税务安全解决方案

税务安全解决方案内容摘要：

由于其出色的稳定性和高性能而成为电子政务网络系统常采用的操作系统，当前承 担着电子政务应用的的关键任务。 缺省安装的 UNIX 操作系统（以HP UNIX 为例）会存在以下安全问题：  FINGER（泄露系统信息）  各类 RPC（存在大量的远程缓冲区溢出、泄露系统信息）  SENDMAIL（许多安全漏洞、垃圾邮件转发等）  NAMED（远程缓冲区溢出、拒绝服务攻击等）  SNMP（泄露系统信息）  操作系统内核中的网络参数存在许多安全隐患（ IP 转发、堆栈参数等）  存在各种缓冲区溢出漏洞  存在其它方面的安全问题 目前 税务 门户网站多是 LINUX 的服务器， 对于网络管理人员来说，很难对网络设备、主机的系统存 在的漏洞进行有效的监测、管理，如果系统中存在的漏洞不能及时发现和修补的话，那么整个税务系统的安全性也就很难保证。 应用安全风险 税务 有各种应用服务，这些应用服务提供给 税务 系统内部使用，如果不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统，会造成系统数据丢失、数据更改、非法获得数据等。 另外， 税务 的外部网络是通过 ISP 来实现的，如果 ISP 内部管理出现问题，有可能造成连接处的安全隐患，对此必须使用防火墙系统来进行隔离和防护。 防火墙的访问控制功能能够很好的对使用应用服务的用户进行严格的控制 ，配合以入侵检测系统就能安全的保护 税务 内网的各种应用系统。 应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全，由于应用系统复杂多样，没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。 一些通用的应用程序，如 Web Server 程序， FTP 服务程序， Email 服务程序，浏览器， MS Office 办公软件等这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。 Web 服务器安全风险 服务器崩溃，各种 WEB 应用服务停止 WEB 服务脚本的安全漏洞，远程溢出 (.Printer 漏洞 ) 通过 WEB 服务获取系统的超级用户特权 9 WEB 页面被恶意删改 通过 WEB 服务上传木马等非法后门程序，以达到对整个服务器的控制 WEB 服务器的数据源被非法入侵，用户的一些私有信息被窃 利用 WEB 服务器作为跳板，进而攻击内部的重要数据库服务器 拒绝服务攻击或分布式拒绝服务攻击 针对 IIS 攻击的工具，如 IIS Crash 各种网络病毒的侵袭，如 Nimda,Redcode II 等 恶意的 JavaApplet,Active X 攻击等 WEB 服务的某些目录可写 CGIBIN 目录未授权可写，采用默认设置， 一些系统程序没有删除 FTP 服务器安全风险 匿名登录，非法访问未授权资源 FTP 不同版本存在的安全漏洞 拒绝服务 恶意用户名与密码的猜测 FTP 权限可写 用户上传恶意代码，含毒文件等 Email 服务器安全风险 邮件病毒 邮件炸弹 恶意代码 拒绝服务 垃圾邮件 邮件服务软件本身的漏洞 业务应用系统安全风险 源程序中存在的 BUG 源程序中出于程序调试的方便，人为设置许多陷阱 应用系统自身很弱的身份认证 应用系统的用户名和口令以明文方式被传递，容易截获 各种可执行文件成为病毒的直接攻击对象 数据库安全风险 税 务 网络中许多关键的业务系统运行在数据库平台上，如果数据库安全无法保证，其上的应用系统也会被非法访问或破坏。 数据库安全隐患集中在： 10 系统认证：口令强度不够，过期帐号，登录攻击等 系统授权：帐号权限，登录时间超时等 系统完整性：特洛伊木马，审核配置，补丁和修正程序等 数据丢失，操作日志被删除 没有采用数据冗余备份 数据库系统自身的 BUG 没有打最新的数据库系统的补丁 选择了不安全的默认配置 软件的漏洞或者“后门” 随着软 件类型的多样化，软件上的漏洞也是日益增加，一些系统软件、桌面软件等等都被发现过存在安全隐患。 可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是 税务 网络系统信息安全的主要威胁之一。 