绿色SSL,流量管理、桌面虚拟化      客户自助服务平台绿色SSL,流量管理、桌面虚拟化硬件
 
首 页渠道招募新闻中心客户留言
论 坛申请试用免费培训手机站点
 
 
申请试用
销售热线0755-26635560
TEL:400-6886-502
TEL:158-0129-0729
TEL:13785-107-107
  :755138
  :251094886
 
  总线:4006886502
 
 
首页 >> 解决方案 >> 行业解决方案 > 非税收入
 
非税收入
惠尔顿e地通在财政体系非税收入项目中的应用
 
【背景介绍】
 
       非税收入是指除税收以外,由各级政府、国家机关、事业单位、代行政府职能的社会团体及其他组织依法利用政府权力、政府信誉、国家资源、国有资产或提供特定公共服务、准公共服务取得的财政性资金,是政府财政收入的重要组成部分。政府非税收入管理范围主要包括:行政事业性收费、政府性基金、彩票公益金、国有资源有偿使用收入、国有资产有偿使用收入、国有资本经营收益、罚没收入、以政府名义接受的捐赠收入、主管部门集中收入、政府财政资金产生的利息收入等。
  非税收入是政府参与国民收入初次分配和再分配的一种形式,属于财政资金范畴。广义地说,非税收入是指政府通过合法程序获得的除税收以外的一切收入。
 
【项目概述】
 
      根据各省区财政局围绕非税收入改革项目的网络安全系统建设的具体要求,整个项目按照“安全控制性能高、布局规划工作简、使用操作方法易、实施服务速度快”的原则,将项目将建设成“以资源节省为龙头,以安全管理为核心”的网络安全联网信息平台。
  
非税收入改革模式下财政局、银行与基层单位之间联网所面临的一系列问题

       三方如何实现互联?

1、党政专网
       目前我们非税收入改革项目如果要采用党政专网来解决这三方之间的联网的话,就必须全部采用该网络,不能一部分采用物理隔离的党政专网,一部分采用逻辑隔离的其他与互联网有相联关系的其他网络,因为党政专网是要求必须严格与互联网进行物理隔离的。另外即便采用这种模式,也无法避免我们下面将要谈到的数据库内网安全问题。
 
        但事实上因为投资和施工难度目前党政专网只覆盖到了镇以上的单位,镇本身的下属各行政事业单位如同毛细血管,数目很大,再拉专线,费用和施工难度非常大,同时资源的浪费严重。
 
2、56K的 MODEM池拨号
        为了弥补以上局限性,从节省费用和安全的角度,目前很多基层单位与财政之间传输一些数据量不是很大的文件是采用这种只有56K的电话拨号方式,但是这个方式最大的缺陷就是慢,用它来作为大数据量的非税管理系统是不可能的。
 
3、电话线绑定方式
        运营费用高,无论单位有没有和外网联通,每用户每月都要交纳一定的线路绑定费用;并且存在一定风险,这种方式只能预防通信供应商之外的数据安全,但不能避免通讯供应商内部工作人员盗取我们的数据,也不能预防电话线路本身被盗用带来的数据丢失,因为整个网络的接入控制权不在我们财政局。并且传输的数据是没有加密的,也存在传输安全问题和数据库的内网安全问题。
 
       惠尔顿e地通可以利用现有的互联网线路来解决联网问题,又能将外网安全、边界安全和数据库的内网安全等全系列的安全完全控制在我们财政局自己手里,同时它的费用也是非常低廉的。
      惠尔顿e地通一次投资永久享用,支持将来的拓展和升级  随着发展,需要通过网络互联来实现的应用也会不断的增加,比如:部门预算工资统发乡财县管、收缴分离、国库集中收付和未来的OA等等都可轻松实现。
 
 
非税收入改革模式下内网安全成了CIO头痛的另一个重要问题

        传统的分散式财务管理模式,是以自然的核算单位为基础,独立进行财务管理,在这种模式下,每个单位有互不相通的财务部门,各单位的财务独立处理。这个时候对信息化的安全主要是体现在简单内外网物理隔离的形式上。这种隔离对于屏蔽互联网上的安全侵袭还是起了很好的作用,但是随着集中财务管理模式的兴起,非税收入改革,数据全部集中到数据中心,一旦数据中心出了问题,整个系统全部瘫痪,所以一旦有安全事故,所导致的结果将比分散管理模式下要严重地多,所以安全在这种模式是信息化工作的首要考虑问题。而这个安全又主要体现在以下几个方面:
 
1、内网用户群体越来越庞大,用户数是成百上千,如何保证这些内部黑客和内部病毒不会在这个内部网中传播?据最新统计,安全事故,有75%以上来自于内部,而且还有上升趋势;
 
2、分散在各地办公的行政事业单位,通过光纤专线或者运营商SOCKS5把所有的用户全部拉到一个大的专网中来,但是他们的访问权限粒度够细吗?能否做到指定用户只能访问到财政局信息中心指定机器的指定数据吗?即如何规避越权访问的问题?权限粒度是否够细?
 
