的一致性、有效性，避免一点突破，全网失控。6. 安全管理简单高效充分考虑各级各单位安全管理的长期性、复杂性以及技术力量的不均衡，通过集中高效的安全管理措施，实现安全策略的集中、快速部署，安全运行情况的统一管理，安全风险的整体把握。2 现状分析根据金税三期的要求和规划，我们从网络现状、应用现状、安全现状三方面分析XX地税信息化建设的现状。2.1 网络现状考虑到税务网的特点，以及XX省地税广域网结构，我们从横向网络结构和纵向级联结构两个方面分析网络现状2.1.1 横向网络结构建成后的税务系统网络结构分为三个部分，分别是税务外网、税务内网和前置区，三个网络之间相互隔离。如下图：图 地税横向网络结构2.1.1.1 税务外网税务外网是税务对外综合性服务系统的载体，和Internet直接连接,并且按照国家相关规定和税务系统的业务网物理隔离。主要应用有：Ø 信息发布网站：各级税务系统的Web网站是其公众形象的重要体现形式之一，其主要功能是发布正式的官方的文件和信息、定期发布税收统计数据、宣传税务法规等。Ø 网上报税服务：网上申报是一种新的报税模式和发展趋势，它利用网络技术、严密的安全策略，将纳税人、税务局、银行三者有机的结合在一个平台上。纳税人足不出户便可以完成申报、缴款等工作。极大地提高了三方的工作效率，加强税收监管力度。Ø 邮件和Internet浏览服务：除了提供对外服务,税务系统对外服务网络还对内部人员提供邮件服务和Internet浏览服务。2.1.1.2 税务内网税务内网是税务系统应用的核心网络，税务广域网就是指税务内网，税务内网包括分布在省局、地市局、区县局和税务所的以税收征管系统为核心应用，包括税务系统的办公用机、服务器和数据库，是税务系统广域网的主要组成部分，包含了税收征管系统、办公自动化、电视电话会议系统以及数据灾备中心四个子区域。Ø 税收征管系统是地税系统的核心应用，该区域包含了省局、地市分局、区县分局乃至税务所用于处理税收征管业务的终端、应用服务器、数据库和承载应用的网络设备，范围上跨越了税务系统纵向网络的四个层面，税收征管系统基本的业务流程如下：基层税所（或分局）的征收所（大厅）录入申报征收的数据，数据提交后经由路由器通过网络传输到县级税务局，再由县级税务局的路由器经由网络传输到市级税务局，最后由市级路由器传输到省级数据中心；同时，各市与容灾中心还有专线备份，确保在主干网络出现故障时采用备份线路及备份处理中心处理正常的申报征收业务。Ø 办公自动化（OA）区域则主要指用于日常办公的终端、办公自动化应用服务器和数据库，该区域与税收征管系统存在很大的重叠，对于地税系统，办公自动化系统主要包含的应用有：电子邮件、公文传递及批复、文件传输、内部主页等日常办公文件处理。Ø 电视电话会议：由于税务系统公开征收期通常集中在当月的1号到10号，有突发性的特点，而其他时间网络上传输的数据量很小，为了提高网络利用率，在保证税收征管系统的数据安全、可靠传输的基础上，逐步利用税务专网开展IP电话、视频会议、远程教学等多媒体附加业务，实现数据、语音、视频三网合一。具体做法是：在省局及地市分局部署语音网守或MCU，在省、市、县及税所（分局）设置语音网关及视频终端。Ø 灾备中心：主要存储省税务系统的重要数据，以保障数据的“存储安全”，灾备中心其他的存储要求还包括办公自动化数据、偶发性的电视电话会议、IP电话、数据查询/决策支持等。在数据省级大集中模式下，只需要在省局部署灾备中心。2.1.1.3 前置区地税系统的前置区主要包含税务系统与业务相关部门如银行、财政、社保专网的数据接口和交换的前置系统。