论文部分内容阅读
摘 要:当前信息化网络的应用正日益普及和广泛,应用层次正在深入,应用领域的小型业务系统逐渐向大型、关键业务系统方向发展如行政部门业务系统、金融业务系统、企业商务系统等,而网络信息化建设已成为政府机构、企事业单位信息化发展所要考虑的重要事情之一。通过信息资源的深入开发和广泛利用,不断提高生产、经营、管理、决策的效率和水平,进而提高社会或经济效益和竞争力。
关键词:财政管理;信息化;网络体系
当前信息化网络的应用正日益普及和广泛,应用层次正在深入,应用领域的小型业务系统逐渐向大型、关键业务系统方向发展如行政部门业务系统、金融业务系统、企业商务系统等,而网络信息化建设已成为政府机构、企事业单位信息化发展所要考虑的重要事情之一。信息化是以信息技术革命为基本特征的经济发展过程,包含信息技术进步、信息技术应用等有关内容,其目标就是利用现代信息技术,通过信息资源的深入开发和广泛利用,不断提高生产、经营、管理、决策的效率和水平,进而提高社会或经济效益和竞争力。
财政管理信息化建设是利用信息技术进行财政管理的一项改革,它是适应信息时代公共财政体制建设需要的必然选择。随着财政体制改革的深化,建立透明、公开的公共财政体系的要求越来越迫切,部门预算、国库集中支付、政府采购、非税收入等重大财政改革措施,都离不开强大的信息网络和信息系统的支撑。下面就对铁岭市财政局的信息化网络体系进行如下分析。
1 处理中心
处理中心是整个信息中心的重要部分,担负着“大脑”的作用。包含服务器、存储、备份。
1.1 服务器
服务器作为网络的节点,存储、处理网络上80%的数据、信息,因此也被称为网络的灵魂。做一个形象的比喻:服务器就像是邮局的交换机,而微机、笔记本、PDA、手机等固定或移动的网络终端,就如散落在家庭、各种办公场所、公共场所等处的电话机。我们与外界日常的生活、工作中的电话交流、沟通,必须经过交换机,才能到达目标电话;同样如此,网络终端设备如家庭、企业中的微机上网,获取资讯,与外界沟通、娱乐等,也必须经过服务器,因此也可以说是服务器在“组织”和“领导”这些设备。全局的信息数据都由机房内的18台服务器来进行交互处理的。该局信息中心主要有两种服务器一种是机架式服务器,另一种是刀片式服务器。详细的还可以分为应用服务器,数据服务器还有备份服务器。在这些服务上分别运行着各种应用软件和系统。
1.2 存储
存储就如一间大仓库,将各种数据装在里面。虽然服务器有强大的信息处理能力但是它不能存储大量的冗余数据和重要的备份。所以就需要磁盘阵列来帮助服务器存储数据。其原理是利用数组方式来做磁盘组,配合數据分散排列的设计,提升数据的安全性。磁盘阵列主要针对硬盘,在容量及速度上,无法跟上CPU及内存的发展,提出改善方法。磁盘阵列是由很多便宜、容量较小、稳定性较高、速度较慢磁盘,组合成一个大型的磁盘组,利用个别磁盘提供数据所产生的加成效果来提升整个磁盘系统的效能。同时,在储存数据时,利用这项技术,将数据切割成许多区段。存储设备主要有IBM DS4700和IBM EXP810,其中4700是主存储810是对4700做扩展存储,保存服务器应用数据和备份数据。主要做RAID 5E(RAID 5 Enhencement),RAID 5E是在 RAID 5级别基础上的改进,与RAID 5类似,数据的校验信息均匀分布在各硬盘上,但是,在每个硬盘上都保留了一部分未使用的空间,这部分空间没有进行条带化,最多允许两块物理硬盘出现故障。看起来,RAID 5E和RAID 5加一块热备盘好像差不多,其实由于RAID 5E是把数据分布在所有的硬盘上,性能会与RAID5 加一块热备盘要好。当一块硬盘出现故障时,有故障硬盘上的数据会被压缩到其他硬盘上未使用的空间,逻辑盘保持RAID 5级别。
1.3 备份
备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。我们主要是应用2台服务器,备份软件和存储设备进行整个机房内重要服务器的全备份包含数据备份和系统备份。主要模式如图1。
<E:\书\排版\中小企业管理与科技·上旬刊201601\文件\204-1.jpg>
图1 备份存储模式
在备份上,不仅仅有数据的备份,还有服务器的硬件备份。根据我们的实际需要,我们主要应用服务器的物理备份即双机冷备。如刀箱服务器上的资产管理服务器就是使用物理备份。当服务器A故障可以在几分钟内启用服务器B替代A进行记录如图2。这么做可以灵活备份并且降低备份成本,而且还可以根据需要进行转换,缺点是不能时时做冗余备份。
2 楼层交换
