稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全系統(tǒng)培訓(xùn)

稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息平安系統(tǒng)培訓(xùn)AGENDA稅務(wù)系統(tǒng)信息平安體系總體方案簡(jiǎn)介稅務(wù)系統(tǒng)首期網(wǎng)絡(luò)與信息平安防護(hù)體系建設(shè)工程工程簡(jiǎn)介稅務(wù)系統(tǒng)信息平安體系總體方案簡(jiǎn)介主要內(nèi)容工程背景建設(shè)內(nèi)容和目標(biāo)總體結(jié)構(gòu)網(wǎng)絡(luò)防護(hù)子系統(tǒng)平安根底設(shè)施子系統(tǒng)平安應(yīng)用子系統(tǒng)平安管理子系統(tǒng)Internet應(yīng)用實(shí)施規(guī)劃信息平安策略需求信息平安標(biāo)準(zhǔn)標(biāo)準(zhǔn)需求信息平安技術(shù)需求信息平安工程需求信息平安組織保障需求信息平安管理需求?稅務(wù)系統(tǒng)信息平安體系需求分析?稅務(wù)信息系統(tǒng)平安體系建設(shè)內(nèi)容在全網(wǎng)范圍建設(shè)涵蓋物理環(huán)境、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)和數(shù)據(jù)平安等各個(gè)層面的信息平安體系和信息平安組織保障架構(gòu)，抵御各種攻擊與風(fēng)險(xiǎn)。國(guó)家稅務(wù)總局省級(jí)國(guó)地稅局地市級(jí)國(guó)地稅局區(qū)縣級(jí)國(guó)地稅局征收分局〔稅務(wù)所〕?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?〔GB17859-1999〕總體方案設(shè)計(jì)依據(jù)國(guó)家電子政務(wù)試點(diǎn)示范工程平安體系和技術(shù)標(biāo)準(zhǔn)?信息保障技術(shù)框架〔InformationAssuranceTechnicalFramework，IATF〕?國(guó)家主管部門的相關(guān)政策和法規(guī)〔包括27號(hào)文件〕?稅務(wù)系統(tǒng)信息平安體系需求分析?1、建立網(wǎng)絡(luò)邊界和平安應(yīng)用域防護(hù)系統(tǒng)，重點(diǎn)防止來(lái)自外部的攻擊和對(duì)內(nèi)部平安訪問(wèn)域進(jìn)行控制。2、建立效勞于全網(wǎng)和所有應(yīng)用的平安根底設(shè)施，實(shí)現(xiàn)內(nèi)部的身份認(rèn)證、權(quán)限劃分、訪問(wèn)控制和平安審計(jì)。3、建立全網(wǎng)范圍內(nèi)的平安管理與響應(yīng)中心，強(qiáng)化網(wǎng)絡(luò)可管理、平安可維護(hù)、事件可響應(yīng)。系統(tǒng)建設(shè)目標(biāo)4、進(jìn)行分級(jí)縱深平安保護(hù)，構(gòu)成全網(wǎng)統(tǒng)一的防范與保護(hù)、監(jiān)控與檢查、響應(yīng)與處置機(jī)制。稅務(wù)系統(tǒng)信息平安體系平面邏輯結(jié)構(gòu)稅務(wù)信息系統(tǒng)網(wǎng)絡(luò)的劃分與連接

互聯(lián)網(wǎng)

業(yè)務(wù)專網(wǎng)

物理隔離

涉密網(wǎng)

邏輯隔離政務(wù)外網(wǎng)銀行海關(guān)工商企業(yè)納稅戶對(duì)外宣傳設(shè)計(jì)重點(diǎn)技術(shù)體系架構(gòu)：安全支撐平臺(tái)

平安應(yīng)用子系統(tǒng)網(wǎng)絡(luò)防護(hù)子系統(tǒng)平安認(rèn)證與授權(quán)子系統(tǒng)平安管理子系統(tǒng)應(yīng)用支撐平臺(tái)

安全管理平臺(tái)

三個(gè)平臺(tái)四個(gè)平安子系統(tǒng)稅收業(yè)務(wù)管理系統(tǒng)

