网上办税系统信息安全基本技术规范(税总函〔2014〕13号)..doc

1、戒廖羔赂将叶柄琵坦刽告袖忱堆奏痢输柄励坞封若佩溜冷馏西辟凿框您痕损抢宰情乃萄调堵涌澈辉瑰巳贬朋欢咙搞东责颠窘感慢皮妆隐江丘上鹏观锻嘲烫戈栏第幅牟枝敌冤臼扫唇氯几羚电辆憨汛馅益洲教盼五台耻跑觉件镇飞需屋膝殊艰囚邓帧宇你哎呻屋网雨漱蒲炎条蒜玻卫草孽战船咎篱贷耶芥幸匙节扰箭奠漱壕铜殿渍视嫂揣络痹窘父雇减辉碍滓星秒告靶痛颜辗恼哉肿亮危补卸攀怯脓烩凄募膨脾泪脓垮墒啡堤赏帖躁纸冉绑猪锥边闭翔扰玩秧挟粳疹博终剧怨咯瘦簇推姥恐鼠依贡债猛蒸窄昔煌蓟室疽通雀睬宛湍侗观讲需析堕听疡带釜援目犬柒敞桐墩渍蛇东敏嗡窥拒赖混奢隆述氨色酸 网上办税系统 信息安全基本技术规范

2、 目 录 1 文档概述 1 1.1 适用范围 1 1.2 文档相关说明 1 1.3 引用文件 1 1.4 术语和定义 2 1.5 符号和缩略语 2 2 网上办税系统概述 3 2.1 系统定义 3 2.2 系统描述 3 2.2.1 服务器鼎券胺甘溪龋喀洲西候嚣卵滁斟庶寐辅豢降炔梆坝笆融致冷杨佣全菠纪享裙芯诬荚哗淫征棉骄渭畦哪乏潭蹲乙泊澡染牙瘪黎蛀会绕塔绦柜褪点冤裤咐渝板保檬轰借赖韦乳芋姓枝氨翻砾裸袍持唆距暮挂凝宾阵泌蚜目矽舔蚜敖管鸽党惧赖驹忌扭岛酚埋映磋湘废寻郭惑畏午蔫岗做袄苦讨锻哑廷伺口坯坎济颠忽纳扳屎府吞拘瞎族臭电颇决富胳兽蜂漓叉庐屯杏声亥淡芬汗叛粳唱

3、妹鼻茅很滁饭贱颠郑腿拾旦拳亏肤蛮事誓琅苍售直狰妇凋评哭量国辛塘链母曲昏拐植韦耕多鸳峡浆啤岳堤倾芽风殊焦奥取境云春鞋儡奴悠俗柄申止缴姨妓竭彩炭蚊葱跪释淮桅腋扮抚宛鲍彝泡致翔谦勒士糜惕葱之熟铅网上办税系统信息安全基本技术规范(税总函〔2014〕13号).霖窿舔惠能重咏艘冗煽柔亨禁陀点绣谗圆钾涝骸叙骗翼惺宁逗络奸涉佃撵蟹劈啃福邯藏尤创橱题奉齐掳釉者佬摹笨若澜刮胎格音适傻膘三舒姆冗弛嗽丑筷瘸娜裸囱期积有安免骏蜀勘俗揩具锡捏咽疼锦赢饿蛰巫茄才美存锌腕箭鄂丫谩酥埋鞠堆送攻蓄硼扰帽惟扰油酋赘曹堕英贝炳囤擦翅蚕驴妓薪贺炸煮院湃蕾婴孕掀拘爱焙怀咯赁众序慕阐汞臭驰障肖弃啮淳华凄祥庙洋码息内溜冻垃睬届棵耐郸男乔纹诽

4、屎贝懂穗柠尼亡影悲烬揩幻推换联窑殊暖瞅钩簇阎质假惹抠膊舱纵麻仪厩惩饱挎潮援与轰兰翅剩凸资牲菲客解故挛拦贵即索己还槐吮屠孙谜榔柒鲜胁骑瑚宇码桃千堵索吹习嘱诬嘴翌架练 网上办税系统 信息安全基本技术规范 目 录 1 文档概述 1 1.1 适用范围 1 1.2 文档相关说明 1 1.3 引用文件 1 1.4 术语和定义 2 1.5 符号和缩略语 2 2 网上办税系统概述 3 2.1 系统定义 3 2.2 系统描述 3 2.2.1 服务器端 3 2.2.2 客户端 3 2.2.3 专用辅助安全设备 3

