财政业务专网网络安全接入规范解读

《财政业务专网网络安全接入规范》讲解财政业务专网网络安全接入规范MOF财政业务专网网络安全接入规范MOF

《规范》产生背景网络接入方式及选择原则网络接入安全安全管理财政业务专网网络架构制定《规范》原则产生背景

自2002年金财工程启动以来，财政系统逐步建立了财政业务专网，纵向实现了中央到省、市、县、乡的四级纵向网络连接，横向实现了和同级预算单位、代理银行、人民银行等单位的网络连接，财政业务专网已经成为财政业务开展的基础支撑。

财政业务专网网络安全接入规范MOF现有财政业务专网的定位

业务方面：要满足对财政业务的支撑，纵向到底，横行到边，是支撑财政业务运行的主体网络。

安全方面：非涉密网络，不能处理涉密信息；非社会公开信息，敏感信息（工作秘密）；等级保护三级；与互联网物理隔离。财政业务专网网络安全接入规范MOF原有财政业务专网存在的问题

业务发展与安全要求产生的矛盾

业务要求网络连接要方便，用户在哪，网络到哪，网络不断扩展。安全强度不能降低，信息不能外泄、业务数据不能被篡改，完整性、准确性要保证；与互联网物理隔离。

原有标准与新技术发展产生的矛盾

移动联网技术、安全数据交换技术、各种VPN技术等为突破原有标准提供可能。

财政业务专网网络安全接入规范MOF原有财政业务专网存在的问题

各省根据业务开展的需要，已经进行了各种尝试，接入方式各种各样，网络连接方式比较多，不规范，安全性受到较大影响。

如何既要满足财政业务对网络不断扩大和外延的需求，同时还要保证业务系统的安全，成为急需解决的问题。

财政业务专网网络安全接入规范MOF接入规范要解决的主要问题

一是解决规范性问题，二是解决业务需要与安全需要再平衡问题

规范各级财政业务专网与其它网络、不同类型用户的连接及数据交换行为，更好地满足财政业务安全运行的需要。

《财政业务专网网络安全接入规范》（财信办[2015]2号）2015年3月27日印发

财政业务专网网络安全接入规范MOF适用范围

本规范适用于各级财政部门业务专网的网络接入和数据交换，是各级财政部门开展网络建设和网络运行管理工作的依据。财政业务专网网络安全接入规范MOF财政业务专网网络安全接入规范MOF

《规范》产生背景网络接入方式及选择原则网络接入安全安全管理财政业务专网网络架构制定《规范》的原则原则

可控性原则：边界可控、数据交换可控

可管理性原则：对接入的用户有管理措施可用性原则：方案可行，措施可操作

安全性原则：对终端、网络、应用和数据有安全保护措施

规范性原则：符合国家相关法律、政策和标准财政业务专网网络安全接入规范MOF财政业务专网网络安全接入规范MOF

《规范》产生背景网络接入方式及选择原则网络接入安全安全管理财政业务专网网络架构制定《规范》的原则财政业务专网网络拓扑结构

财政业务专网采用树形网络结构为主，纵向上主要由各级财政部门按垂直的上下级模式连接成广域骨干网络，由财政部连接全国37个省、自治区、直辖市及计划单列市财政厅（局），新疆生产建设兵团财务局，并向下覆盖到地市、区县、乡镇财政部门。

财政纵向网络涵盖财政部、省、市、县、乡财政部门，财政部到各省、自治区、直辖市、计划单列市财政部门的网络构成一级纵向骨干网，省级财政部门到各地市财政部门构成二级纵向骨干网，地市财政部门到县级财政部门为三级纵向骨干网，县级财政网络延伸到乡镇财政所为四级纵向网。财政业务专网网络安全接入规范MOF纵向网络

财政业务专网在横向上以各级财政部门为中心向同级预算单位、代理银行和信息资源共享部门等辐射连接，形成该级的城域接入网。各单位通过点对网连接模式或网对网连接模式横向连接到财政业务专网。

横向网络分为财政部接入网络、省级财政接入网络、地市级接入网络、县级接入网络，分别与本级的预算单位、人民银行、代理商业银行及其他有关单位等外部单位进行网络互接。按照财政业务需要，人民银行、代理商业银行也可以省级或者市级网络为统一节点进行网络互接。乡级网络原则只限于内部局域网络，不外接其他单位。财政业务专网网络安全接入规范MOF横向网络财政业务专网纵向、横向连接示意图财政业务专网网络安全接入规范MOF

