一、金審工程安全系統(tǒng)建設(shè)概述

　　作為保障國(guó)家經(jīng)濟(jì)運(yùn)行的“免疫系統(tǒng)”，審計(jì)系統(tǒng)已經(jīng)成為最為關(guān)鍵的政府機(jī)構(gòu)之一。隨著國(guó)家對(duì)審計(jì)工作提出更高的要求，審計(jì)系統(tǒng)的信息化建設(shè)已迫在眉睫。

　　金審工程是審計(jì)信息化建設(shè)項(xiàng)目的簡(jiǎn)稱(chēng)，屬于國(guó)家確定加快建設(shè)的六個(gè)業(yè)務(wù)系統(tǒng)工程建設(shè)項(xiàng)目之一，是國(guó)家電子政務(wù)一期工程的重要組成部分。“金審二期”工程，從2008年初開(kāi)始啟動(dòng)，主要是在金審一期工程的基礎(chǔ)上，通過(guò)建設(shè)和完善審計(jì)管理、現(xiàn)場(chǎng)審計(jì)和聯(lián)網(wǎng)審計(jì)等業(yè)務(wù)信息系統(tǒng)，進(jìn)一步提高審計(jì)機(jī)關(guān)的效率、質(zhì)量和水平，并初步實(shí)現(xiàn)中央審計(jì)機(jī)關(guān)針對(duì)中央部門(mén)預(yù)算執(zhí)行、海關(guān)、社保和金融等重要行業(yè)的聯(lián)網(wǎng)審計(jì)，為增強(qiáng)政府預(yù)算執(zhí)行審計(jì)的及時(shí)性和有效性提供技術(shù)支持。

　　按照金審工程規(guī)劃，審計(jì)署與省級(jí)審計(jì)機(jī)關(guān)、駐地方的特派員辦事處之間的城際廣域聯(lián)接，將依托國(guó)家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)平臺(tái)。然而，由于國(guó)家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)平臺(tái)是國(guó)家各個(gè)機(jī)構(gòu)共用的網(wǎng)絡(luò)平臺(tái)，考慮到審計(jì)系統(tǒng)應(yīng)用和數(shù)據(jù)的重要性，必須確保應(yīng)用訪問(wèn)的合法性以及數(shù)據(jù)的保密性和完整性，防止審計(jì)數(shù)據(jù)被非法竊取、篡改。

　　因此金審工程安全系統(tǒng)建設(shè)被列為信息化建設(shè)的核心，重點(diǎn)是解決國(guó)家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)平臺(tái)環(huán)境下的數(shù)據(jù)交換、共享的安全。

　　二、 金審工程安全系統(tǒng)建設(shè)解決方案

　　1、需求分析

　　為了確保在國(guó)家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)平臺(tái)上審計(jì)系統(tǒng)應(yīng)用訪問(wèn)的合法性以及數(shù)據(jù)的保密性和完整性，需要在審計(jì)署與省級(jí)審計(jì)機(jī)關(guān)、駐地方的特派員辦事處分別部署防火墻進(jìn)行精細(xì)、嚴(yán)格的訪問(wèn)控制，以防止非法用戶訪問(wèn)關(guān)鍵業(yè)務(wù)系統(tǒng)。在審計(jì)署與省級(jí)審計(jì)機(jī)關(guān)、駐地方的特派員辦事處之間通過(guò)建立IPSecVPN隧道，完成數(shù)據(jù)的加密和認(rèn)證，防止關(guān)鍵數(shù)據(jù)被非法竊取、篡改。

　　同時(shí)，由于國(guó)家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)平臺(tái)多級(jí)結(jié)構(gòu)的復(fù)雜性，標(biāo)準(zhǔn)IPSecVPN隧道協(xié)商端口（UDP 500和4500）可能會(huì)被封堵，導(dǎo)致傳統(tǒng)VPN設(shè)備的IPSecVPN隧道無(wú)法正常建立，使得審計(jì)專(zhuān)網(wǎng)VPN隧道中斷，會(huì)大大影響網(wǎng)絡(luò)與應(yīng)用的可用性。必須要在部署方案中解決該問(wèn)題。

　　2、部署方案

　　如下圖所示，在審計(jì)署與國(guó)家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)出口部署了2臺(tái)網(wǎng)神千兆防火墻HA高可用性部署，確保穩(wěn)定性。在各個(gè)省級(jí)審計(jì)機(jī)關(guān)、特派辦與國(guó)家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)出口分別部署了1臺(tái)網(wǎng)神百兆防火墻。審計(jì)署與省級(jí)審計(jì)機(jī)關(guān)、特派辦之間通過(guò)網(wǎng)神防火墻建立IPSecVPN隧道，對(duì)數(shù)據(jù)進(jìn)行加密，并通過(guò)防火墻的安全功能對(duì)應(yīng)用與數(shù)據(jù)訪問(wèn)進(jìn)行嚴(yán)格的訪問(wèn)控制。