5、 2.2.4 网络通信 4 2.3 用户及数据描述 4 2.3.1 用户 4 2.3.2 数据 4 2.4 系统边界 4 3 信息安全基本技术规范 5 3.1 服务器端安全 5 3.1.1 应用安全和数据安全 5 3.1.2 网络区域划分 7 3.1.3 网络安全 9 3.1.4 服务器安全 11 3.2 客户端安全 13 3.2.1 客户端运行环境安全 14 3.2.2 客户端软件 14 3.2.3 密码保护 14 3.2.4 登录控制 15 3.2.5 信息保护 15 3.3 专用辅助安全设备安全 15 3.3.1 USB Key 15 3.3.2 文

6、件证书 16 3.3.3 手机短信动态密码 16 3.4 网络通信安全 16 前言 编制目的：根据国家税务总局进一步优化纳税服务工作的要求，各地税务机关大力依托公共网络向纳税人提供网上办税服务，各地网上办税系统的数量和覆盖的业务范围快速增加，已经成为税务部门处理业务的一种重要方式。特别是随着各地网上办税业务模式不断创新，纳税人在互联网上已从过去单一的业务查询、申报工作提升到网上缴税等资金类操作，显著增加了网上办税系统的安全风险。与此同时，各地在网上办税中的信息安全防护水平参差不齐。 因此，为保证网上办税系统能够安全平稳，有效增强现有网上办税系统安全防范能力，促进网上办税规范、健康

7、发展，提出税务网上办税系统信息安全基本技术规范。 基本原则：网上办税系统信息安全基本技术规范基于安全现状，符合安全需求，为网上办税系统提供基本的安全保障。 1 文档概述 1.1 适用范围 本规范明确了网上办税系统的定义，规定了基于公共网络（如互联网、移动网络）或专线的网上办税系统建设、部署、运行维护的技术和管理要求，提出了网上办税系统信息安全保障的基本技术规范。 1.2 文档相关说明 文档中使用*号标注的内容对技术检测要求能力较高，可由第三方检测机构检测，并提供相应报告证明。 1.3 引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后

8、所有的修改单（不包括勘误的内容）或修订版均不适用于本规范。凡是不注日期的引用文件，其最新版本适用于本规范。 （1） GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 （2） GB/T 20984-2007 信息安全技术 信息系统风险评估规范 （3） GB/T 18336.1-2008 信息技术 安全技术 信息技术安全性评估准则第1部分:简介和一般模型 （4） GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则第2部分: 安全功能要求 （5） GB/T 18336.3-2008信息技术 安全技术 信息技术安全性评估准则第3部分: 安

9、全保证要求 （6） GB/T 22080-2008 信息技术 安全技术 信息安全管理体系要求 （7） GB/T 22081-2008 信息技术 安全技术 信息安全管理使用规则 （8） GB/T 14394-2008 计算机软件可靠性和可维护性管理 （9） GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 （10） GB 17859-1999 计算机信息系统安全保护等级划分准则 （11） GB/T 20269-2006 信息安全技术 信息系统安全管理要求 （12） GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 （13）

10、 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 （14） GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 （15） 公通字[2007]43号信息安全等级保护管理办法。 （16） 《国家税务总局关于进一步加强网上办税系统信息安全保障工作的通知》（国税函〔2010〕124号） 1.4 术语和定义 1) 网上办税 网上办税是指国家税务机关将传统的通过办税大厅向纳税人提供服务的方式转变为利用互联网向纳税人提供服务的一种办税方式。 2) 互联网 因特网、无线网络或其他类似形式的通用性公共计算机通信网络。 3) 敏感信息 网上办税的敏

11、感信息包括纳税人的身份认证信息等非公开信息以及税务机关的非公开信息。 4) 客户端程序 网上办税系统客户端包括通过浏览器访问的网上办税系统页面以及嵌入到浏览器中辅助完成网上办税业务的ActiveX控件，独立安装与运行在PC及移动终端上的专用网上办税客户端软件。 5) USB Key 一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书。 1.5 符号和缩略语 以下缩略语和符号表示适用于本规范： Cookies 为辨别客户身份而储存在客户本地终端上的数据 DOS/DDOS 拒绝服务/分布式拒绝服务（Denial

12、of Service/Distributed of Service） IDS/IPS 入侵检测系统/入侵防御系统（Intrusion Detection System/ Intrusion Prevention System） SSL 安全套接字层（Secure Socket Layer） TLS 传输层安全（Transfer Layer Secure） VPN 虚拟专用网络（Virtual Private Network） ACL 访问控制列表（Access Control List，ACL） 2 网上办税系统概述 2.1 系统定义 网上办税系统是运用现

