##县为了确保在“金财工程”建设上实现了一个数据库,一个操作平台的目标,财政局计划选择VPN技术进行全县联网,能确保“非税收入管理制度改革”财政财务数据与其他财政数据都在一个底层数据库,所有业务操作都在一个界面进行,实现“金财工程”的一体化建设。目前希望通过VPN网络建设实现联网的各县、乡镇非税收入系统包含:
中心:县财政局,一级单位,数据中心,1个。
乡镇:二级单位,8个
行政事业单位:三级单位,960个(左右)
考虑到未来信息系统的发展需要,VPN接入和UTM需要实现无缝的结合,除了都可以通过县财政局专网访问中心的资源外(权限允许),还可以实现县到其所属兄弟县之间的通讯。
应用情况
县财政局在总部已经开始实施各种应用系统,包括内部非税收入管理系统、OA系统,邮件系统等,这些系统都采用了最新的B/S结构和C/S软件结构方式。
根据对财政系统工作的各方面的综合分析,结合政府行业内部信息网以实时和准实时系统为主框架的特点,将财政局的所有业务划分成下列的一些分系统,将有利于统一规划和同步或分期建设。
非税收入管理系统
OA系统
邮件系统
目前需要建立县财政局整个内部Intranet,能够使固定分支机构图办公地点和移动办公地点都能够通过互联网接入该内部网络,需要考虑进行3层网络结构,采用树状结构进行,通过IPSEC VPN技术把三个层次连接起来。
方案说明
1. UTM设备部署
县财政局中心点网络是整个系统的核心部分,对安全防护需求更高,必须对不同用户需求进行隔离。采用UTM GW8000,防范网络攻击,设置不同的安全区域,通过对各区域做访问规则,实现三套网络的完全隔离。为每个工作人员配发一个IBC KEY,插入到电脑的USB接口,用以到UTM认证,只有认证通过才能访问网络资源,防止非法用户利用办公电脑进行非法操作、非法访问。采用IBC KEY作为身份的唯一标识,实现了实名接入网络,对不同身份的用户做权限控制和监管,流量、带宽的管理,避免大流量传输对应用系统的冲击,并能够记录、跟踪用户上网行为,实现上网行为管理。与此同时,UTM可提供2-7层的安全防护,为中心点服务器安全提供强有力的保护。
2. SJW81设备部署
1)由于财政专网络规模较大,各乡镇财政所通过VPN专网接入县财政中心,访问相关资源,进行数据交换。这样就要确保中心点稳定性,接入带宽要求更大。故在此设计采用SJW81-99设备,用来和各乡镇财政局建立VPN TUNNEL。
在本方案中采用两SJW81密管中心主要用来提供统一管理各VPN设备的平台,冗余备份,提供不间断服务,避免由于主设备故障而导致整个专网瘫痪。
2)各乡镇财政局网络规模相对于县财政中心点来说规模较小,仅需要接入总部SJW81-99设备。所以,根据规模大小,建议使用在各乡镇财政局采用SJW81的低端设备SJW81-10设备。可采用上网专线接入和ADSL接入。不要求有固定的公网IP地址。
3)各分点的SJW81-10都和中心的SJW81-99建立加密的VPN加密的连接,所有的数据多能防止不法人员的窃取和篡改。所有SJW81终端上的防火墙规则可以单独配置,也可以通过密管中心统一下发,如可在密管中心上制定不能连接Internet的策略,然后下发到所有的终端设备上。
3。 SSL VPN设备部署
在县财政局及乡财政所网络部署OLYM2008 SSL VPN-988设备,用于各行政单位的接入。为了更安全的访问中心网络资源,为各行政单位工作人员配发IBC KEY,采用IBC KEY认证方式进行用户身份认证接入县、乡财政中心网络。IBC KEY作为用户身份的唯一标识,可以对不同的用户分配不同的访问权限,实现安全访问。
4。 加密邮件部署
整个使用财政信息专网的用户使用奥联安全邮件(OMail),实现邮件安全通讯的同时,还可定制基于时间的策略。邮件的加密解密也可使用IBC KEY进行,身份认证更加安全。
