摘要：計算機網(wǎng)絡(luò)正不斷地滲透到人們的工作、生活之中，對推動整個社會文明進步、經(jīng)濟快速發(fā)展都有著至關(guān)重要的作用，財政信息化網(wǎng)絡(luò)建設(shè)必將能在這一領(lǐng)域能自成一片天地，有一個美好的未來。

關(guān)鍵詞：計算機網(wǎng)絡(luò);財政信息化

中圖分類號：TP311.52? 文獻標識碼：A? 文章編號：1672-9129（2020）02-0096-02

Abstract： The computer network is constantly penetrating into people's work and life， which plays a vital role in promoting the progress of the whole social civilization and rapid economic development. The financial information network construction will certainly be able to form a world of its own in this field and have a good future.

Key words： computer network; Financial informatization

我是2001年底開始從事淮南市財政局信息化工作的，見證了財政業(yè)務(wù)系統(tǒng)專網(wǎng)從無到有，從小到大，從弱到強的每一步的成長歷程。目前淮南財政業(yè)務(wù)系統(tǒng)專網(wǎng)運行狀況良好并已初具規(guī)模，能為淮南財政事業(yè)發(fā)展提供有力的保障做出自己的一點貢獻，本人感到無限的欣喜與自豪。下面介紹一下近幾年我所了解的安徽省市級財政業(yè)務(wù)專網(wǎng)的規(guī)劃及建設(shè)情況。

1? 財政業(yè)務(wù)專網(wǎng)建設(shè)原則

1.1高可用性。能滿足各級財政部門的實際業(yè)務(wù)需要，技術(shù)方案具有可行性，安全管理措施具有可操作性。合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，同時充分考慮冗余、容錯能力，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的可靠運行。其骨干網(wǎng)絡(luò)關(guān)鍵設(shè)備全冗余配置，不會因單點故障影響網(wǎng)絡(luò)運行。

1.2安全性。保證接入和數(shù)據(jù)交換的安全，對終端、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)具備相應(yīng)的保護與防攻擊措施，確保信息不被篡改和非法獲取。各市級財政部門應(yīng)認真遵循相關(guān)安全技術(shù)規(guī)范和標準，在網(wǎng)絡(luò)中部署適用的安全技術(shù)配置與產(chǎn)品。如可以部署虛擬局域網(wǎng)（VLAN）、代理服務(wù)器、防火墻、入侵檢測等產(chǎn)品增強網(wǎng)絡(luò)安全性。

1.3可擴展性。隨著財政業(yè)務(wù)不斷的增長和變化，要求財政業(yè)務(wù)專網(wǎng)具有較強的可擴展能力，可以平滑地擴充和升級，減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有網(wǎng)絡(luò)設(shè)備的調(diào)整。隨著技術(shù)不斷發(fā)展，新的標準和功能不斷增加，網(wǎng)絡(luò)設(shè)備應(yīng)能提供高可用、多種類接口，模塊化的設(shè)計以及多種技術(shù)的選擇，以方便未來更靈活的擴展。

1.4可管理性。財政業(yè)務(wù)專網(wǎng)中所有設(shè)備均可通過網(wǎng)絡(luò)管理平臺進行控制，網(wǎng)絡(luò)設(shè)備的狀況，是否存在故障或隱患等都可以通過網(wǎng)管平臺進行監(jiān)控和告警，通過網(wǎng)管平臺簡化網(wǎng)絡(luò)管理工作，提高網(wǎng)絡(luò)管理效率。

1.5規(guī)范性。財政業(yè)務(wù)專網(wǎng)建設(shè)符合國家法律法規(guī)，以及相關(guān)政策、標準的規(guī)定。

1.6可控性。統(tǒng)一制定網(wǎng)絡(luò)可控策略，整體考慮財政業(yè)務(wù)專網(wǎng)的邊界可控，與其它網(wǎng)絡(luò)連接和數(shù)據(jù)交換可控。

