稅務系統(tǒng)網(wǎng)絡及信息安全教育課件

稅務系統(tǒng)網(wǎng)絡與信息安全系統(tǒng)培訓AGENDA稅務系統(tǒng)信息安全體系總體方案簡介稅務系統(tǒng)首期網(wǎng)絡與信息安全防護體系建設(shè)項目工程簡介稅務系統(tǒng)信息安全體系總體方案簡介主要內(nèi)容項目背景建設(shè)內(nèi)容和目標總體結(jié)構(gòu)網(wǎng)絡防護子系統(tǒng)安全基礎(chǔ)設(shè)施子系統(tǒng)安全應用子系統(tǒng)安全管理子系統(tǒng)Internet應用實施規(guī)劃

信息安全策略需求信息安全標準規(guī)范需求信息安全技術(shù)需求信息安全工程需求信息安全組織保障需求信息安全管理需求《稅務系統(tǒng)信息安全體系需求分析》稅務信息系統(tǒng)安全體系建設(shè)內(nèi)容

在全網(wǎng)范圍建設(shè)涵蓋物理環(huán)境、網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)和數(shù)據(jù)安全等各個層面的信息安全體系和信息安全組織保障架構(gòu)，抵御各種攻擊與風險。國家稅務總局省級國地稅局地市級國地稅局區(qū)縣級國地稅局征收分局（稅務所）《計算機信息系統(tǒng)安全保護等級劃分準則》

（GB17859-1999）總體方案設(shè)計依據(jù)

國家電子政務試點示范工程安全體系和技術(shù)規(guī)范《信息保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）》

國家主管部門的相關(guān)政策和法規(guī)（包括27號文件）《稅務系統(tǒng)信息安全體系需求分析》1、建立網(wǎng)絡邊界和安全應用域防護系統(tǒng)，重點防止來自外部的攻擊和對內(nèi)部安全訪問域進行控制。2、建立服務于全網(wǎng)和所有應用的安全基礎(chǔ)設(shè)施，實現(xiàn)內(nèi)部的身份認證、權(quán)限劃分、訪問控制和安全審計。3、建立全網(wǎng)范圍內(nèi)的安全管理與響應中心，強化網(wǎng)絡可管理、安全可維護、事件可響應。系統(tǒng)建設(shè)目標4、進行分級縱深安全保護，

構(gòu)成全網(wǎng)統(tǒng)一的防范與保護、監(jiān)控與檢查、響應與處置機制。稅務系統(tǒng)信息安全體系平面邏輯結(jié)構(gòu)稅務信息系統(tǒng)網(wǎng)絡的劃分與連接

互聯(lián)網(wǎng)

業(yè)務專網(wǎng)

物理隔離

涉密網(wǎng)

邏輯隔離政務外網(wǎng)銀行海關(guān)工商企業(yè)納稅戶對外宣傳設(shè)計重點技術(shù)體系架構(gòu)：安全支撐平臺

安全應用子系統(tǒng)網(wǎng)絡防護子系統(tǒng)安全認證與授權(quán)子系統(tǒng)安全管理子系統(tǒng)

應用支撐平臺

安全管理平臺

三個平臺四個安全子系統(tǒng)稅收業(yè)務管理系統(tǒng)

稅務行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng)網(wǎng)絡防護子系統(tǒng)入侵檢測網(wǎng)絡防護子系統(tǒng)國稅總局備份中心省國地稅局地/市國地稅縣國地稅線路密碼機防火墻防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡行為審計操作系統(tǒng)加固高安全區(qū)域網(wǎng)絡防護子系統(tǒng)構(gòu)造了安全邊界省局局域網(wǎng)總局接口地市局接口橫向接口互聯(lián)網(wǎng)接口加密機：保護離開局域網(wǎng)的信息安全，同時防止非法接入。防火墻：防止來自總局內(nèi)部的攻擊。防火墻：防止來自外部的攻擊。防火墻：即防止來自外部的攻擊，也要防止來自地市局的內(nèi)部攻擊。入侵檢測：發(fā)現(xiàn)非法入侵行為。防病毒網(wǎng)關(guān)：防止外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡接口。網(wǎng)絡行為審計：加強網(wǎng)絡安全管理，追查安全事件。操作系統(tǒng)加固：設(shè)置運行環(huán)境的最后一道防線。安全邊界安全認證與授權(quán)子系統(tǒng)安全認證與授權(quán)子系統(tǒng)的組成業(yè)務專網(wǎng)：主要由CA認證系統(tǒng)、KMC密鑰管理系統(tǒng)和AA授權(quán)系統(tǒng)組成。在Internet網(wǎng)：主要由CA認證系統(tǒng)和KMC密鑰管理系統(tǒng)組成。

