1、税务系统二期网络与信息安全防护体系建设项目试运行方案国家税务总局信息中心二七年三月目录第1章 概述3第2章 目的和内容3第3章 系统运行情况33.1 安全审计系统43.1.1 安全审计系统维护43.1.2 日常故障维护43.1.3 数据备份管理53.1.4 应急故障处理53.1.5 安全审计系统试运行每周监测记录内容53.1.6 安全审计系统试运行每月上报内容73.2 局域网桌面安全防护系统93.2.1 系统基本维护93.2.2 日常故障维护103.2.3 客户端注册维护113.2.4 系统安全管理113.2.5 数据备份管理123.2.6 应急故障处理123.2.7 桌面安全防护系统试运行每
2、周监测记录内容133.2.8 桌面安全防护系统每月上报内容14第4章 系统试运行报告174.1安全审计系统试运行报告174.2局域网桌面安全防护系统试运行报告19第1章 概述税务系统二期网络与信息安全防护体系建设项目集成安装结束后,系统将进入试运行阶段。在此阶段,整个系统已安装调试完成,所要求的功能已通过初验。为确保系统稳定、高效地运行,降低可能存在的故障和隐患,我们计划通过试运行阶段来发现问题、解决问题。第2章 目的和内容试运行的目的是熟悉系统的各项功能操作,同时对系统的可靠性与稳定性进行验证。在产品试运行阶段,总集成商联合厂商负责产品的技术支持工作,对可能出现的问题及时响应,搜集试运行过程
3、中产生的各种运行报表和状况评价表,作为验收材料。试运行的主要任务包括:1. 检验系统在实际应用环境中的运行状况,对试运行期间出现的问题进行调整,使系统达到设计要求的状态;2. 检验系统的有效性、稳定性和可靠性;3. 系统与原有网络和应用系统之间的磨合;4. 安全防护技术与管理制度之间的磨合。第3章 系统运行情况在本次工程所实施的两个安全产品的试运行期间,需要系统维护人员依据配置维护中所列出的注意事项进行管理。方案中列出了系统试运行期间可能遇到的一些问题,并给出了相应的解决方法。管理人员在对系统进行日常维护的过程中,请按时填写及上报 “运行监测内容”表格,以便更好地掌握系统在试运行期间的可靠性、
4、稳定性以及出现的问题。3.1 安全审计系统3.1.1 安全审计系统维护1. 安全审计系统应该指派专人管理、维护,管理员的口令要严格保密,不得泄露。2. 审计管理员应定期对服务器和设备日志收集情况进行统计。3. 审计管理员应定期查看日志代理客户端的系统资源,确认安装日志代理软件服务器的运行状况是否正常。4. 审计管理员应定期查看“比较危险”以上级别的日志,并通过关联分析查找与危险事件有关的所有事件,以确定危险发生的源和目的。5. 审计管理员应定期做报表生成,对报表中的可疑事件进行追踪。6. 审计管理员应定期检查和分析安全审计系统的日志,并出具安全运行报告。7. 国家税务总局审计管理员应定期检查下
5、属省局审计中心的在线情况,省局审计管理员应定期检查下属地市局审计中心的在线情况。8. 地市局审计中心要定期将“非常危险”事件上传到省局审计中心,省局审计中心要定期将“非常危险”事件上传到国家税务总局审计中心。9. 审计系统管理帐号用户名:superman,初始口令为talent,各单位都要进行口令的更改,更改后要向上级审计管理员报备。3.1.2 日常故障维护1. 审计系统无法登录,请检查管理器能否PING通审计中心,审计服务器是否启动,管理端口5001是否一致;2. 上级审计中心无法连接下级审计中心,请检查TCP:4000端口是否开放;3. 审计中心收不到日志代理或设备发送的日志,先检查日志收
6、集源和代理策略,再用抓包工具检查日志代理和设备是否发送日志;4. 审计报表无法生成,检查任务调度策略是否正确,确认系统的自动执行是否开启;5. 数据库文件过大,进行日志备份的同时进行数据库紧缩操作。3.1.3 数据备份管理1. 审计系统安装后要先进行完全备份。2. 审计系统运行期间,要每月28日凌晨做一次增量备份,备份的同时要清除30天之前的日志,防止数据库文件无限增大。所有增量备份数据在恢复时都要读取完全备份文件,所以完全备份文件一定要保存好。3. 审计管理员应定期将备份的数据导入到指定的备份机或刻盘存储。4. Sqlserver数据库事物日志比较大,在安装数据库后要减少事务日志的存储量。5
