周立民，王慶嶺，張麗景

(蘭州石化職業(yè)技術(shù)學(xué)院 計算機系，甘肅 蘭州 730060)

0 引言

隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和數(shù)字化校園的建設(shè)與普及，高校財務(wù)管理工作的方式、方法也隨之發(fā)生了革命性的變化[1-2]。高校財務(wù)工作從過去計劃預(yù)算、學(xué)生上門繳費、職工報銷等常規(guī)操作，逐漸增加了財政網(wǎng)絡(luò)支付、銀行代扣、在線付款、在線對賬、工資查詢和津貼發(fā)放等網(wǎng)絡(luò)功能。將網(wǎng)絡(luò)技術(shù)與財務(wù)工作結(jié)合在一起，實現(xiàn)數(shù)據(jù)和資源共享，財務(wù)工作變得更快捷、準(zhǔn)確和規(guī)范，能有效提高工作效率。但網(wǎng)絡(luò)的開放性在許多因素的影響下又成了整個系統(tǒng)的一大安全隱患。因此，安全可靠財務(wù)專網(wǎng)的構(gòu)建成了信息時代的焦點課題。

1 建設(shè)背景

目前，蘭州石化職業(yè)技術(shù)學(xué)院財務(wù)網(wǎng)絡(luò)功能單一，效率低。全網(wǎng)只用一臺二層交換機將設(shè)備進(jìn)行了簡單的互聯(lián)，構(gòu)成了部門局域網(wǎng)，沒有和校園網(wǎng)鏈接，更不可能進(jìn)行互聯(lián)網(wǎng)訪問。因此，只能進(jìn)行常規(guī)現(xiàn)場收費、計劃、報銷等業(yè)務(wù)，有時候財務(wù)處會出現(xiàn)人滿為患的景象，工作效率不高；另外，財務(wù)機房內(nèi)網(wǎng)絡(luò)設(shè)備陳舊、服務(wù)器配置較低，數(shù)據(jù)存儲、備份和更新的安全隱患大。機房內(nèi)只有三臺塔式服務(wù)器，均購置于2002年左右，是財務(wù)數(shù)據(jù)的核心設(shè)備，但隨著每年數(shù)據(jù)量的不斷增加，在運行過程中暴露出了很多問題，如：所有的服務(wù)器均配置硬盤一塊，沒有實現(xiàn)數(shù)據(jù)冗余備份，其中有一臺甚至連USB接口都沒有，數(shù)據(jù)導(dǎo)出十分困難。而每年新生報到時，機房內(nèi)的兩臺收費服務(wù)器還需要搬到收費現(xiàn)場，在東西校區(qū)臨時組建兩個現(xiàn)場星型局域網(wǎng)，進(jìn)行新生報到收費。然后將兩臺收費服務(wù)器數(shù)據(jù)用移動介質(zhì)拷貝，實行人工匯總、進(jìn)行同步。這樣一來，一方面數(shù)據(jù)匯總量大，人工匯總會出現(xiàn)數(shù)據(jù)冗余和錯誤，造成數(shù)據(jù)不一致；另一方面如果殺毒處理不及時，移動存儲介質(zhì)極易使服務(wù)器感染病毒，造成意想不到的后果，而且服務(wù)器的頻繁關(guān)停和移動本身也會降低其使用壽命。

所以，針對諸多財務(wù)網(wǎng)絡(luò)的安全問題以及教職工日益增長的實際需求(如工資查詢、公積金查詢、科研賬務(wù)查詢、繳費查詢等)，為進(jìn)一步提高財務(wù)工作效率，保障數(shù)據(jù)的安全性，加快財務(wù)專網(wǎng)的信息化和數(shù)字化進(jìn)程，結(jié)合實際，我們提出了基于校園網(wǎng)DP2OM安全模型重構(gòu)財務(wù)專網(wǎng)的解決方案。