楼层交换具体指的就是双数楼层的弱电间内的交换机柜,是网络的神经元,汇集着各个楼层的数据接入,起到各个节点和中心机房内的交换,机房服务器处理信息的交互,并可以在楼层交互上部署带宽限制的策略。如果某一楼层交换机柜出现故障就会导致该机柜下属的楼层终端不能接入中心机房的交换机和服务器。机柜内分别包括网络接点和电话接点。经统计内网接点全楼供剩余107个,外网接点剩余66个。楼层交换不对信息进行处理,只是交换,并且每个交换机对应在三层核心交换上相应的VLAN范围,每个VLAN对象相应的网络接点。这样可以有效地管理网络,并且提高安全级别,在病毒爆发时,可以控制在VLAN内,不会进行全网络的传染。
3 网络
铁岭市财政局网络分为内网、外网和专网。局域网络是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。局域网络内的计算机可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,有全楼的所有具备内网资格的计算机互联而成。并且我们的内外网是隔离开的,在同一计算机上使用内外网是用隔离卡分开的,并采用双硬盘模式物理隔离。 计算机网络往往由许多种不同类型的网络互联连接而成。如果几个计算机网络只是在物理上连接在一起,它们之间并不能进行通信,那么这种“互联”并没有什么实际意义。因此通常在谈到“互联”时,就已经暗示这些相互连接的计算机是可以进行通信的,也就是说,从功能和逻辑上看,这些计算机网络已经组成了一个大型的计算机网络,或称为互联网络,也可简称为互联网、互连网。
将网络互相连接起来要使用一些中间设备(或中间系统),ISO的术语称之为中继(relay)系统。根据中继系统所在的层次,可以有以下五种中继系统:
①物理层(即常说的第一层、层L1)中继系统,即转发器(repeater)。
②数据链路层(即第二层,层L2),即网桥或桥接器(bridge)。
③网络层(第三层,层L3)中继系统,即路由器(router)。
④网桥和路由器的混合物桥路器(brouter)兼有网桥和路由器的功能。
⑤在网络层以上的中继系统,即网关(gateway)。
3.1 内网
由于财政系统信息的保密特性,我们绝大部分软件都是在内网和内网服务器上运行的,保证了信息不外泄,并且安装2套防火墙做热备,而保证了网络的稳定和安全。具体结构如图3。
从拓扑图中我们可以看出内网是采用目录树形网,它和星型拓扑结构类似,其扩展性好,可以延伸出许多分支,单条支路出现故障时不会影响到整个网络,但对中央节点的可靠性要求较高,如果中央节点出现故障则整个网络就会瘫痪。整个内网的交换中心就是三层核心交换。
第三层交换机具有以下特征:
①转发基于第三层地址的业务流;
②完全交换功能;
③可以完成特殊服务,如报文过滤或认证;
④执行或不执行路由处理。
第三层交换机与传统路由器相比有如下优点:
a子网间传输带宽可任意分配。
传统路由器每个接口连接一个子网,子网通过路由器进行传输的速率被接口的带宽限制。而三层交换机则不同,它可以把多个端口定义成一个虚拟网,把多个端口组成的虚拟网作为虚拟网接口,该虚拟网内信息可通过组成虚拟网的端口送给三层交换机,由于端口数可任意指定,子网间传输带宽没有限制。
b合理配置信息资源。
由于访问子网内资源速率和访问全局网中资源速率没有区别,子网设置单独服务器的意义不大,通过在全局网中设置服务器群不仅节省费用,更可以合理配置信息资源。
c降低成本。
通常的网络设计用交换机构成子网,用路由器进行子网间互联。目前采用三层交换机进行网络设计,既可以进行任意虚拟子网划分,又可以通过交换机三层路由功能完成子网间通信,为此节省了价格昂贵的路由器。
d交换机之间连接灵活。
作为交换机,它们之间不允许存在回路,作为路由器,又可有多条通路来提高可靠性、平衡负载。三层交换机用生成树算法阻塞造成回路的端口,但进行路由选择时,依然把阻塞掉的通路作为可选路径参与路由选择。
3.2 外网
对互联网的接入,需要很高的安全防护,所以在外网上我们有熊猫网关和防火墙对传出传入的数据信息进行过滤,并对每个VLAN做限速规则,防止单个或者几个终端霸占带宽。(图4)
外网从结构上看和内网结构大致相同,只是在防火墙中间和上层多了熊猫网关和广域网光钎接收器,并且也是采用三层核心交换。
3.3 专网
专网指在局域内使用的专用网络通道,该局有省厅专网和内网防病毒数据库自动升级专线。我们还有一条虚拟专网资产系统VPN,可以使在同一系统内的不同地点的人员进入到一个相对的局域网内进行办公。依靠ISP和其他NSP(网络服务提供者)在公用网络(如Internet、Frame Relay、ATM)建立专用的数据通信网络的技术。在虚拟网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路。(图5)