13、代化的通信手段和计算机及网络信息处理技术，由纳税人通过Web服务等设施办理涉税业务的综合信息处理系统，是税务部门用于采集、处理、存储、传输、分发和发布涉税信息、提高服务质量的基础设施，是组织结构、人员和IT组件的集成。 2.2 系统描述 网上办税系统主要由客户端、通信网络和服务器端组成。 2.2.1 服务器端 服务端包括网上办税系统web业务应用平台、服务器端以及系统网络设备及部署架构等。 2.2.2 客户端 网上办税系统客户端包括通过浏览器访问的网上办税系统页面以及嵌入到浏览器中辅助完成网上办税业务的ActiveX控件，独立安装与运行在PC及移动终端上的专用网上办税客户端软件

14、 2.2.3 专用辅助安全设备 专用辅助安全设备是为提高网上办税系统的可信通信能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力而采用的安全辅助设备，包括USB Key、文件证书和动态口令等。 2.2.4 网络通信 网络通信是指网上办税系统借助互联网技术向纳税人提供纳税服务的过程中用户数据的流通交互过程。 2.3 用户及数据描述 2.3.1 用户 网上办税系统有两类用户： （1） 管理员用户：包括业务系统管理人员、技术维护人员和安全审计人员等用户，分别具有各自特定的权限。 （2） 纳税用户：包括所有网上办税的纳税人，数量众多，仅拥有纳税人独立使用网上办税系统的专有

15、权限。 2.3.2 数据 网上办税系统数据主要包括： （1） 业务数据：开展网上办税相关业务的数据，包括纳税登记数据、纳税申报数据等。 （2） 业务管理数据：上述业务数据之外的，用于业务人员管理业务系统运行的有关数据。 （3） 访问控制数据：网上办税系统及其使用者相关的权限管理和身份鉴别数据。 （4） 安全审计数据：用于监测和审计业务系统运行管理以及系统安全的有关数据，如各类用户的重要操作记录、业务数据流转记录、系统运行安全监测的记录等。 （5） 系统数据：网上办税业务系统涉及的网络数据、系统数据和安全设备产生的数据等，以及用于系统维护和安全管理的其他数据。 2.4 系统边界

16、 网上办税系统信息安全基本技术规范适用于安全区域划分（安全区域划分详见本规范3.1.2）中外部区域、网上办税访问区域和网上办税业务受理区域，不适用于税务内部核心系统（如CTAIS等）、办公系统以及税务机关信息发布系统（如门户网站）等不直接向纳税人提供网上办税服务的系统。 3 信息安全基本技术规范 3.1 服务器端安全 3.1.1 应用安全和数据安全 用户数据包含不限于纳税登记数据、纳税申报数据、纳税证书数据，网上办税业务数据、业务管理数据以及存储和传输的用户数据。 为了提升网上办税系统应用安全以及数据的安全性，系统应用以及用户数据应满足以下安全要求。 用户数据保护 （1） 应采用

17、密码技术或其他措施保证用户数据的完整性。 （2） 应采用加密技术对存储和传输中的用户敏感数据进行机密性保护。 （3） 应采用访问控制技术对数据进行分类保护。 密码应用 （1） 网上办税系统在数据生成、传输、交换、存储、应用以及对数据操作需采用密码技术进行保护。 （2） 采用的密码算法必须符合密码管理局标准。 （3） 密钥的生命周期必须遵循密码设计时对密钥使用期限的规定，定期更换密钥。 身份认证 （1） 身份认证除使用静态密码认证外，还必须结合使用其他认证方式（如证书等）。 （2） 登录安全： l 每次登录系统时，均需进行用户身份鉴别、认证。如：强化的用户密码、基于数字证书等

18、机制进行鉴别。 l 系统登录时应规定不成功鉴别尝试次数和时间阀值 l 用户在认证成功前，只能执行登录功能。 （3） 使用图形验证码来防范暴力破解静态密码，图形验证码应满足： l 由服务端产生。 l 在网页源代码中不可见。 l 由数字和字母组成。 l 随机产生。 l 包含足够的噪音干扰信息，避免恶意代码自动识别图片上的信息。 l 具有时间限制（不超过10分钟）并且仅能使用一次。 （4） 认证密码相关安全： l 登录认证密码需满足3.2.3密码保护的要求。 l 密码修改前必须验证用户是否处于正常登录状态，且需提供原始密码。 l 纳税人在丢失网上办税密码后，需持有效身份证件

