稅務系統(tǒng)網(wǎng)絡與信息安全系統(tǒng)培訓

稅務系統(tǒng)網(wǎng)絡與信息平安系統(tǒng)培訓AGENDA稅務系統(tǒng)信息平安體系總體方案簡介稅務系統(tǒng)首期網(wǎng)絡與信息平安防護體系建設工程工程簡介稅務系統(tǒng)信息平安體系總體方案簡介主要內容工程背景建設內容和目標總體結構網(wǎng)絡防護子系統(tǒng)平安根底設施子系統(tǒng)平安應用子系統(tǒng)平安管理子系統(tǒng)Internet應用實施規(guī)劃信息平安策略需求信息平安標準標準需求信息平安技術需求信息平安工程需求信息平安組織保障需求信息平安管理需求?稅務系統(tǒng)信息平安體系需求分析?稅務信息系統(tǒng)平安體系建設內容在全網(wǎng)范圍建設涵蓋物理環(huán)境、網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)和數(shù)據(jù)平安等各個層面的信息平安體系和信息平安組織保障架構，抵御各種攻擊與風險。國家稅務總局省級國地稅局地市級國地稅局區(qū)縣級國地稅局征收分局〔稅務所〕?計算機信息系統(tǒng)平安保護等級劃分準那么?〔GB17859-1999〕總體方案設計依據(jù)國家電子政務試點示范工程平安體系和技術標準?信息保障技術框架〔InformationAssuranceTechnicalFramework，IATF〕?國家主管部門的相關政策和法規(guī)〔包括27號文件〕?稅務系統(tǒng)信息平安體系需求分析?1、建立網(wǎng)絡邊界和平安應用域防護系統(tǒng)，重點防止來自外部的攻擊和對內部平安訪問域進行控制。2、建立效勞于全網(wǎng)和所有應用的平安根底設施，實現(xiàn)內部的身份認證、權限劃分、訪問控制和平安審計。3、建立全網(wǎng)范圍內的平安管理與響應中心，強化網(wǎng)絡可管理、平安可維護、事件可響應。系統(tǒng)建設目標4、進行分級縱深平安保護，構成全網(wǎng)統(tǒng)一的防范與保護、監(jiān)控與檢查、響應與處置機制。稅務系統(tǒng)信息平安體系平面邏輯結構稅務信息系統(tǒng)網(wǎng)絡的劃分與連接

互聯(lián)網(wǎng)

業(yè)務專網(wǎng)

物理隔離

涉密網(wǎng)

邏輯隔離政務外網(wǎng)銀行海關工商企業(yè)納稅戶對外宣傳設計重點技術體系架構：安全支撐平臺

平安應用子系統(tǒng)網(wǎng)絡防護子系統(tǒng)平安認證與授權子系統(tǒng)平安管理子系統(tǒng)應用支撐平臺

安全管理平臺

三個平臺四個平安子系統(tǒng)稅收業(yè)務管理系統(tǒng)

稅務行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng)網(wǎng)絡防護子系統(tǒng)入侵檢測網(wǎng)絡防護子系統(tǒng)國稅總局備份中心省國地稅局地/市國地稅縣國地稅線路密碼機防火墻防病毒網(wǎng)關防非法外聯(lián)網(wǎng)絡行為審計操作系統(tǒng)加固高平安區(qū)域網(wǎng)絡防護子系統(tǒng)構造了平安邊界省局局域網(wǎng)總局接口地市局接口橫向接口互聯(lián)網(wǎng)接口加密機：保護離開局域網(wǎng)的信息平安，同時防止非法接入。防火墻：防止來自總局內部的攻擊。防火墻：防止來自外部的攻擊。防火墻：即防止來自外部的攻擊，也要防止來自地市局的內部攻擊。入侵檢測：發(fā)現(xiàn)非法入侵行為。防病毒網(wǎng)關：防止外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡接口。網(wǎng)絡行為審計：加強網(wǎng)絡平安管理，追查平安事件。操作系統(tǒng)加固：設置運行環(huán)境的最后一道防線。安全邊界平安認證與授權子系統(tǒng)平安認證與授權子系統(tǒng)的組成業(yè)務專網(wǎng)：主要由CA認證系統(tǒng)、KMC密鑰管理系統(tǒng)和AA授權系統(tǒng)組成。在Internet網(wǎng)：主要由CA認證系統(tǒng)和KMC密鑰管理系統(tǒng)組成。根據(jù)稅務系統(tǒng)業(yè)務需要，將要在業(yè)務專網(wǎng)和Internet網(wǎng)建兩套效勞于全國稅務的平安認證或授權系統(tǒng)。平安認證技術：主要用于識別網(wǎng)絡行為主體的身份〔你是誰？〕，再通過身份來決定行為的合法性。訪問控制授權技術：主要用于確定資源訪問者的“權限〞，通過權限劃分出信息的平安域等級，根據(jù)等級要求對訪問者進行集中授權〔你能干什么？〕控制。平安認證與授權子系統(tǒng)的作用

