热火vs凯尔特人      客戶自助服務平臺綠色SSL,流量管理、桌面虛擬化硬件
 
首 頁渠道招募新聞中心客戶留言
論 壇申請試用免費培訓手機站點
 
 
申請試用
銷售熱線0755-26635560
TEL:400-6886-502
TEL:158-0129-0729
TEL:13785-107-107
  :755138
  :251094886
  :756879256
 
  總線:4006886502
  北方區:755131
  華東區:755132
  其他區:339288169
 
 
首頁 >> 解決方案 >> 行業解決方案 > 非稅收入
 
非稅收入
惠爾頓e地通在財政體系非稅收入項目中的應用
 
【背景介紹】
 
       非稅收入是指除稅收以外,由各級政府、國家機關、事業單位、代行政府職能的社會團體及其他組織依法利用政府權力、政府信譽、國家資源、國有資產或提供特定公共服務、準公共服務取得的財政性資金,是政府財政收入的重要組成部分。政府非稅收入管理范圍主要包括:行政事業性收費、政府性基金、彩票公益金、國有資源有償使用收入、國有資產有償使用收入、國有資本經營收益、罰沒收入、以政府名義接受的捐贈收入、主管部門集中收入、政府財政資金產生的利息收入等。
  非稅收入是政府參與國民收入初次分配和再分配的一種形式,屬于財政資金范疇。廣義地說,非稅收入是指政府通過合法程序獲得的除稅收以外的一切收入。
 
【項目概述】
 
      根據各省區財政局圍繞非稅收入改革項目的網絡安全系統建設的具體要求,整個項目按照“安全控制性能高、布局規劃工作簡、使用操作方法易、實施服務速度快”的原則,將項目將建設成“以資源節省為龍頭,以安全管理為核心”的網絡安全聯網信息平臺。
  
非稅收入改革模式下財政局、銀行與基層單位之間聯網所面臨的一系列問題

       三方如何實現互聯?

1、黨政專網
       目前我們非稅收入改革項目如果要采用黨政專網來解決這三方之間的聯網的話,就必須全部采用該網絡,不能一部分采用物理隔離的黨政專網,一部分采用邏輯隔離的其他與互聯網有相聯關系的其他網絡,因為黨政專網是要求必須嚴格與互聯網進行物理隔離的。另外即便采用這種模式,也無法避免我們下面將要談到的數據庫內網安全問題。
 
        但事實上因為投資和施工難度目前黨政專網只覆蓋到了鎮以上的單位,鎮本身的下屬各行政事業單位如同毛細血管,數目很大,再拉專線,費用和施工難度非常大,同時資源的浪費嚴重。
 
2、56K的 MODEM池撥號
        為了彌補以上局限性,從節省費用和安全的角度,目前很多基層單位與財政之間傳輸一些數據量不是很大的文件是采用這種只有56K的電話撥號方式,但是這個方式最大的缺陷就是慢,用它來作為大數據量的非稅管理系統是不可能的。
 
3、電話線綁定方式
        運營費用高,無論單位有沒有和外網聯通,每用戶每月都要交納一定的線路綁定費用;并且存在一定風險,這種方式只能預防通信供應商之外的數據安全,但不能避免通訊供應商內部工作人員盜取我們的數據,也不能預防電話線路本身被盜用帶來的數據丟失,因為整個網絡的接入控制權不在我們財政局。并且傳輸的數據是沒有加密的,也存在傳輸安全問題和數據庫的內網安全問題。
 
       惠爾頓e地通可以利用現有的互聯網線路來解決聯網問題,又能將外網安全、邊界安全和數據庫的內網安全等全系列的安全完全控制在我們財政局自己手里,同時它的費用也是非常低廉的。
      惠爾頓e地通一次投資永久享用,支持將來的拓展和升級  隨著發展,需要通過網絡互聯來實現的應用也會不斷的增加,比如:部門預算、工資統發、鄉財縣管、收繳分離、國庫集中收付和未來的OA等等都可輕松實現。
 
 
非稅收入改革模式下內網安全成了CIO頭痛的另一個重要問題

        傳統的分散式財務管理模式,是以自然的核算單位為基礎,獨立進行財務管理,在這種模式下,每個單位有互不相通的財務部門,各單位的財務獨立處理。這個時候對信息化的安全主要是體現在簡單內外網物理隔離的形式上。這種隔離對于屏蔽互聯網上的安全侵襲還是起了很好的作用,但是隨著集中財務管理模式的興起,非稅收入改革,數據全部集中到數據中心,一旦數據中心出了問題,整個系統全部癱瘓,所以一旦有安全事故,所導致的結果將比分散管理模式下要嚴重地多,所以安全在這種模式是信息化工作的首要考慮問題。而這個安全又主要體現在以下幾個方面:
 
1、內網用戶群體越來越龐大,用戶數是成百上千,如何保證這些內部黑客和內部病毒不會在這個內部網中傳播?據最新統計,安全事故,有75%以上來自于內部,而且還有上升趨勢;
 
2、分散在各地辦公的行政事業單位,通過光纖專線或者運營商SOCKS5把所有的用戶全部拉到一個大的專網中來,但是他們的訪問權限粒度夠細嗎?能否做到指定用戶只能訪問到財政局信息中心指定機器的指定數據嗎?即如何規避越權訪問的問題?權限粒度是否夠細?
 