<E:\书\排版\中小企业管理与科技·上旬刊201601\文件\204-5.jpg>
图5 VPN接入
最后,整个内外网的架构从2张拓扑图可以看出,均使用了目录树形网结构。有些时候需要内网服务器对外连接,由此我们使用了网闸。使内网服务器可以映射到外网接口。如图6。
<E:\书\排版\中小企业管理与科技·上旬刊201601\文件\204-6.jpg>
图6 内外网间交互
在内外网,我们有众多的管理系统对整个大的局域网进行管理和监控,并且定期抓包进行分析。我们的局域网的设备应用合理,防止网络阻塞,并强化了网络过滤和病毒防护。提高整体的安全,使信息数据得到了保护。在物理层上更是加强了传输能力,全楼设备间使用光纤铺设,不但提高个使用寿命还提高了网络速度。
4 网络控制和应用程序
在内外网各有一台防病毒服务器,为每台客户端提供趋势防病毒软件的更新服务,并能降低整个网络病毒感染的概率。并且
我们还有内外网的网管服务器,可以更方便地控制网络,基本上可以做到網络出现问题,及时报警。同时还有伟思盾安、熊猫网关、天融信防火墙。软件上我们有科来网络分析软件、通软网络管理软件。
4.1 科来网络分析系统的主要功能
流量分析:多达42种的流量分析数据,能对整个网络、单个部门、单个VLAN、单个IP和单个MAC进行统计分析;
安全分析:查找网络中存在的安全风险;
性能分析:查找网络性能瓶颈;
协议分析:深入分析网络中的所有应用;
网络连接和通讯监视:直观反映网络中机器的连接情况,监视网络活动。 科来网络分析系统为网络管理工作提供了全面可靠的数据依据,它可以帮助用户排查网络故障、规避网络风险、提升网络性能、提高故障处理能力、减少故障损失并降低管理成本。
4.2 通软网络管理软件
使用网络管理软件可以有效、方便、快捷地管理内外网络。通软网络管理软件使用的是B/S结构。我们在内网共实施节点120个,外网节点336个。并对这些节点对应如下策略,保证网络的安全运行。
IP绑定,可以将使用人、计算机IP、计算机资产情况一一对应,并且对其流量使用情况、使用流量的进程组成、流量的使用人等能够提供一个清晰的可视化展示。出现问题时可以及时地查找根源。
限制流量。通过流量报表、流量变化图以及流量行为图等能够有效准确地找出网络堵塞问题,并可以对一些不当的下载行为进行禁止,保障业务宽带,限制非工作用带宽。
同一绑定杀毒软件,可以有效地统计部署杀毒软件工作进度和病毒库更新情况,自动将没有杀毒软件的客户机隔离在局域网之外。
4.3 OA系统
采用了Java 技术,J2EE架构开发的先进的自主群件平台。落实管理制度、工作流程自动化,并采用B/S结构,保证系统具有很好的可扩展性。
这牵涉到流转过程的实时监控、跟踪,解决多岗位、多部门之间的协同工作问题,实现高效率的协作。目前的企业和单位都存在着大量的工作流程,例如公文的处理、收发文、各种审批、请示、汇报,等等,都是一些流程化的工作。通过实现工作流程的自动化,就可以规范各项工作,提高单位协同工作的效率,极大的减少中间环节的摩擦。(图7)
<E:\书\排版\中小企业管理与科技·上旬刊201601\文件\204-7.jpg>
图7 公文流转功能模块图
4.4 预算指标
采用C/S结构,Sybase数据库。
预算指标系统的使用,可以提高财政工作的流程速度和准确性。计划具体化,业务计划数据化;配置资源:合理、高效地配置公司资源;协调部门:明确业务目标关系,有利于各部门相互合作和沟通,利于增强部门间合作;控制支出:预算编制过程就是对业务目标的可行性、项目支出的合理性和准确性的严格论证,在预算基础上可以更好地实行对费用支出的合理控制;安排资金:合理预计现金流量,制定切实可行的资金使用计划,避免资金冗余、短缺,降低资金成本,提高资金使用效率
5 财政信息体系建设
5.1 网络整体建设
一是机房建设。
机房是财政信息化建设的核心环节。铁岭市各级财政部门在建设规划上,严格按照国家有关计算机机房标准执行。机房建设做到有网络通信、不间断电源、恒温恒湿空调,有防尘防雷防静电性能,有安全供电保证,机房面积在20平方米以上。
二是网络环境建设。
网络环境建设是实现信息化办公的前提。目前,铁岭市各级财政部门都建立了独立的财政内部网络系统、专线网络系统(与财政网络化办公有横向业务联系)和外部网络系统(互联网)。同时按照部门预算、国库集中支付、工资统发、非税收入收缴等系统的应用需要,有计划、有步骤地完成财政与同级预算单位、国库、银行、税收等职能部门的横向联网。与同级预算单位(下级预算部门)连接采用了ADSL VPN专线或2M数字电路连接,与国库、银行、税收等职能部门连接采用了2M数字电路专线或10M光纤连接。县级财政与市级财政要启用财政内网邮件系统(传送财政内部数据)。县级财政的外网(互联网)要统一为一个入口。
