《财政管理软件安全接入平台系统建设方案.docx》由会员分享,可在线阅读,更多相关《财政管理软件安全接入平台系统建设方案.docx(28页珍藏版)》请在三一办公上搜索。
1、财政解决方案-财政管理软件安全接入平台系统建设方案安全、高效接入 惠尔顿e地通 让管理软件连接更安全、更高效、更具管理性 序“e地通是中国首先倡导管理软件网络优化专家系统的安全接入研究企业,解决客户在管理软件接入过程中的诸多问题。e地通希望能够作为我国政府、特别是财政行业客户里面最好的技术和服务解决方案的提供者,最好的协助我国高效政府的贡献者。” 总经理:陈雪志 深圳市惠尔顿信息技术有限公司e地通,管理软件网络优化专家以科技创新构建和谐发展为了配合惠尔顿公司国内市场定位,即成为中国经济发展、政府转型以及帮助企业走向世界的最好的管理软件网络优化解决方案和服务提供者。惠尔顿将创新进行到底,对政府、
2、特别是财政客户的服务重点落实在三个方面,即安全接入、平台管理、应用加速。对政府关心的最大问题,用对行业的理解、先进的技术手段、创新的理念以及全球实践经验对IT创新方面给予最大的支持和协助。e地通为政府、金融、地产、制造、物流、超市等领域的用户提供全面的IT解决方案。在财政用户领域,e 地通广泛服务于“乡财县管”“国库集中支付”“非税改革”。E地通运用最新的技术和优势资源。在已经取得成就的基础上进一步为客户带来创新价值;另外通过不断在各地建立新的分公司,分支机构以及各级代理商,加强与地方政府和公共事业部门的紧密合作,积极推动中国信息化的快速发展。应用加速:是指通过e地通应用加速系统,对现有的以及
3、未来扩展的应用系统采用cash加速、快速连接加速、远程集中接入加速等,从而实现整体应用系统的流畅运行、充分整合现有宽带资源,凸显网络价值。WHOLETON与各大运营商合作,开展相关配套网络增值服务。平台管理:是指通过e地通管理软件网络优化专家系统平台,把现有的以及未来扩展的应用系统进行分类,并对分类好的应用系统进行集中维护和管理,减少后期花在应用系统和网络系统上的维护成本和时间,WHOLETON与各管理软件厂商开展合作,优势互补。安全接入:是指通过e地通安全接入平台,对现有的以及未来扩展的应用系统做统一的接入身份认证、数字加密、服务器安全隔离等,从而达到对服务器端核心数据网络的基于应用的安全风
4、险控制,WHOLETON与高校合作广泛,开发了多项国际前沿的安全专利技术。6 趋势与瞻望7 困难与挑战9 解决之道17 成功故事e地通之财政用户篇趋势与瞻望 随着中国电子政务建设的深入和成熟,日常的业务和相应的改革推动,越来越依赖于管理软件,随着业务的深入和对将来的应用系统的规划,同时也就存在了越来越的用户接入数据中心,越来越多的数据中心建立,越来越多的服务需要提供。如何实现数量众多的接入、管理数量众多的接入,对接入的安全可预见、对后期的规划可复制、扩展等这些都已经摆上了我们工作的日程,成为我们政府信息化的重要部分。趋势一:业务转型由分散走向集成,增加部门之间,上下之间的联动。目前许多地方已经
5、出现了办公大厅这样的政府多部门协作办公形式,从而缩短了业务交互的时间,提高效率。趋势二:技术转型为了能够支持业务转型成功,支撑政府运做的IT系统也要由分散、隔离状态转向集成化、共享化,需要建立安全可靠的IT运行环境,支持随需而变的政府。趋势三:整合转型目前,越来越多的财政改革系统广泛应用于财政局,国库集中支付、乡财县管、非税收入、部门预算、财政一体化、公务卡、OA等,用户数逐渐增多、应用系统逐渐增多、应用功能逐渐明细、系统也随之亦复杂。需将这些业务系统在网络平台上进行整合,统一接入、管理、维护。在我们展望未来电子政务趋势时,组建一个高安全、可管理、易扩展、高效的管理软件网络优化平台已是迫在眉睫
