1、编 号 : KSI-SPEC-00001 密 级 : 公 开金 诺 网 安 咨 询 报 告文 档 控 制 号 : 修 订 日 期 : 2004 年 4 月 2 日 税 务 大 集 中纵 深 防 御 安 全 解 决 方 案版 本 : 编 号 : KSI-SPEC- 00001 上 海 金 诺 网 络 安 全 技 术 发 展 股 份 有 限 公 司2004 年 4 月 2 日税 务 大 集 中 版 本 : 纵 深 防 御 安 全 解 决 方 案 日 期 : KSI-SPEC-00001上 海 金 诺 网 络 安 全 技 术 发 展 股 份 有 限 公 司 , 2004 第 2 页 , 共 17 页
2、修 订 历 史 记 录日期 版本 说明 作者2003-8-23 1.0 方案编制 金诺网安安全咨询部2004-4-1 1.1 精简方案 金诺网安安全咨询部上海金诺网络安全技术发展股份有限公司上海市浦东世纪大道 1500 号东方大厦 4 楼,200120电话:021-68815250传真:021-68811910URL:www.kingnet.biz北京分公司北京西城区裕民东路 5 号 瑞得大厦 604 室 电话:010-82031405传真:010-82031043广州办事处广东省广州市天河北路 183 号 广州大都会广场 2908 室电话:020-87551474传真: 020-875514
3、47税 务 大 集 中 版 本 : 纵 深 防 御 安 全 解 决 方 案 日 期 : KSI-SPEC-00001上 海 金 诺 网 络 安 全 技 术 发 展 股 份 有 限 公 司 , 2004 第 3 页 , 共 17 页目 录1. 安 全 需 求 分 析 .41.1. 背 景 .41.2. 税 务 信 息 系 统 网 络 现 状 .41.3. 需 求 分 析 .41.3.1. 安 全 风 险 分 析 .42. 安 全 解 决 方 案 设 计 .72.1. 保 护 网 络 与 基 础 设 施 防 御 .72.2. 保 护 边 界 .72.2.1. 入 侵 检 测 系 统 部 署 方 案
4、 .92.2.2. 漏 洞 扫 描 产 品 部 署 方 案 .102.2.3. 外 联 监 控 产 品 部 署 方 案 .112.3. 计 算 环 境 的 保 护 .112.4. KMI/ PKI 平 台 .122.5. 安 全 管 理 中 心 .132.5.1. 综 合 安 全 管 理 系 统 KTSS.132.5.2. 安 全 管 理 登 记 系 统 KSIR( 安 全 信 息 库 ) .15税 务 大 集 中 版 本 : 纵 深 防 御 安 全 解 决 方 案 日 期 : KSI-SPEC-00001上 海 金 诺 网 络 安 全 技 术 发 展 股 份 有 限 公 司 , 2004 第
5、 4 页 , 共 17 页1. 安 全 需 求 分 析1.1. 背 景目前税务信息化正处在应用整合期。“税务信息大集中”是随着税务信息化与业务之间的关系发展而产生的。现在税务部门提出集约化管理,即税款集中征收、人员集中办公、硬件集中建设、信息集中处理、干部集中管理等等。另一方面,“税务信息大集中”是 IT 技术应用发展的一个趋势。“税务信息大集中”希望发挥原有的信息基础设施和信息资源的作用,针对现实中的不同情况来设计技术上的大集中的不同方案。目前,国家税务总局正在制定规划,提出了“一个平台、两级处理、三个覆盖、四个系统”,两级处理就是指省级与中央一级处理。“税务信息大集中”也是在总局制定的税务
