江苏省地税终端安全管理平台部署方案及结构

2023-11-23 理论教育版权反馈

【摘要】：江苏省地税终端安全管理体系平台的总体结构如图所示。人员漫游比较常见，在现有的部署方案中，人员漫游可以采用人员的管理链接方式，即人员的管理属性不变，还是由其直属上级进行管理，但是资源属性支持共享，即漫游地的上级也可以查看他的属性，并且可以对其的认证和授权信息进行分配。设备调拨时，根据规定会结束原有的生命周期，重新按照流程入网。

江苏省地税终端安全管理体系平台的总体结构如图所示。系统由3个层次组成，包括省局、地市局（园区）和县局（保税区）终端安全防护与安全管理平台。

3个层次组成树形结构，从逻辑上看，省局中心节点只有1个，地市局节点共15个（其中包括13个地市局、省局自身管理和苏州园区），县节点共68个（其中包括67个县和1个张家港保税区）；各地市局节点连接到省局中心节点，各县节点连接到所属地市局节点（其中张家港保税区连接到苏州地税局节点），如图13-3所示。

图13-3 江苏省地税终端安全防护与管理系统总体部署示意图

省局中心节点：最顶层是省局终端安全防护与安全管理平台，其中省局终端安全防护平台管理全省统一安全策略，省局终端安全管理平台不仅基于省局终端安全防护平台管理省局内网终端，而且是全省终端安全管理平台的总中心，负责全局终端安全策略的管理和下发，接收全局上报信息，具有全省数据综合分析和与其他系统协同联动的功能。

地市局节点：负责本地市内终端的安全防护和安全管理工作，同时对所管辖的下级县局安全防护平台和安全管理平台有监管功能，具体包括接收省中心策略配置或进行本地配置，收集监控信息并产生事件并上报，同时具有数据分析的能力。

县局节点：负责本县内终端的安全防护和安全管理工作，包括接收省中心和地市局中心策略配置或进行本地配置，收集监控信息并产生事件并上报，同时具有一定的数据分析的能力。(www.chuimin.cn)

认证授权策略中心：负责全网所有的认证、授权、策略信息，所有服务器的管理角色集中在一起，由省级配发区域管理权限，区域根据自身情况进行使用者信息的管理，并且对所有使用者信息进行区域化限定，既满足全网管理要求的统一性，又兼顾了本地管理的灵活性，统一性保障终端信息与使用者信息，以及风险信息在全网是一致的，灵活性保障管理角色和使用者具备本地管理属性。对所有节点的认证进行统一维护和备份，当任意节点的服务器出现故障，可以直接从认证中心恢复认证信息。对所有节点的策略信息进行集中管控，可以保障全省安全策略的统一，也支持全省策略的地区差异化，并且上级可以掌握下级差异化的管理详情。

所有节点都与它们的父节点、中心节点以及所有的子节点进行通信。中心节点用于统一安全策略，所有节点根据策略的性质配发适用的范围，父节点能够对所有的子节点进行管理和查询，包括策略应用情况、终端安装情况、补丁安装情况查询和报警信息等，如果下级有选配管理中心，还可以对其进行在线考核。每个节点的认证和策略都是本地配置，这些本地配置将只影响本地的终端安全防护，不影响上级或者平级部署的平台，同时由于这些信息都在中心节点备份，所以可以实时进行同步和恢复。

在管理上漫游属于特殊情况，分为两种：资产漫游和人员漫游。

人员漫游比较常见，在现有的部署方案中，人员漫游可以采用人员的管理链接方式，即人员的管理属性不变，还是由其直属上级进行管理，但是资源属性支持共享，即漫游地的上级也可以查看他的属性，并且可以对其的认证和授权信息进行分配。例如：张三从南京调动到盐城工作，他的工作申请在经过管理审批之后，除了南京的领导可以维持对其的管理，盐城的领导也可以看到张三的信息，并且可以分配资产到张三的名下，并且对其的安全策略进行对应配置，而张三可以继续使用自己在南京的认证信息使用盐城的网络，不需要盐城重新配发认证账号和登记人员信息。

资产漫游分为两种：借用和设备调拨。借用时，保持资产的原有信息借用到另外区域，终端在两地的信息都会汇总到上级，而上级进行统计和分析的时候，该终端发生的所有事件都是前后关联在一起的。设备调拨时，根据规定会结束原有的生命周期，重新按照流程入网。

江苏省地税终端安全管理平台部署方案及结构

相关推荐