阿姆瑞特UTM在税务行业的应用

阿姆瑞特UTM在税务行业的应用税收是国家、地方财政收入的重要途径，由此决定税务行业具有其独特的工作严肃性，又由于在一定的时候带有一定的强制性，因此也就决定了税务工作的准确性、公正性、完整性要求，所以保证税务信息网络的安全性意义重大。一、税务行业的网络特点多级网络体系结构我国税务网络系统是一个由国、省、各地市、各区县政府网络组成的多级网络体系结构，从网络安全角度上讲，他们属于不同的网络安全域，因此在各中心的网络边界，都应安装防火墙或者UTM设备，并需要实施相应的安全策略控制。具有对外提供税务查询、网上报税为了更好为纳税人提供服务，税务系统提供对外提供税务信息查询和网上报税等服务。因为这些提供这些服务的服务器是面向Internet的，因此面临着黑客入侵、病毒侵扰等威胁。如何保护这些服务器，也是税务系统在网络安全建设中重点考虑的问题。税务系统内部员工访问Internet需求税务系统内部员工于其他企业用户一样，都需要访问Internet，进行信息查询，因此面临着于其他企业同样的访问Internet的问题。例如：员工在上班时间经常浏览与工作无关的网页、网上聊天、玩网上游戏，造成生产力下降。同时，网页数据流也是安全问题的一个主要来源，同时也是滥用公司时间和资源的主要因素。不恰当的网上冲浪行为可以把企业的网络暴露在众多的安全威胁之前，同时也会引起法律法规方面的问题。如何有效地解决这些问题，以便提高员工的工作效率，降低企业的安全风险，减少企业的损失，成为企业迫在眉睫的紧要任务。因此要求安全网关设备对员工上网内容进行管理和控制。于其他系统网络连接众多税务信息网络结构复杂，内联网不仅连接着总局、省、市、县等税务局及税务分局，而且在一些市税务局或县税务局还连接多个银行网络、网上报税企业网络，等于将一个内部封闭的网络建成了一个开放的网络环境（具有多个外部出口），各种安全包括系统级的安全问题也随之产生。因此，税务系统网络安全建设中，如何于这些第三方网络连接的安全问题也必须考虑。二、阿姆瑞特UTM在税务系统的应用下图是税务系统的一个典型配置，在这个税务网络中配置多台UTM设备，每台设备提供不同的访问控制和入侵检测。其中，阿姆瑞特UTM①放置Internet与税务局域网络、税务网站之间，保护服务器的安全和税务OA系统访问Internet的需求；阿姆瑞特UTM②放置于税务局域网于第三方相连接部分，例如：库税、银税等，提供不同部门之间互联的访问控制和入侵检测；阿姆瑞特UTM③放在税务业务网于税务局域网之间，保护税务业务网络的安全。阿姆瑞特UTM④、UTM⑤、UTM⑥放置在税务专网连接部分，用于提供本区域税务局域网于上、下级税务机关之间的访问控制，同时通过VPN功能进行数据加密保护。总体来说，本方案的技术特点为：提供对网站服务器的最佳保护阿姆瑞特UTM①通过防火墙组件，提供强大的抵御DOS/DDOS功能和访问控制功能；通过接口、IP地址、协议、端口、时间、用户等参数对数据包进行过滤，提供网络安全的第一层保障；为了达到对服务器最佳保护，阿姆瑞特UTM①可以针对服务器同时开启IPS规则和IDS规则。IPS与IDS对应不同的特征库，当数据包进入UTM设备，首先经过IPS检查，可以确定100％的攻击，UTM可以对该攻击进行阻断；如果数据包疑是攻击，进行IDS检查，UTM对该数据进行审计，从而达到IPS和IDS的统一，保证服务器的同时不会产生因为误报而将正常数据包阻断现象。同时通过硬件加速保证系统的性能。对税务OA系统访问Internet内容进行控制阿姆瑞特UTM①除了提供对服务器保护功能以外，还提供对内部员工访问Internet进行控制，避免员工浏览不适当的网站产生相应的违法行为或者遭受间谍软件/网络钓鱼程序攻击导致企业的机密数据被窃取，企业的名誉受损。阿姆瑞特UTM可以对各种危险网站进行阻隔。由于互联网上各种危险网站层出不穷，用户根本无法手动更新相应的网站，阿姆瑞特在全球各个地方有专人负责对全球的URL进行分类。通过阿姆瑞特厂家对全球网页时时进行分类，UTM产品通过在线自动更新网站列表，可以灵活的设置员工访问网页的内容，从而避免了员工在上网时候访问于工作无关的网页，增加企业的生产力；同时通过对Internet上“钓鱼”网站的分类屏蔽，阻止用户访问“钓鱼”的网站，保证员工上网的安全性。与银行等第三方机构之间连接的安全保护税务系统专用网中省、市县税务局、分局还与各商业银行连接，税务局和银行之间是不完全信任关系。所以在税务局提供与银行连接的前置机与边界路由器之间放置阿姆瑞特UTM③提供访问控制和入侵检测，对税务和银行这两个不信任域进行隔离，同时严格控制两者之间的访问行为。防范银行端或者通过它们之间的网络桥梁带来对税务系统专网的攻击。提供税务专网之间VPN安全隧道阿姆瑞特UTM④、UTM⑤、UTM⑥放置在税务专网连接部分，用于提供本区域税务局域网于上、下级税务机关之间的访问控制，同时通过VPN功能进行数据加密保护。全网病毒防护本方案中，所有的阿姆瑞特UTM产品都开启防病毒功能。阿姆瑞特UTM病毒防护组件内部集成了全球顶级防病毒厂商卡巴斯基的病毒特征库，提供网关级实时病毒监控功能，能够对所有WEB、FTP和E-mail流量进行实时监控，保护网络免受病毒、木马、反钓鱼式攻击、网络蠕虫、以及其它恶意软件的危害。凭借多元化的探测方法和强悍卡巴斯基病毒标识的数据库，保证其高度的精确性。通过ASIC加速卡保证卓越的性能免费提供UTM集中管理器面对如此多的UTM设备，阿姆瑞特公司免费为用户提供全中文集中管理器，该管理器可以对多台UTM进行统一的、集中的管理，方便用户在一台管理器上对多个UTM设备的远程管理（可以管理阿姆瑞特所有型号的UTM设备）。并且可以定义全局的服务、对象名称，提供对所有UTM设备策略修改、上传、下载功能。这样具有共性的设置在全局配置中统一设置，每台UTM只需定义个性的配置就可以了，从而减少规则数量、简化管理。三、总结通过阿姆瑞特UTM的合理部署，解决税务网络前期存在的各种网络安全问题。总体来说，阿姆瑞特UTM提供安全保护有：—严格控制金融内外网络各种访问，确保合法访问的正常进行，杜绝非法及越权访问；—有效预防、发现、处理异常的网络访问，确保税务机构外网正常访问活动；—控制内网用户访问Internet的内容，避免员工上班网络聊天、访问于工作无关的页面，提高生产力。—能预防、发现、处理计算机病毒；—对外网的合法用户进行授权，并对发起访问的用户进行身份鉴别，确保电子税务外网重要的信息资产被合法、授权地访问；—确保税务机构外网内重要的文件、数据被合法授权地获取或修改；—确保税务机构外网内重要地文件、数据能够有效地备份及恢复，提高税务机构外网的可用性；—能够对税务机构系统内所发生的与安全有关的事件记录与审计；—合理的安全体系架构和管理措施；—实现网络系统安全系统的集中管理；—有较强的扩展性。