6、,也是财政改革各项措施顺利推行的重要保障!困难与挑战 我们随之而来的挑战又会是哪些?安全接入权限分类统一管理速度提升扩展平台管理软件网络优化平台安全接入:需将政府网或Internet上网用户接入到现有的管理软件系统中来,以满足不同部门、不同地域的用户安全使用业务系统。统一管理:需将为数量众多的管理软件系统进行统一管理,保护服务器群的核心数据,以便实现对服务器群的端口级管理,从而在高层次上认识整体的业务平台。权限分类:需将不同部门、不同地域的数量众多的用户进行分类,针对不同用户进行授权,以便做到对用户访问的权限细粒度控制速度提升:由于系统越来越多,用户接入也越来越多,需解决在有限带宽环境下处理庞
7、大的数据流量。扩展平台:随着信息化改革的深入,会有越来越的管理软件应用系统上线部署,平台建设需面临可扩展的考验。本方案重点介绍安全接入传统的安全解决办法如:l 铺设专线:与互联网做物理隔离。l 租用运营商提供的电话捆绑线路(即运营商月租性)。l 购买防火墙、入侵检测等安全产品。这些传统安全措施在面临新挑战内网安全为什么会作用甚微呢?1、防火墙、入侵检测防御等传统安全方案通常能够有效的在内外网之间建立一道安全屏障。但是由于数据共享的需要,内网的重要数据不可避免的要在内网端到端之间以及内外网之间进行传输,如果重要数据在传输的过程中是明文形式,那么一旦被非法内外网用户捕获,后果就非常可怕;同时内部的
8、病毒和黑客也会因为重要数据共享时传播,怎么办?2、专线通过物理的形式来保证数据在远距离传输过程中两网之间传输通道的专用性来保证安全。运营商的VPN则是通过逻辑的形式也是达到专线的效果,从这个角度担心的安全是得到了保障,但是这两种方式只能做到两网之间传输通道的安全,它主要的作用就是把传输通道两端之间的两个局域网做成一个大的虚拟内网,防火墙会把两端的用户视为可信用户,等同于局域网用户,对他们的安全防范作用是不生效的,所以成百上千的异地用户一旦被连入核心数据区,核心数据区的整个网络都将暴露,建立隧道后,远程PC就像物理地运行在核心数据区的内网一样,相当于为远程访问者敞开了访问核心数据区所有资源的大门
9、,并对全部网络可视,为最终用户关键数据带来了安全风险,所以这样的“大内网”一旦出了安全事故的话,所牵涉到的环境非常复杂,后果也会非常严重,这也是为什么在党政、行业专网或者运营商VPN组成后的大内网中必须还要有相关方案来保证内网安全的原因。因此,满足以下要求的内外网安全技术成了网络安全体系中最重要的一环:1、 能有效杜绝黑客和病毒通过内外网传播到核心数据区。2、 凡是访问核心数据区的用户身份认证要锁定到人,能够做到从客户端到资源端的全程端到端加密。3、 对核心数据区的访问资源权限粒度一定要细到每个应用。4、 降低核心数据区工作人员导致的安全事故。5、 同时不能为了这些安全措施而牺牲传输效率。6、
10、 部署方式灵活,尽量少涉及信息系统的改造,支持大型复杂网络的实施。7、 所建立的核心数据区的安全措施能支撑各种目前及将来的应用。解决之道 随着国家政府专网的建设的不断完善,随着国家电子政务的深化改革,越来越多的政府单位的电脑连接入了政府专网内,越来越多的应用软件在政府专网或Internet内普及使用。目前,某某财政局虽然建立了较为完善的专网系统,但在专网上运行的各类应用软件系统都是暴露在整个专网上的,因此连接性和安全的隐患一直存在。 1、 在专网或者Internet内传输的应用数据,对于机密数据无任何加密等保护措施,导致数据泄密。 2、 在专网内应用软件的数据服务器群由于需要专网内的其他电脑访
