稅務系統(tǒng)網(wǎng)絡與信息安全教育

1、稅務系統(tǒng)網(wǎng)絡與信息平安系統(tǒng)培訓.AGENDA稅務系統(tǒng)信息平安體系總體方案簡介稅務系統(tǒng)首期網(wǎng)絡與信息平安防護體系建立工程工程簡介.稅務系統(tǒng)信息平安體系總體方案簡介.主要內(nèi)容工程背景建立內(nèi)容和目的總體構(gòu)造網(wǎng)絡防護子系統(tǒng)平安根底設備子系統(tǒng)平安運用子系統(tǒng)平安管理子系統(tǒng)Internet運用實施規(guī)劃. 信息平安戰(zhàn)略需求 信息平安規(guī)范規(guī)范需求 信息平安技術(shù)需求 信息平安工程需求 信息平安組織保證需求 信息平安管理需求.稅務信息系統(tǒng)平安體系建立內(nèi)容 在全網(wǎng)范圍建立涵蓋物理環(huán)境、網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、運用系統(tǒng)和數(shù)據(jù)平安等各個層面的信息平安體系和信息平安組織保證架構(gòu)，抵御各種攻擊與風險。國家稅務總局省級國地稅局

2、地市級國地稅局區(qū)縣級國地稅局征收分局稅務所. GB17859-1999 總體方案設計根據(jù) 國家電子政務試點示范工程平安體系和技術(shù)規(guī)范 國家主管部門的相關(guān)政策和法規(guī)包括27號文件 .1、建立網(wǎng)絡邊境和平安運用域防護系統(tǒng)， 重點防止來自外部的攻擊和對內(nèi)部平安訪問域進展控制。2、建立效力于全網(wǎng)和一切運用的平安根底設備， 實現(xiàn)內(nèi)部的身份認證、權(quán)限劃分、訪問控制和平安審計。3、建立全網(wǎng)范圍內(nèi)的平安管理與呼應中心， 強化網(wǎng)絡可管理、平安可維護、事件可呼應。系統(tǒng)建立目的4、進展分級縱深平安維護， 構(gòu)成全網(wǎng)一致的防備與維護、監(jiān)控與檢查、呼應與處置機制。.稅務系統(tǒng)信息平安體系平面邏輯構(gòu)造 .稅務信息系統(tǒng)網(wǎng)絡的劃

3、分與銜接 互聯(lián)網(wǎng) 業(yè)務專網(wǎng) 物理隔離 涉密網(wǎng) 邏輯隔離政務外網(wǎng)銀行海關(guān)工商企業(yè)納稅戶對外宣傳設計重點.技術(shù)體系架構(gòu)：平安支撐平臺 平安運用子系統(tǒng)網(wǎng)絡防護子系統(tǒng)平安認證與授權(quán)子系統(tǒng)平安管理子系統(tǒng) 運用支撐平臺 平安管理平臺 三個平臺四個平安子系統(tǒng)稅收業(yè)務管理系統(tǒng) 稅務行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng).網(wǎng)絡防護子系統(tǒng).入侵檢測網(wǎng)絡防護子系統(tǒng)國稅總局備份中心省國地稅局地/市國地稅縣國地稅線路密碼機防火墻防病毒網(wǎng)關(guān)防非法外聯(lián)網(wǎng)絡行為審計操作系統(tǒng)加固高平安區(qū)域.網(wǎng)絡防護子系統(tǒng)構(gòu)造了平安邊境省局局域網(wǎng)總局接口地市局接口橫向接口互聯(lián)網(wǎng)接口加密機：維護分開局域網(wǎng)的信息平安，同時防止非法接入。防火墻

4、：防止來自總局內(nèi)部的攻擊。防火墻：防止來自外部的攻擊。防火墻：即防止來自外部的攻擊，也要防止來自地市局的內(nèi)部攻擊。入侵檢測：發(fā)現(xiàn)非法入侵行為 。防病毒網(wǎng)關(guān)：防止外部病毒入侵。防非法外聯(lián)：堵住非法網(wǎng)絡接口。網(wǎng)絡行為審計：加強網(wǎng)絡平安管理，清查平安事件。操作系統(tǒng)加固：設置運轉(zhuǎn)環(huán)境的最后一道防線。安全邊界.平安認證與授權(quán)子系統(tǒng).平安認證與授權(quán)子系統(tǒng)的組成業(yè)務專網(wǎng)：主要由CA認證系統(tǒng)、KMC密鑰管理系統(tǒng)和AA授權(quán)系統(tǒng)組成。在Internet網(wǎng)：主要由CA認證系統(tǒng)和KMC密鑰管理系統(tǒng)組成。 根據(jù)稅務系統(tǒng)業(yè)務需求，將要在業(yè)務專網(wǎng)和Internet網(wǎng)建兩套效力于全國稅務的平安認證或授權(quán)系統(tǒng)。.平安認證技術(shù)：

