稅務(wù)系統(tǒng)網(wǎng)絡(luò)及信息安全教育課件

稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全系統(tǒng)培訓(xùn)AGENDA稅務(wù)系統(tǒng)信息安全體系總體方案簡介稅務(wù)系統(tǒng)首期網(wǎng)絡(luò)與信息安全防護體系建設(shè)項目工程簡介稅務(wù)系統(tǒng)信息安全體系總體方案簡介主要內(nèi)容項目背景建設(shè)內(nèi)容和目標(biāo)總體結(jié)構(gòu)網(wǎng)絡(luò)防護子系統(tǒng)安全基礎(chǔ)設(shè)施子系統(tǒng)安全應(yīng)用子系統(tǒng)安全管理子系統(tǒng)Internet應(yīng)用實施規(guī)劃

信息安全策略需求信息安全標(biāo)準(zhǔn)規(guī)范需求信息安全技術(shù)需求信息安全工程需求信息安全組織保障需求信息安全管理需求《稅務(wù)系統(tǒng)信息安全體系需求分析》稅務(wù)信息系統(tǒng)安全體系建設(shè)內(nèi)容

在全網(wǎng)范圍建設(shè)涵蓋物理環(huán)境、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)和數(shù)據(jù)安全等各個層面的信息安全體系和信息安全組織保障架構(gòu)，抵御各種攻擊與風(fēng)險。國家稅務(wù)總局省級國地稅局地市級國地稅局區(qū)縣級國地稅局征收分局（稅務(wù)所）《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》

（GB17859-1999）總體方案設(shè)計依據(jù)

國家電子政務(wù)試點示范工程安全體系和技術(shù)規(guī)范《信息保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）》

國家主管部門的相關(guān)政策和法規(guī)（包括27號文件）《稅務(wù)系統(tǒng)信息安全體系需求分析》1、建立網(wǎng)絡(luò)邊界和安全應(yīng)用域防護系統(tǒng)，重點防止來自外部的攻擊和對內(nèi)部安全訪問域進行控制。2、建立服務(wù)于全網(wǎng)和所有應(yīng)用的安全基礎(chǔ)設(shè)施，實現(xiàn)內(nèi)部的身份認(rèn)證、權(quán)限劃分、訪問控制和安全審計。3、建立全網(wǎng)范圍內(nèi)的安全管理與響應(yīng)中心，強化網(wǎng)絡(luò)可管理、安全可維護、事件可響應(yīng)。系統(tǒng)建設(shè)目標(biāo)4、進行分級縱深安全保護，

構(gòu)成全網(wǎng)統(tǒng)一的防范與保護、監(jiān)控與檢查、響應(yīng)與處置機制。稅務(wù)系統(tǒng)信息安全體系平面邏輯結(jié)構(gòu)稅務(wù)信息系統(tǒng)網(wǎng)絡(luò)的劃分與連接

互聯(lián)網(wǎng)

業(yè)務(wù)專網(wǎng)

物理隔離

涉密網(wǎng)

邏輯隔離政務(wù)外網(wǎng)銀行海關(guān)工商企業(yè)納稅戶對外宣傳設(shè)計重點技術(shù)體系架構(gòu)：安全支撐平臺

安全應(yīng)用子系統(tǒng)網(wǎng)絡(luò)防護子系統(tǒng)安全認(rèn)證與授權(quán)子系統(tǒng)安全管理子系統(tǒng)

應(yīng)用支撐平臺

安全管理平臺

三個平臺四個安全子系統(tǒng)稅收業(yè)務(wù)管理系統(tǒng)

