業(yè)務(wù)需求

山東省稅務(wù)局由省局機(jī)關(guān)、17個(gè)市局、150個(gè)區(qū)縣局和1000多個(gè)基層分局構(gòu)成，機(jī)構(gòu)采用廣域網(wǎng)連接。其中，省到市級廣域網(wǎng)帶寬為10M，市到縣級為10M，縣到基層分局為2M。全系統(tǒng)內(nèi)網(wǎng)安裝約2萬臺桌面終端（其中省局機(jī)關(guān)約300臺，每個(gè)市局機(jī)關(guān)不超過150臺，每個(gè)縣局機(jī)關(guān)不超過100臺，每個(gè)基層分局不超過10臺）。此外，全系統(tǒng)約有近2千多臺網(wǎng)絡(luò)設(shè)備（包括路由器和交換機(jī)，其中絕大多數(shù)交換機(jī)是可網(wǎng)管交換機(jī)），在全國稅務(wù)系統(tǒng)信息化建設(shè)中很具有代表性。

山東稅務(wù)局信息化建設(shè)在全國稅務(wù)局中意識比較超前，早在2003年就開始接觸桌面安全系統(tǒng)，在經(jīng)過這幾年的摸索中，已經(jīng)逐步形成一套完整的桌面安全管理系統(tǒng)的需求。加上山東稅務(wù)“大統(tǒng)一”信息化部署的推動以及國家安全監(jiān)察局對涉密機(jī)構(gòu)和部門信息化安全的重視，急需一套能夠管理全系統(tǒng)2萬多臺客戶端以及2千余臺網(wǎng)絡(luò)設(shè)備的系統(tǒng)；能夠加強(qiáng)對內(nèi)網(wǎng)中所有客戶端計(jì)算機(jī)的管理監(jiān)控力度，最大限度的保障整個(gè)內(nèi)網(wǎng)邊界的清晰和安全，嚴(yán)防各類不安全因素進(jìn)入內(nèi)網(wǎng)，將安全隱患和安全威脅發(fā)現(xiàn)并消除在初始萌芽狀。

面臨挑戰(zhàn)

在這個(gè)龐大的內(nèi)部網(wǎng)絡(luò)系統(tǒng)中，信息化管理的也面臨如下問題：

（1）內(nèi)部網(wǎng)絡(luò)龐大，管理難度高。山東稅務(wù)系統(tǒng)中桌面終端共有2萬多臺，1千多個(gè)基層分局遍布山東省，這樣一個(gè)龐大的內(nèi)部網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員也達(dá)到1000-2000個(gè)，缺少一套合理、有效的桌面安全管理系統(tǒng)。
（2）網(wǎng)絡(luò)安全接入得不到控制，缺乏有效的技術(shù)手段控制外部中斷的接入。
（3）缺乏非法外連行為的阻斷與報(bào)警的能力，對于省局命令禁止行為如內(nèi)外網(wǎng)互連行為、存儲介質(zhì)內(nèi)外網(wǎng)互用等問題得不到有效的控制。
（4）桌面安全管理問題，缺乏對內(nèi)部員工非法進(jìn)程、非法軟\硬件的控制。
（5）計(jì)算機(jī)硬/軟件資源統(tǒng)計(jì)與告警功能，內(nèi)部計(jì)算機(jī)數(shù)量龐大，桌面終端的軟\硬件資產(chǎn)完全靠手工維護(hù)太過繁瑣，特別是對于一些硬件資產(chǎn)的流失沒有有效的告警手段。
（6）缺乏終端系統(tǒng)補(bǔ)丁下發(fā)的手段，內(nèi)網(wǎng)大部分終端電腦沒能及時(shí)自動下載系統(tǒng)補(bǔ)丁。
（7）缺乏計(jì)算機(jī)終端安全的防護(hù)、評估與加固能力。內(nèi)網(wǎng)員工電腦使用能力不足，對使用電腦的安全保護(hù)意識不強(qiáng)，大部分桌面終端都存在安全漏洞，如若口令、屏保密碼、共享目錄等都沒按照要求設(shè)置，且內(nèi)網(wǎng)終端中還存在大量的病毒和木馬，桌面安全得不到有效的保護(hù)。
（8）缺乏對故障的定位、告警。在發(fā)生網(wǎng)絡(luò)故障（交換機(jī)故障、線路故障）、人為故障（內(nèi)部網(wǎng)絡(luò)爆發(fā)病毒、內(nèi)外網(wǎng)互聯(lián)等），管理員很難在很短時(shí)間內(nèi)定位故障源，加大管理難度。

