税务行业整体解决方案_税务_解决方案_广州世安智慧科技有限公司

背景需求

信息安全作为税务信息化建设的重要组成部分，越来越受到税务单位的重视，其中税务工作内网的网络安全及终端安全尤为重要。一旦信息安全无法得到保障，将直接影响税务行业的正常运作以及网上交互办公的有效性、稳定性和高效性，从而大大制约税务行业的深入发展，严重影响税务行业工作的信息化进程。因此，税务内网网络和终端安全必须全面提高信息安全防护能力，创建安全健康的网络环境，维护税务行业形象，促进税务行业的全面发展。

存在问题

身份认证复杂多变

多终端、智能终端的接入、数据的集中管理，使税务业务环境下的管理技术难度加大。

税务数据处理困难

税务行业业务数据量巨大，领导决策需要从不同来源进行税务数据的收集与分析，因此需要提高对税务信息、数据的抓取和分析能力，并且将其可视化呈现，方便税务单位进行管控和处理。掌握了税务数据，才能够掌控税务管理。

涉税数据使用不方便

进入大数据时代，需要技术手段来管控涉税数据(纳税人递交的资质影印数据等)的合理使用，同时防止涉税数据不被非法泄露，要求税务单位既能保障纳税人的敏感数据不被泄露，又能提高工作效率。

数据窃取事件越来越多

在这种形势下，需要共同协作オ能找到事件发生的源头，因此能够准确而完整地审计税务数据泄露行为的产品是迫切需要的，因为安全是无边界的，但数据泄露安全防护是有边界的。

解决方案

世安Octopus安全运维管理平台内网终端安全管理系统网络准入控制系统日志审计系统税务自助数据安全交换系统

世安Octopus安全运维管理平台集成了用户管理、统一认证、运维授权和综合审计等4A基础运维能力，同时整合了运维操作、资产运行、数据安全等多维度监控分析及自动化运维功能，实现对中心机房的网络设备、服务器、数据库、中间件以及应用系统等运维过程中的人、物、事和运维终端进行统一安全管控，降低运维安全风险，防止运维过程数据泄漏，提高运维工作效率。

另外，通过与网络准入控制系统联动，可防止运维人员绕开安全运维管理平台（或堡垒机）直接登录服务器进行运维。

基础运维能力完善
运维人员可以对用户账号进行统一管理，按需授权。管理员在统一入口对资产进行运维管理，进一步简化运维步骤。所有运维操作可实现一键跟踪，保障事后可溯源取证。

多维度运维监控
系统运行时，将对文件进行病毒、涉密及高频下载进行检测；同时，系统会对当前运维操作实时监控，一旦出现异常操作行为进行快速阻止；系统会对网络资产的运行状况进行监控，并自动下发异常工单；针对绕过堡垒机登录情况，系统会进行全面监控，发现网络安全隐患进行及时告警。

自动化运维
通过批量下发、预方案等方式，将人为操作自动化，进一步提高运维效率；系统实时监控资产、站点运行状态，一旦有异常将自动生成故障工单，并通过短信或邮件下发告警信息。系统还增加了密码修改等自动化功能，协助提高运维安全。

内网终端安全管理系统通过终端安全管控、集中保密检查、实时监控与违规告警等技术手段，从计算机数据安全、移动存储介质安全（U盘、光盘、移动硬盘等）、敏感内容监控、违规行为监控等方面入手，为单位构建一个完整的内部网络与计算机安全防护体系。

移动存储介质管控
针对移动存储介质在单位内外网间混用的情况进行管控，防止内部人员误操作及病毒木马通过移动存储介质（U盘等）感染内网的行为，同时对终端计算机的外设端口进行管控，禁止非必要的终端外设端口。在保证移动存储介质原有易用性的同时，防止机密资源外泄。

终端违规外联监控及网络阻断
对税务内网终端计算机非法连接互联网行为进行监管，实时监控税务内网终端计算机通过ADSL、电话线、无线WIFI等各种方式上网行为，按照预设的安全策略对其违规接入互联网行为进行网络阻断与告警，并及时通知系统管理员，杜绝税务内网终端计算机非法外联的可能，保障税务内网的安全。

对终端敏感信息实时监控
实时监控政府单位内网终端的敏感信息（包括对政府单位内网电脑是否存有敏感信息进行检查，另外对敏感信息的创建、修改、复制等操作进行实时的监控，敏感信息与外网的交换行为将形成记录并生成报表），防止发生重大泄密事件。

