財政解決方案-財政管理軟件安全接入平臺系統(tǒng)建設方案

財政解決方案--財政管理軟件安全接入平臺系統(tǒng)建設方案安全、高效接入惠爾頓e地通讓管理軟件連接更安全、更高效、更具管理性序“e地通是中國首先倡導管理軟件網(wǎng)絡優(yōu)化專家系統(tǒng)的安全接入研究企業(yè)，解決客戶在管理軟件接入過程中的諸多問題。e地通希望能夠作為我國政府、特別是財政行業(yè)客戶里面最好的技術和服務解決方案的提供者，最好的協(xié)助我國高效政府的貢獻者?！笨偨?jīng)理：陳雪志深圳市惠爾頓信息技術有限公司e地通，管理軟件網(wǎng)絡優(yōu)化專家—以科技創(chuàng)新構(gòu)建和諧發(fā)展為了配合惠爾頓公司國內(nèi)市場定位，即成為中國經(jīng)濟發(fā)展、政府轉(zhuǎn)型以及幫助企業(yè)走向世界的最好的管理軟件網(wǎng)絡優(yōu)化解決方案和服務提供者。惠爾頓將創(chuàng)新進行到底,對政府、特別是財政客戶的服務重點落實在三個方面，即安全接入、平臺管理、應用加速。對政府關心的最大問題，用對行業(yè)的理解、先進的技術手段、創(chuàng)新的理念以及全球?qū)嵺`經(jīng)驗對IT創(chuàng)新方面給予最大的支持和協(xié)助。e地通為政府、金融、地產(chǎn)、制造、物流、超市等領域的用戶提供全面的IT解決方案。在財政用戶領域，e地通廣泛服務于“鄉(xiāng)財縣管e地通為政府、金融、地產(chǎn)、制造、物流、超市等領域的用戶提供全面的IT解決方案。在財政用戶領域，e地通廣泛服務于“鄉(xiāng)財縣管”“國庫集中支付”“非稅改革”。E地通運用最新的技術和優(yōu)勢資源。在已經(jīng)取得成就的基礎上進一步為客戶帶來創(chuàng)新價值；另外通過不斷在各地建立新的分公司，分支機構(gòu)以及各級代理商，加強與地方政府和公共事業(yè)部門的緊密合作，積極推動中國信息化的快速發(fā)展。應用加速：是指通過e地通應用加速系統(tǒng)，對現(xiàn)有的以及未來擴展的應用系統(tǒng)采用cash加速、快速連接加速、遠程集中接入加速等，從而實現(xiàn)整體應用系統(tǒng)的流暢運行、充分整合現(xiàn)有寬帶資源，凸顯網(wǎng)絡價值。WHOLETON與各大運營商合作，開展相關配套網(wǎng)絡增值服務。平臺管理：是指通過e地通管理軟件網(wǎng)絡優(yōu)化專家系統(tǒng)平臺，把現(xiàn)有的以及未來擴展的應用系統(tǒng)進行分類，并對分類好的應用系統(tǒng)進行集中維護和管理，減少后期花在應用系統(tǒng)和網(wǎng)絡系統(tǒng)上的維護成本和時間，WHOLETON與各管理軟件廠商開展合作，優(yōu)勢互補。安全接入：是指通過e地通安全接入平臺，對現(xiàn)有的以及未來擴展的應用系統(tǒng)做統(tǒng)一的接入身份認證、數(shù)字加密、服務器安全隔離等，從而達到對服務器端核心數(shù)據(jù)網(wǎng)絡的基于應用的安全風險控制，WHOLETON與高校合作廣泛，開發(fā)了多項國際前沿的安全專利技術。66趨勢與瞻望7困難與挑戰(zhàn)9解決之道17成功故事e地通之財政用戶篇趨勢與瞻望e地通之財政用戶篇隨著中國電子政務建設的深入和成熟，日常的業(yè)務和相應的改革推動，越來越依賴于管理軟件，隨著業(yè)務的深入和對將來的應用系統(tǒng)的規(guī)劃，同時也就存在了越來越的用戶接入數(shù)據(jù)中心，越來越多的數(shù)據(jù)中心建立，越來越多的服務需要提供。