天融信地税系统网络安全解决方案

　　三、安全风险和需求分析汇总

　　四、技术方案概述

　　参考××地税的网络结构、应用现状，建议针对××地税整体安全体系建设，在技术层面上着重从边界防护、系统加固、应用安全、集中管理四个方面进行，在××地税网络中引入防火墙、入侵检测、物理隔离、过滤网关、漏洞扫描、网络防病毒、主页防篡改、身份认证、综合审计、灾备中心等十大子系统，并通过统一的平台进行集中管理。形成如下图所示的整体配置方案。

       ××地税内网纵向安全解决方案示意图

　　六、方案建设效果

　　通过安全防护体系的建设，使××地税整体防护能力上升比较高的空间，并解决以下的安全问题：

　　从物理链路的角度：解决了××地税内网与外网之间严格的隔离和数据交换问题。

　　技术上采用隔离交换设备，过滤网关设备，在外网与内网交换数据的过程中，“中断”两网之间直接的协议穿越，并利用“摆渡”技术将数据进行传递，对比逻辑隔离技术，提高了数据交换的安全性。

　　同时，针对××地税网络内部署的病毒系统的升级，可通过专用的机器(不接入××地税网络)从互联网上下载病毒升级包，然后通过光盘等存储介质，再将升级包传递到××地税网络内，通过病毒管理中心分发给其他机器。

　　管理上应生成关于机房操作维护人员岗位职责，进出要害部门、机房的规章制度，发生火灾时业务紧急处理流程，停电故障时业务紧急处理流程等相关安全规定。

　　从网络可信访问的角度：在网络边界和内部引入了访问控制措施、入侵检测措施。

　　技术上对××地税网络进行安全域划分，在边界采用防火墙进行访问控制及数据加密传输，在安全域的内部采用入侵检测系统进行监控，并和防火墙进行联动，严格限制跨域的非法访问并监控内部的攻击行为。

　　管理上应生成防火墙安全标准与配置守则，路由器安全配置标准，通用网络服务安全标准，网络设备安全标准，入侵检测产品安全配置标准，网络维护人员岗位职责等一系列安全标准和制度。

　　从系统安全的角度：解决了重要服务器、网络设备的安全隐患发现和解决以及管理员维护主机系统、网络系统的身份认证问题。

　　技术上通过漏洞扫描服务器进行定期漏洞扫描和评估，及时了解专网内的重要主机设备和网络设备的安全现状和安全隐患；通过安全加固及时解决重要主机设备和网络设备的安全问题；通过强身份认证系统解决管理员维护重要主机和网络设备时的身份认证和安全审计问题。

　　管理上应生成安全信息收集发布制度，Patch定期发布安装制度，主机设备安全标准，主机维护人员岗位职责，用户帐号及口令管理规定等一系列安全标准和制度。

　　针对应用系统：解决应用数据库的安全优化，专网内的病毒控制及网站恢复等问题。

　　技术上通过安全加固对应用数据库进行安全优化，采用防病毒系统对专网内的病毒发作和扩散进行控制，并且利用防火墙进行身份认证和访问控制，确保××地税网络重要的信息资产被授权、合法地进行访问，保障××地税网络应用系统的安全运行，采用主页防篡改技术保证网站的正常运行。

　　管理上应生成数据库安全标准，应用系统维护人员岗位职责，病毒防治管理规定，防病毒扩散紧急处理流程等一系列安全标准和制度。

　　从安全管理的角度：建立网络安全管理组织，结合实际情况建立完整的一系列安全策略以及安全策略的发布、执行、审查、修订的相关流程。同时采用了安全集中管理平台，对××地税网络部署安全设备、网络设备、重要服务器等进行统一的管理，对××地税网络的安全策略进行统一的下发，对××地税网络的安全事件进行统一的整理和归纳，确保专网系统的整体安全。