2? 財政業(yè)務(wù)專網(wǎng)功能區(qū)設(shè)計

根據(jù)市級財政部門的業(yè)務(wù)構(gòu)成及網(wǎng)絡(luò)安全要求，采用模塊化設(shè)計的方式，模塊化設(shè)計帶來的易管理性、可擴展性、高安全性和高可用性，為財政業(yè)務(wù)的長期穩(wěn)定開展提供了有力保障。

2.1網(wǎng)絡(luò)核心區(qū)。網(wǎng)絡(luò)核心區(qū)是財政業(yè)務(wù)專網(wǎng)高速數(shù)據(jù)交換的核心，提供高可靠性、高穩(wěn)定性接入服務(wù)連接財政業(yè)務(wù)專網(wǎng)內(nèi)部網(wǎng)絡(luò)各個功能分區(qū)，如服務(wù)器區(qū)、辦公接入?yún)^(qū)等。網(wǎng)絡(luò)核心區(qū)設(shè)計以高性能快速轉(zhuǎn)發(fā)、高擴展性、高可靠性、高穩(wěn)定性為原則，采用冗余架構(gòu)，能承載整個網(wǎng)絡(luò)數(shù)據(jù)交換流量，為各個區(qū)域提供高性能、高可靠的數(shù)據(jù)交換平臺，保障24小時不間斷正常運行。

2.2服務(wù)器區(qū)。應(yīng)用服務(wù)器主要用于運行一些應(yīng)用服務(wù)及中間件（如weblgoic、tomcat）等，提供數(shù)據(jù)庫服務(wù)器的接入。

數(shù)據(jù)庫服務(wù)器區(qū)主要用于存放財政系統(tǒng)各項應(yīng)用產(chǎn)生數(shù)據(jù)，財政數(shù)據(jù)是國家財政信息系統(tǒng)的運行基礎(chǔ)，是各級財政部門開展預(yù)算編制、預(yù)算執(zhí)行、財政總賬、財政決算、政府財務(wù)報告等財政業(yè)務(wù)工作的重要支撐。

通過部署防火墻作為整個服務(wù)器區(qū)的安全控制邊界，為了減輕服務(wù)器的負擔，還需要旁路部署負載均衡設(shè)備，提高應(yīng)用響應(yīng)速度。接入交換機與服務(wù)器之間的端口應(yīng)開啟“BPDU保護”功能，防止有人偽造配置消息惡意攻擊設(shè)備，避免發(fā)生網(wǎng)絡(luò)拓撲震蕩。接入交換機上行端口開啟“環(huán)路保護”功能。

2.3辦公接入?yún)^(qū)。市級財政單位辦公接入?yún)^(qū)采用核心層和接入層二層模式，核心層配置VRRP冗余網(wǎng)關(guān)，接入層交換機配置聚合鏈路，交叉雙上聯(lián)至網(wǎng)絡(luò)核心區(qū)。提高網(wǎng)絡(luò)的冗余性。

接入層交換機啟用端口安全功能：利用交換機的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機端口安全有限制交換機端口的最大連接數(shù)和端口的安全地址綁定兩種基本功能。

為了保證辦公接入?yún)^(qū)網(wǎng)絡(luò)高可用性，交換機通常采用MSTP+VRRP配置，也可將多臺交換機配置成一個堆疊組。接入交換機與核心交換機之間通過捆綁鏈路連接，從邏輯上看，一個堆疊組就是一臺設(shè)備。接入交換機通過鏈路聚合上聯(lián)核心交換機，按需要進行VLAN劃分。

2.4運維管理區(qū)。

（1）網(wǎng)絡(luò)安全審計系統(tǒng)。網(wǎng)絡(luò)安全審計系統(tǒng)是完整網(wǎng)絡(luò)安全框架中的一個必要環(huán)節(jié)，該系統(tǒng)針對財政業(yè)務(wù)專網(wǎng)中的操作提供有效的行為審計、內(nèi)容審計、行為報警、行為控制及相關(guān)審計功能。從管理層面提供對財政業(yè)務(wù)專網(wǎng)的有效監(jiān)督，預(yù)防、制止數(shù)據(jù)泄密。滿足財政部門對財政業(yè)務(wù)專網(wǎng)行為審計備案及安全保護措施的要求，提供完整的上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全管理和風險防范。

