財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范解讀

《財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范》講解財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF

《規(guī)范》產(chǎn)生背景網(wǎng)絡(luò)接入方式及選擇原則網(wǎng)絡(luò)接入安全安全管理財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)架構(gòu)制定《規(guī)范》原則產(chǎn)生背景

自2002年金財(cái)工程啟動(dòng)以來，財(cái)政系統(tǒng)逐步建立了財(cái)政業(yè)務(wù)專網(wǎng)，縱向?qū)崿F(xiàn)了中央到省、市、縣、鄉(xiāng)的四級(jí)縱向網(wǎng)絡(luò)連接，橫向?qū)崿F(xiàn)了和同級(jí)預(yù)算單位、代理銀行、人民銀行等單位的網(wǎng)絡(luò)連接，財(cái)政業(yè)務(wù)專網(wǎng)已經(jīng)成為財(cái)政業(yè)務(wù)開展的基礎(chǔ)支撐。

財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF現(xiàn)有財(cái)政業(yè)務(wù)專網(wǎng)的定位

業(yè)務(wù)方面：要滿足對(duì)財(cái)政業(yè)務(wù)的支撐，縱向到底，橫行到邊，是支撐財(cái)政業(yè)務(wù)運(yùn)行的主體網(wǎng)絡(luò)。

安全方面：非涉密網(wǎng)絡(luò)，不能處理涉密信息；非社會(huì)公開信息，敏感信息（工作秘密）；等級(jí)保護(hù)三級(jí)；與互聯(lián)網(wǎng)物理隔離。財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF原有財(cái)政業(yè)務(wù)專網(wǎng)存在的問題

業(yè)務(wù)發(fā)展與安全要求產(chǎn)生的矛盾

業(yè)務(wù)要求網(wǎng)絡(luò)連接要方便，用戶在哪，網(wǎng)絡(luò)到哪，網(wǎng)絡(luò)不斷擴(kuò)展。安全強(qiáng)度不能降低，信息不能外泄、業(yè)務(wù)數(shù)據(jù)不能被篡改，完整性、準(zhǔn)確性要保證；與互聯(lián)網(wǎng)物理隔離。

原有標(biāo)準(zhǔn)與新技術(shù)發(fā)展產(chǎn)生的矛盾

移動(dòng)聯(lián)網(wǎng)技術(shù)、安全數(shù)據(jù)交換技術(shù)、各種VPN技術(shù)等為突破原有標(biāo)準(zhǔn)提供可能。

財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF原有財(cái)政業(yè)務(wù)專網(wǎng)存在的問題

各省根據(jù)業(yè)務(wù)開展的需要，已經(jīng)進(jìn)行了各種嘗試，接入方式各種各樣，網(wǎng)絡(luò)連接方式比較多，不規(guī)范，安全性受到較大影響。

如何既要滿足財(cái)政業(yè)務(wù)對(duì)網(wǎng)絡(luò)不斷擴(kuò)大和外延的需求，同時(shí)還要保證業(yè)務(wù)系統(tǒng)的安全，成為急需解決的問題。

財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF接入規(guī)范要解決的主要問題

一是解決規(guī)范性問題，二是解決業(yè)務(wù)需要與安全需要再平衡問題

規(guī)范各級(jí)財(cái)政業(yè)務(wù)專網(wǎng)與其它網(wǎng)絡(luò)、不同類型用戶的連接及數(shù)據(jù)交換行為，更好地滿足財(cái)政業(yè)務(wù)安全運(yùn)行的需要。

《財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范》（財(cái)信辦[2015]2號(hào)）2015年3月27日印發(fā)

財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF適用范圍

本規(guī)范適用于各級(jí)財(cái)政部門業(yè)務(wù)專網(wǎng)的網(wǎng)絡(luò)接入和數(shù)據(jù)交換，是各級(jí)財(cái)政部門開展網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)運(yùn)行管理工作的依據(jù)。財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF

《規(guī)范》產(chǎn)生背景網(wǎng)絡(luò)接入方式及選擇原則網(wǎng)絡(luò)接入安全安全管理財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)架構(gòu)制定《規(guī)范》的原則原則

