地市级金财工程网络系统安全解决方案
2021-02-20
来源:好走旅游网
I O麓lIIjT 魏 SllClJI藿l 地市级金财工程网络系统安全解决方案 王智贤,张烨,肖琳洁 (榆林学院,陕西榆林719000) 摘要:金财工程建设正在各级财政单位中进行,金财工程网络系统是金财工程建设的基础平台,各财政部门在建设其金财工 程时必须十分重视网络系统的安全,只有确保网络系统是安全的,金财工程才能可靠承载各种应用系统、实现财政的数字化。 结合作者所在市的金财工程建设情况,给出一个地市级金财工程网络系统安全解决方案。 共键词:金财工程;网络系统;安全;解决方案 A Recovery Scheme of Network Security based on Gold Financial Project WANG Zhi一×ian, ZHANG Ye,XIAO Lin—jie (Yulln University,Yullh,Shaanx/T/gOO0,c#na) Abstract:The Construction of gold financial project has been developed.n all levels of finance unit.Considering the fact that the network is the basic platform of the gold financial project,all levels of finance unit that is building a gold financial project must attach great importance on network security.Only when the network iS secure,can the gold financial project be equipped with various kinds of application systems.This paper puts forward a recovery scheme of network security based on the situation of the gold financial project under construction at Yulin City. Key words:gold financial project;network system;security;solution 1金财工程 金财工程是国家电子政务十二个重点工程之 一络结构如图l所示。 。它是利用信息网络技术,支撑预算管理、国库 集中收付和财政经济景气预测等核心业务的政府财 政综合管理信息系统,是以财政系统纵横向三级网 络为支撑,以细化的部门预算为基础,以所有财政 收支全部进入国库单一账户为基本模式,以预算指 标、用款计划和采购定单为预算执行的主要控制机 制,以出纳环节高度集中并实现国库资金的有效调 度为特征,以实现财政收支全过程监管、提高财政 资金使用效益为目标。 在金财工程的纵横向三级网络系统中,纵向上 国家财政部连接各省(区、市)财政厅(局)的一 图1金财工程三级网络结构 2金财工程网络系统安全形势与挑战 金财工程主要由业务应用系统、信息网络系统 级骨干网,省级财政连接各市(地、州)级财政的 二级骨干网,市(地、州)级财政连接县级财政的 三级骨干网;横向上:实现各级财政部门与同级预 和安全保障系统三个方面组成,而无论是哪一方面 都要求其网络系统必须是安全的,即建立以认证中 心、数据加密为核心的统一安全保障体系,确保金 财工程应用系统高效、稳定运行。 算单位、人民银行、代理银行等部门的连接。其网 基金项目:榆林市科研计划项目(201 0年校地对接项目)资助 2 0 1 2.0 4 79 固|=j晒图 WWW BSC org Cn t1}i ItI薹]藿Tl i]IYI圈《叠l■l■ 一ii■ 近年来,随着业务量的不断增长和新兴业务的 持续涌现,财政部门网络内部的应用行为愈加趋向 复杂。同时,随着网络安全形式的Et趋严峻,层出 不穷、频频变种的病毒、木马、恶意攻击,让网络 管理者们意识到了网络安全的重要性。根据IDC 提供的统计数据,超过70%的安全事件,起因都 是来自于局域网的内部。如ARP欺骗、熊猫烧香、 机器狗、灰鸽子等病毒或木马,都是在局域网内部 进行传播、扩散,给财政部门网络的正常运行带来 极大的危害。 在地市级财政部门网络中,主要面临以下三大 类安全问题: (1)缺乏有效的网络准入机制和访问授权; (2)主机安全的实现困难; (3)安全事件处理效能低下。 3地市级金财工程网络系统全局安全解 决方案 针对地市级财政部门网络里存在的三大类安全 问题,以下全局安全网络解决方案GSN(Global Security Network)能够保障金财工程网络系统实 现从用户身份管理、主机管理到网络通信管理等多 方面的功能,解决上述安全问题。 此方案融合软硬件于一体,通过软件与硬件的 联动、计算机技术与网络技术的结合,实现金财工 程网络系统的安全。方案主要由后台管理系统、网 络接入设备、入侵检测设备以及安全客户端共同构 成。 1)身份管理体系 全局安全解决方案(GSN)采用基于802.1X 协议和Radius协议的身份验证体系,通过与安全 智能交换机的联动,实现对用户访问网络的身份控 制。