摘要：計(jì)算機(jī)網(wǎng)絡(luò)正不斷地滲透到人們的工作、生活之中，對(duì)推動(dòng)整個(gè)社會(huì)文明進(jìn)步、經(jīng)濟(jì)快速發(fā)展都有著至關(guān)重要的作用，財(cái)政信息化網(wǎng)絡(luò)建設(shè)必將能在這一領(lǐng)域能自成一片天地，有一個(gè)美好的未來(lái)。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò);財(cái)政信息化

中圖分類號(hào)：TP311.52? 文獻(xiàn)標(biāo)識(shí)碼：A? 文章編號(hào)：1672-9129（2020）02-0096-02

Abstract： The computer network is constantly penetrating into people's work and life， which plays a vital role in promoting the progress of the whole social civilization and rapid economic development. The financial information network construction will certainly be able to form a world of its own in this field and have a good future.

Key words： computer network; Financial informatization

我是2001年底開始從事淮南市財(cái)政局信息化工作的，見證了財(cái)政業(yè)務(wù)系統(tǒng)專網(wǎng)從無(wú)到有，從小到大，從弱到強(qiáng)的每一步的成長(zhǎng)歷程。目前淮南財(cái)政業(yè)務(wù)系統(tǒng)專網(wǎng)運(yùn)行狀況良好并已初具規(guī)模，能為淮南財(cái)政事業(yè)發(fā)展提供有力的保障做出自己的一點(diǎn)貢獻(xiàn)，本人感到無(wú)限的欣喜與自豪。下面介紹一下近幾年我所了解的安徽省市級(jí)財(cái)政業(yè)務(wù)專網(wǎng)的規(guī)劃及建設(shè)情況。

1? 財(cái)政業(yè)務(wù)專網(wǎng)建設(shè)原則

1.1高可用性。能滿足各級(jí)財(cái)政部門的實(shí)際業(yè)務(wù)需要，技術(shù)方案具有可行性，安全管理措施具有可操作性。合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，同時(shí)充分考慮冗余、容錯(cuò)能力，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的可靠運(yùn)行。其骨干網(wǎng)絡(luò)關(guān)鍵設(shè)備全冗余配置，不會(huì)因單點(diǎn)故障影響網(wǎng)絡(luò)運(yùn)行。

1.2安全性。保證接入和數(shù)據(jù)交換的安全，對(duì)終端、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)具備相應(yīng)的保護(hù)與防攻擊措施，確保信息不被篡改和非法獲取。各市級(jí)財(cái)政部門應(yīng)認(rèn)真遵循相關(guān)安全技術(shù)規(guī)范和標(biāo)準(zhǔn)，在網(wǎng)絡(luò)中部署適用的安全技術(shù)配置與產(chǎn)品。如可以部署虛擬局域網(wǎng)（VLAN）、代理服務(wù)器、防火墻、入侵檢測(cè)等產(chǎn)品增強(qiáng)網(wǎng)絡(luò)安全性。

1.3可擴(kuò)展性。隨著財(cái)政業(yè)務(wù)不斷的增長(zhǎng)和變化，要求財(cái)政業(yè)務(wù)專網(wǎng)具有較強(qiáng)的可擴(kuò)展能力，可以平滑地?cái)U(kuò)充和升級(jí)，減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有網(wǎng)絡(luò)設(shè)備的調(diào)整。隨著技術(shù)不斷發(fā)展，新的標(biāo)準(zhǔn)和功能不斷增加，網(wǎng)絡(luò)設(shè)備應(yīng)能提供高可用、多種類接口，模塊化的設(shè)計(jì)以及多種技術(shù)的選擇，以方便未來(lái)更靈活的擴(kuò)展。

1.4可管理性。財(cái)政業(yè)務(wù)專網(wǎng)中所有設(shè)備均可通過(guò)網(wǎng)絡(luò)管理平臺(tái)進(jìn)行控制，網(wǎng)絡(luò)設(shè)備的狀況，是否存在故障或隱患等都可以通過(guò)網(wǎng)管平臺(tái)進(jìn)行監(jiān)控和告警，通過(guò)網(wǎng)管平臺(tái)簡(jiǎn)化網(wǎng)絡(luò)管理工作，提高網(wǎng)絡(luò)管理效率。

1.5規(guī)范性。財(cái)政業(yè)務(wù)專網(wǎng)建設(shè)符合國(guó)家法律法規(guī)，以及相關(guān)政策、標(biāo)準(zhǔn)的規(guī)定。