2 DP2OM模型

伴隨高校數(shù)字化校園建設(shè)的深入，校園網(wǎng)的信息化、網(wǎng)絡(luò)化的功能不斷增強，校園網(wǎng)正在成為現(xiàn)代化校園的亮點。但由于網(wǎng)絡(luò)系統(tǒng)的開放性和自身的脆弱性，加之各種利益對人的驅(qū)動，校園網(wǎng)所面臨的攻擊也在逐年增加，特別是互聯(lián)網(wǎng)上的網(wǎng)頁木馬、偽裝欺騙、系統(tǒng)漏洞、拒絕服務(wù)、計算機病毒等給校園網(wǎng)帶來了巨大的威脅。因此信息安全已經(jīng)成為各級主管部門和網(wǎng)絡(luò)管理人員必須重視的問題。2009年學(xué)院投資進(jìn)行了校園網(wǎng)基礎(chǔ)設(shè)施改造，通過多方論證，我們提出了DP2OM的校園網(wǎng)運維模型，即利用學(xué)院現(xiàn)有的網(wǎng)絡(luò)硬件條件，結(jié)合軟件平臺，貫穿工程化管理思想，形成全過程關(guān)注的觀念，構(gòu)建一套集設(shè)計安全(Design)、策略安全(Policy)、防護(hù)安全(Protection)和運維安全(Operation and Maintenance)為一體的DP2OM校園網(wǎng)安防體系，如圖1所示。

圖1 DP2OM體系

DP2OM網(wǎng)絡(luò)安防體系的研究內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。技術(shù)方面主要側(cè)重于方案設(shè)計合情合理、設(shè)備配置完善、防范攻擊與入侵、策略制定和下發(fā)，做好安全防護(hù)；管理方面則側(cè)重于人員管理和培訓(xùn)、流程制定與執(zhí)行、應(yīng)急事件響應(yīng)和處理、體系更新和維護(hù)等。通過全面的考慮和實踐，DP2OM最終實現(xiàn)一個安全性高、可靠性強、性能穩(wěn)定、響應(yīng)快速的校園網(wǎng)安全保障體系。在兩年多實踐和運行中，不斷地進(jìn)行體系更新和維護(hù)，最大限度地使校園網(wǎng)為教育教學(xué)服務(wù)，從而實現(xiàn)其自身的實效性和先進(jìn)性。財務(wù)專網(wǎng)的構(gòu)建依托校園網(wǎng)，完全采用此模型，從設(shè)計、實施到運行做到安全、高效、可靠。

3 設(shè)計方案

學(xué)院現(xiàn)有東西兩個校區(qū)，相距1.5公里。在校園網(wǎng)改造的基礎(chǔ)上，我們采取了“1+2架構(gòu)”重新組建財務(wù)專網(wǎng)。即利用校園網(wǎng)基礎(chǔ)平臺，構(gòu)建以財務(wù)部門級核心LAN(Local Area Network，局域網(wǎng))為主，東西兩個校區(qū)新生報道收費子LAN為延伸的虛擬專用財務(wù)網(wǎng)絡(luò)，拓?fù)淙鐖D2所示。

圖2 財務(wù)專網(wǎng)拓?fù)?/p>

網(wǎng)絡(luò)設(shè)計實現(xiàn)如下目標(biāo)：

1) 部門LAN合理規(guī)劃資源，把有限資源最大化發(fā)揮作用。

2) 部署學(xué)院財務(wù)數(shù)據(jù)專用磁盤陣列。

3) 核心數(shù)據(jù)服務(wù)器無需搬動，實現(xiàn)新生報到收費客戶端與服務(wù)器安全通信，數(shù)據(jù)一致，有線無線一體化。

4) 實現(xiàn)所有服務(wù)器Raid1級備份。

5) 設(shè)置代理服務(wù)器實現(xiàn)財務(wù)網(wǎng)與校園網(wǎng)的互通，Web資源開放查詢。

6) 設(shè)置防火墻與上級部委專網(wǎng)的鏈接，實現(xiàn)財政專網(wǎng)直通，完成銀行代扣、財政審核等具體業(yè)務(wù)。

4 技術(shù)策略

4.1 用VLAN構(gòu)建專網(wǎng)

