项目背景：
  
   　　某国家税务局信息网络系统是一个覆盖全省的大型广域网络，也是一个典型的的综合业务网，包含如下几部分：一是以省国家税务局为核心、向上连接国家税务总局、向下连接各市税务局、县税务局、税务分局的大型内部网络（简称"内联网"），该网络功能主要包括"金税工程"以及其它税务内部业务；二是与国税内联网物理隔离的外部网络（以下简称"外部网），该网络连接INTERNET，提供对外信息公开服务，其覆盖区域包括省局、市局、县局等；三是国税的网上税务服务平台，该服务平台提供省国税系统的网上电子报税和缴税服务，并为广大纳税人提供周到便捷的个性化服务，目前该服务平台尚处于试点，还未能在全省范围内铺开；四是中间业务，即国税内联网与其它单位，如银行网络的连接，实现银行、税务之间转帐业务。随着系统对外界提供服务类型的增多，安全威胁越来越大。
  
   　　税务信息网安全隐患多多
  
   　　通常情况下，网络系统安全与性能、功能是一对矛盾的关系。如果某个系统不对外界提供任何服务（断开），外界是不可能对其构成安全威胁的，但是电子政务的发展需要国税系统逐步对外开放。本案例中的国税信息网络结构复杂，内联网不仅连接省、市、县等国税局及国税分局，而且在一些市国税局或县国税局还连接多个银行网络、网上报税企业网络。这就等于将一个内部封闭的网络建成了一个开放的网络环境（具有多个外部出口），因此各种安全包括系统级的安全问题也随之产生。另外国税外部网接入国际互连网络，提供公开信息等服务，安全问题更加复杂。
   同时，由于税务行业性质及应用的特殊性，往往成为诸类入侵者的重点破坏对象。如果不增加安全防范措施，就会带来严重的安全问题：
  
   　　（1）物理环境的安全问题，比如重要服务器、网络设备自身故障或者丢失造网络系统的不可用。
   　　（2）络边界的安全问题，包括与省国税局、县国税局、国税分局，特别是与银行、电信（网上报税的企业网络）网络连接的安全问题。
   　　（3）数据传输的安全问题，包括与省国税局、县国税局、国税分局传输的内部业务数据以及办公自动化数据的安全；与银行传输的业务数据的安全保护；网上报税企业用户传输数据的安全性
   　　（4）市国税局内部局域网中重要服务器的安全问题。
   　　（5）操作系统、应用系统的安全漏洞和弱点容易被黑客利用进行攻击。
   　　（6）盗版介质使用、网上下载、电子邮件应用等可能带来病毒的侵害。
   　　（7）内部工作人员操作失误、内部人员的故意攻击或者绕过安全设备的而导致的安全危胁。
  
   　　对症下药
  
   　　针对国税信息网络的安全风险，天融信公司对症下药，通过集成相应的安全产品并结合领先的安全技术，整体解决了国税网络的安全问题：
  
   　　1）各级国税局外部网安全方案
   各级国税局外部网都连接INTERNET对外提供公开信息服务。由于INTERNET的开放性、自由性以及无国界性。使得国税外部网的安全性大大降低。因此，对国税局外部网服务器要重点保护（图1）
   　　(1) 在税局外部网与连接国际互联网的边界路由器之间配置一台NGFW2000防火墙。
   　　(2) 同时利用WEBGUARD页面保护系统对WWW服务器进行实时监控，确保万一WWW服务器受到黑客入侵，能够做到快速恢复。
   　　(3) 安装一套北方计算中心NISDector入侵检测系统，配合防火墙使用。
   　　(4) 对重要服务器系统配置备份与灾难恢复系统。
  
  
  