稅務(wù)行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng)網(wǎng)絡(luò)防護(hù)子系統(tǒng)入侵檢測(cè)網(wǎng)絡(luò)防護(hù)子系統(tǒng)國(guó)稅總局備份中心省國(guó)地稅局地/市國(guó)地稅縣國(guó)地稅線路密碼機(jī)防火墻防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡(luò)行為審計(jì)操作系統(tǒng)加固高平安區(qū)域網(wǎng)絡(luò)防護(hù)子系統(tǒng)構(gòu)造了平安邊界省局局域網(wǎng)總局接口地市局接口橫向接口互聯(lián)網(wǎng)接口加密機(jī)：保護(hù)離開局域網(wǎng)的信息平安，同時(shí)防止非法接入。防火墻：防止來(lái)自總局內(nèi)部的攻擊。防火墻：防止來(lái)自外部的攻擊。防火墻：即防止來(lái)自外部的攻擊，也要防止來(lái)自地市局的內(nèi)部攻擊。入侵檢測(cè)：發(fā)現(xiàn)非法入侵行為。防病毒網(wǎng)關(guān)：防止外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡(luò)接口。網(wǎng)絡(luò)行為審計(jì)：加強(qiáng)網(wǎng)絡(luò)平安管理，追查平安事件。操作系統(tǒng)加固：設(shè)置運(yùn)行環(huán)境的最后一道防線。安全邊界平安認(rèn)證與授權(quán)子系統(tǒng)平安認(rèn)證與授權(quán)子系統(tǒng)的組成業(yè)務(wù)專網(wǎng)：主要由CA認(rèn)證系統(tǒng)、KMC密鑰管理系統(tǒng)和AA授權(quán)系統(tǒng)組成。在Internet網(wǎng)：主要由CA認(rèn)證系統(tǒng)和KMC密鑰管理系統(tǒng)組成。根據(jù)稅務(wù)系統(tǒng)業(yè)務(wù)需要，將要在業(yè)務(wù)專網(wǎng)和Internet網(wǎng)建兩套效勞于全國(guó)稅務(wù)的平安認(rèn)證或授權(quán)系統(tǒng)。平安認(rèn)證技術(shù)：主要用于識(shí)別網(wǎng)絡(luò)行為主體的身份〔你是誰(shuí)？〕，再通過(guò)身份來(lái)決定行為的合法性。訪問(wèn)控制授權(quán)技術(shù)：主要用于確定資源訪問(wèn)者的“權(quán)限〞，通過(guò)權(quán)限劃分出信息的平安域等級(jí)，根據(jù)等級(jí)要求對(duì)訪問(wèn)者進(jìn)行集中授權(quán)〔你能干什么？〕控制。平安認(rèn)證與授權(quán)子系統(tǒng)的作用

業(yè)務(wù)專網(wǎng)的CA與AA系統(tǒng)主要用于內(nèi)部業(yè)務(wù)系統(tǒng)對(duì)操作者身份認(rèn)證與授權(quán)。在Internet上的CA系統(tǒng)主要用于鑒別訪問(wèn)者真實(shí)身份，僅效勞于應(yīng)用層面。其中，CA效勞于網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用三個(gè)層面，解決網(wǎng)絡(luò)平安連接；系統(tǒng)平安登錄與管理；應(yīng)用平安鑒別等問(wèn)題。AA只效勞于應(yīng)用層面，解決對(duì)信息資源的平安管理問(wèn)題。平安認(rèn)證與授權(quán)子系統(tǒng)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫(kù)效勞訪問(wèn)他是誰(shuí)？有什么權(quán)限？認(rèn)證系統(tǒng)授權(quán)系統(tǒng)用戶認(rèn)證證書用戶權(quán)限證書設(shè)備認(rèn)證證書設(shè)備認(rèn)證證書軟件認(rèn)證證書認(rèn)證證書的種類與作用按使用對(duì)象劃分：人員證書、設(shè)備證書、機(jī)構(gòu)證書三種類型。按功能劃分：加密證書和簽名證書。按性質(zhì)劃分：系統(tǒng)證書和用戶證書。數(shù)據(jù)等級(jí)的劃分與控制用戶AA系統(tǒng)效勞訪問(wèn)授權(quán)系統(tǒng)一級(jí)數(shù)據(jù)二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)五級(jí)數(shù)據(jù)數(shù)據(jù)平安域的應(yīng)用要求與原理五級(jí)安全域二級(jí)安全域三級(jí)安全域一級(jí)安全域ABC：數(shù)據(jù)明文ABC訪問(wèn)ABCABC建立五級(jí)環(huán)境ABCABCABC身份與權(quán)限認(rèn)證五級(jí)保護(hù)平安認(rèn)證與授權(quán)子系統(tǒng)業(yè)務(wù)專網(wǎng)CA和互聯(lián)網(wǎng)CA平安認(rèn)證與授權(quán)子系統(tǒng)“權(quán)限〞在國(guó)稅業(yè)務(wù)系統(tǒng)中的訪問(wèn)控制原理和應(yīng)用稅收業(yè)務(wù)管理系統(tǒng)

