作为电子政务重头戏的税务信息化工程,在近年来取得了显著的成效,据了解,随着金税二期工程的全面开通,税务部门在遏止骗税和税款流失上取得了显著的成效。2001年全国税收增加额超过了2500亿元,这其中,信息化可谓功不可没。
与主要监控增值税专用发票不同,自今年起开始启动的金税工程三期征管业务系统(CTALS)包括七个子系统:管理、征收、稽查、处罚、执行、救济和监控等,不仅将全面实现全国各级国、地税间的信息共享、统一管理,还将与工商、银行、海关、外贸、质监、公安等部门的联网运行。
税务征管系统的全面上网可以最大限度的杜绝个别人"做文章"、"动手脚",保证国家的税收。但却面临着另一个难题:"电子税务的安全"。安全问题并非税务信息化进程中独有,所有涉及网络的应用与交易都不可避免地存在着攻击与防护的较量。然而因为税务征管关系重大,因此安全问题就极为的突出。
近两年,网络应用在我国得到了迅速发展,随之而来也产生了诸多负面问题,最引人注目的莫过于对网络安全的挑战。在2001年之前,安全的问题尚主要来自于病毒,它们通过网络,借助Mail、网页进行传播,对网络进行攻击。各级税务系统的网络也遭遇过这样的问题。
浙江地税的防病毒经验
浙江省地税系统的计算机网络包括84个下属市县区局的子系统,整个网络十分庞大,并且网络分布广泛,系统内部结构复杂,具有多种操作系统平台,并且由于基层税所是直接面对成千上万的纳税用户、采用磁盘交换税务数据的方式,所以系统感染病毒的机会特别多,病毒入侵渠道甚多,管理比较困难,安全问题十分突出。
为了保障系统的数据安全,自2000年起,浙江省政府就着手建立强大的防病毒系统。建立了在广域网络基础上,分三个层次进行管理的防病毒系统,省局、各市局、各县市区局分别作为全省一级、二级、三级反病毒中心。各反病毒中心负责病毒代码库的更新,以及本地局域网内所有机器的查、杀病毒工作。
经过认真研究,严格对比,细致挑选,浙江省地税采用了冠群金辰公司提供的KILL网络防病毒系统,构架了一整套从服务器到客户端的全面立体的防毒体系,并根据浙江地税网络系统的一些特点进行了专门的方案设置。
1.及时报警与日志记录
鉴于浙江地税全网十分庞大,一旦有病毒入侵,并不容易被立即发觉,因此病毒报警就显得尤为重要。KILL提供网络广播、寻呼机、Lotus Notes/MS Exchange邮件、打印故障通知单等多种报警方式。管理员可以从各种渠道获得最及时的报警信息,从而赢得处理的时间。日志记录是掌握网络所有计算机运行和病毒防护情况的主要手段,完善的运行日志记录让管理员对整个网络状况了然于胸。KILL日志可以让网管员了解出现问题的计算机名称、登录用户名、使用时间、染毒情况、病毒处理情况等重要信息,使网络管理更加简单、明了且有针对性。
2.文件升级和系统维护
浙江地税网络的覆盖面涉及全省范围,因此防毒体系的及时升级就成为一个十分重要的问题。
在经过简单的配置后,KILL病毒防护系统在主服务器上下载升级文件就可自动完成全网络所有计算机升级的工作。KILL客户端系统可通过创建急救盘实现对系统的保护。急救盘中保存了该计算机的各种配置信息,一旦系统出现异常,可以使用该急救盘对计算机进行系统恢复。
冠群金辰提供的这套整体防病毒解决方案不仅为浙江地税提供了全面的防护,并且在广西、江西、湖北、河南、黑龙江等税务系统得到广泛推广,并积累了丰富的应用经验。
税务安全是一个整体工程
然而,作为一个具备重要职能并且事务繁忙的政府机关,税务部门网络应用的逐渐普遍必将对安全提出更高的需求。更何况,随着以Mail、网络共享、IIS服务器漏洞等途径大举拖跨网络的红色代码、Nimda等恶性病毒惊现网络,安全需求以不仅仅体现在防毒,更需要一整套的安全体系,同时,这一体系的基础不再是单个的产品,而是一个"方案+服务"的整体工程。
对于庞大的税务系统网络来说,安全隐患隐藏在系统的各个角落,要加强系统的总体安全级别,必须从网络、计算机操作系统、应用业务系统甚至系统安全管理规范,使用人员安全意识等各个层面统筹考虑。冠群金辰建议从各个层次和方面对系统进行安全保护,如下图所示:
一.方案:构架安全的工具
冠群金辰公司认为,税务网络的系统安全需要与系统访问控制、风险评估、安全策略制定、安全架构制定、安全策略架构的实施、雇员的培训、事后的安全审计等结合起来统筹规划。防火墙、防病毒等是整个安全管理体系的有机组成部分,除此之外,还应该在系统的其他方面和层次上部署相应安全产品的工具。
我们把IT系统的安全分为网络安全、服务器安全、用户安全、应用程序和服务安全、数据安全几个部分,在每个部分都有领先的产品和服务以确保系统的整体安全。
1. 网络安全包括什么人对什么内容具有访问权,查明任何非法访问或偶然访问的入侵者,保证只有授权许可的通信才可以在客户机和服务器之间建立连接,而且正在传输当中的数据不能被读取和改变。
2. 服务器安全包括需要控制谁能访问服务器或访问者可以干些什么; 防止病毒和 特洛伊木马的侵入; 检测有意或偶然闯入系统的不速之客。
3. 用户安全是管理用户账户,在用户获得访问特权时设置用户功能,或在他们的访问特权不再有效时限制用户帐户是安全的关键。
4. 应用程序和服务安全是指对应用程序和服务的口令和授权的管理。
5. 数据安全是保持数据的保密性和完整性,保证非法或好奇者无法阅读它,不论是在储存状态还是在传递当中。数据完整性是指防止非法或偶然的数据改动。
要保证以上几个方面的安全,除了目前已经得到广泛应用的防火墙和防病毒产品,入侵检测、服务器防护等工具必不可少。
■ 入侵监测
入侵监测主要的功能是自动识别各种入侵模式,在对网络数据进行分析时与这些模式进行匹配,一旦发现某些入侵的企图,就会进行报警。入侵监测系统包括限制Web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意applets、恶意Email等在内的安全保护措施。用户在了解其网络利用情况、检测入侵和可疑网络活动时需要的规则可以非常方便地加以激活、关闭或加以剪裁以满足企业在一般需要之外的其它具体要求。冠群金辰的入侵检测系统在这些方面都有良好的表现,并已经在税务系统得到实施。
■ 服务器核心防护
可以认为,这是构建任何一个安全体系必须考虑的,它所提供的是对网络中最关键资源的重点防护,因为对税务网络来说,最重要的信息及数据一定存放在主要的服务器上,这些服务器同时也不可避免成为黑客攻击的主要目标。
冠群金辰拥有的服务器核心防护系统提供的是跨平台的操作系统安全性加固工具,通过截取系统调用,可以从根本上加强操作系统的安全性。通过其独有的动态安全扩展(DSX)技术,可以提供可靠、无入侵的保护,将通用操作系统从C2的安全级别提升到B1级的安全。并取消超级用户的权限,杜绝黑客通过非法手段获取系统管理员的帐户和口令,进而对操作系统进行彻底控制。从而保证只有正确的人才能访问正确的信息,而所有未经授权的信息请求则被阻止并记录在日志中。
二.服务:保障安全的根本
对系统安全的管理和维护需要各种层次的系统和安全专家才能完成。如果没有专业人员的介入,没有根据实际情况对安全管理产品进行仔细地配置,对系统的安全管理规范和策略进行设计,功能再强大的安全产品也达不到很好的安全防护作用。
冠群金辰公司不仅提供从各个方面和层次保护系统安全的软件产品,还提供专业的系统安全服务。通过这些产品和服务,我们可以对用户IT系统进行风险评估,提供一个风险评估报告,指出系统每个主要信息资产的弱点与威胁, 也指出现有的安全策略对于确保信息安全是否足够;冠群金辰公司在安全策略、规程和方法上具有丰富的经验,可以帮助企业在信息保密性、完整性和可用性方面制定完善的安全策略;安全架构主要设计这些安全机制如何相互作用、需要操作这些机制人员的资格和实现计划等等;在合理的安全架构下实施和实现安全策略,培训用户各个层次的雇员,使之理解他们处理的信息的价值和敏感性,自觉地维护用户安全策略;在总体安全策略实施之后,冠群金辰公司还通过独立的安全审计服务,帮助用户随时评估它们的安全状态。