财政解决方案财政管理软件安全接入平台系统建设方案模板.doc

财政处理方案--财政管理软件安全接入平台系统建设方案 安全、高效接入 惠尔顿e地通 让管理软件连接更安全、更高效、更具管理性 序 “e地通是中国首先提倡管理软件网络优化教授系统安全接入研究企业，处理用户在管理软件接入过程中很多问题。 e地通期望能够作为中国政府、尤其是财政行业用户里面最好 技术和服务处理方案提供者，最好帮助中国高效政府贡献者。” 总经理：陈雪志 深圳市惠尔顿信息技术 e地通，管理软件网络优化教授 —以科技创新构建友好发展 为了配合惠尔顿企业中国市场定位，即成为中国经济发展、政府转型和帮助企业走向世界最好管理软件网络优化处理方案和服务提供者。惠尔顿将创新进行到底,对政府、尤其是财政用户服务关键落实在三个方面，即安全接入、平台管理、应用加速。对政府关心最大问题，用对行业了解、优异技术手段、创新理念和全球实践经验对IT创新方面给最大支持和帮助。 e地通为政府、金融、地产、制造、物流、超市等领域用户提供全方面IT处理方案。在财政用户领域，e 地通广泛服务于“乡财县管”“国库集中支付”“非税改革”。E地通利用最新技术和优势资源。在已经取得成就基础上深入为用户带来创新价值；另外经过不停在各地建立新分企业，分支机构和各级代理商，加强和地方政府和公共事业部门紧密合作，主动推进中国信息化快速发展。 应用加速：是指经过e地通应用加速系统，对现有和未来扩展应用系统采取cash加速、快速连接加速、远程集中接入加速等，从而实现整体应用系统流畅运行、充足整合现有宽带资源，凸显网络价值。WHOLETON和各大运行商合作，开展相关配套网络增值服务。 平台管理：是指经过e地通管理软件网络优化教授系统平台，把现有和未来扩展应用系统进行分类，并对分类好应用系统进行集中维护和管理，降低后期花在应用系统和网络系统上维护成本和时间，WHOLETON和各管理软件厂商开展合作，优势互补。 安全接入：是指经过e地通安全接入平台，对现有和未来扩展应用系统做统一接入身份认证、数字加密、服务器安全隔离等，从而达成对服务器端关键数据网络基于应用安全风险控制，WHOLETON和高校合作广泛，开发了多项国际前沿安全专利技术。 6 趋势和 瞻望 7 困难和 挑战 9 处理之 道 17 成功故 事 e地通之财政用户篇 趋势和瞻望 伴随中国电子政务建设深入和成熟，日常业务和对应改革推进，越来越依靠于管理软件，伴随业务深入和对未来应用系统计划，同时也就存在了越来越用户接入数据中心，越来越多数据中心建立，越来越多服务需要提供。 怎样实现数量众多接入、管理数量众多接入，对接入安全可预见、对后期计划可复制、扩展等这些全部已经摆上了我们工作日程，成为我们政府信息化关键部分。 趋势一：业务转型 由分散走向集成，增加部门之间，上下之间联动。现在很多地方已经出现了办公大厅这么政府多部门协作办公形式，从而缩短了业务交互时间，提升效率。 趋势二：技术转型 为了能够支持业务转型成功，支撑政府运做IT系统也要由分散、隔离状态转向集成化、共享化，需要建立安全可靠IT运行环境，支持随需而变政府。 趋势三：整合转型 现在，越来越多财政改革系统广泛应用于财政局，国库集中支付、乡财县管、非税收入、部门预算、财政一体化、公务卡、OA等，用户数逐步增多、应用系统逐步增多、应用功效逐步明细、系统也随之亦复杂。需将这些业务系统在网络平台上进行整合，统一接入、管理、维护。 在我们展望未来电子政务趋势时，组建一个高安全、可管理、易扩展、高效管理软件网络优化平台已是迫在眉睫，也是财政改革各项方法顺利推行关键保障！ 困难和挑战 我们随之而来挑战又会是哪些？ 安全接入 权限分类 统一管理 速度提升 扩展平台 管理软件网络优化平台 安全接入：需将政府网或Internet上网用户接入到现有管理软件系统中来，以满足不一样部门、不一样地域用户安全使用业务系统。 统一管理：需将为数量众多管理软件系统进行统一管理，保护服务器群关键数据，方便实现对服务器群端口级管理，从而在高层次上认识整体业务平台。 权限分类：需将不一样部门、不一样地域数量众多用户进行分类，针对不一样用户进行授权，方便做到对用户访问权限细粒度控制 速度提升：因为系统越来越多，用户接入也越来越多，需处理在有限带宽环境下处理庞大数据流量。 扩展平台：伴随信息化改革深入，会有越来越管理软件应用系统上线布署，平台建设需面临可扩展考验。 