　　網(wǎng)神防火墻產(chǎn)品具備以下優(yōu)勢(shì)，可以確保VPN隧道安全可靠：

　　1）閃斷重連—基于數(shù)據(jù)報(bào)驅(qū)動(dòng)的VPN隧道；

　　2）高可靠性—HA下VPN隧道實(shí)時(shí)備份，配合DPD遠(yuǎn)端狀態(tài)檢測(cè)，確保隧道穩(wěn)定可靠；

　　3）Clean VPN—防火墻與VPN高度整合，VPN隧道內(nèi)數(shù)據(jù)都經(jīng)過(guò)防火墻的安全檢測(cè)；

　　4）VPN自動(dòng)穿透—能夠徹底解決國(guó)家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)平臺(tái)下VPN隧道可能無(wú)法建立的問(wèn)題，確保金審專(zhuān)網(wǎng)業(yè)務(wù)安全、穩(wěn)定。

　　3、關(guān)鍵技術(shù)

　　網(wǎng)神獨(dú)有的VPN自動(dòng)穿透技術(shù)可以徹底解決國(guó)家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)平臺(tái)下的VPN互聯(lián)互通問(wèn)題。

　　當(dāng)通過(guò)標(biāo)準(zhǔn)IPSecVPN協(xié)商端口（UDP500和4500）無(wú)法正常建立VPN隧道時(shí)，會(huì)自動(dòng)探測(cè)可用端口，一旦發(fā)現(xiàn)可用端口，將會(huì)使用新的端口進(jìn)行隧道協(xié)商。該方案可以突破電子政務(wù)外網(wǎng)多級(jí)結(jié)構(gòu)中可能出現(xiàn)的端口限制，在只要路由可達(dá)的網(wǎng)絡(luò)環(huán)境中均可建立起VPN隧道，徹底解決了傳統(tǒng)VPN技術(shù)在標(biāo)準(zhǔn)VPN隧道協(xié)商端口被封堵或者誤封堵的情況下無(wú)法正常建立VPN隧道的問(wèn)題，確保審計(jì)專(zhuān)網(wǎng)業(yè)務(wù)通暢。

　　網(wǎng)神VPN自動(dòng)穿透核心處理流程：

　　1）網(wǎng)神防火墻在配置自動(dòng)穿透選項(xiàng)后，會(huì)實(shí)時(shí)進(jìn)行可用端口探測(cè)流程，可用端口自動(dòng)探測(cè)會(huì)使用網(wǎng)神自動(dòng)快速探測(cè)專(zhuān)利技術(shù)，確保探測(cè)結(jié)果實(shí)時(shí)可用；

　　2）一旦隧道異?；蛘邤嚅_(kāi)，VPN隧道兩端防火墻通過(guò)標(biāo)準(zhǔn)IPSecVPN隧道協(xié)商端口UDP 500和4500重新進(jìn)行隧道協(xié)商；

　　3）如果發(fā)現(xiàn)隧道協(xié)商失敗，會(huì)自動(dòng)使用已經(jīng)探測(cè)到的可用端口建立IPSecVPN隧道，從而確保了VPN隧道永不中斷。

　　3、用戶價(jià)值

　　網(wǎng)神VPN自動(dòng)穿透技術(shù)，解決了審計(jì)專(zhuān)網(wǎng)建設(shè)過(guò)程中在國(guó)家統(tǒng)一電子政務(wù)網(wǎng)絡(luò)平臺(tái)上可能出現(xiàn)的由于標(biāo)準(zhǔn)IPSecVPN協(xié)商端口（500和4500）被封堵導(dǎo)致IPSecVPN隧道無(wú)法建立的問(wèn)題，保證了VPN隧道的可靠性，同時(shí)也大大減輕了管理和維護(hù)的工作量。最終有效確保了金審工程電子政務(wù)網(wǎng)絡(luò)統(tǒng)一平臺(tái)環(huán)境下的數(shù)據(jù)交換、共享的安全性以及應(yīng)用的可用性與穩(wěn)定性。

　　金審工程安全系統(tǒng)建設(shè)的按時(shí)、高質(zhì)量完成，有效推動(dòng)了審計(jì)信息化進(jìn)程，會(huì)大大提高審計(jì)工作的效率、質(zhì)量與水平，將會(huì)為國(guó)家經(jīng)濟(jì)的穩(wěn)定健康運(yùn)行、為金融危機(jī)下國(guó)家的四萬(wàn)億投資落實(shí)到實(shí)處，更好的起到“免疫系統(tǒng)”的作用。

　　網(wǎng)御神州以一流的產(chǎn)品和對(duì)用戶需求不斷滿足的熱情，圓滿完成了金審工程安全系統(tǒng)建設(shè)，得到了審計(jì)署用戶的高度認(rèn)可。

　　網(wǎng)神VPN自動(dòng)穿透技術(shù)在金審工程安全系統(tǒng)建設(shè)的成功應(yīng)用，也為其他政府專(zhuān)網(wǎng)安全建設(shè)起到了示范作用，將進(jìn)一步推動(dòng)國(guó)家電子政務(wù)建設(shè)步伐。