3、 如果出现安全事故,安全审计能够细到每个人吗?即身份认证是否锁定到人?
 
4、 对于重要数据库服务器端操作权限最大的系统管理员,如何将他们误操作导致的安全事故概率降到最低?
 
非税收入改革模式下广域网访问速度慢又是另一个大难题

        不在同一个办公室的各行政事业单位通过各种形式的广域网相连,如何使得这部分的用户使用起来的速度效果等同于或者接近于10-100M的局域网网速?要达到这种效果以下现状还必须考虑:
 
1、全部采用10M或者100M的光纤成本太高。
 
2、用普通的ADSL上网线路,上行一般也只有512K或者2M。
 
3、有些偏远地区不排除用56K的电话拨号或者无线拨号上网,这种方式如何来进行一个流畅地访问?

 
e地通解决方案】
基于惠尔顿e地通的安全解决方案

1、外网安全。
惠尔顿e地通是采用建立VPN隧道的方式来保证外网安全的。
SOCKS5,Virtual Private Network(虚拟专用网络),被定义为通过一个公用网络(通常是因特网)建立一个安全的连接,是一条穿过公用网络的安全、稳定的隧道。虚拟专用网是对内部网的扩展,它可以帮助非税项目中财政局、银行、基层单位通过互联网建立可信的安全连接,并保证数据的安全传输。该技术已经被国际国内权威机构认定为是一种安全的传输解决方案。
 
2、内外网边界安全。
       惠尔顿e地通是采用通用的防火墙技术来解决这个问题,这个部分因为技术已经很成熟,在这里我们就不多做阐述。
 
        首先解释一下什么是数据库的内网安全。
若一个内网上连了上千台(例如3000台)机子,那么要期望保持每一台主机都处于安全状态是非常不现实的,大型网络的安全考虑一般都有择优问题。这样,首先要找出重要的服务器(例如数据库服务器)并对他们进行限制管理。这样就能迅速准确地确定最重要的资产,并做好在内网的定位和权限限制工作。所以我们在本方案中的内网安全重点讨论由内网中众多用户需要共同访问的关键数据存放区的安全,即核心数据区的安全。
        核心数据区(以下简称核心区),一般是指一个单位的重要应用的数据库存放区,俗话说“仓库重地,闲人免访”,那作为我们重要数据库存放的数据中心,是否有严密的安全措施来保障其正常运行呢?核心数据区的安全是一个网络安全中最重要最关键的一个环节,也是最容易被攻击的对象,所以它的安全性是整个网络安全中最重要的问题。对于该区域的安全事故通常出现在以下几个方面:
 
1、核心数据区本身机器上互联网导致的公网中病毒黑客对其的直接侵袭。
 
2、核心数据区机器被物理意义上的内部局域网、或者光纤专线拉成的网域、或者通过SOCKS5建立的虚拟局域网等等的网上邻居机器中的内部病毒和内部黑客的侵袭。
 
3、普通用户在核心数据区中对指定资源之外的越权访问。
 
4、核心数据区机器多个管理员访问导致的安全事故造成的“法不责众”的审计难度。

 为了解决核心数据区在内网中的安全,惠尔顿e地通有下几个步骤:
 
首先将核心数据区与内外网中其他用户隔离。
        通过e地通中的防火墙功能将核心数据区所有服务器做内外网隔离,这些机器本身不能上网也就屏蔽了互联网上的安全侵袭(如果本身已经有内外网隔离措施,这一步就不用做了)。同时用VLAN功能将核心数据从内网中隔离出来,这样一旦内网中其他机器有安全事故,不会轻易通过内网传播到核心数据区。
 
需要去访问核心数据区的非核心区的应用客户端用户(以下简称应用用户)又如何访问到已经被隔离了的核心数据区呢?
 