借助VLAN(Virtual Local Area Network，虛擬局域網(wǎng))技術(shù)，將校園網(wǎng)東西區(qū)不同地點、不同類型的網(wǎng)絡(luò)設(shè)備根據(jù)端口組合在一起，使得三處LAN邏輯上構(gòu)成了財務(wù)專用的虛擬網(wǎng)絡(luò)環(huán)境。這樣構(gòu)建的財務(wù)專網(wǎng)具有很強的安全性，因為，校園網(wǎng)不同VLAN之間網(wǎng)絡(luò)報文相互隔離，財務(wù)專網(wǎng)與校園網(wǎng)其他VLAN之間不會直接通信，所以財務(wù)敏感數(shù)據(jù)在校園網(wǎng)的傳輸是安全的；另外，使用VLAN保證了財務(wù)專網(wǎng)不受廣播風(fēng)暴的影響，VLAN可以提供建立防火墻的機制，防止交換網(wǎng)絡(luò)的過量廣播，因為，在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN產(chǎn)生的廣播。因此，技術(shù)配置過程中，財務(wù)專網(wǎng)命名VLAN200，劃分固定端口，依次透傳校園網(wǎng)核心交換機、兩個匯聚交換機和四臺接入設(shè)備，將“1+2模式”的三個本地LAN邏輯上劃分在了一起。

4.2 用ACL保障內(nèi)部安全

ACL(Access Control List)是實際網(wǎng)絡(luò)環(huán)境中策略配置里經(jīng)常用到的安全控制技術(shù)。它是一種基于包過濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。標(biāo)準(zhǔn)ACL已經(jīng)在校園網(wǎng)出口控制上得到應(yīng)用，有效的部署了校園網(wǎng)絡(luò)出網(wǎng)策略。但財務(wù)專網(wǎng)資源不是完全與校園網(wǎng)隔離，部分資源需要開放訪問、敏感數(shù)據(jù)需要開放給特殊權(quán)限用戶使用，如：教職工要能通過校園網(wǎng)查詢工資、公積金、科研費、學(xué)費等余額或繳費信息；院領(lǐng)導(dǎo)、財務(wù)長要能夠直接訪問核心服務(wù)器資源；財政專網(wǎng)與校園網(wǎng)不能互通信息等。根據(jù)這些具體的要求，我們采用標(biāo)準(zhǔn)IP訪問控制列表，完全實現(xiàn)了財務(wù)專網(wǎng)內(nèi)部資源的特殊訪問，防止黑客攻擊，進(jìn)而保障這些資源的內(nèi)網(wǎng)安全性。

4.3 防火墻和殺毒軟件抵御外侵

非法入侵同樣會帶來災(zāi)難性的后果，在財務(wù)內(nèi)網(wǎng)前端架設(shè)硬件防火墻(Firewall)，是為明智之舉。它對跨越網(wǎng)絡(luò)邊界的信息進(jìn)行過濾，目的在于防止外部非法用戶訪問[3]。同時對各層的數(shù)據(jù)進(jìn)行主動的、實時的監(jiān)測，有效地判斷出各層中的非法侵入，為數(shù)據(jù)傳輸設(shè)置了一道電子屏障。另外，計算機病毒同樣會對網(wǎng)絡(luò)正常運行及數(shù)據(jù)安全產(chǎn)生嚴(yán)重威脅，為此，我們引入趨勢科技，建立了完善的云安全防病毒體系，服務(wù)器和工作站都在線安裝正版殺毒軟件客戶端，啟動實時監(jiān)控系統(tǒng)。嚴(yán)格執(zhí)行防病毒措施，禁止在工作機上安裝無關(guān)軟件，U 盤等存儲介質(zhì)等使用前須通過計算機病毒檢測。定期升級病毒庫和查殺病毒，杜絕使用盜版軟件。

4.4 磁盤陣列實現(xiàn)自動備份

為了實現(xiàn)數(shù)據(jù)的最大安全性，考慮實際，通過光纖交換機把磁盤陣列劃分三個區(qū)，分別掛接在財務(wù)專網(wǎng)的三臺主服務(wù)器上，通過計劃任務(wù)和陣列軟件實現(xiàn)了“重要數(shù)據(jù)每天、次要數(shù)據(jù)每周、所有數(shù)據(jù)每月”的自動備份，最大限度的保障了數(shù)據(jù)的異機安全性。

5 運行維護(hù)

