《(2020)(安全生产)财政解决方案--财政管理软件安全接入平台系统建设方案(DOC 28页)》由会员分享,可在线阅读,更多相关《(2020)(安全生产)财政解决方案--财政管理软件安全接入平台系统建设方案(DOC 28页)(28页珍藏版)》请在金锄头文库上搜索。
1、财政解决方案-财政管理软件安全接入平台系统建设方案安全、高效接入 惠尔顿e地通 让管理软件连接更安全、更高效、更具管理性 序“e地通是中国首先倡导管理软件网络优化专家系统的安全接入研究企业,解决客户在管理软件接入过程中的诸多问题。e地通希望能够作为我国政府、特别是财政行业客户里面最好的技术和服务解决方案的提供者,最好的协助我国高效政府的贡献者。” 总经理:陈雪志 深圳市惠尔顿信息技术有限公司e地通,管理软件网络优化专家以科技创新构建和谐发展为了配合惠尔顿公司国内市场定位,即成为中国经济发展、政府转型以及帮助企业走向世界的最好的管理软件网络优化解决方案和服务提供者。惠尔顿将创新进行到底,对政府、
2、特别是财政客户的服务重点落实在三个方面,即安全接入、平台管理、应用加速。对政府关心的最大问题,用对行业的理解、先进的技术手段、创新的理念以及全球实践经验对IT创新方面给予最大的支持和协助。e地通为政府、金融、地产、制造、物流、超市等领域的用户提供全面的IT解决方案。在财政用户领域,e 地通广泛服务于“乡财县管”“国库集中支付”“非税改革”。E地通运用最新的技术和优势资源。在已经取得成就的基础上进一步为客户带来创新价值;另外通过不断在各地建立新的分公司,分支机构以及各级代理商,加强与地方政府和公共事业部门的紧密合作,积极推动中国信息化的快速发展。应用加速:是指通过e地通应用加速系统,对现有的以及
3、未来扩展的应用系统采用cash加速、快速连接加速、远程集中接入加速等,从而实现整体应用系统的流畅运行、充分整合现有宽带资源,凸显网络价值。WHOLETON与各大运营商合作,开展相关配套网络增值服务。平台管理:是指通过e地通管理软件网络优化专家系统平台,把现有的以及未来扩展的应用系统进行分类,并对分类好的应用系统进行集中维护和管理,减少后期花在应用系统和网络系统上的维护成本和时间,WHOLETON与各管理软件厂商开展合作,优势互补。安全接入:是指通过e地通安全接入平台,对现有的以及未来扩展的应用系统做统一的接入身份认证、数字加密、服务器安全隔离等,从而达到对服务器端核心数据网络的基于应用的安全风
4、险控制,WHOLETON与高校合作广泛,开发了多项国际前沿的安全专利技术。6 趋势与瞻望7 困难与挑战9 解决之道17 成功故事e地通之财政用户篇趋势与瞻望 随着中国电子政务建设的深入和成熟,日常的业务和相应的改革推动,越来越依赖于管理软件,随着业务的深入和对将来的应用系统的规划,同时也就存在了越来越的用户接入数据中心,越来越多的数据中心建立,越来越多的服务需要提供。如何实现数量众多的接入、管理数量众多的接入,对接入的安全可预见、对后期的规划可复制、扩展等这些都已经摆上了我们工作的日程,成为我们政府信息化的重要部分。趋势一:业务转型由分散走向集成,增加部门之间,上下之间的联动。目前许多地方已经
5、出现了办公大厅这样的政府多部门协作办公形式,从而缩短了业务交互的时间,提高效率。趋势二:技术转型为了能够支持业务转型成功,支撑政府运做的IT系统也要由分散、隔离状态转向集成化、共享化,需要建立安全可靠的IT运行环境,支持随需而变的政府。趋势三:整合转型目前,越来越多的财政改革系统广泛应用于财政局,国库集中支付、乡财县管、非税收入、部门预算、财政一体化、公务卡、OA等,用户数逐渐增多、应用系统逐渐增多、应用功能逐渐明细、系统也随之亦复杂。需将这些业务系统在网络平台上进行整合,统一接入、管理、维护。在我们展望未来电子政务趋势时,组建一个高安全、可管理、易扩展、高效的管理软件网络优化平台已是迫在眉睫