5、主要用于識別網(wǎng)絡行為主體的身份他是誰？，再經(jīng)過身份來決議行為的合法性。訪問控制授權(quán)技術(shù)：主要用于確定資源訪問者的“權(quán)限，經(jīng)過權(quán)限劃分出信息的平安域等級，根據(jù)等級要求對訪問者進展集中授權(quán)他能干什么？控制。.平安認證與授權(quán)子系統(tǒng)的作用 業(yè)務專網(wǎng)的CA與AA系統(tǒng)主要用于內(nèi)部業(yè)務系統(tǒng)對操作者身份認證與授權(quán)。 在Internet上的CA系統(tǒng)主要用于鑒別訪問者真實身份，僅效力于運用層面。 其中，CA效力于網(wǎng)絡、操作系統(tǒng)和運用三個層面，處理網(wǎng)絡平安銜接；系統(tǒng)平安登錄與管理；運用平安鑒別等問題。AA只效力于運用層面，處理對信息資源的平安管理問題。.平安認證與授權(quán)子系統(tǒng)用戶CA系統(tǒng)AA系統(tǒng)數(shù)據(jù)庫效力訪問他是誰？

6、有什么權(quán)限？認證系統(tǒng)授權(quán)系統(tǒng)用戶認證證書用戶權(quán)限證書設備認證證書設備認證證書軟件認證證書.認證證書的種類與作用按運用對象劃分：人員證書、設備證書、 機構(gòu)證書三種類型。按功能劃分：加密證書和簽名證書。按性質(zhì)劃分：系統(tǒng)證書和用戶證書。.數(shù)據(jù)等級的劃分與控制用戶AA系統(tǒng)效力訪問授權(quán)系統(tǒng)一級數(shù)據(jù)二級數(shù)據(jù)三級數(shù)據(jù)四級數(shù)據(jù)五級數(shù)據(jù).數(shù)據(jù)平安域的運用要求與原理五級安全域二級安全域三級安全域一級安全域ABC：數(shù)據(jù)明文ABC訪問ABCABC建立五級環(huán)境ABCABCABC身份與權(quán)限認證五級維護.平安認證與授權(quán)子系統(tǒng)業(yè)務專網(wǎng)CA和互聯(lián)網(wǎng)CA.平安認證與授權(quán)子系統(tǒng).“權(quán)限在國稅業(yè)務系統(tǒng)中的 訪問控制原理和運用 稅收業(yè)

7、務管理系統(tǒng) 稅務行政管理系統(tǒng)決策支持管理系統(tǒng)外部信息管理系統(tǒng)身份認證子系統(tǒng)訪問控制機制用戶ABC12345 級別角色12345ABCDEF授權(quán)管理子系統(tǒng)劃分系統(tǒng)平安等級分配用戶角色 授權(quán)身份認證機制.平安運用子系統(tǒng).業(yè)務系統(tǒng)需求什么樣的平安？ 業(yè)務系統(tǒng)的運用者或效力對象是特定的， 通常不允許與業(yè)務無關(guān)的人員隨意訪問或 操作。 因此：業(yè)務系統(tǒng)本身必需可以準確地識別運用 者的真實身份，防止與業(yè)務無關(guān)的人員 非法運用系統(tǒng)。.常用的處理方法帳號+口令；證書；生物特征平安總體方案要求：運用一致的身份認證證書.業(yè)務系統(tǒng)需求什么樣的平安？ 業(yè)務系統(tǒng)的資源資料、數(shù)據(jù)、表格或設備根 據(jù)運用者的崗位或職務不同有限

8、制要求，這種要 求被稱作“權(quán)限。例如：能否允許運用、能做什 么樣的操作等。而且這種權(quán)限往往會經(jīng)常變化。 因此：業(yè)務系統(tǒng)本身必需可以對本人的資源進展控制， 可以動態(tài)地分配權(quán)限，控制運用者的操作行為， 防止越崗位操作或越權(quán)限操作。.常用的處理方法基于口令的訪問控制基于角色的訪問控制平安總體方案要求：基于角色的訪問控制.業(yè)務系統(tǒng)需求什么樣的平安？ 數(shù)據(jù)或文件是整個業(yè)務系統(tǒng)的中心，要求數(shù)據(jù) 必需真實可信、不能隨意篡改，甚至不能泄露 或被竊取。 因此：業(yè)務系統(tǒng)本身必需可以對數(shù)據(jù)或文件進展維護， 防止由于數(shù)據(jù)的平安得不到保證而失去業(yè)務系統(tǒng) 本身的可用性。.常用的處理方法基于口令的限制基于密碼的維護平安總體

