1、 信息安全策略需求信息安全策略需求 信息安全标准规范需求信息安全标准规范需求 信息安全技术需求信息安全技术需求 信息安全工程需求信息安全工程需求 信息安全组织保障需求信息安全组织保障需求 信息安全管理需求信息安全管理需求税务系统信息安全体系需求分析税务系统信息安全体系需求分析税务信息系统安全体系建设内容税务信息系统安全体系建设内容 在全网范围建设涵在全网范围建设涵盖物理环境、网络、操盖物理环境、网络、操作系统、数据库、应用作系统、数据库、应用系统和数据安全等各个系统和数据安全等各个层面的信息安全体系和层面的信息安全体系和信息安全组织保障架构。信息安全组织保障架构。国家税务总局国家税务总局省级国
2、地税局省级国地税局地市级国地税局地市级国地税局区县级国地税局区县级国地税局征收分局(税务所)征收分局(税务所)计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 (GB17859-1999GB17859-1999)总体方案设计依据总体方案设计依据 国家电子政务试点示范工程安全体系和技术规范国家电子政务试点示范工程安全体系和技术规范国家电子政务试点示范工程安全体系和技术规范国家电子政务试点示范工程安全体系和技术规范 信息保障技术框架(信息保障技术框架(信息保障技术框架(信息保障技术框架(Information
3、Assurance Information Assurance Technical Framework Technical Framework,IATFIATF)美国国家安全局美国国家安全局美国国家安全局美国国家安全局 国家主管部门的相关政策和法规国家主管部门的相关政策和法规国家主管部门的相关政策和法规国家主管部门的相关政策和法规 税务系统信息安全体系需求分析税务系统信息安全体系需求分析税务系统信息安全体系需求分析税务系统信息安全体系需求分析 税务信息系统主体的安全保护等级为三级税务信息系统主体的安全保护等级为三级税务信息系统主体的安全保护等级为三级税务信息系统主体的安全保护等级为三级 数据中
4、心主体的安全保护等级为四级数据中心主体的安全保护等级为四级数据中心主体的安全保护等级为四级数据中心主体的安全保护等级为四级 安全基础设施的安全保护等级为四级安全基础设施的安全保护等级为四级安全基础设施的安全保护等级为四级安全基础设施的安全保护等级为四级安全系统等级的确定安全系统等级的确定1 1、建立网络边界和安全应用域防护系统,、建立网络边界和安全应用域防护系统,、建立网络边界和安全应用域防护系统,、建立网络边界和安全应用域防护系统,重点防止来自外部的攻击和对内部安全访问域进行控制。重点防止来自外部的攻击和对内部安全访问域进行控制。重点防止来自外部的攻击和对内部安全访问域进行控制。重点防止来自
5、外部的攻击和对内部安全访问域进行控制。2 2、建立服务与全网和所有应用的安全基础设施,、建立服务与全网和所有应用的安全基础设施,、建立服务与全网和所有应用的安全基础设施,、建立服务与全网和所有应用的安全基础设施,实现内部的身份认证、权限划分、访问控制和安全审计。实现内部的身份认证、权限划分、访问控制和安全审计。实现内部的身份认证、权限划分、访问控制和安全审计。实现内部的身份认证、权限划分、访问控制和安全审计。3 3、建立全网范围内的安全管理与响应中心,、建立全网范围内的安全管理与响应中心,、建立全网范围内的安全管理与响应中心,、建立全网范围内的安全管理与响应中心,强化网络可管理、安全可维护、事
6、件可响应。强化网络可管理、安全可维护、事件可响应。强化网络可管理、安全可维护、事件可响应。强化网络可管理、安全可维护、事件可响应。系统建设目标系统建设目标技术体系架构技术体系架构管理体系架构管理体系架构整体架构设计分成两大部分整体架构设计分成两大部分 从运行环境、网络、操作系统、应从运行环境、网络、操作系统、应用和管理五个层面进行安全设计。用和管理五个层面进行安全设计。税务信息系统网络的划分与连接税务信息系统网络的划分与连接 互互互互联联联联网网网网 业业业业务务务务专专专专网网网网 物物物物理理理理隔隔隔隔离离离离 涉涉涉涉密密密密网网网网 逻逻逻逻辑辑辑辑隔隔隔隔离离离离政务外政务外政务外
7、政务外网网网网银行银行银行银行海关海关海关海关工商工商工商工商企业企业企业企业纳税户纳税户纳税户纳税户对外宣传对外宣传对外宣传对外宣传技术体系架构:技术体系架构:安全支撑平台安全支撑平台 安全应用子系统安全应用子系统安全应用子系统安全应用子系统网络防护子系统网络防护子系统网络防护子系统网络防护子系统安全认证与授权子系统安全认证与授权子系统安全认证与授权子系统安全认证与授权子系统安全管理子系统安全管理子系统安全管理子系统安全管理子系统 应用支撑平台应用支撑平台 安全管理平台安全管理平台 三个平台三个平台四个安全子系统四个安全子系统见方案摘要第见方案摘要第见方案摘要第见方案摘要第7 7 7 7页页
8、页页入侵检测入侵检测入侵检测入侵检测网络防护子系统网络防护子系统国税总局国税总局国税总局国税总局备份中心备份中心备份中心备份中心省国地税局省国地税局省国地税局省国地税局地地地地/市国地税市国地税市国地税市国地税县国地税县国地税县国地税县国地税线路密码机线路密码机线路密码机线路密码机防火墙防火墙防火墙防火墙防病毒防病毒防病毒防病毒防非法外联防非法外联防非法外联防非法外联网络行为审计网络行为审计网络行为审计网络行为审计操作系统加固操作系统加固操作系统加固操作系统加固安全认证与授权子系统安全认证与授权子系统用户用户用户用户CACACACA系统系统系统系统AAAAAAAA系统系统系统系统数据库数据库数