稅務(wù)行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng)身份認(rèn)證子系統(tǒng)訪問(wèn)控制機(jī)制用戶ABC12345

級(jí)別角色12345A★★★B★★★C★D★★E★★F★授權(quán)管理子系統(tǒng)劃分系統(tǒng)平安等級(jí)分配用戶角色

授權(quán)身份認(rèn)證機(jī)制平安應(yīng)用子系統(tǒng)業(yè)務(wù)系統(tǒng)需要什么樣的平安？業(yè)務(wù)系統(tǒng)的使用者或效勞對(duì)象是特定的，通常不允許與業(yè)務(wù)無(wú)關(guān)的人員隨意訪問(wèn)或操作。因此：業(yè)務(wù)系統(tǒng)本身必須能夠準(zhǔn)確地識(shí)別使用者的真實(shí)身份，防止與業(yè)務(wù)無(wú)關(guān)的人員非法使用系統(tǒng)。常用的解決方法帳號(hào)+口令；證書；生物特征平安總體方案要求：使用統(tǒng)一的身份認(rèn)證證書業(yè)務(wù)系統(tǒng)需要什么樣的平安？

業(yè)務(wù)系統(tǒng)的資源〔資料、數(shù)據(jù)、表格或設(shè)備〕根據(jù)使用者的崗位或職務(wù)不同有限制要求，這種要求被稱作“權(quán)限〞。例如：是否允許使用、能做什么樣的操作等。而且這種權(quán)限往往會(huì)經(jīng)常變化。因此：業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進(jìn)行控制，能夠動(dòng)態(tài)地分配權(quán)限，控制使用者的操作行為，防止越崗位操作或越權(quán)限操作。常用的解決方法基于口令的訪問(wèn)控制基于角色的訪問(wèn)控制平安總體方案要求：基于角色的訪問(wèn)控制業(yè)務(wù)系統(tǒng)需要什么樣的平安？

數(shù)據(jù)或文件是整個(gè)業(yè)務(wù)系統(tǒng)的核心，要求數(shù)據(jù)必須真實(shí)可信、不能隨意篡改，甚至不能泄露或被竊取。因此：業(yè)務(wù)系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進(jìn)行保護(hù)，防止由于數(shù)據(jù)的平安得不到保證而失去業(yè)務(wù)系統(tǒng)本身的可用性。常用的解決方法基于口令的限制基于密碼的保護(hù)平安總體方案要求：基于密碼業(yè)務(wù)系統(tǒng)需要什么樣的平安？

從管理的角度要求能夠了解操作者使用業(yè)務(wù)系統(tǒng)的情況，尤其在工作中出現(xiàn)問(wèn)題、事件后能夠追查，找出原因或分清責(zé)任，作出合理地處置。因此：業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡叩男袨檫M(jìn)行跟蹤、記錄、統(tǒng)計(jì)和審計(jì)，及時(shí)發(fā)現(xiàn)工作中出現(xiàn)的問(wèn)題，使系統(tǒng)可管理，事件可追查。常用的解決方法日志；平安事件審計(jì)。平安總體方案要求：日志與平安事件審計(jì)。平安應(yīng)用子系統(tǒng)采用平安中間件和門戶網(wǎng)站相結(jié)合的技術(shù)，提供以PKI/PMI技術(shù)為核心的各種平安效勞功能，實(shí)現(xiàn)單點(diǎn)登錄和訪問(wèn)控制。實(shí)現(xiàn)全系統(tǒng)統(tǒng)一的平安效勞接口。身份認(rèn)證訪問(wèn)控制數(shù)字簽名與驗(yàn)證密押與密押驗(yàn)證數(shù)據(jù)加密傳輸信道加密平安事件審計(jì)時(shí)間戳應(yīng)用程序中間件〔接口〕面向應(yīng)用的平安效勞功能開始結(jié)束出示證書訪問(wèn)控制權(quán)限控制數(shù)字簽名平安審計(jì)平安管理子系統(tǒng)平安管理子系統(tǒng)的組成平安策略子系統(tǒng)網(wǎng)絡(luò)管理與網(wǎng)絡(luò)平安防護(hù)管理事件監(jiān)控管理平安設(shè)備管理策略執(zhí)行管理〔平安互動(dòng)〕審計(jì)管理病毒防治管理平安評(píng)估與事件分析軟件升級(jí)管理信息平安策略體系定義：信息平安策略是為發(fā)布、管理和保護(hù)稅務(wù)系統(tǒng)內(nèi)部信息資源而制定的一組法律、法規(guī)和措施的總和，是對(duì)稅務(wù)系統(tǒng)信息資源使用和管理的標(biāo)準(zhǔn)描述，是全系統(tǒng)都要遵守的規(guī)那么。地位：策略體系是稅務(wù)信息平安體系的核心。平安策略內(nèi)容由信息平安目標(biāo)制約，平安策略實(shí)施依靠平安體系的各種執(zhí)行系統(tǒng)。稅務(wù)系統(tǒng)信息平安策略創(chuàng)立與執(zhí)行流程圖總局信息安全管理中心信息安全管理平臺(tái)

