联想网御为网上报税提供安全保障

    网上报税系统的安全现状
 
    随着金税三期工程建设的不断深入发展，某省国税通过精简和优化已有的管理与服务职能，实现了网上整合，为社会公众以及自身提供了更加高效的管理服务。但随之而来的网络安全问题已成为当前必须面对与解决的首要问题。
    该省国税系统为了保障网上报税系统的安全，前期已经部署了相应的安全产品，如防火墙、IDS等，但仅仅通过这些产品还无法全面满足网上报税系统的安全需求。用户在网络系统安全上仍存在如下隐患：纳税企业到国税网络后台数据库之间存在着完整的物理链路，黑客有可能从这条物理链路对内网发起各种恶意攻击行为，逐步攻陷这条物理链路上的各服务节点，最终进入到内网，从而造成内网服务器系统崩溃；其次，在数据交换过程中，对传递的文件没有进行安全检测，缺乏有效的安全控制机制，很容易造成如网络病毒的传播与扩散等网络攻击，其所造成的破坏后果是不堪设想的。

    网上报税系统的安全需求
    目前该省网上报税税务端系统分为外网受理平台、内网处理平台、以及税务内网申报数据库，网上报税系统进行数据交换分为三步：

    1、 纳税企业通过Internet公网访问位于该省国税外网安全域的税务申报前置机来提交企业纳税数据；

    2、 申报前置机将企业所申报的纳税数据转化成专用协议格式递交申报数据处理机，并由处理机将其转化成数据库格式文件递交给后台数据库。

    3、后台数据库在操作完申报数据后产生申报反馈文件，并通过数据处理机和申报前置机原路返回递交纳税申报企业。

    依据增值税一般纳税人纳税申报电子信息采集系统设计规范，纳税申报数据在税务内外网交换时，为确保税务内网的安全，内外网必须物理隔离，不同系统之间的信息传输使用统一格式的数据文件进行。
 
    此外，由于网上报税系统部分内容涉及到国家政府机密和敏感信息的安全，虽然目前的IDS系统、、防火墙等具有很强的防护能力，但在防护范围（特别是针对未知攻击的防护上）、资源占有率、系统可靠性等方面都有较大的缺陷，系统目前的信息安全状况无法满足相关要求。国家也做了明确规定，要求政府内网不能与公网物理上直接相联，所以安全隔离解决方案也成为网上报税系统的重要组成部分。
    因此，网上报税系统需要安全隔离系统来与先前部署的防火墙，IDS等系统共同组成更加纵深的防御体系，从而确保网络安全。联想网御SIS-3000安全隔离与信息交换系统可以实现税务内网与税务外网在网络隔离条件下的适度信息交换，它一方面可以实现将内网与外网从网络链路上隔离断开，以防止来自外网的黑客通过各类攻击手段进入内网；另一方面通过信息摆渡技术完成数据的交换，同时，在其安全策略的控制下对交换的数据进行安全检测，从而可以很好地解决网上报税系统的安全问题。
 
    网上报税系统的安全方案
    联想网御SIS-3000安全隔离与信息交换系统配置在国税网上税务申报系统的前置机与数据处理机之间，对其通信进行安全隔断。如下图所示：

    其工作过程如下：

    1、联想网御SIS-3000安全隔离与信息交换系统外网侧收到前置机的通信数据包后将其TCP/IP协议剥离，获取原始应用数据；

    2、 系统根据安全策略对应用层数据进行协议检查和内容检测，只有通过内容检测、访问控制、病毒查杀等多种安全手段检测的数据才是合法数据，按照专有协议转换成专有文件等待交换；

    3、系统通过专有隔离交换芯片把数据文件交换到系统内网侧，按照专有协议对数据文件进行解析和恢复。

    4、系统内网侧重新发起连接，把安全的数据放入到申报数据处理机。

    5、后台数据库在向外网发送反馈信息时，同样也需要经过联想网御SIS-3000安全隔离与信息交换系统的安全检测，这样保证了有关的税务业务数据信息在双向流通中的安全。
    通过以上操作，首先从物理链路层面阻断了外网到内网服务器的硬件连接，保证了内外网络的安全隔离；其次，阻断了外网到内网所有的TCP/IP连接，防止通过协议对内网进行攻击；最后，通过多种安全检测手段和应用层检测技术保障了应用层的安全，有效的提高了系统整体的安全性。
    联想网御SIS-3000安全隔离与信息交换系统在网上报税系统中的应用模式在同行业中具有比较典型的特点，同时，由于该产品不仅具有文件交换、安全浏览、邮件交换、数据库同步等多种安全应用模块，而且还可以根据税务行业的特点，定制开发用户专用协议的解析模块，因此，该产品可平滑应用于增值税专用发票抵扣联信息网上认证、信息监管等其它税务行业的业务应用系统，从而实现“一个平台，多个应用”。

    网上报税系统的安全效果
 
    通过联想网御SIS-3000安全隔离与信息交换系统在网上报税系统中的成功实施可以看到，在保证该系统安全的同时，也保证了正常信息的流通，没有因噎废食。网御SIS-3000系列安全隔离与信息交换系统完全模拟工拷盘的工作模式，阻断所有网络协议连接，具有最高的安全特性；针对文件传输、邮件传输和数据库传输，联想开发了专用的安全协议，在信息摆渡的同时进行协议分析和内容过滤，可以有效防止病毒代码，恶意程序鱼目混珠；联想网御SIS-3000高达70Mbits/S的速度，也使其成为同类产品的佼佼者。
    随着国家信息化建设的不断深入，如何保证国民经济的各个领域对"外部"网络提供公共服务同时，又能保证"内部" 网络 机密信息的安全，是当前国民经济的各个领域信息化建设中急需解决的问题。
    针对这一问题，国家主管部门和有关专家反复强调：涉及国家重要政治经济敏感信息的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行安全隔离。联想网御SIS-3000安全隔离与信息交换系统为这一目标的实现提供了有力的保障。

PS：如今信息量剧增，每个单位、企业都存在不能轻易被公之于众的数据资料，加强信息安全保护防患于未然必不可少！