由于银行、财政、社保专网系统相对于税务系统来说属于不可信任网络，所以采取前置的方式，相当于部署了一道两者之间的“缓冲地带”。前置机不挂在税务内网上，地税系统业务主机和前置机之间的数据交换一般采用安全交换的方式进行。省级数据大集中后，在省局信息中心部署“前置”系统，数据只在省局完成与省级银行、财政、社保的连接。2.1.2 纵向网络结构图 纵向级联地税系统的网络架构从纵向的角度来看，整体可分为四级：省级、地市州级、区县级和税务所级。由三级纵向连接构成：省中心与地市中心的连接、地市中心与县区中心的连接、县区中心与税务所的连接。税务广域骨干网络的结构是由税务系统的上下级的隶属关系、业务的流向的所决定的，表现为数据从税务所层层上传，集中到省局，访问由上而下，单位按行政隶属关系实现省局与各市局、各县（区）局之间可自由互访。跨行政隶属关系不能进行互访，同时考虑到防止采用总线结构或环路结构所带来的单点故障问题，因此整体网络通常采用全星型连接的拓扑结构。即以省局信息中心为核心，汇总全省各个分支接点，成为税务广域网一级节点；下属各地市分局成为广域网的二级节点，汇总地市下属各区县分局节点，二级节点通常采用双备份线路汇总到省局，以提升系统的可用性；各地市下属区县分局则成为作为广域网的三级节点，汇总区县下属税务所，三级节点通常也采用双备份线路汇总到地市分局，以提升系统的可用性；各税务所成为广域网的四级节点，租用运营商线路建立与区县分局连接。2.2 应用现状2.2.1 税收征管系统税收征管工作是税务系统业务的核心，近年来总局一直相对地税的税收征管系统进行统一规划，将建成：Ø 管理子系统：主要用于税前的事务处理，包括税务登记、认定管理、发票管理、待批文书、税额核定、证件管理、档案管理、外部信息采集以及咨询服务九大模块。 Ø 征收子系统：主要用于税中的事务处理，包括纳税申报、税款征收、纳税评估、出口退税管理、税收计划（含重点税源分析）、税收会计、税收统计、票证管理八大模块。 Ø 稽查子系统：主要用于税后的事务处理，包括稽查选案、稽查实施、稽查审理、案卷管理以及反避税五大模块。 Ø 处罚子系统：主要用于税前、税中、税后的违法违章的处罚的事务处理。 Ø 执行子系统：主要用于前四大子系统产生的各类税务决定的执行与保全事务处理，包括一般执行、税收保全、强制执行三大模块。 Ø 救济子系统：主要用于对纳税争议的事务处理，包括行政复议、行政诉讼应诉、行政赔偿三大模块。 Ø 监控子系统：主要用于市局、省局、总局的纵向监控、指导、协调，包括日常业务、统计查询、分析监控、质量考核、报表管理和决策支持六大模块。 金税三期规划中，计划用上述七大子系统35个主模块将使金税工程二期的发票管理功能与整个涉税管理功能紧密结合，融为一体，从而，全面覆盖基层地税机关的所有税种、各个环节、各个方面的税收业务处理，同时满足市局、省局和总局各级管理层的监控、分析、查询和辅助决策需求。2.2.2 货运发票系统根据总局的要求，XX省地税局新上了一套货运发票系统，此系统采用B/S结构，纳税人通过县地税局此系统终端上报省局数据处理中心，有省局统一数据处理，现阶段货运发票系统还是基于Internet的VPN网络进行数据传输，由于省地税广域网的建成，近期内将此系统转移到地税内网（广域网）内进行传输。2.2.3 网上电子报税为进一步提高税务系统为纳税人服务的质量，许多省的税务系统开始规划电子申报应用系统，特别是在采取了大集中模式的省份，该业务使得纳税人足不出户，通过互联网进行纳税申报。而承载电子申报业务的服务器作为税务外网的一个组成部分。纳税人通过互联网将数据提交到该电子申报应用服务器，服务器通过信息交换的方式，将信息传递到税务内网（广域网）进行处理。