目標(biāo)信息安全策略管理系統(tǒng)創(chuàng)建安全機(jī)制審計(jì)

評(píng)估安全要求規(guī)章規(guī)范標(biāo)準(zhǔn)主策略上層策略發(fā)布中層策略不可否認(rèn)可用性保密性訪問(wèn)控制鑒別執(zhí)行策略庫(kù)底層策略安全標(biāo)簽訪問(wèn)控制口令配置IDS配置防火墻安全性能要求信息共享策略維護(hù)翻譯翻譯省局信息安全管理中心地市局信息安全管理中心稅務(wù)信息平安策略體系的主要內(nèi)容策略管理和建設(shè)職責(zé)管理策略技術(shù)管理策略人員管理策略運(yùn)行管理策略信息資產(chǎn)管理策略業(yè)務(wù)連續(xù)性策略法律和其它策略的符合性總局省局策略執(zhí)行模塊策略日志地市局平安審計(jì)模塊設(shè)備管理模塊網(wǎng)絡(luò)管理模塊運(yùn)行管理模塊病毒防治模塊策略日志地市局平安管理平臺(tái)省局平安管理平臺(tái)策略平安管理子系統(tǒng)的結(jié)構(gòu)行業(yè)主管部門總局領(lǐng)導(dǎo)總局安全管理中心網(wǎng)絡(luò)管理運(yùn)行管理人員管理法規(guī)管理病毒防治安全設(shè)備總局平安領(lǐng)導(dǎo)小組總局平安領(lǐng)導(dǎo)小組辦公室訓(xùn)練管理對(duì)外聯(lián)絡(luò)專家管理策略制訂標(biāo)準(zhǔn)化制訂論壇省局領(lǐng)導(dǎo)地市局領(lǐng)導(dǎo)省局安全領(lǐng)導(dǎo)小組總局安全領(lǐng)導(dǎo)小組辦公室訓(xùn)練管理對(duì)外聯(lián)絡(luò)專家管理策略制訂標(biāo)準(zhǔn)化制訂論壇地市局安全領(lǐng)導(dǎo)小組辦公室訓(xùn)練管理對(duì)外聯(lián)絡(luò)專家管理策略標(biāo)制論壇省局安全管理中心網(wǎng)絡(luò)管理運(yùn)行管理人員管理法規(guī)管理病毒防治安全管理地市局平安管理中心網(wǎng)絡(luò)管理運(yùn)行管理人員管理法規(guī)管理病毒管理平安管理稅務(wù)系統(tǒng)信息平安組織保障子系統(tǒng)行業(yè)主管部門總局領(lǐng)導(dǎo)總局安全管理中心總局安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組辦公室省局領(lǐng)導(dǎo)地市局領(lǐng)導(dǎo)省局安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組辦公室省局安全管理中心地市局安全管理中心地市局安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組辦公室安全領(lǐng)導(dǎo)決策體系安全管理執(zhí)行體系審計(jì)監(jiān)督

審計(jì)監(jiān)督審計(jì)監(jiān)督安全審計(jì)監(jiān)督體系稅務(wù)系統(tǒng)信息平安組織保障子系統(tǒng)Internet的應(yīng)用InternetCA中心總局WWW省局WWW省局WWW省局WWW省局WWW統(tǒng)一的認(rèn)證與控制Inter