搜索
财政解决方案--财政管理软件安全接入平台系统建设方案安全、高效接入惠尔顿e地通让管理软件连接更安全、更高效、更具管理性序“e地通是中国首先倡导管理软件网络优化专家系统的安全接入研究企业,解决客户在管理软件接入过程中的诸多问题。e地通希望能够作为我国政府、特别是财政行业客户里面最好的技术和服务解决方案的提供者,最好的协助我国高效政府的贡献者。”总经理:陈雪志深圳市惠尔顿信息技术有限公司e地通,管理软件网络优化专家—以科技创新构建和谐发展为了配合惠尔顿公司国内市场定位,即成为中国经济发展、政府转型以及帮助企业走向世界的最好的管理软件网络优化解决方案和服务提供者。惠尔顿将创新进行到底,对政府、特别是财政客户的服务重点落实在三个方面,即安全接入、平台管理、应用加速。对政府关心的最大问题,用对行业的理解、先进的技术手段、创新的理念以及全球实践经验对IT创新方面给予最大的支持和协助。安全接入:是指通过e地通安全接入平台,对现有的以及未来扩展的应用系统做统一的接入身份认证、数字加密、服务器安全隔离等,从而达到对服务器端核心数据网络的基于应用的安全风险控制,WHOLETON与高校合作广泛,开发了多项国际前沿的安全专利技术。平台管理:是指通过e地通管理软件网络优化专家系统平台,把现有的以及未来扩展的应用系统进行分类,并对分类好的应用系统进行集中维护和管理,减少后期花在应用系统和网络系统上的维护成本和时间,WHOLETON与各管理软件厂商开展合作,优势互补。应用加速:是指通过e地通应用加速系统,对现有的以及未来扩展的应用系统采用cash加速、快速连接加速、远程集中接入加速等,从而实现整体应用系统的流畅运行、充分整合现有宽带资源,凸显网络价值。WHOLETON与各大运营商合作,开展相关配套网络增值服务。e地通为政府、金融、地产、制造、物流、超市等领域的用户提供全面的IT解决方案。在财政用户领域,e地通广泛服务于“乡财县管”“国库集中支付”“非税改革”。E地通运用最新的技术和优势资源。在已经取得成就的基础上进一步为客户带来创新价值;另外通过不断在各地建立新的分公司,分支机构以及各级代理商,加强与地方政府和公共事业部门的紧密合作,积极推动中国信息化的快速发展。6趋势与瞻望7困难与挑战9解决之道17成功故事趋势与瞻望随着中国电子政务建设的深入和成熟,日常的业务和相应的改革推动,越来越依赖于管理软件,随着业务的深入和对将来的应用系统的规划,同时也就存在了越来越的用户接入数据中心,越来越多的数据中心建立,越来越多的服务需要提供。如何实现数量众多的接入、管理数量众多的接入,对接入的安全可预见、对后期的规划可复制、扩展等这些都已经摆上了我们工作的日程,成为我们政府信息化的重要部分。趋势一:业务转型由分散走向集成,增加部门之间,上下之间的联动。目前许多地方已经出现了办公大厅这样的政府多部门协作办公形式,从而缩短了业务交互的时间,提高效率。e地通之财政用户篇趋势二:技术转型为了能够支持业务转型成功,支撑政府运做的IT系统也要由分散、隔离状态转向集成化、共享化,需要建立安全可靠的IT运行环境,支持随需而变的政府。趋势三:整合转型目前,越来越多的财政改革系统广泛应用于财政局,国库集中支付、乡财县管、非税收入、部门预算、财政一体化、公务卡、OA等,用户数逐渐增多、应用系统逐渐增多、应用功能逐渐明细、系统也随之亦复杂。需将这些业务系统在网络平台上进行整合,统一接入、管理、维护。在我们展望未来电子政务趋势时,组建一个高安全、可管理、易扩展、高效的管理软件网络优化平台已是迫在眉睫,也是财政改革各项措施顺利推行的重要保障!困难与挑战我们随之而来的挑战又会是哪些?安全接入:需将政府网或Internet上网用户接入到现有的管理软件系统中来,以满足不同部门、不同地域的用户安全安全接入权限分类统一管理速度提升扩展平台管理软件网络优化平台使用业务系统。统一管理:需将为数量众多的管理软件系统进行统一管理,保护服务器群的核心数据,以便实现对服务器群的端口级管理,从而在高层次上认识整体的业务平台。