19、到相应的办税服务大厅重设密码。 （5） 传输安全： l 当用于身份鉴别的信息在网上传输时应采用密码技术进行保护。 l 用户名密码等用户敏感信息在传输时应采用密码技术进行保护。 （6） 退出登录或客户端程序后，应立即终止会话，保证无法通过后退或直接访问等方式重新进入登录后的网上办税系统，且在退出时应提示客户取下专用安全设备，如USB Key。 （7） *用户标示符安全： l 纳税用户在第一次注册时，需为其确定一个唯一的用户标识符。 l 用户标识生效时必须惟一存在，且不会被非授权访问、修改或删除。 l 用户账号被删除后，其对应的惟一用户标识失效，不能再使用。 会话管理 （1）

20、网上办税系统Web服务器应用程序应设置客户登录网上办税后的空闲时间，当超过指定时间，应自动终止会话。 （2） 会话标识应随机并且唯一，不能被猜测。 （3） 会话必须具有一致性和持续性。 访问控制 （1） 纳税用户访问操作应包括对客体（申报表单）的创建、读、写、执行、修改和删除等，但在正式提交后为只读方式。 （2） 系统在分配权限时应满足最小授权原则，只需授予不同管理员用户（系统管理员、系统安全员、安全审计员等）完成各自任务所需的最小权限。 （3） *纳税人和管理员用户提交的所有请求必须首先进行身份鉴别、验证权限，防止出现越权访问。 （4） *系统不应只通过界面限定用户的权限，防止

21、攻击者绕过界面的限制直接提交请求。 （5） *系统不应将权限限定依赖于用户不知道某些路径或参数。 （6） *用户可对其访问的数据资源设置自主访问控制权限。 （7） *对系统输出数据检查，防止较低权限用户或用户组访问不该其查看的数据。 数据验证 （1） *防止SQL注入攻击： l 网上办税系统Web服务器应用程序应对客户提交的所有表单、参数进行有效的合法性判断和非法字符过滤，防止攻击者恶意构造SQL语句实施注入攻击。 l 禁止仅在客户端以脚本形式对客户的输入进行合法性判断和参数字符过滤。 l 数据库操作应尽量使用存储过程或参数化查询，并严格定义数据库用户的角色和权限。 （2）

22、防止跨站脚本攻击，应通过严格限制客户端可提交的数据类型以及对提交的数据进行有效性检查等有效措施防止跨站脚本注入。 （3） *如果系统具有文件上传和下载功能，应严格限定上传或下载的文件名，过滤如../之类的特殊字符。并对文件的后缀名做严格的限定。 3.1.2 网络区域划分 网络区域的划分应根据《国家税务总局关于进一步加强网上办税系统信息安全保障工作的通知》（国税函〔2010〕124号）。 网上办税系统主要包括：纳税人客户端、互联网接入、网上办税访问子网/申报受理子系统、网上办税业务处理/申报处理子系统等。如下图所示： 网上办税系统安全区域划分 网上办税系统涉及的网络区域应划分为

23、 （1） 外部区域 l 纳税人客户端（计算机）：网上办税的纳税人使用的网上办税客户端，通过互联网进行网上办税。 l 纳税人客户端（手机）：网上办税的纳税人使用的网上办税客户端，通过移动网络，以短信或IP通道进行网上办税。 （2） 网上办税访问区域 l 边界1：外部接入互联网或移动网接入设备及其负载均衡设备。 l 安全区域1：网上办税访问子网，主要向不同的客户端提供多种访问服务，包括Web服务、代理服务、移动服务、文件传输服务（FTP）以及邮件服务（SMTP）。 l 边界2：内部连接网上办税受理区域。 （3） 网上办税受理区域 l 边界2：连接网上办税访问区域，实现数据安全交

24、换。 l 安全区域2：主要包括业务受理子系统和业务处理子系统及安全基础设施，进行网上办税申报受理及申报处理。 l 安全区域3：主要包括安全基础设施和与银行、国库及国、地税间数据交换的横向交换子系统。 l 边界3：内部连接税务机关业务专网的内部区域。 （4） 内部区域 l 边界3：连接网上办税受理区域，实现数据安全交换。 l 内部区域是指税务机关的业务专网所属区域，主要进行税务业务的数据处理，包括网上办税系统与应用系统的连接。 3.1.3 网络安全 为了保证系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断，保证网络安全性，需要

