一、需求背景
自助办税终端系统是税务机关为方便纳税人,在税务营业厅或其他方便纳税人办理税务相关业务的场所,部署用于纳税人发票领用、发票代开、申报缴税、报税、税收凭据开具等业务的自助办税终端。由于部署位置的分散性,自助办税终端通过互联网接入方式与税务局端服务进行交互。
当前自助办税终端采用的是税务专网接入方式,由于人员值班无法满足7*24小时要求,该种接入方式面临在无人值守状况下被冒用的安全风险。同时,未来将建设离厅式自助办税终端,无人值守将成为常态。由于自助办税终端是互联网接入的远程访问,访问地点、网络接入方式缺乏统一的安全接入标准,因此存在口令和用户名容易被窃听;通信数据流容易被窃听和篡改;身份容易被伪造;自身安全性会对局端信息网络带来破坏等风险,因此需要采取必要的安全措施,来规避风险,保障远程接入过程中的安全性。
二、解决方案
如上图所示:该方案充分复用了税局已有的可信密码设备(包括密码机、签名验签服务器、SSL卸载网关等)及密码基础设施(税务数字证书认证系统),通过税务数字证书认证系统对上述设备及新加入的安全接入终端设备颁发数字证书,从而形成统一的信任域,所有的设备在该信任域内实现“身份可鉴别、信息可防伪、交互可保密”的主动安全防护体系。
三、方案价值
1、安全合规
本方案采用的安全设备都是商用密码产品,均需要具备国家密码管理局颁发的商用密码产品型号证书,且产品采用的密码算法须支持国密算法(SM2、 SM3、 SM4),以保证符合国家相关安全规范。
2、 集成多个安全功能
安全接入终端支持网络路由、网络防火墙、https客户端代理、vpn客户端、签名验证功能。单台设备可实现从访问控制、链路加密、数据完整性、抗抵赖性等安全功能,无需再部署其他安全设备。自助机中只增加部署一个设备(空间有限)就可以从多个维度提高自助办税终端的安全防护能力。
3、 与数字证书系统无缝对接
安全接入终端内置密码芯片,可通过PKCS#10方式为其灌装行业CA证书,该产品同时支持RSA、SM2证书。既可以满足国际标准RSA数字证书,又可以灌装国密SM2证书。
4、支持集中管控
安全接入终端可集中接入管理平台,便于统一监控系统运行状态和集中维护管理,可集成GPS或北斗定位模块,结合GIS系统进行可视化展示和管控。自助办税终端可远程接入远程管控系统,可对资产信息进行统计,并对自助办税终端进行病毒进行查杀,同时可实现远程升级。