稅務(wù)行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng)網(wǎng)絡(luò)防護子系統(tǒng)入侵檢測網(wǎng)絡(luò)防護子系統(tǒng)國稅總局備份中心省國地稅局地/市國地稅縣國地稅線路密碼機防火墻防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡(luò)行為審計操作系統(tǒng)加固高安全區(qū)域網(wǎng)絡(luò)防護子系統(tǒng)構(gòu)造了安全邊界省局局域網(wǎng)總局接口地市局接口橫向接口互聯(lián)網(wǎng)接口加密機：保護離開局域網(wǎng)的信息安全，同時防止非法接入。防火墻：防止來自總局內(nèi)部的攻擊。防火墻：防止來自外部的攻擊。防火墻：即防止來自外部的攻擊，也要防止來自地市局的內(nèi)部攻擊。入侵檢測：發(fā)現(xiàn)非法入侵行為。防病毒網(wǎng)關(guān)：防止外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡(luò)接口。網(wǎng)絡(luò)行為審計：加強網(wǎng)絡(luò)安全管理，追查安全事件。操作系統(tǒng)加固：設(shè)置運行環(huán)境的最后一道防線。安全邊界安全認(rèn)證與授權(quán)子系統(tǒng)安全認(rèn)證與授權(quán)子系統(tǒng)的組成業(yè)務(wù)專網(wǎng)：主要由CA認(rèn)證系統(tǒng)、KMC密鑰管理系統(tǒng)和AA授權(quán)系統(tǒng)組成。在Internet網(wǎng)：主要由CA認(rèn)證系統(tǒng)和KMC密鑰管理系統(tǒng)組成。

根據(jù)稅務(wù)系統(tǒng)業(yè)務(wù)需要，將要在業(yè)務(wù)專網(wǎng)和Internet網(wǎng)建兩套服務(wù)于全國稅務(wù)的安全認(rèn)證或授權(quán)系統(tǒng)。安全認(rèn)證技術(shù)：主要用于識別網(wǎng)絡(luò)行為主體的身份（你是誰？），再通過身份來決定行為的合法性。訪問控制授權(quán)技術(shù)：主要用于確定資源訪問者的“權(quán)限”，通過權(quán)限劃分出信息的安全域等級，根據(jù)等級要求對訪問者進行集中授權(quán)（你能干什么？）控制。安全認(rèn)證與授權(quán)子系統(tǒng)的作用

業(yè)務(wù)專網(wǎng)的CA與AA系統(tǒng)主要用于內(nèi)部業(yè)務(wù)系統(tǒng)對操作者身份認(rèn)證與授權(quán)。

在Internet上的CA系統(tǒng)主要用于鑒別訪問者真實身份，僅服務(wù)于應(yīng)用層面。

其中，CA服務(wù)于網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用三個層面，解決網(wǎng)絡(luò)安全連接；系統(tǒng)安全登錄與管理；應(yīng)用安全鑒別等問題。AA只服務(wù)于應(yīng)用層面，解決對信息資源的安全管理問題。安全認(rèn)證與授權(quán)子系統(tǒng)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫服務(wù)訪問他是誰？有什么權(quán)限？認(rèn)證系統(tǒng)授權(quán)系統(tǒng)用戶認(rèn)證證書用戶權(quán)限證書設(shè)備認(rèn)證證書設(shè)備認(rèn)證證書軟件認(rèn)證證書認(rèn)證證書的種類與作用按使用對象劃分：人員證書、設(shè)備證書、機構(gòu)證書三種類型。按功能劃分：加密證書和簽名證書。按性質(zhì)劃分：系統(tǒng)證書和用戶證書。數(shù)據(jù)等級的劃分與控制用戶AA系統(tǒng)服務(wù)訪問授權(quán)系統(tǒng)一級數(shù)據(jù)二級數(shù)據(jù)三級數(shù)據(jù)四級數(shù)據(jù)五級數(shù)據(jù)數(shù)據(jù)安全域的應(yīng)用要求與原理五級安全域二級安全域三級安全域一級安全域ABC：數(shù)據(jù)明文ABC訪問ABCABC建立五級環(huán)境ABCABCABC身份與權(quán)限認(rèn)證五級保護安全認(rèn)證與授權(quán)子系統(tǒng)業(yè)務(wù)專網(wǎng)CA和互聯(lián)網(wǎng)CA安全認(rèn)證與授權(quán)子系統(tǒng)“權(quán)限”在國稅業(yè)務(wù)系統(tǒng)中的訪問控制原理和應(yīng)用

