天融信地税系统网络安全解决方案

      一、前言

　　税收是国家财政收入的主要来源，是国民经济的重要命脉。随着我国信息化技术的发展，作为履行我国税收职能的税务机构，其信息化建设越来越成为推动我国经济建设的重要动力之一。二十年来，经过实施“金税一期”和“金税二期”两期金税工程，我国税收信息化建设取得了长足的进步。大量先进的信息技术的应用极大地提高了我国税务工作的效率和质量，税务信息系统的功能也更加全面。

　　目前，我国正在实施“金税三期”工程建设。“金税三期”的建设内容概括为“一个平台，两级处理，三个覆盖，四个系统”。一个平台——建立一个包含网络硬件和基础软件的统一技术基础平台；两级处理——依托统一的技术基础平台，逐步实现××地税的数据信息在总局和省局的集中处理；三个覆盖——应用内容逐步覆盖所有税种，覆盖所有工作环节，覆盖各级国、地税机关，并与有关部门联网；四个系统——通过业务的重组、优化和规范，逐步形成一个以征管业务为主，包括行政管理、外部信息和决策支持在内的信息管理应用系统。在“金税三期”建设中，地税信息化也被列入其中，这说明地税信息化建设将逐步进入总局的统一规划之中。

　　多元化报税、税银等系统的应用，使地税信息系统由相对封闭和低风险逐渐转变为更加开放和高安全风险。数据大集中模式在国、地税的推广，又对地税信息系统的安全提出了更高的要求。由于近年来，网络及计算机犯罪每年以多于十倍的速度增长，对信息系统的入侵和恶意破坏给各国经济造成了重大的损失。因此，世界各国都在加快建设政府类信息系统的安全保障体系，并为此制定相关的信息安全标准。中国的信息化建设发展迅速，为了防止因信息系统破坏造成的损失，国家相关部门在信息安全建设方面也不断加强。地税信息系统作为国家级信息系统，一定要有可靠的信息安全保障体系，来保证其高效、安全运行。只有在系统安全稳定的前提下，才能够正常履行地税的税收职能。

　　××省地方税务局为××省人民政府直属机构。目前通过网络开展的业务主要包括：税务登记、纳税申报、发票管理、纳税服务等，这些重点业务的数据与国家财政收入息息相关，必然会成为网络外部和内部别有用心的攻击者的关注目标，对网络的威胁包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等，因此应引起足够警惕，采取必要的安全措施，以降低系统的安全风险，提高系统的抗攻击能力，提升业务的持续能力。

　　根据与××地税的前期交流与沟通，我们意识到，××地税的信息安全保障体系主要体现在五个层面，业务层面、技术层面、产品层面、工程实施层面、管理运维层面，业务层面指业务的持续性，如何确保在安全事件发生时，××地税的核心业务能够持续进行或者在尽快的时间内得到恢复；技术层面主要关注当前主流的安全技术，关注技术的先进性、成熟性、易用性以及对××地税实际业务的针对性；产品层面则主要关注技术的“落地”，即技术通过什么产品来实现；工程实施层面主要考虑如何根据××地税的信息资产、安全威胁，制定具体的安全策略，通过产品的部署，来实现组织的安全防护体系；管理运维则从管理的角度，实现整体的安全管理和运维，包括组织安全、技术安全、人员安全组成，通过整体的管理、人员培训、系统长期的运营维护、安全服务来达到系统的长治久安。

　　二、用户系统现状

　　网络架构分析

　　根据前期与××地税的沟通，参考国内其他地税系统的网络架构，我们看到××地税网络系统呈现一种典型的星形网络结构，包括省局、地市分局、区县分局、税务所四个部分组成，呈现典型的四级广域系统结构。采用电信运营商租用的高速广域通信线路，将分散在全省的各级地税局机关的局域网连接起来，在统一的网络平台上实现全省地税全面的税收业务处理、发票管理，以及全面的行政管理应用、对税收和人财物管理的高级决策支持，和为全省各类纳税人的征纳、咨询、举报提供服务服务，该平台作为四套应用系统(以征管业务为主，包括税务登记、纳税申报、发票管理、纳税服务等)的支撑，在统一的网络平台上，实现全省税务业务的集中处理。

　　下面我们将从纵向级联、横向互联的角度，对××地税当前的网络架构进行大致的分析如下：

　　纵向分析

　　根据前期与××地税的沟通，了解到，××地税的网络架构从纵向的角度可分为四级：省局、地市分局、县区分局、税务所。

　　××地税广域骨干网络的结构是由地方××地税的上下级的隶属关系、业务的流向的所决定的，表现为数据从县区分局税务所层层上传，分别集中在地市(将来××地税实施了数据大集中以后，将集中在省局)，访问由上而下，单位按行政隶属关系实现省局与各市局、各县(区)局之间可自由互访。跨行政隶属关系不能进行互访。

　　横向分析

　　针对网络架构的横向分析，一般主要采取划分区域的方式，这里我们描述的区域是指对信息进行处理的一组信息资产的集合，根据应用系统的分布情况系统，以及独立支撑某项业务的情况进行划分。

　　为了更清晰地描绘出××地税网络的逻辑分布，我们将××地税广域网划分为税务内网、税务外网、互联网三个大的区域，具体划分方法如图所示：

　　  地税内网

　　地税内网包括分布在省局、地市局、区县局和税务所的以税收征管系统为核心应用，包括地税系统的办公用机、服务器和数据库，是地税系统广域网的主要组成部分，包含了税收征管系统、办公自动化、以及数据灾备中心四个子区域。

　　  税务外网

　　为进一步提高地税系统为纳税人服务的质量，××地税开始规划“网上报税系统”，目前我们看到，在××地税已经开通了“网上报税”的应用，纳税人通过互联网进行纳税申报。税务外网区域还包括了省局对外发布服务的服务器群组，通过该群组，地税系统实现了与公众的信息交互。通过“税收法规、办税指南、纳税人园地”等览目，极大的方便了纳税人。

　　此外，地税外网区域还包括地税系统与业务相关部门如银行、财政、社保专网的数据接口和交换的前置系统。

　　  互联网

　　互联网区域则包括对××地税对外信息发布的一般访问者，和利用“网上报税”系统进行相关纳税业务访问的用户组成，由于互联网的公开性，使得对于该区域的防护显得尤为重要，如何在提供可靠的网上业务的同时，又要确保税务外网的安全。

　　应用系统分析

　　目前××地税应用系统的情况比较复杂，部分地市采取集中模式，而部分地市则采取分散的模式，常见处理过程为税所和区县局数据在各地市局数据中心处理和保存，处理完成的数据由地市局上传到省局。地税应用系统主要包括：基本税收征管系统、办公自动化系统、人事管理系统、行政财务管理系统、决策支持系统、档案管理与内容管理系统。