可控性原則：邊界可控、數(shù)據(jù)交換可控

可管理性原則：對(duì)接入的用戶有管理措施可用性原則：方案可行，措施可操作

安全性原則：對(duì)終端、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)有安全保護(hù)措施

規(guī)范性原則：符合國(guó)家相關(guān)法律、政策和標(biāo)準(zhǔn)財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF

《規(guī)范》產(chǎn)生背景網(wǎng)絡(luò)接入方式及選擇原則網(wǎng)絡(luò)接入安全安全管理財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)架構(gòu)制定《規(guī)范》的原則財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

財(cái)政業(yè)務(wù)專網(wǎng)采用樹形網(wǎng)絡(luò)結(jié)構(gòu)為主，縱向上主要由各級(jí)財(cái)政部門按垂直的上下級(jí)模式連接成廣域骨干網(wǎng)絡(luò)，由財(cái)政部連接全國(guó)37個(gè)省、自治區(qū)、直轄市及計(jì)劃單列市財(cái)政廳（局），新疆生產(chǎn)建設(shè)兵團(tuán)財(cái)務(wù)局，并向下覆蓋到地市、區(qū)縣、鄉(xiāng)鎮(zhèn)財(cái)政部門。

財(cái)政縱向網(wǎng)絡(luò)涵蓋財(cái)政部、省、市、縣、鄉(xiāng)財(cái)政部門，財(cái)政部到各省、自治區(qū)、直轄市、計(jì)劃單列市財(cái)政部門的網(wǎng)絡(luò)構(gòu)成一級(jí)縱向骨干網(wǎng)，省級(jí)財(cái)政部門到各地市財(cái)政部門構(gòu)成二級(jí)縱向骨干網(wǎng)，地市財(cái)政部門到縣級(jí)財(cái)政部門為三級(jí)縱向骨干網(wǎng)，縣級(jí)財(cái)政網(wǎng)絡(luò)延伸到鄉(xiāng)鎮(zhèn)財(cái)政所為四級(jí)縱向網(wǎng)。財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF縱向網(wǎng)絡(luò)

財(cái)政業(yè)務(wù)專網(wǎng)在橫向上以各級(jí)財(cái)政部門為中心向同級(jí)預(yù)算單位、代理銀行和信息資源共享部門等輻射連接，形成該級(jí)的城域接入網(wǎng)。各單位通過點(diǎn)對(duì)網(wǎng)連接模式或網(wǎng)對(duì)網(wǎng)連接模式橫向連接到財(cái)政業(yè)務(wù)專網(wǎng)。

橫向網(wǎng)絡(luò)分為財(cái)政部接入網(wǎng)絡(luò)、省級(jí)財(cái)政接入網(wǎng)絡(luò)、地市級(jí)接入網(wǎng)絡(luò)、縣級(jí)接入網(wǎng)絡(luò)，分別與本級(jí)的預(yù)算單位、人民銀行、代理商業(yè)銀行及其他有關(guān)單位等外部單位進(jìn)行網(wǎng)絡(luò)互接。按照財(cái)政業(yè)務(wù)需要，人民銀行、代理商業(yè)銀行也可以省級(jí)或者市級(jí)網(wǎng)絡(luò)為統(tǒng)一節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)互接。鄉(xiāng)級(jí)網(wǎng)絡(luò)原則只限于內(nèi)部局域網(wǎng)絡(luò)，不外接其他單位。財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF橫向網(wǎng)絡(luò)財(cái)政業(yè)務(wù)專網(wǎng)縱向、橫向連接示意圖財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF

財(cái)政部業(yè)務(wù)專網(wǎng)，縱向接入?yún)^(qū)下聯(lián)全國(guó)36個(gè)省、自治區(qū)、直轄市及計(jì)劃單列市財(cái)政廳（局）和新疆生產(chǎn)建設(shè)兵團(tuán)財(cái)務(wù)局，并通過縱向接入?yún)^(qū)連接財(cái)政部派駐35個(gè)省市財(cái)政監(jiān)察專員辦事處；橫向接入?yún)^(qū)連接中央預(yù)算單位、人民銀行總行、代理商業(yè)銀行、信息資源共享部門；內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)完成與財(cái)政業(yè)務(wù)外網(wǎng)、外部其他單位非實(shí)時(shí)的數(shù)據(jù)交換業(yè)務(wù)。財(cái)政部業(yè)務(wù)專網(wǎng)財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF中央預(yù)算單位接入模式：網(wǎng)對(duì)網(wǎng)；或點(diǎn)對(duì)網(wǎng)。人民銀行總行、代理商業(yè)銀行接入模式：網(wǎng)對(duì)網(wǎng)。中央信息資源共享部門接入模式：網(wǎng)對(duì)網(wǎng)。財(cái)政部業(yè)務(wù)專網(wǎng)財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF省、市、縣各級(jí)財(cái)政業(yè)務(wù)專網(wǎng)，縱向上連上級(jí)財(cái)政部門業(yè)務(wù)專網(wǎng)，下連下級(jí)財(cái)政部門業(yè)務(wù)專網(wǎng)，橫向連接各級(jí)預(yù)算單位、人民銀行、代理商業(yè)銀行、非稅執(zhí)收單位和信息資源共享部門。內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)完成與財(cái)政業(yè)務(wù)外網(wǎng)、外部其他單位非實(shí)時(shí)的數(shù)據(jù)交換業(yè)務(wù)。省市縣財(cái)政部門業(yè)務(wù)專網(wǎng)財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF地方本級(jí)預(yù)算單位（包括執(zhí)收單位）接入模式：網(wǎng)點(diǎn)網(wǎng)；或點(diǎn)對(duì)網(wǎng)。人民銀行、代理商業(yè)銀行接入模式：網(wǎng)對(duì)網(wǎng)。

下一步，財(cái)政業(yè)務(wù)系統(tǒng)將逐步向省級(jí)集中模式過渡，省級(jí)財(cái)政部門與省級(jí)人民銀行、代理商業(yè)銀行直接連接，地市縣級(jí)財(cái)政和相應(yīng)的人行、商行不再直連。各省可根據(jù)本省業(yè)務(wù)實(shí)際情況確定網(wǎng)絡(luò)連接架構(gòu)，并逐步向省級(jí)集中模式過渡。地方本級(jí)信息資源共享部門接入模式：網(wǎng)對(duì)網(wǎng)。省市縣財(cái)政部門業(yè)務(wù)專網(wǎng)財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF

應(yīng)根據(jù)安全和應(yīng)用需求情況，合理劃分局域網(wǎng)的安全區(qū)域。應(yīng)至少包括核心交換區(qū)、縱向接入?yún)^(qū)、橫向接入?yún)^(qū)、內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)、安全管理區(qū)以及其它業(yè)務(wù)區(qū)。橫向接入?yún)^(qū)：實(shí)現(xiàn)橫向連接單位的網(wǎng)絡(luò)接入、安全防護(hù)、應(yīng)用訪問、與內(nèi)部網(wǎng)絡(luò)的隔離與信息交換；縱向接入?yún)^(qū)：實(shí)現(xiàn)財(cái)政內(nèi)部上下級(jí)用戶的網(wǎng)絡(luò)接入、安全防護(hù)、應(yīng)用訪問。內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)：財(cái)政業(yè)務(wù)外網(wǎng)與財(cái)政業(yè)務(wù)專網(wǎng)進(jìn)行數(shù)據(jù)交換和數(shù)據(jù)共享時(shí)，應(yīng)在兩者之間建立內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)，通過安全隔離與信息交換系統(tǒng)，實(shí)現(xiàn)兩網(wǎng)之間的雙向可控?cái)?shù)據(jù)交換。財(cái)政專網(wǎng)局域網(wǎng)財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF

《規(guī)范》產(chǎn)生背景網(wǎng)絡(luò)接入方式及選擇原則網(wǎng)絡(luò)接入安全安全管理財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)架構(gòu)制定《規(guī)范》的原則財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF1、專線