業(yè)務專網(wǎng)的CA與AA系統(tǒng)主要用于內部業(yè)務系統(tǒng)對操作者身份認證與授權。在Internet上的CA系統(tǒng)主要用于鑒別訪問者真實身份，僅效勞于應用層面。其中，CA效勞于網(wǎng)絡、操作系統(tǒng)和應用三個層面，解決網(wǎng)絡平安連接；系統(tǒng)平安登錄與管理；應用平安鑒別等問題。AA只效勞于應用層面，解決對信息資源的平安管理問題。平安認證與授權子系統(tǒng)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫效勞訪問他是誰？有什么權限？認證系統(tǒng)授權系統(tǒng)用戶認證證書用戶權限證書設備認證證書設備認證證書軟件認證證書認證證書的種類與作用按使用對象劃分：人員證書、設備證書、機構證書三種類型。按功能劃分：加密證書和簽名證書。按性質劃分：系統(tǒng)證書和用戶證書。數(shù)據(jù)等級的劃分與控制用戶AA系統(tǒng)效勞訪問授權系統(tǒng)一級數(shù)據(jù)二級數(shù)據(jù)三級數(shù)據(jù)四級數(shù)據(jù)五級數(shù)據(jù)數(shù)據(jù)平安域的應用要求與原理五級安全域二級安全域三級安全域一級安全域ABC：數(shù)據(jù)明文ABC訪問ABCABC建立五級環(huán)境ABCABCABC身份與權限認證五級保護平安認證與授權子系統(tǒng)業(yè)務專網(wǎng)CA和互聯(lián)網(wǎng)CA平安認證與授權子系統(tǒng)“權限〞在國稅業(yè)務系統(tǒng)中的訪問控制原理和應用稅收業(yè)務管理系統(tǒng)

稅務行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng)身份認證子系統(tǒng)訪問控制機制用戶ABC12345

級別角色12345A★★★B★★★C★D★★E★★F★授權管理子系統(tǒng)劃分系統(tǒng)平安等級分配用戶角色

授權身份認證機制平安應用子系統(tǒng)業(yè)務系統(tǒng)需要什么樣的平安？業(yè)務系統(tǒng)的使用者或效勞對象是特定的，通常不允許與業(yè)務無關的人員隨意訪問或操作。因此：業(yè)務系統(tǒng)本身必須能夠準確地識別使用者的真實身份，防止與業(yè)務無關的人員非法使用系統(tǒng)。常用的解決方法帳號+口令；證書；生物特征平安總體方案要求：使用統(tǒng)一的身份認證證書業(yè)務系統(tǒng)需要什么樣的平安？

業(yè)務系統(tǒng)的資源〔資料、數(shù)據(jù)、表格或設備〕根據(jù)使用者的崗位或職務不同有限制要求，這種要求被稱作“權限〞。例如：是否允許使用、能做什么樣的操作等。而且這種權限往往會經(jīng)常變化。因此：業(yè)務系統(tǒng)本身必須能夠對自己的資源進行控制，能夠動態(tài)地分配權限，控制使用者的操作行為，防止越崗位操作或越權限操作。常用的解決方法基于口令的訪問控制基于角色的訪問控制平安總體方案要求：基于角色的訪問控制業(yè)務系統(tǒng)需要什么樣的平安？

數(shù)據(jù)或文件是整個業(yè)務系統(tǒng)的核心，要求數(shù)據(jù)必須真實可信、不能隨意篡改，甚至不能泄露或被竊取。因此：業(yè)務系統(tǒng)本身必須能夠對數(shù)據(jù)或文件進行保護，防止由于數(shù)據(jù)的平安得不到保證而失去業(yè)務系統(tǒng)本身的可用性。常用的解決方法基于口令的限制基于密碼的保護平安總體方案要求：基于密碼業(yè)務系統(tǒng)需要什么樣的平安？

