| 出版日期:2004-11-22 总期号:1366 本年期号:87 |
|
 |
网上报税防黑堵毒
——联想网御服务于金税三期 唐丽 随着金税三期工程建设的不断深入发展,某省国税通过精简和优化已有的管理与服务职能,实现了网上整合,为社会公众以及自身提供了更加高效的管理服务。但随之而来的网络安全问题已成为当前必须面对与解决的首要问题。 该省国税系统为了保障网上报税系统的安全,前期已经部署了相应的安全产品,如防火墙、IDS等,但仅仅通过这些产品还无法全面满足网上报税系统的安全需求。用户在网络系统安全上仍存在如下隐患:纳税企业到国税网络后台数据库之间存在着完整的物理链路,黑客有可能从这条物理链路对内网发起各种恶意攻击行为,逐步攻陷这条物理链路上的各服务节点,最终进入到内网,从而造成内网服务器系统崩溃;其次,在数据交换过程中,对传递的文件没有进行安全检测,缺乏有效的安全控制机制,很容易造成如网络病毒的传播与扩散等网络攻击,其所造成的破坏后果是不堪设想的。 联想网御SIS-3000安全隔离与信息交换系统配置在国税网上税务申报系统的前置机与数据处理机之间,对其通信进行安全隔断。 如图所示,联想网御SIS-3000安全隔离与信息交换系统的工作过程为:当联想网御SIS-3000系统外网侧收到前置机的通信数据包后将其TCP/IP协议剥离,获取原始应用数据;接着,联想网御SIS-3000系统根据安全策略对应用层数据进行协议检查和内容检测,只有通过内容检测、访问控制、病毒查杀等多种安全手段检测的数据才是合法数据,按照专有协议转换成专有文件等待交换,再通过专有隔离交换芯片把数据文件交换到系统内网侧,按照专有协议对数据文件进行解析和恢复;然后,联想网御SIS-3000系统内网侧重新发起连接,把安全的数据放入到申报数据处理机。后台数据库在向外网发送反馈信息时,同样也需要经过联想网御SIS-3000系统的安全检测,这样保证了有关的税务业务数据信息在双向流通中的安全。 通过以上操作,首先从物理链路层面阻断了外网到内网服务器的硬件连接,保证了内外网络的安全隔离;其次,阻断了外网到内网所有的TCP/IP连接,防止黑客和病毒通过协议对内网进行攻击;最后,通过多种安全检测手段和应用层检测技术,保障了应用层的安全,有效地提高了系统整体的安全性。并且,联想网御SIS-3000系统高达70Mbits/S的速度,也使其成为同类产品的佼佼者。 联想网御SIS-3000系统在网上报税系统中的应用模式在同行业中具有比较典型的特点。同时,由于该产品不仅具有文件交换、安全浏览、邮件交换、数据库同步等多种安全应用模块,还可以根据税务行业的特点,定制开发用户专用协议的解析模块,因此,该产品可平滑应用于增值税专用发票抵扣联信息网上认证、信息监管等其它税务行业的业务应用系统,从而实现“一个平台,多个应用”。 
联想网御SIS-3000安全系统拓扑图 |
||||||||||||||||||||||||||||
