稅務系統(tǒng)二期網(wǎng)絡及信息安全防護體系建設項目試運行方案

1、稅務系統(tǒng)二期網(wǎng)絡與信息安全防護體系建設項目試運行方案國家稅務總局信息中心二。七年三月目錄第1概述 4第2目的和內(nèi)容 4第3系統(tǒng)運行情況 43.1 安全審計系統(tǒng) 53.1.1 安全審計系統(tǒng)維護 53.1.2 日常故障維護 53.1.3 數(shù)據(jù)備份管理 63.1.4 應急故障處理 63.1.5 安全審計系統(tǒng)試運行每周監(jiān)測記錄內(nèi)容 73.1.6 安全審計系統(tǒng)試運行每月上報內(nèi)容 83.2 局域網(wǎng)桌面安全防護系統(tǒng) 113.2.1 系統(tǒng)基本維護 113.2.2 日常故障維護 123.2.3 客戶端注冊維護 133.2.4 系統(tǒng)安全管理 143.2.5 數(shù)據(jù)備份管理 143.2.6 應急故障處理 143.2.

2、7 桌面安全防護系統(tǒng)試運行每周監(jiān)測記錄內(nèi)容 153.2.8 桌面安全防護系統(tǒng)每月上報內(nèi)容 16第4系統(tǒng)試運行報告 194.1 安全審計系統(tǒng)試運行報告 204.2 局域網(wǎng)桌面安全防護系統(tǒng)試運行報告 22第 1章 概述稅務系統(tǒng)二期網(wǎng)絡與信息安全防護體系建設項目集成安裝結束后，系統(tǒng)將進入試運行階段。在此階段，整個系統(tǒng)已安裝調試完成，所要求的功能已通過初驗。為確保系統(tǒng)穩(wěn)定、高效地運行，降低可能存在的故障和隱患，我們計劃通過試運行階段來發(fā)現(xiàn)問題、解決問題。第 2章 目的和內(nèi)容試運行的目的是熟悉系統(tǒng)的各項功能操作，同時對系統(tǒng)的可靠性與穩(wěn)定性進行驗證。在產(chǎn)品試運行階段，總集成商聯(lián)合廠商負責產(chǎn)品的技術支持工作

3、，對可能出現(xiàn)的問題及時響應，搜集試運行過程中產(chǎn)生的各種運行報表和狀況評價表，作為驗收材料。試運行的主要任務包括：1. 檢驗系統(tǒng)在實際應用環(huán)境中的運行狀況，對試運行期間出現(xiàn)的問題進行調整，使系統(tǒng)達到設計要求的狀態(tài)；2. 檢驗系統(tǒng)的有效性、穩(wěn)定性和可靠性；3. 系統(tǒng)與原有網(wǎng)絡和應用系統(tǒng)之間的磨合；4. 安全防護技術與管理制度之間的磨合。第 3章 系統(tǒng)運行情況在本次工程所實施的兩個安全產(chǎn)品的試運行期間，需要系統(tǒng)維護人員依據(jù)配置維護中所列出的注意事項進行管理。方案中列出了系統(tǒng)試運行期間可能遇到的一些問題，并給出了相應的解決方法。管理人員在對系統(tǒng)進行日常維護的過程中，請按時填寫及上報 “運行監(jiān)測內(nèi)容”表

4、格，以便更好地掌握系統(tǒng)在試運行期間的可靠性、穩(wěn)定性以及出現(xiàn)的問題。3.1 安全審計系統(tǒng) 3.1.1 安全審計系統(tǒng)維護1. 安全審計系統(tǒng)應該指派專人管理、維護，管理員的口令要嚴格保密，不得泄露。2. 審計管理員應定期對服務器和設備日志收集情況進行統(tǒng)計。3. 審計管理員應定期查看日志代理客戶端的系統(tǒng)資源，確認安裝日志代理軟件服務器的運行狀況是否正常。4. 審計管理員應定期查看“比較危險”以上級別的日志，并通過關聯(lián)分析查找與危險事件有關的所有事件，以確定危險發(fā)生的源和目的。5. 審計管理員應定期做報表生成，對報表中的可疑事件進行追蹤。6. 審計管理員應定期檢查和分析安全審計系統(tǒng)的日志，并出具安全運行

