税务系统二期网络及信息安全防护体系建设项目试运行方案

1、税务系统二期网络与信息安全防护体系建设项目试运行方案国家税务总局信息中心二。七年三月目录第1概述 4第2目的和内容 4第3系统运行情况 43.1 安全审计系统 53.1.1 安全审计系统维护 53.1.2 日常故障维护 53.1.3 数据备份管理 63.1.4 应急故障处理 63.1.5 安全审计系统试运行每周监测记录内容 73.1.6 安全审计系统试运行每月上报内容 83.2 局域网桌面安全防护系统 113.2.1 系统基本维护 113.2.2 日常故障维护 123.2.3 客户端注册维护 133.2.4 系统安全管理 143.2.5 数据备份管理 143.2.6 应急故障处理 143.2.

2、7 桌面安全防护系统试运行每周监测记录内容 153.2.8 桌面安全防护系统每月上报内容 16第4系统试运行报告 194.1 安全审计系统试运行报告 204.2 局域网桌面安全防护系统试运行报告 22第 1章 概述税务系统二期网络与信息安全防护体系建设项目集成安装结束后，系统将进入试运行阶段。在此阶段，整个系统已安装调试完成，所要求的功能已通过初验。为确保系统稳定、高效地运行，降低可能存在的故障和隐患，我们计划通过试运行阶段来发现问题、解决问题。第 2章 目的和内容试运行的目的是熟悉系统的各项功能操作，同时对系统的可靠性与稳定性进行验证。在产品试运行阶段，总集成商联合厂商负责产品的技术支持工作

3、，对可能出现的问题及时响应，搜集试运行过程中产生的各种运行报表和状况评价表，作为验收材料。试运行的主要任务包括：1. 检验系统在实际应用环境中的运行状况，对试运行期间出现的问题进行调整，使系统达到设计要求的状态；2. 检验系统的有效性、稳定性和可靠性；3. 系统与原有网络和应用系统之间的磨合；4. 安全防护技术与管理制度之间的磨合。第 3章 系统运行情况在本次工程所实施的两个安全产品的试运行期间，需要系统维护人员依据配置维护中所列出的注意事项进行管理。方案中列出了系统试运行期间可能遇到的一些问题，并给出了相应的解决方法。管理人员在对系统进行日常维护的过程中，请按时填写及上报 “运行监测内容”表

4、格，以便更好地掌握系统在试运行期间的可靠性、稳定性以及出现的问题。3.1 安全审计系统 3.1.1 安全审计系统维护1. 安全审计系统应该指派专人管理、维护，管理员的口令要严格保密，不得泄露。2. 审计管理员应定期对服务器和设备日志收集情况进行统计。3. 审计管理员应定期查看日志代理客户端的系统资源，确认安装日志代理软件服务器的运行状况是否正常。4. 审计管理员应定期查看“比较危险”以上级别的日志，并通过关联分析查找与危险事件有关的所有事件，以确定危险发生的源和目的。5. 审计管理员应定期做报表生成，对报表中的可疑事件进行追踪。6. 审计管理员应定期检查和分析安全审计系统的日志，并出具安全运行

5、报告。7. 国家税务总局审计管理员应定期检查下属省局审计中心的在线情况，省局审计管理员应定期检查下属地市局审计中心的在线情况。8. 地市局审计中心要定期将“非常危险”事件上传到省局审计中心，省局审计中心要定期将“非常危险”事件上传到国家税务总局审计中心。9. 审计系统管理帐号用户名：superman ,初始口令为talent,各单位都要 进行口令的更改，更改后要向上级审计管理员报备。3.1.2 日常故障维护1. 审计系统无法登录，请检查管理器能否PING 通审计中心，审计服务器是否启动，管理端口5001 是否一致；2. 上级审计中心无法连接下级审计中心，请检查 TCP:4000 端口是否开放；

