1 前言

　　近年来，随着大量先进信息技术的应用，极大地提高了地税工作的效率和质量。由于报税相关应用的网络化演进，地税信息系统由相对封闭和低安全风险逐渐转变为更加开放和高安全风险。为了防止因信息系统破坏造成的损失，国家相关部门在地税信息安全建设方面正在不断加强。

　　2 环境描述与需求分析

　　目前，我国正在实施“金税三期”工程建设，各地市都建设了地税外网、地税内网。地税外网主要提供网上报税服务，受理纳税人的网上报税业务;地税内网主要接受来自地税外网的报税信息，并把相关的地税数据上传到总局集中处理。

　　出于保密的要求，地税内网与地税外网之间需要进行隔离。但如果隔离的话，就无法把地税外网的数据实时传送到地税内网中。那么，如何才能在地税内外网隔离的前提下，把地税外网的数据实时交换到地税内网中呢?安全隔离与信息交换系统(也称网闸)的出现解决了这个问题。

　　网闸是一种利用物理隔离技术实现的“准实时交互”的安全保密设备，早已通过国家保密局保密技术研究所的技术鉴定，具有极高的安全性与保密性。网闸具有应用响应速度快，传输数据安全检查，无应用局限，能满足各种应用场合等优势。

　　3 解决方案

　　根据地税行业的网络特点与应用需求，我们在地税内网与地税外网，地税内网与总局之间部署天融信网闸(TopRules)产品。地税外网受理纳税人的网上报税业务，将地税数据存储到地税外网的数据库中，再通过网闸将数据摆渡到地税内网的数据库中。通过网闸，我们实现了地税内外网之间数据的实时安全交互;在地税内网和总局之间通过TopRules系统，把地税内网的数据摆渡到总局集中处理。具体部署如下：

　　网闸应用策略

　　根据地税行业的应用特点配置网闸应用策略，网闸的配置策略如下：

　　1. 数据库访问：地税内网可以通过网闸访问地税外网的数据库服务器，地税外网不能通过网闸访问地税内网的数据库服务器。

　　2. 数据库同步：地税内外网之间的数据库数据单向同步，使地税外网数据库的数据实时传递到地税内网的数据库中。地税内网的数据库数据实时同步到总局的数据库中，实现地税数据大集中。另外也可以根据实际应用情况，进行有选择的数据库同步，如个别表同步、字段同步等。

　　3. 双机热备：地税行业网上报税的特点就是月底或月初时报税集中，访问量大，网闸的稳定运行至关重要，因此我们可以采取双机热备的方案来防范因网闸故障而导致的业务系统的中断。

　　网闸解决的安全问题

　　1. 实时可信信息交互。通过天融信网闸可以保障地税内网与地税外网在隔离的前提下进行快速、实时、可信的信息交互。

　　2. 防止敏感信息泄漏。通过天融信网闸的应用层信息过滤功能，可以过滤敏感信息，防范地税内网的敏感信息泄漏到地税外网或互联网上。

　　3. 防止非授权访问。天融信网闸采用白名单的工作机制，只有授权的特定应用能通过网闸，而在这之外的应用一律禁止，杜绝非授权访问事件的发生。

　　4. 防范网络攻击。天融信网闸在内核中嵌入了专用的入侵检测引擎，能够对进出网络的原始数据进行攻击检测和过滤。有了这种机制，可以最大程度上降低网络攻击事件的发生。

　　5. 病毒查杀。天融信网闸可在内部定制集成杀毒引擎，能够对一些主流的病毒进行检测与查杀。一旦地税外网感染病毒，网闸能确保病毒不会扩散到地税内网中。

　　6. 访问控制。基于用户、IP地址、IP/MAC绑定、时间段对用户进行访问控制，确保只有合法的用户才能通过网闸系统访问应用系统，而其它非授权的用户则不能通过。

　　综上所述，天融信地税行业解决方案有效的解决了地税行业网上报税系统安全隔离与信息交换的应用需求，在国地税行业都有很强的推广价值。

(责任编辑：)