市级财政业务专网规划与建设简介

2020-08-23刘继军

数码设计 2020年2期

摘要：计算机网络正不断地渗透到人们的工作、生活之中，对推动整个社会文明进步、经济快速发展都有着至关重要的作用，财政信息化网络建设必将能在这一领域能自成一片天地，有一个美好的未来。

关键词：计算机网络;财政信息化

中图分类号：TP311.52 文献标识码：A 文章编号：1672-9129（2020）02-0096-02

Abstract： The computer network is constantly penetrating into people's work and life， which plays a vital role in promoting the progress of the whole social civilization and rapid economic development. The financial information network construction will certainly be able to form a world of its own in this field and have a good future.

Key words： computer network; Financial informatization

我是2001年底开始从事淮南市财政局信息化工作的，见证了财政业务系统专网从无到有，从小到大，从弱到强的每一步的成长历程。目前淮南财政业务系统专网运行状况良好并已初具规模，能为淮南财政事业发展提供有力的保障做出自己的一点贡献，本人感到无限的欣喜与自豪。下面介绍一下近几年我所了解的安徽省市级财政业务专网的规划及建设情况。

1 财政业务专网建设原则

1.1高可用性。能满足各级财政部门的实际业务需要，技术方案具有可行性，安全管理措施具有可操作性。合理设计网络架构，制订可靠的网络备份策略，同时充分考虑冗余、容错能力，保证网络具有故障自愈的能力，最大限度地支持系统的可靠运行。其骨干网络关键设备全冗余配置，不会因单点故障影响网络运行。

1.2安全性。保证接入和数据交换的安全，对终端、网络、应用、数据具备相应的保护与防攻击措施，确保信息不被篡改和非法获取。各市级财政部门应认真遵循相关安全技术规范和标准，在网络中部署适用的安全技术配置与产品。如可以部署虚拟局域网（VLAN）、代理服务器、防火墙、入侵检测等产品增强网络安全性。

1.3可扩展性。随着财政业务不断的增长和变化，要求财政业务专网具有较强的可扩展能力，可以平滑地扩充和升级，减少对网络架构和现有网络设备的调整。随着技术不断发展，新的标准和功能不断增加，网络设备应能提供高可用、多种类接口，模块化的设计以及多种技术的选择，以方便未来更灵活的扩展。

1.4可管理性。财政业务专网中所有设备均可通过网络管理平台进行控制，网络设备的状况，是否存在故障或隐患等都可以通过网管平台进行监控和告警，通过网管平台简化网络管理工作，提高网络管理效率。

1.5规范性。财政业务专网建设符合国家法律法规，以及相关政策、标准的规定。

1.6可控性。统一制定网络可控策略，整体考虑财政业务专网的边界可控，与其它网络连接和数据交换可控。

2 财政业务专网功能区设计

根据市级财政部门的业务构成及网络安全要求，采用模块化设计的方式，模块化设计带来的易管理性、可扩展性、高安全性和高可用性，為财政业务的长期稳定开展提供了有力保障。

2.1网络核心区。网络核心区是财政业务专网高速数据交换的核心，提供高可靠性、高稳定性接入服务连接财政业务专网内部网络各个功能分区，如服务器区、办公接入区等。网络核心区设计以高性能快速转发、高扩展性、高可靠性、高稳定性为原则，采用冗余架构，能承载整个网络数据交换流量，为各个区域提供高性能、高可靠的数据交换平台，保障24小时不间断正常运行。

2.2服务器区。应用服务器主要用于运行一些应用服务及中间件（如weblgoic、tomcat）等，提供数据库服务器的接入。

数据库服务器区主要用于存放财政系统各项应用产生数据，财政数据是国家财政信息系统的运行基础，是各级财政部门开展预算编制、预算执行、财政总账、财政决算、政府财务报告等财政业务工作的重要支撑。

通过部署防火墙作为整个服务器区的安全控制边界，为了减轻服务器的负担，还需要旁路部署负载均衡设备，提高应用响应速度。接入交换机与服务器之间的端口应开启“BPDU保护”功能，防止有人伪造配置消息恶意攻击设备，避免发生网络拓扑震荡。接入交换机上行端口开启“环路保护”功能。

2.3办公接入区。市级财政单位办公接入区采用核心层和接入层二层模式，核心层配置VRRP冗余网关，接入层交换机配置聚合链路，交叉双上联至网络核心区。提高网络的冗余性。

接入层交换机启用端口安全功能：利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全有限制交换机端口的最大连接数和端口的安全地址绑定两种基本功能。

为了保证办公接入区网络高可用性，交换机通常采用MSTP+VRRP配置，也可将多台交换机配置成一个堆叠组。接入交换机与核心交换机之间通过捆绑链路连接，从逻辑上看，一个堆叠组就是一台设备。接入交换机通过链路聚合上联核心交换机，按需要进行VLAN划分。

2.4运维管理区。

（1）网络安全审计系统。网络安全审计系统是完整网络安全框架中的一个必要环节，该系统针对财政业务专网中的操作提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供对财政业务专网的有效监督，预防、制止数据泄密。满足财政部门对财政业务专网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。

（2）漏洞扫描系统。漏洞扫描系统是基于漏洞数据库，通过扫描等手段对财政业务专网内系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测系统。

利用漏洞扫描系统，网络管理人员可以定期对财政业务专网进行网络漏洞扫描检测，这样可帮助财政用户最大可能的消除安全隐患，尽早地发现安全漏洞并进行修补，有效的利用已有系统，优化资源，提高网络的运行效率。