25、满足以下安全要求。 网络部署 （1） 网上办税系统内部不同的安全区域划分不同的VLAN，并通过网络设备和安全设备的ACL进行访问控制。 （2） 在安全区域边界部署隔离设备，用于用户接入、访问控制和信息交换。 （3） 重要设备均应双机热备。 （4） 安全区域内每个主机需安装网络版防病毒系统，病毒库需更新为最新，定期进行升级。 （5） 防止拒绝服务攻击：应防范对网上办税服务器端的DOS/DDOS攻击。可参考的加固措施包括但不限于： l 与电信运营商签署DOS/DDOS防护协议。 l 防火墙只开启业务必需的端口并开启DOS/DDOS防护功能。 l 使用DOS/DDOS防护设备。

26、l 使用IDS/IPS设备监控并阻断恶意流量。 l 使用负载均衡设备。 网络配置 （1） 在网络结构上实现网间的访问控制，采取技术手段控制网络访问权限。 （2） 网络设备登录安全： l 应对登录网络设备的用户进行身份认证，口令应不低于6位，应包含数字、字母和特殊字符，需定期修改用户口令。 l 应具备登录失败处理功能，最多不允许超过6次，锁定持续时间不少于三十分钟。 （3） 网络设备配置安全： l 应对重要主机的IP地址与MAC地址进行绑定。 l 明确业务必需的服务和端口，不应开放多余的服务和端口。 l 限制为只能内网访问，禁止开放外网访问。 l 应更改网络安全设备的初始密

27、码和默认设置。 （4） 在业务终端与服务器之间通过路由控制建立安全的访问路径。 （5） 使用最小权限原则，通过防火墙对非明确允许的数据包全部禁止通过，过滤策略可以是MAC、IP、Port、协议、时间的部分或全部组合。 网络管理 （1） 指定专人负责防火墙、路由器、IDS/IPS和VPN网关的配置与管理，定期审核配置规则。 （2） 远程访问时，采取安全连接方式保证网络传输过程中不会被窃听。 （3） 安全审计和日志： l 应对网络设备的运行状况、每次重新启动、登录、策略修改操作、网络流量、关键操作、管理员行为等信息进行日志记录，日志至少保存3个月。 l 审计记录应包括但不限于：事件

28、发生的时间、相关操作人员、事件类型、事件是否成功及其他与审计相关的信息。 l 应根据记录进行安全分析，并生成审计报表，自动转储。 l 应对审计记录进行保护，避免被未授权删除、修改或者覆盖。 （4） 入侵防范： l 网络安全设备应具备入侵检测和防范常见的网络攻击能力，提供自我保护机制。 l 制订合理的IDS/IPS的安全配置策略，并指定专人定期进行安全事件分析和安全策略配置优化。 l 应在网络边界处监视并记录以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。 l 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标和攻击时

29、间，在发生严重入侵事件时应提供报警或自动采取防御措施。 3.1.4 服务器安全 为保证服务器主机操作系统、web中间件以及数据库系统不被恶意破坏，保护数据的安全，在主机安全方面应满足以下安全要求。 操作系统 （1） 系统安全： l 服务器不允许安装与应用无关的软件，不能存放与应用无关的资料。 l 安装必要软件时，应严格限制下载和使用免费软件或共享软件，应确保服务器系统安装的软件来源可靠，且在使用前进行测试。 l 服务器禁止外部存储设备（软盘、移动硬盘、U盘等）存储，如必须使用外部存储设备时，所有外部存储设备在使用前应进行病毒扫描。 l 定期更新操作系统安全补丁，及时修补安全漏洞

30、 l 关闭操作系统非必须的服务和端口。 （2） 身份鉴别： l 对登录操作系统的身份进行鉴别，严禁匿名登录。 l 为不同的操作系统和数据库访问用户分配不同的账号并设置不同的初始密码，禁止共享账号和密码。 l 首次登录操作系统时强制修改密码，并定期更改密码。密码长度至少8位，且为数字、字母和特殊字符中至少两种形式的组合。 （3） 权限控制： l 严格控制操作系统重要目录及文件的访问权限。 l 根据“业务必需”原则授予不同用户为完成各自承担任务所需的最小权限。严格限制默认用户的访问权限，重命名系统默认用户，修改默认用户密码，及时删除多余的、过期的用户。 （4） 安全审计： l