权限分类:需将不同部门、不同地域的数量众多的用户进行分类,针对不同用户进行授权,以便做到对用户访问的权限细粒度控制速度提升:由于系统越来越多,用户接入也越来越多,需解决在有限带宽环境下处理庞大的数据流量。扩展平台:随着信息化改革的深入,会有越来越的管理软件应用系统上线部署,平台建设需面临可扩展的考验。本方案重点介绍安全接入传统的安全解决办法如:铺设专线:与互联网做物理隔离。租用运营商提供的电话捆绑线路(即运营商月租性VPN)。购买防火墙、入侵检测等安全产品。这些传统安全措施在面临新挑战——内网安全为什么会作用甚微呢?1、防火墙、入侵检测防御等传统安全方案通常能够有效的在内外网之间建立一道安全屏障。但是由于数据共享的需要,内网的重要数据不可避免的要在内网端到端之间以及内外网之间进行传输,如果重要数据在传输的过程中是明文形式,那么一旦被非法内外网用户捕获,后果就非常可怕;同时内部的病毒和黑客也会因为重要数据共享时传播,怎么办?2、专线通过物理的形式来保证数据在远距离传输过程中两网之间传输通道的专用性来保证安全。运营商的VPN则是通过逻辑的形式也是达到专线的效果,从这个角度担心的安全是得到了保障,但是这两种方式只能做到两网之间传输通道的安全,它主要的作用就是把传输通道两端之间的两个局域网做成一个大的虚拟内网,防火墙会把两端的用户视为可信用户,等同于局域网用户,对他们的安全防范作用是不生效的,所以成百上千的异地用户一旦被连入核心数据区,核心数据区的整个网络都将暴露,建立隧道后,远程PC就像物理地运行在核心数据区的内网一样,相当于为远程访问者敞开了访问核心数据区所有资源的大门,并对全部网络可视,为最终用户关键数据带来了安全风险,所以这样的“大内网”一旦出了安全事故的话,所牵涉到的环境非常复杂,后果也会非常严重,这也是为什么在党政、行业专网或者运营商VPN组成后的大内网中必须还要有相关方案来保证内网安全的原因。因此,满足以下要求的内外网安全技术成了网络安全体系中最重要的一环:1、能有效杜绝黑客和病毒通过内外网传播到核心数据区。2、凡是访问核心数据区的用户身份认证要锁定到人,能够做到从客户端到资源端的全程端到端加密。3、对核心数据区的访问资源权限粒度一定要细到每个应用。4、降低核心数据区工作人员导致的安全事故。5、同时不能为了这些安全措施而牺牲传输效率。6、部署方式灵活,尽量少涉及信息系统的改造,支持大型复杂网络的实施。7、所建立的核心数据区的安全措施能支撑各种目前及将来的应用。解决之道随着国家政府专网的建设的不断完善,随着国家电子政务的深化改革,越来越多的政府单位的电脑连接入了政府专网内,越来越多的应用软件在政府专网或Internet内普及使用。目前,某某财政局虽然建立了较为完善的专网系统,但在专网上运行的各类应用软件系统都是暴露在整个专网上的,因此连接性和安全的隐患一直存在。1、在专网或者Internet内传输的应用数据,对于机密数据无任何加密等保护措施,导致数据泄密。2、在专网内应用软件的数据服务器群由于需要专网内的其他电脑访问,将服务器群服务端口直接暴露在专网上,导致数据服务器直接受到专网内的任一电脑的安全威胁。3、在专网内应用软件的数据服务器群的访问权限,无法细致到特定的人特定时间段访问特定的应用软件,导致专网内的任何人都可以访问所有的数据服务器资源,给非法用户敞开了灾难的大门。4、在专网内的电脑直接通过网络层访问应用软件数据服务器,一旦电脑由于其他原因如由于业务需要上网,或者便携存储设备等导致感染病毒、木马后,将会直接传播给服务器,造成数据丢失、泄密。5、统一管理应用软件服务器,集中部署、集中发布,从更高层次上认识财政改革IT系统建设,节省总体投资成本。惠尔顿e地通SOCKSv5平台解决方案的解决了这个困绕着某某财政局的网络安全要求高、费用投入少的这个新的工作模式下的矛盾。