稅收業(yè)務(wù)管理系統(tǒng)

稅務(wù)行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng)身份認(rèn)證子系統(tǒng)訪問控制機制用戶ABC12345

級別角色12345A★★★B★★★C★D★★E★★F★授權(quán)管理子系統(tǒng)劃分系統(tǒng)安全等級分配用戶角色

授權(quán)身份認(rèn)證機制安全應(yīng)用子系統(tǒng)業(yè)務(wù)系統(tǒng)需要什么樣的安全？

業(yè)務(wù)系統(tǒng)的使用者或服務(wù)對象是特定的，通常不允許與業(yè)務(wù)無關(guān)的人員隨意訪問或操作。

因此：業(yè)務(wù)系統(tǒng)本身必須能夠準(zhǔn)確地識別使用者的真實身份，防止與業(yè)務(wù)無關(guān)的人員非法使用系統(tǒng)。常用的解決辦法帳號+口令；證書；生物特征安全總體方案要求：使用統(tǒng)一的身份認(rèn)證證書業(yè)務(wù)系統(tǒng)需要什么樣的安全？

業(yè)務(wù)系統(tǒng)的資源（資料、數(shù)據(jù)、表格或設(shè)備）根據(jù)使用者的崗位或職務(wù)不同有限制要求，這種要求被稱作“權(quán)限”。例如：是否允許使用、能做什么樣的操作等。而且這種權(quán)限往往會經(jīng)常變化。因此：業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進行控制，能夠動態(tài)地分配權(quán)限，控制使用者的操作行為，防止越崗位操作或越權(quán)限操作。常用的解決辦法基于口令的訪問控制基于角色的訪問控制安全總體方案要求：基于角色的訪問控制業(yè)務(wù)系統(tǒng)需要什么樣的安全？

數(shù)據(jù)或文件是整個業(yè)務(wù)系統(tǒng)的核心，要求數(shù)據(jù)必須真實可信、不能隨意篡改，甚至不能泄露或被竊取。因此：業(yè)務(wù)系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進行保護，防止由于數(shù)據(jù)的安全得不到保證而失去業(yè)務(wù)系統(tǒng)本身的可用性。常用的解決辦法基于口令的限制基于密碼的保護安全總體方案要求：基于密碼業(yè)務(wù)系統(tǒng)需要什么樣的安全？

從管理的角度要求能夠了解操作者使用業(yè)務(wù)系統(tǒng)的情況，尤其在工作中出現(xiàn)問題、事件后能夠追查，找出原因或分清責(zé)任，作出合理地處置。因此：業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡叩男袨檫M行跟蹤、記錄、統(tǒng)計和審計，及時發(fā)現(xiàn)工作中出現(xiàn)的問題，使系統(tǒng)可管理，事件可追查。常用的解決辦法日志；安全事件審計。安全總體方案要求：日志與安全事件審計。安全應(yīng)用子系統(tǒng)

采用安全中間件和門戶網(wǎng)站相結(jié)合的技術(shù)，提供以PKI/PMI技術(shù)為核心的各種安全服務(wù)功能，實現(xiàn)單點登錄和訪問控制。實現(xiàn)全系統(tǒng)統(tǒng)一的安全服務(wù)接口。身份認(rèn)證訪問控制數(shù)字簽名與驗證密押與密押驗證數(shù)據(jù)加密傳輸信道加密安全事件審計時間戳應(yīng)用程序中間件（接口）面向應(yīng)用的安全服務(wù)功能開始結(jié)束出示證書訪問控制權(quán)限控制數(shù)字簽名安全審計安全管理子系統(tǒng)安全管理子系統(tǒng)的組成

安全策略子系統(tǒng)網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全防護管理事件監(jiān)控管理安全設(shè)備管理策略執(zhí)行管理（安全互動）審計管理病毒防治管理安全評估與事件分析