1.6可控性。統(tǒng)一制定網(wǎng)絡(luò)可控策略，整體考慮財(cái)政業(yè)務(wù)專網(wǎng)的邊界可控，與其它網(wǎng)絡(luò)連接和數(shù)據(jù)交換可控。

2? 財(cái)政業(yè)務(wù)專網(wǎng)功能區(qū)設(shè)計(jì)

根據(jù)市級(jí)財(cái)政部門的業(yè)務(wù)構(gòu)成及網(wǎng)絡(luò)安全要求，采用模塊化設(shè)計(jì)的方式，模塊化設(shè)計(jì)帶來(lái)的易管理性、可擴(kuò)展性、高安全性和高可用性，為財(cái)政業(yè)務(wù)的長(zhǎng)期穩(wěn)定開展提供了有力保障。

2.1網(wǎng)絡(luò)核心區(qū)。網(wǎng)絡(luò)核心區(qū)是財(cái)政業(yè)務(wù)專網(wǎng)高速數(shù)據(jù)交換的核心，提供高可靠性、高穩(wěn)定性接入服務(wù)連接財(cái)政業(yè)務(wù)專網(wǎng)內(nèi)部網(wǎng)絡(luò)各個(gè)功能分區(qū)，如服務(wù)器區(qū)、辦公接入?yún)^(qū)等。網(wǎng)絡(luò)核心區(qū)設(shè)計(jì)以高性能快速轉(zhuǎn)發(fā)、高擴(kuò)展性、高可靠性、高穩(wěn)定性為原則，采用冗余架構(gòu)，能承載整個(gè)網(wǎng)絡(luò)數(shù)據(jù)交換流量，為各個(gè)區(qū)域提供高性能、高可靠的數(shù)據(jù)交換平臺(tái)，保障24小時(shí)不間斷正常運(yùn)行。

2.2服務(wù)器區(qū)。應(yīng)用服務(wù)器主要用于運(yùn)行一些應(yīng)用服務(wù)及中間件（如weblgoic、tomcat）等，提供數(shù)據(jù)庫(kù)服務(wù)器的接入。

數(shù)據(jù)庫(kù)服務(wù)器區(qū)主要用于存放財(cái)政系統(tǒng)各項(xiàng)應(yīng)用產(chǎn)生數(shù)據(jù)，財(cái)政數(shù)據(jù)是國(guó)家財(cái)政信息系統(tǒng)的運(yùn)行基礎(chǔ)，是各級(jí)財(cái)政部門開展預(yù)算編制、預(yù)算執(zhí)行、財(cái)政總賬、財(cái)政決算、政府財(cái)務(wù)報(bào)告等財(cái)政業(yè)務(wù)工作的重要支撐。

通過(guò)部署防火墻作為整個(gè)服務(wù)器區(qū)的安全控制邊界，為了減輕服務(wù)器的負(fù)擔(dān)，還需要旁路部署負(fù)載均衡設(shè)備，提高應(yīng)用響應(yīng)速度。接入交換機(jī)與服務(wù)器之間的端口應(yīng)開啟“BPDU保護(hù)”功能，防止有人偽造配置消息惡意攻擊設(shè)備，避免發(fā)生網(wǎng)絡(luò)拓?fù)湔鹗帯＝尤虢粨Q機(jī)上行端口開啟“環(huán)路保護(hù)”功能。

2.3辦公接入?yún)^(qū)。市級(jí)財(cái)政單位辦公接入?yún)^(qū)采用核心層和接入層二層模式，核心層配置VRRP冗余網(wǎng)關(guān)，接入層交換機(jī)配置聚合鏈路，交叉雙上聯(lián)至網(wǎng)絡(luò)核心區(qū)。提高網(wǎng)絡(luò)的冗余性。

接入層交換機(jī)啟用端口安全功能：利用交換機(jī)的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對(duì)用戶、網(wǎng)絡(luò)設(shè)備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口安全有限制交換機(jī)端口的最大連接數(shù)和端口的安全地址綁定兩種基本功能。

為了保證辦公接入?yún)^(qū)網(wǎng)絡(luò)高可用性，交換機(jī)通常采用MSTP+VRRP配置，也可將多臺(tái)交換機(jī)配置成一個(gè)堆疊組。接入交換機(jī)與核心交換機(jī)之間通過(guò)捆綁鏈路連接，從邏輯上看，一個(gè)堆疊組就是一臺(tái)設(shè)備。接入交換機(jī)通過(guò)鏈路聚合上聯(lián)核心交換機(jī)，按需要進(jìn)行VLAN劃分。