网上电子保税的应用是一种发展趋势，XX地税正在紧锣密鼓的筹备中。2.2.4 行政管理系统行政管理系统包括四个子系统：综合办公、人力资源、财务管理、监察监督。Ø 综合办公子系统：工作安排、文件管理、信访管理、督查督办、会议管理、信息采编、宣传管理、信息服务等八个模块。Ø 人力资源子系统：包括人事管理、教育管理、党群管理等三个模块。Ø 财务管理子系统：包括预算管理、收入支出管理、基本建设管理、固定资产管理、内部审计管理、政府采购和基础信息管理等七个模块。Ø 监察监督子系统：包括廉洁自律、案件管理、纠风工作、执法监察、行政监察、廉政教育等六个模块。2.2.5 决策支持系统决策支持包括两个子系统，税收业务和行政管理。Ø 税收业务子系统，包括查询、执法监督、分析、预测四个模块。Ø 行政管理子系统，包括查询、监督、分析、预测四个模块。2.2.6 外部信息系统外部信息包括三个子系统：为纳税人服务、外部门信息交换、国际情报交换。Ø 为纳税人服务子系统，包括网站、多元化申报系统、呼叫中心、12366热线服务等四个模块。Ø 外部信息交换子系统，包括外部信息采集（工商、银行、海关、财政、外管、技监、公安、统计、法院等相关部门信息等模块）和外部信息交换（工商部门、公安部门、民政部门、国地税、文件信息、机构编制人员信息、纪检监察信息、财务信息等模块）。Ø 国际情报交换子系统。2.3 安全现状现阶段XX省地税信息系统中，安全防护措施、防护手段较少，省局基本没有安全方面的投入，主要还是依靠总局分配的少量安全设备和系统。现阶段主要有防火墙，IDS和仅在省局部署了内网管理系统和杀毒软件。由于总局近年对省局的信息安全投入较少，安全覆盖面较小，地市州级和县级完全没有覆盖，导致出现大量的安全问题，如：大量的病毒在税务网中任意传播，木马后门等。多次影响到核心业务的安全。3 安全风险分析3.1 边界风险分析这些边界处如果没有严格的访问控制，病毒防护，入侵检测等措施，那将会给全省地税的网络及信息系统带来极大的安全风险。具体表现在以下方面：n 黑客攻击XX省地税网络规模较大结构复杂。当前具有多个网络边界，Internet出口边界就是其中之一，省地税局通过Internet向广大纳税人提供网上电子报税服务，网上对外税收政策的宣传服务等，因为Internet的开放性，对于地税向Internet提供的每一项服务都有可能带来黑客攻击。例如来自Internet的黑客可以直接通过网络对服务器进行扫描，一旦发现漏洞即可实施攻击，盗取重要信息，造成服务终端或重要信息泄漏。n 病毒入侵当前各种病毒威胁非常严峻、传播速度十分快、扩散范围也相当广。任何一台计算机爆发病毒，特别是蠕虫病毒，会立刻向整个地税网络迅速蔓延，这样会会占用大量网络带宽，造成网络性能严重下降甚至网络通信中断，以及导致计算机不可用，严重影响正常业务。n 垃圾邮件电子邮件系统的使用将大大提高办公效率，是无纸化办公的重要组成部分昆。然而，这也给信息系统带来了较大的风险。垃圾邮件就是很典型的例子，它可以使用户信箱崩溃，也可以携带木马潜入用户网络。例如内部安全意识较低的用户，直接打开带病毒、木马、后门程序的恶意邮件，就有可能感染病毒或植入木马程序，直接威胁网络及终端计算机的可用性和安全性。n 越权访问和资源滥用因地税的业务系统众多，数据资源众多，然而这些数据访问并不是面向专网内各级的所有计算机用户全部开放的，不合法的用户越权访问，将增加业务系统的服务压力和信息泄漏的风险，严重威胁业务系统的可用性、安全性，同时消耗大量带宽资源。3.2 内网风险分析威胁和风险不仅来自于网络边界外部，内部终端计算机也是整个XX省地税专网的高风险源，其主要包括以下几个方面：n 服务器主机和终端计算机安全管理省地税网内有大量计算机设备，包括小型机、服务器和普通终端计算机。