系統(tǒng)現(xiàn)狀及安全需求

隨著金財(cái)工程的逐步深入、拓展，財(cái)政信息系統(tǒng)正變得愈加復(fù)雜化，無論是網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)規(guī)模、還是覆蓋地域、終端類型與規(guī)模都發(fā)生了迅猛增長(zhǎng)。在財(cái)政系統(tǒng)中，財(cái)政業(yè)務(wù)應(yīng)用管理系統(tǒng)對(duì)于專項(xiàng)資金的劃撥是重點(diǎn)業(yè)務(wù)

一，如下圖所示：

圖1

圖1-1 財(cái)政業(yè)務(wù)應(yīng)用管理系統(tǒng)結(jié)構(gòu)示意圖

專項(xiàng)資金是對(duì)特定項(xiàng)目的財(cái)政撥款，不可挪用、延期，要求加強(qiáng)專項(xiàng)資金的重點(diǎn)監(jiān)控，因此，對(duì)于專項(xiàng)資金的監(jiān)管也是財(cái)政系統(tǒng)建設(shè)中重點(diǎn)建設(shè)之一。

在財(cái)政網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的發(fā)展的同時(shí)，安全建設(shè)也必須同步建設(shè)，在滿足安全接入需求時(shí)，將面臨著許多新的問題，整合的要點(diǎn)多、難度大：

終端多，分布廣，管理跨度大

傳輸安全

網(wǎng)絡(luò)邊界日益模糊，防護(hù)難度劇增

攻擊與入侵的手段越來越多樣、越來越混雜在應(yīng)用中

網(wǎng)絡(luò)攻擊借“身”入侵

合法訪問方式被利用

操作水準(zhǔn)的差異

綜合上述分析可知，接入終端分布廣，并且橫向接入終端不可控，在這種情況下，新的安全問題日益凸顯的局面下，要做到安全接入，就不能僅僅保證接入認(rèn)證時(shí)的身份和狀態(tài)安全，還應(yīng)當(dāng)確保接入后的訪問過程中行為可控，全面防范各種攻擊行為，即從接入發(fā)起開始，一直到整個(gè)網(wǎng)絡(luò)訪問完成的全過程安全和可控。針對(duì)這一總體要求，我們需要滿足和整合多種安全技術(shù)。

技術(shù)思路

天融信將基于以策略為核心，形成一套覆蓋全面，可靠穩(wěn)定的安全保障體系，全面提升用戶的安全保障能力，更好地支撐業(yè)務(wù)的開展；通過可互聯(lián)互通的技術(shù)整合，形成縱深的防護(hù)能力，有效地規(guī)避用戶信息網(wǎng)絡(luò)運(yùn)行中面臨的各類安全問題；通過TopPolicy安全設(shè)備與策略管理系統(tǒng)，做到策略的集中下發(fā)或?qū)K端、網(wǎng)絡(luò)設(shè)備的策略監(jiān)控，以及安全事件的集中分析，與縱深防護(hù)系統(tǒng)配合，形成動(dòng)態(tài)的監(jiān)控能力；結(jié)合管理制度，依托互聯(lián)互通的安全防護(hù)系統(tǒng)以及以策略為核心的策略管理系統(tǒng)，從 “接入通道安全”、“接入者身份可控”、“接入時(shí)狀態(tài)可控”、“接入中行為可控”、 “接入中內(nèi)容可控”、“接入全程全面審計(jì)”和“接入綜合安全管理”等七個(gè)層面構(gòu)建以策略為核心的安全接入的立體防御體系。為用戶提供有效的安全運(yùn)維保障。

解決方案設(shè)計(jì)

根據(jù)財(cái)預(yù)[2009]78號(hào)《關(guān)于推進(jìn)省直接管理縣財(cái)政改革的意見》要求：

1) 實(shí)行省直接管理縣財(cái)政改革，就是在政府間收支劃分、轉(zhuǎn)移支付、資金往來、預(yù)決算、年終結(jié)算等方面，省財(cái)政與市、縣財(cái)政直接聯(lián)系，開展相關(guān)業(yè)務(wù)工作。

2) 要加強(qiáng)財(cái)政管理信息化建設(shè)，構(gòu)建省級(jí)與市、縣的財(cái)政信息化網(wǎng)絡(luò)，提高工作效率。
所以我們的方案設(shè)計(jì)要符合省管縣的要求。部署示意圖如下：

圖2

圖2 安全系統(tǒng)部署示意圖

目前就XX省財(cái)政，網(wǎng)絡(luò)為省-市-縣-鄉(xiāng)，四級(jí)網(wǎng)絡(luò)，從財(cái)政政策要求來講，必須實(shí)現(xiàn)省管縣，所以想要的安全建設(shè)也必須符合此要求，在安全管理上有省中心直接管理縣級(jí)設(shè)備。部署情況如下：

1) 在縣財(cái)政與Internet邊界部署防火墻，并開啟VPN模塊和病毒模塊；

2) 鄉(xiāng)級(jí)網(wǎng)絡(luò)的縱向、橫向終端安全VRC和TD客戶端，并配發(fā)USB-Key；

3) 省財(cái)政部署一級(jí)TP、一級(jí)TD管理中心，負(fù)責(zé)全局策略下發(fā)和運(yùn)維監(jiān)控；

4) 縣財(cái)政部署二級(jí)TP、二級(jí)TD管理中心，接收省級(jí)策略并下發(fā)到縣級(jí)邊界安全設(shè)備及鄉(xiāng)級(jí)終端。
整合多種安全技術(shù)管理策略，提升管理效率