通过严格的多元素(IP、MAC、硬盘ID、认 证交换机IP、认证交换机端口、用户名、密码、数 字证书)绑定措施,确保接入用户身份的合法性。 通过对用户计算机ID(硬盘序列号)的绑定功能, 灵活实现用户、主机、网络位置三个元素的自由绑 定。 在办公区存在不同的业务终端PC,需要区分 其访问权限的情况下,GSN可以依照用户身份,限 制不同用户的访问权限,让用户在接入网络后,只 能访问自己权限之内的服务器和网络区域等。 2)防非法外联 GSN通过典型的安全认证客户端产品及其安全 策略平台(SMP)系统的Syslog组件联动,实现 对内网主机连接互联网行为的日志记录,将用户的 ID、IP地址、MAC地址,用户主机的硬盘序列号 等多项内容全部记录下来,可以精确地定位到是哪 个用户、哪个主机在进行互联网的访问,让用户对 于非法外连行为无法抵赖。 3)软件黑白名单控制 金财工程网络要求必备的软件如防病毒软件, 以及不允许安装的软件如游戏软件等,其管理措 施可以通过GSN的软件黑白名单控制功能实现。 GSN的黑白名单功能可提供基于多个层面的检测 和控制。 通过对软件安装情况、进程运行情况、注册表 修改情况以及后台服务运行情况的监控,可以对软 件的安装和使用情况有一个详细的了解。同时,可 依照财政部门的相关规定进行处理。例如禁止运行 聊天软件,就可以对聊天软件进行检测,如果检测 到聊天软件,则对用户进行提醒或者处理如禁止其 上网,直到客户端PC卸载或关闭聊天软件等。 4)操作系统补丁/软件强制更新 针对防病毒软件和其他重要业务软件的更新, GSN系统采用基于软件黑白名单机制和客户端PC 修复、隔离机制共同实现。GSN可针对业界主流 的十多种防病毒软件进行联动检测,支持对防病毒 2 0{2.0 4 固口口圈80 x ̄*/WW NSCOrg cn} l I》髓pIjTl!l鼍 S 《:lJ鼗l 软件的安装/运行状态、病毒库版本和引擎版本信 息进行检测。 针对统一的重要软件更新包下发,可在GSN 的服务器上以主动推送的方式进行。此措施可针对 所有或某一组、某一个在线的客户端PC进行,统 一下发更新包,而离线的客户端P C将在上线之后 收到更新包,可要求客户端P C必须打上指定的补 丁后才能够入网。 针对特定软件的版本检测和补丁检测,可通过 软件黑白名单控制中的注册表检测实现。可针对不 同软件制定不同的检测策略或检测策略组。如针对 Microsoft Office软件,可建立针对Office软件的 更新检测策略组,里面包括针对Word/Excel等组 件的分别的检测策略。在遇到客户端P C出现不符 合策略组要求的情况,可根据策略组要求对客户端 PC进行修复或隔离。 5)ARP欺骗的防护 面对在局域网中时常出现的ARP欺骗,GSN 能够通过三层网关设备、安全智能交换机以及客户 端防ARP欺骗软件的联动,实现对ARP欺骗的三 重立体防御。 采用可信任ARP(Trusted ARP)技术,实 现三层网关设备和客户端PC之间联动的可信任的 ARP关系,从而保证用户与网关通信的正常。在 安全智能交换机上结合用户认证信息,则能够实现 基于端口的ARP报文合法性检查,基于深度检测 的硬件访问控制列表,将所有ARP欺骗报文全部 过滤,从而阻止ARP欺骗的发生。 6)与入侵检测系统联动的网络安全事件处理 虽然入侵检测系统IDS可以监控网络中的流量 情况,并针对异常的流量发起预警。但IDS汇报 上来的信息包含源、目的IP,这些信息对网络管理 人员处理安全事件来说,并没有太大的意义。因为 处理网络安全事件一定要追根溯源,定位到机器甚 2 0{2.o 4 81 图亡llj圈 www nSC org CN 至定位到人,才能彻底解决,仅仅提供IP地址是 不够的。GSN体系中的安全事件联动机制可以解 决这类问题。IDS作为网络通信的探针,对网络的 流量进行旁路兼听,并随时向安全策略平台SMP 上报发生的安全事件,通过对ID S上报的安全事 件的解析,并通过GSN体系中每个用户的信息来 源将安全事件定位到人,并根据IDS与GSN共享 的事件库,对安全事件给出建议处理方法,或者可 以通过预先定制好的策略对安全事件进行自动处理, 从而解决在IDS检测到安全事件后处理难的问题。 4方案总结 针对金财工程网络系统面临的三类安全问题, GSN全局安全解决方案通过软硬件的联动、计算 机层面与网络层面的结合,从身份、主机、网络等 多个角度对网络安全进行监控、检测、防御和处理, 帮助用户共同构建身份合法、主机健康、网络安 全、行为规范的全局安全网络。同时通过分布式部 署、集中管理的部署模式,帮助拥有众多分支机构 的财政部门方便地进行分级别的统一管理。 参考文献 [1]王智贤.企业网安全威胁类型及其防御方法[J】.网络 安全技术与应用.2008(11). [2】李剑,陈秀波,田华.针对政府网站的层次结构风险 评估模型[J].信息网络安全,2009(1 2). [5】景博,付晓光,陈昱松,李剑.企业网络行为管理系 统构建[J].信息网络安全,2-01 0(05). 【4】王智贤.基于数字校园建设的校园网安全解决方案[J】. 计算机安全,201 o(1 1). 作者简介:王智贤,男,教授,主要研究方向:计算机网 络安全与管理;张烨,女,讲师,主要研究方向:软件工 程与计算机网络应用;肖琳洁,男,助教,主要研究方向: 计算机网络管理与应用。 收稿日期:201 2-02—25