本方案关键介绍安全接入 传统安全处理措施如： l 铺设专线：和互联网做物理隔离。 l 租用运行商提供电话捆绑线路（即运行商月租性ＶＰＮ）。 l 购置防火墙、入侵检测等安全产品。 这些传统安全方法在面临新挑战——内网安全为何会作用甚微呢？ 1、防火墙、入侵检测防御等传统安全方案通常能够有效在内外网之间建立一道安全屏障。不过因为数据共享需要，内网关键数据不可避免要在内网端到端之间和内外网之间进行传输，假如关键数据在传输过程中是明文形式，那么一旦被非法内外网用户捕捉，后果就很可怕；同时内部病毒和黑客也会因为关键数据共享时传输，怎么办？ 2、专线经过物理形式来确保数据在远距离传输过程中两网之间传输通道专用性来确保安全。运行商VPN则是经过逻辑形式也是达成专线效果，从这个角度担心安全是得到了保障，不过这两种方法只能做到两网之间传输通道安全，它关键作用就是把传输通道两端之间两个局域网做成一个大虚拟内网，防火墙会把两端用户视为可信用户，等同于局域网用户，对她们安全防范作用是不生效，所以成百上千异地用户一旦被连入关键数据区，关键数据区整个网络全部将暴露，建立隧道后，远程PC就像物理地运行在关键数据区内网一样，相当于为远程访问者敞开了访问关键数据区全部资源大门，并对全部网络可视，为最终用户关键数据带来了安全风险，所以这么“大内网”一旦出了安全事故话，所牵涉到环境很复杂，后果也会很严重，这也是为何在党政、行业专网或运行商VPN组成后大内网中必需还要有相关方案来确保内网安全原因。 所以，满足以下要求内外网安全技术成了网络安全体系中最关键一环： 1、 能有效杜绝黑客和病毒经过内外网传输到关键数据区。 2、 通常访问关键数据区用户身份认证要锁定到人,能够做到从用户端到资源端全程端到端加密。 3、 对关键数据区访问资源权限粒度一定要细到每个应用。 4、 降低关键数据区工作人员造成安全事故。 5、 同时不能为了这些安全方法而牺牲传输效率。 6、 布署方法灵活，尽可能少包含信息系统改造，支持大型复杂网络实施。 7、 所建立关键数据区安全方法能支撑多种现在及未来应用。 处理之道 伴随国家政府专网建设不停完善，伴随国家电子政务深化改革，越来越多政府单位电脑连接入了政府专网内，越来越多应用软件在政府专网或Internet内普及使用。现在，某某财政局即使建立了较为完善专网系统，但在专网上运行各类应用软件系统全部是暴露在整个专网上，所以连接性和安全隐患一直存在。      1、 在专网或Internet内传输应用数据，对于机密数据无任何加密等保护方法，造成数据泄密。      2、 在专网内应用软件数据服务器群因为需要专网内其它电脑访问，将服务器群服务端口直接暴露在专网上，造成数据服务器直接收到专网内任一电脑安全威胁。 3、 在专网内应用软件数据服务器群访问权限，无法细致到特定人特定时间段访问特定应用软件，造成专网内任何人全部能够访问全部数据服务器资源，给非法用户敞开了灾难大门。 4、 在专网内电脑直接经过网络层访问应用软件数据服务器，一旦电脑因为其它原因如因为业务需要上网，或便携存放设备等造成感染病毒、木马后，将会直接传输给服务器，造成数据丢失、泄密。 5、 统一管理应用软件服务器，集中布署、集中公布，从更高层次上认识财政改革 IT系统建设，节省总体投资成本。 惠尔顿e地通SOCKS v5平台处理方案处理了这个困绕着某某财政局网络安全要求高、费用投入少这个新工作模式下矛盾。使各级单位和局中心国库集中支付、乡财县管、财政监管等和后续上线应用软件数据能够统一安全管理，以提升管理效率，降低安全成本。 在进行了实地考察和环境确定以后，惠尔顿企业提出e地通SOCKS v5安全接入系统处理方案，在财政局中心机房布署CZ-W1000S-9服务器端，将财政局全部应用服务器隐藏、隔离起来，需要接入财政局数据中心各单位等有权限操作人员分配e地通用户端，同时启用硬件绑定、硬件USBkey功效，只有同时含有三重认证方法用户端人员才能进入e地通服务器端认证模块，依据用户端不一样身份，分别授权访问不一样应用如国库集中支付、财务监管、乡财县管等。 [实现方法] （一）用友政务e地通产品总体架构 SOCKS5 e+1 IPSec 安全存放Key SSL 远程集中接入 内网安全 防火墙 南北互通 VPN 负载均衡 应用加速 异地互联 用友政务e地通 （二）用友政务e地通对安全实现 1、 VLAN功效将关键数据区和内网其它PC做隔离。