專線是指在廣域或城域連接中使用光纖，或者租用運(yùn)營(yíng)商SDH/MSTP、DWDM鏈路、PTN等進(jìn)行互聯(lián)的專用線路。xDSL等其他接入方式不屬于專線。

2、電子政務(wù)網(wǎng)絡(luò)

本規(guī)范所稱電子政務(wù)網(wǎng)絡(luò)是指國(guó)家電子政務(wù)外網(wǎng)和各級(jí)黨政部門已建成的非涉密專網(wǎng)。

3、MPLS（MultiProtocolLabelSwiching）VPN網(wǎng)絡(luò)MPLSVPN網(wǎng)絡(luò)是指運(yùn)營(yíng)商利用MPLSVPN技術(shù)提供的虛擬專線服務(wù)，其安全性、可靠性低于專線。

4、VPDN（VirtualPrivateDial-upNetworks）網(wǎng)絡(luò)VPDN虛擬專用撥號(hào)網(wǎng)是運(yùn)營(yíng)商基于L2TP等技術(shù)為客戶提供的一種相對(duì)可控的撥號(hào)接入方式。這種接入方式可以提供對(duì)終端的認(rèn)證功能，數(shù)據(jù)經(jīng)過隧道傳輸。VPDN方案的終端接入方式可以采用有線接入，也可以采用3G、4G無線接入。VPDN適合地點(diǎn)分散和人員分散，對(duì)線路的保密和可用性有一定要求的固定和移動(dòng)用戶。網(wǎng)絡(luò)接入方式VPDN建立過程LACLNSCorporateLANL2TPNetworkServerL2TPAccessConcentratorInternet電話網(wǎng)/ATM/IPPCL2TPTunnel第一層radius第二層radius(1)(2)(4)(5)(6)(7)(8)(9)用戶發(fā)起與LAC之間的PPP連接；LAC通過Radius對(duì)用戶進(jìn)行第一層Radius認(rèn)證，對(duì)域名進(jìn)行認(rèn)證；Radius根據(jù)域名返回對(duì)應(yīng)的隧道屬性，包括LNSIP、隧道類型、隧道密碼等；LAC根據(jù)隧道屬性向LNS發(fā)起建立隧道請(qǐng)求；LAC與LNS間建立L2TP隧道；在隧道中為用戶建立Session，LAC把和用戶協(xié)商得到的LCP選項(xiàng)和驗(yàn)證信息送給LNS；LNS向二層Radius發(fā)起對(duì)用戶帳號(hào)/密碼的認(rèn)證，并為用戶分配IP地址；Radius認(rèn)證通過返回相關(guān)信息給LNS；LNS為用戶反饋IP地址及相關(guān)信息；(3)財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF用戶類型及接入場(chǎng)景接入方式專線電子政務(wù)網(wǎng)絡(luò)運(yùn)營(yíng)商MPLSVPNVPDN財(cái)政系統(tǒng)用戶縱向連接部到省√√

省到地市、地市到區(qū)縣√√√

區(qū)縣到鄉(xiāng)鎮(zhèn)√√√√財(cái)政系統(tǒng)用戶遠(yuǎn)程辦公

√外部用戶橫向連接中央一級(jí)預(yù)算單位√√

中央基層預(yù)算單位√√

√地方各級(jí)預(yù)算單位√√√√人民銀行√√代理銀行√

√

信息資源共享部門√√

財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF

財(cái)政內(nèi)部用戶：各級(jí)財(cái)政縱向互聯(lián)時(shí)采用專線或電子政務(wù)網(wǎng)絡(luò)等方式。通過電子政務(wù)外網(wǎng)互聯(lián)時(shí)要在專用網(wǎng)絡(luò)區(qū)進(jìn)行連接。