5、報告。7. 國家稅務總局審計管理員應定期檢查下屬省局審計中心的在線情況，省局審計管理員應定期檢查下屬地市局審計中心的在線情況。8. 地市局審計中心要定期將“非常危險”事件上傳到省局審計中心，省局審計中心要定期將“非常危險”事件上傳到國家稅務總局審計中心。9. 審計系統(tǒng)管理帳號用戶名：superman ,初始口令為talent,各單位都要 進行口令的更改，更改后要向上級審計管理員報備。3.1.2 日常故障維護1. 審計系統(tǒng)無法登錄，請檢查管理器能否PING 通審計中心，審計服務器是否啟動，管理端口5001 是否一致；2. 上級審計中心無法連接下級審計中心，請檢查 TCP:4000 端口是否開放；

6、3. 審計中心收不到日志代理或設備發(fā)送的日志，先檢查日志收集源和代理策略，再用抓包工具檢查日志代理和設備是否發(fā)送日志；4. 審計報表無法生成，檢查任務調度策略是否正確，確認系統(tǒng)的自動執(zhí)行是否開啟；5. 數(shù)據(jù)庫文件過大，進行日志備份的同時進行數(shù)據(jù)庫緊縮操作。3.1.3 數(shù)據(jù)備份管理1. 審計系統(tǒng)安裝后要先進行完全備份。2. 審計系統(tǒng)運行期間，要每月 28 日凌晨做一次增量備份，備份的同時要清除 30 天之前的日志，防止數(shù)據(jù)庫文件無限增大。所有增量備份數(shù)據(jù)在恢復時都要讀取完全備份文件，所以完全備份文件一定要保存好。3. 審計管理員應定期將備份的數(shù)據(jù)導入到指定的備份機或刻盤存儲。4. Sqlserv

7、er 數(shù)據(jù)庫事物日志比較大，在安裝數(shù)據(jù)庫后要減少事務日志的存儲量。5. 審計系統(tǒng)默認日志存儲空間為2G， 達到 2G 時將不再記錄日志，審計系統(tǒng)安裝后要將日志存儲空間的峰值改為10G 。3.1.4 應急故障處理試運行期間審計系統(tǒng)出現(xiàn)問題，可以按以下方法解決：1 . 電話解決故障發(fā)生時，可直接撥打天融信的免費服務電話8008105119，或撥打以下電話解決序號姓名聯(lián)系方式1朱宏清139109203702劉勇135219537892 .現(xiàn)場解決不能遠程解決的故障24小時內(nèi)（異地事件處理72小時內(nèi)）天融信工程師應 到達現(xiàn)場處理。3 .問題提交處理無法現(xiàn)場解決的問題，上報總局信息中心安全處。3.1.5

8、 安全審計系統(tǒng)試運行每周監(jiān)測記錄內(nèi)容該表格每周填寫一次填表時間：年 月 日填表人：維護內(nèi)容說明狀態(tài)（正常/異 常）1、審計系統(tǒng)管理用戶名、口令登錄審計 服務器正常登錄系統(tǒng)2、日志查詢根據(jù)源、目的、時間等 進行日志查詢可以在“日志查詢”中的查 詢條件中輸入源IP、時間范 圍等條件進行查詢；3、根據(jù)日志風險級 別進行查詢對查詢中的風險日志進 行查詢可以在查詢條件中根據(jù)日志 的危險級別進行查詢，如查 詢條件為：“無危險”的日志；4、設備監(jiān)控安全審計系統(tǒng)監(jiān)視、日 志代理系統(tǒng)狀態(tài)監(jiān)控可以在“實時監(jiān)視”一“日 志代理信息監(jiān)視”、“安全審 計系統(tǒng)監(jiān)控”中查看代理和 審計服務器的運行情況；5、日志增里備份日志