资源共享 税务 系统内部自动化办公系统，因为缺少必要的访问控制策略。 而办公网络应用通常是共享网络资源，比如文件共享、打印机共享等。 由此就可能存在着：同事有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密 . 服务漏洞 Web 服务器本身不能保证没有漏洞，不法分子可能利用服务的漏洞修改页面，甚至破坏服务器。 系统中的 BUG，使得黑客可以远程对公开服务器发出指令，从而导致对系统进行修改和损坏，包括无限制地向服务器发出大量指令，以至于服务器“拒绝服务”，最终引起整个系统的崩溃。 这就要求我们必须提高服务器的抗破坏能力，防止拒绝服务（ ）或分布式拒绝服务（ DDOS）之类的恶意攻击，提高服务器备份与恢复、防篡改与自动修复能力。 数据信息的安全风险分析 数据安全对 税务 网络系统说是至关重要的，在网上传输的数据可能存在保密性质，而出于网络本身的自由、广泛等特性，数据在广域网线路上传输，很难保证在传输过程中不被非法窃取和篡改。 黑客或 一些不法份子会通过一些手段，设法在线路上获得传输的数据信息，造成信息的泄密。 对于 税务 信息通信网来说，数据丢失、破坏、被修改或泄漏等情况都是不允许发生的。 病毒传播风险 网络是病毒传播的最好、最快的途径之一。 病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。 例如：一种简单的附着在文件上的病 11 毒将遵照以下步骤感染你系统中的文件。 首先，你一定把一个感染的文件装入计算机内存。 该文件可能来自盘片介质或你所在的局域网及互联网。 当你执行该文件时，病毒将其自身拷贝到计算机内存中。 病毒将 自身拷贝到计算机内存后，它将等待你来运行机器上的其他程序。 本质上，病毒是在内存中等待新的载体，就仿佛感冒病毒漂浮在空气中一样。 当你执行另外一个程序时，病毒便将其自身附着在内存中的文件上。 另外，病毒还会将其自身附着到已存在磁盘上的程序备份上。 病毒继续这个过程，直到计算机上的所有程序被感染或关机。 关机时，机器会把病毒从内存中删除，但却不能将其从被感染的文件中删除。 于是，当你再次开机时，并装入一个已被病毒感染的程序，病毒将重新感染内存并继续感染其他正在支行的程序。 当其他人员通过共享资源得到你共享的文件，当 打开执行时，病毒就感染他的机器；或者你通过电子邮件进行通信时，受病毒感染的文件附件会很自然地传播到网络中的其它主机，结果可想而知。 因此， 税务 网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。 可能造成信息泄漏、文件丢失、机器死机等不安全因素。 管理安全风险 在管理层层面上， 税务 信息系统网络系统应该成立专门的运营管理维护职能部门，制订相关的管理制度，初步形成 税务 信息系统信息安全管理体系。 税务 信息系统在安全管理方面虽然从组织、人员、制度等方面都得到了一定的落实，但由于人员编制有限，安全的专业性、复杂性、不可预计性等，基于 税务 信息系统现有应用安全措施建设，通过适当的风险分析，总结得出 税务 在安全管理方面仍然存在一些有可能造成不良影响的安全管理隐患。 例如，如下几点与技术维护紧密结合的安全管理制度：远程操控人员管理、操控时间及特权使用管理、物理临近人员管理、备份及修复对业务影响的时间管理，例行维护管理、应急安全预案等，这些管理制度面对的人群皆包括本地管理员和各其它行政单位的远程管理员。 这些制度的缺乏也 将直接影响到安全事件预防和排障措施的顺利开展以及安全事件发生后的原因追查、损失及责任确定等方面的明确。 信息系统需求分析 12 根据以上风险分析得出本期项目安全需求： 身份认证和 访问控制需求 ：互联网、税务外网和税务内部办公网不同安全区域之间访问控制需求； 入侵检测和安全审计的需求 ：能够针对互联网的入侵进行检测和报警，针对非法操作能够进行审计的需求； 网站监控与恢复 ：能够监测网站的运行情况， 在网站出现异常时， 能够 快速恢复的需求； 防病毒的需求： 针对业务系统主机系统的防病毒需求。 13 第四章 税务 安全方案 总体设计 根据 《税 务系统信息安全体系需求分析》 和总参三部的风险评估报告 ， 综合上述风险需求分析所得到的可预见隐患条目， 本方案将分别针对边界，纵深，服务，系统，应用，管理等几方面对 税务 门户网站 信息系统安全进行规划和设计，实现 税务 信息系统安全工程的建设目标，并将具体实施建议体现在下文的叙述中，工程建设应遵循以下总体安全策略和基本安全策略。 