2.4運(yùn)維管理區(qū)。

（1）網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是完整網(wǎng)絡(luò)安全框架中的一個(gè)必要環(huán)節(jié)，該系統(tǒng)針對(duì)財(cái)政業(yè)務(wù)專網(wǎng)中的操作提供有效的行為審計(jì)、內(nèi)容審計(jì)、行為報(bào)警、行為控制及相關(guān)審計(jì)功能。從管理層面提供對(duì)財(cái)政業(yè)務(wù)專網(wǎng)的有效監(jiān)督，預(yù)防、制止數(shù)據(jù)泄密。滿足財(cái)政部門對(duì)財(cái)政業(yè)務(wù)專網(wǎng)行為審計(jì)備案及安全保護(hù)措施的要求，提供完整的上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全管理和風(fēng)險(xiǎn)防范。

（2）漏洞掃描系統(tǒng)。漏洞掃描系統(tǒng)是基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段對(duì)財(cái)政業(yè)務(wù)專網(wǎng)內(nèi)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)系統(tǒng)。

利用漏洞掃描系統(tǒng)，網(wǎng)絡(luò)管理人員可以定期對(duì)財(cái)政業(yè)務(wù)專網(wǎng)進(jìn)行網(wǎng)絡(luò)漏洞掃描檢測(cè)，這樣可幫助財(cái)政用戶最大可能的消除安全隱患，盡早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，有效的利用已有系統(tǒng)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率。

如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)控或防御系統(tǒng)是被動(dòng)的防御手段，那么漏洞掃描系統(tǒng)就是一種主動(dòng)的防范措施，能有效避免攻擊行為，做到防患于未然。

（3）運(yùn)維管理審計(jì)系統(tǒng)。運(yùn)維管理審計(jì)系統(tǒng)能夠?qū)\(yùn)維人員的訪問(wèn)過(guò)程進(jìn)行精細(xì)化的授權(quán)、全過(guò)程的操作記錄及控制、全方位的操作審計(jì)、并支持事后操作過(guò)程回放功能，實(shí)現(xiàn)運(yùn)維過(guò)程的"事前預(yù)防、事中控制、事后審計(jì)"，在簡(jiǎn)化運(yùn)維操作的同時(shí)，解決各種復(fù)雜環(huán)境下的運(yùn)維安全問(wèn)題，提升財(cái)政業(yè)務(wù)專網(wǎng)運(yùn)維管理水平。

（4）網(wǎng)絡(luò)分析系統(tǒng)。網(wǎng)絡(luò)分析系統(tǒng)通過(guò)捕獲并分析財(cái)政業(yè)務(wù)專網(wǎng)中傳輸?shù)牡讓訑?shù)據(jù)包，對(duì)網(wǎng)絡(luò)故障、網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)性能進(jìn)行全面檢測(cè)、分析、診斷，為網(wǎng)絡(luò)管理者提供全面可靠的數(shù)據(jù)依據(jù)，快速排查網(wǎng)絡(luò)中出現(xiàn)或潛在的故障、安全及性能問(wèn)題，從而規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、提升網(wǎng)絡(luò)性能、減少故障損失并降低管理成本。

（5）數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)通過(guò)實(shí)時(shí)監(jiān)控和記錄數(shù)據(jù)庫(kù)的多重狀態(tài)和通信內(nèi)容，對(duì)數(shù)據(jù)庫(kù)操作進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理，準(zhǔn)確評(píng)估數(shù)據(jù)庫(kù)所面臨的風(fēng)險(xiǎn)，并通過(guò)日志記錄提供事后追查機(jī)制。主要功能包括：敏感數(shù)據(jù)發(fā)現(xiàn)、性能審計(jì)、風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)活動(dòng)監(jiān)控等。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)提升財(cái)政業(yè)務(wù)專網(wǎng)整體安全防護(hù)能力避免核心數(shù)據(jù)被侵犯，保障了核心數(shù)據(jù)的安全性及連續(xù)性。

2.5專網(wǎng)外聯(lián)區(qū)。財(cái)政業(yè)務(wù)專網(wǎng)外聯(lián)區(qū)實(shí)現(xiàn)與上、下級(jí)財(cái)政部門以及各家銀行、預(yù)算單位的連接。

專網(wǎng)外聯(lián)區(qū)與網(wǎng)絡(luò)核心區(qū)之間應(yīng)部署硬件防火墻和IPS進(jìn)行安全隔離。在對(duì)外聯(lián)單位提供服務(wù)時(shí)，防火墻應(yīng)采用限制到IP地址加端口的控制級(jí)別，監(jiān)控IP地址轉(zhuǎn)發(fā)，并關(guān)閉所有未使用的高風(fēng)險(xiǎn)端口。