3、 如果出現安全事故,安全審計能夠細到每個人嗎?即身份認證是否鎖定到人?
 
4、 對于重要數據庫服務器端操作權限最大的系統管理員,如何將他們誤操作導致的安全事故概率降到最低?
 
非稅收入改革模式下廣域網訪問速度慢又是另一個大難題

        不在同一個辦公室的各行政事業單位通過各種形式的廣域網相連,如何使得這部分的用戶使用起來的速度效果等同于或者接近于10-100M的局域網網速?要達到這種效果以下現狀還必須考慮:
 
1、全部采用10M或者100M的光纖成本太高。
 
2、用普通的ADSL上網線路,上行一般也只有512K或者2M。
 
3、有些偏遠地區不排除用56K的電話撥號或者無線撥號上網,這種方式如何來進行一個流暢地訪問?

 
e地通解決方案】
基于热火vs凯尔特人的安全解決方案

1、外網安全。
惠爾頓e地通是采用建立VPN隧道的方式來保證外網安全的。
SOCKS5,Virtual Private Network(虛擬專用網絡),被定義為通過一個公用網絡(通常是因特網)建立一個安全的連接,是一條穿過公用網絡的安全、穩定的隧道。虛擬專用網是對內部網的擴展,它可以幫助非稅項目中財政局、銀行、基層單位通過互聯網建立可信的安全連接,并保證數據的安全傳輸。該技術已經被國際國內權威機構認定為是一種安全的傳輸解決方案。
 
2、內外網邊界安全。
       惠爾頓e地通是采用通用的防火墻技術來解決這個問題,這個部分因為技術已經很成熟,在這里我們就不多做闡述。
 
3、數據庫的內網安全。
        首先解釋一下什么是數據庫的內網安全。
若一個內網上連了上千臺(例如3000臺)機子,那么要期望保持每一臺主機都處于安全狀態是非常不現實的,大型網絡的安全考慮一般都有擇優問題。這樣,首先要找出重要的服務器(例如數據庫服務器)并對他們進行限制管理。這樣就能迅速準確地確定最重要的資產,并做好在內網的定位和權限限制工作。所以我們在本方案中的內網安全重點討論由內網中眾多用戶需要共同訪問的關鍵數據存放區的安全,即核心數據區的安全。
        核心數據區(以下簡稱核心區),一般是指一個單位的重要應用的數據庫存放區,俗話說“倉庫重地,閑人免訪”,那作為我們重要數據庫存放的數據中心,是否有嚴密的安全措施來保障其正常運行呢?核心數據區的安全是一個網絡安全中最重要最關鍵的一個環節,也是最容易被攻擊的對象,所以它的安全性是整個網絡安全中最重要的問題。對于該區域的安全事故通常出現在以下幾個方面:
 
1、核心數據區本身機器上互聯網導致的公網中病毒黑客對其的直接侵襲。
 
2、核心數據區機器被物理意義上的內部局域網、或者光纖專線拉成的網域、或者通過SOCKS5建立的虛擬局域網等等的網上鄰居機器中的內部病毒和內部黑客的侵襲。
 
3、普通用戶在核心數據區中對指定資源之外的越權訪問。
 
4、核心數據區機器多個管理員訪問導致的安全事故造成的“法不責眾”的審計難度。

 為了解決核心數據區在內網中的安全,惠爾頓e地通有下幾個步驟:
 
首先將核心數據區與內外網中其他用戶隔離。
        通過e地通中的防火墻功能將核心數據區所有服務器做內外網隔離,這些機器本身不能上網也就屏蔽了互聯網上的安全侵襲(如果本身已經有內外網隔離措施,這一步就不用做了)。同時用VLAN功能將核心數據從內網中隔離出來,這樣一旦內網中其他機器有安全事故,不會輕易通過內網傳播到核心數據區。
 
需要去訪問核心數據區的非核心區的應用客戶端用戶(以下簡稱應用用戶)又如何訪問到已經被隔離了的核心數據區呢?
 
