2009年12月,H3C中标全国税务系统网络安全防护项目,是H3C EAD解决方案在高端行业的又一次应用,也是截至目前业界在国内最大规模的终端准入应用。该项目包括国税总局、南海灾备中心、全国31个省/直辖市、5个计划单列市的国税局和地税局省局机关,共74套EAD、12万用户。
面对这种大规模的网络,客户希望了解产品功能实现的每个细节,通过第三方测试机构(公安部三所)近两年严格的技术评估和方案测试,H3C EAD凭借完善的功能特性、广泛的高端应用案例以及强大的持续开发能力获得了客户的青睐。
管理现状
在某些税局,IT运维人员少甚至只有一两人,对IT系统的管理存在着巨大的挑战:
PC机、服务器、网络、安全、存储等设备越来越多,如何有效管理?
正常运行的业务突然中断、网络阻塞或遭受外界攻击,怎么去及时发现并控制?
若不经授权的计算机都可随意接入税务的局域、广域网络,如何对网络接入进行有效控制?
如何快捷的对用户权限进行清晰的划分?限制超出权限范围的访问、浏览?
接入用户滥用不合法软件,让网络如同敞开的大门,那么怎样从源头上遏制这种现象?
IT建设需求
- 合法策略验证 -- 判断每个客户端是否符合接入管理的合法策略需求; 网络访问限制:限制非法客户端接入局域网,访问信息资源。
- 权限约束 -- 确认客户端以及其用户的权限,并在其连接网络以前建立可信级别,平衡已存在的标准、产品及技术。
- 行为操作审计 -- 对接入客户端的行为与状态进行监测,对客户端上运行的进程与安装的软件进行监测,实施终端设备的接入控制、IP管理和行为审计分析。
- 评估、隔离及自动补救 -- 识别不符合管理策略要求的客户端,将不符合管理要求的客户端隔离在局域网之外。可对不符合管理要求的客户端进行重新配置,使其达到准入的管理要求。
解决方案实施
H3C针对税务总局网络部署的特点,提出了分级管理的解决方案,其部署示意图所下所示:
为了便于税务总局总部的管理员进行全国统一的安全策略部署,税务总局总部管理员统一制订基础策略,而后向省、地市逐层下发。下级的管理员依据上级EAD服务器下发的策略进行继承、自定义等操作,从而制订满足本地需要的安全策略。同时,下级的EAD服务器通过EAD策略执行信息上报,将相关的安全日志信息上报给上级的EAD服务器;上级管理员可以对这些统计数据进行查询以及汇总,并基于上报的统计数据给出全局的统计报表(如不合格因素分布图等等)。
除分级管理外,通过以下功能方案的实施保障税务总局的内网终端安全:
安全评估--终端准入控制EAD提供系统补丁管理、防病毒软件管理、可控软件管理以及防ARP/DHCP攻击。
权限控制--终端准入控制EAD提供灵活的安全级别自定义,基于用户(组)的动态权限管理。
行为审计--终端准入控制EAD支持桌面资产管理及变更审计、USB审计、合规报表。
协助管理--终端准入控制EAD提供网管人员远程协助。
高可用性--终端准入控制EAD支持双机备份、逃生、分级漫游。
基于H3C iMC智能管理架构的EAD解决方案,可以对税务总局的每个终端用户进行身份认证,并基于用户身份及安全状态为其灵活设置网络访问控制权限。同时H3C EAD解决方案所采用的扩展、开放的结构框架,可以广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,全面满足国税总局对网络安全建设的要求。