7、. 审计系统默认日志存储空间为2G,达到2G时将不再记录日志,审计系统安装后要将日志存储空间的峰值改为10G。3.1.4 应急故障处理试运行期间审计系统出现问题,可以按以下方法解决:1. 电话解决故障发生时,可直接拨打天融信的免费服务电话8008105119,或拨打以下电话解决。序号姓名联系方式1朱宏清139109203702刘 勇135219537892. 现场解决不能远程解决的故障24小时内(异地事件处理72小时内)天融信工程师应到达现场处理。3. 问题提交处理无法现场解决的问题,上报总局信息中心安全处。3.1.5 安全审计系统试运行每周监测记录内容 该表格每周填写一次填表时间: 年 月
8、日填表人:维护内容说明状态(正常/异常)1、审计系统管理用户名、口令登录审计服务器正常登录系统2、日志查询根据源、目的、时间等进行日志查询可以在“日志查询”中的查询条件中输入源IP、时间范围等条件进行查询;3、根据日志风险级别进行查询对查询中的风险日志进行查询可以在查询条件中根据日志的危险级别进行查询,如查询条件为:“无危险”的日志;4、设备监控安全审计系统监视、日志代理系统状态监控可以在“实时监视”“日志代理信息监视”、“安全审计系统监控”中查看代理和审计服务器的运行情况;5、日志增量备份日志增量备份在“任务调度”中定义日志完全备份策略,在审计服务器的备份路径下可以看到生成的.FBK文件;6
9、、历史数据查看查看某一时间段的历史数据库在“工具”“历史数据库管理”中选择某一时间段的历史数据库文件,进行“激活”和“切换”后,再进行历史数据库查看;7、日志备份文件保存将备份日志保存到备份机或刻盘存储在审计服务器的备份路径下生成的备份文件存到备份机或刻盘存储;8、报表生成、输出报表生成在“任务调度”中定义报表策略,在审计服务器的任务报表浏览中查看生成的报表文件;异常问题登记解决方法3.1.6 安全审计系统试运行每月上报内容在系统试运行期间,要求各地市国税局于每月5日前向省国税局提交上月信息,各省国税局汇总地市信息后于每月10日前向国家税务总局提交上月信息;各省地税局于每月10日前向国家税务总
10、局提交上月信息。地市国税局上报信息单位名称上报时间报警信息内容数量备注审计源数量Windows代理Linux/unix服务器网络产品安全产品SNMP日志源通用日志源合计:报警事件非常危险事件比较危险事件一般危险事件低危险事件 合计:审计源异常(无异常不填写)系统故障(无异常不填写,有故障请详细描述)省国税局汇总上报信息单位名称上报时间报警信息内容数量备注审计源数量Windows代理Linux/unix服务器网络产品安全产品SNMP日志源通用日志源合计:报警事件非常危险事件比较危险事件一般危险事件低危险事件 合计:审计源异常(无异常不填写)下级审计系统异常(无异常不填写)系统故障(无异常不填写,
11、有故障请详细描述)省地税局上报信息单位名称上报时间报警信息内容数量备注审计源数量Windows代理Linux/unix服务器网络产品安全产品SNMP日志源通用日志源合计:报警事件非常危险事件比较危险事件一般危险事件低危险事件 合计:审计源异常(无异常不填写)系统故障(无异常不填写,有故障请详细描述)3.2 局域网桌面安全防护系统3.2.1 系统基本维护1. 每日查看系统事件,检查是否存在异常的系统安全事件,设定报警策略以保证对违规行为能够及时发现和处理。2. 进行设备资产信息查询,查看网络终端资产状况,并对异常设备进行控制。3. 定期检查系统管理内容,确定没有异常系统管理用户和保证每个用户的权
