热火vs凯尔特人      客戶自助服務平臺綠色SSL,流量管理、桌面虛擬化硬件
 
首 頁渠道招募新聞中心客戶留言
論 壇申請試用免費培訓手機站點
 
 
申請試用
銷售熱線0755-26635560
TEL:400-6886-502
TEL:158-0129-0729
TEL:13785-107-107
  :755138
  :251094886
  :756879256
 
  總線:4006886502
  北方區:755131
  華東區:755132
  其他區:339288169
 
 
首頁 >> 解決方案 >> 定制解決方案 > 用友體系R9I
 
用友體系R9I

                                         惠爾頓e地通內網安全和提速方案R9I
 
【背景分析】
        隨著全國財政電子化的進程,政府財政管理信息系統覆蓋各級政府財政管理部門和財政資金使用部門,在強大的財政需求下用友政務公司推出了R9I財政監管軟件來滿足易門縣財政監管各單位財務問題。

        但是全縣行政事業單位的人數非常多,全部接入到財政局信息中心的核心數據區,如何保證這其中的一系列安全問題?同時如何解決通過財政專網過來的操作人員訪問數據庫的速度得到提升的問題?

        用友政務總部與惠爾頓公司聯合推出用友政務e地通,既發揮了了用友政務對政府業務管理軟件的經驗,又結合了惠爾頓在異地互聯和網絡安全方面的專長,使得用友政務e地通能夠充分保障核心數據服務器的安全和訪問速度。

政府集中財務管理模式下對網絡提出的新挑戰——內網安全和提速

         政府集中財務管理模式下內網安全成了CIO頭痛的首要問題

        傳統的分散式財務管理模式,是以自然的核算單位為基礎,獨立進行財務管理,在這種模式下,每個單位有互不相通的財務部門,各單位的財務獨立處理。這個時候對信息化的安全主要是體現在簡單內外網物理隔離的形式上。這種隔離對于屏蔽互聯網上的安全侵襲還是起了很好的作用,但是隨著集中財務管理模式的興起,集中財務管理,數據全部集中到數據中心,一旦數據中心出了問題,整個系統全部癱瘓,所以一旦有安全事故,所導致的結果將比分散管理模式下要嚴重地多,所以安全在這種模式是信息化工作的首要考慮問題。而這個安全又主要體現在以下幾個方面:

1、 內網用戶群體越來越龐大,用戶數是成百上千,如何保證這些內部黑客和內部病毒不會在這個內部網中傳播?據最新統計,安全事故,有75%以上來自于內部,而且還有上升趨勢。

2、 分散在各地辦公的行政事業單位,通過電子政務網把所有的用戶全部拉到一個大的專網中來,但是他們的訪問權限力度夠細嗎?能否做到指定用戶只能訪問到財政局信息中心指定機器的指定數據嗎?即如何規避越權訪問的問題?權限力度是否夠細?

3、 如果出現安全事故,安全審計能夠細到每個人嗎?即身份認證是否鎖定到人?

4、 對于重要數據庫服務器端操作權限最大的系統管理員,如何將他們誤操作導致的安全事故概率降到最低?

        政府集中財務管理模式下電子政務網訪問速度慢又是另一個大難題
        不在同一個辦公室的各行政事業單位通過電子政務網相連,如何使得這部分的用戶使用起來的速度效果等同于或者接近于10-100M的局域網網速?要達到這種效果以下現狀還必須考慮:

1、 全部采用10M或者100M的電子政務專線成本太高,周期太長。

2、 用普通的ADSL上網線路,上行一般也只有512K或者2M。

3、 有些偏遠單位不排除用56K的電話撥號或者無線撥號上網,這種方式如何來進行一個流暢地訪問?

用友政務e地通解決方案

         基于用友政務e地通的安全解決方案

         因為我們政府集中財務管理模式下的外網異地互聯一般已經采用了專線或運營商的SOCKS5線路,網絡邊界也一般已經 采用了防火墻和網絡入侵檢測的設備,所以關于如何防范外網的安全措施我們就不在這里多做闡述(雖然e地通也是有外網互聯時的SOCKS5功能和邊界安全的防火墻功能)。根據我們上面的分析,重點是要講他們忽略了的內網安全用友政務e地通是怎么解決的?

         首先解釋一下什么是內網安全。
        若一個內網上連了上千臺(例如3000臺)機子,那么要期望保持每一臺主機都處于安全狀態是非常不現實的,大型網絡的安全考慮一般都有擇優問題。這樣,首先要找出重要的服務器(例如數據庫服務器)并對他們進行限制管理。這樣就能迅速準確地確定最重要的資產,并做好在內網的定位和權限限制工作。所以我們在本方案中的內網安全重點討論由內網中眾多用戶需要共同訪問的關鍵數據存放區的安全,即核心數據區的安全。

        核心數據區(以下簡稱核心區),一般是指一個單位的重要應用的數據庫存放區,俗話說“倉庫重地,閑人免訪”,那作為我們重要數據庫存放的數據中心,是否有嚴密的安全措施來保障其正常運行呢?核心數據區的安全是一個網絡安全中最重要最關鍵的一個環節,也是最容易被攻擊的對象,所以它的安全性是整個網絡安全中最重要的問題。對于該區域的安全事故通常出現在以下幾個方面:

