1 前言

　　近年來，隨著大量先進信息技術的應用，極大地提高了地稅工作的效率和質量。由于報稅相關應用的網絡化演進，地稅信息系統由相對封閉和低安全風險逐漸轉變為更加開放和高安全風險。為了防止因信息系統破壞造成的損失，國家相關部門在地稅信息安全建設方面正在不斷加強。

　　2 環境描述與需求分析

　　目前，我國正在實施“金稅三期”工程建設，各地市都建設了地稅外網、地稅內網。地稅外網主要提供網上報稅服務，受理納稅人的網上報稅業務;地稅內網主要接受來自地稅外網的報稅信息，并把相關的地稅數據上傳到總局集中處理。

　　出于保密的要求，地稅內網與地稅外網之間需要進行隔離。但如果隔離的話，就無法把地稅外網的數據實時傳送到地稅內網中。那么，如何才能在地稅內外網隔離的前提下，把地稅外網的數據實時交換到地稅內網中呢?安全隔離與信息交換系統(也稱網閘)的出現解決了這個問題。

　　網閘是一種利用物理隔離技術實現的“準實時交互”的安全保密設備，早已通過國家保密局保密技術研究所的技術鑒定，具有極高的安全性與保密性。網閘具有應用響應速度快，傳輸數據安全檢查，無應用局限，能滿足各種應用場合等優勢。

　　3 解決方案

　　根據地稅行業的網絡特點與應用需求，我們在地稅內網與地稅外網，地稅內網與總局之間部署天融信網閘(TopRules)產品。地稅外網受理納稅人的網上報稅業務，將地稅數據存儲到地稅外網的數據庫中，再通過網閘將數據擺渡到地稅內網的數據庫中。通過網閘，我們實現了地稅內外網之間數據的實時安全交互;在地稅內網和總局之間通過TopRules系統，把地稅內網的數據擺渡到總局集中處理。具體部署如下：

　　網閘應用策略

　　根據地稅行業的應用特點配置網閘應用策略，網閘的配置策略如下：

　　1. 數據庫訪問：地稅內網可以通過網閘訪問地稅外網的數據庫服務器，地稅外網不能通過網閘訪問地稅內網的數據庫服務器。

　　2. 數據庫同步：地稅內外網之間的數據庫數據單向同步，使地稅外網數據庫的數據實時傳遞到地稅內網的數據庫中。地稅內網的數據庫數據實時同步到總局的數據庫中，實現地稅數據大集中。另外也可以根據實際應用情況，進行有選擇的數據庫同步，如個別表同步、字段同步等。

　　3. 雙機熱備：地稅行業網上報稅的特點就是月底或月初時報稅集中，訪問量大，網閘的穩定運行至關重要，因此我們可以采取雙機熱備的方案來防范因網閘故障而導致的業務系統的中斷。

　　網閘解決的安全問題

　　1. 實時可信信息交互。通過天融信網閘可以保障地稅內網與地稅外網在隔離的前提下進行快速、實時、可信的信息交互。

　　2. 防止敏感信息泄漏。通過天融信網閘的應用層信息過濾功能，可以過濾敏感信息，防范地稅內網的敏感信息泄漏到地稅外網或互聯網上。

　　3. 防止非授權訪問。天融信網閘采用白名單的工作機制，只有授權的特定應用能通過網閘，而在這之外的應用一律禁止，杜絕非授權訪問事件的發生。

　　4. 防范網絡攻擊。天融信網閘在內核中嵌入了專用的入侵檢測引擎，能夠對進出網絡的原始數據進行攻擊檢測和過濾。有了這種機制，可以最大程度上降低網絡攻擊事件的發生。

　　5. 病毒查殺。天融信網閘可在內部定制集成殺毒引擎，能夠對一些主流的病毒進行檢測與查殺。一旦地稅外網感染病毒，網閘能確保病毒不會擴散到地稅內網中。

　　6. 訪問控制�；�于用戶、IP地址、IP/MAC綁定、時間段對用戶進行訪問控制，確保只有合法的用戶才能通過網閘系統訪問應用系統，而其它非授權的用戶則不能通過。

　　綜上所述，天融信地稅行業解決方案有效的解決了地稅行業網上報稅系統安全隔離與信息交換的應用需求，在國地稅行業都有很強的推廣價值。

【轉載自】 http://security.ctocio.com.cn/417/12300417.shtml 
億恩科技www.enidc.com 做IDC13年了是華北和華中地區最大的IDC之一。

江西九江四星級雙線雙IP機房

托管1U 6M帶寬 5000元/年

服務器租用/托管專員 億恩-藍天QQ:89287750 電話：0371-60135992