稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全系統(tǒng)培訓(xùn)

稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息平安系統(tǒng)培訓(xùn)AGENDA稅務(wù)系統(tǒng)信息平安體系總體方案簡介稅務(wù)系統(tǒng)首期網(wǎng)絡(luò)與信息平安防護(hù)體系建設(shè)工程工程簡介稅務(wù)系統(tǒng)信息平安體系總體方案簡介主要內(nèi)容工程背景建設(shè)內(nèi)容和目標(biāo)總體結(jié)構(gòu)網(wǎng)絡(luò)防護(hù)子系統(tǒng)平安根底設(shè)施子系統(tǒng)平安應(yīng)用子系統(tǒng)平安管理子系統(tǒng)Internet應(yīng)用實(shí)施規(guī)劃信息平安策略需求信息平安標(biāo)準(zhǔn)標(biāo)準(zhǔn)需求信息平安技術(shù)需求信息平安工程需求信息平安組織保障需求信息平安管理需求?稅務(wù)系統(tǒng)信息平安體系需求分析?稅務(wù)信息系統(tǒng)平安體系建設(shè)內(nèi)容在全網(wǎng)范圍建設(shè)涵蓋物理環(huán)境、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)和數(shù)據(jù)平安等各個(gè)層面的信息平安體系和信息平安組織保障架構(gòu)，抵御各種攻擊與風(fēng)險(xiǎn)。國家稅務(wù)總局省級國地稅局地市級國地稅局區(qū)縣級國地稅局征收分局〔稅務(wù)所〕?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么?〔GB17859-1999〕總體方案設(shè)計(jì)依據(jù)國家電子政務(wù)試點(diǎn)示范工程平安體系和技術(shù)標(biāo)準(zhǔn)?信息保障技術(shù)框架〔InformationAssuranceTechnicalFramework，IATF〕?國家主管部門的相關(guān)政策和法規(guī)〔包括27號文件〕?稅務(wù)系統(tǒng)信息平安體系需求分析?1、建立網(wǎng)絡(luò)邊界和平安應(yīng)用域防護(hù)系統(tǒng)，重點(diǎn)防止來自外部的攻擊和對內(nèi)部平安訪問域進(jìn)行控制。2、建立效勞于全網(wǎng)和所有應(yīng)用的平安根底設(shè)施，實(shí)現(xiàn)內(nèi)部的身份認(rèn)證、權(quán)限劃分、訪問控制和平安審計(jì)。3、建立全網(wǎng)范圍內(nèi)的平安管理與響應(yīng)中心，強(qiáng)化網(wǎng)絡(luò)可管理、平安可維護(hù)、事件可響應(yīng)。系統(tǒng)建設(shè)目標(biāo)4、進(jìn)行分級縱深平安保護(hù)，構(gòu)成全網(wǎng)統(tǒng)一的防范與保護(hù)、監(jiān)控與檢查、響應(yīng)與處置機(jī)制。稅務(wù)系統(tǒng)信息平安體系平面邏輯結(jié)構(gòu)稅務(wù)信息系統(tǒng)網(wǎng)絡(luò)的劃分與連接

互聯(lián)網(wǎng)

業(yè)務(wù)專網(wǎng)

物理隔離

涉密網(wǎng)

邏輯隔離政務(wù)外網(wǎng)銀行海關(guān)工商企業(yè)納稅戶對外宣傳設(shè)計(jì)重點(diǎn)技術(shù)體系架構(gòu)：安全支撐平臺

平安應(yīng)用子系統(tǒng)網(wǎng)絡(luò)防護(hù)子系統(tǒng)平安認(rèn)證與授權(quán)子系統(tǒng)平安管理子系統(tǒng)應(yīng)用支撐平臺

安全管理平臺

三個(gè)平臺四個(gè)平安子系統(tǒng)稅收業(yè)務(wù)管理系統(tǒng)

