稅務系統(tǒng)信息安全體系總體方案

1、稅 務 系 統(tǒng)信息安全體系總體方案總參三部科技成果交流中心稅 務 系 統(tǒng)總參三部科技成果交流中心 信息安全策略需求 信息安全標準規(guī)范需求 信息安全技術需求 信息安全工程需求 信息安全組織保障需求 信息安全管理需求稅務系統(tǒng)信息安全體系需求分析 信息安全策略需求稅務系統(tǒng)信息安全體系需求分析稅務信息系統(tǒng)安全體系建設內容 在全網(wǎng)范圍建設涵蓋物理環(huán)境、網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)和數(shù)據(jù)安全等各個層面的信息安全體系和信息安全組織保障架構。國家稅務總局省級國地稅局地市級國地稅局區(qū)縣級國地稅局征收分局（稅務所）稅務信息系統(tǒng)安全體系建設內容 在全網(wǎng)范圍建設涵蓋物理環(huán) 計算機信息系統(tǒng)安全保護等級劃分準則 （G

2、B17859-2019） 總體方案設計依據(jù) 國家電子政務試點示范工程安全體系和技術規(guī)范 信息保障技術框架（Information Assurance Technical Framework，IATF）美國國家安全局 國家主管部門的相關政策和法規(guī) 稅務系統(tǒng)信息安全體系需求分析 計算機信息系統(tǒng)安全保護等級劃分準則總體方案設計依 稅務信息系統(tǒng)主體的安全保護等級為三級 數(shù)據(jù)中心主體的安全保護等級為四級 安全基礎設施的安全保護等級為四級安全系統(tǒng)等級的確定 稅務信息系統(tǒng)主體的安全保護等級為三級安全系統(tǒng)等級的確定1、建立網(wǎng)絡邊界和安全應用域防護系統(tǒng)， 重點防止來自外部的攻擊和對內部安全訪問域進行控制。2、建

3、立服務與全網(wǎng)和所有應用的安全基礎設施， 實現(xiàn)內部的身份認證、權限劃分、訪問控制和安全審計。3、建立全網(wǎng)范圍內的安全管理與響應中心， 強化網(wǎng)絡可管理、安全可維護、事件可響應。系統(tǒng)建設目標1、建立網(wǎng)絡邊界和安全應用域防護系統(tǒng)，2、建立服務與全網(wǎng)和所技術體系架構管理體系架構整體架構設計分成兩大部分 從運行環(huán)境、網(wǎng)絡、操作系統(tǒng)、應用和管理五個層面進行安全設計。技術體系架構整體架構設計分成兩大部分 從運行環(huán)境、網(wǎng)絡稅務信息系統(tǒng)網(wǎng)絡的劃分與連接 互聯(lián)網(wǎng) 業(yè)務專網(wǎng) 物理隔離 涉密網(wǎng) 邏輯隔離政務外網(wǎng)銀行海關工商企業(yè)納稅戶對外宣傳稅務信息系統(tǒng)網(wǎng)絡的劃分與連接 互聯(lián)網(wǎng) 業(yè)務專網(wǎng) 物理隔離技術體系架構：安全支撐平

4、臺 安全應用子系統(tǒng)網(wǎng)絡防護子系統(tǒng)安全認證與授權子系統(tǒng)安全管理子系統(tǒng) 應用支撐平臺 安全管理平臺 三個平臺四個安全子系統(tǒng)見方案摘要第7頁技術體系架構：安全支撐平臺 安全應用子系統(tǒng)網(wǎng)絡防護子系統(tǒng)安全入侵檢測網(wǎng)絡防護子系統(tǒng)國稅總局備份中心省國地稅局地/市國地稅縣國地稅線路密碼機防火墻防病毒防非法外聯(lián)網(wǎng)絡行為審計操作系統(tǒng)加固入侵檢測網(wǎng)絡防護子系統(tǒng)國稅總局備份中心省國地稅局地/市國地稅安全認證與授權子系統(tǒng)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫服務訪問他是誰？有什么權限？認證系統(tǒng)授權系統(tǒng)用戶認證證書用戶權限證書設備認證證書設備認證證書軟件認證證書安全認證與授權子系統(tǒng)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫服務訪問他是誰數(shù)據(jù)等級的劃