三是网络安全建设。
网络安全建设是财政信息化工作正常开展的保证,铁岭市各县(市)、区财政部门切实把网络信息安全工作放在信息化建设工作的首位。财政内网在入口端加装防火墙、入侵检测、入侵防御等网络安全设备,严禁内网外连(连入外网的计算机直接连入财政内网)。同时建成财政内部办公网络系统的县区财政,要结合实际需要,优化网络结构,提高网络性能,弥补一切网络安全漏洞,严格实行内网准入控制,确保财政数据信息的安全。完善各项网络安全管理制度,对县级财政涉及有内、外网办公业务的人员,做到财政内网与互联网的物理隔离(或安装隔离卡)。
各县(市)、区财政,在实施国库集中支付、非税收入收缴软硬件网络系统建设时加强了对网络边界、专线加密、安全网关设备的布控工作。办公网络软、硬件系统总体方案,选择权威的网络公司根据本单位的具体业务需求和政府有关部门对网络安全的具体规定而制定,并报市财政局信息科审批。同时,建立健全安全管理的规章制度,职责明确,责任到人,定期不定期对财政工作人员进行计算机、网络、数据安全和保密知识的教育与培训。计算机机房有专人负责安全体系建设和维护工作,熟练掌握各种安全设备的应用和维护技术,确保财政业务系统、信息数据系统、网络和计算机的安全。建立了应急保障机制,确保遇有突发事件的情况下财政数据信息的安全。
5.2 应用软件建设
一是应用支撑平台建设。
应用支撑平台是对核心业务系统的公共数据进行公共控制的高度集中和有效集成,由若干通用业务组件和技术组件构成,是构建核心业务一体化管理大系统的基础,是实现本級系统集成及上下级系统衔接和连动的保障。按照财政部和省厅应用支撑平台推广实施计划,铁岭市财政局于2012年年底对应用支撑平台进行了统一的开发、完善、升级及扩展。
二是统一基础标准。
统一业务规范和技术标准,是财政信息化建设能否进一步向纵深推进、实现一体化的关键。铁岭市财政部门从财政改革与管理的大局出发,在具体工作过程中,秉持创新理念,优化业务规范,制订技术标准,确保财政信息化发挥重要作用。为下一步整合财政信息资源,完成大平台系统建设奠定坚实的基础。
三是公共网站建设(外网)。 铁岭市财政部门于2013年年底前建成了面向社会公众开放的门户网站,按照各级政府和上级财政部门对“阳光财政”的要求,将财政部门的数据信息、政策信息实时在网上给予公开。
6 总结
铁岭市财政局信息化建设对财政事业的发展起到了积极作用,为财政系统各部门提供准确、及时、完整的各项数据和结果,为财政局管理提供了技术上的支持和保障。
组织机构和队伍建设得到加强。形成了具有一定信息化知识水平的业务技术队伍,为信息化建设的顺利开展提供了组织和人才保障。
财政业务信息网络系统建设稳步推进。为适应财政核心业务系统深入开展的要求,该局在局域网上安装了隔离卡,实行了机关内网和外网的隔离,确保了涉密计算机与公共信息网络隔离。
一系列财政业务应用系统得到推广应用。近年来,该局以财政核心业务应用系统为中心,从技术手段上有力地配合和促进了各项财政改革。推进乡镇财政预算管理方式改革,建立乡镇财政管理信息化网络,实现了“网上申报,网上审批,网上查询。
办公自动化建设取得较大进展,提高了办公效率和管理水平。该局安装了财政办公自动化(简称OA)系统,基本实现了无纸化办公,有效地提高了行政效率和办公自动化水平,降低了行政成本,极大地推进了该局电子政务建设工作。
在网络建设上,我们以保证工作带宽为主要目标,切合实际的对每个VLAN做出合理的限制策略。同时为了保证信息数据的安全,还提高了网络安全等级,物理隔离内外网、统一的杀毒软件、网络信息安全监控等等。对我们的整条“神经系统”做出了安全稳定的保护。
经过以上的一系列分析,笔者提出几点建议做参考,来提高我们全局的网络信息安全建设。
我们可以加入定期的病毒预警信息发布,将最新的病毒信息特征进行发布,提高全局对计算机病毒的认识,可以有效防止和发现最新的病毒,病毒信息可以从国家计算机病毒应急处理中心获得,网址是http://www.antivirus-china.org.cn/。
在几个月的工作中,我发现不少科室都需要进行科室内的文件传输,通常都是以优盘为介质进行传送,这样就可能加大在同一科室内传播病毒的概率,我们可以使用一些在网络传输软件,如飞鸽传书,他是一款绿色软件,只在同一网段使用TCP/IP协议的傳输软件。使用简单,并且不会干扰整个网络,在计算机上即可传输,方便快捷。
