信息安全服务(终端安全)项目.docxVIP

信息安全服务（终端安全）项目 技术需求 电子税务管理中心 二C一五年七月 第一章 项目基本情况 项目背景 税务系统自 2005 年起，部署实施了瑞星防病毒软件和北信源桌面安全管理系统， 覆盖 了税务系统超过 50万终端计算机， 初步实现了病毒木马防治和计算机资源管理， 但也 存在多个客户端软件运行资源占用较大， 统一管理难度大等问题。 矚慫润厲钐瘗睞枥庑赖賃軔。 为此，税务总局于 2013年 7月起试点实施了基于云的桌面终端安全管理项目， 为终端 提供病毒木马查杀、桌面安全管理、补丁管理、网络准入、移动存储管理等安全防护 能力。截至目前，桌面管理系统软件已定制开发完毕，并在六个试点省国税局（内蒙、 山西、山东、河南、广东、重庆）进行了部署实施，部署终端总数 95000余台。 聞創沟 燴鐺險爱氇谴净祸測。 根据工作安排，税务总局决定启动国税系统其他 30 个单位桌面管理系统的推广实施、 售后服务等工作。 软件概况 税务桌面管理系统为税务系统定制开发软件，通过部署一套安全产品，解决终端的桌 面安全、准入、防毒杀毒等多种安全需求。通过采用 C/S、B/S 混合模式，实现了税务 私有云模式下的两级部署、多级管理。 残骛楼諍锩瀨濟溆塹籟婭骒。 1.2.1系统总体框架 整个系统将由以下 5 个模块组成： 私有云模块 私有云模块为系统核心， 包含云查杀子模块和云存储子模块。 由两个异地互备的计算、 存储平台和各省虚拟化平台组成，主要负责绝大部份终端计算任务的执行（如病毒检 查、恶意代码检查、终端安全性状况的计算等）和绝大部份的存储任务（如云端病毒 库、黑白名单等）。 酽锕极額閉镇桧猪訣锥顧荭。 终端安全模块 终端安全子模块是终端安全的本地程序， 负责终端信息的搜集、 安全策略、 防控任务、 网络准入的本地响应与控制，同时在云计算平台或本地网络出现异常的情况下，负责 临时承担终端安全计算和日志存储的任务， 保证终端系统安全监控的持续性与稳定性。 终端安全模块与私有云模块之间属于计算任务、存储资源的协同合作的关系，共同完 成终端安全任务的目标实现。 彈贸摄尔霁毙攬砖卤庑诒尔。 控制中心 控制中心是整个系统监控、配置、调度、策略任务、分发的中枢核心，是整个系统操 作的入口与监控的中心，控制中心将平台、模块、子模块、终端衔接在一起，协同管 理，保障整个系统的准确运行。 謀荞抟箧飆鐸怼类蒋薔點鉍。 外部接口模块 外部接口模块指可能与本系统发生关系的其他系统。 如统一身份管理系统、网络设备、 统一安全管理平台等。本模块可以向外部系统提供查询接口，包括（不限于）：查询 全网的终端概况信息，如共部署了多少终端、各个终端系统版本、安全软件版本相关 的版本信息等；查询全网终端的安全概况信息，如某一天全网多少台终端活跃，当天 发现了多少病毒/木马、未修复的漏洞、使用了多少流量等；查询全网终端的资产概况 信息；查询特定终端的当天的安全概况信息，如该终端当天发出现了多少个病毒、木马、 未修复的漏洞、不合适的安装配置等。 厦礴恳蹒骈時盡继價骚卺癩。 1.2.2系统部署框架 本系统采用两级部署多级管理的方案，如下图所示： X鞍有云f?蔡蜿私有云（了至统 总曲忡心 X鞍有云f?蔡蜿 私有云（了至统 总曲忡心 1、总局 在北京数据中心和广东数据中心，分别部署私有云模块和控制中心。私有云模块对所 有终端提供云查杀服务。总控中心负责总局数据中心本身终端的管理和各省局控制中 心数据的整体掌握。茕桢广鳓鯡选块网羈泪镀齐。 北京和广东两个数据中心，以主备模式运行。如果主中心出现故障，无法提供服务， 则国税系统的省级控制中心及其下辖终端，切换到广东数据中心；北京数据中心恢复 后，切换之北京数据中心。 鹅娅尽損鹤惨歷茏鴛賴縈诘。 2、省局 在省局统一部署全省终端控制中心，管辖本省的所有终端，为管理员提供终端管理功 3、市局 市局不需要物理部署任何系统，是在省局的控制中心，进行逻辑分组，并把相应的数 据权限和功能权限分配给市局管理员， 由他们负责管理本市下辖的终端。 籟丛妈羥为贍偾蛏 练淨槠挞。 4、县局 县局与市局类似，也不需要部署任何系统，在省局控制中心，为需要的县局，进行单 独的逻辑分组。 1.2.3系统主要功能 系统主要功能包括以下内容： 1、安全状况监测 发现全网内漏洞、木马、插件、系统危险项、安全配置项、未知文件等威胁数量和危 险终端数量，实现安全动态跟踪，支持威胁趋势分析，掌握全网安全漏洞修复情况。 預頌圣鉉儐歲龈讶骅籴買闥。 2、统一杀毒 可对客户端进行快速扫描、全盘扫描和宏病毒扫描，按病毒显示展示扫描后全网存在 的病毒和涉及的终端，可查杀指定或全部病毒，并可按终端设置杀毒引擎。 渗釤呛俨匀谔 鱉调硯錦鋇絨。 3、统一漏洞修复 可对客户端进行统一补丁自动安装、后台安装、安