安全策略 为应对上述所面临的威胁和风险，实现 税务 信息系统 的安全建设目标，安全建设应遵循以下总体安全策略和基本安全策略： 总体安全目标：  遵循金税工程（三期）的安全需求为税务信息安全体系建设 的总目标。  遵循国家 相关政策、法规和标准；  贯彻等级保护和分域保护原则，特别是对不同类别关键业务的单独保护。  三分技术，七分管理；管理与技术并重，互为支撑，互为补充，相互协 同，形成有效的综合预防、追查及应急响应体系。 总体安全策略：  物理安全策略 在现有物理安全措施基础上，从环境、设备、介质、配电的故障切换、冗余等方面，完善物理安全保障措施，保障 税务 信息系统免受因上述内容破坏造成的服务停止或数据损失。  网络安全策略 明确等级保护措施；合理划分安全域，确定各安全域的物理边界和逻辑边界，明确不同安全域之间的信 任关系。 在安全域的网络边界建立有效的访问控制措施。 通过安全区域最大限度的实施数据源隐藏，结构化和纵深化区域防御防止和抵御各种网络攻击，保证 税务 信息系统各个网络系统的持续、稳定、可靠运行。  系统安全策略 对操作系统、数据库及服务系统进行漏洞修补和安全加固，对关键业务的服务器建立严格的审核机制。 最大限度解决由操作系统、数据库系统、服务系统、网络协议漏洞带来的安全问题，解决黑客入侵、非法访问、系统缺陷、病毒等安全隐患。  应用安全策略 针对 税务 业务系统的安全需求特点，解决服务发布内容更新和审核等方面的身份认证、 14 权限 控制、信息保密、数据完整性、责任认定、不可否认性等几个方面建立相应措施。 关于这方面的建设可以依托总局来完成，这样可以对安全成本的降低是有很大好处。  安全管理策略 针对 税务 信息系统安全管理需求，在安全管理上需要在完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理等方面机制、制度的同时，与管理技术紧密结合，形成一套比较完备的 税务 信息系统安全管理保障体系。 设计原则 按照安全工程的建设需求和目标，以及“统一规划、分步实施；综合防范、整体安全；分级保护、务求实效”的建设原则，在进行 税 务 信息系统安全方案设计时，将遵循以下设计原则： 分域防护、综合防范的原则 ：任何安全措施都不是绝对安全的，都可能被攻破。 为预防攻破一层或一类保护的攻击行为而无法破坏整个 税务 信息系统，需要合理划分安全域和综合采用多种有效措施，进行多层和多重保护。 需求、风险、代价平衡的原则 ：对任何类型网络，绝对安全难以达到，也不一定是必须的，需正确处理需求、风险与代价的关系，等级保护，适度防护，做到安全性与可用性相容，做到技术上可实现，经济上可执行。 技术与管理相结合原则 ：信息安全涉及人、技术、操作等各方面要素，单靠技术或单靠管理都不可能实现。 因此在考虑 税务 信息系统安全方案时，必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。 动态发展和可扩展原则 ：随着网络攻防技术的不断发展，安全需求也会不断变化，再加上环境、条件、时间的限制，要求安全防护一步到位，一劳永逸地解决信息安全问题是不现实的。 因此，在考虑 税务 信息系统安全方案时，应首先满足基本的和必须的安全需要，并在此基础上有良好的可扩展性，以满足今后新的应用和网络安全技术的所产生的信息安全需求。 信息系统安全等级和安全域划分 税务 信 息系统等级保护和安全域划分依据 根据《信息安全等级保护管理办法》（公通字 [2020]43 号）文件的 要求，信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。 具体实施上就要求各信息系统运营、使用单位根据《信息安全等级保护管理办法》和《信息安全等级保 15 护定级指南》确定信息系统的安全保护等级，将信息系统安全等级保护工作落实到位。 根据 《信息系统安全等级保护实施指南》和《信息系统安全等级保护评估指南》中规定的五个安全保护等级， 结合 《信息系统安全保护等级定级指南》 ，信息系统等级保护中的等级定义如下： 五级指标描述如下： 第一级 自主性保护级 由公民、法人和社会组。