每月对下载流量进行分析,对于占带宽到50%的IP进行限制,并使用网管软件进行客户端通知。尽量减少P2P下载和BT下载的带宽数。保证工作带宽。
关键词:财政管理;信息化;网络体系
当前信息化网络的应用正日益普及和广泛,应用层次正在深入,应用领域的小型业务系统逐渐向大型、关键业务系统方向发展如行政部门业务系统、金融业务系统、企业商务系统等,而网络信息化建设已成为政府机构、企事业单位信息化发展所要考虑的重要事情之一。信息化是以信息技术革命为基本特征的经济发展过程,包含信息技术进步、信息技术应用等有关内容,其目标就是利用现代信息技术,通过信息资源的深入开发和广泛利用,不断提高生产、经营、管理、决策的效率和水平,进而提高社会或经济效益和竞争力。
财政管理信息化建设是利用信息技术进行财政管理的一项改革,它是适应信息时代公共财政体制建设需要的必然选择。随着财政体制改革的深化,建立透明、公开的公共财政体系的要求越来越迫切,部门预算、国库集中支付、政府采购、非税收入等重大财政改革措施,都离不开强大的信息网络和信息系统的支撑。下面就对铁岭市财政局的信息化网络体系进行如下分析。
1 处理中心
处理中心是整个信息中心的重要部分,担负着“大脑”的作用。包含服务器、存储、备份。
1.1 服务器
服务器作为网络的节点,存储、处理网络上80%的数据、信息,因此也被称为网络的灵魂。做一个形象的比喻:服务器就像是邮局的交换机,而微机、笔记本、PDA、手机等固定或移动的网络终端,就如散落在家庭、各种办公场所、公共场所等处的电话机。我们与外界日常的生活、工作中的电话交流、沟通,必须经过交换机,才能到达目标电话;同样如此,网络终端设备如家庭、企业中的微机上网,获取资讯,与外界沟通、娱乐等,也必须经过服务器,因此也可以说是服务器在“组织”和“领导”这些设备。全局的信息数据都由机房内的18台服务器来进行交互处理的。该局信息中心主要有两种服务器一种是机架式服务器,另一种是刀片式服务器。详细的还可以分为应用服务器,数据服务器还有备份服务器。在这些服务上分别运行着各种应用软件和系统。
1.2 存储
存储就如一间大仓库,将各种数据装在里面。虽然服务器有强大的信息处理能力但是它不能存储大量的冗余数据和重要的备份。所以就需要磁盘阵列来帮助服务器存储数据。其原理是利用数组方式来做磁盘组,配合數据分散排列的设计,提升数据的安全性。磁盘阵列主要针对硬盘,在容量及速度上,无法跟上CPU及内存的发展,提出改善方法。磁盘阵列是由很多便宜、容量较小、稳定性较高、速度较慢磁盘,组合成一个大型的磁盘组,利用个别磁盘提供数据所产生的加成效果来提升整个磁盘系统的效能。同时,在储存数据时,利用这项技术,将数据切割成许多区段。存储设备主要有IBM DS4700和IBM EXP810,其中4700是主存储810是对4700做扩展存储,保存服务器应用数据和备份数据。主要做RAID 5E(RAID 5 Enhencement),RAID 5E是在 RAID 5级别基础上的改进,与RAID 5类似,数据的校验信息均匀分布在各硬盘上,但是,在每个硬盘上都保留了一部分未使用的空间,这部分空间没有进行条带化,最多允许两块物理硬盘出现故障。看起来,RAID 5E和RAID 5加一块热备盘好像差不多,其实由于RAID 5E是把数据分布在所有的硬盘上,性能会与RAID5 加一块热备盘要好。当一块硬盘出现故障时,有故障硬盘上的数据会被压缩到其他硬盘上未使用的空间,逻辑盘保持RAID 5级别。
1.3 备份
备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。我们主要是应用2台服务器,备份软件和存储设备进行整个机房内重要服务器的全备份包含数据备份和系统备份。主要模式如图1。
<E:\书\排版\中小企业管理与科技·上旬刊201601\文件\204-1.jpg>
图1 备份存储模式
在备份上,不仅仅有数据的备份,还有服务器的硬件备份。根据我们的实际需要,我们主要应用服务器的物理备份即双机冷备。如刀箱服务器上的资产管理服务器就是使用物理备份。当服务器A故障可以在几分钟内启用服务器B替代A进行记录如图2。这么做可以灵活备份并且降低备份成本,而且还可以根据需要进行转换,缺点是不能时时做冗余备份。
2 楼层交换