此外，近些年來，國家對泄密事件的重視，外部人員竊取、內(nèi)部人員有意/無意的泄密以及存儲設(shè)備木馬/病毒的泄密方式，防不勝防，桌面安全管理系統(tǒng)的系統(tǒng)部署是一種信息化安全建設(shè)的趨勢。

解決方案

網(wǎng)絡(luò)及系統(tǒng)部署概況：


山東稅務(wù)的設(shè)備主要由H3C、huawei、cisco、邁普、3com和少量的銳捷構(gòu)成，省局、市局、區(qū)縣局、基層分局采用廣域網(wǎng)連接，其中省、市、縣廣域網(wǎng)帶寬為10M，區(qū)縣局到基層分局廣域網(wǎng)帶寬為2M。

Leagview系統(tǒng)部署管理采用省市二級部署、認(rèn)證采用省、市、縣三級部署。其中，省局有四臺服務(wù)器，分別為主管理/備認(rèn)證服務(wù)器、主數(shù)據(jù)庫/備管理服務(wù)器、主認(rèn)證服務(wù)器、審計(jì)數(shù)據(jù)庫服務(wù)器，leagview管理系統(tǒng)主備、radius認(rèn)證通過熱備，數(shù)據(jù)庫采用鏡像技術(shù)，能夠能好的實(shí)現(xiàn)故障切換；市局服務(wù)器有三臺，分別為主管理服務(wù)器/備認(rèn)證、主數(shù)據(jù)庫服務(wù)器、主認(rèn)證/備管理服務(wù)器，leagview管理系統(tǒng)主備、radius認(rèn)證通過熱備，數(shù)據(jù)庫采用鏡像技術(shù)；縣局服務(wù)器有一臺，用作認(rèn)證服務(wù)器，同時(shí)用市局認(rèn)證服務(wù)器作備份，也能實(shí)現(xiàn)radius認(rèn)證的熱備。

桌面安全管理部署情況:

1.安全策略部署

通過Leagview系統(tǒng)可以實(shí)現(xiàn)多方面的安全策略的下發(fā)和管理。主要包括：主機(jī)漏洞檢查、主機(jī)進(jìn)程安全檢測、防病毒軟件策略、windows本地安全策略、非授權(quán)外連策略、打印機(jī)檢查等。

2.啟用準(zhǔn)入控制功能

采用leagview內(nèi)置用戶名和密碼進(jìn)行認(rèn)證，內(nèi)置用戶名和密碼采用山東稅務(wù)大統(tǒng)一系統(tǒng)的工號與密碼，對于沒有安裝客戶端以及認(rèn)證用戶名和密碼不正確的不允許接入內(nèi)部網(wǎng)絡(luò)，同時(shí)還需檢查是否安裝殺毒軟件，也拒絕接入內(nèi)部網(wǎng)絡(luò)；對于外來人員，需要聯(lián)系當(dāng)?shù)匦畔⑿畔⒐芾韱T，確認(rèn)身份后手工copy助手安裝程序，安裝助手分配臨時(shí)賬戶方能接入網(wǎng)絡(luò)。