        在應用用戶的機器上運行e地通瘦客戶端,由它監控這些用戶對核心數據區資源的訪問請求,并將這些請求壓縮、加密,然后轉化成Socks5代理協議可以識別的請求發送給放置在核心數據區邊界的e地通服務器(該設備既有與應用用戶同一網段的IP地址,又有與核心數據區在同一網段的IP地址)進行處理,e地通服務器則根據發送者的身份執行相應的身份認證和訪問控制策略。在這種方式上,e地通客戶端和e地通服務器扮演了中間代理的角色,可以在應用用戶訪問核心數據區資源之前執行相應的身份認證和訪問控制,只有通過檢查的合法數據才允許流進核心數據區應用服務器,從而既實現了兩者之間的訪問,又有力地?;ち撕誦氖萸陌踩?。下面做詳細闡述:
 
如何實現兩個被隔離了的區域之間的訪問,即應用用戶對核心區的訪問?
 
通過代理機制:
 
        代理服務器的工作原理就是接受用戶的請求并把請求轉發給用戶原本要訪問的目的主機,反過來,目的主機的應答通過代理服務器再轉發給用戶。代理服務器根據支持的協議不同而又有所區別, e地通采用Socks5作為代理協議,可以支持所有基于應用層的通信協議。
 
     基于以上現有的技術,e地通(如下圖),其中包含有代理客戶端、代理服務器。
 
代理模式的應用圖解
 
       上圖給出了代理模式下e地通客戶端、e地通服務器協同工作的流程,這個流程可以簡單概括如下:
 
1)    e地通客戶端監聽用戶對核心數據區的訪問請求,并將該訪問請求以Socks5協議的方式封裝并加密起來發送給e地通服務器;
 
2)    e地通服務器執行相關的身份認證及訪問控制策略,決定是否將該請求轉發到目的應用服務器上。
以上步驟簡要的概括了代理模式下如何完成應用用戶對核心區的訪問。
 
如何規避二者實現訪問后的安全隱患?
        e地通運行在會話層,并且提供了對應用數據和應用協議的可見性,使網絡管理員能夠對用戶訪問核心數據區實施安全策略檢查。e地通分析應用信息,執行安全策略檢查,并發揮普通用戶與核心數據區之間傳輸的關卡作用。
 
        數據從裝有e地通客戶端的應用用戶處開始加密,到e地通SERVER端解密,整個傳輸過程中的數據是密文,不是明文,這樣就非常好的保證了應用用戶到核心數據區的傳輸過程中的安全性,不被惡意的內網用戶嗅探到本不是他該訪問的內容,并防止他分析到傳輸使用的協議,截獲傳輸中的所有數據。同時采用了SHA1的數據完整性認證保證傳輸數據的完整性。
 
      e地通支持基于IP地址、端口和應用的訪問控制策略,從而方便網絡管理員對應用用戶訪問核心區應用資源進行更為準確和細致的定位。在訪問控制的具體實現上,訪問控制??槲ち艘桓鋈值姆夢士刂屏斜?,列表中定義了每一個用戶的訪問權限,包括被訪問資源的IP地址、端口號及可以被RDP執行的應用程序。
 
     e地通安全系統在身份認證上提供了簡單安全可靠的雙因素認證方式,既支持傳統的用戶名/密碼認證方式,也支持更為安全的硬件KEY認證方式,不同的認證方式適合安全需求不同的客戶。此外,在唯一表示用戶身份信息的同時,e地通服務器還可以鑒別硬件設備的唯一性?;瘓浠八?,在進行授權的同時既授權用戶的身份信息,同時也授權了用戶所使用的機器硬件信息,這種授權方式特別適防止辦公人員在認證了的辦公機器以外的終端上登錄并獲取核心區的安全保密信息,從而防止機密信息的外泄。
 
4、如何規避黑客和病毒從應用用戶的機器上傳播到核心數據區?
 
        首先,二者是在不同的網段,且相互之間在路由上終止了通訊的功能,所以黑客和病毒想通過這種辦法來穿透不可行。
 
        其次對核心數據區有訪問權限的PC也只能訪問到e地通SERVER,該SERVER作為核心數據區的安全門戶,對外屏蔽了的核心數據區內部網絡結構,也屏蔽了常見的網絡攻擊手段,如PING 、UDP、ICMP包等,即有e地通客戶端的外網用戶只能通過e地通授權與認證訪問到核心數據區授信的指定機器指定資源,但是不允許PING該機器,對該機器其他資源不可視也是被屏蔽的,對該機器之外核心數據區的其他機器也是被屏蔽的,e地通客戶端不能通過e地通SERVER探測到核心數據區的內部網絡結構和授信訪問之外的任何應用。

降低核心數據區工作人員導致的安全事故

【典型案例】
江蘇無錫錫山區財政局非稅項目        廣西賓陽財政局非稅項目     遼寧鐵嶺財政局非稅項目          
 
 
 
e地通W600NGFW
e地通W480PG
存儲介質信息消除
網絡安全審計
Web防火墻
 
 
綠色VPN,流量管理、遠程接入硬件
   
聯系我們 | 申請試用 | 友情鏈接 | 廣西隆團 热火vs凯尔特人
綠色VPN,流量管理、遠程接入硬件