9、增量備份在“任務調度”中定義日志 完全備份策略，在審計服務 器的備份路徑卜可以看到生 成的.FBK文件；6、歷史數(shù)據(jù)查有查看某一時間段的歷史 數(shù)據(jù)庫在“工具”一“歷史數(shù)據(jù)庫 管理”中選擇某一時間段的 歷史數(shù)據(jù)庫文件，進行“激 活”和“切換”后，再進行 歷史數(shù)據(jù)庫查看；7、日志備份文件保 存將備份日志保存到備份 機或刻盤存儲在審計服務器的備份路徑下 生成的備份文件存到備份機 或刻盤存儲；8、報表生成、輸出報表生成在“任務調度”中定義報表 策略，在審計服務器的任務 報表瀏覽中查看生成的報表 文件；異常問題登記解決方法3.1.6 安全審計系統(tǒng)試運行每月上報內(nèi)容在系統(tǒng)試運行期間，要求各地市國稅局于每月

10、5日前向省國稅局提交上月信息，各省國稅局匯總地市信息后于每月 10日前向國家稅務總局提交上月信息； 各省地稅局于每月10日前向國家稅務總局提交上月信息。地市國稅局上報信息單位名稱上報時間報警信息內(nèi)容數(shù)量備注審計源數(shù)量Windows 代理Linux/unix 服務器網(wǎng)絡產(chǎn)品安全產(chǎn)品SNMP日志源通用日志源合計：報警事件非常危險事件比較危險事件一般危險事件低危險事件合計：審計源異常（無異常不填寫）系統(tǒng)故障（無異常不填寫，有故障請詳細描述）省國稅局匯總上報信息單位名稱上報時間報警信息內(nèi)容數(shù)量備注審計源數(shù)量Windows 代理Linux/unix 服務器網(wǎng)絡產(chǎn)品安全產(chǎn)品SNMP日志源通用日志源合計：報

11、警事件非常危險事件比較危險事件一般危險事件低危險事件合計：審計源異常（無異常不填寫）下級審計系統(tǒng)異常（無異常不填寫）系統(tǒng)故障（無異常不填寫，有故障請詳細描述）省地稅局上報信息單位名稱上報時間報警信息內(nèi)容數(shù)量備注審計源數(shù)量Windows 代理Linux/unix 服務器網(wǎng)絡產(chǎn)品安全產(chǎn)品SNMP日志源通用日志源合計：報警事件非常危險事件比較危險事件一般危險事件低危險事件合計：審計源異常（無異常不填寫）系統(tǒng)故障（無異常不填寫，有故障請詳細描述）3.2局域網(wǎng)桌面安全防護系統(tǒng)3.2.1 系統(tǒng)基本維護1 .每日查看系統(tǒng)事件，檢查是否存在異常的系統(tǒng)安全事件，設定報警策略 以保證對違規(guī)行為能夠及時發(fā)現(xiàn)和處理。

12、2 .進行設備資產(chǎn)信息查詢，查看網(wǎng)絡終端資產(chǎn)狀況，并對異常設備進行控 制。3 .定期檢查系統(tǒng)管理內(nèi)容，確定沒有異常系統(tǒng)管理用戶和保證每個用戶的 權限合法正常。4 .定期察看系統(tǒng)策略下發(fā)執(zhí)行狀況和報警信息，及時進行策略修訂，按網(wǎng) 絡情況調整策略內(nèi)容及策略下發(fā)區(qū)域。5 .系統(tǒng)多用戶管理過程中administrator管理員應該對普通權限管理員進行 授權，但禁止擁有制訂安全策略權限。6 .定期檢查系統(tǒng)數(shù)據(jù)庫，定期進行數(shù)據(jù)備份，并對報警信息進行刪除和整7 . 定期查看系統(tǒng)組件運行狀態(tài)，檢查區(qū)域管理器（掃描模塊）、網(wǎng)頁管理平臺是否能夠正常運行。8 . 管理員應定期檢查區(qū)域管理器是否正常啟動，確保級聯(lián)數(shù)據(jù)

13、接受端口TCP2388 和報警數(shù)據(jù)端口TCP2399 正常開啟。9 . 管理員定期對管理器的管理范圍及掃描范圍進行檢查，以便對新增設備及時管理。3.2.2 日常故障維護1. 桌面安全防護web 管理平臺無法登錄，請檢查IIS 服務是否正常開啟，后臺數(shù)據(jù)庫SQLserver 是否正常運行，在操作系統(tǒng)管理工具服務中確認上述應用服務正常啟動。2. 下級桌面安全防護服務器無法正常連接上級服務器，請檢查上下級之間防火墻 TCP:2388/2399 端口是否開放，并檢查下級桌面安全防護服務器級聯(lián)管理配置是否正確。3. 區(qū)域管理器收不到客戶端主機駐留程序報送的信息，請檢查客戶端主機是否安裝個人版防火墻，同時