3.啟用新設(shè)備接入事件

對于第一次接入的設(shè)備，系統(tǒng)可以在發(fā)現(xiàn)并通知給管理員。

4.啟用hub接入事件

配置接口下mac地址大于2的為hub接入事件，并告警通知給管理員。

5.啟用配置變更策略

采集安裝有助手的桌面終端軟/硬件信息，對于硬件（內(nèi)存、光驅(qū)）發(fā)現(xiàn)變更的記錄并及時(shí)通知給管理員。

6.啟用主機(jī)漏洞檢查

檢查桌面終端是否有弱口令、屏保密碼、共享目錄、安裝最新的補(bǔ)丁，提示桌面用戶和管理員。

7.防病毒軟件策略

檢查客戶端是否安裝了病毒軟件名稱symantec以及病毒庫允許的最大延遲15天數(shù)，并告警通知相關(guān)管理員。

8.啟用非授權(quán)外連策略
禁止使用U盤、雙網(wǎng)卡、紅/藍(lán)牙、無線modem、GPRS/CDMA無線網(wǎng)卡 。

9.啟用打印機(jī)檢查策略
對特殊部門個(gè)別開啟打印機(jī)檢查，對所有該機(jī)器進(jìn)行打印的文檔進(jìn)行審計(jì)。

10.微軟補(bǔ)丁包的下載

自動為每個(gè)終端下發(fā)并安裝軟件補(bǔ)丁包。

11.準(zhǔn)入控制的部署

準(zhǔn)入控制系統(tǒng)采用802.1x準(zhǔn)入控制技術(shù)，對于沒有安裝助手的客戶端，首先是拒絕接入網(wǎng)絡(luò)。需通知管理員確認(rèn)省份，然后copy客戶端助手并安裝，輸入管理員分配的用戶名和密碼認(rèn)證成功方能接入網(wǎng)絡(luò)，加強(qiáng)了對接入用戶的可控性；對于安裝助手的客戶端，必須有合法的用戶名和密碼，認(rèn)證成功允許接入網(wǎng)絡(luò)。


山東稅務(wù)由省局、市局、區(qū)縣局、所四級網(wǎng)絡(luò)構(gòu)成，支持802.1x交換機(jī)有H3C、huawei、cisco、3com、邁普、銳捷等交換機(jī)以及其它少數(shù)不支持802.1x認(rèn)證的交換機(jī)。在實(shí)施準(zhǔn)備之前，對山東稅務(wù)全網(wǎng)交換機(jī)進(jìn)行摸底，對于不支持802.1x認(rèn)證的交換機(jī)或交換機(jī)IOS進(jìn)行更換和升級。對全網(wǎng)進(jìn)行網(wǎng)絡(luò)改造，如配置交換機(jī)管理地址，交換機(jī)到radius認(rèn)證服務(wù)器可達(dá)等，使其符合網(wǎng)絡(luò)準(zhǔn)入控制的條件，對于3COM等不支持mac認(rèn)證的交換機(jī)，下接hub須轉(zhuǎn)移使其支持802.1x準(zhǔn)入認(rèn)證。

山東稅務(wù)以5年來對桌面安全系統(tǒng)認(rèn)識的積累，通過對各個(gè)廠家桌面安全管理系統(tǒng)的深入的考察。在技術(shù)測試過程中，聯(lián)軟LeagView安全運(yùn)維管理系統(tǒng)得到了充分驗(yàn)證和肯定，在國內(nèi)外17家產(chǎn)品中脫穎而出，最終山東省稅務(wù)選擇了聯(lián)軟科技來完成此項(xiàng)目建設(shè)。

通過部署leagview，能夠解決以下問題：

1.外來電腦不能接入地稅內(nèi)部網(wǎng)絡(luò)，如需要接入，需獲得系統(tǒng)管理員許可。
2.內(nèi)網(wǎng)機(jī)器不允許通過任何途徑訪問外網(wǎng)，對非法外連行為需要阻止和告警。
3.解決對桌面終端的安全管理，能夠根據(jù)需要添加進(jìn)程、軟\硬件的黑白名單。
4.能夠統(tǒng)計(jì)全網(wǎng)桌面終端的軟\硬件信息，并對軟\硬件信息實(shí)時(shí)發(fā)現(xiàn)并告警。
5.內(nèi)網(wǎng)補(bǔ)丁的自動下發(fā)與安裝，及時(shí)的為桌面終端系統(tǒng)打上補(bǔ)丁。
6.內(nèi)網(wǎng)計(jì)算機(jī)的漏洞掃描與安全防護(hù)，特別是對弱口令、屏保密碼、共享目錄檢查，提醒員工及時(shí)修補(bǔ)漏洞，以及對一些常見木馬病毒的防護(hù)。
7. 能夠快速定位出內(nèi)網(wǎng)故障以及違規(guī)行為，并告警通知相關(guān)管理人員。

綜上所述，山東稅務(wù)部署上聯(lián)軟leagview安全運(yùn)維管理系統(tǒng)，能夠很好鞏固內(nèi)網(wǎng)系統(tǒng)的安全，完善稅務(wù)系統(tǒng)信息化的建設(shè)