这些计算机系统经常被发现各种安全漏洞，特别Windows 操作系统平台的安全漏洞数量多、爆发频繁。如果没有有效、及时的查找漏洞、修补漏洞，它们随时构成省地税网及信息系统的致命威胁。另外，这些计算机也将面对病毒的入侵。n 内部用户误操作XX地税全省的计算机用户数量庞大，对计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的用户误操作，也将给信息系统带来破坏。例如某些用户在恶意网站上下载或是错误使用了某些存储介质，从而导致计算机感染了病毒或木马程序，很可能会给整个内部网络带来灾难性的破坏。n 合法用户的恶意行为从网络诞生的那一天开始，黑客就存在，发展到今天已经到了无孔不入的地步，而且还在进一步蔓延，许多黑客攻击行为已经不需要太多的网络攻击知识，只需简单的攻击程序和设置就可以实现。在内部用户当中，也不乏这样的角色，他们本身不具有很高超的攻击水平，而只是用现成的攻击程序来实现“黑客”的目的，有些他们甚至可能在不知情的情况下被一些真正的黑客所利用去攻击内部网络。3.3 应用风险分析应用安全风险主要是指XX省地税网络信息系统中各业务应用系统所面临的各种安全风险，包括基于B/S或C/S结构的各种专有业务平台、公文系统、视频系统、邮件系统、FTP服务器、DNS服务器等。这些业务应用系统开放的服务也可能会带来新的安全风险。特别是将来可能有一些移动办公的人员，是通过基于internet的VPN方式接入访问，可能会带入病毒或木马等。如果不做好安全防护，将给其它业务系统带来致命的危害。具体包括以下几个方面：n Web服务器安全风险Ø Web服务脚本的安全漏洞，远程溢出(.Printer漏洞)。Ø 通过Web服务获取系统的超级用户特权。Ø Web页面被恶意删改。Ø 通过Web服务上传木马等非法后门程序，以达到对整个服务器的控制。Ø Web服务器的数据源被非法入侵，用户的一些私有信息被窃。Ø 利用Web服务器作为跳板，进而攻击内部的重要数据库服务器。Ø 拒绝服务攻击或分布式拒绝服务攻击。Ø 针对IIS、Tomcat攻击的工具，如IIS Crash。Ø 各种网络病毒的侵袭，如Nimda，Redcode II等。Ø 恶意的JavaApplet，Active X攻击等。Ø Web 服务的某些目录可写。Ø CGI-BIN目录未授权可写，采用默认设置，一些系统程序没有删除。省地税在自己的税务专网上将会提供大量的基于B/S的服务，如果server端的系统配置不够严谨，安全策略不当，随时都有可能造成安全事件的发生，导致网上业务受到影响并由此带来直接的经济损失。n 业务服务器安全风险业务服务器是XX省地税的核心服务器，为各种业务提供重要的支撑。这些不同的业务系统大部分是由多家公司开发定制，对安全设计多为不足，这样可能会导致信息系统具有如下的潜在风险：Ø 源程序中存在的BUG。Ø 源程序中出于程序调试的方便，人为设置许多“后门”。Ø 应用系统自身很弱的身份认证。Ø 应用系统的用户名和口令以明文方式被传递，容易截获。n 数据库安全风险XX省地税很多关键业务系统都运行在数据库平台上，如果数据库安全无法保证，其上的应用系统也将无法正常运行。通常在数据安全管理中，对管理员权限划分不细，往往都使用超级管理员进行查看、建库、更新等各种管理操作。这也给黑客带来了很多的机会，如果因为管理员口令不强，数据库存十分容易被攻破，引起数据丢失、错误甚至数据库的瘫痪。数据库补丁也要求及时更新，否则其安全漏洞一旦被利用，同样影响数据库安全。另外需要建立对数据库操作行为的审计。