遼寧省地稅系統(tǒng)的信息化建設(shè),在全國(guó)率先實(shí)現(xiàn)了省局、市局、縣(分)局和中心稅務(wù)所四級(jí)地稅機(jī)關(guān)的廣域網(wǎng)聯(lián)通。各基層征收局運(yùn)行統(tǒng)一的征管軟件,對(duì)加強(qiáng)會(huì)計(jì)核算、強(qiáng)化征繳、監(jiān)控稅源起到了積極的作用。
按照國(guó)家稅務(wù)總局金稅工程(三期)的技術(shù)標(biāo)準(zhǔn),遼寧省地方稅務(wù)局完成了“省級(jí)大集中”的稅收業(yè)務(wù)管理系統(tǒng)的建設(shè),并在遼寧地稅系統(tǒng)全面運(yùn)行。現(xiàn)在全系統(tǒng)有一萬多臺(tái)終端設(shè)備在網(wǎng)絡(luò)上處理業(yè)務(wù),為了保證系統(tǒng)的安全,啟動(dòng)了桌面安全防護(hù)系統(tǒng)項(xiàng)目。
安全防護(hù)系統(tǒng)需求
“金稅三期”網(wǎng)絡(luò)劃分為骨干網(wǎng)和接入網(wǎng),在骨干網(wǎng)建設(shè)中,已包括了市網(wǎng)的市級(jí)核心網(wǎng)絡(luò),接入網(wǎng)是建設(shè)地稅系統(tǒng)市以下接入網(wǎng)絡(luò),建設(shè)范圍包括市地稅至區(qū)縣地稅、區(qū)縣地稅至稅務(wù)分局(所)的網(wǎng)絡(luò)建設(shè),分為廣域網(wǎng)、局域網(wǎng)建設(shè)以及網(wǎng)絡(luò)管理。全省已建成的市級(jí)地稅局13個(gè)(不含大連),區(qū)縣市級(jí)地稅局134個(gè),接入終端業(yè)務(wù)處理設(shè)備一萬多臺(tái)。
目前網(wǎng)絡(luò)中存在的典型問題歸納總結(jié)為以下幾大類:
(1)終端經(jīng)常受到病毒和蠕蟲的威脅,存在安全隱患,由此觸發(fā)一系列問題擴(kuò)散全網(wǎng),導(dǎo)致全網(wǎng)癱瘓、核心數(shù)據(jù)時(shí)刻受到安全威脅,一旦被攻擊,將造成無法挽回的損失;
(2)防護(hù)策略趕不上攻擊方式的更新,被動(dòng)式防御已不適應(yīng)企業(yè)的發(fā)展,主動(dòng)式保護(hù)的安全戰(zhàn)略勢(shì)在必行;
(3)網(wǎng)絡(luò)采用分散管理模式,終端難以保證其安全狀態(tài)符合企業(yè)安全策略,例如新的補(bǔ)丁發(fā)布了卻無人理會(huì)、新的病毒出現(xiàn)了卻不及時(shí)升級(jí)病毒庫(kù)的現(xiàn)象普遍存在,無法有效地從網(wǎng)絡(luò)接入點(diǎn)進(jìn)行安全防范,導(dǎo)致網(wǎng)絡(luò)接入層面管理失控。
為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足,應(yīng)對(duì)網(wǎng)絡(luò)安全威脅,遼寧地稅啟動(dòng)了桌面安全防護(hù)系統(tǒng)建設(shè)項(xiàng)目。
組網(wǎng)方案
關(guān)注用戶需求,解決困擾用戶的難題,H3C EAD責(zé)無旁貸,也是H3C EAD的優(yōu)勢(shì)所在,H3C EAD通過準(zhǔn)入認(rèn)證、安全檢查、權(quán)限控制、在線審計(jì)、在線防御、桌面資產(chǎn)管理等功能確保遼寧省地方稅務(wù)局系統(tǒng)終端的安全。