根據(jù)稅務系統(tǒng)業(yè)務需要，將要在業(yè)務專網(wǎng)和Internet網(wǎng)建兩套服務于全國稅務的安全認證或授權(quán)系統(tǒng)。安全認證技術(shù)：主要用于識別網(wǎng)絡行為主體的身份（你是誰？），再通過身份來決定行為的合法性。訪問控制授權(quán)技術(shù)：主要用于確定資源訪問者的“權(quán)限”，通過權(quán)限劃分出信息的安全域等級，根據(jù)等級要求對訪問者進行集中授權(quán)（你能干什么？）控制。安全認證與授權(quán)子系統(tǒng)的作用

業(yè)務專網(wǎng)的CA與AA系統(tǒng)主要用于內(nèi)部業(yè)務系統(tǒng)對操作者身份認證與授權(quán)。

在Internet上的CA系統(tǒng)主要用于鑒別訪問者真實身份，僅服務于應用層面。

其中，CA服務于網(wǎng)絡、操作系統(tǒng)和應用三個層面，解決網(wǎng)絡安全連接；系統(tǒng)安全登錄與管理；應用安全鑒別等問題。AA只服務于應用層面，解決對信息資源的安全管理問題。安全認證與授權(quán)子系統(tǒng)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫服務訪問他是誰？有什么權(quán)限？認證系統(tǒng)授權(quán)系統(tǒng)用戶認證證書用戶權(quán)限證書設(shè)備認證證書設(shè)備認證證書軟件認證證書認證證書的種類與作用按使用對象劃分：人員證書、設(shè)備證書、機構(gòu)證書三種類型。按功能劃分：加密證書和簽名證書。按性質(zhì)劃分：系統(tǒng)證書和用戶證書。數(shù)據(jù)等級的劃分與控制用戶AA系統(tǒng)服務訪問授權(quán)系統(tǒng)一級數(shù)據(jù)二級數(shù)據(jù)三級數(shù)據(jù)四級數(shù)據(jù)五級數(shù)據(jù)數(shù)據(jù)安全域的應用要求與原理五級安全域二級安全域三級安全域一級安全域ABC：數(shù)據(jù)明文ABC訪問ABCABC建立五級環(huán)境ABCABCABC身份與權(quán)限認證五級保護安全認證與授權(quán)子系統(tǒng)業(yè)務專網(wǎng)CA和互聯(lián)網(wǎng)CA安全認證與授權(quán)子系統(tǒng)“權(quán)限”在國稅業(yè)務系統(tǒng)中的訪問控制原理和應用

稅收業(yè)務管理系統(tǒng)

稅務行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng)身份認證子系統(tǒng)訪問控制機制用戶ABC12345

級別角色12345A★★★B★★★C★D★★E★★F★授權(quán)管理子系統(tǒng)劃分系統(tǒng)安全等級分配用戶角色

授權(quán)身份認證機制安全應用子系統(tǒng)業(yè)務系統(tǒng)需要什么樣的安全？

業(yè)務系統(tǒng)的使用者或服務對象是特定的，通常不允許與業(yè)務無關(guān)的人員隨意訪問或操作。

因此：業(yè)務系統(tǒng)本身必須能夠準確地識別使用者的真實身份，防止與業(yè)務無關(guān)的人員非法使用系統(tǒng)。常用的解決辦法帳號+口令；證書；生物特征安全總體方案要求：使用統(tǒng)一的身份認證證書業(yè)務系統(tǒng)需要什么樣的安全？

業(yè)務系統(tǒng)的資源（資料、數(shù)據(jù)、表格或設(shè)備）根據(jù)使用者的崗位或職務不同有限制要求，這種要求被稱作“權(quán)限”。例如：是否允許使用、能做什么樣的操作等。而且這種權(quán)限往往會經(jīng)常變化。因此：業(yè)務系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進行控制，能夠動態(tài)地分配權(quán)限，控制使用者的操作行為，防止越崗位操作或越權(quán)限操作。常用的解決辦法基于口令的訪問控制基于角色的訪問控制安全總體方案要求：基于角色的訪問控制業(yè)務系統(tǒng)需要什么樣的安全？

數(shù)據(jù)或文件是整個業(yè)務系統(tǒng)的核心，要求數(shù)據(jù)必須真實可信、不能隨意篡改，甚至不能泄露或被竊取。因此：業(yè)務系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進行保護，防止由于數(shù)據(jù)的安全得不到保證而失去業(yè)務系統(tǒng)本身的可用性。常用的解決辦法基于口令的限制基于密碼的保護安全總體方案要求：基于密碼業(yè)務系統(tǒng)需要什么樣的安全？