如何實現(xiàn)數(shù)量眾多的接入、管理數(shù)量眾多的接入，對接入的安全可預見、對后期的規(guī)劃可復制、擴展等這些都已經(jīng)擺上了我們工作的日程，成為我們政府信息化的重要部分。趨勢一：業(yè)務轉(zhuǎn)型由分散走向集成，增加部門之間，上下之間的聯(lián)動。目前許多地方已經(jīng)出現(xiàn)了辦公大廳這樣的政府多部門協(xié)作辦公形式，從而縮短了業(yè)務交互的時間，提高效率。趨勢二：技術轉(zhuǎn)型為了能夠支持業(yè)務轉(zhuǎn)型成功，支撐政府運做的IT系統(tǒng)也要由分散、隔離狀態(tài)轉(zhuǎn)向集成化、共享化，需要建立安全可靠的IT運行環(huán)境，支持隨需而變的政府。趨勢三：整合轉(zhuǎn)型目前，越來越多的財政改革系統(tǒng)廣泛應用于財政局，國庫集中支付、鄉(xiāng)財縣管、非稅收入、部門預算、財政一體化、公務卡、OA等，用戶數(shù)逐漸增多、應用系統(tǒng)逐漸增多、應用功能逐漸明細、系統(tǒng)也隨之亦復雜。需將這些業(yè)務系統(tǒng)在網(wǎng)絡平臺上進行整合，統(tǒng)一接入、管理、維護。在我們展望未來電子政務趨勢時，組建一個高安全、可管理、易擴展、高效的管理軟件網(wǎng)絡優(yōu)化平臺已是迫在眉睫，也是財政改革各項措施順利推行的重要保障！困難與挑戰(zhàn)我們隨之而來的挑戰(zhàn)又會是哪些？安全接入安全接入權(quán)限分類統(tǒng)一管理速度提升擴展平臺管理軟件網(wǎng)絡優(yōu)化平臺安全接入：需將政府網(wǎng)或Internet上網(wǎng)用戶接入到現(xiàn)有的管理軟件系統(tǒng)中來，以滿足不同部門、不同地域的用戶安全使用業(yè)務系統(tǒng)。統(tǒng)一管理：需將為數(shù)量眾多的管理軟件系統(tǒng)進行統(tǒng)一管理，保護服務器群的核心數(shù)據(jù)，以便實現(xiàn)對服務器群的端口級管理，從而在高層次上認識整體的業(yè)務平臺。權(quán)限分類：需將不同部門、不同地域的數(shù)量眾多的用戶進行分類，針對不同用戶進行授權(quán)，以便做到對用戶訪問的權(quán)限細粒度控制速度提升：由于系統(tǒng)越來越多，用戶接入也越來越多，需解決在有限帶寬環(huán)境下處理龐大的數(shù)據(jù)流量。擴展平臺：隨著信息化改革的深入，會有越來越的管理軟件應用系統(tǒng)上線部署，平臺建設需面臨可擴展的考驗。本方案重點介紹安全接入傳統(tǒng)的安全解決辦法如：鋪設專線：與互聯(lián)網(wǎng)做物理隔離。租用運營商提供的電話捆綁線路（即運營商月租性ＶＰＮ）。購買防火墻、入侵檢測等安全產(chǎn)品。這些傳統(tǒng)安全措施在面臨新挑戰(zhàn)——內(nèi)網(wǎng)安全為什么會作用甚微呢？1、防火墻、入侵檢測防御等傳統(tǒng)安全方案通常能夠有效的在內(nèi)外網(wǎng)之間建立一道安全屏障。但是由于數(shù)據(jù)共享的需要，內(nèi)網(wǎng)的重要數(shù)據(jù)不可避免的要在內(nèi)網(wǎng)端到端之間以及內(nèi)外網(wǎng)之間進行傳輸，如果重要數(shù)據(jù)在傳輸?shù)倪^程中是明文形式，那么一旦被非法內(nèi)外網(wǎng)用戶捕獲，后果就非?？膳拢煌瑫r內(nèi)部的病毒和黑客也會因為重要數(shù)據(jù)共享時傳播，怎么辦？