6、信息化总体目标的基础上应运而生的。1.2. 税 务 信 息 系 统 网 络 现 状税务信息系统网络呈树状结构,以国家税务总局为网络的一级节点、以省税务局为二级节点、各地市税务局及其下级地县税务局、税务分局为三级节点,组成税务系统信息网。目前的“税务信息大集中”的集中工作重点是各个省级税务信息系统,本方案将以此为基础进行重点论述。省级税务局网络系统是一个覆盖全省的大型广域网络,它包含如下几部分:1. 省中心内部局域网2. 全省内部广域网3. 对外连接边界系统4. 与税务内联网完全物理隔离的公共网络1.3. 需 求 分 析1.3.1. 安 全 风 险 分 析1.3.1.1. 威 胁 分 析国税局信
7、息网面临的安全威胁主要有: 内部人员安全威胁 被动攻击 主动攻击 邻近攻击 分发攻击税 务 大 集 中 版 本 : 纵 深 防 御 安 全 解 决 方 案 日 期 : KSI-SPEC-00001上 海 金 诺 网 络 安 全 技 术 发 展 股 份 有 限 公 司 , 2004 第 5 页 , 共 17 页1.3.1.2. 脆 弱 性 分 析1. 人的脆弱性 人的安全意识和安全培训的薄弱环节; 人员安全的薄弱环节; 安全管理的薄弱环节; 物理安全的薄弱环节;2. 安全技术脆弱性 操作系统和数据库的安全脆弱性; 系统配置的安全脆弱性; 访问控制机制的安全脆弱性;3. 运行的脆弱性 监控系统的脆
8、弱性; 入侵检测技术的不完善; 响应和恢复措施的不完善。1.3.1.3. 安 全 设 计 目 标根据对国税局信息网分析与风险分析,国税网信息安全设计目标包括以下四个目标:1.3.1.3.1. 本 地 计 算 安 全 目 的在国税局信息网的各个安全域内部及安全域所提供的应用服务中要实现标识和鉴别、访问控制、机密性、完整性和抗抵赖性安全服务。为满足上述要求应实现下列安全目的:1. 确保客户端、服务器和应用得到充分保护以避免拒绝服务、数据非授权泄漏和数据的更改2. 无论客户机、服务器或应用位置,都必须确保由其处理的数据的机密性和完整性3. 防止未授权使用客户机、服务器或应用的情况4. 保障客户端和服
9、务器遵守安全配置指南并安装了所有正确补丁5. 为所有客户端和服务器进行配置管理维护以跟踪补丁和系统配置变更6. 确保各种应用能在不减少安全的情况下方便地集成7. 对于内部和外部的受信任人员与系统从事的违规和攻击活动具有充分的防范能力税 务 大 集 中 版 本 : 纵 深 防 御 安 全 解 决 方 案 日 期 : KSI-SPEC-00001上 海 金 诺 网 络 安 全 技 术 发 展 股 份 有 限 公 司 , 2004 第 6 页 , 共 17 页1.3.1.3.2. 边 界 安 全 目 的要保护国税局信息网的各个安全域边界,以保护其本地计算机环境不受入侵:1. 确保物理和逻辑边界得到充
10、分的保护2. 服务进行动态控制以响应不断变更的威胁3. 确保受保护边界内的系统和网络维持可接受的可用性并得到充分保障以避免拒绝服务入侵4. 确保在边界间或通过远程访问进行交换的数据得到保护并免受不适宜的泄漏5. 为那些在边界内的由于技术或配置问题而不能保护自己的系统提供边界防御6. 提供风险管理方法,有选择地允许重要信息跨边界流动7. 针对保护边界内的系统和数据进行保护,使之免受外部系统或攻击的破坏8. 为用户从边界外发送和接收信息提供强认证和认证的访问控制1.3.1.3.3. 网 络 和 基 础 设 施 的 安 全 目 的保护省、市、县三级的国税局信息网的网络和基础设施,通过动态路由、MPL