目前的市級(jí)財(cái)政業(yè)務(wù)專網(wǎng)防御方案主要是采用防火墻、IPS等設(shè)備完成防御，核心交換機(jī)和財(cái)政專網(wǎng)外聯(lián)區(qū)路由器之間應(yīng)部署防火墻，實(shí)現(xiàn)安全隔離訪問(wèn)控制。防火墻和路由器之間應(yīng)部署IPS入侵檢測(cè)設(shè)備，實(shí)現(xiàn)能夠阻止蠕蟲、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件等的攻擊。IPS建議配置Bypass功能模塊，防火墻建議采用雙機(jī)熱備模式部署，防止設(shè)備故障而造成的網(wǎng)絡(luò)中斷。

網(wǎng)絡(luò)核心區(qū)配置VRRP配合防火墻的雙機(jī)熱備切換功能。交換機(jī)、防火墻、IPS和外聯(lián)路由器使用雙行連接方式，保證外聯(lián)接入網(wǎng)絡(luò)能夠在故障發(fā)生時(shí)動(dòng)態(tài)切換。

IPS設(shè)備串接在防火墻和路由器之間，重點(diǎn)保護(hù)業(yè)務(wù)專網(wǎng)的安全。IPS系統(tǒng)是雙向檢測(cè)，這樣既能保障網(wǎng)絡(luò)核心區(qū)出口安全，又可以檢測(cè)內(nèi)部網(wǎng)絡(luò)到外聯(lián)單位的應(yīng)用程序流量。

各級(jí)預(yù)算單位可采用專線、電子政務(wù)網(wǎng)絡(luò)、運(yùn)營(yíng)商MPLS VPN或VPDN、PTN等方式接入相應(yīng)的地方業(yè)務(wù)專網(wǎng)。

3? 財(cái)政業(yè)務(wù)專網(wǎng)安全規(guī)劃

在網(wǎng)絡(luò)安全設(shè)計(jì)方面，首先在市級(jí)財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)核心區(qū)、服務(wù)器區(qū)、運(yùn)維管理區(qū)、辦公接入?yún)^(qū)和專網(wǎng)外聯(lián)區(qū)之間，部署由硬件防火墻組成的安全隔離層，實(shí)現(xiàn)各網(wǎng)絡(luò)功能區(qū)之間安全可控的互連通信。其次，采用VLAN、ACL、路由過(guò)濾、IPS等安全技術(shù)，重點(diǎn)嚴(yán)控跨功能區(qū)（跨網(wǎng)段）的網(wǎng)絡(luò)訪問(wèn)，強(qiáng)化安全審計(jì)功能。

3.1終端安全。接入終端按照用戶屬性，分為內(nèi)部用戶終端和外部用戶終端兩類：內(nèi)部用戶終端指各級(jí)財(cái)政部門內(nèi)部用戶使用的終端，包括在財(cái)政業(yè)務(wù)專網(wǎng)內(nèi)部通過(guò)局域網(wǎng)方式接入的終端以及財(cái)政內(nèi)部用戶通過(guò)VPDN或PTN方式遠(yuǎn)程接入財(cái)政業(yè)務(wù)專網(wǎng)的終端。外部用戶終端指各級(jí)預(yù)算單位、人民銀行、代理商業(yè)銀行和信息資源共享部門等財(cái)政系統(tǒng)外部用戶使用的終端，包括點(diǎn)對(duì)網(wǎng)模式接入終端和網(wǎng)對(duì)網(wǎng)模式接入終端。

3.2鏈路安全。根據(jù)實(shí)際業(yè)務(wù)情況，優(yōu)先選擇安全性較高的專線、MPSL、VPN、VPDN、PTN等接入方式，在此基礎(chǔ)上可選用Ipsec VPN、SSL VPN等方式實(shí)現(xiàn)數(shù)據(jù)加密和完整性保護(hù)。

3.3邊界安全。在財(cái)政業(yè)務(wù)專網(wǎng)邊界建立橫向接入?yún)^(qū)、縱向接入?yún)^(qū)、內(nèi)外網(wǎng)數(shù)據(jù)交換區(qū)、安全管理區(qū)，保證財(cái)政業(yè)務(wù)專網(wǎng)的邊界安全，實(shí)現(xiàn)安全可控的數(shù)據(jù)流訪問(wèn)和數(shù)據(jù)交換。

3.4認(rèn)證安全

對(duì)財(cái)政業(yè)務(wù)專網(wǎng)接入對(duì)象進(jìn)行身份認(rèn)證。接入用戶使用財(cái)政數(shù)字證書進(jìn)行身份認(rèn)證，接入設(shè)備可通過(guò)IP/MAC地址、設(shè)備碼、設(shè)備證書等進(jìn)行身份認(rèn)證。

