一、網(wǎng)上報稅系統(tǒng)現(xiàn)狀

　　隨著我國電子政務(wù)的建設(shè)和稅制改革，隨著金稅工程的不斷深入，稅務(wù)網(wǎng)上電子申報系統(tǒng)應(yīng)運而生，通過精簡和整合現(xiàn)有管理與服務(wù)職能，依托目前先進的網(wǎng)絡(luò)技術(shù)和信息技術(shù)，實現(xiàn)網(wǎng)絡(luò)化辦公。在提高我國稅務(wù)部門對稅收征收效率、管理科學(xué)化水平的同時，為社會公眾、納稅單位、納稅個人提供了更加高效、優(yōu)質(zhì)的服務(wù)。

　　隨著金稅工程的建設(shè)，我國已經(jīng)建成稅務(wù)總局至各省、市、縣國稅局的四級網(wǎng)絡(luò)，目前，國稅系統(tǒng)四級廣域網(wǎng)運行順暢。各省地稅局全部實現(xiàn)與稅務(wù)總局聯(lián)網(wǎng)，部分省地稅局建設(shè)完成了省內(nèi)廣域網(wǎng)。

　　

　　如上圖所示，根據(jù)所面臨的信息安全管理風(fēng)險和安全保障需求，已經(jīng)配備使用了防火墻、入侵檢測、漏洞掃描、防病毒軟件等安全產(chǎn)品，具備了一定的安全防護能力。但僅僅通過這些產(chǎn)品還無法全面滿足網(wǎng)上報稅系統(tǒng)的安全需求，仍存在隱患：

　　一是納稅人到稅務(wù)網(wǎng)絡(luò)后臺數(shù)據(jù)庫之間存在著完整的物理鏈路和完成TCP/IP會話，黑客可以通過此物理鏈路向內(nèi)網(wǎng)發(fā)起惡意攻擊，進入到內(nèi)網(wǎng)，獲取、篡改或破壞重要數(shù)據(jù)信息，造成服務(wù)器系統(tǒng)崩潰，造成網(wǎng)絡(luò)癱瘓；

　　二是在數(shù)據(jù)交換過程中，對傳遞的數(shù)據(jù)內(nèi)容沒有進行安全檢測，缺乏有效的安全控制機制，很容易導(dǎo)致病毒的傳播擴散，造成網(wǎng)絡(luò)癱瘓。

　　二、安全需求

　　稅務(wù)網(wǎng)上電子申報系統(tǒng)在給廣大社會公眾帶來便利的同時，也面臨新的安全問題的挑戰(zhàn)，因此，我們急需解決向廣大社會公眾提供高效、優(yōu)質(zhì)服務(wù)與面臨新的網(wǎng)絡(luò)安全及信息安全問題的矛盾。雖然，現(xiàn)有網(wǎng)絡(luò)中已經(jīng)部署了防火墻、IDS等安全產(chǎn)品，阻止了部分非法訪問和非法連接，保證了一定的安全性，但是，從納稅人到網(wǎng)上電子申報系統(tǒng)受理服務(wù)器、數(shù)據(jù)庫服務(wù)器之間還存在完整的物理鏈路和完整連接會話，惡意用戶有可能利用這點，向內(nèi)網(wǎng)發(fā)起攻擊，進行惡意破壞，依據(jù)中共中央辦公廳2002 年第17 號文件《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》要求，政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)之間必須進行物理隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。

　　同時，由于網(wǎng)上報稅系統(tǒng)涉及國家機密和敏感信息，依據(jù)2000年國家保密局發(fā)布實施《計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》要求，凡是涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連，必須實行物理隔離。

　　為了確保網(wǎng)絡(luò)的安全和數(shù)據(jù)信息的安全，我們需要在外網(wǎng)服務(wù)平臺與內(nèi)網(wǎng)處理平臺間部署安全隔離網(wǎng)閘，在保證鏈路層安全隔離的前提下，并對傳遞的數(shù)據(jù)進行內(nèi)容檢查，實現(xiàn)高效的、可控的、安全的數(shù)據(jù)交換。

　　三、解決方案

　　和勤軟件公司根據(jù)多年的技術(shù)沉淀和安全經(jīng)驗積累，全面結(jié)合稅務(wù)系統(tǒng)的需求，提供安全隔離與數(shù)據(jù)交換和安全隔離與數(shù)據(jù)訪問兩種模式的解決方案。二者都是在防火墻之后，網(wǎng)上報稅系統(tǒng)的業(yè)務(wù)受理服務(wù)器和業(yè)務(wù)處理服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器之間，部署和勤安全隔離與信息交換系統(tǒng)，將稅務(wù)網(wǎng)絡(luò)安全隔離成內(nèi)網(wǎng)和外網(wǎng)。

　　采用防火墻對互聯(lián)網(wǎng)和稅務(wù)外網(wǎng)進行邏輯隔離，阻止網(wǎng)絡(luò)層的非法連接和非法訪問，保證外網(wǎng)服務(wù)平臺的安全，同時，在稅務(wù)外網(wǎng)與稅務(wù)內(nèi)網(wǎng)間部署和勤安全隔離與信息交換系統(tǒng)，實現(xiàn)稅務(wù)內(nèi)外網(wǎng)間的鏈路層隔離，切斷TCP/IP連接或會話，中止來自于互聯(lián)網(wǎng)的任何連接到稅務(wù)外網(wǎng)。

