信息安全服务(终端安全)项目.docxVIP

个人整理精品文档，仅供个人学习使用 信息安全服务（终端安全）项目 技术需求 电子税务管理中心 二○一五年七月 1 / 19 个人整理精品文档，仅供个人学习使用 第一章 项目基本情况 1.1 项目背景 税务系统自 2005 年起，部署实施了瑞星防病毒软件和北信源桌面安全管理系统， 覆盖了税务系统超过 50 万终端计算机，初步实现了病毒木马防治和计算机资源管理， 但也存在多个客户端软件运行资源占用较大，统一管理难度大等问题。 为此，税务总局于 2013 年 7 月起试点实施了基于云的桌面终端安全管理项目，为 终端提供病毒木马查杀、桌面安全管理、补丁管理、网络准入、移动存储管理等安全 防护能力。截至目前，桌面管理系统软件已定制开发完毕， 并在六个试点省国税局 （内 蒙、山西、山东、河南、广东、重庆）进行了部署实施，部署终端总数 95000 余台。 根据工作安排， 税务总局决定启动国税系统其他 30 个单位桌面管理系统的推广实 施、售后服务等工作。 1.2 软件概况 税务桌面管理系统为税务系统定制开发软件，通过部署一套安全产品，解决终端 的桌面安全、准入、防毒杀毒等多种安全需求。通过采用 C/S、B/S 混合模式，实现了税务私有云模式下的两级部署、多级管理。 1.2.1 系统总体框架 整个系统将由以下 5 个模块组成： 1.私有云模块 私有云模块为系统核心， 包含云查杀子模块和云存储子模块。 由两个异地互备的计算、存储平台和各省虚拟化平台组成，主要负责绝大部份终端计算任务的执行（如病毒检查、 恶意代码检查、终端安全性状况的计算等）和绝大部份的存储任务（如云端病毒库、黑白名单等）。 2.终端安全模块 终端安全子模块是终端安全的本地程序， 负责终端信息的搜集、 安全策略、防控任务、 网络准入的本地响应与控制， 同时在云计算平台或本地网络出现异常的情况下， 负责临时 2 / 19 个人整理精品文档，仅供个人学习使用 承担终端安全计算和日志存储的任务， 保证终端系统安全监控的持续性与稳定性。 终端安 全模块与私有云模块之间属于计算任务、 存储资源的协同合作的关系， 共同完成终端安全 任务的目标实现。 3.控制中心 控制中心是整个系统监控、配置、调度、策略任务、分发的中枢核心，是整个系统操 作的入口与监控的中心，控制中心将平台、模块、子模块、终端衔接在一起，协同管理， 保障整个系统的准确运行。 4.外部接口模块 外部接口模块指可能与本系统发生关系的其他系统。 如统一身份管理系统、 网络设备、 统一安全管理平台等。本模块可以向外部系统提供查询接口，包括（不限于）：查询全网 的终端概况信息，如共部署了多少终端、各个终端系统版本、安全软件版本相关的版本信 息等；查询全网终端的安全概况信息，如某一天全网多少台终端活跃，当天发现了多少病 /木马、未修复的漏洞、使用了多少流量等；查询全网终端的资产概况信息；查询特定终端的当天的安全概况信息 ,如该终端当天发出现了多少个病毒、木马、未修复的漏洞、不合适的安装配置等。 1.2.2 系统部署框架 本系统采用两级部署多级管理的方案，如下图所示： 3 / 19 个人整理精品文档，仅供个人学习使用 1、总局 在北京数据中心和广东数据中心， 分别部署私有云模块和控制中心。 私有云模块对所 有终端提供云查杀服务。 总控中心负责总局数据中心本身终端的管理和各省局控制中心数 据的整体掌握。 北京和广东两个数据中心，以主备模式运行。如果主中心出现故障，无法提供服务， 则国税系统的省级控制中心及其下辖终端，切换到广东数据中心；北京数据中心恢复后， 切换之北京数据中心。 2、 省局 在省局统一部署全省终端控制中心， 管辖本省的所有终端， 为管理员提供终端管理功 能。 3、 市局 市局不需要物理部署任何系统， 是在省局的控制中心， 进行逻辑分组， 并把相应的数 据权限和功能权限分配给市局管理员，由他们负责管理本市下辖的终端。 4 / 19 个人整理精品文档，仅供个人学习使用 4、 县局 县局与市局类似，也不需要部署任何系统，在省局控制中心，为需要的县局，进行单 独的逻辑分组。 1.2.3 系统主要功能 系统主要功能包括以下内容： 1、安全状况监测 发现全网内漏洞、木马、插件、系统危险项、安全配置项、未知文件等威胁数量 和危险终端数量，实现安全动态跟踪，支持威胁趋势分析，掌握全网安全漏洞修复情 况。 2、统一杀毒 可对客户端进行快速扫描、全盘扫描和宏病毒扫描，按病毒显示展示扫描后全网 存在的病毒和涉及的终端，可查杀指定或全部病毒，并可按终端设置杀毒引擎。 3、统一漏洞修复 可对客户端进行统一补丁自动安装、后台安装、安装完成提示等漏洞修复功能。 4、网络准入 按照终端合规性要求可防止未安装桌面管理系统的终端、存在安全问题的终端、 或者