業(yè)務(wù)需求

山東省稅務(wù)局由省局機關(guān)、17個(gè)市局、150個(gè)區縣局和1000多個(gè)基層分局構成，機構采用廣域網(wǎng)連接。其中，省到市級廣域網(wǎng)帶寬為10M，市到縣級為10M，縣到基層分局為2M。全系統內網(wǎng)安裝約2萬(wàn)臺桌面終端（其中省局機關(guān)約300臺，每個(gè)市局機關(guān)不超過(guò)150臺，每個(gè)縣局機關(guān)不超過(guò)100臺，每個(gè)基層分局不超過(guò)10臺）。此外，全系統約有近2千多臺網(wǎng)絡(luò )設備（包括路由器和交換機，其中絕大多數交換機是可網(wǎng)管交換機），在全國稅務(wù)系統信息化建設中很具有代表性。

山東稅務(wù)局信息化建設在全國稅務(wù)局中意識比較超前，早在2003年就開(kāi)始接觸桌面安全系統，在經(jīng)過(guò)這幾年的摸索中，已經(jīng)逐步形成一套完整的桌面安全管理系統的需求。加上山東稅務(wù)“大統一”信息化部署的推動(dòng)以及國家安全監察局對涉密機構和部門(mén)信息化安全的重視，急需一套能夠管理全系統2萬(wàn)多臺客戶(hù)端以及2千余臺網(wǎng)絡(luò )設備的系統；能夠加強對內網(wǎng)中所有客戶(hù)端計算機的管理監控力度，最大限度的保障整個(gè)內網(wǎng)邊界的清晰和安全，嚴防各類(lèi)不安全因素進(jìn)入內網(wǎng)，將安全隱患和安全威脅發(fā)現并消除在初始萌芽狀。

面臨挑戰

在這個(gè)龐大的內部網(wǎng)絡(luò )系統中，信息化管理的也面臨如下問(wèn)題：

（1）內部網(wǎng)絡(luò )龐大，管理難度高。山東稅務(wù)系統中桌面終端共有2萬(wàn)多臺，1千多個(gè)基層分局遍布山東省，這樣一個(gè)龐大的內部網(wǎng)絡(luò )，網(wǎng)絡(luò )管理員也達到1000-2000個(gè)，缺少一套合理、有效的桌面安全管理系統。
（2）網(wǎng)絡(luò )安全接入得不到控制，缺乏有效的技術(shù)手段控制外部中斷的接入。
（3）缺乏非法外連行為的阻斷與報警的能力，對于省局命令禁止行為如內外網(wǎng)互連行為、存儲介質(zhì)內外網(wǎng)互用等問(wèn)題得不到有效的控制。
（4）桌面安全管理問(wèn)題，缺乏對內部員工非法進(jìn)程、非法軟\硬件的控制。
（5）計算機硬/軟件資源統計與告警功能，內部計算機數量龐大，桌面終端的軟\硬件資產(chǎn)完全靠手工維護太過(guò)繁瑣，特別是對于一些硬件資產(chǎn)的流失沒(méi)有有效的告警手段。
（6）缺乏終端系統補丁下發(fā)的手段，內網(wǎng)大部分終端電腦沒(méi)能及時(shí)自動(dòng)下載系統補丁。
（7）缺乏計算機終端安全的防護、評估與加固能力。內網(wǎng)員工電腦使用能力不足，對使用電腦的安全保護意識不強，大部分桌面終端都存在安全漏洞，如若口令、屏保密碼、共享目錄等都沒(méi)按照要求設置，且內網(wǎng)終端中還存在大量的病毒和木馬，桌面安全得不到有效的保護。
（8）缺乏對故障的定位、告警。在發(fā)生網(wǎng)絡(luò )故障（交換機故障、線(xiàn)路故障）、人為故障（內部網(wǎng)絡(luò )爆發(fā)病毒、內外網(wǎng)互聯(lián)等），管理員很難在很短時(shí)間內定位故障源，加大管理難度。

此外，近些年來(lái)，國家對泄密事件的重視，外部人員竊取、內部人員有意/無(wú)意的泄密以及存儲設備木馬/病毒的泄密方式，防不勝防，桌面安全管理系統的系統部署是一種信息化安全建設的趨勢。

解決方案

網(wǎng)絡(luò )及系統部署概況：


山東稅務(wù)的設備主要由H3C、huawei、cisco、邁普、3com和少量的銳捷構成，省局、市局、區縣局、基層分局采用廣域網(wǎng)連接，其中省、市、縣廣域網(wǎng)帶寬為10M，區縣局到基層分局廣域網(wǎng)帶寬為2M。

Leagview系統部署管理采用省市二級部署、認證采用省、市、縣三級部署。其中，省局有四臺服務(wù)器，分別為主管理/備認證服務(wù)器、主數據庫/備管理服務(wù)器、主認證服務(wù)器、審計數據庫服務(wù)器，leagview管理系統主備、radius認證通過(guò)熱備，數據庫采用鏡像技術(shù)，能夠能好的實(shí)現故障切換；市局服務(wù)器有三臺，分別為主管理服務(wù)器/備認證、主數據庫服務(wù)器、主認證/備管理服務(wù)器，leagview管理系統主備、radius認證通過(guò)熱備，數據庫采用鏡像技術(shù)；縣局服務(wù)器有一臺，用作認證服務(wù)器，同時(shí)用市局認證服務(wù)器作備份，也能實(shí)現radius認證的熱備。

