-
业务需求
-
山东省税务局由省局机关、17个市局、150个区县局和1000多个基层分局构成,机构采用广域网连接。其中,省到市级广域网带宽为10M,市到县级为10M,县到基层分局为2M。全系统内网安装约2万台桌面终端(其中省局机关约300台,每个市局机关不超过150台,每个县局机关不超过100台,每个基层分局不超过10台)。此外,全系统约有近2千多台网络设备(包括路由器和交换机,其中绝大多数交换机是可网管交换机),在全国税务系统信息化建设中很具有代表性。
山东税务局信息化建设在全国税务局中意识比较超前,早在2003年就开始接触桌面安全系统,在经过这几年的摸索中,已经逐步形成一套完整的桌面安全管理系统的需求。加上山东税务“大统一”信息化部署的推动以及国家安全监察局对涉密机构和部门信息化安全的重视,急需一套能够管理全系统2万多台客户端以及2千余台网络设备的系统;能够加强对内网中所有客户端计算机的管理监控力度,最大限度的保障整个内网边界的清晰和安全,严防各类不安全因素进入内网,将安全隐患和安全威胁发现并消除在初始萌芽状。
-
面临挑战
-
在这个庞大的内部网络系统中,信息化管理的也面临如下问题:
(1)内部网络庞大,管理难度高。山东税务系统中桌面终端共有2万多台,1千多个基层分局遍布山东省,这样一个庞大的内部网络,网络管理员也达到1000-2000个,缺少一套合理、有效的桌面安全管理系统。
(2)网络安全接入得不到控制,缺乏有效的技术手段控制外部中断的接入。
(3)缺乏非法外连行为的阻断与报警的能力,对于省局命令禁止行为如内外网互连行为、存储介质内外网互用等问题得不到有效的控制。
(4)桌面安全管理问题,缺乏对内部员工非法进程、非法软\硬件的控制。
(5)计算机硬/软件资源统计与告警功能,内部计算机数量庞大,桌面终端的软\硬件资产完全靠手工维护太过繁琐,特别是对于一些硬件资产的流失没有有效的告警手段。
(6)缺乏终端系统补丁下发的手段,内网大部分终端电脑没能及时自动下载系统补丁。
(7)缺乏计算机终端安全的防护、评估与加固能力。内网员工电脑使用能力不足,对使用电脑的安全保护意识不强,大部分桌面终端都存在安全漏洞,如若口令、屏保密码、共享目录等都没按照要求设置,且内网终端中还存在大量的病毒和木马,桌面安全得不到有效的保护。
(8)缺乏对故障的定位、告警。在发生网络故障(交换机故障、线路故障)、人为故障(内部网络爆发病毒、内外网互联等),管理员很难在很短时间内定位故障源,加大管理难度。
此外,近些年来,国家对泄密事件的重视,外部人员窃取、内部人员有意/无意的泄密以及存储设备木马/病毒的泄密方式,防不胜防,桌面安全管理系统的系统部署是一种信息化安全建设的趋势。
- 解决方案
-
网络及系统部署概况:
山东税务的设备主要由H3C、huawei、cisco、迈普、3com和少量的锐捷构成,省局、市局、区县局、基层分局采用广域网连接,其中省、市、县广域网带宽为10M,区县局到基层分局广域网带宽为2M。
Leagview系统部署管理采用省市二级部署、认证采用省、市、县三级部署。其中,省局有四台服务器,分别为主管理/备认证服务器、主数据库/备管理服务器、主认证服务器、审计数据库服务器,leagview管理系统主备、radius认证通过热备,数据库采用镜像技术,能够能好的实现故障切换;市局服务器有三台,分别为主管理服务器/备认证、主数据库服务器、主认证/备管理服务器,leagview管理系统主备、radius认证通过热备,数据库采用镜像技术;县局服务器有一台,用作认证服务器,同时用市局认证服务器作备份,也能实现radius认证的热备。
桌面安全管理部署情况:
1.安全策略部署
通过Leagview系统可以实现多方面的安全策略的下发和管理。主要包括:主机漏洞检查、主机进程安全检测、防病毒软件策略、windows本地安全策略、非授权外连策略、打印机检查等。
2.启用准入控制功能
采用leagview内置用户名和密码进行认证,内置用户名和密码采用山东税务大统一系统的工号与密码,对于没有安装客户端以及认证用户名和密码不正确的不允许接入内部网络,同时还需检查是否安装杀毒软件,也拒绝接入内部网络;对于外来人员,需要联系当地信息信息管理员,确认身份后手工copy助手安装程序,安装助手分配临时账户方能接入网络。
3.启用新设备接入事件
对于第一次接入的设备,系统可以在发现并通知给管理员。
4.启用hub接入事件
配置接口下mac地址大于2的为hub接入事件,并告警通知给管理员。
5.启用配置变更策略
采集安装有助手的桌面终端软/硬件信息,对于硬件(内存、光驱)发现变更的记录并及时通知给管理员。
6.启用主机漏洞检查
检查桌面终端是否有弱口令、屏保密码、共享目录、安装最新的补丁,提示桌面用户和管理员。
7.防病毒软件策略
检查客户端是否安装了病毒软件名称symantec以及病毒库允许的最大延迟15天数,并告警通知相关管理员。
8.启用非授权外连策略
禁止使用U盘、双网卡、红/蓝牙、无线modem、GPRS/CDMA无线网卡 。
9.启用打印机检查策略
对特殊部门个别开启打印机检查,对所有该机器进行打印的文档进行审计。
10.微软补丁包的下载
自动为每个终端下发并安装软件补丁包。
11.准入控制的部署
准入控制系统采用802.1x准入控制技术,对于没有安装助手的客户端,首先是拒绝接入网络。需通知管理员确认省份,然后copy客户端助手并安装,输入管理员分配的用户名和密码认证成功方能接入网络,加强了对接入用户的可控性;对于安装助手的客户端,必须有合法的用户名和密码,认证成功允许接入网络。
山东税务由省局、市局、区县局、所四级网络构成,支持802.1x交换机有H3C、huawei、cisco、3com、迈普、锐捷等交换机以及其它少数不支持802.1x认证的交换机。在实施准备之前,对山东税务全网交换机进行摸底,对于不支持802.1x认证的交换机或交换机IOS进行更换和升级。对全网进行网络改造,如配置交换机管理地址,交换机到radius认证服务器可达等,使其符合网络准入控制的条件,对于3COM等不支持mac认证的交换机,下接hub须转移使其支持802.1x准入认证。
-
山东税务以5年来对桌面安全系统认识的积累,通过对各个厂家桌面安全管理系统的深入的考察。在技术测试过程中,联软LeagView安全运维管理系统得到了充分验证和肯定,在国内外17家产品中脱颖而出,最终山东省税务选择了联软科技来完成此项目建设。
通过部署leagview,能够解决以下问题:
1.外来电脑不能接入地税内部网络,如需要接入,需获得系统管理员许可。
2.内网机器不允许通过任何途径访问外网,对非法外连行为需要阻止和告警。
3.解决对桌面终端的安全管理,能够根据需要添加进程、软\硬件的黑白名单。
4.能够统计全网桌面终端的软\硬件信息,并对软\硬件信息实时发现并告警。
5.内网补丁的自动下发与安装,及时的为桌面终端系统打上补丁。
6.内网计算机的漏洞扫描与安全防护,特别是对弱口令、屏保密码、共享目录检查,提醒员工及时修补漏洞,以及对一些常见木马病毒的防护。
7. 能够快速定位出内网故障以及违规行为,并告警通知相关管理人员。
综上所述,山东税务部署上联软leagview安全运维管理系统,能够很好巩固内网系统的安全,完善税务系统信息化的建设