3.4 安全管理风险分析由于XX省地税网规模较大、覆盖面广，用户众多。安全建设做为一个整体，不能各自为政，必须进行统一的安全管理、监控，才能保障全网安全。如：集中部署网络安全保护策略，确保网络安全策略的统一；广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件，通过关联来自于不同地点、不同层次、不同类型的安全事件，发现真正的安全风险。n 管理维护技术人员技能水平不一，对安全设备与安全措施的使用、理解与管理也存在着一定的风险。n 由于没有正确地配置安全设备，导致某一安全区域内的防护手段失效。n 同时，对于某一安全区域内发生突发安全事件，必须迅速准确采取措施，部署或者更新安全策略，以及快速定位威胁来源，集中掌握整网安全情况。4 安全需求分析业务的需求驱动信息化的发展，信息化服务的核心目标是业务，信息安全是信息化的重要组成部分，信息安全应该紧紧围绕业务这个核心，为业务的安全提供服务和保障。然而，整个网络中涉及到大量的信息资产，如分布全省、数量庞大的终端计算机，各种各样的服务器，如Web服务器、前置机、应用服务器、数据库服务器等。另外，省级数据大集中后，各种业务访问错综复杂：Ø 从税务所、区县、地市州、省局计算机用户对业务服务器的访问；Ø 从财政、社保、银行等政府专网的数据交换、查询；Ø 从互联网到外网的网站访问；Ø 从互联网发起的纳税申报，以及外网到内网的数据交换；如何全面分析XX地税各个信息系统安全需求，从而根据安全需求统一规划安全建设、分步骤实施，建立XX地税信息系统安全体系。如果安全需求分析缺失必将导致安全建设的偏离甚至错误。为了全面地对XX地税的信息系统安全需求进行分析和归类，我们参照业界通用的分析方法和国家信息安全风险评估指南，根据安全风险的来源，从边界安全需求、内网安全需求、应用安全需求和管理安全需求四个层面，针对每一层面分别具体分析安全需求。它兼顾了全网的信息资产、数据访问流向、风险源等各个要素，避免了需求分析的遗漏。分析模型如下图：图 安全需求分析模型4.1 边界安全需求分析建成后的XX地税信息系统网络将包括多个边界，从全网横向分：Ø 前置区Ø 税务外网Ø 税务内网税务内网网络结构庞大复杂，又可以细分为：Ø 省、地市州、区县纵向级联边界Ø 省中心上行国税边界Ø 数据中心业务服务器边界Ø 数据中心办公服务器边界Ø 数据中心安全管理区边界图 税务网边界示意图这些边界处需要部署相应的安全措施，避免各个区域边界连接给整个XX地税的网络信息系统带来极大的安全危胁。4.1.1 防止越权访问XX地税网络结构复杂，用户覆盖面广，分布在各地不同安全等级之间的用户越权访问是XX地税的主要安全风险。例如一个区县税务局的用户越权进入XX地税的税务征收数据库，查看其它业务数据库的信息，必须在各个边界部署安全阻止这种越权访问造成XX地税敏感信息流失、不必要的数据流量占用有限广域网带宽、甚至信息系统不可用。4.1.2 建立安全通道XX地税省级大集中建成后，大量的业务信息依托网络平台。有的基层税所并不是通过税务专网进行连接，往往会通过ADSL这样的互联网链路进行数据传输。这种传输方式十分容易被非法窃取、篡改或删除。例如以窃取商业秘密为目的的“网络大盗”，利用互联网的开放性，采集流经通过互联网传送的税务业务数据，窃取有价值的商业情报。对于使用互联网链路的下属单位，必须要建立如IPSEC VPN这样的加密安全连接通道，保证数据传送的完整性、可用性、机密性。4.1.3 数据安全交换XX地税整个信息化涉及到不同的专网之间的数据交换，如XX地税与财政、社保、银行等其它政府专网的数据交换，以及地税外网本身对外信息发布、电子申报系统与地税内网信息系统的数据交换。