2009年12月,H3C中標全國稅務(wù)系統網(wǎng)絡(luò )安全防護項目,是H3C EAD解決方案在高端行業(yè)的又一次應用,也是截至目前業(yè)界在國內最大規模的終端準入應用。該項目包括國稅總局、南海災備中心、全國31個(gè)省/直轄市、5個(gè)計劃單列市的國稅局和地稅局省局機關(guān),共74套EAD、12萬(wàn)用戶(hù)。
面對這種大規模的網(wǎng)絡(luò ),客戶(hù)希望了解產(chǎn)品功能實(shí)現的每個(gè)細節,通過(guò)第三方測試機構(公安部三所)近兩年嚴格的技術(shù)評估和方案測試,H3C EAD憑借完善的功能特性、廣泛的高端應用案例以及強大的持續開(kāi)發(fā)能力獲得了客戶(hù)的青睞。
管理現狀
在某些稅局,IT運維人員少甚至只有一兩人,對IT系統的管理存在著(zhù)巨大的挑戰:
PC機、服務(wù)器、網(wǎng)絡(luò )、安全、存儲等設備越來(lái)越多,如何有效管理?
正常運行的業(yè)務(wù)突然中斷、網(wǎng)絡(luò )阻塞或遭受外界攻擊,怎么去及時(shí)發(fā)現并控制?
若不經(jīng)授權的計算機都可隨意接入稅務(wù)的局域、廣域網(wǎng)絡(luò ),如何對網(wǎng)絡(luò )接入進(jìn)行有效控制?
如何快捷的對用戶(hù)權限進(jìn)行清晰的劃分?限制超出權限范圍的訪(fǎng)問(wèn)、瀏覽?
接入用戶(hù)濫用不合法軟件,讓網(wǎng)絡(luò )如同敞開(kāi)的大門(mén),那么怎樣從源頭上遏制這種現象?
IT建設需求
- 合法策略驗證 -- 判斷每個(gè)客戶(hù)端是否符合接入管理的合法策略需求; 網(wǎng)絡(luò )訪(fǎng)問(wèn)限制:限制非法客戶(hù)端接入局域網(wǎng),訪(fǎng)問(wèn)信息資源。
- 權限約束 -- 確認客戶(hù)端以及其用戶(hù)的權限,并在其連接網(wǎng)絡(luò )以前建立可信級別,平衡已存在的標準、產(chǎn)品及技術(shù)。
- 行為操作審計 -- 對接入客戶(hù)端的行為與狀態(tài)進(jìn)行監測,對客戶(hù)端上運行的進(jìn)程與安裝的軟件進(jìn)行監測,實(shí)施終端設備的接入控制、IP管理和行為審計分析。
- 評估、隔離及自動(dòng)補救 -- 識別不符合管理策略要求的客戶(hù)端,將不符合管理要求的客戶(hù)端隔離在局域網(wǎng)之外。可對不符合管理要求的客戶(hù)端進(jìn)行重新配置,使其達到準入的管理要求。
解決方案實(shí)施
H3C針對稅務(wù)總局網(wǎng)絡(luò )部署的特點(diǎn),提出了分級管理的解決方案,其部署示意圖所下所示:
為了便于稅務(wù)總局總部的管理員進(jìn)行全國統一的安全策略部署,稅務(wù)總局總部管理員統一制訂基礎策略,而后向省、地市逐層下發(fā)。下級的管理員依據上級EAD服務(wù)器下發(fā)的策略進(jìn)行繼承、自定義等操作,從而制訂滿(mǎn)足本地需要的安全策略。同時(shí),下級的EAD服務(wù)器通過(guò)EAD策略執行信息上報,將相關(guān)的安全日志信息上報給上級的EAD服務(wù)器;上級管理員可以對這些統計數據進(jìn)行查詢(xún)以及匯總,并基于上報的統計數據給出全局的統計報表(如不合格因素分布圖等等)。
除分級管理外,通過(guò)以下功能方案的實(shí)施保障稅務(wù)總局的內網(wǎng)終端安全:
安全評估--終端準入控制EAD提供系統補丁管理、防病毒軟件管理、可控軟件管理以及防ARP/DHCP攻擊。
權限控制--終端準入控制EAD提供靈活的安全級別自定義,基于用戶(hù)(組)的動(dòng)態(tài)權限管理。
行為審計--終端準入控制EAD支持桌面資產(chǎn)管理及變更審計、USB審計、合規報表。
協(xié)助管理--終端準入控制EAD提供網(wǎng)管人員遠程協(xié)助。
高可用性--終端準入控制EAD支持雙機備份、逃生、分級漫游。
基于H3C iMC智能管理架構的EAD解決方案,可以對稅務(wù)總局的每個(gè)終端用戶(hù)進(jìn)行身份認證,并基于用戶(hù)身份及安全狀態(tài)為其靈活設置網(wǎng)絡(luò )訪(fǎng)問(wèn)控制權限。同時(shí)H3C EAD解決方案所采用的擴展、開(kāi)放的結構框架,可以廣泛、深入的和國內外防病毒、操作系統、桌面安全等廠(chǎng)商展開(kāi)合作,全面滿(mǎn)足國稅總局對網(wǎng)絡(luò )安全建設的要求。
