辽宁省地税系统的信息化建设,在全国率先实现了省局、市局、县(分)局和中心税务所四级地税机关的广域网联通。各基层征收局运行统一的征管软件,对加强会计核算、强化征缴、监控税源起到了积极的作用。
按照国家税务总局金税工程(三期)的技术标准,辽宁省地方税务局完成了“省级大集中”的税收业务管理系统的建设,并在辽宁地税系统全面运行。现在全系统有一万多台终端设备在网络上处理业务,为了保证系统的安全,启动了桌面安全防护系统项目。
安全防护系统需求
“金税三期”网络划分为骨干网和接入网,在骨干网建设中,已包括了市网的市级核心网络,接入网是建设地税系统市以下接入网络,建设范围包括市地税至区县地税、区县地税至税务分局(所)的网络建设,分为广域网、局域网建设以及网络管理。全省已建成的市级地税局13个(不含大连),区县市级地税局134个,接入终端业务处理设备一万多台。
目前网络中存在的典型问题归纳总结为以下几大类:
(1)终端经常受到病毒和蠕虫的威胁,存在安全隐患,由此触发一系列问题扩散全网,导致全网瘫痪、核心数据时刻受到安全威胁,一旦被攻击,将造成无法挽回的损失;
(2)防护策略赶不上攻击方式的更新,被动式防御已不适应企业的发展,主动式保护的安全战略势在必行;
(3)网络采用分散管理模式,终端难以保证其安全状态符合企业安全策略,例如新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在,无法有效地从网络接入点进行安全防范,导致网络接入层面管理失控。
为了解决现有网络安全管理中存在的不足,应对网络安全威胁,辽宁地税启动了桌面安全防护系统建设项目。
组网方案
关注用户需求,解决困扰用户的难题,H3C EAD责无旁贷,也是H3C EAD的优势所在,H3C EAD通过准入认证、安全检查、权限控制、在线审计、在线防御、桌面资产管理等功能确保辽宁省地方税务局系统终端的安全。
接入层准入控制网关与EAD客户端配合,强制用户在接入网络前通过802.1X方式进行身份认证和接入终端安全状态评估,确保终端病毒库和系统补丁得到及时更新,降低病毒和蠕虫蔓延的风险,阻止来自网络内部的安全威胁。
准入控制网关从源头上将不符合安全要求的终端限制在“隔离区”内,防止 “危险”终端对局域网安全的损害,大幅度提升局域网抵御新兴安全威胁的能力。
在省局核心部署了两台EAD服务器进行双机热备,群集管理软件对两台计算机进行群集管理,同时,为了对数据进行有效的保护,采用磁盘阵列存储应用和数据库的数据,两台互为备份的计算机可以共享一个磁盘空间,以防止或避免单点故障对系统运行造成的影响,一旦一台计算机出现问题,则可以快速通过另一台计算机接管所有的数据报文的处理。
解决的用户难题
H3C EAD解决了如下用户难题:
- 双机备份
EAD解决方案提供了双机备份功能,可以避免单台EAD服务器当机引起的认证中断,保证地税网络的高可靠性。
- 全方位准入控制
EAD解决方案提供完善的接入控制,可以支持局域网、广域网、VPN、无线各种接入方式,支持包括HUB在内的各种复杂网络、异构网络环境下的部署,保证从任何地点、任何方式下的接入安全。
- 全方位身份检查
EAD解决方案不仅支持用户名/密码认证、证书认证、USB key认证和Windows域统一认证,还支持用户身份与硬件的绑定,包括与终端MAC、IP、交换机IP、端口、VLAN的绑定,具备不可抵赖性。
- 人性化的管理方式
EAD方案可以支持多种安全模式,可以基于不同的对象采用不同模式,比如对领导使用VIP模式,对普通员工采用隔离模式,对外来访客采用Guest模式等等。
- 桌面资产管理
EAD解决方案提供了对终端资产全方位的监控和管理的功能,可以对终端软硬件使用情况、变更情况进行监控,同时还支持终端资产的配置管理和软件的统一分发、USB端口使用情况监控,实现对资产的有效管理。
- U盘及外设管理
EAD解决方案提供了对U盘和其他外设的管理功能,可以对终端用户的外设进行控制,有效防止重要信息的泄密,同时提供U盘文件的监控功能,可以查看重要文件通过U盘拷贝时,有无存在不当使用行为。