從管理的角度要求能夠了解操作者使用業(yè)務系統(tǒng)的情況，尤其在工作中出現(xiàn)問題、事件后能夠追查，找出原因或分清責任，作出合理地處置。因此：業(yè)務系統(tǒng)本身必須能夠對操作者的行為進行跟蹤、記錄、統(tǒng)計和審計，及時發(fā)現(xiàn)工作中出現(xiàn)的問題，使系統(tǒng)可管理，事件可追查。常用的解決方法日志；平安事件審計。平安總體方案要求：日志與平安事件審計。平安應用子系統(tǒng)采用平安中間件和門戶網(wǎng)站相結合的技術，提供以PKI/PMI技術為核心的各種平安效勞功能，實現(xiàn)單點登錄和訪問控制。實現(xiàn)全系統(tǒng)統(tǒng)一的平安效勞接口。身份認證訪問控制數(shù)字簽名與驗證密押與密押驗證數(shù)據(jù)加密傳輸信道加密平安事件審計時間戳應用程序中間件〔接口〕面向應用的平安效勞功能開始結束出示證書訪問控制權限控制數(shù)字簽名平安審計平安管理子系統(tǒng)平安管理子系統(tǒng)的組成平安策略子系統(tǒng)網(wǎng)絡管理與網(wǎng)絡平安防護管理事件監(jiān)控管理平安設備管理策略執(zhí)行管理〔平安互動〕審計管理病毒防治管理平安評估與事件分析軟件升級管理信息平安策略體系定義：信息平安策略是為發(fā)布、管理和保護稅務系統(tǒng)內部信息資源而制定的一組法律、法規(guī)和措施的總和，是對稅務系統(tǒng)信息資源使用和管理的標準描述，是全系統(tǒng)都要遵守的規(guī)那么。地位：策略體系是稅務信息平安體系的核心。平安策略內容由信息平安目標制約，平安策略實施依靠平安體系的各種執(zhí)行系統(tǒng)。稅務系統(tǒng)信息平安策略創(chuàng)立與執(zhí)行流程圖總局信息安全管理中心信息安全管理平臺

目標信息安全策略管理系統(tǒng)創(chuàng)建安全機制審計

評估安全要求規(guī)章規(guī)范標準主策略上層策略發(fā)布中層策略不可否認可用性保密性訪問控制鑒別執(zhí)行策略庫底層策略安全標簽訪問控制口令配置IDS配置防火墻安全性能要求信息共享策略維護翻譯翻譯省局信息安全管理中心地市局信息安全管理中心稅務信息平安策略體系的主要內容策略管理和建設職責管理策略技術管理策略人員管理策略運行管理策略信息資產(chǎn)管理策略業(yè)務連續(xù)性策略法律和其它策略的符合性總局省局策略執(zhí)行模塊策略日志地市局平安審計模塊設備管理模塊網(wǎng)絡管理模塊運行管理模塊病毒防治模塊策略日志地市局平安管理平臺省局平安管理平臺策略平安管理子系統(tǒng)的結構行業(yè)主管部門總局領導總局安全管理中心網(wǎng)絡管理運行管理人員管理法規(guī)管理病毒防治安全設備總局平安領導小組總局平安領導小組辦公室訓練管理對外聯(lián)絡專家管理策略制訂標準化制訂論壇省局領導地市局領導省局安全領導小組總局安全領導小組辦公室訓練管理對外聯(lián)絡專家管理策略制訂標準化制訂論壇地市局安全領導小組辦公室訓練管理對外聯(lián)絡專家管理策略標制論壇省局安全管理中心網(wǎng)絡管理運行管理人員管理法規(guī)管理病毒防治安全管理地市局平安管理中心網(wǎng)絡管理運行管理人員管理法規(guī)管理病毒管理平安管理稅務系統(tǒng)信息平安組織保障子系統(tǒng)行業(yè)主管部門總局領導總局安全管理中心總局安全領導小組領導小組辦公室省局領導地市局領導省局安全領導小組領導小組辦公室省局安全管理中心地市局安全管理中心地市局安全領導小組領導小組辦公室安全領導決策體系安全管理執(zhí)行體系審計監(jiān)督

審計監(jiān)督審計監(jiān)督安全審計監(jiān)督體系稅務系統(tǒng)信息平安組織保障子系統(tǒng)Internet的應用InternetCA中心總局WWW省局WWW省局WWW省局WWW省局WWW統(tǒng)一的認證與控制Inter