專網(wǎng)建成至今仍保持零故障運行，服務(wù)器升級后運行效率大為提高，很多資源可以實現(xiàn)在線實時訪問，與上級專網(wǎng)和校園網(wǎng)真正實現(xiàn)了有線通信。由于東西校區(qū)的子LAN只有每年的9月份新生入校報到時，用其進(jìn)行集中收費，其他時段沒有業(yè)務(wù)，考慮到資源的合理配置和均衡。我們設(shè)計了手動“軟件開關(guān)”，即管理員在自己PC機上與財務(wù)核心交換機通信，直接切斷財務(wù)專網(wǎng)VLAN的對外通道，實現(xiàn)與東西校區(qū)子LAN的分離。同理，有業(yè)務(wù)需求時，運行打開命令，將財務(wù)專網(wǎng)在東西校區(qū)進(jìn)行延伸連通，該開關(guān)命令行通過記事本等軟件編寫后，存為Open.bat和Shut.bat兩個批處理文件，再經(jīng)軟件處理后形成加密的Open.exe和Shut.exe兩個可執(zhí)行軟件。測試使用發(fā)現(xiàn)，軟件防反編譯性好，操作方便；徹底解決了服務(wù)器的搬動問題，保障了數(shù)據(jù)的一致性、有效節(jié)約了數(shù)據(jù)維護(hù)成本，提高了設(shè)備維護(hù)維修效率。其中，打開命令(以H3C設(shè)備為例)核心代碼如下：

@del c: empShutport.vbs

@echo on error resume next >>c: empShutport.vbs

@echo dim WshShell>>c: empShutport.vbs

@echo Set WshShell = WScript.CreateObject("WScript.Shell")>>c: empShutport.vbs

@echo WshShell.run"cmd">>c: empShutport.vbs

@echo WshShell.AppActivate"c:windowssystem32cmd.exe">>c: empShutport.vbs

@echo WScript.Sleep 200>>c: empShutport.vbs

@echo WshShell.SendKeys"telnet 192.168.100.90">>c: empShutport.vbs

@echo WshShell.SendKeys"{ENTER}">>c: empShutport.vbs

@echo WScript.Sleep 100>>c: empShutport.vbs

@echo WshShell.AppActivate"telnet.exe ">>c: empShutport.vbs

@echo WScript.Sleep 200>>c: empShutport.vbs

@echo WshShell.SendKeys"{ENTER}">>c: empShutport.vbs

@echo WScript.Sleep 200>>c: empShutport.vbs

@echo WshShell.SendKeys"admin">>c: empShutport.vbs

@echo WshShell.SendKeys"{ENTER}">>c: empShutport.vbs

@echo WScript.Sleep 200>>c: empShutport.vbs

@echo WshShell.SendKeys"********此處是設(shè)備密碼">>c: empShutport.vbs

@echo WshShell.SendKeys"{ENTER}">>c: empShutport.vbs

@echo WScript.Sleep 200>>c: empShutport.vbs

@echo WshShell.SendKeys"sys">>c: empShutport.vbs

@echo WshShell.SendKeys"{ENTER}">>c: empShutport.vbs

@echo WScript.Sleep 10>>c: empShutport.vbs

@echo WshShell.SendKeys"int e1/0/48">>c: empShutport.vbs

@echo WshShell.SendKeys"{ENTER}">>c: empShutport.vbs

@echo WScript.Sleep 100>>c: empShutport.vbs

@echo WshShell.SendKeys"port trunk permit vlan 190">>c: empShutport.vbs

@echo WshShell.SendKeys"{ENTER}">>c: empShutport.vbs

@echo WScript.Sleep 100>>c: empShutport.vbs

@echo WshShell.SendKeys"qu">>c: empShutport.vbs

@echo WshShell.SendKeys"{ENTER}">>c: empShutport.vbs

@echo WScript.Sleep 100>>c: empShutport.vbs

@echo WshShell.SendKeys"qu">>c: empShutport.vbs

@echo WshShell.SendKeys"{ENTER}">>c: empShutport.vbs

@echo WScript.Sleep 100>>c: empShutport.vbs

@echo WshShell.SendKeys"quit">>c: empShutport.vbs

@echo WshShell.SendKeys"{ENTER}">>c: empShutport.vbs

@echo WScript.Sleep 100>>c: empShutport.vbs

@call c: empShutport.vbs

關(guān)閉命令與此相反、格式相同，這里不再贅述。

6 結(jié)語

“三分技術(shù)，七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言。其原意是：網(wǎng)絡(luò)安全中的30%靠計算機系統(tǒng)信息安全設(shè)備和技術(shù)保障，70%則依靠用戶安全管理意識的提高以及管理方式的更新。所以提高管理水平，技術(shù)不是關(guān)鍵，關(guān)鍵在制度和執(zhí)行[4]。

