经过多年的不懈努力，全国财政系统金财网的建设已经进入了提升应用价值的新阶段。在这个特定的发展阶段，几乎每一个财政主管单位（财政部、厅、局）都在面对一个共同的问题，就是预算单位（或非税单位）的终端准入管理问题。基于我国的现有体制，每个地区都有大量的财政预算单位或非税单位需要联入财政内网办理相关业务。这些单位通常不是财政系统的内部单位，因此，他们的网络或终端不在金财网的管理范围之中。然而，这些单位的特定终端又必须联入金财内网以便处理相关业务，这对于已经与互联网实施了物理隔离的金财内网来说无疑是个不小的安全隐患。某市财政局信息中心主任曾把这种情况形象地比喻为"一个坚固的钢锅底部出现了很多个沙眼"。因此，如何对这些数量众多的非系统内终端实施有效的准入管理以保证财政内网安全就自然成为了财政系统面对的一个共同难题。

　　通软™ 财政预算单位终端准入控制系统产品定位

　　针对财政网络预算单位入网，以入网终端的合法入网、合规检查、入网后管理三个环节为核心，实施全方位、全过程的准入监控、安全检查、行为授权、系统安全状态改善等有效的管理，帮助用户实现更加安全、可靠和稳定的网络运行环境。

　　通软™ 财政预算单位终端准入控制系统解决方案构成

　　通软™ 财政预算单位终端准入管理平台主要由三部分组成，分别是通软™网络访问控制服务器硬件设备（以下简称：GNAC）、通软™财政预算单位终端准入管理软件平台服务端（以下简称：服务端），通软™财政预算单位终端准入管理软件平台客户端（以下简称：客户端）。下面简要介绍各部分的主要功能：

　　（1）GNAC（Generalsoft Network Access Controller）功能简介

　　GNAC主要包含两大功能：一是作为安全网关，可以检查每一个试图通过的终端是否已经安装通软™财政预算单位终端准入管理软件平台的客户端，如果不符合该条件将被阻断，以此作为第一道合法性检测机制。二是对于应该安装客户端但尚未安装客户端的终端以网页重定向的方式提供远程自动安装客户端。因此，GNAC这个专用硬件服务器既提供了可靠的终端准入合法性管理，又解决了客户端远程大面积部署问题。

　　GNAC支持网桥和旁路两种管理模式，尤其是旁路模式，只需要将GNAC旁路连接到核心交换机上，不需要对现有网络结构进行任何调整，只需设置交换机的镜像口，就可以实现联入终端的合法性管理。GNAC支持所有复杂网络环境的管理，即使财政内网和预算单位终端双方都进行了NAT地址转换，该产品同样能够进行正确的准入管理。

　　（2）服务端功能简介

　　服务端作为整个管理平台的核心和枢纽，主要提供如下基本机制与功能：

　　a：终端合法性的二次认证机制。为了避免只要安装客户端就可以联入财政内网的情况发生，服务端提供了基于帐号和密码的二次认证机制，同时可以基于帐号进行自动分组并配置相应访问权限。

　　b：专门为财政预算单位设计的组机制和组策略。财政预算单位数量很多，为了便于管理，财政系统已经在使用一套内含分级信息的单位编码来标识预算单位。为此，该管理平台提供了非常方便的预算单位终端信息导入功能，基于导入的单位编码，可以自动建立多级组结构，同时，也可以基于访问的服务来划分组或制定组策略，管理者用起来非常方便。

　　c：提供了强大的合规性检查机制。在通过了合法性检查之后，该平台可以基于预先设定的安全条件进行合规性检查，检查的内容可以有杀毒软件情况、安全补丁情况、上网痕迹等等。对于不符合条件的终端则被转入修复区。

　　d：入网后的全面监控，其中主要是访问权限的管理。

　　（3）客户端功能简介

　　在这个管理平台上，客户端最终在入网终端上负责实施上述的所有管理机制。为了适应各类窄带环境，这个客户端软件必须尽可能小，通软™准入产品的客户端插件约为300K，而且可以与GNAC配合以网页重定向的方式远程自动部署。

　　通软™ 财政预算单位终端准入控制系统解决方案优势

　　（1）通软™财政预算单位终端准入控制系统提供的不仅仅是简单意义上的准入管理，而是根据财政预算单位终端入网的前、中、后实际使用过程，进行的全方位、全过程的准入管理。

　　（2）利用财政系统已有的单位编码体系来识别和组织数以千计的入网终端，从而自动生成多级的树状结构。

　　（3）GNAC准入设备提供的网页重定向机制和300K超小客户端相结合，使得通软™财政预算单位终端准入控制系统可以适用于各种网络环境。

　　（4）通过帐号、密码进行终端的准入二次认证，并且支持针对帐号进行访问权限控制。