市級財政業務專網規劃與建設簡介

摘要：計算機網絡正不斷地滲透到人們的工作、生活之中，對推動整個社會文明進步、經濟快速發展都有著至關重要的作用，財政信息化網絡建設必將能在這一領域能自成一片天地，有一個美好的未來。

關鍵詞：計算機網絡;財政信息化

中圖分類號：TP311.52? 文獻標識碼：A? 文章編號：1672-9129（2020）02-0096-02

Abstract： The computer network is constantly penetrating into people's work and life， which plays a vital role in promoting the progress of the whole social civilization and rapid economic development. The financial information network construction will certainly be able to form a world of its own in this field and have a good future.

Key words： computer network; Financial informatization

我是2001年底開始從事淮南市財政局信息化工作的，見證了財政業務系統專網從無到有，從小到大，從弱到強的每一步的成長歷程。目前淮南財政業務系統專網運行狀況良好并已初具規模，能為淮南財政事業發展提供有力的保障做出自己的一點貢獻，本人感到無限的欣喜與自豪。下面介紹一下近幾年我所了解的安徽省市級財政業務專網的規劃及建設情況。

1? 財政業務專網建設原則

1.1高可用性。能滿足各級財政部門的實際業務需要，技術方案具有可行性，安全管理措施具有可操作性。合理設計網絡架構，制訂可靠的網絡備份策略，同時充分考慮冗余、容錯能力，保證網絡具有故障自愈的能力，最大限度地支持系統的可靠運行。其骨干網絡關鍵設備全冗余配置，不會因單點故障影響網絡運行。

1.2安全性。保證接入和數據交換的安全，對終端、網絡、應用、數據具備相應的保護與防攻擊措施，確保信息不被篡改和非法獲取。各市級財政部門應認真遵循相關安全技術規范和標準，在網絡中部署適用的安全技術配置與產品。如可以部署虛擬局域網（VLAN）、代理服務器、防火墻、入侵檢測等產品增強網絡安全性。

1.3可擴展性。隨著財政業務不斷的增長和變化，要求財政業務專網具有較強的可擴展能力，可以平滑地擴充和升級，減少對網絡架構和現有網絡設備的調整。隨著技術不斷發展，新的標準和功能不斷增加，網絡設備應能提供高可用、多種類接口，模塊化的設計以及多種技術的選擇，以方便未來更靈活的擴展。

1.4可管理性。財政業務專網中所有設備均可通過網絡管理平臺進行控制，網絡設備的狀況，是否存在故障或隱患等都可以通過網管平臺進行監控和告警，通過網管平臺簡化網絡管理工作，提高網絡管理效率。

1.5規范性。財政業務專網建設符合國家法律法規，以及相關政策、標準的規定。

1.6可控性。統一制定網絡可控策略，整體考慮財政業務專網的邊界可控，與其它網絡連接和數據交換可控。

2? 財政業務專網功能區設計

根據市級財政部門的業務構成及網絡安全要求，采用模塊化設計的方式，模塊化設計帶來的易管理性、可擴展性、高安全性和高可用性，為財政業務的長期穩定開展提供了有力保障。

2.1網絡核心區。網絡核心區是財政業務專網高速數據交換的核心，提供高可靠性、高穩定性接入服務連接財政業務專網內部網絡各個功能分區，如服務器區、辦公接入區等。網絡核心區設計以高性能快速轉發、高擴展性、高可靠性、高穩定性為原則，采用冗余架構，能承載整個網絡數據交換流量，為各個區域提供高性能、高可靠的數據交換平臺，保障24小時不間斷正常運行。

2.2服務器區。應用服務器主要用于運行一些應用服務及中間件（如weblgoic、tomcat）等，提供數據庫服務器的接入。

數據庫服務器區主要用于存放財政系統各項應用產生數據，財政數據是國家財政信息系統的運行基礎，是各級財政部門開展預算編制、預算執行、財政總賬、財政決算、政府財務報告等財政業務工作的重要支撐。

通過部署防火墻作為整個服務器區的安全控制邊界，為了減輕服務器的負擔，還需要旁路部署負載均衡設備，提高應用響應速度。接入交換機與服務器之間的端口應開啟“BPDU保護”功能，防止有人偽造配置消息惡意攻擊設備，避免發生網絡拓撲震蕩。接入交換機上行端口開啟“環路保護”功能。

