業務需求

山東省稅務局由省局機關、17個市局、150個區縣局和1000多個基層分局構成，機構采用廣域網連接。其中，省到市級廣域網帶寬為10M，市到縣級為10M，縣到基層分局為2M。全系統內網安裝約2萬臺桌面終端（其中省局機關約300臺，每個市局機關不超過150臺，每個縣局機關不超過100臺，每個基層分局不超過10臺）。此外，全系統約有近2千多臺網絡設備（包括路由器和交換機，其中絕大多數交換機是可網管交換機），在全國稅務系統信息化建設中很具有代表性。

山東稅務局信息化建設在全國稅務局中意識比較超前，早在2003年就開始接觸桌面安全系統，在經過這幾年的摸索中，已經逐步形成一套完整的桌面安全管理系統的需求。加上山東稅務“大統一”信息化部署的推動以及國家安全監察局對涉密機構和部門信息化安全的重視，急需一套能夠管理全系統2萬多臺客戶端以及2千余臺網絡設備的系統；能夠加強對內網中所有客戶端計算機的管理監控力度，最大限度的保障整個內網邊界的清晰和安全，嚴防各類不安全因素進入內網，將安全隱患和安全威脅發現并消除在初始萌芽狀。

面臨挑戰

在這個龐大的內部網絡系統中，信息化管理的也面臨如下問題：

（1）內部網絡龐大，管理難度高。山東稅務系統中桌面終端共有2萬多臺，1千多個基層分局遍布山東省，這樣一個龐大的內部網絡，網絡管理員也達到1000-2000個，缺少一套合理、有效的桌面安全管理系統。
（2）網絡安全接入得不到控制，缺乏有效的技術手段控制外部中斷的接入。
（3）缺乏非法外連行為的阻斷與報警的能力，對于省局命令禁止行為如內外網互連行為、存儲介質內外網互用等問題得不到有效的控制。
（4）桌面安全管理問題，缺乏對內部員工非法進程、非法軟\硬件的控制。
（5）計算機硬/軟件資源統計與告警功能，內部計算機數量龐大，桌面終端的軟\硬件資產完全靠手工維護太過繁瑣，特別是對于一些硬件資產的流失沒有有效的告警手段。
（6）缺乏終端系統補丁下發的手段，內網大部分終端電腦沒能及時自動下載系統補丁。
（7）缺乏計算機終端安全的防護、評估與加固能力。內網員工電腦使用能力不足，對使用電腦的安全保護意識不強，大部分桌面終端都存在安全漏洞，如若口令、屏保密碼、共享目錄等都沒按照要求設置，且內網終端中還存在大量的病毒和木馬，桌面安全得不到有效的保護。
（8）缺乏對故障的定位、告警。在發生網絡故障（交換機故障、線路故障）、人為故障（內部網絡爆發病毒、內外網互聯等），管理員很難在很短時間內定位故障源，加大管理難度。

此外，近些年來，國家對泄密事件的重視，外部人員竊取、內部人員有意/無意的泄密以及存儲設備木馬/病毒的泄密方式，防不勝防，桌面安全管理系統的系統部署是一種信息化安全建設的趨勢。

解決方案

網絡及系統部署概況：


山東稅務的設備主要由H3C、huawei、cisco、邁普、3com和少量的銳捷構成，省局、市局、區縣局、基層分局采用廣域網連接，其中省、市、縣廣域網帶寬為10M，區縣局到基層分局廣域網帶寬為2M。

Leagview系統部署管理采用省市二級部署、認證采用省、市、縣三級部署。其中，省局有四臺服務器，分別為主管理/備認證服務器、主數據庫/備管理服務器、主認證服務器、審計數據庫服務器，leagview管理系統主備、radius認證通過熱備，數據庫采用鏡像技術，能夠能好的實現故障切換；市局服務器有三臺，分別為主管理服務器/備認證、主數據庫服務器、主認證/備管理服務器，leagview管理系統主備、radius認證通過熱備，數據庫采用鏡像技術；縣局服務器有一臺，用作認證服務器，同時用市局認證服務器作備份，也能實現radius認證的熱備。

桌面安全管理部署情況:

1.安全策略部署

通過Leagview系統可以實現多方面的安全策略的下發和管理。主要包括：主機漏洞檢查、主機進程安全檢測、防病毒軟件策略、windows本地安全策略、非授權外連策略、打印機檢查等。

2.啟用準入控制功能

采用leagview內置用戶名和密碼進行認證，內置用戶名和密碼采用山東稅務大統一系統的工號與密碼，對于沒有安裝客戶端以及認證用戶名和密碼不正確的不允許接入內部網絡，同時還需檢查是否安裝殺毒軟件，也拒絕接入內部網絡；對于外來人員，需要聯系當地信息信息管理員，確認身份后手工copy助手安裝程序，安裝助手分配臨時賬戶方能接入網絡。

3.啟用新設備接入事件

對于第一次接入的設備，系統可以在發現并通知給管理員。

4.啟用hub接入事件

配置接口下mac地址大于2的為hub接入事件，并告警通知給管理員。

5.啟用配置變更策略

采集安裝有助手的桌面終端軟/硬件信息，對于硬件（內存、光驅）發現變更的記錄并及時通知給管理員。

6.啟用主機漏洞檢查

檢查桌面終端是否有弱口令、屏保密碼、共享目錄、安裝最新的補丁，提示桌面用戶和管理員。

7.防病毒軟件策略

檢查客戶端是否安裝了病毒軟件名稱symantec以及病毒庫允許的最大延遲15天數，并告警通知相關管理員。

8.啟用非授權外連策略
禁止使用U盤、雙網卡、紅/藍牙、無線modem、GPRS/CDMA無線網卡 。

9.啟用打印機檢查策略
對特殊部門個別開啟打印機檢查，對所有該機器進行打印的文檔進行審計。

10.微軟補丁包的下載

自動為每個終端下發并安裝軟件補丁包。

11.準入控制的部署

準入控制系統采用802.1x準入控制技術，對于沒有安裝助手的客戶端，首先是拒絕接入網絡。需通知管理員確認省份，然后copy客戶端助手并安裝，輸入管理員分配的用戶名和密碼認證成功方能接入網絡，加強了對接入用戶的可控性；對于安裝助手的客戶端，必須有合法的用戶名和密碼，認證成功允許接入網絡。


山東稅務由省局、市局、區縣局、所四級網絡構成，支持802.1x交換機有H3C、huawei、cisco、3com、邁普、銳捷等交換機以及其它少數不支持802.1x認證的交換機。在實施準備之前，對山東稅務全網交換機進行摸底，對于不支持802.1x認證的交換機或交換機IOS進行更換和升級。對全網進行網絡改造，如配置交換機管理地址，交換機到radius認證服務器可達等，使其符合網絡準入控制的條件，對于3COM等不支持mac認證的交換機，下接hub須轉移使其支持802.1x準入認證。

山東稅務以5年來對桌面安全系統認識的積累，通過對各個廠家桌面安全管理系統的深入的考察。在技術測試過程中，聯軟LeagView安全運維管理系統得到了充分驗證和肯定，在國內外17家產品中脫穎而出，最終山東省稅務選擇了聯軟科技來完成此項目建設。

通過部署leagview，能夠解決以下問題：

1.外來電腦不能接入地稅內部網絡，如需要接入，需獲得系統管理員許可。
2.內網機器不允許通過任何途徑訪問外網，對非法外連行為需要阻止和告警。
3.解決對桌面終端的安全管理，能夠根據需要添加進程、軟\硬件的黑白名單。
4.能夠統計全網桌面終端的軟\硬件信息，并對軟\硬件信息實時發現并告警。
5.內網補丁的自動下發與安裝，及時的為桌面終端系統打上補丁。
6.內網計算機的漏洞掃描與安全防護，特別是對弱口令、屏保密碼、共享目錄檢查，提醒員工及時修補漏洞，以及對一些常見木馬病毒的防護。
7. 能夠快速定位出內網故障以及違規行為，并告警通知相關管理人員。

綜上所述，山東稅務部署上聯軟leagview安全運維管理系統，能夠很好鞏固內網系統的安全，完善稅務系統信息化的建設