14、， 確認客戶端主機TCP:22105 端口沒有被其它程序占用。4. 客戶端注冊的時候提示“缺省注冊成功”， 首先確認區(qū)域管理器是否啟動；其次確認注冊程序包中的注冊IP 地址是否修改（解決辦法：在配置管理一注冊程序配置中修改“注冊區(qū)域管理器ip;保存修改并重新進行打包注冊程序）； 最后確認是否是該計算機與桌面安全防護系統(tǒng)服務器的通訊檢查故障原因（可以從該計算機TELNET 服務器的TCp:88 端口，如果不能連接，可能是網(wǎng)絡問題）并解決。5. WEB 管理平臺帳號密碼未被更改，但是從個別計算機上登錄WEB 平臺時卻提示密碼錯誤，而其它計算機卻能夠正常訪問，這種情況一般都是IE 緩存導致的，可以首

15、先關閉所有的IE 窗口，然后按如下順序操作：右擊桌面的IE 圖標-屬性-常規(guī)-刪除文件 -刪除所有脫機內(nèi)容-確定-設置-每次訪問此頁時檢查。6. 網(wǎng)絡中掃描器掃描到的計算機數(shù)少于實際存在的計算機數(shù)，原因在于部分計算機安裝了個人防火墻（其規(guī)則可能設置為不允許PING） ，導致掃描器無法掃到該計算機，從而使計算機總數(shù)下降。對于這種情況，只需要將策略中心中的終端代理掃描策略開啟即可。3.2.3 客戶端注冊維護1. web 自動彈出注冊過程中如果WinXP 操作系統(tǒng)設備為安裝了SP2 補丁，攔截了注冊彈出窗口，需將其設置成允許彈出窗口。2. 若設備桌面安裝了3721 助手或 google 工具欄等攔截

16、工具，需將攔截工具暫時關閉。3. 若客戶端的IP 地址不在區(qū)域管理的范圍內(nèi)，管理員需在區(qū)域上添加IP范圍。4. 當客戶端設備離開網(wǎng)絡注銷系統(tǒng)管理控制時，需要由管理員在數(shù)據(jù)庫中對該設備進行刪除，同時用專門的卸載工具刪除設備本機駐留程序。3.2.4 系統(tǒng)安全管理1. 系統(tǒng)管理員administrator 和審計員Audit 由不同的人員擔任，有專門的人員擔任系統(tǒng)審計員角色，對系統(tǒng)管理員administrator 的登錄和行為操作進行審計。2. 系統(tǒng) Audit 管理員應定期對系統(tǒng)各級管理員的登錄狀況、策略設計狀況 以及其他操作日志進行審核。3. 系統(tǒng)管理員應對交換機、路由器、服務器等其它設備，在控

17、制臺中將其 設置為保護狀態(tài)。4. 系統(tǒng)管理員應確保桌面安全防護系統(tǒng)服務器安裝殺毒軟件并及時升級，同時配置本服務器網(wǎng)絡通訊tcp 端口打開：80， 88，22105， 22106、2388， 2399。3.2.5 數(shù)據(jù)備份管理1. 系統(tǒng)管理員應定期或在重新安裝系統(tǒng)前對數(shù)據(jù)庫進行備份，備份前需停止 SQL 系統(tǒng)的運行，然后將SQL 服務器安裝目錄下Data 目錄中的VRVEIS.ldf 和 VRVEIS.mdf 兩個文件進行備份。2. 在重新安裝完本系統(tǒng)之后，只需在 SQL 停止運行的情況下，將備份文件VRVEIS.ldf 和 VRVEIS.mdf 拷貝回上述目錄覆蓋原文件，然后重新啟動SQL 即

