隨著信息及互聯(lián)網(wǎng)技術(shù)的深入普及，網(wǎng)上辦稅系統(tǒng)正以其靈活多樣的服務(wù)方式、方便快捷的申報(bào)渠道、即時(shí)高效的互動(dòng)溝通優(yōu)勢(shì)，廣泛服務(wù)于全國(guó)的納稅人及稅務(wù)機(jī)關(guān)。

目前，國(guó)家金稅三期工程建設(shè)正深入推進(jìn)，各省地稅系統(tǒng)也正面臨著稅收業(yè)務(wù)系統(tǒng)的整合，目標(biāo)是實(shí)現(xiàn)稅收業(yè)務(wù)的集約化管理以及業(yè)務(wù)數(shù)據(jù)全省集中處理和存儲(chǔ)的新型信息化管理模式，并在此基礎(chǔ)上逐步完成國(guó)家稅務(wù)總局對(duì)信息系統(tǒng)的建設(shè)規(guī)劃和要求，實(shí)現(xiàn)稅收管理的科學(xué)化、專(zhuān)業(yè)化和精細(xì)化，實(shí)現(xiàn)為納稅人提供優(yōu)質(zhì)便捷的服務(wù)。

隨著“業(yè)務(wù)上網(wǎng)”及數(shù)據(jù)的集中，如何保障網(wǎng)上辦稅系統(tǒng)的信息安全成為了系統(tǒng)建設(shè)之初就必須考慮的問(wèn)題。由于網(wǎng)上辦稅系統(tǒng)基于互聯(lián)網(wǎng)提供服務(wù)，具有很強(qiáng)的開(kāi)放性，同時(shí)，其后臺(tái)處理又分別要連接稅務(wù)系統(tǒng)內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)及國(guó)庫(kù)系統(tǒng)的金融業(yè)務(wù)網(wǎng)絡(luò)，因此網(wǎng)上辦稅業(yè)務(wù)系統(tǒng)面臨著巨大的安全威脅，尤其是來(lái)自互聯(lián)網(wǎng)的應(yīng)用層安全攻擊。一旦網(wǎng)上辦稅系統(tǒng)被攻擊或者出現(xiàn)數(shù)據(jù)篡改，將會(huì)給納稅人及國(guó)家稅務(wù)機(jī)關(guān)造成難以估量的損失。

通過(guò)對(duì)網(wǎng)上辦稅系統(tǒng)的業(yè)務(wù)結(jié)構(gòu)分析(如下圖)我們不難發(fā)現(xiàn)，在外部區(qū)域和網(wǎng)上辦稅訪問(wèn)區(qū)域存在直接的邏輯訪問(wèn)邊界，這是外部威脅進(jìn)入業(yè)務(wù)系統(tǒng)的首要通道。在此邊界上，僅依靠防火墻提供的網(wǎng)絡(luò)層訪問(wèn)控制，難以解決日益復(fù)雜的應(yīng)用層攻擊，尤其是針對(duì)Web應(yīng)用系統(tǒng)的SQL注入、跨站腳本攻擊，它們是當(dāng)前網(wǎng)上辦稅前置業(yè)務(wù)服務(wù)器面臨的最常見(jiàn)、最危險(xiǎn)的威脅。入侵防御系統(tǒng)作為防火墻的有效補(bǔ)充，能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層攻擊的檢測(cè)及實(shí)時(shí)阻斷，抵擋來(lái)自互聯(lián)網(wǎng)的入侵及攻擊，是網(wǎng)上辦稅系統(tǒng)邊界防護(hù)的最佳方案。

網(wǎng)上辦稅系統(tǒng)業(yè)務(wù)邏輯示意圖

以下是某省地稅網(wǎng)上辦稅業(yè)務(wù)系統(tǒng)部署實(shí)施方案，啟明星辰的天清入侵防御系統(tǒng)(以下簡(jiǎn)稱(chēng)天清IPS)部署于網(wǎng)上辦稅系統(tǒng)的外置服務(wù)區(qū)邊界，為辦稅業(yè)務(wù)提供安全保障，其作用主要體現(xiàn)在以下兩個(gè)方面：

業(yè)務(wù)系統(tǒng)拓?fù)鋱D

1、抵擋外部安全威脅

最大限度的發(fā)揮天清IPS的應(yīng)用層防護(hù)能力以抵擋外部安全威脅。具體方案是：在天清IPS上配置安全防護(hù)策略，啟用防攻擊、入侵防御、防病毒功能，對(duì)應(yīng)用層威脅尤其是針對(duì)基于B/S的業(yè)務(wù)系統(tǒng)的SQL注入、XSS攻擊進(jìn)行全面防護(hù)。在入侵防御的核心功能上，通過(guò)對(duì)入侵防御特征庫(kù)的定期升級(jí)，來(lái)保證天清IPS設(shè)備能夠識(shí)別和防御最新的威脅。

2、保障納稅業(yè)務(wù)的可用性

首先，天清IPS采用HA部署結(jié)構(gòu)，并采用鏈路健康狀態(tài)作為主備切換條件，即同時(shí)監(jiān)控鏈路的物理狀態(tài)及網(wǎng)絡(luò)路徑的檢測(cè)，保障在設(shè)備及鏈路出現(xiàn)故障的情況下，能夠及時(shí)切換。其次，天清IPS防護(hù)鏈路配備硬件Bypass，能夠保障在設(shè)備本身硬件、軟件故障時(shí)，避免單點(diǎn)故障造成業(yè)務(wù)中斷，最大限度的確保網(wǎng)上辦稅業(yè)務(wù)的可用性。

啟明星辰的天清入侵防御系統(tǒng)圍繞“深層防御、精確阻斷”的核心，以其精確的檢測(cè)能力，實(shí)時(shí)的攻擊阻斷以及對(duì)新威脅的迅速響應(yīng)，贏得了全國(guó)多個(gè)稅務(wù)機(jī)關(guān)的認(rèn)可，正在為越來(lái)越多的網(wǎng)上辦稅業(yè)務(wù)系統(tǒng)提供最佳的安全保障，成為網(wǎng)上辦稅系統(tǒng)正常運(yùn)營(yíng)的幕后英雄。