11、S VPN 网络、骨干设备和链路的冗余、带宽冗余、QoS 保障、综合网管系统以及物理安全来保障整个网络和基础设施的正常运行。1.3.1.3.4. 支 撑 性 基 础 设 施 安 全 目 的支撑性基础设施为信息技术系统安全提供了支撑性的平台,它为信息技术系统提供了密钥管理、监测和响应功能。1. 提供以 PKI 为基础的密钥管理、证书管理的密码基础设施;并与应用相结合,提供全网的信任机制。2. 提供一种能够对入侵和其他违规事件快速进行检测与响应并能够支持操作环境的入侵检测、报告、分析、评估和响应基础设施,并实现综合的安全运行监控管理。税 务 大 集 中 版 本 : 纵 深 防 御 安 全 解 决
12、方 案 日 期 : KSI-SPEC-00001上 海 金 诺 网 络 安 全 技 术 发 展 股 份 有 限 公 司 , 2004 第 7 页 , 共 17 页2. 安 全 解 决 方 案 设 计本解决方案以信息安全保障技术框架为基础,提出其安全建设应当采用“纵深防御”的安全策略,通过“三重保护、两个支撑、一个中心”来实现整体安全。 “三重保护”是指保护网络与基础设施、保护边界、保护本地计算环境。 “两个支撑”是指 KMI/PKI 平台、检测与响应平台。 “一个中心”是指成立专门的网络安全管理中心,通过技术和管理相结合,有效提高系统安全。2.1. 保 护 网 络 与 基 础 设 施 防 御
13、链路备份主要是通过采用动态路由,双星型拓扑结构,关键设备和链路的冗余,QoS 保障技术等手段来保障网络的高可用性。 链路加密通过 MPLS VPN 技术来实现各个安全域的互联,必要时可以进一步考虑链路加密机等手段进一步提高安全保障的级别。 网络设备的配置安全除了要保障通信线路与网络设备的可用性外,对于网络设备的配置和管理也是一个不容忽视的问题。以下行为可能会对网络设备的安全运行带来影响:1. 技术人员对网络设备的错误配置2. 技术人员对网络设备的误操作3. 黑客非法登录网络设备后修改了配置4. 未经授权的配置行为5. 等必须具备相应的技术和管理手段来解决这些安全风险。如采用审计、加密、访问控制
14、、强化密码管理等。 设施和网络资源的监控与管理通过集中监控的安全管理平台实现该目标。2.2. 保 护 边 界根据对税务信息网安全域的分析,应根据安全域的业务应用、用户和连接对象的不同,采用不同的安全保护措施: 访问控制税 务 大 集 中 版 本 : 纵 深 防 御 安 全 解 决 方 案 日 期 : KSI-SPEC-00001上 海 金 诺 网 络 安 全 技 术 发 展 股 份 有 限 公 司 , 2004 第 8 页 , 共 17 页防火墙作为不同网络或网络安全域之间信息的出入口,能根据系统的安全策略控制出入网络的信息流,且具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的
15、基础设施。不同安全域之间的隔离和访问控制主要通过防火墙技术设备来实现。通过防火墙可以防止非系统内用户的非法侵入、过滤不安全服务以及规划网络信息的流向。 入侵检测入侵检测系统(IDS)的目的是实时地识别和尽可能地阻止来自内网用户或者外部攻击者的未经授权的使用、误用以及对计算机系统的滥用等。在税务信息系统的各个重要的网段部署入侵检测系统传感器,可以实时的检测当前网络的安全状况,多个传感器的事件集中到安全管理中心,可以进一步分析安全趋势和制定全网的安全策略。同时通过配置和相近的防火墙的联动,可以实现实时的响应,阻止攻击的进一步进行。 漏洞扫描影响一个网络系统的安全因素很多,制定较为完备的安全保护措施
16、是保证网络系统安全的必不可少的条件。但是安全措施在实际应用中的效果相差甚远,这是由于系统配置的不断变化,黑客技术的不断提高。由于税务系统的安全程度也会不断地变化,因此网络系统的安全也应是一个动态变化的过程。从被动防御到积极主动地发现安全隐患,需要不断和经常性地对税务网的网络系统进行安全审计和分析,使用网络安全扫描器对网络进行全面的安全和脆弱行为分析和评估,检查网络系统的漏洞所在,及时发现问题,并实施相应的防护措施和安全策略,从而最终达到增强网络安全性的目的。网络安全扫描器瞄准网络中存在的最新的脆弱性和漏洞,全方位、多侧面地对网络可能存在的隐患进行扫描分析,跟踪最新的漏洞并将其加入到漏洞库中,从