11、问,将服务器群服务端口直接暴露在专网上,导致数据服务器直接受到专网内的任一电脑的安全威胁。 3、 在专网内应用软件的数据服务器群的访问权限,无法细致到特定的人特定时间段访问特定的应用软件,导致专网内的任何人都可以访问所有的数据服务器资源,给非法用户敞开了灾难的大门。 4、 在专网内的电脑直接通过网络层访问应用软件数据服务器,一旦电脑由于其他原因如由于业务需要上网,或者便携存储设备等导致感染病毒、木马后,将会直接传播给服务器,造成数据丢失、泄密。 5、 统一管理应用软件服务器,集中部署、集中发布,从更高层次上认识财政改革 IT系统建设,节省总体投资成本。惠尔顿e地通SOCKS v5平台解决方案的
12、解决了这个困绕着某某财政局的网络安全要求高、费用投入少的这个新的工作模式下的矛盾。使各级单位和局中心的国库集中支付、乡财县管、财政监管等以及后续上线的应用软件数据能够统一安全管理,以提高管理的效率,降低安全成本。 在进行了实地考察和环境确认以后,惠尔顿公司提出e地通SOCKS v5安全接入系统解决方案,在财政局中心机房部署CZ-W1000S-9服务器端,将财政局所有应用服务器隐藏、隔离起来,需要接入财政局数据中心的各单位等有权限的操作人员分配e地通客户端,同时启用硬件绑定、硬件USBkey功能,只有同时具备三重认证方式的客户端人员才能进入e地通服务器端认证模块,根据客户端的不同身份,分别授权访
13、问不同的应用如国库集中支付、财务监管、乡财县管等。实现方式(一)用友政务e地通产品总体架构SOCKS5e+1IPSec安全存储KeySSL远程集中接入内网安全防火墙南北互通VPN负载均衡应用加速异地互联用友政务e地通(二)用友政务e地通对安全的实现1、 VLAN功能将核心数据区与内网其他PC做隔离。这样内部普通PC上的黑客程序和病毒不会侵袭到核心数据区来。 2、 e地通对需要访问到数据库的客户端到核心数据区的传输进行数据封装、加密、身份认证及权限访问控制。1) 数据封装:SOCKS5用友政务e地通数据应用层数据加密、压缩、封装负载帧头IP头会话层2)加密:启用加密功能,将对服务器端与客户端交互
14、的数据流进行加密,增强数据在传输过程中的安全性,加密算法为AES-128b。密钥的一个重要因素是它的长度位,比如密钥长度为128,则表示这个密钥里包含了2的128次方个密码规则,这是一个天文数字。EncryptionAlgorithm密文明文3hsd4e3ad38esdf2w4dHi! How are you!3)身份认证:锁定到人身份认证模块可以有效地鉴别来访应用用户的身份信息,以及确定其是否具有访问核心区受控资源的权限。传统的身份认证机制往往采用的是简单的用户名和密码的形式,在进行身份信息确认的过程中,通常也是采用明文方式来发送身份信息,比如不支持HTTPS的WEB邮件系统就是一个典型的例
15、子。这种通过明文方式来进行身份信息认证的过程是非常危险的,攻击者可以很轻松的利用一些常用的嗅探工具(如Sniffer Pro)就可以得到用户的身份信息。e地通安全接入系统在身份认证上提供了简单安全可靠的双因素认证方式,既支持传统的用户名/密码认证方式,也支持更为安全的硬件KEY认证方式,不同的认证方式适合安全需求不同的客户。对于上述的用户名/密码及硬件KEY认证,它们认证的过程是统一的,唯一的区别在于硬件KEY是提供用户身份信息的唯一途径,只有拥有该硬件KEY的用户才能合法登录e地通服务器并访问核心区受控的资源。此外,在唯一表示用户身份信息的同时,e地通服务器还可以鉴别硬件设备的唯一性。换句话