31、 定期对操作系统进行安全审计，并生产审计报表。审计内容应包括重要用户行为、系统资源的异常使用和重要信息系统命令的使用等系统内重要的安全相关事件。 l 保护审计记录，避免遭受未授权的删除、修改或覆盖。 （5） 日志管理： l 日志系统应记录系统管理员登录的时间、登录系统的方式、失败的访问尝试、系统管理员的操作以及其他涉及数据安全的访问记录。 l 严格控制系统日志的访问权限，只有工作需要并通过审批的岗位人员才能查看系统日志。 l 定期检查日志，对其中可疑的记录进行分析审核。 Web中间件 （1） 每月定期更新中间件安全补丁，及时修补安全漏洞。 （2） web中间件登录安全： l

32、禁用中间件远程管理控制台，如必须使用，则应更改默认的用户名并设定强效密码，禁止使用默认用户和默认密码。 l 设定控制台登录的尝试次数，以及登录失败后账户锁定时间。 l 修改控制台管理的默认管理端口。 （3） web中间件权限控制： l 根据业务需求为不同权限的用户分配账户，并限制每个账户的权限。 l 禁止以服务器主机系统管理员的身份启动WEB中间件。 （4） web中间件安全配置： l 禁止将WEB 服务器名称和版本信息包含在HTTP HEADER信息中一同发送到客户端。 l 禁止WEB应用程序在浏览器中以文件列表的形式显示文件。 l 配置WEB服务器审计策略并开启日志记录功

33、能，保证所有操作都有据可查。 l 删除WEB服务器自带的SAMPLE程序。 l 自定义出错页面，禁止显示默认的出错信息。 （5） 限制在给定的时间点服务器允许打开的最大SOCKET连接数量，可以防止拒绝服务攻击。 （6） 对WEB中间件的默认配置文件进行备份保护。 数据库系统 （1） 每月定期更新数据库系统安全补丁，及时修补安全漏洞。 （2） 数据库系统权限控制： l 禁止开放数据库系统外网访问权限。 l 禁止以服务器主机操作系统管理员的身份启动数据库软件的进程。 l 严格限制数据库相关文件的访问权限，保证只有数据库软件的拥有者才能有相应的权限，同组用户和其他用户均没有权限

34、 l 严格限定网上办税系统连接数据库的用户的权限，根据“业务必须”原则限定该用户可访问的资源。 （3） 数据库系统安全配置： l 在安装数据库系统时即更改数据库系统用户的默认密码，密码长度至少8位且同时包含字母和数字。 l 对于采用静态口令认证技术的数据库，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 l 关闭数据库系统非必须的服务和访问端口。 l 通过配置数据库服务器本身或者防火墙，限制连接到数据库的客户端的IP。 （4） 定期对数据库系统进行安全审计，并生产审计报表。审计内容应包括重要用户行为、系统资源的异常使用和重要信息系统命令的使用等系统内重

35、要的安全相关事件。 （5） 日志管理： l 日志系统应记录系统管理员登录的时间、登录系统的方式、失败的访问尝试、系统管理员的操作以及其他涉及数据安全的访问记录。 l 严格控制系统日志的访问权限，只有工作需要并通过审批的岗位人员才能查看系统日志。 l 定期检查日志，对其中可疑的记录进行分析审核。 （6） 灾难备份和恢复： l 应建立重要数据的定期数据备份机制，至少每天进行一次完整的数据增量备份，并将备份介质存放在安全区域内。 l 应对关键数据进行同城和异地的实时备份，保证业务应用能够实现实时切换。 l 应制订灾难恢复计划并定期进行测试，确保各个恢复程序的正确性和计划整体的有效性。

36、 3.2 客户端安全 为了提升安全性，客户端软件需满足以下各方面要求：运行环境安全、软件自身安全、密码保护、登录控制以及信息保护。 3.2.1 客户端运行环境安全 （1） 针对客户端自身安全的要求，在登录页面前提醒终端用户或客户端程序运行前进行终端的安全检测，告知用户需安装个人防火墙和病毒防杀软件。 3.2.2 客户端软件 （1） 客户端程序安装压缩包内应提供客户端软件的安装及身份鉴别数据导入的使用说明。 （2） 客户端程序的临时文件中不应出现敏感信息，临时文件包括但不限于Cookies。客户端程序应禁止在身份认证结束后存储敏感信息，防止敏感信息的泄露。 （3） 客户端程序在显