6、,也是财政改革各项措施顺利推行的重要保障!困难与挑战 我们随之而来的挑战又会是哪些?安全接入权限分类统一管理速度提升扩展平台管理软件网络优化平台安全接入:需将政府网或Internet上网用户接入到现有的管理软件系统中来,以满足不同部门、不同地域的用户安全使用业务系统。统一管理:需将为数量众多的管理软件系统进行统一管理,保护服务器群的核心数据,以便实现对服务器群的端口级管理,从而在高层次上认识整体的业务平台。权限分类:需将不同部门、不同地域的数量众多的用户进行分类,针对不同用户进行授权,以便做到对用户访问的权限细粒度控制速度提升:由于系统越来越多,用户接入也越来越多,需解决在有限带宽环境下处理庞
7、大的数据流量。扩展平台:随着信息化改革的深入,会有越来越的管理软件应用系统上线部署,平台建设需面临可扩展的考验。本方案重点介绍安全接入传统的安全解决办法如:l 铺设专线:与互联网做物理隔离。l 租用运营商提供的电话捆绑线路(即运营商月租性)。l 购买防火墙、入侵检测等安全产品。这些传统安全措施在面临新挑战内网安全为什么会作用甚微呢?1、防火墙、入侵检测防御等传统安全方案通常能够有效的在内外网之间建立一道安全屏障。但是由于数据共享的需要,内网的重要数据不可避免的要在内网端到端之间以及内外网之间进行传输,如果重要数据在传输的过程中是明文形式,那么一旦被非法内外网用户捕获,后果就非常可怕;同时内部的
8、病毒和黑客也会因为重要数据共享时传播,怎么办?2、专线通过物理的形式来保证数据在远距离传输过程中两网之间传输通道的专用性来保证安全。运营商的VPN则是通过逻辑的形式也是达到专线的效果,从这个角度担心的安全是得到了保障,但是这两种方式只能做到两网之间传输通道的安全,它主要的作用就是把传输通道两端之间的两个局域网做成一个大的虚拟内网,防火墙会把两端的用户视为可信用户,等同于局域网用户,对他们的安全防范作用是不生效的,所以成百上千的异地用户一旦被连入核心数据区,核心数据区的整个网络都将暴露,建立隧道后,远程PC就像物理地运行在核心数据区的内网一样,相当于为远程访问者敞开了访问核心数据区所有资源的大门
9、,并对全部网络可视,为最终用户关键数据带来了安全风险,所以这样的“大内网”一旦出了安全事故的话,所牵涉到的环境非常复杂,后果也会非常严重,这也是为什么在党政、行业专网或者运营商VPN组成后的大内网中必须还要有相关方案来保证内网安全的原因。因此,满足以下要求的内外网安全技术成了网络安全体系中最重要的一环:1、 能有效杜绝黑客和病毒通过内外网传播到核心数据区。2、 凡是访问核心数据区的用户身份认证要锁定到人,能够做到从客户端到资源端的全程端到端加密。3、 对核心数据区的访问资源权限粒度一定要细到每个应用。4、 降低核心数据区工作人员导致的安全事故。5、 同时不能为了这些安全措施而牺牲传输效率。6、