18、可。3.2.6 應急故障處理試運行期間桌面安全防護系統(tǒng)出現(xiàn)問題，可以按以下方法解決：1.電話解決故障發(fā)生時，可以直接撥打北信源公司技術服務電6/7 ,或撥打項目組技術服務人員電話解決。序號姓名聯(lián)系方式1彭江波133668581202王鵬飛133667128022.遠程協(xié)助解決不能電話解決的，由北信源公司駐稅務總局技術人員通過遠程協(xié)助方式 解決。3 .現(xiàn)場解決不能遠程解決的故障24小時內(nèi)（異地事件處理72小時內(nèi)）北信源工程 師應到達現(xiàn)場處理。4 .問題提交處理無法現(xiàn)場解決的問題，上報總局信息中心安全處。3.2.7 桌面安全防護系統(tǒng)試運行每周監(jiān)測記錄內(nèi)容該表格每周填寫一

19、次填表時間：年 月 日填表人：維護內(nèi)容狀態(tài)描述說明1、系統(tǒng)組件 運行狀況能否止常登錄Web控制 臺，進行管理操作狀態(tài)正常填寫“正常”，出現(xiàn) 故障填寫故障現(xiàn)象區(qū)域管理器運行是否止 常狀態(tài)正常填寫“正常”，出現(xiàn) 故障填寫故障現(xiàn)象注冊終端計算機是否有 異常狀態(tài)正常填寫“正?！保霈F(xiàn) 故障填寫故障現(xiàn)象未注冊（老版本）計算 機能否實現(xiàn)自動彈出注 冊提示狀態(tài)正常填寫“正?！保霈F(xiàn) 故障填寫故障現(xiàn)象2、用戶管理Administrator 管理員能否止常進行權限分配狀態(tài)正常填寫“正常”，出現(xiàn) 故障填寫故障現(xiàn)象Audit審計員能否止常 進行審計操作狀態(tài)正常填寫“正常”，出現(xiàn) 故障填寫故障現(xiàn)象3、設備注冊 情況已

20、注冊數(shù)量記錄數(shù)量和狀況應注冊數(shù)量資產(chǎn)交化（是否有）違規(guī)事件（是否有）4、策略應用是否能夠進行策略制訂 與分發(fā)狀態(tài)正常填寫“正?！保霈F(xiàn) 故障填寫故障現(xiàn)象策略分發(fā)與執(zhí)行是否止 常狀態(tài)正常填寫“正?！?，出現(xiàn) 故障填寫故障現(xiàn)象5、數(shù)據(jù)備份備份時注冊客戶端數(shù)僅記錄數(shù)里和文件大小備份文件記錄6、安全事件 報警查詢、統(tǒng) 計報表是否能夠對安全事件進 行正常查詢，并報表輸 出狀態(tài)正常填寫“正常”，出現(xiàn) 故障填寫故障現(xiàn)象7、級聯(lián)管理上級管理服務器系統(tǒng)是 否能夠管理下級管理服 務器，列表所后卜級服 務器省級節(jié)點填寫下級服務器能否止常級 聯(lián)上級服務器地市級節(jié)點填寫記錄人：記錄時間：3.2.8 桌面安全防護系統(tǒng)每月上

21、報內(nèi)容在系統(tǒng)試運行期間，要求各地市國稅局于每月5日前向省國稅局提交上月信 息，各省國稅局匯總地市信息后于每月10日前向國家稅務總局提交上月信息；各省地稅局于每月10日前向國家稅務總局提交上月信息。地市國稅局上報信息單位名稱上報時間報警信息內(nèi)容數(shù)量備注系統(tǒng)設備設備總數(shù)應注冊計算機已注冊計算機注冊率報警事件（報警管理一報警數(shù)據(jù)查詢）阻斷報警非法外聯(lián)設備變化IP綁定變化探頭被卸載流量異常安全審計數(shù)據(jù)（數(shù)據(jù)查詢一一審 計數(shù)據(jù)查詢）移動設備審計上網(wǎng)訪問審計文件輸出文件保護違規(guī)軟件及進程審計安全策略違規(guī)系統(tǒng)故障（無異常不填寫，有故障請詳細描述）省國稅局匯總上報信息單位名稱上報時間報警信息內(nèi)容數(shù)量備注系統(tǒng)設備設備總數(shù)應注冊計算機已注冊計算機注冊率報警事件非法外聯(lián)設備變化IP綁定變化探頭被卸載流量