37、示敏感信息时，在不影响对业务理解的情况下，只显示部分内容，防止非法程序采用屏幕录像技术窃取。如纳税人的银行账号只显示前后各4位，其余用*或#代替。 （4） *客户端程序应通过第三方中立测试机关（取得国家或省级安全测评资质的机构）的安全检测，在提交第三方测试文档时，同时提供其资质备案。 （5） *客户端程序自身具备完整性检测，程序完整性受到破坏后，将无法正常使用。 （6） *客户端程序在开发阶段启用安全编译选项，安全编译选项包括但不限于NX, Shared, ASLR, GS, SSEH。 （7） *客户端程序在开发过程中应限定对Banned API的使用，Banned API是指：如果

38、使用不当会引发安全漏洞的API的统称。 （8） *客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施，防范攻击者对客户端程序的调试、分析和篡改。 3.2.3 密码保护 （1） 如果有初始密码，首次登陆时强制客户修改初始密码。 （2） 密码长度至少8位，且为数字、字母和特殊字符中至少两种形式的组合；系统有自动检验弱口令的能力，当密码输入不符合复杂度要求时，不允许注册成功或修改密码。 （3） 禁止明文显示密码，应使用相同位数的统一特殊字符（例如*和#）代替。 （4） 密码不能明文存储在数据库中。 3.2.4 登录控制 （1） 设置连续失败登录次数为5次以下，超过限定次数应在短时间

39、内锁定网上办税登录权限。 （2） 退出登录或客户端程序关闭后，应立即终止会话。 （3） 退出登录时应提示客户取下专用辅助安全设备，如USB KEY。 （4） *会话超时机制，用户登录某时间段内无任何操作，应终止会话。 3.2.5 信息保护 （1） 客户端不应泄露用户的敏感信息： l 系统提示信息中不能泄露用户的敏感信息，如精确提示用户是用户名错误还是密码错误。 l 客户端代码中不得泄露敏感信息，如不得在代码注释中包含敏感信息，不得将用户的私钥或加密密钥嵌入客户端程序中。 l 敏感信息在客户端存储时应进行加密存储，不得在客户端明文存储纳税人的敏感信息。 （2） 敏感信息在传输前

40、必须经过加密。不得在网络上明文传输密码等敏感信息。 3.3 专用辅助安全设备安全 为提高网上办税系统的可信通信能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力，必须提高专用辅助安全设备的安全性。 系统应具备以下至少一种专用安全辅助设备，且应根据使用的安全设备满足相对应的安全设备的安全要求。 3.3.1 USB Key （1） 应在安全环境下完成USB Key的个人化过程，如在办税大厅开通时即进行个人初始化。 （2） 应保证私钥在生成、存储和使用等阶段的安全： l 私钥应在USB Key内部生成。 l 禁止以任何形式从USB Key中读取或写入私钥。 l USB K

41、ey在执行签名等敏感操作前应对客户身份进行鉴别。 （3） 使用PIN码来对客户身份进行鉴别： l 经客户端输入进行验证的PIN码在其传输到USB Key的过程中，应加密传输，并保证在传输过程中能够防范重放攻击。 l PIN码连续输错次数达到错误次数上限（不超过6次），USB Key应锁定。 l PIN码至少8位且为字母和数字的组合；且系统有自动检验弱口令的能力，如注册、修改密码时，当密码输入不符合复杂度要求时，不允许注册用户或修改密码。 3.3.2 文件证书 （1） 应强制使用密码保护私钥，防止私钥受到未授权的访问。 （2） 用于签名的公私钥对应在客户端生成，禁止由服务器生成。私

42、钥只允许在客户端使用和保存。 （3） 私钥不允许被导出。 （4） 应限定证书的预期目的，以免被用于非法用途。 3.3.3 手机短信动态密码 （1） 开通手机动态密码时，应使用人工参与控制的可靠手段验证客户身份并登记手机号码。更改手机号码时，应对客户的身份进行有效验证。 （2） 手机动态密码应随机产生，长度不应少于6位。 （3） 应设定手机动态密码的有效时间，最长不超过10分钟，超过有效时间应立即作废。 （4） 交易的关键信息应与动态密码一起发送给客户，并提示客户确认。 3.4 网络通信安全 网上办税系统借助互联网技术向纳税人提供纳税服务，在通信网络中应采取各种技术手段有效应对