   　　2）内联网安全方案
  
   　　该国税内联网由省国税局、市国税局以及区县国税局三级节点构成的，其安全性属于相互之间不信任的关系。
   　　(1) 首先在各节点税务局主交换机对外出口与边界路由器之间安装一台NGFW2000防火墙系统。
   　　(2) 由于在省税务局与各市局以及县局（或分局）之间传输的是税务系统行业秘密或敏感信息，所以在广域网传输线路上，采取国家许可的网络层加密设备（天融信公司SJW11网络密码机）。
   　　(3) 在内联网各节点需要重点保护网段的主交换机上配备入侵检测系统的探测器，通过省中心的控制台对各节点所有探测器进行集中统一管理。
  
  
  
   　　3）网上税务平台安全方案
  
   　　为加强网上电子报税系统的安全性，防止对报税网络资源的非授权访问以及报税人员的越权操作。天融信采取如下办法：在网上报税服务器前端安装服务端安全代理系统，在客户端上安装客户端安全代理系统，通过服务端安全代理和客户端安全代理之间的加密（SSL）过程为信息传输提供安全加密通道，既防止未经授权的用户截取网络上的敏感数据流，又保证数据在传输过程中不被非法篡改。
  
   　　另一方面通过防火墙重点隔离网上报税服务器、税务应用系统服务器；通过入侵检测系统实时检测对网上报税服务系统的访问数据流，对违法乱纪规行为做相应处理。
  
   　　4） 税务中间业务安全方案
  
   　　由于该国税内联网中市国税局以及县国税局还与各商业银行连接，国税和银行之间是不完全信任关系。所以在国税提供与银行连接的前置机与边界路由器之间需要安装防火墙系统，对国税和银行这两个不信任域进行隔离，同时严格控制两者之间的访问行为。防范银行端或者通过它们之间的网络桥梁带来对国税内部网的攻击。
  
   　　5）全网的病毒防护安全方案
  
   　　经过对某国税网络系统的调研、分析，天融信为该国税网络提供出一套完整的防病毒解决方案。
  
   　　（1）网关防病毒系统：选用InterScan VirusWall网关防病毒系统。
   　　（2）服务器防病毒系统：选用ServerProtect服务器防病毒系统。
   　　（3）工作站防病毒系统：选用网络版企业防病毒套装软件。通过C/S结构模式，服务端防病毒系统将自动检测各工作站上防病毒软件安装情况，服务端将自动分发并远程安装各工作站病毒防护系统。
   　　（4）邮件服务器防病毒系统：选用ScanMail防病毒系统，通过检测进出邮件服务器的邮件及其所带附件中的病毒程序，专门保护邮件服务器系统的安全。
  
   　　6）安全性分析系统
  
   　　为了减少因系统版本低、系统安全配置、网络设备安全配置等因素导致整个网络系统存在安全漏洞或弱点。天融信提出要对系统的安全性定期或不定期进行安全评估。
  
   　　（1）网络安全性分析系统：选用ISExplorer分析系统，通过安装在笔计本电脑上，然后在不同子网网段扫描。该系统可以对国税网络系统中所有部件（Web站点，防火墙，路由器，TCP/IP及相关协议服务）进行攻击性扫描、分析和评估，发现并报告系统存在的弱点和漏洞、生成报告、建议补救措施。
   　　（2）操作系统安全性分析系统：选用SSExplorer分析系统，以系统管理员的身份对主机安全性进行评估分析，检测操作系统文件许可、文件宿主、网络服务配置、帐户设置、程序的真实性和一般的用户相关的安全弱点，以及寻找"黑客"入侵系统的迹象。
  
   　　7）构建省级CA系统
  
   　　为了保证非接触性网上报税业务的可靠性，天融信为该国税局构建了省级系统内部CA系统。作为可信任的第三方对所有网上交易的实体提供身份认证。
  
   　　应用分析
  
   　　由于综合运用了防火墙、加密机、入侵检测系统、病毒防范系统、数字认证系统等全系列产品，并将它们总体部署灵活配置，天融信让该国税信息网络系统变得坚固，也制造了一个国税系统综合业务网络安全解决的典范。（完）