长春财政局负责吉林省会城市长春的各项财政收支管理,贯彻执行国家的财政、税收、财务、会计、行政事业单位国有资产管理等法律、法规和方针、政策及其他有关政策。
随着金财工程的建设,长春财政局的日常工作越来越依赖于电子政务系统,为了提升电子政务的安全性、规范性,长春财政局采用百卓网络的PatrolFlow-AM上网行为管理网关进行互联网内容审计、流量管理、安全防护。PatrolFlow-AM凭借领先的深度报文检测技术,实现了出口流量的可视化管理,有效地维护了上网秩序;精确、细致的互联网访问记录、内容审计,全面防范金财系统的信息泄露。
金财网的困惑
财政局通过其外网与互联网的物理连接,是公务人员与系统外进行信息交流的重要通道,同时也是政务公开和为民办事的窗口。随着政务信息化的大力建设,网上办公、网上发布财政预算、开支透明公布等等政务信息化公开系统相继开通。但是相对于互联网的自由、开放特点,金财信息化需要的是严谨、权威,然而各种来自互联网的威胁正随着互联网的深入应用一触即发,这就需要对互联网的应用进行强有力的控制和管理,才能维护政府部门在公众心目中的形象,保护国家利益,提升公众信任度。
目前在日常运营过程中,财政局外网存在以下管理难题:
1. 信息泄密问题。财政局的一些敏感资料通过网络途径有意无意泄露出去,一旦出现问题,后果不堪设想。
2. 不能做到对公务人员网络言行进行规范。特别是对非法网站、反动网站、反动论坛访问行为,在公网论坛讨论、诽谤政府单位的言论,不仅会给政府单位带来不必要的麻烦,还严重影响政府本身的形象。
3. 上班时间网上闲聊、炒股、玩游戏,在娱乐网站上消遣,降低了工作效率,社会影响恶劣。
4. 在办公室下载电影,在线收看流媒体,网络资源严重浪费。
5. ARP广播、IP地址冲突、私设DHCP等导致网络不可用。
传统安全设备的局限性
在p2p应用、IM、网络游戏、网络炒股等无序上网行为越演越烈的今天,网络管理员尝试采用传统网络安全设备来管理网络资源,规范上网行为,但均未能奏效。
1. 阻塞网络应用软件服务端口。通过防火墙、路由器、交换机设置ACL功能,把一些应用的已知服务端口进行阻断,以此来封堵应用。对于采用固定端口通信的应用能起到一定效果,但对于大部分采用随机端口、80、8080端口的P2P/IM已束手无策;炒股软件、网络游戏也通常采用80端口、443端口来规避管理员的封堵。
2. 通过关键字限制网站、或者互联网应用的访问。设定URL关键字过滤规则,禁止用户对文件下载、娱乐网站、网络游戏网站的访问,能起到一定的限制作用。但随着应用的增多,采用该过滤手段,容易产生误判错判,同时大大降低了网关设备的性能。
3. 限制用户带宽。对用户带宽的限制,可缓解无序上网对整体带宽的消耗,但该方法影响到用户的正常访问,降低网络的可用性,治标不治本。
4. 限制每用户的最大连接数。通过限制某些源IP的TCP最大连接数,可以降低无序上网行为对带宽的占用,但也影响到互联网用户的正常使用。该方法对于采用UDP协议作为数据交互承载的应用无效。
传统的网络设备,由于工作在TCP/IP协议的传输层以下,无法识别大量的互联网应用,因此难以对上网行为进行精确控制。而PatrolFlow-AM上网行为管理网关,能够对应用层全面识别,使得其对网络的行为掌控易如反掌。
PatrolFlow-AM与传统网络设备的应用识别能力的对比
打造安全无忧的金财网
PatrolFlow-AM上网行为管理产品强大的带宽管控能力,可基于时间段、用户、网络应用进行三元组的精细的带宽划分,保障长春财政局的带宽资源得到最大限度的利用。同时,PatrolFlow-AM内置智能识别引擎,可有效管理各种已知或者未知应用、加密的、多次变种的互联网应用,保证非关键业务不影响正常工作。
针对长春财政局对上网行为保持90天以上记录的需求,百卓网络提供有内置和外置内容审计存储中心,可实时采集所有上网行为,以备检索、查询、回放,方便管理人员迅速定位所需要的日志。
通过对内网用户进行分组权限管理,PatrolFlow-AM能帮助财政局轻松管理员工行为,彻底封堵、过滤反动、色情、暴力、博彩类等互联网资源,使单位远离法律风险。
PatrolFlow-AM上网行为管理系统有效平衡了政府上网所带来各种影响,在开放网络资源的同时,最大限度地保持了员工工作效率,节约了网络管理开销,并且在一定程度上保障了机密信息不通过互联网泄漏。
长春财政局上网行为管理系统的部署,为实现“收入一个筐子、支出一个口子、管理一条渠道、信息一套系统”的财政管理目标,以及财政管理现代化打下坚实基础。
