近年來,隨著“金財(cái)工程”的逐步開展,各財(cái)政單位信息化的逐步深入,部署了越來越多的業(yè)務(wù)信息系統(tǒng);同時越來越多的單位用戶(包括各鄉(xiāng)鎮(zhèn)財(cái)政所、各預(yù)算單位、銀行等單位)接入到單位的核心數(shù)據(jù)中心了。
支撐如此眾多業(yè)務(wù)信息系統(tǒng)安全、穩(wěn)定、高效運(yùn)行的是“核心數(shù)據(jù)中心”的安全和穩(wěn)定;如何管理這些各類單位用戶接入并訪問各類財(cái)政業(yè)務(wù)信息系統(tǒng),直接影響到了財(cái)政業(yè)務(wù)核心數(shù)據(jù)安全和效率,也就影響了各單位業(yè)務(wù)的開展。
根據(jù)對財(cái)政數(shù)據(jù)安全系統(tǒng)建設(shè)的具體要求,需要將財(cái)政業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)安全建設(shè)按照“安全控制高 布局規(guī)劃簡 操作方法易”的原則,把數(shù)據(jù)接入系統(tǒng)建設(shè)成“總體投資成本低為前提,集中化管理為核心”的安全接入平臺。
為此,我們應(yīng)該關(guān)注什么?
【應(yīng)用現(xiàn)狀】
使用業(yè)務(wù)系統(tǒng)服務(wù)的接入用戶來自多個網(wǎng)絡(luò):市政府內(nèi)網(wǎng)、財(cái)政專網(wǎng)、本單位局域網(wǎng)等這些來自多個網(wǎng)絡(luò)環(huán)境的用戶,我們無法控制這些接入用戶的安全行為,但我們要對這些接入用戶進(jìn)行安全干預(yù)行為,是不切實(shí)際的。
為了保障局信息化的穩(wěn)定運(yùn)行和日常工作的正常運(yùn)作,須將目標(biāo)鎖定在核心數(shù)據(jù)中心,工作放在核心數(shù)據(jù)區(qū)也方便我們工作的開展,也無需去改造數(shù)量眾多的用戶端。
具體表現(xiàn)在:
所有的接入用戶直接訪問本局的數(shù)據(jù)服務(wù)器;
接入的用戶沒有進(jìn)行權(quán)限的劃分,一旦允許其訪問資源,則其能窺視本局的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用現(xiàn)狀;
來自這些網(wǎng)絡(luò)的用戶,可以任意改動本局的網(wǎng)絡(luò)結(jié)構(gòu);
改動后,無跡可查,事后無監(jiān)管措施。
【面臨風(fēng)險】
居于以上措施沒有得到完善,我們的核心數(shù)據(jù)中心面臨著以下的風(fēng)險:
用戶隨意進(jìn)入本局網(wǎng)絡(luò),訪問核心數(shù)據(jù)服務(wù);
用戶隨意查看本局的整個網(wǎng)絡(luò)結(jié)構(gòu),埋下被攻擊的隱患;
用戶隨意刪改本局的整個網(wǎng)絡(luò)配置和資源;
用戶隨意刪改后,事后無跡可查。
【風(fēng)險控制】
如此高的風(fēng)險,最終導(dǎo)致的是訪問不穩(wěn)定、數(shù)據(jù)丟失等現(xiàn)象,從而影響了工作的正常開展。
具體措施如下:
在權(quán)限上做更精細(xì)化的管理,資源只對需要的人開放,同時特定的人只能訪問特定的資源,避免粗放式權(quán)限,杜絕了非法人員鉆安全漏洞的空子;
所有有權(quán)限訪問核心數(shù)據(jù)服務(wù)的用戶,不直接與核心數(shù)據(jù)服務(wù)器進(jìn)行數(shù)據(jù)交換,杜絕有權(quán)限訪問服務(wù)的人員的非法行為;
在用戶訪問核心數(shù)據(jù)服務(wù)的過程中,進(jìn)行協(xié)議優(yōu)化,將病毒、木馬等網(wǎng)絡(luò)層數(shù)據(jù)信息進(jìn)行屏蔽,以便干凈現(xiàn)有網(wǎng)絡(luò),提供一個更為順暢的網(wǎng)絡(luò)環(huán)境。
通過以上措施,我們才能在現(xiàn)有的網(wǎng)絡(luò)中,保障我們的信息化工作能夠順暢地進(jìn)行。
【成功案例】
韶關(guān)、清遠(yuǎn)、云浮地區(qū)共15個區(qū)縣財(cái)政局通過對e地通的考察及比較,發(fā)現(xiàn)e地通Socks v5數(shù)據(jù)安全接入系統(tǒng)具有如下優(yōu)點(diǎn),符合財(cái)政業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全建設(shè)要求。
安全性高
E地通數(shù)據(jù)安全接入系統(tǒng)通過在財(cái)政局中心機(jī)房部署服務(wù)器端,將所有的業(yè)務(wù)信息系統(tǒng)包括:國庫集中支付、鄉(xiāng)(鎮(zhèn))財(cái)縣管等其他業(yè)務(wù)系統(tǒng)的應(yīng)用和數(shù)據(jù)庫服務(wù)器隱藏、隔離起來,所有預(yù)算單位、代理銀行、人民銀行及其他需要接入財(cái)政局?jǐn)?shù)據(jù)中心的單位及個人均通過e地通服務(wù)器端的安全過濾。
總體投資成本低
通過一次性投入,建立一個后續(xù)擴(kuò)展性很強(qiáng)的平臺,以后的其他信息化系統(tǒng),包括OA、非稅等都可以在該平臺上運(yùn)行。
布局規(guī)劃簡
對所涉及到的各單位的網(wǎng)絡(luò)不做任何改變,也不增加任何設(shè)備。
操作方法易
單位接入用戶可以根據(jù)情況分配安全KEY,即插即用;或安裝相關(guān)的文件證書。