6、3. 审计中心收不到日志代理或设备发送的日志，先检查日志收集源和代理策略，再用抓包工具检查日志代理和设备是否发送日志；4. 审计报表无法生成，检查任务调度策略是否正确，确认系统的自动执行是否开启；5. 数据库文件过大，进行日志备份的同时进行数据库紧缩操作。3.1.3 数据备份管理1. 审计系统安装后要先进行完全备份。2. 审计系统运行期间，要每月 28 日凌晨做一次增量备份，备份的同时要清除 30 天之前的日志，防止数据库文件无限增大。所有增量备份数据在恢复时都要读取完全备份文件，所以完全备份文件一定要保存好。3. 审计管理员应定期将备份的数据导入到指定的备份机或刻盘存储。4. Sqlserv

7、er 数据库事物日志比较大，在安装数据库后要减少事务日志的存储量。5. 审计系统默认日志存储空间为2G， 达到 2G 时将不再记录日志，审计系统安装后要将日志存储空间的峰值改为10G 。3.1.4 应急故障处理试运行期间审计系统出现问题，可以按以下方法解决：1 . 电话解决故障发生时，可直接拨打天融信的免费服务电话8008105119，或拨打以下电话解决序号姓名联系方式1朱宏清139109203702刘勇135219537892 .现场解决不能远程解决的故障24小时内（异地事件处理72小时内）天融信工程师应 到达现场处理。3 .问题提交处理无法现场解决的问题，上报总局信息中心安全处。3.1.5

8、 安全审计系统试运行每周监测记录内容该表格每周填写一次填表时间：年 月 日填表人：维护内容说明状态（正常/异 常）1、审计系统管理用户名、口令登录审计 服务器正常登录系统2、日志查询根据源、目的、时间等 进行日志查询可以在“日志查询”中的查 询条件中输入源IP、时间范 围等条件进行查询；3、根据日志风险级 别进行查询对查询中的风险日志进 行查询可以在查询条件中根据日志 的危险级别进行查询，如查 询条件为：“无危险”的日志；4、设备监控安全审计系统监视、日 志代理系统状态监控可以在“实时监视”一“日 志代理信息监视”、“安全审 计系统监控”中查看代理和 审计服务器的运行情况；5、日志增里备份日志

9、增量备份在“任务调度”中定义日志 完全备份策略，在审计服务 器的备份路径卜可以看到生 成的.FBK文件；6、历史数据查有查看某一时间段的历史 数据库在“工具”一“历史数据库 管理”中选择某一时间段的 历史数据库文件，进行“激 活”和“切换”后，再进行 历史数据库查看；7、日志备份文件保 存将备份日志保存到备份 机或刻盘存储在审计服务器的备份路径下 生成的备份文件存到备份机 或刻盘存储；8、报表生成、输出报表生成在“任务调度”中定义报表 策略，在审计服务器的任务 报表浏览中查看生成的报表 文件；异常问题登记解决方法3.1.6 安全审计系统试运行每月上报内容在系统试运行期间，要求各地市国税局于每月

10、5日前向省国税局提交上月信息，各省国税局汇总地市信息后于每月 10日前向国家税务总局提交上月信息； 各省地税局于每月10日前向国家税务总局提交上月信息。地市国税局上报信息单位名称上报时间报警信息内容数量备注审计源数量Windows 代理Linux/unix 服务器网络产品安全产品SNMP日志源通用日志源合计：报警事件非常危险事件比较危险事件一般危险事件低危险事件合计：审计源异常（无异常不填写）系统故障（无异常不填写，有故障请详细描述）省国税局汇总上报信息单位名称上报时间报警信息内容数量备注审计源数量Windows 代理Linux/unix 服务器网络产品安全产品SNMP日志源通用日志源合计：报

11、警事件非常危险事件比较危险事件一般危险事件低危险事件合计：审计源异常（无异常不填写）下级审计系统异常（无异常不填写）系统故障（无异常不填写，有故障请详细描述）省地税局上报信息单位名称上报时间报警信息内容数量备注审计源数量Windows 代理Linux/unix 服务器网络产品安全产品SNMP日志源通用日志源合计：报警事件非常危险事件比较危险事件一般危险事件低危险事件合计：审计源异常（无异常不填写）系统故障（无异常不填写，有故障请详细描述）3.2局域网桌面安全防护系统3.2.1 系统基本维护1 .每日查看系统事件，检查是否存在异常的系统安全事件，设定报警策略 以保证对违规行为能够及时发现和处理。

