国税系统网络安全解决方案

国税

一、用户网络现状剖析
　　该地税局现行网络拓扑图所示如下：
●现行网络无法保证网络中所存储数据的保密性、完整性及可用性。不能对非法入侵者攻击系统举行实时检测报警。
●对内部网中的特定资源所有服务器没有针对性的提防。
●无法实现IP地址与MAC的绑定。
●网络中大部门数据是以明文传输，上述网络数据传输历程中由于没有接纳加密手艺，故一些保密数据传输存在很大的风险。

二、解决方案：
1、将局域网和Internet通过防火墙举行隔离，杜绝外部网络非法分子对地税局内部网络主机举行攻击。
2、安装操作系统和服务器软件的最新版本和修补程序。防止非法分子使用系统的毛病入侵。
3、安装杀毒软件，防止病毒熏染内部主机及服务器。
4、在网络中安装IDS入侵检测系统 ，对可疑事务给予检测和响应 ,保障地税局的网络宁静运行。
5、身份认证增强正当用户的会见认证， 将用户的会见权限控制在最低限度。
　　在整个网络结构中我们运用一台防火墙来封堵外部非法职员对内部网络的非法会见。我们将其置于INTENET和内部网络之间，作为地税局与外部网络数据包收支的唯一起径。运行的防火墙凭据自己具有的网络地址转移、双因子认证、实时检测和报警、IP与MAC地址绑定、自主设计加密、以及接纳NETKEY身份认证等等的功效来控制非法职员的入侵。同时通过设置DMZ（中立区）的规则来实现地税局内部服务器与外部网络的流通会见。
　　针对接入互联网络的内部网络电脑交流信息内容举行控制、治理、记载、审计。凭据网络宁静治理计谋制订有用的机制，阻止内部非法机械上网；防止敏感信息通过CHINANET网泄露；实现对色情、邪教、结交、谈天、游戏、证券等类网站会见控制；控制垃圾邮件及邮件的带毒传送；实现大数据量信息的限时传送；系统及单台盘算机的信息流量统计、会见站点统计等等。
　　凭据防火墙系统支持动态、静态、双向的网络地址转换（NAT）的功效。它可以把内部网IP地址转换成因特网IP地址，使得外部网络无法知道内部主机的IP地址，从而伪装内部地址、掩护内部主机，进一步增强系统的宁静性。
　　处于中立区的WWW、Proxy服务器为外部网络和内部网络提供宁静服务，以是保手机软件开发

护的难度较大，从防火墙自身来看，中立区在制订响应宁静会见计谋的情形下，实现了中立区捆绑服务器的宁静。若是企业客户、员工想通过Intranet毗连到内部网（DMZ区），只要通过防火墙的规则设置及身份认证即可。
　　在网络记费方面，我们可以通过防火墙网络数据流量记载功效来实现子网记费。
　　我们选择鼎信高科的主机入侵监测产物IDS 作为网络入侵监测工具，但由于IDS对网络的流量有一定的限制，在网络安装过多的IDS时，将会对网络速率有较大的影响，以是凭据网络的现实情形及宁静性的要求，我们综合思量了这两种需求，并做出了以下的布署方案。
　　在每台需要掩护的主机（如WWW服务器）上我们都安装IDS的主机监控系统，IDS可以实时监视种种对主机的会见请求，并实时将信息反馈给IDS服务器，这样全网任何一台主机受到攻击时，系统都可以实时发现，并可将反馈信息实时传送给控制台举行处置惩罚，并能自动对入侵事务做出反映。
　　在需要掩护的重点的网段，我们也将安装IDS 的网络监控模块，对这一网段的非正常会见举行监视。对速率的要求及其它缘故原由的综合思量，我们建议只在少少数十分主要的网段安装IDS 。