12、限合法正常。4. 定期察看系统策略下发执行状况和报警信息,及时进行策略修订,按网络情况调整策略内容及策略下发区域。5. 系统多用户管理过程中administrator管理员应该对普通权限管理员进行授权,但禁止拥有制订安全策略权限。6. 定期检查系统数据库,定期进行数据备份,并对报警信息进行删除和整理。7. 定期查看系统组件运行状态,检查区域管理器(扫描模块)、网页管理平台是否能够正常运行。8. 管理员应定期检查区域管理器是否正常启动,确保级联数据接受端口TCP2388和报警数据端口TCP2399正常开启。9. 管理员定期对管理器的管理范围及扫描范围进行检查,以便对新增设备及时管理。3.2.2
13、日常故障维护1. 桌面安全防护web管理平台无法登录,请检查IIS服务是否正常开启,后台数据库SQLserver是否正常运行,在操作系统管理工具服务中确认上述应用服务正常启动。2. 下级桌面安全防护服务器无法正常连接上级服务器,请检查上下级之间防火墙TCP:2388/2399端口是否开放,并检查下级桌面安全防护服务器级联管理配置是否正确。3. 区域管理器收不到客户端主机驻留程序报送的信息,请检查客户端主机是否安装个人版防火墙,同时,确认客户端主机TCP:22105端口没有被其它程序占用。4. 客户端注册的时候提示“缺省注册成功”,首先确认区域管理器是否启动;其次确认注册程序包中的注册IP地址是
14、否修改(解决办法: 在配置管理注册程序配置中修改“注册区域管理器IP”,保存修改并重新进行打包注册程序);最后确认是否是该计算机与桌面安全防护系统服务器的通讯问题,检查故障原因(可以从该计算机TELNET服务器的TCP:88端口,如果不能连接,可能是网络问题)并解决。5. WEB管理平台帐号密码未被更改,但是从个别计算机上登录WEB平台时却提示密码错误,而其它计算机却能够正常访问,这种情况一般都是IE缓存导致的,可以首先关闭所有的IE窗口,然后按如下顺序操作:右击桌面的IE图标-属性-常规-删除文件-删除所有脱机内容-确定-设置-每次访问此页时检查。6. 网络中扫描器扫描到的计算机数少于实际存
15、在的计算机数,原因在于部分计算机安装了个人防火墙(其规则可能设置为不允许PING),导致扫描器无法扫到该计算机,从而使计算机总数下降。对于这种情况,只需要将策略中心中的终端代理扫描策略开启即可。3.2.3 客户端注册维护1. web自动弹出注册过程中如果WinXP操作系统设备为安装了SP2补丁,拦截了注册弹出窗口,需将其设置成允许弹出窗口。2. 若设备桌面安装了3721助手或google工具栏等拦截工具,需将拦截工具暂时关闭。3. 若客户端的IP地址不在区域管理的范围内,管理员需在区域上添加IP范围。4. 当客户端设备离开网络注销系统管理控制时,需要由管理员在数据库中对该设备进行删除,同时用专
16、门的卸载工具删除设备本机驻留程序。3.2.4 系统安全管理1. 系统管理员administrator和审计员Audit由不同的人员担任,有专门的人员担任系统审计员角色,对系统管理员administrator的登录和行为操作进行审计。2. 系统Audit管理员应定期对系统各级管理员的登录状况、策略设计状况以及其他操作日志进行审核。3. 系统管理员应对交换机、路由器、服务器等其它设备,在控制台中将其设置为保护状态。4. 系统管理员应确保桌面安全防护系统服务器安装杀毒软件并及时升级,同时配置本服务器网络通讯tcp端口打开:80,88, 22105,22106、2388,2399。3.2.5 数据备份
17、管理1. 系统管理员应定期或在重新安装系统前对数据库进行备份,备份前需停止SQL系统的运行,然后将SQL服务器安装目录下Data目录中的VRVEIS.ldf 和 VRVEIS.mdf两个文件进行备份。2. 在重新安装完本系统之后,只需在SQL停止运行的情况下,将备份文件VRVEIS.ldf和VRVEIS.mdf拷贝回上述目录覆盖原文件,然后重新启动SQL即可。3.2.6 应急故障处理试运行期间桌面安全防护系统出现问题,可以按以下方法解决:1. 电话解决故障发生时,可以直接拨打北信源公司技术服务电话010-62140485/6/7,或拨打项目组技术服务人员电话解决。序号姓名联系方式1彭江波133