2.3辦公接入區。市級財政單位辦公接入區采用核心層和接入層二層模式，核心層配置VRRP冗余網關，接入層交換機配置聚合鏈路，交叉雙上聯至網絡核心區。提高網絡的冗余性。

接入層交換機啟用端口安全功能：利用交換機的端口安全功能可以防止局域網大部分的內部攻擊對用戶、網絡設備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機端口安全有限制交換機端口的最大連接數和端口的安全地址綁定兩種基本功能。

為了保證辦公接入區網絡高可用性，交換機通常采用MSTP+VRRP配置，也可將多臺交換機配置成一個堆疊組。接入交換機與核心交換機之間通過捆綁鏈路連接，從邏輯上看，一個堆疊組就是一臺設備。接入交換機通過鏈路聚合上聯核心交換機，按需要進行VLAN劃分。

2.4運維管理區。

（1）網絡安全審計系統。網絡安全審計系統是完整網絡安全框架中的一個必要環節，該系統針對財政業務專網中的操作提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。從管理層面提供對財政業務專網的有效監督，預防、制止數據泄密。滿足財政部門對財政業務專網行為審計備案及安全保護措施的要求，提供完整的上網記錄，便于信息追蹤、系統安全管理和風險防范。

（2）漏洞掃描系統。漏洞掃描系統是基于漏洞數據庫，通過掃描等手段對財政業務專網內系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測系統。

利用漏洞掃描系統，網絡管理人員可以定期對財政業務專網進行網絡漏洞掃描檢測，這樣可幫助財政用戶最大可能的消除安全隱患，盡早地發現安全漏洞并進行修補，有效的利用已有系統，優化資源，提高網絡的運行效率。

如果說防火墻和網絡監控或防御系統是被動的防御手段，那么漏洞掃描系統就是一種主動的防范措施，能有效避免攻擊行為，做到防患于未然。

（3）運維管理審計系統。運維管理審計系統能夠對運維人員的訪問過程進行精細化的授權、全過程的操作記錄及控制、全方位的操作審計、并支持事后操作過程回放功能，實現運維過程的"事前預防、事中控制、事后審計"，在簡化運維操作的同時，解決各種復雜環境下的運維安全問題，提升財政業務專網運維管理水平。

（4）網絡分析系統。網絡分析系統通過捕獲并分析財政業務專網中傳輸的底層數據包，對網絡故障、網絡安全以及網絡性能進行全面檢測、分析、診斷，為網絡管理者提供全面可靠的數據依據，快速排查網絡中出現或潛在的故障、安全及性能問題，從而規避網絡安全風險、提升網絡性能、減少故障損失并降低管理成本。

（5）數據庫審計系統。數據庫審計系統通過實時監控和記錄數據庫的多重狀態和通信內容，對數據庫操作進行細粒度審計的合規性管理，準確評估數據庫所面臨的風險，并通過日志記錄提供事后追查機制。主要功能包括：敏感數據發現、性能審計、風險評估、數據活動監控等。數據庫審計系統提升財政業務專網整體安全防護能力避免核心數據被侵犯，保障了核心數據的安全性及連續性。

2.5專網外聯區。財政業務專網外聯區實現與上、下級財政部門以及各家銀行、預算單位的連接。

專網外聯區與網絡核心區之間應部署硬件防火墻和IPS進行安全隔離。在對外聯單位提供服務時，防火墻應采用限制到IP地址加端口的控制級別，監控IP地址轉發，并關閉所有未使用的高風險端口。

目前的市級財政業務專網防御方案主要是采用防火墻、IPS等設備完成防御，核心交換機和財政專網外聯區路由器之間應部署防火墻，實現安全隔離訪問控制。防火墻和路由器之間應部署IPS入侵檢測設備，實現能夠阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟件等的攻擊。IPS建議配置Bypass功能模塊，防火墻建議采用雙機熱備模式部署，防止設備故障而造成的網絡中斷。