2、專線通過物理的形式來保證數(shù)據(jù)在遠距離傳輸過程中兩網(wǎng)之間傳輸通道的專用性來保證安全。運營商的VPN則是通過邏輯的形式也是達到專線的效果，從這個角度擔心的安全是得到了保障，但是這兩種方式只能做到兩網(wǎng)之間傳輸通道的安全，它主要的作用就是把傳輸通道兩端之間的兩個局域網(wǎng)做成一個大的虛擬內(nèi)網(wǎng)，防火墻會把兩端的用戶視為可信用戶，等同于局域網(wǎng)用戶，對他們的安全防范作用是不生效的，所以成百上千的異地用戶一旦被連入核心數(shù)據(jù)區(qū)，核心數(shù)據(jù)區(qū)的整個網(wǎng)絡都將暴露，建立隧道后，遠程PC就像物理地運行在核心數(shù)據(jù)區(qū)的內(nèi)網(wǎng)一樣，相當于為遠程訪問者敞開了訪問核心數(shù)據(jù)區(qū)所有資源的大門，并對全部網(wǎng)絡可視，為最終用戶關鍵數(shù)據(jù)帶來了安全風險，所以這樣的“大內(nèi)網(wǎng)”一旦出了安全事故的話，所牽涉到的環(huán)境非常復雜，后果也會非常嚴重，這也是為什么在黨政、行業(yè)專網(wǎng)或者運營商VPN組成后的大內(nèi)網(wǎng)中必須還要有相關方案來保證內(nèi)網(wǎng)安全的原因。因此，滿足以下要求的內(nèi)外網(wǎng)安全技術成了網(wǎng)絡安全體系中最重要的一環(huán)：能有效杜絕黑客和病毒通過內(nèi)外網(wǎng)傳播到核心數(shù)據(jù)區(qū)。凡是訪問核心數(shù)據(jù)區(qū)的用戶身份認證要鎖定到人,能夠做到從客戶端到資源端的全程端到端加密。對核心數(shù)據(jù)區(qū)的訪問資源權(quán)限粒度一定要細到每個應用。降低核心數(shù)據(jù)區(qū)工作人員導致的安全事故。同時不能為了這些安全措施而犧牲傳輸效率。部署方式靈活，盡量少涉及信息系統(tǒng)的改造，支持大型復雜網(wǎng)絡的實施。所建立的核心數(shù)據(jù)區(qū)的安全措施能支撐各種目前及將來的應用。

解決之道隨著國家政府專網(wǎng)的建設的不斷完善，隨著國家電子政務的深化改革，越來越多的政府單位的電腦連接入了政府專網(wǎng)內(nèi)，越來越多的應用軟件在政府專網(wǎng)或Internet內(nèi)普及使用。目前，某某財政局雖然建立了較為完善的專網(wǎng)系統(tǒng)，但在專網(wǎng)上運行的各類應用軟件系統(tǒng)都是暴露在整個專網(wǎng)上的，因此連接性和安全的隱患一直存在。

1、在專網(wǎng)或者Internet內(nèi)傳輸?shù)膽脭?shù)據(jù)，對于機密數(shù)據(jù)無任何加密等保護措施，導致數(shù)據(jù)泄密。

2、在專網(wǎng)內(nèi)應用軟件的數(shù)據(jù)服務器群由于需要專網(wǎng)內(nèi)的其他電腦訪問，將服務器群服務端口直接暴露在專網(wǎng)上，導致數(shù)據(jù)服務器直接受到專網(wǎng)內(nèi)的任一電腦的安全威脅。3、在專網(wǎng)內(nèi)應用軟件的數(shù)據(jù)服務器群的訪問權(quán)限，無法細致到特定的人特定時間段訪問特定的應用軟件，導致專網(wǎng)內(nèi)的任何人都可以訪問所有的數(shù)據(jù)服務器資源，給非法用戶敞開了災難的大門。4、在專網(wǎng)內(nèi)的電腦直接通過網(wǎng)絡層訪問應用軟件數(shù)據(jù)服務器，一旦電腦由于其他原因如由于業(yè)務需要上網(wǎng)，或者便攜存儲設備等導致感染病毒、木馬后，將會直接傳播給服務器，造成數(shù)據(jù)丟失、泄密。