| 出版日期:2003-04-21 总期号:1208 本年期号:27 |
|
 |
强化纳税意识降低税收成本
思科网络申报解决方案 鼓励纳税人主动申报和纳税是降低税收成本的重要手段之一。网络申报系统建设将为纳税人主动纳税提供方便快捷条件,不仅有助于提高工作效率,而且多元化申报方式更为节约纳税人时间、降低主动纳税成本创造条件。 作为全球网络界和应用方案的领导者,CISCO将设计和实施安全网络的最佳实践经验与税收业务应用相结合,为国内税务行业提供高度安全可靠的网络申报解决方案。 纵深防御 网络申报系统的核心思想是借助互联网络技术,为纳税人和纳税单位提供灵活方便快捷的申报方式。由于互联网的开放性, 如何在接入和安全两方面取得出色平衡,既保障网络申报系统和纳税人信息安全性,又不会妨碍纳税人的接入和纳税行为,是整个方案设计的重点。 CISCO网络申报解决方案将申报处理过程拆分成四个部分: 纳税人接入、外部访问接口、后台应用服务和数据。根据各部分提供的功能和安全需要,整个网络申报系统被划分为四个功能区域。 * 接入区——接入区的主要目标是将税务局的网络申报系统与纳税户联接起来。验证纳税人或单位身份,为合法用户提供IPSec安全连接通道,保证纳税信息安全传递。 * 外部访问区——外部访问区的目标是提供直接面对纳税人或单位的统一服务接口,并高速响应用户的Web请求。该部分的核心是一台或两台L4-7层交换机和入侵检测系统,可实现各Web服务器的负载均衡,NAT及抗DOS攻击。为了提高性能,在这里放置了一台或多台内容引擎, 来降低Web服务器的负荷。 * 应用服务区——应用服务区的目标是响应Web服务器所需的各种应用服务请求,高速运行各种应用软件。该部分的核心是一台局域网交换机,接入多台应用服务器和入侵检测系统。 * 数据区——数据区的目标是高速响应应用服务器对于数据库的访问。该部分的核心是一台局域网交换机,接入多台数据库。 保障安全 网络申报用户在接入区通过身份认证并建立有效的VPN连接后,启动一条到Web服务器的HTTP连接。第一道防火墙必须配置为允许此协议到达特定的Web服务器。此连接的返回信息流可以返回,但无需将Web服务器启动的任何通信返回到互联网,以便在黑客控制了Web服务器时对其进行限制。 随后纳税用户浏览网站,某些链接选择会使Web服务器启动应用服务器的请求。此连接必须得到第一个防火墙的许可,其相关返回信息流也是同样。而对Web服务器来说,应用服务器没有理由启动到Web服务器甚或向外到互联网的连接。同样,纳税用户的整个会话在HTTP和SSL上运行,不会直接与应用服务器或数据库服务器通信。 当纳税用户执行申报事务处理时,由应用服务器将申报信息传送到数据库服务器上,一般是由应用服务器向数据库服务器发出SQL请求(不存在相反请求)。这些请求通过第二个防火墙,运行到数据库服务器。 简而言之,防火墙必须仅允许三条特定通信路径,每条路径均有自己的协议,阻止其它通信,除非是与三条原始路径相关的返回路径分组才另当别论。 作为网络申报系统重要组成部分,服务器本身也必须全面保护——特别是作为可公开编址主机的Web服务器更是如此。操作系统和Web服务器应用必须与最新版本一致,由主机入侵检测软件监控。这将缓解大多数应用层的首要和辅助攻击。其它服务器应有类似安全性,以防第一个服务器或防火墙受损。 方案特点 * 业务流程与纵深防御相结合:整个系统根据网络申报的事物处理流程,通过两套防火墙将系统分割为四个安全区域。在每个安全区域内,结合功能特点和安全需要,提供各种类型的安全性,构成纵深防御的安全网络体系,而非安全设备的简单堆积。这种分层次的安全策略,避免一个安全区域的损坏造成整个网络资源的损坏,对业务系统的核心数据提供最高级别的安全保护。 * 被动防御与主动防御相结合:两套PIX防火墙为每个安全区域提供边界安全保护,使得只有合法的用户和信息才能从一个安全域(信任域)进入另外一个安全域。CISCO基于网络的入侵检测系统和基于主机的入侵检测系统不间断地扫描网络流量,查找可疑的数据分组。利用一个跟踪特征数据库,可以记录任何不正常的情况,并及时采取相应的措施,发出警报,重置攻击者的TCP连接,或者禁止攻击者的IP地址再次登录网络。 * 高效接入与最小权限相结合:CISCO中央VPN集中器设备可以同时支持上万个用户,并可以为大规模部署提供负载平衡和弹性,利用互联网协议安全标准(IPS)的虚拟专用网(VPN)可以提供信息的安全性、完整性和终端身份认证。由于对事物处理流程的分离,在构建四个安全区域边界的两套防火墙仅需赋予最小的权限,仅允许三条特定通信路径,每条路径均有自己的协议,简化配置和管理的复杂性。 |
||||||||||||||||||||||||||||
