作者：子鉃

2011年，以北京统计为例，北京公积金缴存单位共73020个，公积金缴存职工共5152139名，结息金额超过15亿元，本息合计1200余亿元。住房公积金作为我国住房制度改革的产物，随着其在促进城镇住房消费，改善居民住房条件等方面的作用日益凸显，住房公积金越来越为平常百姓所熟知，其知名度与日俱增。其曾经以及正在发挥的作用勿庸置疑，但管理方面、安全方面的弊端也显现出来，住房公积金使用率低，内控缺位，资金风险大等问题一度困扰着业内人员，随着住房金融市场竞争的加剧及住房公积金业务的不断发展，如何利用更安全可靠的科技手段持续提升管理以及安全等级已成为住房公积金管理者面临的另一重大课题。

一、背景与需求

某省住房公积金管理中心，前身为省住房资金管理中心，2002年根据国务院关于调整住房公积金管理机构的部署，经省人民政府批准，在该省地区原有八个中心的基础上重新组建成立。省住房公积金管理中心为该省市政府直属不以营利为目的的独立事业单位，下设2个分中心：省直分中心、铁路分中心； 5个办事处（营业点）：驻新建A县办事处、驻新建B县办事处、驻新建C县办事处、驻新建D县办事处、驻新建E县营业点；内设6个科室：综合科、稽核科、汇缴管理科、财务科、个贷管理科、网络管理科。该省住房公积金决策机构为省住房公积金管理委员会。

住房公积金由于其自身的特点，涉及到多方利益关系，极易受到黑客及不法分子的关注和青睐，系统中突出的安全隐患包括病毒、人员滥用、网络入侵、内部缺乏访问控制、存在网络设施与主机的漏洞，同时相应的技术手段不完善。住房公积金系统中应用系统安全防护的主要目的是：通过引入必要的安全防护手段，强化信息系统的抗攻击能力，为上层应用系统提供可靠的运行环境，保障信息系统的高可用性和高完整性。

二、解决方案

经过对以上安全现状以及整个网络架构的分析，依托网御星云在信息安全行业十几年来的深厚技术积累，设计出一套以风险为主线，实现5个方面的矩阵式立体化安全防护方案，采用以下方案进行网络的规划，可使得整个网络从边界处到桌面终端都能够达到安全防范的需要：

安全防护方面：

·在Internet边界处部署防火墙安全防护，将内部网络与重要的服务器资源进行安全隔离，从整体上达到安全模型的防护要求，提高基本的安全防护水平。在防火墙上制订合乎业务应用实际的、严谨的访问控制策略，仅允许授权用户访问被授权访问的资源，禁止越权访问和非法访问行为的发生；

·在县区和银行接入路由器边界处部署UTM安全防护，将内部网络与重要的服务器资源进行安全隔离，从整体上达到安全模型的防护要求，提高基本的安全防护水平。在UTM上制订合乎业务应用实际的、严谨的访问控制策略，仅允许授权用户访问被授权访问的资源，禁止越权访问和非法访问行为的发生；通过UTM集成的入侵防御、防病毒等功能加强对此线路的应用层防护。

·部署网络入侵防御系统（IPS）。通过入侵防御系统能够适时的对网络中的数据访问进行检测、记录和阻断有害攻击，提升整个网络的主动防御能力；

·部署安全隔离和信息交换系统（网闸）。通过网闸上的数据安全传输（采用非TCP/IP协议，有数据传输时采用加密协议摆渡的方式），解决服务器与内部网络的安全隔离问题。

·在核心交换机旁接一套SSL VPN设备，实现用户外网、用户移动办公对内网服务器的安全访问。

安全检测方面：

·部署数据库审计系统，通过数据库审计对日常数据库的各种操作进行审计，对异常行为记录和警告。

安全响应方面：

·成立安全应急响应小组，同时可以通过专业人员制订应急响应方案并且进行演练，将安全事故可能造成的影响降低至最小；

·与安全服务人员建立长久的合作关系，可以是安全咨询等，通过专业人员的帮助来完成对安全事故的响应。

安全恢复方面：

·对重要的网络设备进行配置备份并由专人保存，一旦发生网络中断问题并且判断为设备故障立刻进行恢复，缩短网络中断的时间；

·对重要的数据文件资料、数据库等信息进行备份或者镜像处理，一旦数据丢失能够在最短时间内完成数据的恢复将业务影响降低至最小。

安全管理方面：

·在内网中部署一套内网管理系统，用于对内网用户非法外联、终端规范、移动介质管理的应用管理。

·制订合理的、规范的安全管理制度，并且由分管领导牵头进行统一实施，从管理上加强安全防范的力度；

·成立专门的领导小组，在安全厂商专业人员的协助下对涉及业务或者网络安全的操作人员进行培训，提高整体的安全防范意识；

·由专人定期对日志数据进行审计，并且形成报告，将网络中可能存在的安全问题统一进行整改；

·定期检查网络设备的配置，对重要的网络资源包括路由器、核心三层交换机、数据服务器定期更改高强度密码，防止密码泄露造成的安全事故发生。

三、安全产品部署说明

根据“同步规划、同步建设、同步运行”原则，该省公积金信息管理中心信息安全体系建设应与信息化建设同步规划，同步建设，协调发展，要将信息安全体系建设融入到信息化建设的规划、建设、运行和维护的全过程中；同时结合五方面的矩阵式立体化安全防护进行方案部署，其设备及作用如下：

四、特色描述

·下一代智能系统提升稳定性：网御多年来致力于安全深度保障，并推出全系新一代智能系统，保障某省住房公积金管理中心信息系统安全和稳定的运行，为日常运转提供良好基础，保障和促进业务发展和业务目标的实现。

·完备的可信加密安全：网御多功能安全网关，包括VPN、UTM等产品对某省住房公积金管理中心企业重组提供支持，重组后的企业首先从信息化进行整合，保障信息化整合中的信息安全，包括信息的可用性、完整性、机密性、可靠性、抗抵赖性。

·超线程多核WindRunner技术显成效：网御产品的WindRunner技术是将多颗CPU排成矩阵，在对网络数据流进行策略匹配、抗攻击、内容过滤、加解密、QOS、日志等多项业务处理时，采用并行计算和流水线两个维度进行并行处理，确保了高安全的前提下的高性能处理。并使得某省住房公积金管理中心成为广大用户信赖的基础，并提高某省住房公积金管理中心的品牌形象和客户忠诚度；

·矩阵式安全保障体系保安全：网御为管理中心设计并建设的这套矩阵式安全保障体系覆盖全面、重点突出、持续运行的信息安全保障体系，达到行业一流的信息安全保障水平，支撑和保障信息系统和业务的安全稳定运行。

五、安全趋势

公积金管理中心现有的安全建设刚刚起步，随着国家住建部对信息系统安全建设的要求越来越高，住建部已经对全国房管系统的开发商监管系统进行了统一设计，房管局和住房公积金虽然同属于房管系统，但其业务系统有很大的不同，公积金管理中心主要负责事业和企业单位公积金的存续和提取业务，接触的都是资金管理，对信息系统的安全需求要求较高。网御星云全系产品线里有很多可以符合其安全建设的需求，可使公积金管理中心快速实现对网络信息的精准控制，有效保障中心核心业务的平稳运行，提高办公效率，将信息化建设推上一个新台阶。