这么内部一般PC上黑客程序和病毒不会侵袭到关键数据区来。 2、 e地通对需要访问到数据库用户端到关键数据区传输进行数据封装、加密、身份认证及权限访问控制。 1） 数据封装： SOCKS5 用友政务e地通 数据 应用层数据 加密、压缩、封装 负载 帧头 IP头 会话层 2）加密： 启用加密功效，将对服务器端和用户端交互数据流进行加密，增强数据在传输过程中安全性，加密算法为AES-128b。密钥一个关键原因是它长度——位，比如密钥长度为128，则表示这个密钥里包含了2128次方个密码规则，这是一个天文数字。 Encryption Algorithm 密文 明文 3hsd4e3ad38esdf2w4d Hi! How are you! 3）身份认证：锁定到人 身份认证模块能够有效地判别来访应用用户身份信息，和确定其是否含有访问关键区受控资源权限。传统身份认证机制往往采取是简单用户名和密码形式，在进行身份信息确定过程中，通常也是采取明文方法来发送身份信息，比如不支持HTTPSWEB邮件系统就是一个经典例子。这种经过明文方法来进行身份信息认证过程是很危险，攻击者能够很轻松利用部分常见嗅探工具（如Sniffer Pro）就能够得到用户身份信息。 e地通安全接入系统在身份认证上提供了简单安全可靠双原因认证方法，既支持传统用户名/密码认证方法，也支持更为安全硬件KEY认证方法，不一样认证方法适合安全需求不一样用户。对于上述用户名/密码及硬件KEY认证，它们认证过程是统一，唯一区分在于硬件KEY是提供用户身份信息唯一路径，只有拥有该硬件KEY用户才能正当登录e地通服务器并访问关键区受控资源。 另外，在唯一表示用户身份信息同时，e地通服务器还能够判别硬件设备唯一性。换句话说，在进行授权同时既授权用户身份信息，同时也授权了用户所使用机器硬件信息，这种授权方法尤其适预防办公人员在认证了办公机器以外终端上登录并获取关键区安全保密信息，从而预防机密信息外泄。 e地通服务器端提供多个方法来验证e地通用户端身份，包含：用户名和密码、硬件Key、用户端机器特征码绑定。 4）权限管理：访问权限细到指定机器指定应用，细粒度访问控制。 访问控制能够保护应用用户非法操作对关键区安全侵袭，切断应用用户对关键数据区指定机器指定应用以外数据非法访问。评价一个系统是否含有比较高安全性能指标，一个关键原因就是看该系统提供访问控制粒度。作为一个好安全系统，细粒度访问控制是至关关键。 e地通支持基于IP地址、端口和应用访问控制策略，从而方便网络管理员对应用用户访问关键区应用资源进行更为正确和细致定位。在访问控制具体实现上，访问控制模块维护了一个全局访问控制列表，列表中定义了每一个用户访问权限，包含被访问资源IP地址、端口号及能够被RDP实施应用程序。能够用一棵资源树型图简单表示其结构： 图六 用户权限树型图 每一项网络资源全部拥有若干种访问权限属性，上图简单列出了最基础访问权限属性，包含IP地址、端口、用户身份、应用程序路径等属性信息。当远程用户发出应用资源访问请求时，访问控制模块能够依据该请求所包含以下信息：IP地址、端口号、用户身份、应用协议（协议分析模块分析而得）判定用户请求是否正当，从而决定是否许可用户进行远程访问网络资源。 基于上面用户权限树，访问控制模块对每一个用户远程访问网络资源请求作以下过程解析： 图七 依据以往经验，为了充足确保该功效充足实现，最好不要在关键数据区开放过大过粗访问权限（如大到整个关键区网段机器；粗到全部端口，尤其是文件拷贝和粘贴功效。） e地通服务器作为关键数据区安全门户，它将关键数据区应用经过服务器IP、网络掩码、服务端口来指定。这么充足实现了只有拥有授权用户才能访问对应应用。 5）应用图示 （三）e地通对速度实现 1、 远程集中接入功效 远程集中接入功效含有强大应用程序公布能力，它能动态将应用程序输入输出逻辑和计算逻辑分离，省去C/S应用异地用户端安装和维护工作，实现单笔数据量大，用户数少应用在28.8K互联网上快速运行. 速度对比表 不用e地通经过映射应用软件端口到公网访问速度(简称访问方法A)和经过e地通远程集中接入(简称访问方法B)速度对比： 对比项目 访问方法A：公网 访问方法B：e地通远程集中接入方法 从页面加载开始到完成进登入界面 05:344S 02:375S 输入用户名密码单击确定后到进入操作页面 2:000S 01:531S 软件内部模块数据处理：总预算会计系统〉系统级基础资料〉会计期间模板 05:250S 00:563S 使用e地通远程集中接入方法速度提升在加载新页面，加载服务器数据时，对比传统访问得到充足表现。