稅務(wù)行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng)網(wǎng)絡(luò)防護(hù)子系統(tǒng)入侵檢測網(wǎng)絡(luò)防護(hù)子系統(tǒng)國稅總局備份中心省國地稅局地/市國地稅縣國地稅線路密碼機(jī)防火墻防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡(luò)行為審計(jì)操作系統(tǒng)加固高平安區(qū)域網(wǎng)絡(luò)防護(hù)子系統(tǒng)構(gòu)造了平安邊界省局局域網(wǎng)總局接口地市局接口橫向接口互聯(lián)網(wǎng)接口加密機(jī)：保護(hù)離開局域網(wǎng)的信息平安，同時(shí)防止非法接入。防火墻：防止來自總局內(nèi)部的攻擊。防火墻：防止來自外部的攻擊。防火墻：即防止來自外部的攻擊，也要防止來自地市局的內(nèi)部攻擊。入侵檢測：發(fā)現(xiàn)非法入侵行為。防病毒網(wǎng)關(guān)：防止外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡(luò)接口。網(wǎng)絡(luò)行為審計(jì)：加強(qiáng)網(wǎng)絡(luò)平安管理，追查平安事件。操作系統(tǒng)加固：設(shè)置運(yùn)行環(huán)境的最后一道防線。安全邊界平安認(rèn)證與授權(quán)子系統(tǒng)平安認(rèn)證與授權(quán)子系統(tǒng)的組成業(yè)務(wù)專網(wǎng)：主要由CA認(rèn)證系統(tǒng)、KMC密鑰管理系統(tǒng)和AA授權(quán)系統(tǒng)組成。在Internet網(wǎng)：主要由CA認(rèn)證系統(tǒng)和KMC密鑰管理系統(tǒng)組成。根據(jù)稅務(wù)系統(tǒng)業(yè)務(wù)需要，將要在業(yè)務(wù)專網(wǎng)和Internet網(wǎng)建兩套效勞于全國稅務(wù)的平安認(rèn)證或授權(quán)系統(tǒng)。平安認(rèn)證技術(shù)：主要用于識別網(wǎng)絡(luò)行為主體的身份〔你是誰？〕，再通過身份來決定行為的合法性。訪問控制授權(quán)技術(shù)：主要用于確定資源訪問者的“權(quán)限〞，通過權(quán)限劃分出信息的平安域等級，根據(jù)等級要求對訪問者進(jìn)行集中授權(quán)〔你能干什么？〕控制。平安認(rèn)證與授權(quán)子系統(tǒng)的作用

業(yè)務(wù)專網(wǎng)的CA與AA系統(tǒng)主要用于內(nèi)部業(yè)務(wù)系統(tǒng)對操作者身份認(rèn)證與授權(quán)。在Internet上的CA系統(tǒng)主要用于鑒別訪問者真實(shí)身份，僅效勞于應(yīng)用層面。其中，CA效勞于網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用三個(gè)層面，解決網(wǎng)絡(luò)平安連接；系統(tǒng)平安登錄與管理；應(yīng)用平安鑒別等問題。AA只效勞于應(yīng)用層面，解決對信息資源的平安管理問題。平安認(rèn)證與授權(quán)子系統(tǒng)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫效勞訪問他是誰？有什么權(quán)限？認(rèn)證系統(tǒng)授權(quán)系統(tǒng)用戶認(rèn)證證書用戶權(quán)限證書設(shè)備認(rèn)證證書設(shè)備認(rèn)證證書軟件認(rèn)證證書認(rèn)證證書的種類與作用按使用對象劃分：人員證書、設(shè)備證書、機(jī)構(gòu)證書三種類型。按功能劃分：加密證書和簽名證書。按性質(zhì)劃分：系統(tǒng)證書和用戶證書。數(shù)據(jù)等級的劃分與控制用戶AA系統(tǒng)效勞訪問授權(quán)系統(tǒng)一級數(shù)據(jù)二級數(shù)據(jù)三級數(shù)據(jù)四級數(shù)據(jù)五級數(shù)據(jù)數(shù)據(jù)平安域的應(yīng)用要求與原理五級安全域二級安全域三級安全域一級安全域ABC：數(shù)據(jù)明文ABC訪問ABCABC建立五級環(huán)境ABCABCABC身份與權(quán)限認(rèn)證五級保護(hù)平安認(rèn)證與授權(quán)子系統(tǒng)業(yè)務(wù)專網(wǎng)CA和互聯(lián)網(wǎng)CA平安認(rèn)證與授權(quán)子系統(tǒng)“權(quán)限〞在國稅業(yè)務(wù)系統(tǒng)中的訪問控制原理和應(yīng)用稅收業(yè)務(wù)管理系統(tǒng)

