信息中心
東軟為廣州地稅鑄造“大集中”下的安全之城
分布式的系統漸露弊端,“大集中”式的系統顯露其優越之處,然而這種優越有個最大的前提和軟肋,就是安全。如何讓“大集中”系統的安全不再成為系統的瓶頸,是無數安全人的夢。這是一條充滿挑戰之路,它通向的將是――
東軟為廣州地稅鑄造“大集中”下的安全之城
曾幾何時,“大集中”的網絡系統,被人們嗤之以鼻,因為如果把所有的數據集中存放,所有的應用集中供給,不要說遠程技術的實現難度較大,就是單單“安全”二字就會壓死人。因為古人說過,“不要把雞蛋放在一個籃子里”,就是這個意思,如果一旦威脅降臨,損失的就是全部。毫無疑問,這樣的狀況,對其安全防御提出了巨大的挑戰。
但是,“大集中”對于很多行業,例如稅務行業來說,則是一種先進而前沿的管理方式,因為對于這些行業來說,數據實時的更新與動態管理,將是其工作效率與準確性提高的關鍵之一。在這樣的市場需求下,盡管面臨這樣的難度與挑戰,自然有勇敢者迎難而上,面對“大集中”系統的安全挑戰,東軟就是這樣的勇敢者和成功者。在廣東省地稅局“大集中”系統的安全項目第一期工程中,東軟安全人以其極具創新性的安全方案一舉中標。那么,究竟“大集中”系統面臨什么樣的安全威脅?東軟人又是如何精心編織安全美麗的神話?東軟稅務事業部總經理劉躍葵總一言以蔽之,“優秀的安全方案沒有捷徑,只有靠多年的安全實力積累和對稅務行業的熟稔,才能實時適宜對“大集中”系統提出恰當的安全解決方案。”
“大集中”系統面臨安全威脅
對于“大集中”系統來說,最主要的安全威脅包括:黑客攻擊(來自內部和外部的攻擊,包括木馬)、病毒破壞(包括網絡蠕蟲)、誤操作(用戶和管理人員操作錯誤)、系統故障(系統出錯、崩潰等)、災難(地震、水災、火災等)等。
信息安全威脅本身包括很多的內容,廣東地稅現階段面臨的信息安全威脅主要包括一下方面:
? 口令破解:攻擊者可通過獲取口令文件,然后運用口令破解工具獲得口令,也可通過猜測或竊聽等方式獲取口令;
? 連接盜用:在合法的通信連接建立后,攻擊者可通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接,從而假冒被接管方與對方通信;
? 拒絕服務攻擊:攻擊者可直接發動攻擊,也可通過控制其它主機發起攻擊使目標癱瘓,如發送大量的數據包阻塞目標網絡系統;
? 網絡竊聽:由于網絡的開放性,攻擊者可通過直接或間接竊聽獲取所需信息;
? 數據篡改:攻擊者可通過截獲并修改數據或重放數據等方式破數據的完整性;
? 地址欺騙:攻擊者通過偽裝成被信任的IP地址來騙取目標的信任;
? 惡意掃描:攻擊者可編制或使用現有的掃描工具,發現目標的漏洞,進而發起攻擊;
? 基礎設施破壞:攻擊者可通過破壞域名服務器或路由表等基礎設施,使目標網絡陷于癱瘓;
? 數據驅動攻擊:攻擊者可通過施放病毒、特洛伊木馬、數據炸彈等方式破壞或遙控目標;
? 社會工程:攻擊者可通過各種社交渠道獲得有關目標的結構、使用情況、安全防范措施等有用信息,從而提高攻擊成功率。
對于“大集中”系統,一般而言,都存在以下安全缺陷:
● 網間隔離不明確
“大集中”核心系統網絡結構復雜,內部劃分了多個重要的業務服務器區,里面是征管系統、業務數據的中心區。目前下屬各地稅網絡都已通過專線和核心系統相連,另外,跟省國稅等協作單位之間的專網也已連通。目前和這些互聯網絡之間沒有采用任何隔離措施,這是非常危險的。
● 難以抵制針對系統自身缺陷的攻擊
此類攻擊手段包括隱通道攻擊、特洛伊木馬、口令猜測、緩沖區溢出等,利用系統固有的或系統配置及管理過程中的安全漏洞,穿透或繞過安全設施的防護策略,達到非法訪問直至控制系統的目的,并以此為跳板,繼續攻擊其它系統。
● 安全監控手段不多
目前“大集中”核心系統網絡里沒有采用任何網絡安全監控手段,不利于在攻擊的第一時間做出反應。
● 缺少病毒防范工具
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