当前位置:
文档之家› 税务系统网络与信息安全系统培训ppt
税务系统网络与信息安全系统培训ppt
据使用者的岗位或职务不同有限制要求,这种要 求被称作“权限”。例如:是否允许使用、能做 什 么样的操作等。而且这种权限往往会经常变化。 因此:业务系统本身必须能够对自己的资源进行控制, 能够动态地分配权限,控制使用者的操作行为, 防止越岗位操作或越权限操作。
常用的解决办法
基于口令的访问控制 基于角色的访问控制
国家税务总局 省级国地税局 地市级国地税局 区县级国地税局 征收分局(税务所)
总体方案设计依据
《税务系统信息安全体系需求分析》 《计算机信息系统安全保护等级划分准则》 (GB17859-1999) 国家电子政务试点示范工程安全体系和技术规范 《信息保障技术框架(Information Assurance Technical Framework,IATF)》 国家主管部门的相关政策和法规(包括27号文件)
安全认证与授权子系统
数据库
服务
访问
用户
软件认证证书
他是谁?
认证系统 CA系统
设备认证证书 设备认证证书
有什么权限?
用户认证证书
AA系统 授权系统 用户权限证书
认证证书的种类与作用
按使用对象划分:人员证书、设备证书、 机构证书三种类型。
按功能划分:加密证书和签名证书。 按性质划分:系统证书和用户证书。
系统建设目标
1、建立网络边界和安全应用域防护系统, 重点防止来自外部的攻击和对内部安全访问域进行控制。
2、建立服务于全网和所有应用的安全基础设施, 实现内部的身份认证、权限划分、访问控制和安全审计。
3、建立全网范围内的安全管理与响应中心, 强化网络可管理、安全可维护、事件可响应。
4、进行分级纵深安全保护,
安全认证与授权子系统的作用
业务专网的CA与AA系统主要用于内部业务系统对操 作者身份认证与授权。
其中,CA服务于网络、操作系统和应用三个层面, 解决网络安全连接;系统安全登录与管理;应用安全鉴 别等问题。AA只服务于应用层面,解决对信息资源的安 全管理问题。
在Internet上的CA系统主要用于鉴别访问者真实 身份,仅服务于应用层面。
网络防护子系统构造了安全边界
防火墙:防止来自总局内部的攻 击。
入侵检测:发现非法入 侵行为 。
总局接口
加密机:保护离开局域网的信息 安全,同时防止非法接入。
防病毒网关:防止外部 病毒入侵。
防火墙:防止来 自外部的攻击。
防非法外联:堵住 非法网络接口。
互 联 网 接
口 省局局域网
地市局接口
横
安
向
全
接 口
《税务系统信息安全体系需求分析》
信息安全策略需求 信息安全标准规范需求 信息安全技术需求 信息安全工程需求 信息安全组织保障需求 信息安全管理需求
税务信息系统安全体系建设内容
在全网范围建设涵 盖物理环境、网络、操 作系统、数据库、应用 系统和数据安全等各个 层面的信息安全体系和 信息安全组织保障架构, 抵御各种攻击与风险。
决策支持 管理系统
外部信息 管理系统
安全支撑平台 应用支撑平台 安全管理平台
网络防护子系统 安全认证与授权子系统
安全应用子系统 安全管理子系统
网络防护子系统
网络防护子系统
高安全区域
省国地税局
国税总局
地/市国地税 县国地税
备份中心
线路密码机
防火墙
入侵检测 防病毒网关 防非法外联 网络行为审计 操作系统加固
边
界
操作系统加固:设置运行环 境的最后一道防线。
网络行为审计:加强网络安 全管理,追查安全事件。
防火墙:即防止来自外部的攻击,也 要防止来自地市局的内部攻击。
安全认证与授权子系统
安全认证与授权子系统的组成
根据税务系统业务需要,将要在业务专网和Internet 网建两套服务于全国税务的安全认证或授权系统。
业务专网:主要由CA认证系统、KMC密钥管理系统和AA授 权系统组成。
在Internet网:主要由CA认证系统和KMC密钥管理系统组 成。
安全认证技术:主要用于识别网络行为主体的 身份(你是谁?),再通过身份来决定行为的 合法性。
访问控制授权技术:主要用于确定资源访问者 的“权限”,通过权限划分出信息的安全域等 级,根据等级要求对访问者进行集中授权(你 能干什么?)控制。
税务系统网络与信息安全系统培训ppt
税务系统网络与信息安全系统 培训
税务系统网络与信息安全系统培训ppt
AGENDA
• 税务系统信息安全体系总体方案简介 • 税务系统首期网络与信息安全防护体系
建设项目工程简介
税务系统信息安全体系 总体方案简介
主要内容
• 项目背景 • 建设内容和目标 • 总体结构 • 网络防护子系统 • 安全基础设施子系统 • 安全应用子系统 • 安全管理子系统 • Internet应用 • 实施规划
① 业务系统的使用者或服务对象是特定的, 通常不允许与业务无关的人员随意访问或 操作。
因此:业务系统本身必须能够准确地识别使用 者的真实身份,防止与业务无关的人员 非法使用系统。
常用的解决办法
帐号+口令;证书;生物特征 安全总体方案要求:使用统一的身份认证证书
业务系统需要什么样的安全?
② 业务系统的资源(资料、数据、表格或设备)根
数据等级的划分与控制
一级数据 二级数据 三级数据 四级数据 五级数据
服务
访问
用户
AA系统 授权系统
数据安全域的应用要求与原理
五级保护
五
二
三
身 份
级
级
级
与
安
安
安
权 限
全
全
全
认
域
域
域
证
:数据明文
建立五级环境
一 级 安 全 域
访问
安全认证与授权子系统
业务专网CA 和互联网CA
安全认证与授权子系统
“权限”在国税业务系统中的 访问控制原理和应用
划分系统安全等级
1 2 34 5
身份认证子系统 授权管理子系统
外部信息管理系统 决策支持管理系统 税务行政管理系统 税收业务管理系统
访身 问份 控认 制证 机机 制制
授权
级别 1 2 3 4 5
角色
A ★ ★
E
★
★
F★
A
分
B
配 用
户
用角
户色
C
安全应用子系统
业务系统需要什么样的安全?
构成全网统一的防范与保护、监控与检查、响应与处置机制。
税务系统信息安全体系平面逻辑结构
税务信息系统网络的划分与连接
对外宣传
政务外网
企业 纳税户
互 联 网
逻 辑 隔 离
业 务 专 网
物 理 隔 离
涉 密 网
设计重点
海关 银行 工商
技术体系架构:
三个平台 四个安全子系统
税收业务 管理系统
税务行政 管理系统
