上海市物联网产业情报与应用推广

公共服务平台

Home
Application
Policy
Service
Activity
Information
您好,欢迎登录物联邦官网!
在线咨询
全国客服热线
当前位置:
税务行业网络安全解决方案
来源: | 作者:pmo533083 | 发布时间: 2018-06-26 | 172 次浏览 | 分享到:
背景

国家税务局系统和地方税务局系统(西藏自治区仅设立国家税务局)从省级以下按照行政区划分别设立税务管理机构,各自负责中央税收收入和地方财政收入的组织工作。国家税务局系统由国家税务总局在业务、经费、人事等方面实行中央垂直管理;地方税务局系统省以下实行垂直管理,省级地方税务局由国家税务总局协同省级人民政府实行双重领导。

税务信息化建设的总体目标,就是要建立和完善中国税收管理信息系统,简称为“金税工程”,英文缩写为“CTAIS”。金税三期工程是“金税工程”的建设阶段,它将建立在十多年税务信息化建设的基础之上,按照轻重缓急的原则,通过业务重组、技术重构、功能整合,分期分批逐步实施,最终完成中国税收管理信息系统的建设。

金税三期工程将按照“国际先进,中国特色”的要求,通过完成“一个平台、两级处理、三个覆盖、四类系统”的建设,建成一个网络覆盖率达100%、年事务处理量近100亿笔、税务机关内部用户超过60万人、纳税人及外部用户超过亿人(户)的全国税收管理信息系统。该系统将统一全国国地税征管应用系统版本,规范全国税收执法;实施全国征管数据大集中,实现监控全国征管数据;规范纳税服务平台,优化纳税服务;建设决策支持平台,及时、完整、准确地为决策、管理提供信息,进一步提高税法遵从度和税收征收率。

税务系统网络结构分为三个部分,分别是税务外网、税务内网和前置区,三个网络之间相互隔离。

横向结构如下图:



纵向结构图如下:



通过Internet向广大纳税人提供网上电子报税服务,网上对外税收政策的宣传服务等,因为Internet的开放性,对于地税向Internet提供的每一项服务都有可能带来黑客攻击。

威胁

• 黑客攻击

税务系统网络规模较大结构复杂。具有多个网络边界,Internet出口边界就是其中之一,省地税局通过Internet向广大纳税人提供网上电子报税服务,网上对外税收政策的宣传服务等,因为Internet的开放性,对于地税向Internet提供的每一项服务都有可能带来黑客攻击。例如来自Internet的黑客可以直接通过网络对服务器进行扫描,一旦发现漏洞即可实施攻击,盗取重要信息,造成服务终端或重要信息泄漏。

• 越权访问和资源滥用

因地税的业务系统众多,数据资源众多,然而这些数据访问并不是面向专网内各级的所有计算机用户全部开放的,不合法的用户越权访问,将增加业务系统的服务压力和信息泄漏的风险,严重威胁业务系统的可用性、安全性,同时消耗大量带宽资源。

• 漏洞风险

只要是软件就一定会有漏洞,这就像操作系统一样,微软公司为了系统的安全,几乎每个星期都会更新不同的安全补丁,由此说明作为一个有专业且强大的安全开发团队的大企业,尚不能解决应用系统在开发过程中就杜绝漏洞的产生,作为种类繁多的web应用系统就更加望尘莫及了。更何况一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。但在黑客对漏洞敏锐的发觉和充分利用的动力下,网站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接获取利益的机会。

• 数据库安全风险

税务系统很多关键业务系统都运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也将无法正常运行。通常在数据安全管理中,对管理员权限划分不细,往往都使用超级管理员进行查看、建库、更新等各种管理操作。这也给黑客带来了很多的机会,如果因为管理员口令不强,数据库存十分容易被攻破,引起数据丢失、错误甚至数据库的瘫痪。数据库补丁也要求及时更新,否则其安全漏洞一旦被利用,同样影响数据库安全。另外需要建立对数据库操作行为的审计。

整体防护思路

• WEB应用防火墙
   在税务外网区部署Web应用防护系统用于防护某省地税门户网站以及网上报税系统,通过Web应用防护系统有效控制和缓解HTTP及HTTPS应用下各类安全威胁。