9、据库数据库服务服务服务服务访问访问访问访问他是谁?他是谁?他是谁?他是谁?有什么权限?有什么权限?有什么权限?有什么权限?认证系统认证系统认证系统认证系统授权系统授权系统授权系统授权系统用户认证证书用户认证证书用户认证证书用户认证证书用户权限证书用户权限证书用户权限证书用户权限证书设备认证证书设备认证证书设备认证证书设备认证证书设备认证证书设备认证证书设备认证证书设备认证证书软件认证证书软件认证证书软件认证证书软件认证证书数据等级的划分与控制数据等级的划分与控制用户用户用户用户AAAAAAAA系统系统系统系统服务服务服务服务访问访问访问访问授权系统授权系统授权系统授权系统一级数据一级数据一级数
10、据一级数据二级数据二级数据二级数据二级数据三级数据三级数据三级数据三级数据四级数据四级数据四级数据四级数据五级数据五级数据五级数据五级数据数据安全域的安全控制数据安全域的安全控制五五五五级级级级安安安安全全全全域域域域二二二二级级级级安安安安全全全全域域域域三三三三级级级级安安安安全全全全域域域域一一一一级级级级安安安安全全全全域域域域:数据明文:数据明文:数据明文:数据明文访问访问访问访问建立五级环境建立五级环境建立五级环境建立五级环境安全认证与授权子系统安全认证与授权子系统业务专网业务专网业务专网业务专网CACACACA和和和和互联网互联网互联网互联网CACACACA安全认证与授权子系统安
11、全认证与授权子系统安全应用子系统安全应用子系统 采用安全中间件和门户网站相结合的技采用安全中间件和门户网站相结合的技采用安全中间件和门户网站相结合的技采用安全中间件和门户网站相结合的技术,提供以术,提供以术,提供以术,提供以PKI/PMIPKI/PMI技术为核心的各种安全技术为核心的各种安全技术为核心的各种安全技术为核心的各种安全服务功能,实现单点登录和访问控制。服务功能,实现单点登录和访问控制。服务功能,实现单点登录和访问控制。服务功能,实现单点登录和访问控制。实现全系统统一的安全服务接口。实现全系统统一的安全服务接口。实现全系统统一的安全服务接口。实现全系统统一的安全服务接口。安全应用子系
12、统安全应用子系统安全管理子系统的组成安全管理子系统的组成 安全策略子系统安全策略子系统安全策略子系统安全策略子系统 网络管理与网络安全防护管理网络管理与网络安全防护管理网络管理与网络安全防护管理网络管理与网络安全防护管理 事件监控管理事件监控管理事件监控管理事件监控管理 安全设备管理安全设备管理安全设备管理安全设备管理 策略执行管理策略执行管理策略执行管理策略执行管理 (安全互动)(安全互动)(安全互动)(安全互动)审计管理审计管理审计管理审计管理 病毒防治管理病毒防治管理病毒防治管理病毒防治管理 安全评估与事件分析安全评估与事件分析安全评估与事件分析安全评估与事件分析 软件升级管理软件升级管
13、理软件升级管理软件升级管理 安全管理子系统的逻辑图安全管理子系统的逻辑图 总局总局省局省局策策策策略略略略执执执执 行行行行模模模模 块块块块策略策略日志日志地市局地市局安安安安全全全全审审审审计计计计模模模模 块块块块设设设设备备备备管管管管 理理理理模模模模 块块块块网网网网 络络络络管管管管 理理理理模模模模 块块块块运运运运 行行行行管管管管 理理理理模模模模 块块块块病病病病毒毒毒毒防防防防治治治治模模模模 块块块块策略策略日志日志地市局安全管理平台省局安全管理平台策略策略安全管理子系统的结构安全管理子系统的结构 行业主管部门总局领导总局安全管理中心网络管理运行管理人员管理法规管理病
14、毒防治安全设备总局安全领导小组总局安全领导小组办公室训练管理对外联络专家管理策略制订标准化制订论坛省局领导地市局领导省局安全领导小组总局安全领导小组办公室训练管理对外联络专家管理策略制订标准化制订论坛地市局安全领导小组办公室训练管理对外联络专家管理策略标制论坛省局安全管理中心网络管理运行管理人员管理法规管理病毒防治安全管理地市局安全管理中心网络管理运行管理人员管理法规管理病毒管理安全管理见方案摘要第见方案摘要第见方案摘要第见方案摘要第15151515页页页页实施计划实施计划整个方案的实施分为三个主要阶段:整个方案的实施分为三个主要阶段:第第一一阶阶段段,周周期期为为一一年年。重重点点实实施施安
15、安全全保保障障体体系系中中的的网网络络防防护护系系统统;安安全全支支撑撑平平台台和和安安全全应应用用平平台台;开开发发针针对对金金税税二期业务系统的安全接口;数据备份与容灾系统。二期业务系统的安全接口;数据备份与容灾系统。第第二二阶阶段段,周周期期为为两两年年。进进一一步步完完善善应应用用系系统统安安全全的的开开发发,全全面面满满足足金金税税三三期期应应用用安安全全的的要要求求;建建立立安安全全管管理理平平台台;完善安全管理机制(包括规范、制度等)。完善安全管理机制(包括规范、制度等)。第第三三阶阶段段,周周期期为为两两年年。安安全全保保障障体体系系完完善善与与稳稳定定期期。建建立立完完善善的的项项目目实实施施与与管管理理组组织织,保保证证项项目目的的计计划划、实实施施、监监理理、测测试试、评评估估、采采购购、文文档档、调调试试、验验收收、运运行行等等全过程的准确执行。全过程的准确执行。谢谢 谢!谢!