1、 核心數據區本身機器上互聯網導致的公網中病毒黑客對其的直接侵襲。

2、 核心數據區機器被物理意義上的內部局域網、或者光纖專線拉成的網域、或者通過SOCKS5建立的虛擬局域網等等的網上鄰居機器中的內部病毒和內部黑客的侵襲。

3、 普通用戶在核心數據區中對指定資源之外的越權訪問。

4、核心數據區機器多個管理員訪問導致的安全事故造成的“法不責眾”的審計難度。

為了解決核心數據區在內網中的安全,用友政務e地通有下幾個步驟:


首先將核心數據區與內外網中其他用戶隔離

       通過e地通中的防火墻功能將核心數據區所有服務器做內外網隔離,這些機器本身不能上網也就屏蔽了互聯網上的安全侵襲(如果本身已經有內外網隔離措施,這一步就不用做了)。同時用VLAN功能將核心數據從內網中隔離出來,這樣一旦內網中其他機器有安全事故,不會輕易通過內網傳播到核心數據區。

 需要去訪問核心數據區的非核心區的應用客戶端用戶(以下簡稱應用用戶)又如何訪問到已經被隔離了的核心數據區呢?

       在應用用戶的機器上運行e地通瘦客戶端,由它監控這些用戶對核心數據區資源的訪問請求,并將這些請求壓縮、加密,然后轉化成Socks5代理協議可以識別的請求發送給放置在核心數據區邊界的e地通服務器(該設備既有與應用用戶同一網段的IP地址,又有與核心數據區在同一網段的IP地址)進行處理,e地通服務器則根據發送者的身份執行相應的身份認證和訪問控制策略。在這種方式上,e地通客戶端和e地通服務器扮演了中間代理的角色,可以在應用用戶訪問核心數據區資源之前執行相應的身份認證和訪問控制,只有通過檢查的合法數據才允許流進核心數據區應用服務器,從而既實現了兩者之間的訪問,又有力地?;ち撕誦氖萸陌踩?。下面做詳細闡述:

如何實現兩個被隔離了的區域之間的訪問,即應用用戶對核心區的訪問?

通過代理機制:

        代理服務器的工作原理就是接受用戶的請求并把請求轉發給用戶原本要訪問的目的主機,反過來,目的主機的應答通過代理服務器再轉發給用戶。代理服務器根據支持的協議不同而又有所區別, e地通采用Socks5作為代理協議,可以支持所有基于應用層的通信協議。
 
如何規避二者實現訪問后的安全隱患?
       e地通運行在會話層,并且提供了對應用數據和應用協議的可見性,使網絡管理員能夠對用戶訪問核心數據區實施安全策略檢查。e地通分析應用信息,執行安全策略檢查,并發揮普通用戶與核心數據區之間傳輸的關卡作用。

1、 傳輸通道加密

2、細粒度訪問控制

3、身份認證

4、如何規避黑客和病毒從應用用戶的機器上傳播到核心數據區?

      首先,二者是在不同的網段,且相互之間在路由上終止了通訊的功能,所以黑客和病毒想通過這種辦法來穿透不可行。

      其次對核心數據區有訪問權限的PC也只能訪問到e地通SERVER,該SERVER作為核心數據區的安全門戶,對外屏蔽了的核心數據區內部網絡結構,也屏蔽了常見的網絡攻擊手段,如PING 、UDP、ICMP包等,即有e地通客戶端的外網用戶只能通過e地通授權與認證訪問到核心數據區授信的指定機器指定資源,但是不允許PING該機器,對該機器其他資源不可視也是被屏蔽的,對該機器之外核心數據區的其他機器也是被屏蔽的,e地通客戶端不能通過e地通SERVER探測到核心數據區的內部網絡結構和授信訪問之外的任何應用。
在e地通的客戶端,只有指定的特定應用程序才能發起連接,通過全程加密連接到e地通服務器端,并經過該安全門戶的身份認證,又由該安全門戶完成細到指定機器指定資源授信訪問的代理過程。根據這層層安全防護系統,不僅可以實現精細的訪問控制功能,重要的是可以阻止病毒和黑客程序不能通過客戶端傳輸到服務器端,有效?;ち朔衿鞫聳葑試詞艿槳踩婪洞朧┤醯囊斕囟送?。
 
降低核心數據區工作人員導致的安全事故。
       通過e地通安全增強工具讓管理員設置操作系統其他帳戶的分級使用權限,例如,可以定義某一個用戶帳號不能對系統盤或者所有硬盤進行任何存取刪除操作。也可以定義一部分人員不能使用或者管理某些特定的應用程序。即對于核心區操作人員的權限也盡量做到準確和細致,避免過大權限導致的道德風險和其他因素導致的安全事故。即使出了安全事故也能夠審計到每個用戶,而不是所有能夠登陸到該系統的人來承受,出現“法不責眾”的安全審計漏洞。

基于用友政務e地通的速度解決方案
1、 遠程集中接入功能

2、 LZO數據流壓縮技術

3、 帶寬疊加、負載均衡

4、 QOS九個級別的智能分配帶寬功能

5、 智能路由,解決南電信北網通的問題


【典型案例】
云南省易門縣財務監管系統項目      天津和平區財政一體化項目       云南玉溪市紅塔區財政局財務集中項目   黑龍江省北安市財政局集中財務項目

 
 
e地通W600NGFW
e地通W480PG
存儲介質信息消除
網絡安全審計
Web防火墻
 
 
綠色VPN,流量管理、遠程接入硬件
   
聯系我們 | 申請試用 | 友情鏈接 | 廣西隆團 热火vs凯尔特人
綠色VPN,流量管理、遠程接入硬件