5、分與控制用戶AA系統(tǒng)服務訪問授權系統(tǒng)一級數(shù)據(jù)二級數(shù)據(jù)三級數(shù)據(jù)四級數(shù)據(jù)五級數(shù)據(jù)數(shù)據(jù)等級的劃分與控制用戶AA系統(tǒng)服務訪問授權系統(tǒng)一級數(shù)據(jù)二級數(shù)據(jù)安全域的安全控制五級安全域二級安全域三級安全域一級安全域ABC：數(shù)據(jù)明文ABC訪問ABCABC建立五級環(huán)境ABCABCABC數(shù)據(jù)安全域的安全控制五二三一ABC：數(shù)據(jù)明文ABC訪問ABC安全認證與授權子系統(tǒng)業(yè)務專網(wǎng)CA和互聯(lián)網(wǎng)CA安全認證與授權子系統(tǒng)業(yè)務專網(wǎng)CA和互聯(lián)網(wǎng)CA安全認證與授權子系統(tǒng)安全認證與授權子系統(tǒng)安全應用子系統(tǒng) 采用安全中間件和門戶網(wǎng)站相結合的技術，提供以PKI/PMI技術為核心的各種安全服務功能，實現(xiàn)單點登錄和訪問控制。 實現(xiàn)全系統(tǒng)統(tǒng)一的安

6、全服務接口。安全應用子系統(tǒng) 采用安全中間件和門戶網(wǎng)站相結合安全應用子系統(tǒng)安全應用子系統(tǒng)安全管理子系統(tǒng)的組成 安全策略子系統(tǒng) 網(wǎng)絡管理與網(wǎng)絡安全防護管理 事件監(jiān)控管理 安全設備管理 策略執(zhí)行管理 （安全互動） 審計管理 病毒防治管理 安全評估與事件分析 軟件升級管理 安全管理子系統(tǒng)的組成 安全管理子系統(tǒng)的邏輯圖 安全管理子系統(tǒng)的邏輯圖 總局省局策略執(zhí) 行模 塊策略日志地市局安全審計模 塊設備管 理模 塊網(wǎng)絡管理模 塊運行管理模 塊病毒防治模 塊策略日志地市局安全管理平臺省局安全管理平臺策略安全管理子系統(tǒng)的結構 總局省局策略執(zhí) 行策略日志地市局安全審計模 塊設備管 理模 行業(yè)主管部門總局領導總局安

7、全管理中心網(wǎng)絡管理運行管理人員管理法規(guī)管理病毒防治安全設備總局安全領導小組總局安全領導小組辦公室訓練管理對外聯(lián)絡專家管理策略制訂標準化制訂論壇省局領導地市局領導省局安全領導小組總局安全領導小組辦公室訓練管理對外聯(lián)絡專家管理策略制訂標準化制訂論壇地市局安全領導小組辦公室訓練管理對外聯(lián)絡專家管理策略標制論壇省局安全管理中心網(wǎng)絡管理運行管理人員管理法規(guī)管理病毒防治安全管理地市局安全管理中心網(wǎng)絡管理運行管理人員管理法規(guī)管理病毒管理安全管理行業(yè)主管部門總局領導總局安全管理中心網(wǎng)運人法病安總局安全領導見方案摘要第15頁見方案摘要第15頁實施計劃 整個方案的實施分為三個主要階段：第一階段，周期為一年。重點實施安全保障體系中的網(wǎng)絡防護系統(tǒng)；安全支撐平臺和安全應用平臺；開發(fā)針對金稅二期業(yè)務系統(tǒng)的安全接口；數(shù)據(jù)備份與容災系統(tǒng)。第二階段，周期為兩年。進一步完善應用系統(tǒng)安全的開發(fā)，全面滿足金稅三期應用安全的要求；建立安全管理平臺；完善安全管理機制（包括規(guī)范、制