某财政县乡安全互联建设方案

 系统现状及安全需求

随着金财工程的逐步深入、拓展,财政信息系统正变得愈加复杂化,无论是网络结构、应用系统规模、还是覆盖地域、终端类型与规模都发生了迅猛增长。在财政系统中,财政业务应用管理系统对于专项资金的划拨是重点业务之一,如下图所示:

图1-1 财政业务应用管理系统结构示意图

专项资金是对特定项目的财政拨款,不可挪用、延期,要求加强专项资金的重点监控,因此,对于专项资金的监管也是财政系统建设中重点建设之一。

在财政网络和应用系统的发展的同时,安全建设也必须同步建设,在满足安全接入需求时,将面临着许多新的问题,整合的要点多、难度大:
1 终端多,分布广,管理跨度大
2 传输安全
3 网络边界日益模糊,防护难度剧增
4 攻击与入侵的手段越来越多样、越来越混杂在应用中
5 网络攻击借"身"入侵
6 合法访问方式被利用
7 操作水准的差异

综合上述分析可知,接入终端分布广,并且横向接入终端不可控,在这种情况下,新的安全问题日益凸显的局面下,要做到安全接入,就不能仅仅保证接入认证时的身份和状态安全,还应当确保接入后的访问过程中行为可控,全面防范各种攻击行为,即从接入发起开始,一直到整个网络访问完成的全过程安全和可控。针对这一总体要求,我们需要满足和整合多种安全技术。

技术思路

天融信将基于以策略为核心,形成一套覆盖全面,可靠稳定的安全保障体系,全面提升用户的安全保障能力,更好地支撑业务的开展;通过可互联互通的技术整合,形成纵深的防护能力,有效地规避用户信息网络运行中面临的各类安全问题;通过TopPolicy安全设备与策略管理系统,做到策略的集中下发或对终端、网络设备的策略监控,以及安全事件的集中分析,与纵深防护系统配合,形成动态的监控能力;结合管理制度,依托互联互通的安全防护系统以及以策略为核心的策略管理系统,从 "接入通道安全"、"接入者身份可控"、"接入时状态可控"、"接入中行为可控"、 "接入中内容可控"、"接入全程全面审计"和"接入综合安全管理"等七个层面构建以策略为核心的安全接入的立体防御体系。为用户提供有效的安全运维保障。

解决方案设计

根据财预[2009]78号《关于推进省直接管理县财政改革的意见》要求:
1) 实行省直接管理县财政改革,就是在政府间收支划分、转移支付、资金往来、预决算、年终结算等方面,省财政与市、县财政直接联系,开展相关业务工作。

2) 要加强财政管理信息化建设,构建省级与市、县的财政信息化网络,提高工作效率。
所以我们的方案设计要符合省管县的要求。部署示意图如下:

图2 安全系统部署示意图

目前就XX省财政,网络为省-市-县-乡,四级网络,从财政政策要求来讲,必须实现省管县,所以想要的安全建设也必须符合此要求,在安全管理上有省中心直接管理县级设备。部署情况如下:
1) 在县财政与Internet边界部署防火墙,并开启VPN模块和病毒模块;
2) 乡级网络的纵向、横向终端安全VRC和TD客户端,并配发USB-Key;
3) 省财政部署一级TP、一级TD管理中心,负责全局策略下发和运维监控;
4) 县财政部署二级TP、二级TD管理中心,接收省级策略并下发到县级边界安全设备及乡级终端。

整合多种安全技术管理策略,提升管理效率

1. 统一定制、强制执行的安全策略管理
策略管理平台和TD管理中心提供了强大的策略定制机制。管理员根据财政网络特点,通过管理中心有效地实施全局网络配置和安全管理、监控策略,并且可以以组的形式进行整体管理,实现了真正的统一安全策略。管理员可以灵活的创建不同的安全策略,在不同类型的终端、设备可以应用不同的安全策略,同时提供对安全策略的应用情况进行跟踪和审计,为整个系统提供了灵活的、弹性的安全机制。

2. 策略的有序可控管理
集中定义防火墙和VPN的策略,批量分发到应用的设备,这样的机制保障了财政网络管理的效率,大大减少了管理员的工作负荷。同时利用策略管理平台提供配置监控功能,进行全局性监控,使集中分发的策略能够保障在设备上持续运行,一旦有人私自篡改配置,策略管理平台将实时反馈出报警信息,提醒管理员。

3. 多视角的可视化管理
策略管理能通过拓扑图等多种方式,展现财政系统对设备、隧道等进行各种管理,图形化的添加设备和安全域,建立设备间的隧道,实现对设备性能信息的监视,包括CPU信息、内存信息、接口信息和连接信息等。特别是提供了对于启用VPN功能的防火墙进行隧道监控和VRC监控功能。并对监控进行TOP N排序,可以实时反馈出管理范围内设备使用情况排行,帮助用户清晰的了解网络负载以及设备运行状况。

建设效果

本方案针县乡财政网络接入安全问题,引入边界隔离与访问控制技术、VPN技术、终端管理技术、内容与行为审计技术、策略管理平台技术,初步建立了多层次、立体式的可信接入安全防护体系,整合了安全资源,具有如下效果:

解决网络接入者的身份可信问题:对于终端接入,杜绝了非法用户和外来人员随意接入县财政网络的行为,即便非法用户盗用了合法主机,如果不具备合法用户身份也无法接入到县财政网络,可以有效抵御来自非法接入的攻击;对于网络接入,由于建立了网络间的网络访问控制,从而杜绝了网络间的非法访问行为;

 解决了终端安全状态安全可控问题:终端接入时的安全检查决定了是否允许终端接入网络;接入后的状态检测,能够保证在终端状态不符合财政系统策略要求时及时切断与网络的连接;

解决通信过程中的泄密、数据篡改、抵赖问题:利用VPN技术,保障了通讯过程中的机密性和完整性,防止泄密和篡改等攻击行为,解决抵赖的问题:接入设备认证成功后整个网络访问过程中,利用其数字证书(私钥)对其访问数据包进行加密,相当于把身份信息与访问信息整合,从而有效防范抵赖的现象;过滤了通信过程中的病毒等恶意代码传播的问题;

 解决了通信过程中恶意威胁传播问题:通过实时的入侵防御、防病毒、等措施,能够对混杂在正常应用中的病毒、蠕虫、木马、恶意代码等有害数据及时检测和过滤,防止了有害数据的传播,以及借"身"攻击等恶意行为的发生;

解决内外网隔离问题,当乡级终端通过VPN与县财政网络互联时阻断与互联网的其他访问;

解决了集中的策略管理、日志分析、应急响应和决策支持问题:安全接入问题的解决严重依赖于企业整体安全策略的全面有效实施,策略管理平台可以统一对策略进行定义、下发并在各个设备上进行强制实施,提高了综合防范能力,此外还可对安全事件进行集中的管理分析和应急响应支持,对全局的安全威胁和风险进行评估和管理,为安全决策提供支持。