　　安全隔離與數(shù)據(jù)交換模式

　　如下圖所示，在外網(wǎng)服務(wù)區(qū)增加數(shù)據(jù)庫服務(wù)器、文件服務(wù)器，存儲納稅人申報稅數(shù)據(jù)信息及稅務(wù)對外發(fā)布的、審批的數(shù)據(jù)信息。

　　

　　此模式的數(shù)據(jù)交換過程如下：

　　1) 納稅人通過互聯(lián)網(wǎng)訪問報稅系統(tǒng)的業(yè)務(wù)受理服務(wù)器，進行網(wǎng)上報稅，報稅系統(tǒng)將數(shù)據(jù)存儲到外網(wǎng)數(shù)據(jù)庫服務(wù)器或文件服務(wù)器。

　　2) 通過和勤網(wǎng)閘的數(shù)據(jù)庫同步、文件同步子系統(tǒng)，將稅務(wù)外網(wǎng)中的數(shù)據(jù)庫記錄、文件提取出來，安全檢查完后，及時將數(shù)據(jù)同步到稅務(wù)內(nèi)網(wǎng)的數(shù)據(jù)庫、文件服務(wù)器。

　　3) 稅務(wù)內(nèi)部人員通過業(yè)務(wù)處理服務(wù)，對申報的數(shù)據(jù)進行審批、審核后，將數(shù)據(jù)存儲到稅務(wù)內(nèi)網(wǎng)的文件服務(wù)器和數(shù)據(jù)庫服務(wù)器。

　　4) 通過和勤網(wǎng)閘的數(shù)據(jù)庫同步、文件同步子系統(tǒng)，將稅務(wù)內(nèi)網(wǎng)中的指定的數(shù)據(jù)庫記錄、文件提取出來，安全檢查完后，及時將數(shù)據(jù)同步到稅務(wù)外網(wǎng)的數(shù)據(jù)庫、文件服務(wù)器，供納稅人查詢使用。

　　5) 納稅人通過互聯(lián)網(wǎng)訪問報稅系統(tǒng)的業(yè)務(wù)受理服務(wù)，查詢申報審批情況。

　　6) 通過重復(fù)執(zhí)行1）、2）、3）、4）、5）的數(shù)據(jù)處理過程，實現(xiàn)網(wǎng)上報稅。

　　

　　安全隔離與數(shù)據(jù)訪問模式

　　如上圖所示，在現(xiàn)有稅務(wù)網(wǎng)上報稅系統(tǒng)的基礎(chǔ)，只需增加和勤安全隔離與信息交換系統(tǒng)即可，無需額外購置其他存儲設(shè)備。

　　此模式的數(shù)據(jù)交換過程如下：

　　1) 納稅人通過互聯(lián)網(wǎng)訪問報稅系統(tǒng)的業(yè)務(wù)受理服務(wù)器，進行網(wǎng)上報稅，報稅系統(tǒng)將數(shù)據(jù)直接發(fā)送的和勤網(wǎng)閘的外網(wǎng)處理數(shù)據(jù)服務(wù)。

　　2) 和勤網(wǎng)閘的外網(wǎng)數(shù)據(jù)服務(wù)子系統(tǒng)接替業(yè)務(wù)受理服務(wù)，對接收到的數(shù)據(jù)進行安全檢查、數(shù)據(jù)格式化和數(shù)據(jù)傳遞，數(shù)據(jù)通過網(wǎng)閘擺渡后，最終由和勤網(wǎng)閘的內(nèi)網(wǎng)數(shù)據(jù)服務(wù)子系統(tǒng)提交到內(nèi)網(wǎng)業(yè)務(wù)處理服務(wù)或數(shù)據(jù)庫。

　　3) 稅務(wù)內(nèi)部人員，對申報的數(shù)據(jù)進行審批、審核，并將數(shù)據(jù)提交到內(nèi)網(wǎng)的數(shù)據(jù)庫。

　　4) 納稅人通過互聯(lián)網(wǎng)訪問報稅系統(tǒng)的業(yè)務(wù)受理服務(wù)，查詢申報審批情況。

　　5) 通過重復(fù)執(zhí)行1）、2）、3）、4）、5）的數(shù)據(jù)處理過程，實現(xiàn)網(wǎng)上報稅。

　　四、方案總結(jié)

　　本方案從稅務(wù)網(wǎng)上電子申報系統(tǒng)的背景、安全需求和解決方案等方面進行了闡述。采用了軟硬一體化的和勤安全隔離與信息交換系統(tǒng)，保證了稅務(wù)外網(wǎng)與稅務(wù)內(nèi)網(wǎng)的鏈路隔離，徹底阻斷了TCP/IP連接，從鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層逐層采用安全防范措施，確保了內(nèi)網(wǎng)網(wǎng)絡(luò)、系統(tǒng)、信息數(shù)據(jù)的安全。同時，通過專用硬件和專有協(xié)議，采用合理的算法和優(yōu)化過的服務(wù)程序，實現(xiàn)內(nèi)外網(wǎng)間高效的、可靠的、安全的數(shù)據(jù)交換。

　　用戶無改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，也無需重新調(diào)整現(xiàn)有應(yīng)用模式，即可無縫部署，具有安全性強、適應(yīng)性好、性能卓越、操作方便等優(yōu)勢。

文章作者：CNET中國