这些不同网络之间的数据交换要符合国家电子政务网的相应要求，即采用安全隔离与信息交换系统进行隔离控制。4.2 内网安全需求分析内网安全需求主要解决XX地税各级局域网可能潜在的风险。其主要包括以下几个方面：4.2.1 部署入侵检测攻击行为不仅来自于大家公认的互联网等外部网络，在税务内网当中，也不乏黑客。他们本身不具有很高超的攻击水平，而只是用现成的攻击程序来实现“黑客”的目的，有些他们甚至可能在不知情的情况下被一些真正的黑客所利用去攻击内部网络。XX地税的信息化应用，将使得大量的、重要的税务信息运行和存放在信息系统中。对于整个网络边界接入和内部局域网用户通过核心交换机的数据访问，是否存在攻击行为、流量是否异常等，需要时时掌握并结合边界防护设备进行联动、动态的策略更新，防止网络各区域相互之间的入侵行为蔓延，危害网络平台的安全运行。4.2.2 体系化防病毒XX地税省中心与下级地市州、区县单位连接，属于一个大型网络，任何一台终端计算机感染病毒将危及整个网络。当前病毒威胁也非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，这样会大量占据正常业务十分有限的带宽，造成网络性能严重下降甚至造成网络通信中断，威及正常业务开展。所以，需要在网络重要的边界处部署网关防病毒，阻止了病毒在各个安全区域之间扩散的问题。同时，还必须考虑终端计算机、服务器自身防病毒的能力建设，要防止病毒在区域内部传播影响业务运行的安全。XX地税计算机数量庞大、分布广，通过城域网、广域网连接的网络带宽窄，还要解决好分级部署、统一管理的问题，要能够实现包括防病毒策略的设定和配置，日志的收集，病毒码，扫描引擎等组件的更新。通过集中管理方式可以做到减少对客户端人员的技术和技能要求，全网策略集中统一，保证防杀病毒的有效性和实时性。4.2.3 自动补丁分发XX地税信息系统内部运行着大量的计算机设备，包括高端服务器以及大量的终端设备，尤其是核心服务器作为各种重要应用服务的载体，操作系统可能会存在不同程度的安全漏洞，这些安全漏洞随时构成XX地税信息系统的致命威胁。所以，要建立XX地税的终端计算机和服务器的补丁自动分发管理系统，减少和避免主机系统漏洞产生的风险。4.2.4 统一桌面管理XX地税终端计算机数量庞大，并且十分分散，没有采取统一管理和行为规范，这样极易构成内部用户的违规操作。对内网计算机用户进行统一、集中的安全策略管理，是从源头上降低全网风险，提高整网安全性的重要措施。一方面，要限制办公计算机用户的各种操作行为，如文件访问、程序使用、端口通信、网络共享、打印等行为进行审计和管理；对终端计算机上各种外设和接口的使用进行管理；对终端计算机接入网络的安全准入管理；限制非法建立通路连接互联网或非授权网络的行为。另一方面，要对业务终端等重要的计算机上的信息资产进行保护，防止发生机密信息被盗窃、丢失，甚至主动泄密等安全事件。Ø 限制非法外联；Ø 限制外来计算机非法接入内网；Ø 内网计算机资产管理；4.3 应用安全需求分析应用安全需求主要解决XX地税网络信息系统中各应用系统所面临的各种安全风险，包括业务应用平台、数据库平台、电子邮件系统、前置区服务平台等。在事前提供应用系统安全运行状态监控和预警，防止管理方面的安全事件发生，同时对应用系统和网络的风险及时掌握、做好安全加固工作，实现业务服务的安全运行。4.3.1 业务运行监控XX地税数据中心各个WEB服务器、应用服务器、数据库服务器及相关的应用系统构成了最核心的信息资产，这些服务器、应用信息系统的运行状况如何，是否存在故障的可能等情况仅仅通过管理员手工的被动查看和管理，难以做到业务系统安全持续运行。