軟件升級管理信息安全策略體系

定義：

信息安全策略是為發(fā)布、管理和保護稅務(wù)系統(tǒng)內(nèi)部信息資源而制定的一組法律、法規(guī)和措施的總和，是對稅務(wù)系統(tǒng)信息資源使用和管理的規(guī)范描述，是全系統(tǒng)都要遵守的規(guī)則。

地位：策略體系是稅務(wù)信息安全體系的核心。安全策略內(nèi)容由信息安全目標(biāo)制約，安全策略實施依靠安全體系的各種執(zhí)行系統(tǒng)。

稅務(wù)系統(tǒng)信息安全策略創(chuàng)建與執(zhí)行流程圖總局信息安全管理中心信息安全管理平臺

目標(biāo)信息安全策略管理系統(tǒng)創(chuàng)建安全機制審計

評估安全要求規(guī)章規(guī)范標(biāo)準(zhǔn)主策略上層策略發(fā)布中層策略不可否認(rèn)可用性保密性訪問控制鑒別執(zhí)行策略庫底層策略安全標(biāo)簽訪問控制口令配置IDS配置防火墻安全性能要求信息共享策略維護翻譯翻譯省局信息安全管理中心地市局信息安全管理中心稅務(wù)信息安全策略體系的主要內(nèi)容

策略管理和建設(shè)職責(zé)管理策略技術(shù)管理策略人員管理策略運行管理策略信息資產(chǎn)管理策略業(yè)務(wù)連續(xù)性策略法律和其它策略的符合性安全管理子系統(tǒng)的邏輯圖

總局省局策略執(zhí)行模塊策略日志地市局安全審計模塊設(shè)備管理模塊網(wǎng)絡(luò)管理模塊運行管理模塊病毒防治模塊策略日志地市局安全管理平臺省局安全管理平臺策略安全管理子系統(tǒng)的結(jié)構(gòu)

行業(yè)主管部門總局領(lǐng)導(dǎo)總局安全管理中心網(wǎng)絡(luò)管理運行管理人員管理法規(guī)管理病毒防治安全設(shè)備總局安全領(lǐng)導(dǎo)小組總局安全領(lǐng)導(dǎo)小組辦公室訓(xùn)練管理對外聯(lián)絡(luò)專家管理策略制訂標(biāo)準(zhǔn)化制訂論壇省局領(lǐng)導(dǎo)地市局領(lǐng)導(dǎo)省局安全領(lǐng)導(dǎo)小組總局安全領(lǐng)導(dǎo)小組辦公室訓(xùn)練管理對外聯(lián)絡(luò)專家管理策略制訂標(biāo)準(zhǔn)化制訂論壇地市局安全領(lǐng)導(dǎo)小組辦公室訓(xùn)練管理對外聯(lián)絡(luò)專家管理策略標(biāo)制論壇省局安全管理中心網(wǎng)絡(luò)管理運行管理人員管理法規(guī)管理病毒防治安全管理地市局安全管理中心網(wǎng)絡(luò)管理運行管理人員管理法規(guī)管理病毒管理安全管理稅務(wù)系統(tǒng)信息安全組織保障子系統(tǒng)行業(yè)主管部門總局領(lǐng)導(dǎo)總局安全管理中心總局安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組辦公室省局領(lǐng)導(dǎo)地市局領(lǐng)導(dǎo)省局安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組辦公室省局安全管理中心地市局安全管理中心地市局安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組辦公室安全領(lǐng)導(dǎo)決策體系安全管理執(zhí)行體系審計監(jiān)督

審計監(jiān)督審計監(jiān)督安全審計監(jiān)督體系稅務(wù)系統(tǒng)信息安全組織保障子系統(tǒng)Internet的應(yīng)用InternetCA中心總局WWW省局WWW省局WWW省局WWW省局WWW統(tǒng)一的認(rèn)證與控制Inter