6.1 強化網(wǎng)絡(luò)安全意識

信息化對于每一個財務(wù)人員來說都是一個新課題，強化網(wǎng)絡(luò)安全重要性宣傳，樹立正確的網(wǎng)絡(luò)安全意識，必須在每一位財務(wù)人員的思想上安裝一道堅固的“防火墻”。要對人員分層次、分級別進(jìn)行網(wǎng)絡(luò)安全知識教育和培訓(xùn)，把網(wǎng)絡(luò)安全技能納入日常工作和業(yè)務(wù)考核之中，強化認(rèn)識，共同維護(hù)財務(wù)專網(wǎng)的信息安全。

6.2 合理設(shè)置崗位權(quán)限

財務(wù)專網(wǎng)建成后，因此必須嚴(yán)格進(jìn)行崗位設(shè)置和權(quán)限分工，以保證財務(wù)工作規(guī)范有序進(jìn)行。充分利用現(xiàn)有財務(wù)軟件系統(tǒng)的功能，嚴(yán)格按內(nèi)控制度的要求對不同崗位設(shè)置不同的操作權(quán)限。由用戶自行設(shè)置密碼，要求密碼長度和復(fù)雜性達(dá)到標(biāo)準(zhǔn)，牢記口令并定期修改密碼，防止泄露賬號及密碼。權(quán)限設(shè)置的原則是“最小化和互斥性”，也就是能不給予的權(quán)限不給予，給予某個用戶權(quán)限就不要再給予其他用戶該權(quán)限[4-5]。

6.3 突出財務(wù)制度建設(shè)

構(gòu)架多校區(qū)多網(wǎng)絡(luò)并存的財務(wù)專業(yè)網(wǎng)絡(luò)，除了要在系統(tǒng)設(shè)計上充分考慮數(shù)據(jù)安全外，還須有完善的規(guī)章管理制度和嚴(yán)格的操作規(guī)程等制約機制[6]；要建立科學(xué)嚴(yán)密的財務(wù)系統(tǒng)管理制度、財務(wù)稽核工作制度、財務(wù)工作流程規(guī)范等；要加強人員管理，落實崗位職責(zé)，嚴(yán)格遵守操作規(guī)范，保證系統(tǒng)的安全正常運轉(zhuǎn)。

總之，基于DP2OM模型的財務(wù)專網(wǎng)建設(shè)方案，經(jīng)過實踐證明是成功的，其有效提高了財務(wù)部門的工作效率，而且徹底消除了數(shù)據(jù)冗余、實現(xiàn)了數(shù)據(jù)的自動備份存儲、極大地保障了數(shù)據(jù)的安全運行。許多Web業(yè)務(wù)順利開放，與財政專網(wǎng)和銀行實現(xiàn)了遠(yuǎn)程數(shù)據(jù)接口對接，從根本上提升了財務(wù)網(wǎng)絡(luò)化、信息化服務(wù)水平。

[參考文獻(xiàn)]

[1] 胡昀.淺析高校財務(wù)管理的網(wǎng)絡(luò)化[J].齊魯師范學(xué)院學(xué)報，2011,26(4):32-34.

[2] 崔成.高校財務(wù)網(wǎng)絡(luò)管理存在的安全問題及對策[J].石家莊職業(yè)技術(shù)學(xué)院學(xué)報，2011,23(4):78-79.

[3] 蔣國其.基于網(wǎng)絡(luò)環(huán)境下高校財務(wù)的安全防范研究[J].中國科技信息，2011，20:80.

[4] 樊愛玲.高校財務(wù)網(wǎng)絡(luò)化后的風(fēng)險與安全對策[J].太原城市職業(yè)技術(shù)學(xué)院學(xué)報，2011(10):91-92.

[5] 陳東.多校區(qū)多網(wǎng)絡(luò)并存的高校財務(wù)網(wǎng)絡(luò)架構(gòu)探討[J].會計之友，2011(6):53-54.

[6] 蔣溢君，惠歆虹.基于網(wǎng)絡(luò)的高校財務(wù)安全策略[J].財會通訊，2011(5):131-132.