关于国税网络安全问题的几点对策.docVIP

关于国税网络安全问题的几点思考 作者：黄庆 1 　国税网络现状分析 国税系统计算机网络由内部网络和外联网络两部 分组成。内部网络包括总局、省局、市局、税务所四层 网络体系,主要实现“金税工程”以及其它税务内部业 务,是国税计算机信息网的基本部分。外联网络包括 国税计算机信息网络中与国税以外的计算机网络进行 信息交流的部分。外联网络主要分为两种:一是国税 部门提供纳税人进行计算机网络缴税的“纳税人—银 行—国税局”网络,该网络与银行之间通过专线连接, 与纳税人之间则分别通过电话拨号直接连接或虚拟专 用网VPN 连接; 二是国税部门建立的国税网站 如 12366 纳税服务网 ,作为提供纳税服务、税收宣传的 窗口[3 ] 。国税网络系统的基本结构如图1 所示。 2 　国税网络中安全威胁 网络安全一般是指网络系统的硬件、软件及其系 统中的数据受到保护,不会因为偶然的或者恶意的攻 击而遭到破坏、更改、泄漏,系统能够连续、可靠、正常 地运行,网络服务不中断。因此,网络安全包括数据安 全和系统安全两方面。对网络进行恶意攻击的行为, 又分两种类型:第一类为系统型攻击,它所威胁的是系 统安全,在网络层进行,破坏系统的可用性,使系统不 能正常工作,并留有明显的攻击痕迹;第二类为数据型 攻击,它所威胁的是数据安全,在网络的应用层进行, 面向信息,主要目的是获取、修改、删除数据,不留明显 的痕迹[4 ] 。 2. 1 　内网中的威胁 国税内部网络每一个局域网面临的第一威胁是来 自同一局域网络的攻击,攻击者是局域网的某些用户, 他们的攻击主要是数据型攻击。由于他们处在局域网 络内部,又是合法使用者,有着一定的网络使用权限, 所以对网络的攻击非常容易实现,但他们的这种攻击 因担心被发现而不能肆无忌惮地进行。另一威胁是来 自内部网络其它局域网络的攻击,攻击者是其它局域 网的某些用户,他们的攻击主要也是数据型攻击。这 种攻击虽然比不上局域网络内部人员容易,但也是不 难实现的。同样,由于他们是系统内部人员,不敢肆无 忌惮地为所欲为。第三种威胁的攻击者来自内部网络 之外,由于不同局域网络之间的通信电路基本都是租 用电信部门的公众通信网络,因此内部网络还面临着 外部攻击者从电信公众通信网络入手进行攻击的威 胁。来自外部的攻击既可能是数据型攻击、也可能是 系统型攻击。虽然通信电路一般是DDN 或帧中继,相 对来说是安全的,但并不能排除从这些电路上非法连 接国税网络进行攻击的可能。 2. 2 　外网中的威胁 由于国税部门提供纳税人缴税的“纳税人—银行—国税局”网络,是通过电话拨号直接或间接实现与国 税外联网络连接的,因此网络面临的威胁人群有两部 分,一部分来自具有使用网络缴税权限的合法用户,他 们的攻击主要是数据型攻击;另一部分是通过电话拨 号直接或间接地非法接入国税外联网络的攻击者,他 们的攻击既有数据型攻击又有系统型攻击。至于国税 网站所面临的威胁与互联网上的其它网站一样,它面 临着因特网上所有不友好、不安分用户群的威胁。 经调查发现,大多数的税务信息系统都存在以下 安全威胁: 1 计算机病毒。它是某些人利用计 算机软、硬件所固有的脆弱性编制的具有 特殊功能的程序。这种特殊功能主要体现 在三个方面:复制性、隐蔽性和破坏性。病 毒利用网络进行传输可以造成巨大的破 坏。 2 人为的恶意攻击。此类攻击由主 动攻击和被动攻击组成。主动攻击的目的 在于篡改系统中所含信息,或改变系统的 状态和操作,有选择地破坏信息的有效性、 完整性和真实性。被动攻击的主要目的是 在不影响网络工作的情况下,进行信息的 截获和窃取,通过信息的破译获得重要机 密信息,它不会导致系统中信息的任何改动,而且系统 的操作和状态也不被改变,因此被动攻击主要威胁信 息的保密性。这两种攻击均可对税务系统计算机网络 安全造成极大的危害,并导致机密数据的泄露。 3 网络软件的漏洞和“后门”。税务系统使用网 络操作系统软件、应用系统软件不可能是百分之百无 缺陷和无漏洞的,这些漏洞和缺陷是黑客进行攻击的 首选目标。另外,软件的“后门”都是软件设计编程人 员为了自便而设置的,一般不为外人所知,可是一旦 “后门”洞开,将使黑客对系统资源的非法使用成为可 能。 4 未授权访问。指未经授权的实体获得了访问 网络资源,并有可能篡改资源的情况。如有意避开系 统访问控制机制,对网络设备及资源进行非正常使用, 或擅自扩大权限,越权访问信息。通过欺骗通信系统 达到非法伪装成为合法,或者小特权冒充成为特权,从 而对系统和网络进行非法访问。 5 信息泄露或丢失。指敏感数据在有意或无意 中被泄露出去或丢失,它通常包括信息在传输中和存 储介质中丢失或泄露两种情况。黑客们常使用窃听方 式,比如对通信线路中传输的信号进行搭