楼层交换具体指的就是双数楼层的弱电间内的交换机柜,是网络的神经元,汇集着各个楼层的数据接入,起到各个节点和中心机房内的交换,机房服务器处理信息的交互,并可以在楼层交互上部署带宽限制的策略。如果某一楼层交换机柜出现故障就会导致该机柜下属的楼层终端不能接入中心机房的交换机和服务器。机柜内分别包括网络接点和电话接点。经统计内网接点全楼供剩余107个,外网接点剩余66个。楼层交换不对信息进行处理,只是交换,并且每个交换机对应在三层核心交换上相应的VLAN范围,每个VLAN对象相应的网络接点。这样可以有效地管理网络,并且提高安全级别,在病毒爆发时,可以控制在VLAN内,不会进行全网络的传染。
3 网络
铁岭市财政局网络分为内网、外网和专网。局域网络是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。局域网络内的计算机可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,有全楼的所有具备内网资格的计算机互联而成。并且我们的内外网是隔离开的,在同一计算机上使用内外网是用隔离卡分开的,并采用双硬盘模式物理隔离。 计算机网络往往由许多种不同类型的网络互联连接而成。如果几个计算机网络只是在物理上连接在一起,它们之间并不能进行通信,那么这种“互联”并没有什么实际意义。因此通常在谈到“互联”时,就已经暗示这些相互连接的计算机是可以进行通信的,也就是说,从功能和逻辑上看,这些计算机网络已经组成了一个大型的计算机网络,或称为互联网络,也可简称为互联网、互连网。
将网络互相连接起来要使用一些中间设备(或中间系统),ISO的术语称之为中继(relay)系统。根据中继系统所在的层次,可以有以下五种中继系统:
①物理层(即常说的第一层、层L1)中继系统,即转发器(repeater)。
②数据链路层(即第二层,层L2),即网桥或桥接器(bridge)。
③网络层(第三层,层L3)中继系统,即路由器(router)。
④网桥和路由器的混合物桥路器(brouter)兼有网桥和路由器的功能。
⑤在网络层以上的中继系统,即网关(gateway)。
3.1 内网
由于财政系统信息的保密特性,我们绝大部分软件都是在内网和内网服务器上运行的,保证了信息不外泄,并且安装2套防火墙做热备,而保证了网络的稳定和安全。具体结构如图3。
从拓扑图中我们可以看出内网是采用目录树形网,它和星型拓扑结构类似,其扩展性好,可以延伸出许多分支,单条支路出现故障时不会影响到整个网络,但对中央节点的可靠性要求较高,如果中央节点出现故障则整个网络就会瘫痪。整个内网的交换中心就是三层核心交换。
第三层交换机具有以下特征:
①转发基于第三层地址的业务流;
②完全交换功能;
③可以完成特殊服务,如报文过滤或认证;
④执行或不执行路由处理。
第三层交换机与传统路由器相比有如下优点:
a子网间传输带宽可任意分配。
传统路由器每个接口连接一个子网,子网通过路由器进行传输的速率被接口的带宽限制。而三层交换机则不同,它可以把多个端口定义成一个虚拟网,把多个端口组成的虚拟网作为虚拟网接口,该虚拟网内信息可通过组成虚拟网的端口送给三层交换机,由于端口数可任意指定,子网间传输带宽没有限制。
b合理配置信息资源。
由于访问子网内资源速率和访问全局网中资源速率没有区别,子网设置单独服务器的意义不大,通过在全局网中设置服务器群不仅节省费用,更可以合理配置信息资源。
c降低成本。
通常的网络设计用交换机构成子网,用路由器进行子网间互联。目前采用三层交换机进行网络设计,既可以进行任意虚拟子网划分,又可以通过交换机三层路由功能完成子网间通信,为此节省了价格昂贵的路由器。
d交换机之间连接灵活。
作为交换机,它们之间不允许存在回路,作为路由器,又可有多条通路来提高可靠性、平衡负载。三层交换机用生成树算法阻塞造成回路的端口,但进行路由选择时,依然把阻塞掉的通路作为可选路径参与路由选择。
3.2 外网
对互联网的接入,需要很高的安全防护,所以在外网上我们有熊猫网关和防火墙对传出传入的数据信息进行过滤,并对每个VLAN做限速规则,防止单个或者几个终端霸占带宽。(图4)
外网从结构上看和内网结构大致相同,只是在防火墙中间和上层多了熊猫网关和广域网光钎接收器,并且也是采用三层核心交换。
3.3 专网
专网指在局域内使用的专用网络通道,该局有省厅专网和内网防病毒数据库自动升级专线。我们还有一条虚拟专网资产系统VPN,可以使在同一系统内的不同地点的人员进入到一个相对的局域网内进行办公。依靠ISP和其他NSP(网络服务提供者)在公用网络(如Internet、Frame Relay、ATM)建立专用的数据通信网络的技术。在虚拟网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路。(图5)
<E:\书\排版\中小企业管理与科技·上旬刊201601\文件\204-5.jpg>