外部用戶：財(cái)政橫向連接的主要是外部用戶，包括預(yù)算單位、人民銀行、代理商業(yè)銀行、信息資源共享部門等。

各級(jí)人民銀行、代理商業(yè)銀行采用專線等作為網(wǎng)絡(luò)連接鏈路。

中央一級(jí)預(yù)算單位及中央信息資源共享部門采用專線、電子政務(wù)網(wǎng)絡(luò)接入。

中央基層預(yù)算單位采用專線、電子政務(wù)網(wǎng)絡(luò)或者VPDN等方式接入。

地方各級(jí)預(yù)算單位可采用專線、電子政務(wù)網(wǎng)絡(luò)、運(yùn)營(yíng)商MPLSVPN或者VPDN等方式接入。接入方式的選擇財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF

《規(guī)范》產(chǎn)生背景網(wǎng)絡(luò)接入方式及選擇原則網(wǎng)絡(luò)接入安全安全管理財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)架構(gòu)制定《規(guī)范》的原則財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF網(wǎng)絡(luò)接入安全終端安全鏈路安全邊界安全認(rèn)證安全應(yīng)用安全安全產(chǎn)品必須國(guó)產(chǎn)自主可控財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF終端安全——內(nèi)部終端財(cái)政內(nèi)部用戶終端計(jì)算機(jī)應(yīng)采取以下措施：

（1）專機(jī)專用，不得連接互聯(lián)網(wǎng)及其它網(wǎng)絡(luò)，嚴(yán)禁處理涉密信息。

（2）應(yīng)安裝統(tǒng)一的客戶端安

全管理軟件，啟用實(shí)名制注冊(cè)、安全準(zhǔn)入、防范違規(guī)外聯(lián)、補(bǔ)丁升級(jí)功能。

（3）應(yīng)安裝統(tǒng)一的殺毒軟件，并確保病毒庫(kù)及時(shí)更新，防范惡意代碼。

（4）加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)管理，嚴(yán)控?cái)?shù)據(jù)輸入輸出，防止數(shù)據(jù)泄漏。財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF終端安全——內(nèi)部終端便攜計(jì)算機(jī)，應(yīng)采取以下措施：（1）采取共享限制、強(qiáng)制鎖屏、密碼強(qiáng)度控制、系統(tǒng)加固等措施。（2）采用VPDN方式時(shí)，3G/4G上網(wǎng)卡應(yīng)與用戶綁定，并采取相應(yīng)技術(shù)措施，確保終端只能訪問財(cái)政業(yè)務(wù)專網(wǎng)。（3）應(yīng)安裝客戶端安全管理軟件進(jìn)行安全管理。（4）終端接入時(shí)應(yīng)使用財(cái)政數(shù)字證書進(jìn)行用戶身份認(rèn)證。（5）應(yīng)采用加密、沙盒等技術(shù)對(duì)數(shù)據(jù)進(jìn)行保護(hù)，防止數(shù)據(jù)泄漏。原則上數(shù)據(jù)不允許落地。

財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF終端安全——內(nèi)部終端平板電腦或手機(jī)終端，應(yīng)采取以下措施：（1）原則上應(yīng)使用專用的APP訪問財(cái)政業(yè)務(wù)系統(tǒng)。（2）應(yīng)采用加密、沙盒等技術(shù)對(duì)數(shù)據(jù)進(jìn)行保護(hù)，防止數(shù)據(jù)泄漏。原則上數(shù)據(jù)不允許落地。（3）采用VPDN方式時(shí)，3G/4G上網(wǎng)卡應(yīng)與用戶綁定，并采取相應(yīng)技術(shù)措施，確保終端只能訪問財(cái)政業(yè)務(wù)專網(wǎng)。（4）終端接入時(shí)應(yīng)使用財(cái)政頒發(fā)的數(shù)字證書進(jìn)行用戶身份認(rèn)證，證書介質(zhì)可采用SIM卡、SD卡、耳機(jī)接口的USBKEY、藍(lán)牙接口的USBKEY等硬件方式。（5）禁止私自提升終端權(quán)限，如獲取root權(quán)限、越獄等。（6）終端一旦發(fā)生遺失，應(yīng)有相關(guān)技術(shù)手段防范數(shù)據(jù)泄露，如遠(yuǎn)程擦除手段。財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF終端安全——外部終端點(diǎn)對(duì)網(wǎng)模式接入終端要求