桌面安全管理部署情況:

1.安全策略部署

通過(guò)Leagview系統可以實(shí)現多方面的安全策略的下發(fā)和管理。主要包括：主機漏洞檢查、主機進(jìn)程安全檢測、防病毒軟件策略、windows本地安全策略、非授權外連策略、打印機檢查等。

2.啟用準入控制功能

采用leagview內置用戶(hù)名和密碼進(jìn)行認證，內置用戶(hù)名和密碼采用山東稅務(wù)大統一系統的工號與密碼，對于沒(méi)有安裝客戶(hù)端以及認證用戶(hù)名和密碼不正確的不允許接入內部網(wǎng)絡(luò )，同時(shí)還需檢查是否安裝殺毒軟件，也拒絕接入內部網(wǎng)絡(luò )；對于外來(lái)人員，需要聯(lián)系當地信息信息管理員，確認身份后手工copy助手安裝程序，安裝助手分配臨時(shí)賬戶(hù)方能接入網(wǎng)絡(luò )。

3.啟用新設備接入事件

對于第一次接入的設備，系統可以在發(fā)現并通知給管理員。

4.啟用hub接入事件

配置接口下mac地址大于2的為hub接入事件，并告警通知給管理員。

5.啟用配置變更策略

采集安裝有助手的桌面終端軟/硬件信息，對于硬件（內存、光驅?zhuān)┌l(fā)現變更的記錄并及時(shí)通知給管理員。

6.啟用主機漏洞檢查

檢查桌面終端是否有弱口令、屏保密碼、共享目錄、安裝最新的補丁，提示桌面用戶(hù)和管理員。

7.防病毒軟件策略

檢查客戶(hù)端是否安裝了病毒軟件名稱(chēng)symantec以及病毒庫允許的最大延遲15天數，并告警通知相關(guān)管理員。

8.啟用非授權外連策略
禁止使用U盤(pán)、雙網(wǎng)卡、紅/藍牙、無(wú)線(xiàn)modem、GPRS/CDMA無(wú)線(xiàn)網(wǎng)卡 。

9.啟用打印機檢查策略
對特殊部門(mén)個(gè)別開(kāi)啟打印機檢查，對所有該機器進(jìn)行打印的文檔進(jìn)行審計。

10.微軟補丁包的下載

自動(dòng)為每個(gè)終端下發(fā)并安裝軟件補丁包。

11.準入控制的部署

準入控制系統采用802.1x準入控制技術(shù)，對于沒(méi)有安裝助手的客戶(hù)端，首先是拒絕接入網(wǎng)絡(luò )。需通知管理員確認省份，然后copy客戶(hù)端助手并安裝，輸入管理員分配的用戶(hù)名和密碼認證成功方能接入網(wǎng)絡(luò )，加強了對接入用戶(hù)的可控性；對于安裝助手的客戶(hù)端，必須有合法的用戶(hù)名和密碼，認證成功允許接入網(wǎng)絡(luò )。


山東稅務(wù)由省局、市局、區縣局、所四級網(wǎng)絡(luò )構成，支持802.1x交換機有H3C、huawei、cisco、3com、邁普、銳捷等交換機以及其它少數不支持802.1x認證的交換機。在實(shí)施準備之前，對山東稅務(wù)全網(wǎng)交換機進(jìn)行摸底，對于不支持802.1x認證的交換機或交換機IOS進(jìn)行更換和升級。對全網(wǎng)進(jìn)行網(wǎng)絡(luò )改造，如配置交換機管理地址，交換機到radius認證服務(wù)器可達等，使其符合網(wǎng)絡(luò )準入控制的條件，對于3COM等不支持mac認證的交換機，下接hub須轉移使其支持802.1x準入認證。

山東稅務(wù)以5年來(lái)對桌面安全系統認識的積累，通過(guò)對各個(gè)廠(chǎng)家桌面安全管理系統的深入的考察。在技術(shù)測試過(guò)程中，聯(lián)軟LeagView安全運維管理系統得到了充分驗證和肯定，在國內外17家產(chǎn)品中脫穎而出，最終山東省稅務(wù)選擇了聯(lián)軟科技來(lái)完成此項目建設。

通過(guò)部署leagview，能夠解決以下問(wèn)題：

1.外來(lái)電腦不能接入地稅內部網(wǎng)絡(luò )，如需要接入，需獲得系統管理員許可。
2.內網(wǎng)機器不允許通過(guò)任何途徑訪(fǎng)問(wèn)外網(wǎng)，對非法外連行為需要阻止和告警。
3.解決對桌面終端的安全管理，能夠根據需要添加進(jìn)程、軟\硬件的黑白名單。
4.能夠統計全網(wǎng)桌面終端的軟\硬件信息，并對軟\硬件信息實(shí)時(shí)發(fā)現并告警。
5.內網(wǎng)補丁的自動(dòng)下發(fā)與安裝，及時(shí)的為桌面終端系統打上補丁。
6.內網(wǎng)計算機的漏洞掃描與安全防護，特別是對弱口令、屏保密碼、共享目錄檢查，提醒員工及時(shí)修補漏洞，以及對一些常見(jiàn)木馬病毒的防護。
7. 能夠快速定位出內網(wǎng)故障以及違規行為，并告警通知相關(guān)管理人員。

綜上所述，山東稅務(wù)部署上聯(lián)軟leagview安全運維管理系統，能夠很好鞏固內網(wǎng)系統的安全，完善稅務(wù)系統信息化的建設