使各级单位和局中心的国库集中支付、乡财县管、财政监管等以及后续上线的应用软件数据能够统一安全管理,以提高管理的效率,降低安全成本。在进行了实地考察和环境确认以后,惠尔顿公司提出e地通SOCKSv5安全接入系统解决方案,在财政局中心机房部署CZ-W1000S-9服务器端,将财政局所有应用服务器隐藏、隔离起来,需要接入财政局数据中心的各单位等有权限的操作人员分配e地通客户端,同时启用硬件绑定、硬件USBkey功能,只有同时具备三重认证方式的客户端人员才能进入e地通服务器端认证模块,根据客户端的不同身份,分别授权访问不同的应用如国库集中支付、财务监管、乡财县管等。[实现方式](一)用友政务e地通产品总体架构(二)用友政务e地通对安全的实现1、VLAN功能将核心数据区与内网其他PC做隔离。这样内部普通PC上的黑客程序和病毒不会侵袭到核心数据区来。SOCKS5IPSecSSLVPN远程集中接入南北互通异地互联应用加速负载均衡e+1用友政务e地通防火墙内网安全安全存储Key2、e地通对需要访问到数据库的客户端到核心数据区的传输进行数据封装、加密、身份认证及权限访问控制。1)数据封装:2)加密:启用加密功能,将对服务器端与客户端交互的数据流进行加密,增强数据在传输过程中的安全性,加密算法为AES-128b。密钥的一个重要因素是它的长度——位,比如密钥长度为128,则表示这个密钥里包含了2的128次方个密码规则,这是一个天文数字。SOCKS5用友政务e地通会话层IP头帧头负载应用层数据加密、压缩、封装数据Hi!Howareyou!EncryptionAlgorithm3hsd4e3ad38esdf2w4d明文密文3)身份认证:锁定到人身份认证模块可以有效地鉴别来访应用用户的身份信息,以及确定其是否具有访问核心区受控资源的权限。传统的身份认证机制往往采用的是简单的用户名和密码的形式,在进行身份信息确认的过程中,通常也是采用明文方式来发送身份信息,比如不支持HTTPS的WEB邮件系统就是一个典型的例子。这种通过明文方式来进行身份信息认证的过程是非常危险的,攻击者可以很轻松的利用一些常用的嗅探工具(如SnifferPro)就可以得到用户的身份信息。e地通安全接入系统在身份认证上提供了简单安全可靠的双因素认证方式,既支持传统的用户名/密码认证方式,也支持更为安全的硬件KEY认证方式,不同的认证方式适合安全需求不同的客户。对于上述的用户名/密码及硬件KEY认证,它们认证的过程是统一的,唯一的区别在于硬件KEY是提供用户身份信息的唯一途径,只有拥有该硬件KEY的用户才能合法登录e地通服务器并访问核心区受控的资源。此外,在唯一表示用户身份信息的同时,e地通服务器还可以鉴别硬件设备的唯一性。换句话说,在进行授权的同时既授权用户的身份信息,同时也授权了用户所使用的机器硬件信息,这种授权方式特别适防止办公人员在认证了的办公机器以外的终端上登录并获取核心区的安全保密信息,从而防止机密信息的外泄。e地通服务器端提供多种方式来验证e地通客户端的身份,包括:用户名和密码、硬件Key、客户端机器特征码绑定。4)权限管理:访问权限细到指定机器的指定应用,细粒度访问控制。访问控制可以保护应用用户非法操作对核心区的安全侵袭,切断应用用户对核心数据区指定机器指定应用以外数据的非法访问。评价一个系统是否具有比较高的安全性能指标,一个重要因素就是看该系统提供的访问控制粒度。作为一个好的安全系统,细粒度的访问控制是至关重要的。e地通支持基于IP地址、端口和应用的访问控制策略,从而方便网络管理员对应用用户访问核心区应用资源进行更为准确和细致的定位。在访问控制的具体实现上,访问控制模块维护了一个全局的访问控制列表,列表中定义了每一个用户的访问权限,包括被访问资源的IP地址、端口号及可以被RDP执行的应用程序。可以用一棵资源树型图简单的表示其结构:用户根用户1用户N-1用户N资源1资源M-1资源M……IP地址端口应用协议80443139图六用户权限树型图每一项网络资源都拥有若干