加载数据量越大，效果愈加显著！ 2、 LZO数据流压缩技术 对于有部分不能采取远程集中接入模式来处理速度应用，如单笔数据量并不大，但用户数很多应用，这种应用假如采取远程集中接入功效就会造成远程集中接入服务器投资很大，此时采取e地通用压缩技术来处理，对服务器端和用户端交互数据流进行压缩，提升带宽利用率，压缩算法为LZO流压缩算法。以下是一张对比表，用公网传输和e地通传输对比表，来表现压缩效能。 文件大小(M) 经过用友政务e地通使用FTP传输时间(S) 直连FTP传输时间(S) 11.5M（SQL备份文件） 0:01:10.65 0:04:59.48 6.68M(WORD文件) 0:01:59.61 0:03:06.01 1.61M(Winrar压缩文件) 0:00:30.98 0:00:56.77 6.65M(JPG图象文件) 0:02:20.83 0:03:05.76 3、 带宽叠加、负载均衡 多条线路叠加，互为备份，并实现负载均衡，不会出现一条线路很忙，另外一条线路很空闲。 4、 e地通智能分配带宽，9个等级QOS管理功效 用友政务e地通 QOS 流量控制 30% 30% 10% 10% R9i服务器 国库支付服务器 数据服务器 将带宽优先分配给关键访问资源，当这些资源没有被使用时候再自动释 放 成功小说 清远市清城财政局全方面实现安全接入管理 10月应清远市清城财政局邀请，本企业对财政局实地进行考察和环境确定，和财政局各级领导等相关部门沟通。 网络安全系统建设具体要求，整个项目根据“安全控制性能高、布局计划工作简单、使用操作方法易、实施服务速度快”标准，将项目建设成“以资源节省为龙头，以安全管理为关键”安全接入平台。经过e地通SOCKS v5安全接入平台为财政局各类应用软件系统如国库集中支付、乡财县管、财务监管、部门预算、和后续其它如系统办公等打造一个基于政府专网安全应用平台，以确保各类应用软件能够顺畅、安全、高效地在政府专网/Internet上使用，从而实现各单位、各乡镇和财政局之间信息通畅、效力提升、竞争优越、发展稳定良性循环。 相关拓扑图 [存在问题和相关处理之道] 财政局数据中心系统访问用户量多而杂，存在访问权限不明确，内网病毒传输，最终感染服务器，造成数据灾难，采取传统防火墙和专线已经极难满足用户对安全、稳定和速度要求，惠尔顿企业e地通SOCKS v5安全接入系统构建在会话层，采取AES 128位基于会话军方加密技术，能够确保数据全程安全；屏蔽网络层数据传输，以确保用户端将病毒和木马、等攻击传输给服务器；同时采取代理机制隔离用户端和服务器端传统访问机制，以确保服务器上数据安全。以前也考虑过其它处理方案，大多因为安装实施复杂，而且需要计划网络而无法处理，采取惠尔顿e地通以后安装实施问题得以处理，而且不用计划网络，充足表现了e地通网络适应性强和易用特点。 原来财政局和各单位、各乡镇财政所信息传输全部是经过政府专网和部分Internet网络层传输数据，数据共享。现在有了惠尔顿e地通SOCKS v5系统保护，经过该系统平台能够轻松地实现财政局内部信息安全共享。   原来需要考虑各类应用软件系统数据安全、和应用稳定全部无需单个去考虑。现在有了e地通SOCKS v5系统保护，财政局全部应用软件全部在计划好专用加密隧道中传输，经过向财政局数据中心申请授权，使用本单位硬件硬件USB KEY接入财政局电子政务系统，不一样应用全部在事先建立好专用隧道中完成数据传输，避免政府专网中数据传输混乱。 [部分财政用户] 清远市清新财政局全方面安全接入管理 湛江市徐闻财政局管理软件网络优化接入平台 清远市清城财政局内网安全访问控制平台 广西省81县乡财、国库、非税统一接入管理平台 内蒙古101旗县乡财、国库统一接入管理平台 福建省全省乡财县管县乡联网安全和提速 福建省福州鼓楼区国库集中支付远程接入平台 海南全省工资统发系统联网和安全提速 湖南省张家界永顺县财政局国库集中支付互联安全和提速 广西省宾阳县非税收入改革中安全接入 徐州铜山县财政局集中财务配套管理软件统一接入平台 鞍山市财政局集中财务配套信息化安全和提速 吉林白山市财政局 新疆乌恰县财政局 你若想了解e地通相关信息 诚请联络：熊伟 （华南区销售经理） E-MAIL: 电话：