從管理的角度要求能夠了解操作者使用業(yè)務系統(tǒng)的情況，尤其在工作中出現(xiàn)問題、事件后能夠追查，找出原因或分清責任，作出合理地處置。因此：業(yè)務系統(tǒng)本身必須能夠?qū)Σ僮髡叩男袨檫M行跟蹤、記錄、統(tǒng)計和審計，及時發(fā)現(xiàn)工作中出現(xiàn)的問題，使系統(tǒng)可管理，事件可追查。常用的解決辦法日志；安全事件審計。安全總體方案要求：日志與安全事件審計。安全應用子系統(tǒng)

采用安全中間件和門戶網(wǎng)站相結(jié)合的技術(shù)，提供以PKI/PMI技術(shù)為核心的各種安全服務功能，實現(xiàn)單點登錄和訪問控制。實現(xiàn)全系統(tǒng)統(tǒng)一的安全服務接口。身份認證訪問控制數(shù)字簽名與驗證密押與密押驗證數(shù)據(jù)加密傳輸信道加密安全事件審計時間戳應用程序中間件（接口）面向應用的安全服務功能開始結(jié)束出示證書訪問控制權(quán)限控制數(shù)字簽名安全審計安全管理子系統(tǒng)安全管理子系統(tǒng)的組成

安全策略子系統(tǒng)網(wǎng)絡管理與網(wǎng)絡安全防護管理事件監(jiān)控管理安全設(shè)備管理策略執(zhí)行管理（安全互動）審計管理病毒防治管理安全評估與事件分析

軟件升級管理信息安全策略體系

定義：

信息安全策略是為發(fā)布、管理和保護稅務系統(tǒng)內(nèi)部信息資源而制定的一組法律、法規(guī)和措施的總和，是對稅務系統(tǒng)信息資源使用和管理的規(guī)范描述，是全系統(tǒng)都要遵守的規(guī)則。

地位：策略體系是稅務信息安全體系的核心。安全策略內(nèi)容由信息安全目標制約，安全策略實施依靠安全體系的各種執(zhí)行系統(tǒng)。

稅務系統(tǒng)信息安全策略創(chuàng)建與執(zhí)行流程圖總局信息安全管理中心信息安全管理平臺

目標信息安全策略管理系統(tǒng)創(chuàng)建安全機制審計

評估安全要求規(guī)章規(guī)范標準主策略上層策略發(fā)布中層策略不可否認可用性保密性訪問控制鑒別執(zhí)行策略庫底層策略安全標簽訪問控制口令配置IDS配置防火墻安全性能要求信息共享策略維護翻譯翻譯省局信息安全管理中心地市局信息安全管理中心稅務信息安全策略體系的主要內(nèi)容

策略管理和建設(shè)職責管理策略技術(shù)管理策略人員管理策略運行管理策略信息資產(chǎn)管理策略業(yè)務連續(xù)性策略法律和其它策略的符合性安全管理子系統(tǒng)的邏輯圖

總局省局策略執(zhí)行模塊策略日志地市局安全審計模塊設(shè)備管理模塊網(wǎng)絡管理模塊運行管理模塊病毒防治模塊策略日志地市局安全管理平臺省局安全管理平臺策略安全管理子系統(tǒng)的結(jié)構(gòu)

行業(yè)主管部門總局領(lǐng)導總局安全管理中心網(wǎng)絡管理運行管理人員管理法規(guī)管理病毒防治安全設(shè)備總局安全領(lǐng)導小組總局安全領(lǐng)導小組辦公室訓練管理對外聯(lián)絡專家管理策略制訂標準化制訂論壇省局領(lǐng)導地市局領(lǐng)導省局安全領(lǐng)導小組總局安全領(lǐng)導小組辦公室訓練管理對外聯(lián)絡專家管理策略制訂標準化制訂論壇地市局安全領(lǐng)導小組辦公室訓練管理對外聯(lián)絡專家管理策略標制論壇省局安全管理中心網(wǎng)絡管理運行管理人員管理法規(guī)管理病毒防治安全管理地市局安全管理中心網(wǎng)絡管理運行管理人員管理法規(guī)管理病毒管理安全管理稅務系統(tǒng)信息安全組織保障子系統(tǒng)行業(yè)主管部門總局領(lǐng)導總局安全管理中心總局安全領(lǐng)導小組領(lǐng)導小組辦公室省局領(lǐng)導地市局領(lǐng)導省局安全領(lǐng)導小組領(lǐng)導小組辦公室省局安全管理中心地市局安全管理中心地市局安全領(lǐng)導小組領(lǐng)導小組辦公室安全領(lǐng)導決策體系安全管理執(zhí)行體系審計監(jiān)督

審計監(jiān)督審計監(jiān)督安全審計監(jiān)督體系稅務系統(tǒng)信息安全組織保障子系統(tǒng)Internet的應用InternetCA中心總局WWW省局WWW省局WWW省局WWW省局WWW統(tǒng)一的認證與控制Inter