許文莉

（民航西北空管局財務(wù)處 西安 710082）

一、 民航財務(wù)二期建立的背景

2009年，民航系統(tǒng)開展了“小金庫”清查活動，通過清查，發(fā)現(xiàn)了不少問題，總局領(lǐng)導(dǎo)高度重視財務(wù)領(lǐng)域的這些問題，提出“全部資金歸大帳，所有帳戶上系統(tǒng)”，為實現(xiàn)“依法理財、集中管控、引導(dǎo)發(fā)展”，推進(jìn)民航財務(wù)管理手段現(xiàn)代化，總局財務(wù)司在民航系統(tǒng)預(yù)算單位全面推進(jìn)財務(wù)管理信息系統(tǒng)（二期）建設(shè)。

二、 民航財務(wù)二期系統(tǒng)介紹

民航財務(wù)二期項目建設(shè)遵循民航部門預(yù)算制度改革整體規(guī)劃，擬實現(xiàn)民航局與所屬行政事業(yè)單位之間預(yù)算、資金、決算和會計核算、固定資產(chǎn)等信息化管理。

民航財務(wù)二期項目主要分為三大部分，一是財務(wù)二期主系統(tǒng)，包括部門預(yù)算、集中支付、決算管理、信息門戶、電子圖書等內(nèi)容，系統(tǒng)部署在民航清算中心服務(wù)器，各單位安裝系統(tǒng)客戶端；二是久其會計核算軟件系統(tǒng)，分散部署在各單位本地；三是久其資產(chǎn)管理信息系統(tǒng)，該系統(tǒng)分為財政主管部門版和單位版兩個版本、財政主管部門版部署在民航清算中心服務(wù)器，主管部門安裝客戶端，單位版部署在各單位本地。電信集團(tuán)共同開展網(wǎng)絡(luò)搭建工作。

三、 民航財務(wù)二期組網(wǎng)要求

民航財務(wù)二期采用VPN形式構(gòu)建網(wǎng)絡(luò)環(huán)境，委托中國電信集團(tuán)共同開展網(wǎng)絡(luò)搭建工作。各單位機(jī)房與財務(wù)二期中心機(jī)房連接，各單位財務(wù)局域網(wǎng)與財務(wù)二期路由器連接，會計核算軟件服務(wù)器設(shè)備、各財務(wù)終端與財務(wù)二期路由器實時連接，并按照總局統(tǒng)一規(guī)劃，劃定各單位會計核算軟件服務(wù)器、財務(wù)終端的IP地址。為保障系統(tǒng)安全運行，總局要求財務(wù)二期網(wǎng)絡(luò)與互聯(lián)網(wǎng)、民航局電子政務(wù)內(nèi)網(wǎng)物理隔離。根據(jù)總局規(guī)劃，我局服務(wù)器IP地址為：127.9.9.10，財務(wù)終端IP地址為：127.9.9.1-253，網(wǎng)關(guān)地址：127.9.9.254，子網(wǎng)掩碼：255.255.255.0。同時，總局要求財務(wù)二期所使用的久其財務(wù)系統(tǒng)與我局原使用的用友財務(wù)系統(tǒng)在2010年并行半年，久其核算軟件與用友核算軟件分別部署于單獨服務(wù)器，久其核算軟件客戶端與用友核算軟件客戶端安裝于同一財務(wù)終端，財務(wù)終端可以同時訪問久其核算服務(wù)與用友核算服務(wù)器，久其財務(wù)系統(tǒng)必須與清算中心服務(wù)器連通。

圖1

四、 西北空管局原財務(wù)網(wǎng)絡(luò)結(jié)構(gòu)

在部署久其服務(wù)器及相關(guān)網(wǎng)絡(luò)之前，西北空管局原有財務(wù)局域網(wǎng)拓?fù)鋱D如上，各財務(wù)終端通過部門級接入層交換機(jī)進(jìn)行財務(wù)部內(nèi)部網(wǎng)絡(luò)互相訪問，并且同時可以訪問用友核算服務(wù)器，為了實現(xiàn)財務(wù)訪問局辦公內(nèi)網(wǎng)的要求，并且從成本的角度考慮，在最初的規(guī)劃上把財務(wù)部門級交換機(jī)聯(lián)入局辦公內(nèi)網(wǎng)，財務(wù)終端同時可以訪問用友核算服務(wù)器和局電子政務(wù)內(nèi)網(wǎng)服務(wù)器，考慮到財務(wù)網(wǎng)的安全性，在核心交換機(jī)上添加訪問控制列表禁止其他網(wǎng)段的用戶訪問財務(wù)網(wǎng)終端和服務(wù)器。

