网神VPN技术助金审工程安全系统建设-VPN解决方案.doc
网神 VPN 技术助金审工程安全系统建设 -VPN 解决方案 1. 金审工程安全系统建设概述 作为保障国家经济运行的“免疫系统”,审计系统已经成为最为关键的政府机构之一。随着国家对审计工作提出更高的要求,审计系统的信息化建设已迫在眉睫。 金审工程是审计信息化建设项目的简称,属于国家确定加快建设的六个业务系统工程建设项目之一,是国家电子政务一期工程的重要组成部分。“金审二期”工程,从 2008 年初开始启动,主要是在金审一期工程的基础上,通过建设和完善审计管理、现场审计和联网审计等业务信息系统,进一步提高审计机关的效率、质量和水平,并初步实现中央审计机关针对中央部门预算执行、海关、社保和金融等重要行业的联网审计,为增强政府预算执行审计的及时性和有效性提供技术支持。 按照金审工程规划,审计署与省级审计机关、驻地方的特派员办事处之间的城际广 域联接,将依托国家统一电子政务网络平台。然而,由于国家统一电子政务网络平台是国家各个机构共用的网络平台,考虑到审计系统应用和数据的重要性,必须确保应用访问的合法性以及数据的保密性和完整性,防止审计数据被非法窃取、篡改。 因此金审工程安全系统建设被列为信息化建设的核心,重点是解决国家统一电子政务网络平台环境下的数据交换、共享的安全。 2. 金审工程安全系统建设解决方案 一、需求分析 为了确保在国家统一电子政务网络平台上审计系统应用访问的合法性以及数据的保密性和完整性,需要在审计署与省级 审计机关、驻地方的特派员办事处分别部署防火墙进行精细、严格的访问控制,以防止非法用户访问关键业务系统。在审计署与省级审计机关、驻地方的特派员办事处之间通过建立 IPSecVPN 隧道,完成数据的加密和认证,防止关键数据被非法窃取、篡改。 同时,由于国家统一电子政务网络平台多级结构的复杂性,标准 IPSecVPN隧道协商端口( UDP 500 和 4500)可能会被封堵,导致传统 VPN 设备的 IPSecVPN隧道无法正常建立,使得审计专网 VPN 隧道中断,会大大影响网络与应用的可用性。必须要在部署方案中解决该问题。 二、部署方案 如下图所示,在审计署与国家统一电子政务网络出口部署了 2 台网神千兆防火墙 HA 高可用性部署,确保稳定性。在各个省级审计机关、特派办与国家统一电子政务网络出口分别部署了 1 台网神百兆防火墙。审计署与省级审计机关、特派办之