3.5應(yīng)用安全。應(yīng)用系統(tǒng)應(yīng)合理確定其安全等級(jí)保護(hù)級(jí)別，按照國(guó)家信息安全等級(jí)保護(hù)相關(guān)政策標(biāo)準(zhǔn)進(jìn)行開發(fā)和管理，實(shí)現(xiàn)所要求的安全功能。要開發(fā)和部署獨(dú)立于應(yīng)用系統(tǒng)的第三方審計(jì)系統(tǒng)，保證對(duì)應(yīng)用審計(jì)的可信和可追溯。充分利用財(cái)政身份認(rèn)證系統(tǒng)提供的身份認(rèn)證、數(shù)字簽名、數(shù)字信封、時(shí)間戳、授權(quán)管理等安全功能，確保應(yīng)用系統(tǒng)安全。

4? 財(cái)政業(yè)務(wù)專網(wǎng)接入方式

依據(jù)財(cái)政業(yè)務(wù)需求和業(yè)務(wù)專網(wǎng)特點(diǎn)，結(jié)合當(dāng)前廣域網(wǎng)、城域網(wǎng)組網(wǎng)技術(shù)，財(cái)政業(yè)務(wù)專網(wǎng)縱向和橫向網(wǎng)絡(luò)連接主要采用以下方式：

4.1專線。專線是指在廣域或城域連接中使用光纖，或者租用運(yùn)營(yíng)商SDH/MSTP、DWDM鏈路、PTN等進(jìn)行互聯(lián)的專用線路。

4.2電子政務(wù)網(wǎng)絡(luò)。電子政務(wù)網(wǎng)絡(luò)是指國(guó)家電子政務(wù)外網(wǎng)和各級(jí)黨政部門已建成的非涉密專網(wǎng)。

4.3 MPLS VPN網(wǎng)絡(luò)。MPLS VPN網(wǎng)絡(luò)是指運(yùn)營(yíng)商利用MPLS VPN技術(shù)提供的網(wǎng)絡(luò)服務(wù)，安全性、可靠性低于專線。

4.4 VPDN網(wǎng)絡(luò)。

VPDN虛擬專用撥號(hào)網(wǎng)是運(yùn)營(yíng)商基于L2TP等技術(shù)為客戶提供的一種相對(duì)可控的網(wǎng)絡(luò)接入方式。這種接入方式可以提供對(duì)終端的認(rèn)證功能，數(shù)據(jù)經(jīng)過(guò)隧道傳輸。

VPDN方案的終端接入方式可以采用有線接入，也可以采用3G、4G無(wú)線接入。

4.5 PTN網(wǎng)絡(luò)。PTN支持多種基于分組交換業(yè)務(wù)的雙向點(diǎn)對(duì)點(diǎn)連接通道，具有適合各種粗細(xì)顆粒業(yè)務(wù)、端到端的組網(wǎng)能力，繼承了SDH技術(shù)的操作、 管理和維護(hù)機(jī)制（OAM），保證網(wǎng)絡(luò)具備保護(hù)切換、錯(cuò)誤檢測(cè)和通道監(jiān)控能力，完成了與IP/MPLS多種方式的互連互通，無(wú)縫承載核心IP業(yè)務(wù);

5? 總結(jié)

以上就是我所了解的安徽省市級(jí)財(cái)政業(yè)務(wù)專網(wǎng)近幾年的規(guī)劃與建設(shè)情況，希望能給從事信息化工作的同仁們提供一點(diǎn)可以借鑒與交流的東西，不足與不周的地方還請(qǐng)大家批評(píng)指正。

參考文獻(xiàn)：

[1]財(cái)政部，財(cái)政網(wǎng)絡(luò)安全總體策略，2017.11

[2]財(cái)政部，財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入規(guī)范，2015.3

[3]財(cái)政部，財(cái)政部關(guān)于地方財(cái)政信息化建設(shè)的指導(dǎo)意見，2016.6

[4]安徽省財(cái)政廳，安徽省財(cái)政信息化建設(shè)與應(yīng)用總體方案，2016.4

[5]安徽省財(cái)政廳，市縣財(cái)政網(wǎng)絡(luò)標(biāo)準(zhǔn)化改造方案，2016.12

作者簡(jiǎn)介：劉繼軍（1975.11-）男，安徽省壽縣人，淮南市財(cái)政局信息中心工程師，研究方向：電子信息工程、電氣工程與自動(dòng)化、計(jì)算機(jī)網(wǎng)絡(luò)通信、信息化與網(wǎng)絡(luò)安全。