如果说防火墙和网络监控或防御系统是被动的防御手段，那么漏洞扫描系统就是一种主动的防范措施，能有效避免攻击行为，做到防患于未然。

（3）运维管理审计系统。运维管理审计系统能够对运维人员的访问过程进行精细化的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能，实现运维过程的"事前预防、事中控制、事后审计"，在简化运维操作的同时，解决各种复杂环境下的运维安全问题，提升财政业务专网运维管理水平。

（4）网络分析系统。网络分析系统通过捕获并分析财政业务专网中传输的底层数据包，对网络故障、网络安全以及网络性能进行全面检测、分析、诊断，为网络管理者提供全面可靠的数据依据，快速排查网络中出现或潜在的故障、安全及性能问题，从而规避网络安全风险、提升网络性能、减少故障损失并降低管理成本。

（5）数据库审计系统。数据库审计系统通过实时监控和记录数据库的多重状态和通信内容，对数据库操作进行细粒度审计的合规性管理，准确评估数据库所面临的风险，并通过日志记录提供事后追查机制。主要功能包括：敏感数据发现、性能审计、风险评估、数据活动监控等。数据库审计系统提升财政业务专网整体安全防护能力避免核心数据被侵犯，保障了核心数据的安全性及连续性。

2.5专网外联区。财政业务专网外联区实现与上、下级财政部门以及各家银行、预算单位的连接。

专网外联区与网络核心区之间应部署硬件防火墙和IPS进行安全隔离。在对外联单位提供服务时，防火墙应采用限制到IP地址加端口的控制级别，监控IP地址转发，并关闭所有未使用的高风险端口。

目前的市级财政业务专网防御方案主要是采用防火墙、IPS等设备完成防御，核心交换机和财政专网外联区路由器之间应部署防火墙，实现安全隔离访问控制。防火墙和路由器之间应部署IPS入侵检测设备，实现能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件等的攻击。IPS建议配置Bypass功能模块，防火墙建议采用双机热备模式部署，防止设备故障而造成的网络中断。

网络核心区配置VRRP配合防火墙的双机热备切换功能。交换机、防火墙、IPS和外联路由器使用双行连接方式，保证外联接入网络能够在故障发生时动态切换。

IPS设备串接在防火墙和路由器之间，重点保护业务专网的安全。IPS系统是双向检测，这样既能保障网络核心区出口安全，又可以检测内部网络到外联单位的应用程序流量。

各级预算单位可采用专线、电子政务网络、运营商MPLS VPN或VPDN、PTN等方式接入相应的地方业务专网。

3 财政业务专网安全规划

在网络安全设计方面，首先在市级财政业务专网网络核心区、服务器区、运维管理区、办公接入区和专网外联区之间，部署由硬件防火墙组成的安全隔离层，实现各网络功能区之间安全可控的互连通信。其次，采用VLAN、ACL、路由过滤、IPS等安全技术，重点严控跨功能区（跨网段）的网络访问，强化安全审计功能。

3.1终端安全。接入终端按照用户属性，分为内部用户终端和外部用户终端两类：内部用户终端指各级财政部门内部用户使用的终端，包括在财政业务专网内部通过局域网方式接入的终端以及财政内部用户通过VPDN或PTN方式远程接入财政业务专网的终端。外部用户终端指各级预算单位、人民银行、代理商业银行和信息资源共享部门等财政系统外部用户使用的终端，包括点对网模式接入终端和网对网模式接入终端。

3.2链路安全。根据实际业务情况，优先选择安全性较高的专线、MPSL、VPN、VPDN、PTN等接入方式，在此基础上可选用Ipsec VPN、SSL VPN等方式实现数据加密和完整性保护。

3.3边界安全。在财政业务专网边界建立横向接入区、纵向接入区、内外网数据交换区、安全管理区，保证财政业务专网的边界安全，实现安全可控的数据流访问和数据交换。

3.4认证安全

对财政业务专网接入对象进行身份认证。接入用户使用财政数字证书进行身份认证，接入设备可通过IP/MAC地址、设备码、设备证书等进行身份认证。

3.5应用安全。应用系统应合理确定其安全等级保护级别，按照国家信息安全等级保护相关政策标准进行开发和管理，实现所要求的安全功能。要开发和部署独立于应用系统的第三方审计系统，保证对应用审计的可信和可追溯。充分利用财政身份认证系统提供的身份认证、数字签名、数字信封、时间戳、授权管理等安全功能，确保应用系统安全。

4 财政业务专网接入方式

依据财政业务需求和业务专网特点，结合当前广域网、城域网组网技术，财政业务专网纵向和横向网络连接主要采用以下方式：

4.1专线。专线是指在广域或城域连接中使用光纤，或者租用运营商SDH/MSTP、DWDM链路、PTN等进行互联的专用线路。

4.2电子政务网络。电子政务网络是指国家电子政务外网和各级党政部门已建成的非涉密专网。

4.3 MPLS VPN網络。MPLS VPN网络是指运营商利用MPLS VPN技术提供的网络服务，安全性、可靠性低于专线。

4.4 VPDN网络。

VPDN虚拟专用拨号网是运营商基于L2TP等技术为客户提供的一种相对可控的网络接入方式。这种接入方式可以提供对终端的认证功能，数据经过隧道传输。

VPDN方案的终端接入方式可以采用有线接入，也可以采用3G、4G无线接入。

4.5 PTN网络。PTN支持多种基于分组交换业务的双向点对点连接通道，具有适合各种粗细颗粒业务、端到端的组网能力，继承了SDH技术的操作、管理和维护机制（OAM），保证网络具备保护切换、错误检测和通道监控能力，完成了与IP/MPLS多种方式的互连互通，无缝承载核心IP业务;

5 总结

以上就是我所了解的安徽省市级财政业务专网近几年的规划与建设情况，希望能给从事信息化工作的同仁们提供一点可以借鉴与交流的东西，不足与不周的地方还请大家批评指正。

参考文献：