網絡核心區配置VRRP配合防火墻的雙機熱備切換功能。交換機、防火墻、IPS和外聯路由器使用雙行連接方式，保證外聯接入網絡能夠在故障發生時動態切換。

IPS設備串接在防火墻和路由器之間，重點保護業務專網的安全。IPS系統是雙向檢測，這樣既能保障網絡核心區出口安全，又可以檢測內部網絡到外聯單位的應用程序流量。

各級預算單位可采用專線、電子政務網絡、運營商MPLS VPN或VPDN、PTN等方式接入相應的地方業務專網。

3? 財政業務專網安全規劃

在網絡安全設計方面，首先在市級財政業務專網網絡核心區、服務器區、運維管理區、辦公接入區和專網外聯區之間，部署由硬件防火墻組成的安全隔離層，實現各網絡功能區之間安全可控的互連通信。其次，采用VLAN、ACL、路由過濾、IPS等安全技術，重點嚴控跨功能區（跨網段）的網絡訪問，強化安全審計功能。

3.1終端安全。接入終端按照用戶屬性，分為內部用戶終端和外部用戶終端兩類：內部用戶終端指各級財政部門內部用戶使用的終端，包括在財政業務專網內部通過局域網方式接入的終端以及財政內部用戶通過VPDN或PTN方式遠程接入財政業務專網的終端。外部用戶終端指各級預算單位、人民銀行、代理商業銀行和信息資源共享部門等財政系統外部用戶使用的終端，包括點對網模式接入終端和網對網模式接入終端。

3.2鏈路安全。根據實際業務情況，優先選擇安全性較高的專線、MPSL、VPN、VPDN、PTN等接入方式，在此基礎上可選用Ipsec VPN、SSL VPN等方式實現數據加密和完整性保護。

3.3邊界安全。在財政業務專網邊界建立橫向接入區、縱向接入區、內外網數據交換區、安全管理區，保證財政業務專網的邊界安全，實現安全可控的數據流訪問和數據交換。

3.4認證安全

對財政業務專網接入對象進行身份認證。接入用戶使用財政數字證書進行身份認證，接入設備可通過IP/MAC地址、設備碼、設備證書等進行身份認證。

3.5應用安全。應用系統應合理確定其安全等級保護級別，按照國家信息安全等級保護相關政策標準進行開發和管理，實現所要求的安全功能。要開發和部署獨立于應用系統的第三方審計系統，保證對應用審計的可信和可追溯。充分利用財政身份認證系統提供的身份認證、數字簽名、數字信封、時間戳、授權管理等安全功能，確保應用系統安全。

4? 財政業務專網接入方式

依據財政業務需求和業務專網特點，結合當前廣域網、城域網組網技術，財政業務專網縱向和橫向網絡連接主要采用以下方式：

4.1專線。專線是指在廣域或城域連接中使用光纖，或者租用運營商SDH/MSTP、DWDM鏈路、PTN等進行互聯的專用線路。

4.2電子政務網絡。電子政務網絡是指國家電子政務外網和各級黨政部門已建成的非涉密專網。

4.3 MPLS VPN網絡。MPLS VPN網絡是指運營商利用MPLS VPN技術提供的網絡服務，安全性、可靠性低于專線。

4.4 VPDN網絡。

VPDN虛擬專用撥號網是運營商基于L2TP等技術為客戶提供的一種相對可控的網絡接入方式。這種接入方式可以提供對終端的認證功能，數據經過隧道傳輸。

VPDN方案的終端接入方式可以采用有線接入，也可以采用3G、4G無線接入。

4.5 PTN網絡。PTN支持多種基于分組交換業務的雙向點對點連接通道，具有適合各種粗細顆粒業務、端到端的組網能力，繼承了SDH技術的操作、 管理和維護機制（OAM），保證網絡具備保護切換、錯誤檢測和通道監控能力，完成了與IP/MPLS多種方式的互連互通，無縫承載核心IP業務;

5? 總結

以上就是我所了解的安徽省市級財政業務專網近幾年的規劃與建設情況，希望能給從事信息化工作的同仁們提供一點可以借鑒與交流的東西，不足與不周的地方還請大家批評指正。

參考文獻：

[1]財政部，財政網絡安全總體策略，2017.11

[2]財政部，財政業務專網網絡安全接入規范，2015.3

[3]財政部，財政部關于地方財政信息化建設的指導意見，2016.6

[4]安徽省財政廳，安徽省財政信息化建設與應用總體方案，2016.4

[5]安徽省財政廳，市縣財政網絡標準化改造方案，2016.12

作者簡介：劉繼軍（1975.11-）男，安徽省壽縣人，淮南市財政局信息中心工程師，研究方向：電子信息工程、電氣工程與自動化、計算機網絡通信、信息化與網絡安全。