接入層準(zhǔn)入控制網(wǎng)關(guān)與EAD客戶端配合,強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過802.1X方式進(jìn)行身份認(rèn)證和接入終端安全狀態(tài)評(píng)估,確保終端病毒庫(kù)和系統(tǒng)補(bǔ)丁得到及時(shí)更新,降低病毒和蠕蟲蔓延的風(fēng)險(xiǎn),阻止來自網(wǎng)絡(luò)內(nèi)部的安全威脅。
準(zhǔn)入控制網(wǎng)關(guān)從源頭上將不符合安全要求的終端限制在“隔離區(qū)”內(nèi),防止 “危險(xiǎn)”終端對(duì)局域網(wǎng)安全的損害,大幅度提升局域網(wǎng)抵御新興安全威脅的能力。
在省局核心部署了兩臺(tái)EAD服務(wù)器進(jìn)行雙機(jī)熱備,群集管理軟件對(duì)兩臺(tái)計(jì)算機(jī)進(jìn)行群集管理,同時(shí),為了對(duì)數(shù)據(jù)進(jìn)行有效的保護(hù),采用磁盤陣列存儲(chǔ)應(yīng)用和數(shù)據(jù)庫(kù)的數(shù)據(jù),兩臺(tái)互為備份的計(jì)算機(jī)可以共享一個(gè)磁盤空間,以防止或避免單點(diǎn)故障對(duì)系統(tǒng)運(yùn)行造成的影響,一旦一臺(tái)計(jì)算機(jī)出現(xiàn)問題,則可以快速通過另一臺(tái)計(jì)算機(jī)接管所有的數(shù)據(jù)報(bào)文的處理。
解決的用戶難題
H3C EAD解決了如下用戶難題:
- 雙機(jī)備份
EAD解決方案提供了雙機(jī)備份功能,可以避免單臺(tái)EAD服務(wù)器當(dāng)機(jī)引起的認(rèn)證中斷,保證地稅網(wǎng)絡(luò)的高可靠性。
- 全方位準(zhǔn)入控制
EAD解決方案提供完善的接入控制,可以支持局域網(wǎng)、廣域網(wǎng)、VPN、無線各種接入方式,支持包括HUB在內(nèi)的各種復(fù)雜網(wǎng)絡(luò)、異構(gòu)網(wǎng)絡(luò)環(huán)境下的部署,保證從任何地點(diǎn)、任何方式下的接入安全。
- 全方位身份檢查
EAD解決方案不僅支持用戶名/密碼認(rèn)證、證書認(rèn)證、USB key認(rèn)證和Windows域統(tǒng)一認(rèn)證,還支持用戶身份與硬件的綁定,包括與終端MAC、IP、交換機(jī)IP、端口、VLAN的綁定,具備不可抵賴性。
- 人性化的管理方式
EAD方案可以支持多種安全模式,可以基于不同的對(duì)象采用不同模式,比如對(duì)領(lǐng)導(dǎo)使用VIP模式,對(duì)普通員工采用隔離模式,對(duì)外來訪客采用Guest模式等等。
- 桌面資產(chǎn)管理
EAD解決方案提供了對(duì)終端資產(chǎn)全方位的監(jiān)控和管理的功能,可以對(duì)終端軟硬件使用情況、變更情況進(jìn)行監(jiān)控,同時(shí)還支持終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā)、USB端口使用情況監(jiān)控,實(shí)現(xiàn)對(duì)資產(chǎn)的有效管理。
- U盤及外設(shè)管理
EAD解決方案提供了對(duì)U盤和其他外設(shè)的管理功能,可以對(duì)終端用戶的外設(shè)進(jìn)行控制,有效防止重要信息的泄密,同時(shí)提供U盤文件的監(jiān)控功能,可以查看重要文件通過U盤拷貝時(shí),有無存在不當(dāng)使用行為。