12、2 .进行设备资产信息查询，查看网络终端资产状况，并对异常设备进行控 制。3 .定期检查系统管理内容，确定没有异常系统管理用户和保证每个用户的 权限合法正常。4 .定期察看系统策略下发执行状况和报警信息，及时进行策略修订，按网 络情况调整策略内容及策略下发区域。5 .系统多用户管理过程中administrator管理员应该对普通权限管理员进行 授权，但禁止拥有制订安全策略权限。6 .定期检查系统数据库，定期进行数据备份，并对报警信息进行删除和整7 . 定期查看系统组件运行状态，检查区域管理器（扫描模块）、网页管理平台是否能够正常运行。8 . 管理员应定期检查区域管理器是否正常启动，确保级联数据

13、接受端口TCP2388 和报警数据端口TCP2399 正常开启。9 . 管理员定期对管理器的管理范围及扫描范围进行检查，以便对新增设备及时管理。3.2.2 日常故障维护1. 桌面安全防护web 管理平台无法登录，请检查IIS 服务是否正常开启，后台数据库SQLserver 是否正常运行，在操作系统管理工具服务中确认上述应用服务正常启动。2. 下级桌面安全防护服务器无法正常连接上级服务器，请检查上下级之间防火墙 TCP:2388/2399 端口是否开放，并检查下级桌面安全防护服务器级联管理配置是否正确。3. 区域管理器收不到客户端主机驻留程序报送的信息，请检查客户端主机是否安装个人版防火墙，同时

14、， 确认客户端主机TCP:22105 端口没有被其它程序占用。4. 客户端注册的时候提示“缺省注册成功”， 首先确认区域管理器是否启动；其次确认注册程序包中的注册IP 地址是否修改（解决办法：在配置管理一注册程序配置中修改“注册区域管理器ip;保存修改并重新进行打包注册程序）； 最后确认是否是该计算机与桌面安全防护系统服务器的通讯检查故障原因（可以从该计算机TELNET 服务器的TCp:88 端口，如果不能连接，可能是网络问题）并解决。5. WEB 管理平台帐号密码未被更改，但是从个别计算机上登录WEB 平台时却提示密码错误，而其它计算机却能够正常访问，这种情况一般都是IE 缓存导致的，可以首

15、先关闭所有的IE 窗口，然后按如下顺序操作：右击桌面的IE 图标-属性-常规-删除文件 -删除所有脱机内容-确定-设置-每次访问此页时检查。6. 网络中扫描器扫描到的计算机数少于实际存在的计算机数，原因在于部分计算机安装了个人防火墙（其规则可能设置为不允许PING） ，导致扫描器无法扫到该计算机，从而使计算机总数下降。对于这种情况，只需要将策略中心中的终端代理扫描策略开启即可。3.2.3 客户端注册维护1. web 自动弹出注册过程中如果WinXP 操作系统设备为安装了SP2 补丁，拦截了注册弹出窗口，需将其设置成允许弹出窗口。2. 若设备桌面安装了3721 助手或 google 工具栏等拦截

16、工具，需将拦截工具暂时关闭。3. 若客户端的IP 地址不在区域管理的范围内，管理员需在区域上添加IP范围。4. 当客户端设备离开网络注销系统管理控制时，需要由管理员在数据库中对该设备进行删除，同时用专门的卸载工具删除设备本机驻留程序。3.2.4 系统安全管理1. 系统管理员administrator 和审计员Audit 由不同的人员担任，有专门的人员担任系统审计员角色，对系统管理员administrator 的登录和行为操作进行审计。2. 系统 Audit 管理员应定期对系统各级管理员的登录状况、策略设计状况 以及其他操作日志进行审核。3. 系统管理员应对交换机、路由器、服务器等其它设备，在控