图5 VPN接入
最后,整个内外网的架构从2张拓扑图可以看出,均使用了目录树形网结构。有些时候需要内网服务器对外连接,由此我们使用了网闸。使内网服务器可以映射到外网接口。如图6。
<E:\书\排版\中小企业管理与科技·上旬刊201601\文件\204-6.jpg>
图6 内外网间交互
在内外网,我们有众多的管理系统对整个大的局域网进行管理和监控,并且定期抓包进行分析。我们的局域网的设备应用合理,防止网络阻塞,并强化了网络过滤和病毒防护。提高整体的安全,使信息数据得到了保护。在物理层上更是加强了传输能力,全楼设备间使用光纤铺设,不但提高个使用寿命还提高了网络速度。
4 网络控制和应用程序
在内外网各有一台防病毒服务器,为每台客户端提供趋势防病毒软件的更新服务,并能降低整个网络病毒感染的概率。并且
我们还有内外网的网管服务器,可以更方便地控制网络,基本上可以做到網络出现问题,及时报警。同时还有伟思盾安、熊猫网关、天融信防火墙。软件上我们有科来网络分析软件、通软网络管理软件。
4.1 科来网络分析系统的主要功能
流量分析:多达42种的流量分析数据,能对整个网络、单个部门、单个VLAN、单个IP和单个MAC进行统计分析;
安全分析:查找网络中存在的安全风险;
性能分析:查找网络性能瓶颈;
协议分析:深入分析网络中的所有应用;
网络连接和通讯监视:直观反映网络中机器的连接情况,监视网络活动。 科来网络分析系统为网络管理工作提供了全面可靠的数据依据,它可以帮助用户排查网络故障、规避网络风险、提升网络性能、提高故障处理能力、减少故障损失并降低管理成本。
4.2 通软网络管理软件
使用网络管理软件可以有效、方便、快捷地管理内外网络。通软网络管理软件使用的是B/S结构。我们在内网共实施节点120个,外网节点336个。并对这些节点对应如下策略,保证网络的安全运行。
IP绑定,可以将使用人、计算机IP、计算机资产情况一一对应,并且对其流量使用情况、使用流量的进程组成、流量的使用人等能够提供一个清晰的可视化展示。出现问题时可以及时地查找根源。
限制流量。通过流量报表、流量变化图以及流量行为图等能够有效准确地找出网络堵塞问题,并可以对一些不当的下载行为进行禁止,保障业务宽带,限制非工作用带宽。
同一绑定杀毒软件,可以有效地统计部署杀毒软件工作进度和病毒库更新情况,自动将没有杀毒软件的客户机隔离在局域网之外。
4.3 OA系统
采用了Java 技术,J2EE架构开发的先进的自主群件平台。落实管理制度、工作流程自动化,并采用B/S结构,保证系统具有很好的可扩展性。
这牵涉到流转过程的实时监控、跟踪,解决多岗位、多部门之间的协同工作问题,实现高效率的协作。目前的企业和单位都存在着大量的工作流程,例如公文的处理、收发文、各种审批、请示、汇报,等等,都是一些流程化的工作。通过实现工作流程的自动化,就可以规范各项工作,提高单位协同工作的效率,极大的减少中间环节的摩擦。(图7)
<E:\书\排版\中小企业管理与科技·上旬刊201601\文件\204-7.jpg>
图7 公文流转功能模块图
4.4 预算指标
采用C/S结构,Sybase数据库。
预算指标系统的使用,可以提高财政工作的流程速度和准确性。计划具体化,业务计划数据化;配置资源:合理、高效地配置公司资源;协调部门:明确业务目标关系,有利于各部门相互合作和沟通,利于增强部门间合作;控制支出:预算编制过程就是对业务目标的可行性、项目支出的合理性和准确性的严格论证,在预算基础上可以更好地实行对费用支出的合理控制;安排资金:合理预计现金流量,制定切实可行的资金使用计划,避免资金冗余、短缺,降低资金成本,提高资金使用效率
5 财政信息体系建设
5.1 网络整体建设
一是机房建设。
机房是财政信息化建设的核心环节。铁岭市各级财政部门在建设规划上,严格按照国家有关计算机机房标准执行。机房建设做到有网络通信、不间断电源、恒温恒湿空调,有防尘防雷防静电性能,有安全供电保证,机房面积在20平方米以上。
二是网络环境建设。
网络环境建设是实现信息化办公的前提。目前,铁岭市各级财政部门都建立了独立的财政内部网络系统、专线网络系统(与财政网络化办公有横向业务联系)和外部网络系统(互联网)。同时按照部门预算、国库集中支付、工资统发、非税收入收缴等系统的应用需要,有计划、有步骤地完成财政与同级预算单位、国库、银行、税收等职能部门的横向联网。与同级预算单位(下级预算部门)连接采用了ADSL VPN专线或2M数字电路连接,与国库、银行、税收等职能部门连接采用了2M数字电路专线或10M光纤连接。县级财政与市级财政要启用财政内网邮件系统(传送财政内部数据)。县级财政的外网(互联网)要统一为一个入口。
