统一网络管理解决方案
税务网络从国家税务总局一直覆盖到乡镇税所节点,整网采用集中式网管的方式不合适,管理的难度和工作量大,建议采用分布式网管方式,并采用带内网管的方式以减轻网管工作人员的工作量。建立的网管平台能够自动发现网络拓扑、实时监控并动态报告网络设备的状态;具有事件管理功能,能收集、储存并分析Snmp Trap;具有性能管理功能,能采集设备性能数据,通过分析该数据以判断网络健康状况等。网管通常规划情况如下:
整个网管系统分为两级管理中心(NOC),总局网络管理中心和省局网络管理中心,地市一级税务局设立技术支持小组,负责本市范围内的网络运行维护。但是网络管理中心为网络运行机构的一个组成部分,除了负责处理日常网络故障、完成各种生产需求的网络支持外,还需要定时网管网络运行情况、网络性能参数以及网络安全(防火墙)的各类信息并填写值班日志及安全日志、定期将辖内路由器的配置文件备份到备份数据库、负责编写网络设备、网络拓扑、网络配置的资料文档,同时对于网络的边缘接入、网络中的异常流量主机监控、动态策略下发等都是目前税务网络中面临需要解决的问题。
H3C公司基于对税务信息化运维管理体系除了基本的网络平台管理之外,理解到税务IT管理系统的发展趋势是标准化、智能化、统一平台、面向业务,通过H3C的业务软件产品提供了一个统一的平台架构,将网络管理、业务管理、用户管理、策略管理等各个部分深度融合,使各个模块能够互相协调和配合,达到统一面向业务的目的,这些模块之间的有机组合与分工,形成了IP智能管理中心的框架(IMC)。
H3C智能管理中心框架
IP网络基础架构管理
税务基础网络管理中心除了涵盖诸如网元管理、拓扑发现、参数配置、状态监控等传统网管软件的功能外,还可以实现网络业务、服务管理功能,如远程接入VPN隧道管理、网络能力基线识别、历史数据深层分析、业务影响关联分析等,也可以灵活扩展到对桌面、服务器、存储等网络实体的管理。
IP网络综合接入管理中心
对于税务网络边缘的接入控制也是网络安全的重要保障,同时是网络运营的保证。IP网络综合接入管理中心通过各种模块的控制,对各种方式的接入用户进行有效的身份管理以及安全保障,同时通过接入控制的机制使得网络可运营、可管理。
针对税务网络接入用户安全状态保障的EAD(端点准入防御)解决方案,它通过H3C安全设备、智能终端、安全策略服务器、第三方防病毒软件等共同配合,实现在基础认证之上,对接入用户终端的安全状态进行进一步认证,以保证终端以干净的状态进入网络。
IP网络智能分析中心
基础网络管理中心从设备生命周期的角度对网络进行管理,智能分析中心实现了自动化和精细化的深度分析,实时探测网络资源的分配状况,结合业务优先级和服务水平协议,按照预定策略实现网络资源的按需分配。
IP智能分析包括了用户行为分析、网络流量分析、安全事件分析、故障深度分析以及服务质量分析等分析模块,通过这样的深度分析与推理机制,管理员可以有效了解整个网络的运行状况、带宽占用状况等信息,为用户进行下一步的网络优化与控制提供了有力的依据。
IP智能管理中心(IMC)中的各个管理控制中心也不是彼此孤立的,可能需要多个管理控制中心互相联动,实现对企业业务应用的有力支撑。比如网络流量分析系统通过对网络中各种业务的构成状况,输出网络健康评估,资源管理中心则可以以网络健康评估为依据,按照一定的策略,对网络中的资源进行调配,从而通过先进的体系架构,达到智能管理的目的。
(三)面向业务的安全整体解决方案
金税工程的核心是业务与数据的集中,安全成为整个税务信息化建设过程中必须重视的问题。随着政务公开和政府上网工程的
开展,税务系统的对外业务服务必须要通过互联网来完成,例如税务信息公布、企业初始数据的采集、网上报税等,这些数据的审核需要由内网中的税务人员来完成,另外对于税务系统所有初始数据和审批过程都需要备份,存入系统内网的数据库中,既严格区分核心保密级的税务内网信息系统和普密级的税务外网信息系统,根据国家规定,两个网络之间必须要物理隔离,而外网部分虽然设有防火墙,但并不能保证100%的安全,而且目前这种内外分离的做法也不能满足电子政务开放性的要求。因此,必需要建立税务网络安全整体防护体系,提高税务网络的安全保障能力。
面向业务的安全
在整个税务信息化建设过程中,信息系统的建设是重中之重,尤其是金税三期的规划,数据大集中和业务系统建设并重,在即将上线的税收征管、交叉稽核、行政办公等系统都将面临大量的网络访问。这些访问中不可避免的会夹杂攻击行为,而税务信息化由于采用数据大集中的形式,不出问题则可,一旦出现对于数据的破坏,后果是不堪设想的,因此金税三期中安全体系的核心是解决业务层面的安全问题。
基于针对业务的安全考虑,H3C采用特有的终端认证解决方案能够很好的解决用户访问的问题。H3C的终端安全认证可以结合CA身份认证共同对接入用户进行认证,这种认证主要对内部用户进行管理,在进行身份认证的同时对用户进行权限的划分,有助于内网用户更安全的接入系统。另外终端安全认证的客户端还可以监控终端的病毒库和操作系统补丁的升级情况,只有确认达到安全级别才允许客户端接入网络,H3C终端安全认证解决方案是结合CA认证的全面内网安全防护解决策略。
对于外网用户的接入,H3C采用SSL VPN的接入方式对链路文件传输进行加密,由于SSL VPN的模块是基于防火墙体系,因此在进行链路加密的同时能够对接入的用户实施全面的安全防护包括数据层安全过滤,区域访问策略等。终端安全认证结合外网用户的传输最终保障了税务信息化系统建设过程中应用体系的安全。
基于安全的带宽保障
带宽是网络建设中的一个重要技术指标,金税三期建设中对于带宽的保障也是H3C解决方案的重要组成部分。由于税务系统网络中集中了数据、语音、视频等大量的数据格式因此对于带宽的保障成为H3C税务安全体系的重要组成部分。
针对税务信息化中的带宽保障问题,H3C有自己独特的解决方案。对于应用协议部分,H3C采用基于安全与网络设备的QOS,能够实现全网的服务质量保证,针对带宽要求较高的语音、视频协议予以较大带宽的支持。对于网络中的垃圾数据,H3C防火墙可以对网络数据实现全面过滤,包括主流的DOS/DDOS攻击,ICMP/UDP数据包、JAVA等代码过滤等,保障了带宽的纯净。由于税务网络中的Internet出口主要集中在税务总局和各省税务局,因此对于BT协议的限流或阻断可以大大提高Internet出口带宽的利用率,对提高服务器应用响应速度大大提高。 |