（2）漏洞掃描系統(tǒng)。漏洞掃描系統(tǒng)是基于漏洞數(shù)據(jù)庫，通過掃描等手段對財政業(yè)務(wù)專網(wǎng)內(nèi)系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測系統(tǒng)。

利用漏洞掃描系統(tǒng)，網(wǎng)絡(luò)管理人員可以定期對財政業(yè)務(wù)專網(wǎng)進行網(wǎng)絡(luò)漏洞掃描檢測，這樣可幫助財政用戶最大可能的消除安全隱患，盡早地發(fā)現(xiàn)安全漏洞并進行修補，有效的利用已有系統(tǒng)，優(yōu)化資源，提高網(wǎng)絡(luò)的運行效率。

如果說防火墻和網(wǎng)絡(luò)監(jiān)控或防御系統(tǒng)是被動的防御手段，那么漏洞掃描系統(tǒng)就是一種主動的防范措施，能有效避免攻擊行為，做到防患于未然。

（3）運維管理審計系統(tǒng)。運維管理審計系統(tǒng)能夠?qū)\維人員的訪問過程進行精細化的授權(quán)、全過程的操作記錄及控制、全方位的操作審計、并支持事后操作過程回放功能，實現(xiàn)運維過程的"事前預(yù)防、事中控制、事后審計"，在簡化運維操作的同時，解決各種復(fù)雜環(huán)境下的運維安全問題，提升財政業(yè)務(wù)專網(wǎng)運維管理水平。

（4）網(wǎng)絡(luò)分析系統(tǒng)。網(wǎng)絡(luò)分析系統(tǒng)通過捕獲并分析財政業(yè)務(wù)專網(wǎng)中傳輸?shù)牡讓訑?shù)據(jù)包，對網(wǎng)絡(luò)故障、網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)性能進行全面檢測、分析、診斷，為網(wǎng)絡(luò)管理者提供全面可靠的數(shù)據(jù)依據(jù)，快速排查網(wǎng)絡(luò)中出現(xiàn)或潛在的故障、安全及性能問題，從而規(guī)避網(wǎng)絡(luò)安全風險、提升網(wǎng)絡(luò)性能、減少故障損失并降低管理成本。

（5）數(shù)據(jù)庫審計系統(tǒng)。數(shù)據(jù)庫審計系統(tǒng)通過實時監(jiān)控和記錄數(shù)據(jù)庫的多重狀態(tài)和通信內(nèi)容，對數(shù)據(jù)庫操作進行細粒度審計的合規(guī)性管理，準確評估數(shù)據(jù)庫所面臨的風險，并通過日志記錄提供事后追查機制。主要功能包括：敏感數(shù)據(jù)發(fā)現(xiàn)、性能審計、風險評估、數(shù)據(jù)活動監(jiān)控等。數(shù)據(jù)庫審計系統(tǒng)提升財政業(yè)務(wù)專網(wǎng)整體安全防護能力避免核心數(shù)據(jù)被侵犯，保障了核心數(shù)據(jù)的安全性及連續(xù)性。

2.5專網(wǎng)外聯(lián)區(qū)。財政業(yè)務(wù)專網(wǎng)外聯(lián)區(qū)實現(xiàn)與上、下級財政部門以及各家銀行、預(yù)算單位的連接。

專網(wǎng)外聯(lián)區(qū)與網(wǎng)絡(luò)核心區(qū)之間應(yīng)部署硬件防火墻和IPS進行安全隔離。在對外聯(lián)單位提供服務(wù)時，防火墻應(yīng)采用限制到IP地址加端口的控制級別，監(jiān)控IP地址轉(zhuǎn)發(fā)，并關(guān)閉所有未使用的高風險端口。

