ccidnet????

出版日期:2004-09-27 总期号:1351 本年期号:72

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
华南专刊
华东专刊
西北专刊
西南专刊
东北专刊
中国信息安全
中国安防超市
 网闸应用专栏
X-GAP网闸隔离保安全


  金税工程一期二期的建设与实施,在加强税务征管和监控、防止税收流失过程中发挥着重要的作用。金税工程效果明显,首先是加强了对税源的监控,企业的纳税申报率提高到99%。其次大幅度提高了监管质量和效率,增值税收入稳步提高。其中增值税系统贡献很大。金税三期将达到一个新的台阶,一是数据大集中;二是全面覆盖,包括所有的税种征收和所有税务管理;三是业务子系统,核心系统是税收征管业务,办公自动化管理,与银行、海关、工商管理等有关部门联网。

  税务系统具有服务对象复杂、应用系统众多、边界交叉重复、关联部门业务多等现象。在为税务部门提供安全产品和方案的过程中,中网公司注意到:在保证高安全性的情况下解决信息孤岛等信息整合问题是目前的主要问题。目前采用的防火墙、入侵检测和防病毒等安全措施提供了一定强度的安全保护,但仅适合在相同安全域的不同网络之间,无法完全保护金税工程的安全性,尤其是金税内网和与互联网连接的外网之间、金税内网与其它部门网之间。面对用户面临既要保证高安全又必须交换数据的特点,中网公司提出采用中网隔离网闸的解决方案,确保金税网和应用系统的安全。

  税务系统的网络一般划分为三部分:税务内网,它运行多个涉及税务内部业务和办公的应用系统,是税务系统的重要业务网络,里面内含其核心数据库,也就是业务数据库,必须要进行高安全的防范;税务外网,运行多个税务外部业务,并通过互联网提供网上报税、便民服务,内含的数据库可供用户查询使用,也就是查询数据库,安全级别比较低,该网络是税务业务系统的外延,是对外服务的窗口;政务网,运行多个电子政务业务,需要与上面提到的政府部门互动,实现信息共享和政务电子化。

  根据安全需求,这三个网络之间需要隔离,需要确保没有网络连接。另外,由于业务工作需要,在保持税务内外网隔离、税务内网与政务网隔离、税务外网与互联网逻辑隔离的同时,能够在这三个不同安全等级的网络之间进行实时的、适度的、可控的数据交换和应用服务。具体来说,数据信息交换需要发生在:税务内网与税务外网之间、税务内网与政务网之间。交换的服务主要包含:电子文件交换、电子邮件交换(SMTP,POP3)、数据库的数据交换、HTTP/HTTPS标准访问等。

  在安全解决方案中,使用了中网隔离网闸X-GAP。网闸通过隔离来解决税务系统网络的安全问题,同时避免了信息孤岛的出现。首先它实现隔离,在此条件下,能够实现上面提到的数据交换。按照不同税务系统的具体需求,大致有以下两种典型应用。

  一种是,设计了两套数据库,将用户可以进行业务查询的数据库放在业务外网。将两台网闸分别安置在税务外网与税务内网之间、税务内网与政务网之间,具体系统安全解决方案设计如图。

  考虑到国税系统的外网,即基于WebLogic以及外网的查询数据库需要的安全级别低,就把它们放在网闸的外部,在与互联网之间只需要放置一台中网智能型防火墙。用户访问外网的查询数据库,生成数据文件,通过文件交换,将数据文件传递到内网的业务数据库,在内网中完成数据处理。然后再将数据传递到外网的查询数据库中。

  这里用到了数据库的同步技术,外网的数据库和内网的数据库需要定期做备份。如果原来系统中存在数据库备份工具,则仍然可以采用。如果原来没有该备份工具,我们就采用了中网隔离网闸X-GAP 8500,因为此型号的机器,自带数据库同步模块,可以轻松完成既定的目标。

  另一种就是如果该税务系统所涉及到的服务器、客户端以及应用必须进行严格的保护措施,担心外界的安全攻击,那么就将这些数据库、服务器均放在网闸的内部,此时只需要一台网闸,但是对网闸的性能要求就更加严格。需要进行文件传输、邮件收发、应用代理等等功能,并且网闸的摆渡速率必须能够保证数据传输的实时性,以免影响业务的正常开展。

  第三种情况是税务系统的Web Server 、WebLogic以及应用服务器安全级别比较低,故而可以只需要进行防火墙的设置,让用户通过防火墙进行访问,而将核心的数据库处理系统放置在内网部分,也就是网闸内部。WebLogic通过网闸与内网的核心数据库进行数据交换并提供服务。

  这样的整体设计就可以对税务网络系统进行合理的隔离防范措施,使税务系统不同等级的网络具有明确的安全边界,并且达到如下几个目标:

  ●保护税务网络系统隔离下的可用性,可以实现数据交换;

  ●保护税务网络系统隔离下的服务连续性,无需改变用户的应用系统;

  ●实现了网络断开,防范税务网络系统资源的非法访问及非授权访问;

  ●实现了网络断开,防范内外入侵者对税务网络系统资源的恶意攻击与破坏。

  中网隔离网闸X-GAP采用了国际上最先进的SCSI模拟拷盘技术,确保在网络断开的情况下进行模拟拷盘数据交换。用户普通公认,用SCSI来实现模拟拷盘技术远优于其它的通道技术。中网隔离网闸X-GAP高达80Mbps的实测摆渡数率以及8192的最大并发数,保证国税的业务顺利地开展。为了提高方案的可靠性和可用性,中网网闸还具有的双机热备功能,保证了业务能够始终正常运行,解除了税务系统的后顾之忧。


  系统安全解决方案设计示意图