17、制台中将其 设置为保护状态。4. 系统管理员应确保桌面安全防护系统服务器安装杀毒软件并及时升级，同时配置本服务器网络通讯tcp 端口打开：80， 88，22105， 22106、2388， 2399。3.2.5 数据备份管理1. 系统管理员应定期或在重新安装系统前对数据库进行备份，备份前需停止 SQL 系统的运行，然后将SQL 服务器安装目录下Data 目录中的VRVEIS.ldf 和 VRVEIS.mdf 两个文件进行备份。2. 在重新安装完本系统之后，只需在 SQL 停止运行的情况下，将备份文件VRVEIS.ldf 和 VRVEIS.mdf 拷贝回上述目录覆盖原文件，然后重新启动SQL 即

18、可。3.2.6 应急故障处理试运行期间桌面安全防护系统出现问题，可以按以下方法解决：1.电话解决故障发生时，可以直接拨打北信源公司技术服务电6/7 ,或拨打项目组技术服务人员电话解决。序号姓名联系方式1彭江波133668581202王鹏飞133667128022.远程协助解决不能电话解决的，由北信源公司驻税务总局技术人员通过远程协助方式 解决。3 .现场解决不能远程解决的故障24小时内（异地事件处理72小时内）北信源工程 师应到达现场处理。4 .问题提交处理无法现场解决的问题，上报总局信息中心安全处。3.2.7 桌面安全防护系统试运行每周监测记录内容该表格每周填写一

19、次填表时间：年 月 日填表人：维护内容状态描述说明1、系统组件 运行状况能否止常登录Web控制 台，进行管理操作状态正常填写“正常”，出现 故障填写故障现象区域管理器运行是否止 常状态正常填写“正常”，出现 故障填写故障现象注册终端计算机是否有 异常状态正常填写“正常”，出现 故障填写故障现象未注册（老版本）计算 机能否实现自动弹出注 册提示状态正常填写“正常”，出现 故障填写故障现象2、用户管理Administrator 管理员能否止常进行权限分配状态正常填写“正常”，出现 故障填写故障现象Audit审计员能否止常 进行审计操作状态正常填写“正常”，出现 故障填写故障现象3、设备注册 情况已

20、注册数量记录数量和状况应注册数量资产交化（是否有）违规事件（是否有）4、策略应用是否能够进行策略制订 与分发状态正常填写“正常”，出现 故障填写故障现象策略分发与执行是否止 常状态正常填写“正常”，出现 故障填写故障现象5、数据备份备份时注册客户端数仅记录数里和文件大小备份文件记录6、安全事件 报警查询、统 计报表是否能够对安全事件进 行正常查询，并报表输 出状态正常填写“正常”，出现 故障填写故障现象7、级联管理上级管理服务器系统是 否能够管理下级管理服 务器，列表所后卜级服 务器省级节点填写下级服务器能否止常级 联上级服务器地市级节点填写记录人：记录时间：3.2.8 桌面安全防护系统每月上

21、报内容在系统试运行期间，要求各地市国税局于每月5日前向省国税局提交上月信 息，各省国税局汇总地市信息后于每月10日前向国家税务总局提交上月信息；各省地税局于每月10日前向国家税务总局提交上月信息。地市国税局上报信息单位名称上报时间报警信息内容数量备注系统设备设备总数应注册计算机已注册计算机注册率报警事件（报警管理一报警数据查询）阻断报警非法外联设备变化IP绑定变化探头被卸载流量异常安全审计数据（数据查询一一审 计数据查询）移动设备审计上网访问审计文件输出文件保护违规软件及进程审计安全策略违规系统故障（无异常不填写，有故障请详细描述）省国税局汇总上报信息单位名称上报时间报警信息内容数量备注系统设备设备总数应注册计算机已注册计算机注册率报警事件非法外联设备变化IP绑定变化探头被卸载流量