5、統(tǒng)一管理應用軟件服務器，集中部署、集中發(fā)布，從更高層次上認識財政改革IT系統(tǒng)建設，節(jié)省總體投資成本?；轄栴De地通SOCKSv5平臺解決方案的解決了這個困繞著某某財政局的網(wǎng)絡安全要求高、費用投入少的這個新的工作模式下的矛盾。使各級單位和局中心的國庫集中支付、鄉(xiāng)財縣管、財政監(jiān)管等以及后續(xù)上線的應用軟件數(shù)據(jù)能夠統(tǒng)一安全管理，以提高管理的效率，降低安全成本。在進行了實地考察和環(huán)境確認以后，惠爾頓公司提出e地通SOCKSv5安全接入系統(tǒng)解決方案，在財政局中心機房部署CZ-W1000S-9服務器端，將財政局所有應用服務器隱藏、隔離起來，需要接入財政局數(shù)據(jù)中心的各單位等有權(quán)限的操作人員分配e地通客戶端，同時啟用硬件綁定、硬件USBkey功能，只有同時具備三重認證方式的客戶端人員才能進入e地通服務器端認證模塊，根據(jù)客戶端的不同身份，分別授權(quán)訪問不同的應用如國庫集中支付、財務監(jiān)管、鄉(xiāng)財縣管等。[實現(xiàn)方式]（一）用友政務e地通產(chǎn)品總體架構(gòu)SOCKS5e+1SOCKS5e+1IPSecIPSec安全存儲KeySSL安全存儲KeySSL遠程集中接入內(nèi)網(wǎng)安全防火墻南北互通VPN遠程集中接入內(nèi)網(wǎng)安全防火墻南北互通VPN負載均衡應用加速異地互聯(lián)負載均衡應用加速異地互聯(lián)用友政務e地通用友政務e地通（二）用友政務e地通對安全的實現(xiàn)VLAN功能將核心數(shù)據(jù)區(qū)與內(nèi)網(wǎng)其他PC做隔離。這樣內(nèi)部普通PC上的黑客程序和病毒不會侵襲到核心數(shù)據(jù)區(qū)來。e地通對需要訪問到數(shù)據(jù)庫的客戶端到核心數(shù)據(jù)區(qū)的傳輸進行數(shù)據(jù)封裝、加密、身份認證及權(quán)限訪問控制。數(shù)據(jù)封裝：SOCKS5SOCKS5用友政務e地通數(shù)據(jù)數(shù)據(jù)應用層數(shù)據(jù)應用層數(shù)據(jù)加密、壓縮、封裝加密、壓縮、封裝負載幀頭IP頭會話層負載幀頭IP頭會話層2）加密：啟用加密功能，將對服務器端與客戶端交互的數(shù)據(jù)流進行加密，增強數(shù)據(jù)在傳輸過程中的安全性，加密算法為AES-128b。密鑰的一個重要因素是它的長度——位，比如密鑰長度為128，則表示這個密鑰里包含了2的128次方個密碼規(guī)則，這是一個天文數(shù)字。EncryptionAlgorithm密文EncryptionAlgorithm密文明文3hsd4e3ad38esdf2w4dHi!Howareyou!3hsd4e3ad38esdf2w4dHi!Howareyou!3）身份認證：鎖定到人身份認證模塊可以有效地鑒別來訪應用用戶的身份信息，以及確定其是否具有訪問核心區(qū)受控資源的權(quán)限。傳統(tǒng)的身份認證機制往往采用的是簡單的用戶名和密碼的形式，在進行身份信息確認的過程中，通常也是采用明文方式來發(fā)送身份信息，比如不支持HTTPS的WEB郵件系統(tǒng)就是一個典型的例子。這種通過明文方式來進行身份信息認證的過程是非常危險的，攻擊者可以很輕松的利用一些常用的嗅探工具（如SnifferPro）就可以得到用戶的身份信息。