解决方案设计

    根据财预[2009]78号《关于推进省直接管理县财政改革的意见》文件要求，天融信的方案设计充分兼顾省直接管理县财政改革和加强财政管理信息化建设等多方面要。部署示意图如下：

图2 安全系统部署示意图

    目前就XX省财政网络为省-市-县-乡，四级网络，从财政政策要求来讲，必须实现省管县，部署情况如下：

    1) 在县财政与Internet边界部署防火墙，并开启VPN模块和病毒模块；
    2) 乡级网络的纵向、横向终端安全VRC和TD客户端，并配发USB-Key；
    3) 省财政部署一级TP、一级TD管理中心，负责全局策略下发和运维监控；
    4) 县财政部署二级TP、二级TD管理中心，接收省级策略并下发到县级边界安全设备及乡级终端。

    整合多种安全技术管理策略，提升管理效率。

    1. 统一定制、强制执行的安全策略管理

    策略管理平台和TD管理中心提供了强大的策略定制机制。管理员根据财政网络特点，通过管理中心有效地实施全局网络配置和安全管理、监控策略，并且可以组为单位进行整体管理，实现了真正的统一安全策略。管理员可以灵活的创建不同的安全策略，在不同的终端、设备上应用，同时提供对安全策略的跟踪和审计，为整个系统灵活、弹性的安全机制。

    2. 策略的有序可控管理

    集中定义防火墙和VPN策略，批量分发到应用的设备，大大减少了管理员的工作负荷。同时利用策略管理平台提供配置监控功能，进行全局性监控，使集中分发的策略能够保障在设备上持续运行。一旦有人私自篡改配置，策略管理平台将实时报警。

    3. 多视角的可视化管理

    策略管理能通过拓扑图等多种方式，展现财政系统对设备、隧道等进行各种管理，图形化的添加设备和安全域，实现对包括CPU、内存、接口和连接等设备性能信息的监视，有效的帮助用户清晰的了解网络负载以及设备运行状况。

    建设效果

    本方案针县乡财政网络接入安全问题，引入边界隔离与访问控制技术、VPN技术、终端管理技术、内容与行为审计技术、策略管理平台技术，初步建立了多层次、立体式的可信接入安全防护体系，整合了安全资源，具有如下效果：

    解决网络接入者的身份可信问题；
    解决了终端安全状态安全可控问题；
    解决通信过程中的泄密、数据篡改、抵赖问题；
    解决了通信过程中恶意威胁传播问题；
    解决内外网隔离问题；
    解决了集中的策略管理、日志分析、应急响应和决策支持问题。