接入終端要符合財(cái)政部門的安全規(guī)范，采取以下措施：

（1）接入終端應(yīng)專機(jī)專用，不得連接互聯(lián)網(wǎng)及其它網(wǎng)絡(luò)，嚴(yán)禁處理涉密信息。

（2）接入終端原則上應(yīng)通過客戶端安全監(jiān)控和管理軟件、加密或沙盒等技術(shù)手段進(jìn)行安全管理，嚴(yán)格網(wǎng)絡(luò)準(zhǔn)入，及時(shí)進(jìn)行補(bǔ)丁升級(jí)，簡(jiǎn)化相關(guān)軟件的安裝和使用，降低運(yùn)維成本。

（3）接入終端應(yīng)安裝殺毒軟件，并確保病毒庫(kù)及時(shí)更新，防范惡意代碼。

（4）應(yīng)使用財(cái)政部門頒發(fā)的財(cái)政數(shù)字證書進(jìn)行用戶身份認(rèn)證。

（5）加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)管理，嚴(yán)控?cái)?shù)據(jù)輸入輸出，防止數(shù)據(jù)泄漏。財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF終端安全——外部終端網(wǎng)對(duì)網(wǎng)模式接入終端要求

接入單位網(wǎng)絡(luò)須符合等保三級(jí)要求，接入終端應(yīng)采取必要的安全防護(hù)措施。在訪問財(cái)政內(nèi)部業(yè)務(wù)應(yīng)用時(shí)，須使用財(cái)政部門頒發(fā)的數(shù)字證書進(jìn)行用戶身份認(rèn)證。財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF鏈路安全

應(yīng)根據(jù)實(shí)際業(yè)務(wù)情況，優(yōu)先選擇安全性較高的接入方式，可選用IPsecVPN、SSLVPN等方式實(shí)現(xiàn)數(shù)據(jù)加密和完整性保護(hù)。財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF邊界安全——橫向、縱向連接區(qū)的安全功能財(cái)政業(yè)務(wù)專網(wǎng)內(nèi)部分區(qū)財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF各安全子區(qū)設(shè)備部署示意圖邊界安全——橫向連接區(qū)的安全功能財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF邊界安全——內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)

根據(jù)實(shí)際業(yè)務(wù)需求，財(cái)政業(yè)務(wù)專網(wǎng)要與財(cái)政業(yè)務(wù)外網(wǎng)進(jìn)行數(shù)據(jù)交換，須在兩網(wǎng)之間部署安全隔離與信息交換系統(tǒng)，采用擺渡方式實(shí)現(xiàn)協(xié)議剝離（禁止使用代理方式），保證安全數(shù)據(jù)交互。安全隔離與信息交換系統(tǒng)在網(wǎng)閘兩側(cè)部署有交換系統(tǒng)，實(shí)現(xiàn)在數(shù)據(jù)交換前后的數(shù)據(jù)剝離和落地，對(duì)文件進(jìn)行安全檢查和殺毒處理。財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF認(rèn)證安全

應(yīng)對(duì)財(cái)政業(yè)務(wù)專網(wǎng)接入對(duì)象進(jìn)行身份認(rèn)證。接入用戶使用財(cái)政數(shù)字證書進(jìn)行身份認(rèn)證；接入設(shè)備可通過IP/MAC/設(shè)備碼或設(shè)備證書等進(jìn)行身份認(rèn)證。財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范MOF應(yīng)用安全應(yīng)合理確定應(yīng)用系統(tǒng)的安全等級(jí)保護(hù)級(jí)別，按照國(guó)家信息安全等級(jí)保護(hù)相關(guān)政策標(biāo)準(zhǔn)進(jìn)行開發(fā)和管理，實(shí)現(xiàn)所要求的安全功能。要開發(fā)和部署獨(dú)立于應(yīng)用系統(tǒng)的第三方審計(jì)系統(tǒng)，保證對(duì)應(yīng)用審計(jì)的可信和可追溯