e地通安全接入系統(tǒng)在身份認證上提供了簡單安全可靠的雙因素認證方式，既支持傳統(tǒng)的用戶名/密碼認證方式，也支持更為安全的硬件KEY認證方式，不同的認證方式適合安全需求不同的客戶。對于上述的用戶名/密碼及硬件KEY認證，它們認證的過程是統(tǒng)一的，唯一的區(qū)別在于硬件KEY是提供用戶身份信息的唯一途徑，只有擁有該硬件KEY的用戶才能合法登錄e地通服務器并訪問核心區(qū)受控的資源。此外，在唯一表示用戶身份信息的同時，e地通服務器還可以鑒別硬件設備的唯一性。換句話說，在進行授權(quán)的同時既授權(quán)用戶的身份信息，同時也授權(quán)了用戶所使用的機器硬件信息，這種授權(quán)方式特別適防止辦公人員在認證了的辦公機器以外的終端上登錄并獲取核心區(qū)的安全保密信息，從而防止機密信息的外泄。e地通服務器端提供多種方式來驗證e地通客戶端的身份，包括：用戶名和密碼、硬件Key、客戶端機器特征碼綁定。4）權(quán)限管理：訪問權(quán)限細到指定機器的指定應用，細粒度訪問控制。訪問控制可以保護應用用戶非法操作對核心區(qū)的安全侵襲，切斷應用用戶對核心數(shù)據(jù)區(qū)指定機器指定應用以外數(shù)據(jù)的非法訪問。評價一個系統(tǒng)是否具有比較高的安全性能指標，一個重要因素就是看該系統(tǒng)提供的訪問控制粒度。作為一個好的安全系統(tǒng)，細粒度的訪問控制是至關重要的。e地通支持基于IP地址、端口和應用的訪問控制策略，從而方便網(wǎng)絡管理員對應用用戶訪問核心區(qū)應用資源進行更為準確和細致的定位。在訪問控制的具體實現(xiàn)上，訪問控制模塊維護了一個全局的訪問控制列表，列表中定義了每一個用戶的訪問權(quán)限，包括被訪問資源的IP地址、端口號及可以被RDP執(zhí)行的應用程序。可以用一棵資源樹型圖簡單的表示其結(jié)構(gòu)：圖六用戶權(quán)限樹型圖每一項網(wǎng)絡資源都擁有若干種訪問權(quán)限屬性，上圖簡單列出了最基本的訪問權(quán)限屬性，包括IP地址、端口、用戶身份、應用程序路徑等屬性信息。當遠程用戶發(fā)出應用資源訪問請求時，訪問控制模塊可以根據(jù)該請求所包含的如下信息：IP地址、端口號、用戶身份、應用協(xié)議（協(xié)議分析模塊分析而得）判定用戶的請求是否合法，從而決定是否允許用戶進行遠程訪問網(wǎng)絡資源。基于上面的用戶權(quán)限樹，訪問控制模塊對每一個用戶遠程訪問網(wǎng)絡資源的請求作如下過程的解析：圖七根據(jù)以往經(jīng)驗，為了充分保證該功能的充分實現(xiàn)，最好不要在核心數(shù)據(jù)區(qū)開放過大過粗的訪問權(quán)限（如大到整個核心區(qū)網(wǎng)段的機器；粗到所有的端口，尤其是文件拷貝和粘貼的功能。）e地通服務器作為核心數(shù)據(jù)區(qū)的安全門戶，它將核心數(shù)據(jù)區(qū)的應用通過服務器IP、網(wǎng)絡掩碼、服務端口來指定。這樣充分實現(xiàn)了只有擁有授權(quán)用戶才能訪問相應的應用。5）應用圖示（三）e地通對速度的實現(xiàn)遠程集中接入功能遠程集中接入功能具有強大的應用程序發(fā)布能力，它能動態(tài)的將應用程序輸入輸出邏輯與計算邏輯分離，省去C/S應用的異地客戶端安裝和維護工作，實現(xiàn)單筆數(shù)據(jù)量大，用戶數(shù)少的應用在28.8K的互聯(lián)網(wǎng)上快速運行.