18、668581202王鹏飞133667128022. 远程协助解决不能电话解决的,由北信源公司驻税务总局技术人员通过远程协助方式解决。3. 现场解决不能远程解决的故障24小时内(异地事件处理72小时内)北信源工程师应到达现场处理。4. 问题提交处理无法现场解决的问题,上报总局信息中心安全处。3.2.7 桌面安全防护系统试运行每周监测记录内容该表格每周填写一次填表时间: 年 月 日填表人:维护内容状态描述说明1、系统组件运行状况能否正常登录Web控制台,进行管理操作状态正常填写”正常”,出现故障填写故障现象区域管理器运行是否正常状态正常填写”正常”,出现故障填写故障现象注册终端计算机是否有异常状态
19、正常填写”正常”,出现故障填写故障现象未注册(老版本)计算机能否实现自动弹出注册提示状态正常填写”正常”,出现故障填写故障现象2、用户管理Administrator管理员能否正常进行权限分配状态正常填写”正常”,出现故障填写故障现象Audit审计员能否正常进行审计操作状态正常填写”正常”,出现故障填写故障现象3、设备注册情况已注册数量记录数量和状况应注册数量资产变化(是否有)违规事件(是否有)4、策略应用是否能够进行策略制订与分发状态正常填写”正常”,出现故障填写故障现象策略分发与执行是否正常状态正常填写”正常”,出现故障填写故障现象5、数据备份备份时注册客户端数仅记录数量和文件大小备份文件记
20、录6、安全事件报警查询、统计报表是否能够对安全事件进行正常查询,并报表输出状态正常填写”正常”,出现故障填写故障现象7、级联管理上级管理服务器系统是否能够管理下级管理服务器,列表所有下级服务器省级节点填写下级服务器能否正常级联上级服务器地市级节点填写记录人:记录时间:3.2.8 桌面安全防护系统每月上报内容在系统试运行期间,要求各地市国税局于每月5日前向省国税局提交上月信息,各省国税局汇总地市信息后于每月10日前向国家税务总局提交上月信息;各省地税局于每月10日前向国家税务总局提交上月信息。地市国税局上报信息单位名称上报时间报警信息内容数量备注系统设备设备总数应注册计算机已注册计算机注册率报警
21、事件(报警管理报警数据查询)阻断报警非法外联设备变化IP绑定变化探头被卸载流量异常安全审计数据(数据查询审计数据查询)移动设备审计上网访问审计文件输出文件保护违规软件及进程审计安全策略违规系统故障(无异常不填写,有故障请详细描述)省国税局汇总上报信息单位名称上报时间报警信息内容数量备注系统设备设备总数应注册计算机已注册计算机注册率报警事件非法外联设备变化IP绑定变化探头被卸载流量异常安全审计事件安全审计数据移动设备审计上网访问审计文件输出文件保护违规软件及进程审计安全策略违规下级管理服务器异常(无异常不填写)系统故障(无异常不填写,有故障请详细描述)省地税局上报信息单位名称上报时间报警信息内容
22、数量备注系统设备设备总数应注册计算机已注册计算机注册率报警事件(报警管理报警数据查询)阻断报警非法外联设备变化IP绑定变化探头被卸载流量异常安全审计数据(数据查询审计数据查询)移动设备审计上网访问审计文件输出文件保护违规软件及进程审计安全策略违规系统故障(无异常不填写,有故障请详细描述)第4章 系统试运行报告试运行期满后,各地市国税局根据实际情况填写试运行报告上报省国税局。省国税局综合全省各地市试运行记录中的相关内容填写试运行报告,各省地税局根据实际情况填写试运行报告,以正式文件提交总局信息中心安全处。4.1 安全审计系统试运行报告地市国税局填写试运行报告产品名称安全审计系统单位名称试运行起止时间故障登记(无异常不填写,有故障请详细描述)处理结果负责人签字日 期省国/地税局填写试运行报告产品名称安全审计系统单位名称试运行起止时间故障登记(无异常不填写,有故障请详细描述)处理结果省国/地税局地市国税局负责人签字日 期4.2 局域网桌面安全防护系统试运行报告地市国税局填写试运行报告产品名称局域网桌面安全防护系统单位名称试运行起止时间故障登记(无异常不填写,有故障请详细描述)处理结果负责人签字日 期省国/地税局填写试运行报告产品名称局域网桌面安全防护系统单位名称试运行起止时间故障登记(无异常不填写,有故障请详细描述)处理结果省国/地税局地市国税局负责人签字日 期