17、而大大减少用户系统中的安全隐患。 外联监控国税局的内部网络属于一个相对封闭的安全区域。外部通讯的需求,利用代理服务器、防火墙或物理隔离器等安全设备连接出去,通常这些安全设备都可以按照既定的安全策略执行访问控制或进行内容过滤,所以都能很好地把守住网络边界的门户。但是,由于目前连接外网的方式众多,而且实现起来都非常容易,所以内网中一旦出现额外的外联方式如 modem 拨号、双网卡连接或无线上网等多种连接形式,则该安全区域的封闭性随即被打破,网络中便会出现病毒、泄密或非法入侵等严重事件,致使该网络的安全变得岌岌可危。税 务 大 集 中 版 本 : 纵 深 防 御 安 全 解 决 方 案 日 期 :
18、KSI-SPEC-00001上 海 金 诺 网 络 安 全 技 术 发 展 股 份 有 限 公 司 , 2004 第 9 页 , 共 17 页根据税务信息系统网络的状况,我们建议选择金诺网安的外联监控系统 KNCS 来检测破坏封闭安全域的行为,配合其他边界防护设备(防火墙、入侵检测系统等)更好的保护税务网的安全。2.2.1. 入 侵 检 测 系 统 部 署 方 案下图为一个典型的税务信息系统网络入侵检测系统部署拓扑图。图 2.1 网 络 入 侵 检 测 系 统 部 署 图根据“税务信息大集中”的特点,选用金诺网安 KIDS 入侵检测系统,主要应用在以下方面:1. 在服务器群所在的局域网中部署千
19、兆级的 KIDS 网络入侵检测系统,通过较低的代价实现重要服务器群的重点防护。2. 在各类重要的内部局域网中部署百兆级 KIDS 入侵检测系统,进一步实现全网的分布式检测系统。3. 全省内部广域网,作为一个统一的内部网络,需要进行集中的网络管理、而且网络流量也比较大,一般不宜通过防火墙来进行隔离防护,可以通过KIDS 在相关入口处的监控来提高安全防护水平。税 务 大 集 中 版 本 : 纵 深 防 御 安 全 解 决 方 案 日 期 : KSI-SPEC-00001上 海 金 诺 网 络 安 全 技 术 发 展 股 份 有 限 公 司 , 2004 第 10 页 , 共 17 页4. 对外连接
20、边界系统,一般均通过防火墙进行防护,可以在防火墙后面部署入侵检测系统来提高安全防护的水平。5. 与税务内联网完全物理隔离的公共网络,其防护手段除了系统加固和访问控制之外,还需要进行实时的入侵检测,及时发现攻击和进行响应。6. 另外,在通过防火墙和入侵检测系统进行综合防护的安全体系中,可以通过配置互动功能,使入侵检测系统在发现攻击行为后可以自动通知防火墙进行阻断,响应速度大大提高。2.2.2. 漏 洞 扫 描 产 品 部 署 方 案根据“税务信息大集中”的网络安全建设特点,建议使用金诺网安扫描器进行定期的安全漏洞检查。针对网络和系统脆弱性检测的网络安全扫描系统,其部署与网络结构无关,一般只是根据网络管理权限范围的行政划分由各个管理单位各自购买一套就可以进行所辖全部网络的扫描工作。其原理如下图所示。图 2.2 金 诺 网 安 扫 描 器 原 理 图该扫描系统由手持扫描仪和统计分析主机两部分组成。手持扫描仪为一 PDA 硬件设备,可以非常方便地进行携带,是目前国内外市场上唯一的一款手持式扫描产品,相比较于传统的计算机扫描器来说,不仅仅省去了安装软件的工作,而且即使不懂计算机技术的人员也可以使用,同时也十分适合于流动办公和紧急行动等工作特点。