9、方案要求：基于密碼.業(yè)務系統(tǒng)需求什么樣的平安？ 從管理的角度要求可以了解操作者運用業(yè)務系統(tǒng) 的情況，尤其在任務中出現(xiàn)問題、事件后可以追 查，找出緣由或分清責任，作出合理地處置。 因此：業(yè)務系統(tǒng)本身必需可以對操作者的行為進展跟 蹤、記錄、統(tǒng)計和審計，及時發(fā)現(xiàn)任務中出現(xiàn) 的問題，使系統(tǒng)可管理，事件可清查。.常用的處理方法日志；平安事件審計。平安總體方案要求：日志與平安事件審計。.平安運用子系統(tǒng) 采用平安中間件和門戶網(wǎng)站相結(jié)合的技術(shù)，提供以PKI/PMI技術(shù)為中心的各種平安效力功能，實現(xiàn)單點登錄和訪問控制。 實現(xiàn)全系統(tǒng)一致的平安效力接口。.身份認證訪問控制數(shù)字簽名與驗證密押與密押驗證數(shù)據(jù)加密傳輸信道

10、加密平安事件審計時間戳運用程序中間件接口面向運用的平安效力功能開場終了出示證書訪問控制權(quán)限控制數(shù)字簽名平安審計.平安管理子系統(tǒng).平安管理子系統(tǒng)的組成 平安戰(zhàn)略子系統(tǒng) 網(wǎng)絡管理與網(wǎng)絡平安防護管理 事件監(jiān)控管理 平安設備管理 戰(zhàn)略執(zhí)行管理 平安互動 審計管理 病毒防治管理 平安評價與事件分析 軟件晉級管理 .信息平安戰(zhàn)略體系 定義： 信息平安戰(zhàn)略是為發(fā)布、管理和維護稅務系統(tǒng)內(nèi)部信息資源而制定的一組法律、法規(guī)和措施的總和，是對稅務系統(tǒng)信息資源運用和管理的規(guī)范描畫，是全系統(tǒng)都要遵守的規(guī)那么。 位置：戰(zhàn)略體系是稅務信息平安體系的中心。平安戰(zhàn)略內(nèi)容由信息平安目的制約，平安戰(zhàn)略實施依托平安體系的各種執(zhí)行系統(tǒng)

11、。 .稅務系統(tǒng)信息平安戰(zhàn)略創(chuàng)建與執(zhí)行流程圖 總局信息平安管理中心信息平安管理平臺 目 標信息平安戰(zhàn)略管理系統(tǒng)創(chuàng) 建平安機制審 計 評 估平安要求規(guī) 章規(guī) 范標 準主戰(zhàn)略上層戰(zhàn)略發(fā) 布中層戰(zhàn)略不可否認可用性嚴密性訪問控制鑒 別執(zhí) 行戰(zhàn)略庫底層戰(zhàn)略平安標簽訪問控制口令配置IDS配置防火墻平安性能要求信息共享戰(zhàn)略維護翻 譯翻 譯省局信息平安管理中心地市局信息平安管理中心.稅務信息平安戰(zhàn)略體系的主要內(nèi)容 戰(zhàn)略管理和建立 職責管理戰(zhàn)略 技術(shù)管理戰(zhàn)略 人員管理戰(zhàn)略 運轉(zhuǎn)管理戰(zhàn)略 信息資產(chǎn)管理戰(zhàn)略 業(yè)務延續(xù)性戰(zhàn)略 法律和其它戰(zhàn)略的符合性 .平安管理子系統(tǒng)的邏輯圖 .總局省局戰(zhàn)略執(zhí) 行模 塊戰(zhàn)略日志地市局平安

12、審計模 塊設備管 理模 塊網(wǎng)絡管理模 塊運轉(zhuǎn)管理模 塊病毒防治模 塊戰(zhàn)略日志地市局平安管理平臺省局平安管理平臺戰(zhàn)略平安管理子系統(tǒng)的構(gòu)造 .行業(yè)主管部門總局指點總局平安管理中心網(wǎng)絡管理運行管理人員管理法規(guī)管理病毒防治安全設備總局平安指點小組總局平安指點小組辦公室訓練管理對外聯(lián)絡專家管理策略制訂標準化制訂論壇省局指點地市局指點省局平安指點小組總局平安指點小組辦公室訓練管理對外聯(lián)絡專家管理策略制訂標準化制訂論壇地市局平安指點小組辦公室訓練管理對外聯(lián)絡專家管理策略標制論壇省局平安管理中心網(wǎng)絡管理運行管理人員管理法規(guī)管理病毒防治安全管理地市局平安管理中心網(wǎng)絡管理運轉(zhuǎn)管理人員管理法規(guī)管理病毒管理平安管理稅務系統(tǒng)信息平安組織保證子系統(tǒng) .行業(yè)主管部門總 局 領(lǐng) 導總局平安管理中心總局平安指點小組指點小組辦公室省局指點地市局指點省局平安指點小組指點小組辦公室省局平安管理中心地市局平安管理中心地市局平安指點小組指點小組辦公室安 全 領(lǐng) 導 決 策 體 系平安管理執(zhí)行體系審計監(jiān)視 審計監(jiān)視審計監(jiān)視平安審計監(jiān)視體系稅務系統(tǒng)信息平安組織保證子系統(tǒng) .Internet 的運用.InternetCA中心總局WWW省局WWW省局WWW省局WWW省局WWW一致的認證與控制.Internet( 外網(wǎng)CA的運