10、 部署方式灵活,尽量少涉及信息系统的改造,支持大型复杂网络的实施。7、 所建立的核心数据区的安全措施能支撑各种目前及将来的应用。解决之道 随着国家政府专网的建设的不断完善,随着国家电子政务的深化改革,越来越多的政府单位的电脑连接入了政府专网内,越来越多的应用软件在政府专网或Internet内普及使用。目前,某某财政局虽然建立了较为完善的专网系统,但在专网上运行的各类应用软件系统都是暴露在整个专网上的,因此连接性和安全的隐患一直存在。 1、 在专网或者Internet内传输的应用数据,对于机密数据无任何加密等保护措施,导致数据泄密。 2、 在专网内应用软件的数据服务器群由于需要专网内的其他电脑访
11、问,将服务器群服务端口直接暴露在专网上,导致数据服务器直接受到专网内的任一电脑的安全威胁。 3、 在专网内应用软件的数据服务器群的访问权限,无法细致到特定的人特定时间段访问特定的应用软件,导致专网内的任何人都可以访问所有的数据服务器资源,给非法用户敞开了灾难的大门。 4、 在专网内的电脑直接通过网络层访问应用软件数据服务器,一旦电脑由于其他原因如由于业务需要上网,或者便携存储设备等导致感染病毒、木马后,将会直接传播给服务器,造成数据丢失、泄密。 5、 统一管理应用软件服务器,集中部署、集中发布,从更高层次上认识财政改革 IT系统建设,节省总体投资成本。惠尔顿e地通SOCKS v5平台解决方案的
12、解决了这个困绕着某某财政局的网络安全要求高、费用投入少的这个新的工作模式下的矛盾。使各级单位和局中心的国库集中支付、乡财县管、财政监管等以及后续上线的应用软件数据能够统一安全管理,以提高管理的效率,降低安全成本。 在进行了实地考察和环境确认以后,惠尔顿公司提出e地通SOCKS v5安全接入系统解决方案,在财政局中心机房部署CZ-W1000S-9服务器端,将财政局所有应用服务器隐藏、隔离起来,需要接入财政局数据中心的各单位等有权限的操作人员分配e地通客户端,同时启用硬件绑定、硬件USBkey功能,只有同时具备三重认证方式的客户端人员才能进入e地通服务器端认证模块,根据客户端的不同身份,分别授权访
13、问不同的应用如国库集中支付、财务监管、乡财县管等。实现方式(一)用友政务e地通产品总体架构SOCKS5e+1IPSec安全存储KeySSL远程集中接入内网安全防火墙南北互通VPN负载均衡应用加速异地互联用友政务e地通(二)用友政务e地通对安全的实现1、 VLAN功能将核心数据区与内网其他PC做隔离。这样内部普通PC上的黑客程序和病毒不会侵袭到核心数据区来。 2、 e地通对需要访问到数据库的客户端到核心数据区的传输进行数据封装、加密、身份认证及权限访问控制。1) 数据封装:SOCKS5用友政务e地通数据应用层数据加密、压缩、封装负载帧头IP头会话层2)加密:启用加密功能,将对服务器端与客户端交互
14、的数据流进行加密,增强数据在传输过程中的安全性,加密算法为AES-128b。密钥的一个重要因素是它的长度位,比如密钥长度为128,则表示这个密钥里包含了2的128次方个密码规则,这是一个天文数字。EncryptionAlgorithm密文明文3hsd4e3ad38esdf2w4dHi! How are you!3)身份认证:锁定到人身份认证模块可以有效地鉴别来访应用用户的身份信息,以及确定其是否具有访问核心区受控资源的权限。传统的身份认证机制往往采用的是简单的用户名和密码的形式,在进行身份信息确认的过程中,通常也是采用明文方式来发送身份信息,比如不支持HTTPS的WEB邮件系统就是一个典型的例子。这种通过明文方式来进行身份信息认证的过程是非常危险的,攻击者可以很轻松的利用一些常用的嗅探工具(如Sniffer Pro)就可以得到用户的身份信息。e地通安全接入系统在身份认证上提供了简单安全可靠的双因素认证方式,既支持传统的用户名/密码认证