对终端主机进行实时监控管理
可实时对主机使用状态进行监控，采集主机软硬件信息分析并进行分析，管理员在管理平台可清楚地看到每个部门的终端主机数量及所使用的IP地址。另外对已经在使用的IP地址可进行绑定管理，防止使用人员随意纂改IP，造成网络通信的混乱。

世安网络准入控制系统通过自动化运维技术实时检测入网终端的合规性，对非法入网终端实现自动化隔离和引导；同时具备可视化的网络管理技术，实现终端认证、访问控制和物理定位的一体化管理。

终端自动发现
通过多种技术方式实现终端的自动发现，可以实现终端MAC、终端IP、终端主机、交换机端口等自动识别，对于接入网络的终端情况一目了然，实现入网终端的多元素自定义绑定的效果。

网络资源管理
支持自动绘画网络拓扑，能够识别网络中交换机厂商、型号，并实现交换机面板视图管理、交换机端口列表管理，直观的展示交换机工作状态；支持端口安全功能，可设置端口为多MAC、隔离端口或可信端口等，并能查看该端口下接入终端情况。

用户身份识别
支持多种认证模式，包含静态密码认证、Radius认证、AD域认证、LDAP认证等，并且可以和当前大多数主流认证系统进行结合与联动，从而以最小的代价实现用户入网统一身份认证。

网络安全性检测
针对当前网络中可能存在的风险进行评估，并根据评估结果对终端存在的风险进行修复和加固。包括高危端口检测、木马病毒检查，允许用户根据自身安全特征要求，进行自定义安全项检查。

世安日志审计系统基于ELK大数据架构核心，将信息网络中零散分布的数据日志统一采集和标准化编译，经过规范化、过滤、归并和告警分析等处理，实现对信息系统日志的全面审计，筛选出真实有效的安全事件。帮助用户快速定位网络安全问题，并利用督导工单系统和风险分析相结合，解决信息安全事件难预警、难定位等问题，直观呈现安全建设状态，帮助客户在网络安全方面极简运营。

实时监控，自动化运维
实时监控数据，包括病毒/泄密安全监控、绕行登录合规监控，准确定位异常风险和关键故障，方便运维工程师进行关联分析与攻击分析，从而提高故障处理效率。

智能督导工单，大数据日志审计
全程追踪安全事件处理情况，生成大数据日志，日志内容涵盖主机系统、业务站点、安全设备、网络设备、数据库、配置记录等，方便进行审计。

税务自助数据安全交换系统（税务摆渡机）集病毒扫描/查杀、安全检查（敏感信息）；不运行、不存储、不中毒等多种安全功能为一体。对内外网交换的数据进行病毒木马查杀及敏感内容检测，在降低税务内网病毒感染率的同时，防止内部敏感文件外泄。

文件统一加密存

通过系统上传文件到服务器后，将按照地市、区、营业厅等逐级创建存放目录，文件自动生成唯一前缀，方便管理。

安全合规性检查，不运行、不存储

当文件或数据在网络间交换时，系统可对交换文件进行安全合规性检查，包含病毒木马扫描查杀。系统设有安全机制，确保不运行除系统预置之外的任何程序，保障数据交换的安全。

方案价值

数据传输安全：对网络中传输的数据进行病毒、木马查杀、格式检查，同时系统病毒库自动更新，保障数据安全性检测的快速性、准确性。针对文件数据进行加密并统一存储，提高数据交换安全性。

自动化运维，提高审计效率：支持运维人员批量下发工单，同时支持自动修改密码等功能，大大简化了运维人员工作，降低人为操作失误的概率，提高了运维效率。

多维度运维监控，增强运维安全：方案在堡垒机4A基础运维能力的基础上，整合了资产运行、数据安全、绕行登录等多维度监控分析，针对传统堡垒机存在的安全风险进行了升级加固。

终端介质管理：对税务内网计算机及其存储的信息进行保护、监控数据流动的全过程，使之无法通过介质复制、网络传输等向外传送。对可能造成泄密的网络访问、存储介质拷贝和打印进行全程跟踪审计和访问控制，实现对终端介质的安全管控。

网络可视化：可视化的面板视图管理、交换机端口列表管理，直观的展示该端口下入网终端情况，安全事件发生时，快速定位终端所在网络位置，所属交换机端口等信息一目了然。

符合《网络安全等级保护2.0制度》建设的安全要求，同时也符合税务行业部门的检查要求，为税务行业网络安全保驾护航。

一个完整的内网安全体系，多套系统联动，从终端接入控制、到终端监控审计、违规外联、移动介质管控、可信运维安全等行为，提供完整的终端全方位、多层次的安全管控。