目前的市級財政業(yè)務(wù)專網(wǎng)防御方案主要是采用防火墻、IPS等設(shè)備完成防御，核心交換機和財政專網(wǎng)外聯(lián)區(qū)路由器之間應(yīng)部署防火墻，實現(xiàn)安全隔離訪問控制。防火墻和路由器之間應(yīng)部署IPS入侵檢測設(shè)備，實現(xiàn)能夠阻止蠕蟲、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件等的攻擊。IPS建議配置Bypass功能模塊，防火墻建議采用雙機熱備模式部署，防止設(shè)備故障而造成的網(wǎng)絡(luò)中斷。

網(wǎng)絡(luò)核心區(qū)配置VRRP配合防火墻的雙機熱備切換功能。交換機、防火墻、IPS和外聯(lián)路由器使用雙行連接方式，保證外聯(lián)接入網(wǎng)絡(luò)能夠在故障發(fā)生時動態(tài)切換。

IPS設(shè)備串接在防火墻和路由器之間，重點保護業(yè)務(wù)專網(wǎng)的安全。IPS系統(tǒng)是雙向檢測，這樣既能保障網(wǎng)絡(luò)核心區(qū)出口安全，又可以檢測內(nèi)部網(wǎng)絡(luò)到外聯(lián)單位的應(yīng)用程序流量。

各級預(yù)算單位可采用專線、電子政務(wù)網(wǎng)絡(luò)、運營商MPLS VPN或VPDN、PTN等方式接入相應(yīng)的地方業(yè)務(wù)專網(wǎng)。

3? 財政業(yè)務(wù)專網(wǎng)安全規(guī)劃

在網(wǎng)絡(luò)安全設(shè)計方面，首先在市級財政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)核心區(qū)、服務(wù)器區(qū)、運維管理區(qū)、辦公接入?yún)^(qū)和專網(wǎng)外聯(lián)區(qū)之間，部署由硬件防火墻組成的安全隔離層，實現(xiàn)各網(wǎng)絡(luò)功能區(qū)之間安全可控的互連通信。其次，采用VLAN、ACL、路由過濾、IPS等安全技術(shù)，重點嚴控跨功能區(qū)（跨網(wǎng)段）的網(wǎng)絡(luò)訪問，強化安全審計功能。

3.1終端安全。接入終端按照用戶屬性，分為內(nèi)部用戶終端和外部用戶終端兩類：內(nèi)部用戶終端指各級財政部門內(nèi)部用戶使用的終端，包括在財政業(yè)務(wù)專網(wǎng)內(nèi)部通過局域網(wǎng)方式接入的終端以及財政內(nèi)部用戶通過VPDN或PTN方式遠程接入財政業(yè)務(wù)專網(wǎng)的終端。外部用戶終端指各級預(yù)算單位、人民銀行、代理商業(yè)銀行和信息資源共享部門等財政系統(tǒng)外部用戶使用的終端，包括點對網(wǎng)模式接入終端和網(wǎng)對網(wǎng)模式接入終端。

3.2鏈路安全。根據(jù)實際業(yè)務(wù)情況，優(yōu)先選擇安全性較高的專線、MPSL、VPN、VPDN、PTN等接入方式，在此基礎(chǔ)上可選用Ipsec VPN、SSL VPN等方式實現(xiàn)數(shù)據(jù)加密和完整性保護。

3.3邊界安全。在財政業(yè)務(wù)專網(wǎng)邊界建立橫向接入?yún)^(qū)、縱向接入?yún)^(qū)、內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)、安全管理區(qū)，保證財政業(yè)務(wù)專網(wǎng)的邊界安全，實現(xiàn)安全可控的數(shù)據(jù)流訪問和數(shù)據(jù)交換。