建立自动监控各个核心服务器平台、应用平台、数据库平台的运行情况，并能够根据预定阀值告警、全面掌握整个信息系统的运行态势，事前预防业务故障，将系统宕机的概率降至最低。4.3.2 网络行为审计XX地税各级用户的计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的用户误操作，也将给XX地税信息系统带来致命的破坏。例如某个管理员对数据库的错误操作，将导致数据的不完整和数据丢失。所以，必须对管理员特别是数据库管理员的操作行为进行审计，一方面完整记录数据库的操作行为，另一方面对高危操作进行及时阻止干预。最大限度的保护XX地税核心信息资产的安全。XX地税的大量计算机用户在进行办公、生产应用时，尽管身份合法，但往往也可能进行一些与自身份内事务不相干的应用，甚至传播和泄漏机密信息。特别是在XX地税机关外办公的大量计算机用户，他们借用网络和应用平台，通过各种协议，如Telnet、Ftp、Http、Icmp、Snmp、Mail、Arp、Dns、Netbios等，究竟传递和发送了什么样的信息内容，应该进行必要的审计，从而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。4.3.3 安全风险评估XX地税的包含税收征收管理系统、电视电话会议系统与办公自动化系统等，它们承载着XX地税信息化的核心应用，对这些信息系统的各类服务器的安全配置就显得尤为重要。如果有一点疏忽也会直接造成XX地税信息系统被攻击。例如用户在配置SQL Server时没有对管理添加密码，黑客就可以通过SQL Server直接轻松渗透到XX地税网络当中来截取、修改或删除数据。我们建议定期/不定期的全面掌握网络设备、安全安全设备、主机、应用系统、数据库系统的风险情况，并以此在安全事件发生前进行加固，全面提高抗风险能力。4.4 安全管理需求分析由于XX地税网络覆盖面广，用户众多，技术人员水平不一。如何了解设备的运行情况，如何部署安全策略，如何统一集中管理网络安全风险是摆在XX地税网络管理人员及安全管理人员的重要课题。例如，由于没有正确地配置安全设备，导致某一安全区域内的防护手段失效。同时，对于某一安全区域内发生突发的安全事件，现有的安全管理手段很难迅速准确对这种风险进行快速响应，也无法快速定位威胁来源在哪里，因此也无法及时调整安全策略来应对这样的安全事件。建立统一的安全运行监控系统和集中的风险管理系统是有效帮助管理人员实施好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。4.5 安全需求分析总结总结来看，XX地税信息化建设的安全需求有以下特征：Ø XX地税核心的信息资产是省中心数据中心的各服务器群，其中税收征收管理系统又是最最核心的，它们是需要最优先、多层次的“重兵保护”；Ø XX地税信息系统访问源分散、复杂，是高风险源。这些终端计算机既有来自地税系统内部，也有来自其它政府专网和上级国税单位，甚至还有来自互联网的。应通过先进的方法论结合业务特征，将不同的访问源划分安全区域，并从源头上部署对应的安全措施，将安全风险第一时间屏蔽在XX地税的网络之外；Ø 进而，对XX地税内部网络各个基础设施健全安全防护机制。如终端、服务器系统防病毒、补丁管理，桌面统一监管，应用系统运行监控，以及全网网络设备、主机系统、应用系统的风险评估等；Ø 建立全网的安全网管系统，对全网的安全设备和安全系统进行全面的运行监控，以及全网安全运行的风险管理和审计。5 总体安全规划5.1 整