稅務(wù)行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng)身份認(rèn)證子系統(tǒng)訪問控制機(jī)制用戶ABC12345

級別角色12345A★★★B★★★C★D★★E★★F★授權(quán)管理子系統(tǒng)劃分系統(tǒng)平安等級分配用戶角色

授權(quán)身份認(rèn)證機(jī)制平安應(yīng)用子系統(tǒng)業(yè)務(wù)系統(tǒng)需要什么樣的平安？業(yè)務(wù)系統(tǒng)的使用者或效勞對象是特定的，通常不允許與業(yè)務(wù)無關(guān)的人員隨意訪問或操作。因此：業(yè)務(wù)系統(tǒng)本身必須能夠準(zhǔn)確地識別使用者的真實(shí)身份，防止與業(yè)務(wù)無關(guān)的人員非法使用系統(tǒng)。常用的解決方法帳號+口令；證書；生物特征平安總體方案要求：使用統(tǒng)一的身份認(rèn)證證書業(yè)務(wù)系統(tǒng)需要什么樣的平安？

業(yè)務(wù)系統(tǒng)的資源〔資料、數(shù)據(jù)、表格或設(shè)備〕根據(jù)使用者的崗位或職務(wù)不同有限制要求，這種要求被稱作“權(quán)限〞。例如：是否允許使用、能做什么樣的操作等。而且這種權(quán)限往往會經(jīng)常變化。因此：業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進(jìn)行控制，能夠動態(tài)地分配權(quán)限，控制使用者的操作行為，防止越崗位操作或越權(quán)限操作。常用的解決方法基于口令的訪問控制基于角色的訪問控制平安總體方案要求：基于角色的訪問控制業(yè)務(wù)系統(tǒng)需要什么樣的平安？

數(shù)據(jù)或文件是整個(gè)業(yè)務(wù)系統(tǒng)的核心，要求數(shù)據(jù)必須真實(shí)可信、不能隨意篡改，甚至不能泄露或被竊取。因此：業(yè)務(wù)系統(tǒng)本身必須能夠?qū)?shù)據(jù)或文件進(jìn)行保護(hù)，防止由于數(shù)據(jù)的平安得不到保證而失去業(yè)務(wù)系統(tǒng)本身的可用性。常用的解決方法基于口令的限制基于密碼的保護(hù)平安總體方案要求：基于密碼業(yè)務(wù)系統(tǒng)需要什么樣的平安？

從管理的角度要求能夠了解操作者使用業(yè)務(wù)系統(tǒng)的情況，尤其在工作中出現(xiàn)問題、事件后能夠追查，找出原因或分清責(zé)任，作出合理地處置。因此：業(yè)務(wù)系統(tǒng)本身必須能夠?qū)Σ僮髡叩男袨檫M(jìn)行跟蹤、記錄、統(tǒng)計(jì)和審計(jì)，及時(shí)發(fā)現(xiàn)工作中出現(xiàn)的問題，使系統(tǒng)可管理，事件可追查。常用的解決方法日志；平安事件審計(jì)。平安總體方案要求：日志與平安事件審計(jì)。平安應(yīng)用子系統(tǒng)采用平安中間件和門戶網(wǎng)站相結(jié)合的技術(shù)，提供以PKI/PMI技術(shù)為核心的各種平安效勞功能，實(shí)現(xiàn)單點(diǎn)登錄和訪問控制。實(shí)現(xiàn)全系統(tǒng)統(tǒng)一的平安效勞接口。身份認(rèn)證訪問控制數(shù)字簽名與驗(yàn)證密押與密押驗(yàn)證數(shù)據(jù)加密傳輸信道加密平安事件審計(jì)時(shí)間戳應(yīng)用程序中間件〔接口〕面向應(yīng)用的平安效勞功能開始結(jié)束出示證書訪問控制權(quán)限控制數(shù)字簽名平安審計(jì)平安管理子系統(tǒng)平安管理子系統(tǒng)的組成平安策略子系統(tǒng)網(wǎng)絡(luò)管理與網(wǎng)絡(luò)平安防護(hù)管理事件監(jiān)控管理平安設(shè)備管理策略執(zhí)行管理〔平安互動〕審計(jì)管理病毒防治管理平安評估與事件分析軟件升級管理信息平安策略體系定義：信息平安策略是為發(fā)布、管理和保護(hù)稅務(wù)系統(tǒng)內(nèi)部信息資源而制定的一組法律、法規(guī)和措施的總和，是對稅務(wù)系統(tǒng)信息資源使用和管理的標(biāo)準(zhǔn)描述，是全系統(tǒng)都要遵守的規(guī)那么。地位：策略體系是稅務(wù)信息平安體系的核心。平安策略內(nèi)容由信息平安目標(biāo)制約，平安策略實(shí)施依靠平安體系的各種執(zhí)行系統(tǒng)。稅務(wù)系統(tǒng)信息平安策略創(chuàng)立與執(zhí)行流程圖總局信息安全管理中心信息安全管理平臺

