| 出版日期:2001-01-18 总期号:991 本年期号:06 |
|
 |
内外联手保护国税网的安全
唐炳阳 近几年来,我国国税系统的网络建设可以说取得了突飞猛进的发展,越来越多的应用系统运行在计算机网络之上,计算机网络在税收管理工作中的作用已经变得越来越重要,与此同时,网络安全也成为人们越来越关心的话题,那么对于国税系统来说,又该如何对待网络安全呢?对此,本栏目特别选取了两篇文章,从内部网、外部网的安全控制以及网络防毒两个方面入手,针对广东国税网和珠海国税网两个例子,围绕国税系统的网络安全进行讨论,希望能给读者一些帮助。 安全威胁来自何方 一、来自内部的威胁 这种攻击类型主要是数据型攻击。由于攻击者处在局域网络内部,他们对网络的情况比较了解,作为合法使用者,有一定的网络使用权限,如果没有相应的安全措施,他们的攻击行为非常容易实现。同时,由于是系统内部人员,他们不同于因特网上的攻击者,往往不敢肆无忌惮地为所欲为,担心攻击行动被发现。这种威胁可分为两种:攻击者与攻击对象在内部网的同一局域网内;攻击者与攻击对象在内部网的不同局域网。 二、来自外联网的威胁 由于纳税人的计算机是通过电话拨号直接或间接实现与国税外联网络的连接,因此,网络面临的威胁人群有两部分:一部分来自于具有使用网络缴税权限的合法用户,他们的攻击类型主要是数据型攻击;另一部分是通过电话拨号直接或间接地非法接入国税外联网络的攻击者,他们的攻击既有数据型攻击又有系统型攻击。此外,国税内部网络不同局域网络之间的主通信电路一般是DDN或Frame Relay,也不排除来自那里的攻击。 如何保证安全 网络安全是相对的,安全的程度是与付出的代价密切相关的,除了必要资金投入外,解决网络安全的措施还会影响到网络性能使用的灵活性、管理难度等,安全程度越高,这些方面的影响就会越大。因此,解决安全的方案应该是平衡安全与代价的。对待威胁国税网络的不同人群,我们应采取不同的手段,才能做到代价小而效果好。 一,实现内部网络安全 1.保证操作系统的安全 广东国税的操作系统主要是Windows NT, NT系统有很多很好的安全特色,但其缺省的安装配置并不安全,只有经手工配置启动后才能发挥其安全方面的功能和优势。因此,在设置NT时,必须本着“安全第一”的原则,同时要注意在第一时间及时给NT打上新的补丁。对NT的安全机制,如NT的访问控制机制、审计机制等,要充分加以利用,我们可以利用它们对不同级别的用户设置精细的权限控制并对网络事件进行审计。 2.保证应用系统的安全 应用系统有两类:一类是国税的关键业务系统,如全省统一征管软件、税务稽核软件等,这类应用系统主要在Sybase上开发;另一类是办公自动化软件,如电子邮件、公文处理等,这类系统在 Lotus Notes上开发。不管是Sybase还是Lotus Notes,它们都有一套安全机制,充分加以利用,可以减少内部网络用户利用应用系统的漏洞进行攻击。 3.在局域网端口安装防火墙 在每个局域网的出入口安装了防火墙以后,利用防火墙过滤掉来自其它局域网的与应用无关的操作,来自不同局域网的威胁可以大大减少。在这里,防火墙只是一个概念,可以是专用的防火墙,也可以是通过路由器的数据包过滤功能来实现。专用的防火墙在这里优势并不明显。 4.安装网络实时监测软件 在局域网的出入口安装防火墙并不能解除局域网络内部的攻击,还必须为此配备专用的安全工具,网络实时监测软件是一个比较好的选择。该软件可以安装在局域网络的任意位置,监测所在以太网的整个共享网段,它的基本功能是通过监听以太网上的数据流,对用户指定的网络资源情况、网络状态和网络操作进行记录,供日后查询、审计。它的高级功能是实时分析网络上的数据流,对网络违规事件跟踪、实时报警、阻断连接。它既可对付局域网络内部人员的攻击,也可对付来自其它局域网的攻击。 5.对局域网间通信加密 防止外部攻击者通过广域网络通信电路接入内部网络,可采用链路加密机或IP加密机对不同局域网络之间的通信进行加密。 6.做好数据备份及恢复 良好的备份和恢复机制,可在攻击造成损失时,帮助系统尽快地恢复数据和系统服务,是不可缺少的手段。 二,保证外联网络安全 外联网即纳税人-国税局-银行网络。由于这部分网络的操作影响着银行的资金流动,因此它的安全特别引人注目。这部分网络是一个三方组成的网络,这里只探讨涉及纳税人、国税局的安全措施。其安全措施必须从以下五个方面考虑: 1.身份认证和访问控制:对每一个向国税局注册使用网络方式缴税的纳税人,由国税局发放网络身份认证令牌,并对每个网络缴税的纳税人的访问权限进行严格的控制,保证纳税人身份不被假冒,只有合法用户才能进入国税网络、合法用户只能进行特定操作。 2.传输数据加密:纳税人与国税网络之间、国税网络与银行之间所传输的数据需经过加密,保证数据不被截获和篡改。 3.数字签名:纳税人传送的缴税信息必须有数字签名,以保证信息的不可抵赖性。 4.专业防火墙:通过防火墙防止对网络的攻击和破坏,保证网络不停止工作。 5.数据备份及恢复系统:万一数据遭到攻击破坏,能得到尽量完整的恢复。 网络概貌 广东国税计算机网络可划分成两部分,一部分是内部网络,另一部分是外联网络。 内部网络指国税计算机信息网中不涉及与非国税部门直接进行信息交流的部分,它是国税计算机信息网的基本部分。整个广东国税广域网络的拓扑结构是一个以省局为根、市局为一层的中间结点、县局为二层的中间结点、分局为树叶的树状网。在总体结构上完全依照国税机构的设置情况而建立。省局、地市局、县(区、县级市)局、分局分别建立计算机局域网络。省局局域网与每个地市局局域网之间分别通过一条租用电路直接连接;每个地市局局域网与其属下的每个县(区、县级市)局局域网、每个市属分局局域网分别通过一条租用电路直接连接;每个县(区、县级市)局局域网与其属下的每个分局的局域网分别通过一条租用电路直接连接;没有直接管属关系的两个单位的局域网之间没有直接电路连接;通过对各个局域网络路由器静态路由表的合理配置,省内内部网络任意两个局域网之间都是可实时传递信息的。 外联网络指国税计算机信息网络中与国税以外的计算机网络进行信息交流的部分,现有的外联网络主要是各地国税部门提供给纳税人进行计算机网络缴税的“纳税人-国税局-银行”网络,国税部门的外联网络与银行之间通过专线连接。纳税人的计算机连接国税外联网络的方式,有采用纳税人通过电话拨号直接连接到国税局网络的方式,有的则是纳税人的计算机通过电话拨号连接到电信部门的虚拟专用网VPDN,通过VPDN连接国税局网络。 目前,不同地区国税部门所建设的外联网络相互之间是不相连的,按有关部门的规定,外联网络与内部网络在物理上是分开的。 |
||||||||||||||
