解决方案

天融信终端安全风险管理方案为江苏地税保驾护航

时间:2012-11-15 作者: 来源:
 近年来,税务行业在信息化建设上突飞猛进,信息化服务能力也有了更进一步的提升,在建设逐渐完善的业务系统过程中,伴随而来的是信息的安全、有效、合理的监管问题,怎么管理好与业务系统相伴的安全问题,是关系到整个税务行业信息化建设进一步发展的重要因素。

江苏省地税局作为税务行业信息化建设的领先者之一,近年在安全建设上取得了一系列重大突破,各地市征管系统顺利完成了由地级市集中处理模式向省级集中处理模式的转换。但是随着征管系统的管理机构、工作模式、岗位职责、人员分工等变化,征管系统也面临安全认识不到位、技术手段的管控力度低、信息资料的定密不清、外来人员的监控不力等问题,而基于人工方式对出现的问题和风险进行排查和处置,已无法解决人手少、范围广、事件多的困难局面,更无法适应面对全省征管大集中新形势下的终端安全需要。

针对江苏省地税局所面临的新形式向的终端安全管理需求,天融信公司凭借多年积累的终端安全管理经验,创新性的提出以终端风险为主线,为江苏省地税局建立终端安全管理体系,建设终端安全防护平台和终端安全管理平台,逐步形成具有地税特色的功能成熟并能切实发挥作用的终端安全防护和管理平台,促进业务与安全的协调发展,满足省级大集中后全省信息安全有效管控的需要。

天融信江苏地税终端安全管理平台根据地税实际使用特色出发,从终端安全防护平台、终端安全管理平台、终端安全防护体系三个层面进行架构,如下图所示:
图1  系统三层示意图

终端安全防护平台负责终端信息的采集和维护、终端安全风险的管理和防护、终端安全事件的监测和控制,为管理平台提供所需要的各类数据的采集和传输。实现各类安全事件的“事前防范、事中防御、事后处理”的立体化、流程化防御。是构建综合的、完整的内网终端安全防护体系的基础。

终端安全管理平台在终端安全防护平台提供的数据基础上,提供安全管理人员(系统管理员、安全主管)所需要的管理、监控、风险分析功能,各类管理报表的制作,同时满足省、市、县分布式环境下的行业安全管理要求。是构建完整的终端内网安全管理体系的技术支撑平台。
 
终端安全管理体系由终端安全组织体系、终端安全运作体系、终端安全策略体系和终端安全技术体系构成。其中终端安全技术体系主要由终端安全防护平台和终端安全管理平台构成。
终端安全防护平台是核心组件,是终端安全管理体系的基础部件。

终端安全管理平台在采取集中监控管理的方式,在更高层面上接收来自终端安全防护平台的安全事件和安全风险监测数据,负责对这些事件进行深层的分析,统计和关联,提供处理方法和建议。

防护平台和管理平台采用联合部署的方式,可以通过同机或者双机的方式进行部署,联合实现终端安全风险管理的有效控制。由于江苏地税的行业特性和网络结构,决定了在不同的网络类型上采用不同的部署方式和部署要求。在部署方式上,同机部署适用于小型网络(区县级网络),双机部署适用于中型网络(县市级网络),多级联合部署适用于大型网络(省市级网络),因为不同的网络级别安全性保障要求也不同。

在系统部署方式上可以针对小型网络、中型网络、大型网络所具有的不同特点进行适合于不同网路环境下的综合部署。
Ø  小型网络(县级网络)可以采用同机部署方式,把安全防护平台和安全管理平台部署集成,解决少量终端的网络安全风险管理管控,同时部署补丁服务器。
Ø  中型网络(市级网络)采用多级联合部署方式,防护平台和管理平台分开,数据库服务器独立,针对网络情况选择指定方位部署认证服务器和补丁服务器。
Ø  大型网络(省级网络)兼容其他终端安全管理系统(省局采用北信源终端安全管理系统),汇总下级防护和管理的数据,统一在安全管理平台进行分析、挖掘和统计,最终形成全局的管控。
部署效果如下图所示:
图2:部署效果示意图
江苏省地税终端安全管理体系平台的总体结构如图所示。系统由3个层次组成,包括省局、地市局(园区)和县局(保税区)终端安全防护与安全管理平台。3个层次组成树形结构,从逻辑上看,省局中心节点只有1个,地市局节点共15个(其中包括13个地市局、省局自身管理和苏州园区),县节点共68个(其中包括67个县和1个张家港保税区);各地市局节点连接到省局中心节点,各县节点连接到所属地市局节点(其中张家港保税区连接到苏州地税局节点)。
图3  江苏省地税终端安全防护与管理系统总体部署示意图

江苏地税项目按照终端安全防护平台、终端安全管理平台、终端安全防护体系三层结构模型的建设,达到了终端风险可管、可控,安全状态可视的效果:
Ø  实现内网终端的“全程全网”安全状态可视化:体现在三级机构的内网终端系统相关安全状态信息可以非常直观地可视化监视,安全策略执行情况可感可知,有能力进行事后的分析和追查,提供可以“呈堂”的证据。
Ø  内网终端的安全风险处于可管理、可控制状态下:对内网终端系统安全风险的不间断的评估和控制措施调整,使得全内网终端的整体安全状况和风险情况以定性或半定量的形式及时展现出来。帮助安全管理层和终端安全管理维护人员清晰、准确、及时的了解终端所处的风险状况。
Ø  使全网的安全保障能力处于国内领先地位:在病毒爆发、违规操作以及其它不可预见的威胁出现时,内网终端安全防护和管理系统有能力及时发现,并迅速的进行响应和恢复,保障业务工作的正常运行。
Ø  保证内网终端相关业务活动在网络安全方面的法律法规符合性:规范、管理和审计内网终端安全状态和用户的行为,在整个体系中将建立法律法规符合性审核制度,保证终端系统安全管理工作的有效性,终端系统合法合规的使用。