五、 西北空管局財務(wù)二期組網(wǎng)方案及實施

民航財務(wù)二期采用VPN形式構(gòu)建網(wǎng)絡(luò)環(huán)境，委托中國局財務(wù)局域網(wǎng)通過財務(wù)二期路由器和電信專線和總局清算中心互聯(lián)。

從我局財務(wù)部實際情況出發(fā)，財務(wù)部門只有一套綜合布線系統(tǒng)，財務(wù)部人員只有1臺工作電腦，若按圖2部署網(wǎng)絡(luò)，必須滿足以下兩點要求：

1、 規(guī)劃設(shè)計要求

圖3 更改后的西北空管局財務(wù)二期組網(wǎng)拓?fù)鋱D

（1）財務(wù)終端要訪問久其核算服務(wù)器，并且我局久其財務(wù)系統(tǒng)與民航總局清算中心服務(wù)器互通，滿足總局業(yè)務(wù)的要求。

（2）財務(wù)部從自身工作出發(fā)，要求能同時訪問局辦公網(wǎng)和我局原使用的用友財務(wù)系統(tǒng)。

因此，財務(wù)部必須額外增加一套綜合布線系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，每個財務(wù)人員增加一臺工作電腦，來滿足我局財務(wù)部門的工作需要，這樣一方面增加了成本，另一方面工期上也不能滿足民航財務(wù)二期建設(shè)時間要求。

2、 財務(wù)二期組網(wǎng)方案

為了滿足以上兩點要求，降低成本并按時完成網(wǎng)絡(luò)部署，我們更改了網(wǎng)絡(luò)部署方案。如圖3，將我局財務(wù)二期路由器連接到局辦公樓核心交換機(jī)，核心交換機(jī)互聯(lián)端口設(shè)置為路由端口，并且核心交換機(jī)和二期路由器之間互添路由表。同時，因財務(wù)網(wǎng)部門交換機(jī)放置在一樓機(jī)房，所以將財務(wù)網(wǎng)部門交換機(jī)接入一樓局辦公內(nèi)網(wǎng)接入層交換機(jī)?？紤]到財務(wù)終端、久其財務(wù)系統(tǒng)要訪問總局清算中心，并且財務(wù)二期給我局規(guī)劃的IP地址段為127.9.9.1-253，在局核心交換機(jī)上新建財務(wù)vlan 3，vlan接口IP地址分配為127.9.9.254，財務(wù)網(wǎng)終端IP分配為127.9.9.1-253。為了保證財務(wù)網(wǎng)安全，在內(nèi)網(wǎng)服務(wù)器群防火墻添加路由表和安全策略。同時，將久其核算軟件客戶端與用友核算軟件客戶端安裝于同一財務(wù)終端，這樣，財務(wù)終端就可以同時訪問久其核算服務(wù)器與用友核算服務(wù)器，久其財務(wù)系統(tǒng)也可以與清算中心服務(wù)器連通。

六、 財務(wù)網(wǎng)絡(luò)安全措施

為了保證財務(wù)網(wǎng)絡(luò)的安全，避免來自內(nèi)網(wǎng)和專網(wǎng)上的安全威脅，我局主要通過兩個技術(shù)措施來保證財務(wù)網(wǎng)絡(luò)的安全。

1、我局現(xiàn)有用友核算服務(wù)器部署于內(nèi)網(wǎng)防火墻DMZ區(qū)，通過防火墻對訪問進(jìn)行有規(guī)則的限制，保證服務(wù)器不受到專網(wǎng)和

內(nèi)網(wǎng)的安全威脅，將風(fēng)險等級降至最低。

2、為了保證財務(wù)內(nèi)網(wǎng)和久其核算服務(wù)器不受內(nèi)網(wǎng)的安全威脅，在核心交換機(jī)上添加了訪問控制列表，禁止內(nèi)網(wǎng)用戶訪問財務(wù)內(nèi)網(wǎng)和久其核算服務(wù)器。

七、 結(jié)束語

我局財務(wù)二期組網(wǎng)的方式給財務(wù)人員的工作帶來了便利，其次減少了成本，縮短了建設(shè)周期，經(jīng)過了半年的運行，整個系統(tǒng)運行穩(wěn)定，安全。