税务行业F5解决方案
税务行业信息化建设背景概述
金税工程介绍
税收信息化,就是指建立和完善中国税收管理信息系统,简称“金税工程”(英文缩写‘CTAIS’)。“金”字头信息工程是各部门统一的提法,如财政管理信息系统简称金财工程,海关管理信息系统简称金关工程,等等,中国税收管理信息系统即为金税工程。“金税工程”不仅仅是增值税征管系统,而是广义的税收管理信息系统。目前部分省市正在推广和使用的原CTAIS系统是综合征管软件,也是金税工程的组成部分。金税工程一期(局限于全国50个大城市之间)和二期(在全国范围内)主要是对增值税专用发票进行交叉比对,金税工程三期主要是建立和完善中国税收信息管理系统。
税务系统分类
国税和地税是依据国务院关于分税制财政管理体制的决定而产生的一种税务机构设置中两个不同的系统。它们的不同主要体现在两者负责征收的税种的区别。
国家税务局征收的税种:增值税,消费税,铁道部门、金融、保险公司缴纳的部分营业税,企业所得税( 铁道部门、各银行总行、各保险公司集中缴纳的所得税;中央企业缴纳的所得税; 中央与地方所属企业、事业单位组成的联营企业、股份制企业缴纳的所得税; 海洋石油企业缴纳的所得税; 外商投资企业和外国企业所得税) ,储蓄存款利息所得个人所得税,证券交易印花税,海洋石油企业缴纳的资源税,车辆购置税。
地方税务局征收的税种:除上述行业以外的营业税,地方国有企业、集体企业、私营企业缴纳的所得税,城市维护建设税,个人所得税,资源税,房产税,城市房地产税,土地增值税,城镇土地使用税 ,印花税 ,契税,车船使用税,屠宰税,筵席税。
税务系统主要应用
税务综合管理信息系统
适用于省级、地市级或区县级税务机关的集中征收业务模式;系统同时具备基层税收业务处理和综合数据分析统计功能,可以提供整套的税收征管业务解决方案,具有税收征管(管理服务、征收监控、税务稽查、税务法制及系统维护等子系统)、税收监控(数据采集、数据分析)两大系统。
税收分析系统
网上税务系统
该系统的主要功能:在线税务申报、税务数据查询、网上预登记、利用专用客户端申报、通过数据复制保证内外网数据的同步和完整、税银联网实现网上实时划款。
网络报税系统
使纳税人足不出户便可享受24小时纳税申报服务;同时降低税务机关前台人员工作强度,实现申报数据采集的自动化和无纸化。
网上发票认证系统
税务稽查案件管理系统
综合行政办公系统
税务客户服务中心“12366”
税务行业信息系统使用现状分析
应用服务器性能及其高可靠性问题
在税务系统信息化建设当中,网上报税系统是最为关键的在线业务,该应用最典型的使用特点是短时间的并发连接数非常大,纳税人在每月1-15日进行网上报税,但是往往报税系统使用的高峰期都在最后几天,此时应用服务器将承载的访问压力非常巨大,此时给服务器带来了非常大的性能挑战,如果此时应用系统发生故障导致不可用,那么企业,个人及其政府部门将会受到非常大的经济损失。
当前解决方式:通过使用服务器软件Cluster集群方式提高应用服务器的性能及其高可靠
不足:两种模式均不能提供稳定,可靠的应对,同时不能更进一步的优化整个服务器群组的性能。
应用系统的安全性问题
税务系统大多数的业务是发布在Internet上让企业及其个人进行访问使用的,那么整个应用系统的安全性也是至关重要的。如果因为安全问题导致了应用系统的不可用,比如网站遭受网络层及其应用层的DDOS攻击,SQL注入,挂马等,那么给政府,企业及其个人将会带来很大的损失,同时也给政府带来了负面形象。
当前解决方式:通过部署防火墙,IPS等网络层安全设备进行防护
不足:不能有效的全面的防护来自应用层的攻击
出口链路问题
目前各个省的税务系统的数据中心多数使用的是一家运营商的链路进行与Internet进行互连,此时将会带来两个问题,第一,当该链路故障,那么整个数据中心无法对外提供服务;第二,南北电信互联互通的影响将导致一个电信的用户在访问一个网通的数据中心时,访问的速度会是很大的一个挑战。
当前解决方式:通过使用多家运行商链路进行接入,使用BGP动态路由协议来在多条链路上进行数据包的分配
不足:需要配置复杂的路由协议,增加管理负担
数据中心问题
当数据中心出现不可抗因素导致了整个数据中心的瘫痪,那么整个业务也将无法使用,同时数据的丢失将带来巨大的经济损失及其灾难。同时数据中心之间的数据同步传输的效率低下。
当前解决方式:通过部署异地主备双中心的方式实现数据中心的灾备
不足:主备模式运行的数据中心资源利用率不高
F5税务行业解决方案
通过使用F5的应用交付解决方案,实现了整个应用系统的高可靠性,安全性,及其客户端快速访问性。
XX地税F5案例
改造后网络拓扑
方案概述
F5 LTM+ASM实现应用的高可靠及其安全防护
在服务器前端架设F5 LTM服务器负载均衡设备实现报税服务器的负载均衡,同时通过协议层,应用层扩展功能提升服务器性能,比如SSL卸载,数据的压缩,缓存等。基于应用层的服务器健康检查实时监测服务器的运行状态,屏蔽故障服务器对外提供服务,保证了整个业务访问的高可靠性。通过F5独一无二的irules功能实现基于访问URI的动态负载均衡,实现应用的感知,使业务访问更加灵活。在LTM上扩展ASM应用安全防护模块实现应用层安全防护,如SQL注入,跨站攻击,应用层DDOS攻击等。
F5 GTM实现多链路接入优化
为了保证数据中心的高可靠及其用户访问速度,XX地税使用了电信,联通两条线路来将整个应用发布出去。通过在每条链路上部署F5 GTM广域网负载均衡器保证了任意一条链路故障,系统仍能够对外提供服务;同时优化了客户端访问速度,在两条链路上智能的进行客户端流量分担,保证用户从一个适合的链路接入访问,从而加速客户端访问速度,提高了客户的体验度,提高了客户端的满意度。
F5 APM实现客户端远程接入
用户需要在紧急的时候能够通过Internet链路以VPN的方式接入到内网对内网服务器进行管理和维护操作。F5 LTM上APM(免费10个用户数的访问接入)远程接入模块实现了SSL VPN的功能,保证用户从公网上接入内网。
整体方案优势:
通过F5的完整的应用交付解决方案,以F5的TMOS操作系统为强大的依托,在单一设备上实现从服务器负载均衡,应用安全安全防护及其远程接入的功能,实现了功能的整合,简化了网络整体架构。在数据中心高可用层面,后期用户在扩展多数据中心时,只需要在部署F5的GTM既可以实现数据中心间的流量负载均衡及其数据中心的高可靠。