16、说,在进行授权的同时既授权用户的身份信息,同时也授权了用户所使用的机器硬件信息,这种授权方式特别适防止办公人员在认证了的办公机器以外的终端上登录并获取核心区的安全保密信息,从而防止机密信息的外泄。e地通服务器端提供多种方式来验证e地通客户端的身份,包括:用户名和密码、硬件Key、客户端机器特征码绑定。 4)权限管理:访问权限细到指定机器的指定应用,细粒度访问控制。访问控制可以保护应用用户非法操作对核心区的安全侵袭,切断应用用户对核心数据区指定机器指定应用以外数据的非法访问。评价一个系统是否具有比较高的安全性能指标,一个重要因素就是看该系统提供的访问控制粒度。作为一个好的安全系统,细粒度的访问控
17、制是至关重要的。e地通支持基于IP地址、端口和应用的访问控制策略,从而方便网络管理员对应用用户访问核心区应用资源进行更为准确和细致的定位。在访问控制的具体实现上,访问控制模块维护了一个全局的访问控制列表,列表中定义了每一个用户的访问权限,包括被访问资源的IP地址、端口号及可以被RDP执行的应用程序。可以用一棵资源树型图简单的表示其结构:图六 用户权限树型图每一项网络资源都拥有若干种访问权限属性,上图简单列出了最基本的访问权限属性,包括IP地址、端口、用户身份、应用程序路径等属性信息。当远程用户发出应用资源访问请求时,访问控制模块可以根据该请求所包含的如下信息:IP地址、端口号、用户身份、应用协
18、议(协议分析模块分析而得)判定用户的请求是否合法,从而决定是否允许用户进行远程访问网络资源。基于上面的用户权限树,访问控制模块对每一个用户远程访问网络资源的请求作如下过程的解析: 图七根据以往经验,为了充分保证该功能的充分实现,最好不要在核心数据区开放过大过粗的访问权限(如大到整个核心区网段的机器;粗到所有的端口,尤其是文件拷贝和粘贴的功能。)e地通服务器作为核心数据区的安全门户,它将核心数据区的应用通过服务器IP、网络掩码、服务端口来指定。这样充分实现了只有拥有授权用户才能访问相应的应用。5)应用图示(三)e地通对速度的实现1、 远程集中接入功能远程集中接入功能具有强大的应用程序发布能力,它
19、能动态的将应用程序输入输出逻辑与计算逻辑分离,省去C/S应用的异地客户端安装和维护工作,实现单笔数据量大,用户数少的应用在28.8K的互联网上快速运行.速度对比表 不用e地通通过映射应用软件端口到公网访问速度(简称访问方式A)和通过e地通远程集中接入(简称访问方式B)速度对比:对比项目访问方式A:公网访问方式B:e地通远程集中接入方式从页面加载开始到完成进登入界面05:344S02:375S输入用户名密码单击确定后到进入操作页面2:000S01:531S软件内部模块数据处理:总预算会计系统系统级基础资料会计期间模板05:250S00:563S使用e地通远程集中接入方式速度的提高在加载新的页面,
20、加载服务器数据时,对比传统访问得到充分体现。加载的数据量越大,效果愈加明显!2、 LZO数据流压缩技术对于有一些不能采用远程集中接入模式来解决速度的应用,如单笔数据量并不大,但用户数很多的应用,这种应用如果采用远程集中接入功能就会导致远程集中接入服务器的投资很大,此时采用e地通用压缩技术来解决,对服务器端与客户端交互的数据流进行压缩,提高带宽的利用率,压缩算法为LZO流压缩算法。以下是一张对比表,用公网传输和e地通传输的对比表,来体现压缩的效能。文件大小(M)通过用友政务e地通使用FTP传输时间(S)直连FTP传输时间(S)11.5M(SQL备份文件)0:01:10.650:04:59.486
