華三通信iMC智能管理架構(gòu)建設(shè)全國稅務(wù)系統(tǒng)網(wǎng)絡(luò)

　　2009年12月，H3C中標全國稅務(wù)系統(tǒng)網(wǎng)絡(luò)安全防護項目，是H3C EAD解決方案在高端行業(yè)的又一次應(yīng)用，也是截至目前業(yè)界在國內(nèi)最大規(guī)模的終端準入應(yīng)用。該項目包括國稅總局、南海災(zāi)備中心、全國31個省/直轄市、5個計劃單列市的國稅局和地稅局省局機關(guān)，共74套EAD、12萬用戶。

　　面對這種大規(guī)模的網(wǎng)絡(luò)，客戶希望了解產(chǎn)品功能實現(xiàn)的每個細節(jié)，通過第三方測試機構(gòu)（公安部三所）近兩年嚴格的技術(shù)評估和方案測試，H3C EAD憑借完善的功能特性、廣泛的高端應(yīng)用案例以及強大的持續(xù)開發(fā)能力獲得了客戶的青睞。

　　管理現(xiàn)狀

　　在某些稅局，IT運維人員少甚至只有一兩人，對IT系統(tǒng)的管理存在著巨大的挑戰(zhàn)：

　　PC機、服務(wù)器、網(wǎng)絡(luò)、安全、存儲等設(shè)備越來越多，如何有效管理？
　　正常運行的業(yè)務(wù)突然中斷、網(wǎng)絡(luò)阻塞或遭受外界攻擊，怎么去及時發(fā)現(xiàn)并控制？
　　若不經(jīng)授權(quán)的計算機都可隨意接入稅務(wù)的局域、廣域網(wǎng)絡(luò)，如何對網(wǎng)絡(luò)接入進行有效控制？
　　如何快捷的對用戶權(quán)限進行清晰的劃分？限制超出權(quán)限范圍的訪問、瀏覽？
　　接入用戶濫用不合法軟件，讓網(wǎng)絡(luò)如同敞開的大門，那么怎樣從源頭上遏制這種現(xiàn)象？

　　IT建設(shè)需求

• 合法策略驗證 -- 判斷每個客戶端是否符合接入管理的合法策略需求； 網(wǎng)絡(luò)訪問限制：限制非法客戶端接入局域網(wǎng)，訪問信息資源。
• 權(quán)限約束 -- 確認客戶端以及其用戶的權(quán)限，并在其連接網(wǎng)絡(luò)以前建立可信級別，平衡已存在的標準、產(chǎn)品及技術(shù)。
• 行為操作審計 -- 對接入客戶端的行為與狀態(tài)進行監(jiān)測，對客戶端上運行的進程與安裝的軟件進行監(jiān)測，實施終端設(shè)備的接入控制、IP管理和行為審計分析。
• 評估、隔離及自動補救 -- 識別不符合管理策略要求的客戶端，將不符合管理要求的客戶端隔離在局域網(wǎng)之外�？蓪Σ环�合管理要求的客戶端進行重新配置，使其達到準入的管理要求。

　　解決方案實施

　　H3C針對稅務(wù)總局網(wǎng)絡(luò)部署的特點，提出了分級管理的解決方案，其部署示意圖所下所示：

　　為了便于稅務(wù)總局總部的管理員進行全國統(tǒng)一的安全策略部署，稅務(wù)總局總部管理員統(tǒng)一制訂基礎(chǔ)策略，而后向省、地市逐層下發(fā)。下級的管理員依據(jù)上級EAD服務(wù)器下發(fā)的策略進行繼承、自定義等操作，從而制訂滿足本地需要的安全策略。同時，下級的EAD服務(wù)器通過EAD策略執(zhí)行信息上報，將相關(guān)的安全日志信息上報給上級的EAD服務(wù)器；上級管理員可以對這些統(tǒng)計數(shù)據(jù)進行查詢以及匯總，并基于上報的統(tǒng)計數(shù)據(jù)給出全局的統(tǒng)計報表（如不合格因素分布圖等等）。

　　除分級管理外，通過以下功能方案的實施保障稅務(wù)總局的內(nèi)網(wǎng)終端安全：

　　安全評估--終端準入控制EAD提供系統(tǒng)補丁管理、防病毒軟件管理、可控軟件管理以及防ARP/DHCP攻擊。
　　權(quán)限控制--終端準入控制EAD提供靈活的安全級別自定義，基于用戶（組）的動態(tài)權(quán)限管理。
　　行為審計--終端準入控制EAD支持桌面資產(chǎn)管理及變更審計、USB審計、合規(guī)報表。
　　協(xié)助管理--終端準入控制EAD提供網(wǎng)管人員遠程協(xié)助。
　　高可用性--終端準入控制EAD支持雙機備份、逃生、分級漫游。

　　基于H3C iMC智能管理架構(gòu)的EAD解決方案，可以對稅務(wù)總局的每個終端用戶進行身份認證，并基于用戶身份及安全狀態(tài)為其靈活設(shè)置網(wǎng)絡(luò)訪問控制權(quán)限。同時H3C EAD解決方案所采用的擴展、開放的結(jié)構(gòu)框架，可以廣泛、深入的和國內(nèi)外防病毒、操作系統(tǒng)、桌面安全等廠商展開合作，全面滿足國稅總局對網(wǎng)絡(luò)安全建設(shè)的要求。