•  WEB弱点扫描器及数据库弱点扫描器
在税务外网区提供一台服务器安装WEB弱点扫描器,在税务内网区提供一台服务器安装数据库弱点扫描器,对整个网络进行系统扫描、弱点评估,评估对象包括数据库系统及应用系统(如WEB)。提供全面的风险评估报告和修正报告。

• 运维审计
在税务外网区部署一台运维审计系统,通过运维审计系统对所有对业务系统进行系统操作的行为进行审计记录,并对所有人员的操作行为进行权限控制,防止误操作及越权操作的发生。

•  数据库审计
网税数据库作为某省地税信息系统的数据中心,是全省地税信息网络的动力源,承担着巨大的责任,对它的保护也就显得特别重要。在税务外网区域部署数据库审计系统,对网络中的用户对数据库的操作行为(如读、写记录等)、用户事件(如用户帐号的创建、删除等)和系统状态(如数据库的启动和关闭等)加以审计,审计信息作为安全事件分析和追踪的基础。

安全建设技术架构


安全建设部署示意图

方案优势与价值

• 定期评估应用系统与数据库漏洞,防止数据库入侵

定期对应用服务器进行安全漏洞评估,包括注入攻击、跨站脚本(XSS)、失效的认证和会话管理、不安全的直接对象引用、跨站请求伪造、安全配置错误、限制URL访问失败、尚未认证的重定向和转发、不安全的密码储藏、传输层保护不足等,可以为后续的WEB应用防火墙安全策略设置提供有力的依据。

定期对数据库服务器进行安全漏洞评估,及时发现数据库服务器漏洞,并及时修复。明御数据库审计能自动完成几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等等审计,通过静态审计,可以为后续的动态防护与审计的安全策略设置提供有力的依据。

• 对应用层漏洞攻击进行阻断,保护数据安全

安恒明御WEB应用防火墙基于安恒专利级WEB入侵异常检测技术,对WEB应用实施全面、深入理解HTTP/HTTPS协议,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等)

• 通过审计及时发现敏感信息篡改、泄漏等风险

根据税务行业的业务需求对敏感表进行监控,当非法用户操作敏感表时,安恒明御数据库审计设备会自动根据置的风险控制策略,结合对数据库活动的实时监控信息,进行特征检测及审计规则检测,任何尝试的攻击或违反审计规则的操作都会被检测到并实时进行告警通知系统管理人员。更能通过多层关联功能精确追溯到前台真实操作者,让管理人员很直观的了解违规行为,并加以教育纠正。

• 通过堡垒主机规范了运维行为

堡垒主机帮助社保对内部以及第三方维护设备的操作风险得到有效控制,改善社保内部安全操作管理现状,提高了管理效率,节约了管理成本。帮助社保解决了管理中长期存在的难题,具体体现:

• 解决了帐号管理的问题,特别是共享帐号使用的弊端;
• 提供了临时帐号功能,可以给代维厂商临时分配帐号,过期帐号及时回收;
• 制定了完善的密码策略,使密码管理制度有效执行;
• 定期自动修改系统密码,有效降低设备密码管理的成本,提高管理效率
• 灵活快速的访问控制设置,提供清晰的用户访问权限表,访问控制一目了然
• 建立细粒度的权限控制机制,禁止高危命令的执行,有效的保障各种设备的稳定性与安全性
• 通过实时监控,可以实时看到用户正在进行的会话,高危操作实时切断;
• 真实完整的操作记录快速检索,解决了以往设备故障原因无法查询的问题完善的责任认定体系,快速定位问题发生原因;
• 有效监控三方远程登录访问维护设备的行为,操作不再需要陪同,降低了安全风险,提高了管理效率

部分用户案例

浙江省地税、浙江省国税、江苏省地方税务局、湖北省地税总局、台州财税、温州财税、苏州财政、苏州地税、衢州地税、宁夏地税、玉环县财政地税局、四川省地方税务局、长兴县地方税务局、南京市国家税务局、嘉兴市地方税务局、兰溪市地方税务局、武义县地方税务局、温州市地方税务局、永康市地方税务局、深圳市国家税务局、舟山市财政局、佛山市地方税务局、开化县地方税务局、嘉善县地税局……
热门文章推荐