21、.68M(WORD文件)0:01:59.610:03:06.011.61M(Winrar压缩文件)0:00:30.980:00:56.776.65M(JPG图象文件)0:02:20.830:03:05.763、 带宽叠加、负载均衡多条线路叠加,互为备份,并实现负载均衡,不会出现一条线路很忙,另外一条线路很空闲。4、 e地通智能分配带宽,9个级别的QOS管理功能用友政务e地通QOS流量控制30%30%10%10%R9i服务器国库支付服务器数据服务器将带宽优先分配给重要的访问资源,当这些资源没有被使用的时候再自动释放成功故事 清远市清城财政局全面实现安全接入管理2008年10月应清远市清城财政局邀
22、请,我司对财政局实地进行考察和环境确认,和财政局各级领导等相关部门沟通。网络安全系统建设的具体要求,整个项目按照“安全控制性能高、布局规划工作简单、使用操作方法易、实施服务速度快”的原则,将项目建设成“以资源节省为龙头,以安全管理为核心”的安全接入平台。通过e地通SOCKS v5安全接入平台为财政局各类应用软件系统如国库集中支付、乡财县管、财务监管、部门预算、以及后续的其他如系统办公等打造一个基于政府专网的安全应用平台,以保证各类应用软件能够顺畅、安全、高效地在政府专网/Internet上使用,从而实现各单位、各乡镇与财政局之间的信息畅通、效力提高、竞争优越、发展稳定的良性循环。相关拓扑图存在
23、问题与相关解决之道财政局数据中心系统访问用户量多而杂,存在访问权限不明确,内网病毒传播,最后感染服务器,导致数据灾难,采用传统的防火墙和专线已经很难满足客户对安全、稳定和速度的要求,惠尔顿公司e地通SOCKS v5安全接入系统构建在会话层,采用AES 128位基于会话的军方加密技术,可以保证数据的全程安全;屏蔽网络层数据传输,以保证客户端将病毒和木马、等攻击传播给服务器;同时采用代理机制隔离客户端与服务器端传统访问机制,以确保服务器上的数据安全。以前也考虑过其他的解决方案,大多由于安装实施复杂,并且需要规划网络而无法解决,采用惠尔顿e地通以后安装实施的问题得以解决,而且不用规划网络,充分体现了
24、e地通网络适应性强和易用的特点。原来财政局与各单位、各乡镇财政所的信息传递都是通过政府专网和部分Internet的网络层传输数据,数据共享。现在有了惠尔顿e地通SOCKS v5系统的保护,通过该系统平台可以轻松地实现财政局内部的信息安全共享。原来需要考虑的各类应用软件系统的数据安全、和应用的稳定都无需单个去考虑。现在有了e地通SOCKS v5系统的保护,财政局的所有应用软件都在规划好的专用加密隧道中传输,通过向财政局数据中心申请授权,使用本单位的硬件硬件USB KEY接入财政局的电子政务系统,不同的应用都在事先建立好的专用隧道中完成数据传输,避免政府专网中数据传输的混乱。部分财政客户清远市清新
25、财政局全方面安全接入管理湛江市徐闻财政局管理软件网络优化接入平台清远市清城财政局内网安全访问控制平台广西省81县乡财、国库、非税统一接入管理平台内蒙古101旗县乡财、国库统一接入管理平台福建省全省乡财县管县乡联网安全和提速福建省福州鼓楼区国库集中支付远程接入平台海南全省工资统发系统联网和安全提速湖南省张家界永顺县财政局国库集中支付互联安全和提速广西省宾阳县非税收入改革中的安全接入徐州铜山县财政局集中财务配套的管理软件统一接入平台鞍山市财政局集中财务配套的信息化安全和提速吉林白山市财政局新疆乌恰县财政局你若想了解e地通的相关信息诚请联络:熊伟 (华南区销售经理)E-MAIL:xw电话:0755-26635560