1. 統(tǒng)一定制、強(qiáng)制執(zhí)行的安全策略管理

策略管理平臺(tái)和TD管理中心提供了強(qiáng)大的策略定制機(jī)制。管理員根據(jù)財(cái)政網(wǎng)絡(luò)特點(diǎn)，通過管理中心有效地實(shí)施全局網(wǎng)絡(luò)配置和安全管理、監(jiān)控策略，并且可以以組的形式進(jìn)行整體管理，實(shí)現(xiàn)了真正的統(tǒng)一安全策略。管理員可以靈活的創(chuàng)建不同的安全策略，在不同類型的終端、設(shè)備可以應(yīng)用不同的安全策略，同時(shí)提供對(duì)安全策略的應(yīng)用情況進(jìn)行跟蹤和審計(jì)，為整個(gè)系統(tǒng)提供了靈活的、彈性的安全機(jī)制。

2. 策略的有序可控管理

集中定義防火墻和VPN的策略，批量分發(fā)到應(yīng)用的設(shè)備，這樣的機(jī)制保障了財(cái)政網(wǎng)絡(luò)管理的效率，大大減少了管理員的工作負(fù)荷。同時(shí)利用策略管理平臺(tái)提供配置監(jiān)控功能，進(jìn)行全局性監(jiān)控，使集中分發(fā)的策略能夠保障在設(shè)備上持續(xù)運(yùn)行，一旦有人私自篡改配置，策略管理平臺(tái)將實(shí)時(shí)反饋出報(bào)警信息，提醒管理員。

3. 多視角的可視化管理

策略管理能通過拓?fù)鋱D等多種方式，展現(xiàn)財(cái)政系統(tǒng)對(duì)設(shè)備、隧道等進(jìn)行各種管理，圖形化的添加設(shè)備和安全域，建立設(shè)備間的隧道，實(shí)現(xiàn)對(duì)設(shè)備性能信息的監(jiān)視，包括CPU信息、內(nèi)存信息、接口信息和連接信息等。特別是提供了對(duì)于啟用VPN功能的防火墻進(jìn)行隧道監(jiān)控和VRC監(jiān)控功能。并對(duì)監(jiān)控進(jìn)行TOP N排序，可以實(shí)時(shí)反饋出管理范圍內(nèi)設(shè)備使用情況排行，幫助用戶清晰的了解網(wǎng)絡(luò)負(fù)載以及設(shè)備運(yùn)行狀況。

建設(shè)效果

本方案針縣鄉(xiāng)財(cái)政網(wǎng)絡(luò)接入安全問題，引入邊界隔離與訪問控制技術(shù)、VPN技術(shù)、終端管理技術(shù)、內(nèi)容與行為審計(jì)技術(shù)、策略管理平臺(tái)技術(shù)，初步建立了多層次、立體式的可信接入安全防護(hù)體系，整合了安全資源，具有如下效果：

解決網(wǎng)絡(luò)接入者的身份可信問題:對(duì)于終端接入，杜絕了非法用戶和外來人員隨意接入縣財(cái)政網(wǎng)絡(luò)的行為，即便非法用戶盜用了合法主機(jī)，如果不具備合法用戶身份也無法接入到縣財(cái)政網(wǎng)絡(luò)，可以有效抵御來自非法接入的攻擊；對(duì)于網(wǎng)絡(luò)接入，由于建立了網(wǎng)絡(luò)間的網(wǎng)絡(luò)訪問控制，從而杜絕了網(wǎng)絡(luò)間的非法訪問行為；

解決了終端安全狀態(tài)安全可控問題：終端接入時(shí)的安全檢查決定了是否允許終端接入網(wǎng)絡(luò)；接入后的狀態(tài)檢測(cè)，能夠保證在終端狀態(tài)不符合財(cái)政系統(tǒng)策略要求時(shí)及時(shí)切斷與網(wǎng)絡(luò)的連接；

解決通信過程中的泄密、數(shù)據(jù)篡改、抵賴問題：利用VPN技術(shù)，保障了通訊過程中的機(jī)密性和完整性，防止泄密和篡改等攻擊行為，解決抵賴的問題：接入設(shè)備認(rèn)證成功后整個(gè)網(wǎng)絡(luò)訪問過程中，利用其數(shù)字證書(私鑰)對(duì)其訪問數(shù)據(jù)包進(jìn)行加密，相當(dāng)于把身份信息與訪問信息整合，從而有效防范抵賴的現(xiàn)象；過濾了通信過程中的病毒等惡意代碼傳播的問題；

解決了通信過程中惡意威脅傳播問題：通過實(shí)時(shí)的入侵防御、防病毒、等措施，能夠?qū)祀s在正常應(yīng)用中的病毒、蠕蟲、木馬、惡意代碼等有害數(shù)據(jù)及時(shí)檢測(cè)和過濾，防止了有害數(shù)據(jù)的傳播，以及借“身”攻擊等惡意行為的發(fā)生；

解決內(nèi)外網(wǎng)隔離問題，當(dāng)鄉(xiāng)級(jí)終端通過VPN與縣財(cái)政網(wǎng)絡(luò)互聯(lián)時(shí)阻斷與互聯(lián)網(wǎng)的其他訪問；

解決了集中的策略管理、日志分析、應(yīng)急響應(yīng)和決策支持問題：安全接入問題的解決嚴(yán)重依賴于企業(yè)整體安全策略的全面有效實(shí)施，策略管理平臺(tái)可以統(tǒng)一對(duì)策略進(jìn)行定義、下發(fā)并在各個(gè)設(shè)備上進(jìn)行強(qiáng)制實(shí)施，提高了綜合防范能力，此外還可對(duì)安全事件進(jìn)行集中的管理分析和應(yīng)急響應(yīng)支持，對(duì)全局的安全威脅和風(fēng)險(xiǎn)進(jìn)行評(píng)估和管理，為安全決策提供支持。