【IT168 案例】“金财工程”目前使用的业务信息系统多是为了满足单项业务需要而应急开发和分散建设的，造成系统功能交叉、信息重复采集，数据交换困难，既不利于数据汇总分析，也不方便部门和预算单位财务管理人员操作使用。为此，财政厅要求通过“财政一体化项目”解决“金财工程”建设存在的信息系统繁多，技术规范不统一，系统间口径及编码不一致，编制与执行没有实现无缝链接的问题。云南省财政厅通过选择部署天融信网闸产品，梳理和规范了业务流程，建设了财政业务基础数据规范。

　　需求分析

　　某市按照云南省财政厅的部署和管理一体化、业务一体化、技术一体化的要求，决定结合公共财政管理需要，依托金财工程建设的统一信息平台，开展财政管理信息系统的整合建设。该市财政一体化建设包括部门预算管理子系统(DBCS)、预算指标管理子系统、预算执行管理子系统、总账管理子系统、统一门户管理子系统、综合查询分析子系统等六个方面的业务内容。

　　由于该市县级财政网络没有建设横向的专网，县级各预算单位需要通过互联网登录财政一体化信息系统向县级财政局提交预算办理相关业务，因此网络信息安全问题必须考虑。为了确保该市财政部门应用支撑平台及一体化建设进程顺利进行，确保全市13个县在7月下旬业务系统上线后能够安全稳定运行，该市通过云南省财政一体化项目在各县互联网出口处部署了天融信网闸安全隔离与信息交换系统，在网络安全隔离的前提下进行适度可靠的信息交换。

图：云南省财政一体化项目部署天融信网闸

　　方案解析

　　为了全面保护财政局网络信息安全，阻断来自外网也就是互联网的威胁和攻击，仅仅使用防火墙和VPN设备是不够的，需要采用更高级别的网络安全防护机制，即网络隔离机制，这是当前已知的安全级别最高的网络安全防护机制。为此，该市在财政局专网与互联网之间部署了天融信网闸安全隔离与信息交换系统进行网络隔离和信息交换控制，实现财政局内外网之间的网络隔离和静态裸数据摆渡传输。

　　天融信网闸部署在财政局内网与外网之间，预算部门通过网闸内部的数据摆渡通道将业务数据递交到财政局内网财政一体化应用平台，财政一体化应用平台对业务数据进行审批处理后，再将业务数据通过网闸内部的反向数据摆渡通道反馈给各预算部门，从而实现财政业务系统的统一高效运行。

　　通过在财政局内外网之间部署天融信网闸，创建协议隔断，将内网与外网隔离断开，保证财政局内外网络之间安全隔离，能够屏蔽各种已知和未知的TCP/IP网络攻击，阻断木马、网络后门的非法连接。网闸提供了比防火墙、入侵检测、VPN等技术更高级别的安全防护，既保证了安全隔离又实现财政局内外网数据交换，同时借助严格的内容控制技术，还可以防止财政局内部重要数据信息的泄漏和被窃取。

　　从网络安全机制上来讲财政局内网和外网仍然属于两个断开的不相关的TCP/IP网络，作为独立的TCP/IP网络彼此互不干扰，可以阻断任何来自外网已知和未知的基于TCP/IP协议的网络攻击，任何来自互联网的攻击和入侵都被阻断在网闸外网机。在网络隔离的基础之上财政局内外网之间通过天融信网闸内部专有硬件和专有协议进行裸数据摆渡传输，同时结合天融信TOS安全操作系统平台下的访问控制、入侵检测、抗DDOS及日志审计等功能全面实现财政局内部信息网络安全防护。