财政部业务专网，纵向接入区下联全国36个省、自治区、直辖市及计划单列市财政厅（局）和新疆生产建设兵团财务局，并通过纵向接入区连接财政部派驻35个省市财政监察专员办事处；横向接入区连接中央预算单位、人民银行总行、代理商业银行、信息资源共享部门；内外网数据交换区完成与财政业务外网、外部其他单位非实时的数据交换业务。财政部业务专网财政业务专网网络安全接入规范MOF中央预算单位接入模式：网对网；或点对网。人民银行总行、代理商业银行接入模式：网对网。中央信息资源共享部门接入模式：网对网。财政部业务专网财政业务专网网络安全接入规范MOF省、市、县各级财政业务专网，纵向上连上级财政部门业务专网，下连下级财政部门业务专网，横向连接各级预算单位、人民银行、代理商业银行、非税执收单位和信息资源共享部门。内外网数据交换区完成与财政业务外网、外部其他单位非实时的数据交换业务。省市县财政部门业务专网财政业务专网网络安全接入规范MOF地方本级预算单位（包括执收单位）接入模式：网点网；或点对网。人民银行、代理商业银行接入模式：网对网。

下一步，财政业务系统将逐步向省级集中模式过渡，省级财政部门与省级人民银行、代理商业银行直接连接，地市县级财政和相应的人行、商行不再直连。各省可根据本省业务实际情况确定网络连接架构，并逐步向省级集中模式过渡。地方本级信息资源共享部门接入模式：网对网。省市县财政部门业务专网财政业务专网网络安全接入规范MOF

应根据安全和应用需求情况，合理划分局域网的安全区域。应至少包括核心交换区、纵向接入区、横向接入区、内外网数据交换区、安全管理区以及其它业务区。横向接入区：实现横向连接单位的网络接入、安全防护、应用访问、与内部网络的隔离与信息交换；纵向接入区：实现财政内部上下级用户的网络接入、安全防护、应用访问。内外网数据交换区：财政业务外网与财政业务专网进行数据交换和数据共享时，应在两者之间建立内外网数据交换区，通过安全隔离与信息交换系统，实现两网之间的双向可控数据交换。财政专网局域网财政业务专网网络安全接入规范MOF

《规范》产生背景网络接入方式及选择原则网络接入安全安全管理财政业务专网网络架构制定《规范》的原则财政业务专网网络安全接入规范MOF1、专线

专线是指在广域或城域连接中使用光纤，或者租用运营商SDH/MSTP、DWDM链路、PTN等进行互联的专用线路。xDSL等其他接入方式不属于专线。

2、电子政务网络

本规范所称电子政务网络是指国家电子政务外网和各级党政部门已建成的非涉密专网。

3、MPLS（MultiProtocolLabelSwiching）VPN网络MPLSVPN网络是指运营商利用MPLSVPN技术提供的虚拟专线服务，其安全性、可靠性低于专线。

4、VPDN（VirtualPrivateDial-upNetworks）网络VPDN虚拟专用拨号网是运营商基于L2TP等技术为客户提供的一种相对可控的拨号接入方式。这种接入方式可以提供对终端的认证功能，数据经过隧道传输。VPDN方案的终端接入方式可以采用有线接入，也可以采用3G、4G无线接入。VPDN适合地点分散和人员分散，对线路的保密和可用性有一定要求的固定和移动用户。网络接入方式VPDN建立过程LACLNSCorporateLANL2TPNetworkServerL2TPAccessConcentratorInternet电话网/ATM/IPPCL2TPTunnel第一层radius第二层radius(1)(2)(4)(5)(6)(7)(8)(9)用户发起与LAC之间的PPP连接；LAC通过Radius对用户进行第一层Radius认证，对域名进行认证；Radius根据域名返回对应的隧道属性，包括LNSIP、隧道类型、隧道密码等；LAC根据隧道属性向LNS发起建立隧道请求；LAC与LNS间建立L2TP隧道；在隧道中为用户建立Session，LAC把和用户协商得到的LCP选项和验证信息送给LNS；LNS向二层Radius发起对用户帐号/密码的认证，并为用户分配IP地址；Radius认证通过返回相关信息给LNS；LNS为用户反馈IP地址及相关信息；(3)财政业务专网网络安全接入规范MOF用户类型及接入场景接入方式专线电子政务网络运营商MPLSVPNVPDN财政系统用户纵向连接部到省√√