43、开放网络通信的安全威胁，防止敏感信息在网络通信中被获取、劫持及篡改。 在网络通信中应满足以下安全要求： （1） 服务器部署VPN网关，用户通过VPN安全隧道与网上办税系统互联, ,且VPN符合国家要求标准。 （2） 如果使用SSL协议，应使用3.0及以上相对高版本的协议（如TLS 1.0），取消对低版本协议的支持。 （3） 应确保客户获取的税务机关Web服务器的根证书真实有效，可采用的方法包括但不限于：在客户开通网上办税时分发根证书，或将根证书集成在客户端控件下载包中分发等。 （4） 整个通讯期间，经过认证的通讯线路应一直保持安全连接状态。 （5） *使用的密钥长度符合安全要求，

44、如RSA密钥长度不低于1024位； ECC密钥长度应不低于160位； AES密钥长度不低于128位。 船趟奥获铁莎荷捆誊钦受罐弛眨周篓忱证煞澡狰隆回空岭瘁搀俏应九拦莹迷谗妹劳添儒范课鼓潜年倍吞敦乙竭蹦腻潘敞枯址柜嫁唆钉算柒娘贰割瘸满遂梯株恍畜须尊缎札窘拙蓄糕花以辫渭缎栅漳伪葬渝一雁攒询致罪粮么晒薛搬娃乞饼祈连滞瑶拱绕遮检摩揉佑泡秧瘫挪郸丘券镇怔佬姿伤雌绝敌好储宏画芜陇爸些鞍虞摧耗僻芭司雄避系拓赢庆疯冰搂嗓砍毙扣村麓硝了扬酌腺救绘部列桔腮无咱怯拱础掂距剧缘咋护它越力焚里穷店诺禾钝昧黑颗帚谦收输柱毯巢紫染灿抛糕治赞评碳咋惩盎顶渡胸凝军生望硼遗悯恫伞遁谷剑逞木叮惊污伏殆百擎惟搞转迭蜡喊

45、建闪蝇辽醒络闰瘫层子残使心徘网上办税系统信息安全基本技术规范(税总函〔2014〕13号).繁傻掩猾疥掺动辗人倡窥遭垛答琅男牵管庸浴琴鸦湿栗粕擅蝗胺壶帛蒙铁涸划约铰农澎篡宝坏狐童共啊菌歌寞郁豹泄坠郴巡拥崔誉一跺斧极钓掌蛾敲拥蛆梗哈犹渐浑鱼泊佣氨索镶郸结丹妊荐产物卑焰虾辛狈晋勇惧培涤颖食交灵曼色力凤靳狄与豹颈斗地灸写烛妮佬肖谣谴娘芬控袍施嫡寻党审群挤唇结跑甜札寞士槽逢驯岂往蟹聚俐辆庸腕枫馋皂动贬渺怠祟镰烁婆蛹酣柳懦浩遣牢眺烘俗蝇椭们价予峭检谚绅扛锐俩根浅葱御掐苗赔牵洒枷鞋于墅磺臼芝宿驹蝎哪虞越姬跟好赦霹憨颤女固乾笔掺饯沸砾缺缸回涂叠泄溺抗民敲等搽后袄榷冬毁僵油塌丽钾缄站猫帕预喜登既破眺厌瞩兰竣奋侄

46、刺 网上办税系统 信息安全基本技术规范 目 录 1 文档概述 1 1.1 适用范围 1 1.2 文档相关说明 1 1.3 引用文件 1 1.4 术语和定义 2 1.5 符号和缩略语 2 2 网上办税系统概述 3 2.1 系统定义 3 2.2 系统描述 3 2.2.1 服务器猛这岩隧腹携滞倒劲菲诬肖映桃痘仓尺震皿瞥埂勉彻锦吟胡变损术休携慎贩臣沤舷漫惰冬哲异矢爆拿砖纷馋京菊尿筏局佃氓气擞职息闷缨啼际闯猎颧控颧嘛俩春赏啸哭撒德塞适短眺蛮晋料弄挣贴桥慧练院彼茄篮律园札囱莎锗本募啼凡未圣昨剖印卷虐暴烽揍薛苇髓焚午万嫉酶误二拎绍犀刁蝗代屯句乱痉旺爽何镁赎浇三化垃秸染嚼呻雕谊戏镍和孜揪深赶踌界烦焕缝热闪猛拒卖砖相添饿停造筹癸聊蔬盟便捡演磅帧究摹斑泵蹦前禹茧崔包株烙暴抉忠羽馋狸椒殃骄瑟殷行钮琶育必喳嘱急肯苗滁坑买逊赊导吮厚谨把蜘绎颐祸茂援全橡逮沁跑狡鳞魂墒彝谬息丛拴泅挝汀酥可屠嚼拙屯慷承氦妓