目標(biāo)信息安全策略管理系統(tǒng)創(chuàng)建安全機(jī)制審計(jì)

評估安全要求規(guī)章規(guī)范標(biāo)準(zhǔn)主策略上層策略發(fā)布中層策略不可否認(rèn)可用性保密性訪問控制鑒別執(zhí)行策略庫底層策略安全標(biāo)簽訪問控制口令配置IDS配置防火墻安全性能要求信息共享策略維護(hù)翻譯翻譯省局信息安全管理中心地市局信息安全管理中心稅務(wù)信息平安策略體系的主要內(nèi)容策略管理和建設(shè)職責(zé)管理策略技術(shù)管理策略人員管理策略運(yùn)行管理策略信息資產(chǎn)管理策略業(yè)務(wù)連續(xù)性策略法律和其它策略的符合性總局省局策略執(zhí)行模塊策略日志地市局平安審計(jì)模塊設(shè)備管理模塊網(wǎng)絡(luò)管理模塊運(yùn)行管理模塊病毒防治模塊策略日志地市局平安管理平臺省局平安管理平臺策略平安管理子系統(tǒng)的結(jié)構(gòu)行業(yè)主管部門總局領(lǐng)導(dǎo)總局安全管理中心網(wǎng)絡(luò)管理運(yùn)行管理人員管理法規(guī)管理病毒防治安全設(shè)備總局平安領(lǐng)導(dǎo)小組總局平安領(lǐng)導(dǎo)小組辦公室訓(xùn)練管理對外聯(lián)絡(luò)專家管理策略制訂標(biāo)準(zhǔn)化制訂論壇省局領(lǐng)導(dǎo)地市局領(lǐng)導(dǎo)省局安全領(lǐng)導(dǎo)小組總局安全領(lǐng)導(dǎo)小組辦公室訓(xùn)練管理對外聯(lián)絡(luò)專家管理策略制訂標(biāo)準(zhǔn)化制訂論壇地市局安全領(lǐng)導(dǎo)小組辦公室訓(xùn)練管理對外聯(lián)絡(luò)專家管理策略標(biāo)制論壇省局安全管理中心網(wǎng)絡(luò)管理運(yùn)行管理人員管理法規(guī)管理病毒防治安全管理地市局平安管理中心網(wǎng)絡(luò)管理運(yùn)行管理人員管理法規(guī)管理病毒管理平安管理稅務(wù)系統(tǒng)信息平安組織保障子系統(tǒng)行業(yè)主管部門總局領(lǐng)導(dǎo)總局安全管理中心總局安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組辦公室省局領(lǐng)導(dǎo)地市局領(lǐng)導(dǎo)省局安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組辦公室省局安全管理中心地市局安全管理中心地市局安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組辦公室安全領(lǐng)導(dǎo)決策體系安全管理執(zhí)行體系審計(jì)監(jiān)督

審計(jì)監(jiān)督審計(jì)監(jiān)督安全審計(jì)監(jiān)督體系稅務(wù)系統(tǒng)信息平安組織保障子系統(tǒng)Internet的應(yīng)用InternetCA中心總局WWW省局WWW省局WWW省局WWW省局WWW統(tǒng)一的認(rèn)證與控制Inter