省到地市、地市到区县√√√

区县到乡镇√√√√财政系统用户远程办公

√外部用户横向连接中央一级预算单位√√

中央基层预算单位√√

√地方各级预算单位√√√√人民银行√√代理银行√

√

信息资源共享部门√√

财政业务专网网络安全接入规范MOF

财政内部用户：各级财政纵向互联时采用专线或电子政务网络等方式。通过电子政务外网互联时要在专用网络区进行连接。

外部用户：财政横向连接的主要是外部用户，包括预算单位、人民银行、代理商业银行、信息资源共享部门等。

各级人民银行、代理商业银行采用专线等作为网络连接链路。

中央一级预算单位及中央信息资源共享部门采用专线、电子政务网络接入。

中央基层预算单位采用专线、电子政务网络或者VPDN等方式接入。

地方各级预算单位可采用专线、电子政务网络、运营商MPLSVPN或者VPDN等方式接入。接入方式的选择财政业务专网网络安全接入规范MOF

《规范》产生背景网络接入方式及选择原则网络接入安全安全管理财政业务专网网络架构制定《规范》的原则财政业务专网网络安全接入规范MOF网络接入安全终端安全链路安全边界安全认证安全应用安全安全产品必须国产自主可控财政业务专网网络安全接入规范MOF终端安全——内部终端财政内部用户终端计算机应采取以下措施：

（1）专机专用，不得连接互联网及其它网络，严禁处理涉密信息。

（2）应安装统一的客户端安

全管理软件，启用实名制注册、安全准入、防范违规外联、补丁升级功能。

（3）应安装统一的杀毒软件，并确保病毒库及时更新，防范恶意代码。

（4）加强移动存储介质管理，严控数据输入输出，防止数据泄漏。财政业务专网网络安全接入规范MOF终端安全——内部终端便携计算机，应采取以下措施：（1）采取共享限制、强制锁屏、密码强度控制、系统加固等措施。（2）采用VPDN方式时，3G/4G上网卡应与用户绑定，并采取相应技术措施，确保终端只能访问财政业务专网。（3）应安装客户端安全管理软件进行安全管理。（4）终端接入时应使用财政数字证书进行用户身份认证。（5）应采用加密、沙盒等技术对数据进行保护，防止数据泄漏。原则上数据不允许落地。

财政业务专网网络安全接入规范MOF终端安全——内部终端平板电脑或手机终端，应采取以下措施：（1）原则上应使用专用的APP访问财政业务系统。（2）应采用加密、沙盒等技术对数据进行保护，防止数据泄漏。原则上数据不允许落地。（3）采用VPDN方式时，3G/4G上网卡应与用户绑定，并采取相应技术措施，确保终端只能访问财政业务专网。（4）终端接入时应使用财政颁发的数字证书进行用户身份认证，证书介质可采用SIM卡、SD卡、耳机接口的USBKEY、蓝牙接口的USBKEY等硬件方式。（5）禁止私自提升终端权限，如获取root权限、越狱等。（6）终端一旦发生遗失，应有相关技术手段防范数据泄露，如远程擦除手段。财政业务专网网络安全接入规范MOF终端安全——外部终端点对网模式接入终端要求

接入终端要符合财政部门的安全规范，采取以下措施：

（1）接入终端应专机专用，不得连接互联网及其它网络，严禁处理涉密信息。

（2）接入终端原则上应通过客户端安全监控和管理软件、加密或沙盒等技术手段进行安全管理，严格网络准入，及时进行补丁升级，简化相关软件的安装和使用，降低运维成本。

（3）接入终端应安装杀毒软件，并确保病毒库及时更新，防范恶意代码。

（4）应使用财政部门颁发的财政数字证书进行用户身份认证。

（5）加强移动存储介质管理，严控数据输入输出，防止数据泄漏。财政业务专网网络安全接入规范MOF终端安全——外部终端网对网模式接入终端要求

接入单位网络须符合等保三级要求，接入终端应采取必要的安全防护措施。在访问财政内部业务应用时，须使用财政部门颁发的数字证书进行用户身份认证。财政业务专网网络安全接入规范MOF链路安全

应根据实际业务情况，优先选择安全性较高的接入方式，可选用IPsecVPN、SSLVPN等方式实现数据加密和完整性保护。财政业务专网网络安全接入规范MOF边界安全——横向、纵向连接区的安全功能财政业务专网内部分区财政业务专网网络安全接入规范MOF各安全子区设备部署示意图边界安全——横向连接区的安全功能财政业务专网网络安全接入规范MOF边界安全——内外网数据交换区

根据实际业务需求，财政业务专网要与财政业务外网进行数据交换，须在两网之间部署安全隔离与信息交换系统，采用摆渡方式实现协议剥离（禁止使用代理方式），保证安全数据交互。安全隔离与信息交换系统在网闸两侧部署有交换系统，实现在数据交换前后的数据剥离和落地，对文件进行安全检查和杀毒处理。财政业务专网网络安全接入规范MOF认证安全

应对财政业务专网接入对象进行身份认证。接入用户使用财政数字证书进行身份认证；接入设备可通过IP/MAC/设备码或设备证书等进行身份认证。财政业务专网网络安全接入规范MOF应用安全应合理确定应用系统的安全等级保护级别，按照国家信息安全等级保护相关政策标准进行开发和管理，实现所要求的安全功能。要开发和部署独立于应用系统的第三方审计系统，保证对应用审计的可信和可追溯