        在应用用户的机器上运行e地通瘦客户端,由它监控这些用户对核心数据区资源的访问请求,并将这些请求压缩、加密,然后转化成Socks5代理协议可以识别的请求发送给放置在核心数据区边界的e地通服务器(该设备既有与应用用户同一网段的IP地址,又有与核心数据区在同一网段的IP地址)进行处理,e地通服务器则根据发送者的身份执行相应的身份认证和访问控制策略。在这种方式上,e地通客户端和e地通服务器扮演了中间代理的角色,可以在应用用户访问核心数据区资源之前执行相应的身份认证和访问控制,只有通过检查的合法数据才允许流进核心数据区应用服务器,从而既实现了两者之间的访问,又有力地保护了核心数据区的安全。下面做详细阐述:
 
如何实现两个被隔离了的区域之间的访问,即应用用户对核心区的访问?
 
通过代理机制:
 
        代理服务器的工作原理就是接受用户的请求并把请求转发给用户原本要访问的目的主机,反过来,目的主机的应答通过代理服务器再转发给用户。代理服务器根据支持的协议不同而又有所区别, e地通采用Socks5作为代理协议,可以支持所有基于应用层的通信协议。
 
     基于以上现有的技术,e地通(如下图),其中包含有代理客户端、代理服务器。
 
代理模式的应用图解
 
       上图给出了代理模式下e地通客户端、e地通服务器协同工作的流程,这个流程可以简单概括如下:
 
1)    e地通客户端监听用户对核心数据区的访问请求,并将该访问请求以Socks5协议的方式封装并加密起来发送给e地通服务器;
 
2)    e地通服务器执行相关的身份认证及访问控制策略,决定是否将该请求转发到目的应用服务器上。
以上步骤简要的概括了代理模式下如何完成应用用户对核心区的访问。
 
如何规避二者实现访问后的安全隐患?
        e地通运行在会话层,并且提供了对应用数据和应用协议的可见性,使网络管理员能够对用户访问核心数据区实施安全策略检查。e地通分析应用信息,执行安全策略检查,并发挥普通用户与核心数据区之间传输的关卡作用。
 
        数据从装有e地通客户端的应用用户处开始加密,到e地通SERVER端解密,整个传输过程中的数据是密文,不是明文,这样就非常好的保证了应用用户到核心数据区的传输过程中的安全性,不被恶意的内网用户嗅探到本不是他该访问的内容,并防止他分析到传输使用的协议,截获传输中的所有数据。同时采用了SHA1的数据完整性认证保证传输数据的完整性。
 
      e地通支持基于IP地址、端口和应用的访问控制策略,从而方便网络管理员对应用用户访问核心区应用资源进行更为准确和细致的定位。在访问控制的具体实现上,访问控制模块维护了一个全局的访问控制列表,列表中定义了每一个用户的访问权限,包括被访问资源的IP地址、端口号及可以被RDP执行的应用程序。
 
     e地通安全系统在身份认证上提供了简单安全可靠的双因素认证方式,既支持传统的用户名/密码认证方式,也支持更为安全的硬件KEY认证方式,不同的认证方式适合安全需求不同的客户。此外,在唯一表示用户身份信息的同时,e地通服务器还可以鉴别硬件设备的唯一性。换句话说,在进行授权的同时既授权用户的身份信息,同时也授权了用户所使用的机器硬件信息,这种授权方式特别适防止办公人员在认证了的办公机器以外的终端上登录并获取核心区的安全保密信息,从而防止机密信息的外泄。
 
4、如何规避黑客和病毒从应用用户的机器上传播到核心数据区?
 
        首先,二者是在不同的网段,且相互之间在路由上终止了通讯的功能,所以黑客和病毒想通过这种办法来穿透不可行。
 
        其次对核心数据区有访问权限的PC也只能访问到e地通SERVER,该SERVER作为核心数据区的安全门户,对外屏蔽了的核心数据区内部网络结构,也屏蔽了常见的网络攻击手段,如PING 、UDP、ICMP包等,即有e地通客户端的外网用户只能通过e地通授权与认证访问到核心数据区授信的指定机器指定资源,但是不允许PING该机器,对该机器其他资源不可视也是被屏蔽的,对该机器之外核心数据区的其他机器也是被屏蔽的,e地通客户端不能通过e地通SERVER探测到核心数据区的内部网络结构和授信访问之外的任何应用。

降低核心数据区工作人员导致的安全事故

【典型案例】
江苏无锡锡山区财政局非税项目        广西宾阳财政局非税项目     辽宁铁岭财政局非税项目          
 
 
 
e地通W600NGFW
e地通W480PG
存储介质信息消除
网络安全审计
Web防火墙
 
 
绿色VPN,流量管理、远程接入硬件
   
联系我们 | 申请试用 | 友情链接 | 广西隆团 粤ICP备05033555号 | 深圳市惠尔顿信息技术有限公司
绿色VPN,流量管理、远程接入硬件