3.4認證安全

對財政業(yè)務(wù)專網(wǎng)接入對象進行身份認證。接入用戶使用財政數(shù)字證書進行身份認證，接入設(shè)備可通過IP/MAC地址、設(shè)備碼、設(shè)備證書等進行身份認證。

3.5應(yīng)用安全。應(yīng)用系統(tǒng)應(yīng)合理確定其安全等級保護級別，按照國家信息安全等級保護相關(guān)政策標準進行開發(fā)和管理，實現(xiàn)所要求的安全功能。要開發(fā)和部署獨立于應(yīng)用系統(tǒng)的第三方審計系統(tǒng)，保證對應(yīng)用審計的可信和可追溯。充分利用財政身份認證系統(tǒng)提供的身份認證、數(shù)字簽名、數(shù)字信封、時間戳、授權(quán)管理等安全功能，確保應(yīng)用系統(tǒng)安全。

4? 財政業(yè)務(wù)專網(wǎng)接入方式

依據(jù)財政業(yè)務(wù)需求和業(yè)務(wù)專網(wǎng)特點，結(jié)合當前廣域網(wǎng)、城域網(wǎng)組網(wǎng)技術(shù)，財政業(yè)務(wù)專網(wǎng)縱向和橫向網(wǎng)絡(luò)連接主要采用以下方式：

4.1專線。專線是指在廣域或城域連接中使用光纖，或者租用運營商SDH/MSTP、DWDM鏈路、PTN等進行互聯(lián)的專用線路。

4.2電子政務(wù)網(wǎng)絡(luò)。電子政務(wù)網(wǎng)絡(luò)是指國家電子政務(wù)外網(wǎng)和各級黨政部門已建成的非涉密專網(wǎng)。

4.3 MPLS VPN網(wǎng)絡(luò)。MPLS VPN網(wǎng)絡(luò)是指運營商利用MPLS VPN技術(shù)提供的網(wǎng)絡(luò)服務(wù)，安全性、可靠性低于專線。

4.4 VPDN網(wǎng)絡(luò)。

VPDN虛擬專用撥號網(wǎng)是運營商基于L2TP等技術(shù)為客戶提供的一種相對可控的網(wǎng)絡(luò)接入方式。這種接入方式可以提供對終端的認證功能，數(shù)據(jù)經(jīng)過隧道傳輸。

VPDN方案的終端接入方式可以采用有線接入，也可以采用3G、4G無線接入。

4.5 PTN網(wǎng)絡(luò)。PTN支持多種基于分組交換業(yè)務(wù)的雙向點對點連接通道，具有適合各種粗細顆粒業(yè)務(wù)、端到端的組網(wǎng)能力，繼承了SDH技術(shù)的操作、 管理和維護機制（OAM），保證網(wǎng)絡(luò)具備保護切換、錯誤檢測和通道監(jiān)控能力，完成了與IP/MPLS多種方式的互連互通，無縫承載核心IP業(yè)務(wù);

5? 總結(jié)

以上就是我所了解的安徽省市級財政業(yè)務(wù)專網(wǎng)近幾年的規(guī)劃與建設(shè)情況，希望能給從事信息化工作的同仁們提供一點可以借鑒與交流的東西，不足與不周的地方還請大家批評指正。

參考文獻：

[1]財政部，財政網(wǎng)絡(luò)安全總體策略，2017.11

[2]財政部，財政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范，2015.3

[3]財政部，財政部關(guān)于地方財政信息化建設(shè)的指導(dǎo)意見，2016.6

[4]安徽省財政廳，安徽省財政信息化建設(shè)與應(yīng)用總體方案，2016.4

[5]安徽省財政廳，市縣財政網(wǎng)絡(luò)標準化改造方案，2016.12

作者簡介：劉繼軍（1975.11-）男，安徽省壽縣人，淮南市財政局信息中心工程師，研究方向：電子信息工程、電氣工程與自動化、計算機網(wǎng)絡(luò)通信、信息化與網(wǎng)絡(luò)安全。