三是网络安全建设。
网络安全建设是财政信息化工作正常开展的保证,铁岭市各县(市)、区财政部门切实把网络信息安全工作放在信息化建设工作的首位。财政内网在入口端加装防火墙、入侵检测、入侵防御等网络安全设备,严禁内网外连(连入外网的计算机直接连入财政内网)。同时建成财政内部办公网络系统的县区财政,要结合实际需要,优化网络结构,提高网络性能,弥补一切网络安全漏洞,严格实行内网准入控制,确保财政数据信息的安全。完善各项网络安全管理制度,对县级财政涉及有内、外网办公业务的人员,做到财政内网与互联网的物理隔离(或安装隔离卡)。
各县(市)、区财政,在实施国库集中支付、非税收入收缴软硬件网络系统建设时加强了对网络边界、专线加密、安全网关设备的布控工作。办公网络软、硬件系统总体方案,选择权威的网络公司根据本单位的具体业务需求和政府有关部门对网络安全的具体规定而制定,并报市财政局信息科审批。同时,建立健全安全管理的规章制度,职责明确,责任到人,定期不定期对财政工作人员进行计算机、网络、数据安全和保密知识的教育与培训。计算机机房有专人负责安全体系建设和维护工作,熟练掌握各种安全设备的应用和维护技术,确保财政业务系统、信息数据系统、网络和计算机的安全。建立了应急保障机制,确保遇有突发事件的情况下财政数据信息的安全。
5.2 应用软件建设
一是应用支撑平台建设。
应用支撑平台是对核心业务系统的公共数据进行公共控制的高度集中和有效集成,由若干通用业务组件和技术组件构成,是构建核心业务一体化管理大系统的基础,是实现本級系统集成及上下级系统衔接和连动的保障。按照财政部和省厅应用支撑平台推广实施计划,铁岭市财政局于2012年年底对应用支撑平台进行了统一的开发、完善、升级及扩展。
二是统一基础标准。
统一业务规范和技术标准,是财政信息化建设能否进一步向纵深推进、实现一体化的关键。铁岭市财政部门从财政改革与管理的大局出发,在具体工作过程中,秉持创新理念,优化业务规范,制订技术标准,确保财政信息化发挥重要作用。为下一步整合财政信息资源,完成大平台系统建设奠定坚实的基础。
三是公共网站建设(外网)。 铁岭市财政部门于2013年年底前建成了面向社会公众开放的门户网站,按照各级政府和上级财政部门对“阳光财政”的要求,将财政部门的数据信息、政策信息实时在网上给予公开。
6 总结
铁岭市财政局信息化建设对财政事业的发展起到了积极作用,为财政系统各部门提供准确、及时、完整的各项数据和结果,为财政局管理提供了技术上的支持和保障。
组织机构和队伍建设得到加强。形成了具有一定信息化知识水平的业务技术队伍,为信息化建设的顺利开展提供了组织和人才保障。
财政业务信息网络系统建设稳步推进。为适应财政核心业务系统深入开展的要求,该局在局域网上安装了隔离卡,实行了机关内网和外网的隔离,确保了涉密计算机与公共信息网络隔离。
一系列财政业务应用系统得到推广应用。近年来,该局以财政核心业务应用系统为中心,从技术手段上有力地配合和促进了各项财政改革。推进乡镇财政预算管理方式改革,建立乡镇财政管理信息化网络,实现了“网上申报,网上审批,网上查询。
办公自动化建设取得较大进展,提高了办公效率和管理水平。该局安装了财政办公自动化(简称OA)系统,基本实现了无纸化办公,有效地提高了行政效率和办公自动化水平,降低了行政成本,极大地推进了该局电子政务建设工作。
在网络建设上,我们以保证工作带宽为主要目标,切合实际的对每个VLAN做出合理的限制策略。同时为了保证信息数据的安全,还提高了网络安全等级,物理隔离内外网、统一的杀毒软件、网络信息安全监控等等。对我们的整条“神经系统”做出了安全稳定的保护。
经过以上的一系列分析,笔者提出几点建议做参考,来提高我们全局的网络信息安全建设。
我们可以加入定期的病毒预警信息发布,将最新的病毒信息特征进行发布,提高全局对计算机病毒的认识,可以有效防止和发现最新的病毒,病毒信息可以从国家计算机病毒应急处理中心获得,网址是http://www.antivirus-china.org.cn/。
在几个月的工作中,我发现不少科室都需要进行科室内的文件传输,通常都是以优盘为介质进行传送,这样就可能加大在同一科室内传播病毒的概率,我们可以使用一些在网络传输软件,如飞鸽传书,他是一款绿色软件,只在同一网段使用TCP/IP协议的傳输软件。使用简单,并且不会干扰整个网络,在计算机上即可传输,方便快捷。
每月对下载流量进行分析,对于占带宽到50%的IP进行限制,并使用网管软件进行客户端通知。尽量减少P2P下载和BT下载的带宽数。保证工作带宽。