速度對比表不用e地通通過映射應用軟件端口到公網(wǎng)訪問速度(簡稱訪問方式A)和通過e地通遠程集中接入(簡稱訪問方式B)速度對比：對比項目訪問方式A：公網(wǎng)訪問方式B：e地通遠程集中接入方式從頁面加載開始到完成進登入界面05:344S02:375S輸入用戶名密碼單擊確定后到進入操作頁面2:000S01:531S軟件內(nèi)部模塊數(shù)據(jù)處理：總預算會計系統(tǒng)〉系統(tǒng)級基礎資料〉會計期間模板05:250S00:563S使用e地通遠程集中接入方式速度的提高在加載新的頁面，加載服務器數(shù)據(jù)時，對比傳統(tǒng)訪問得到充分體現(xiàn)。加載的數(shù)據(jù)量越大，效果愈加明顯！LZO數(shù)據(jù)流壓縮技術對于有一些不能采用遠程集中接入模式來解決速度的應用，如單筆數(shù)據(jù)量并不大，但用戶數(shù)很多的應用，這種應用如果采用遠程集中接入功能就會導致遠程集中接入服務器的投資很大，此時采用e地通用壓縮技術來解決，對服務器端與客戶端交互的數(shù)據(jù)流進行壓縮，提高帶寬的利用率，壓縮算法為LZO流壓縮算法。以下是一張對比表，用公網(wǎng)傳輸和e地通傳輸?shù)膶Ρ缺恚瑏眢w現(xiàn)壓縮的效能。文件大小文件大小(M)通過用友政務e地通使用FTP傳輸時間(S)直連FTP傳輸時間(S)11.5M（SQL備份文件）0:01:10.650:04:59.486.68M(WORD文件)0:01:59.610:03:06.011.61M(Winrar壓縮文件)0:00:30.980:00:56.776.65M(JPG圖象文件)0:02:20.830:03:05.76帶寬疊加、負載均衡多條線路疊加，互為備份，并實現(xiàn)負載均衡，不會出現(xiàn)一條線路很忙，另外一條線路很空閑。e地通智能分配帶寬，9個級別的QOS管理功能用友政務e地通QOS用友政務e地通QOS流量控制30%30%10%10%R9i服務器國庫支付服務器數(shù)據(jù)服務器放成功故事清遠市清城財政局全面實現(xiàn)安全接入管理2008年10月應清遠市清城財政局邀請，我司對財政局實地進行考察和環(huán)境確認，和財政局各級領導等相關部門溝通。網(wǎng)絡安全系統(tǒng)建設的具體要求，整個項目按照“安全控制性能高、布局規(guī)劃工作簡單、使用操作方法易、實施服務速度快”的原則，將項目建設成“以資源節(jié)省為龍頭，以安全管理為核心”的安全接入平臺。通過e地通SOCKSv5安全接入平臺為財政局各類應用軟件系統(tǒng)如國庫集中支付、鄉(xiāng)財縣管、財務監(jiān)管、部門預算、以及后續(xù)的其他如系統(tǒng)辦公等打造一個基于政府專網(wǎng)的安全應用平臺，以保證各類應用軟件能夠順暢、安全、高效地在政府專網(wǎng)/Internet上使用，從而實現(xiàn)各單位、各鄉(xiāng)鎮(zhèn)與財政局之間的信息暢通、效力提高、競爭優(yōu)越、發(fā)展穩(wěn)定的良性循環(huán)。相關拓撲圖[存在問題與相關解決之道]財政局數(shù)據(jù)中心系統(tǒng)訪問用戶量多而雜，存在訪問權(quán)限不明確，內(nèi)網(wǎng)病毒傳播，最后感染服務器，導致數(shù)據(jù)災難，采用傳統(tǒng)的防火墻和專線已經(jīng)很難滿足客戶對安全、穩(wěn)定和速度的要求，惠爾頓公司e地通SOCKSv5安全接入系統(tǒng)構(gòu)建在會話層，采用A