鄭陽平

（承德石油高等?？茖W校計算機與信息工程系，承德067000）

中小型企業(yè)網絡財務安全性研究

鄭陽平

（承德石油高等?？茖W校計算機與信息工程系，承德067000）

從中小型企業(yè)的實際情況出發(fā)，通過對財務網絡和網絡財務的特征分析，應用基于IPSec VPN技術與防火墻技術研究出價格低廉、經濟、安全性和配置簡單容易的解決方案，構建安全可靠的財務網絡，使得網絡財務數據信息能夠在Internet上安全可靠的傳輸與共享。該方案將在中小型企業(yè)網絡財務中發(fā)揮巨大作用。

中小型企業(yè)財務網絡；網絡財務；虛擬專用網；安全性

1 引 言

在信息時代及電子商務迅速發(fā)展下，網絡財務已步入了企業(yè)殿堂，以其實時、快捷、經濟和嶄新的特點和新穎的功能應用于廣大企業(yè)中，取代了傳統(tǒng)桌面式的財務活動。原來封閉的財務網絡也被悄然推上了Internet世界。新的網絡財務及網絡經濟，不但給網絡財務帶來信息一體化與實時管理化，同時也給企業(yè)網帶來了信息安全隱患，尤其是當財務網絡連入Extranet，并且跨越Internet實時網絡財務活動時，網絡財務數據信息面臨的安全威脅就越來越大。

2 財務網絡與網絡財務

財務網絡是計算機網絡中安全性與可靠性要求非常高的特殊子網絡，是安全性要求極高的物理存在的子網絡，是企業(yè)網中必不可少的組成部分，對企業(yè)發(fā)展具有不可估量的作用。該網絡中傳輸與處理的都是重要的財務數據信息，需要高度的保密性、完整性、可靠性和可用性。

網絡財務是以計算機網絡技術和管理技術為載體，隨著電子商務的發(fā)展，提供Internet環(huán)境下新的財務管理模式和財務工作方式，主要實施財務分析、核算、控制、決策和監(jiān)控等現代化財務管理新模式，最終實現財務管理數字化、信息化和網絡化。網絡財務不僅具有事前預測計劃、事中控制的功能，還具有事后核算及分析功能。還可進行成本預算、預測、計劃、核算、分析、控制及決策等功能?；谪攧站W絡的網絡財務新工作模式的實施，可全面提升企業(yè)競爭力和經濟效益，但在財務網絡中進行網絡財務活動的過程中，尤其是跨越Internet復雜的網絡環(huán)境時，安全防護顯得尤為重要。所以，在復雜的網絡環(huán)境下，解決中小型企業(yè)的網絡財務數據信息安全傳輸和共享顯得尤為重要。需要解決的安全問題主要有：①網絡財務數據信息的完整性和可用性。財務數據信息是企業(yè)的生命，在網絡傳輸過程中，防止數據信息泄露與損失。②網絡財務數據信息的真實性。財務數據信息是企業(yè)的重大商業(yè)機密，必須防止惡意篡改或非法截取及泄露。③網絡財務數據信息保密性。應用現有成熟的數據加密技術，對財務數據信息進行加密，防止非法解密破解。

3 中小型企業(yè)網絡及財務網絡信息共享現狀

據調查，中小型企業(yè)用戶占我國企業(yè)主體比重的70%以上，由于資金不足、技術有限等方面的原因，中小企業(yè)的網絡安全問題一直隱患重重。即使中小型網絡上只連接幾臺計算機構成小型網絡，也需要考慮像這樣小網絡的安全防護問題。絕不能因為中小型企業(yè)的規(guī)模小、資金缺乏和技術有限等問題，就單純地認為企業(yè)網絡的安全體系就可以簡單化或直接省略。當前，中小型企業(yè)網絡安全問題日趨嚴峻，存在的問題主要有：①中小型企業(yè)的網絡系統(tǒng)相對簡單、投資小，為了追求企業(yè)效益，安全防護幾乎常常被忽視。②有些中小型企業(yè)對網絡信息安全心存僥幸，殊不知，安全威脅無處不在，安全攻擊目標沒有特定性，而且越來越隱蔽，如不提前預防與防護，一旦被攻擊，重要數據丟失、損壞或者被惡意篡改，信息傳輸中斷，經濟損失嚴重等等，無疑將給企業(yè)經濟帶來巨大的損失。所以，要做到防患于未然。③有些中小型企業(yè)沒有專業(yè)的網絡管理員或者網絡技術人員，或者雖有技術人員，但身兼數職，而且技術水平有限，這使中小企業(yè)的網絡在安全性方面存在嚴重漏洞和安全隱患。與大型企業(yè)、行業(yè)用戶相比，中小型企業(yè)網絡更容易受到網絡安全的攻擊和信息泄露，企業(yè)的各項損失同樣慘重。④中小型企業(yè)安全解決方案甚少。大型企業(yè)和銀行、證券、電信、政府等行業(yè)的安全解決方案價格較高。而中小型企業(yè)分布廣，資金缺乏，技術力量有限，中小企業(yè)的安全問題似乎一直沒有得到安全廠商的足夠重視。市場上的安全產品種類繁多，防火墻、信息加密、入侵檢測、安全認證、核心防護無不囊括其中，但從其應用范圍來看，這些方案大多數面向銀行、證券、電信、政府等行業(yè)用戶和大型企業(yè)用戶，針對中小企業(yè)的廉價、安全和配置簡單容易的解決方案還是很少，有的也是功能單一，安全性不是很高，不能根據中小企業(yè)實際需求提出信息安全防護體系。而中小型網絡中為了企業(yè)經濟快速發(fā)展做出預測和決策的財務網絡是必不可少的，它對信息安全的要求就更高，這些財務數據信息是企業(yè)的生命線和商業(yè)機密，一定要保證其安全性、可用性和完整性，防止網絡財務數據信息泄露、損失、丟失、破壞或者被惡意篡改等問題的發(fā)生。⑤財務網絡是一個信息孤島，考慮到信息安全的問題，一般采用部門財務網絡與企業(yè)網或者Internet物理斷開，網絡數據傳輸和共享，只能使用優(yōu)盤拷貝等傳統(tǒng)的方式手工進行。這樣不能完全發(fā)揮網絡財務數據信息的實時性、快捷、經濟和嶄新的應用優(yōu)勢，失去了網絡互連和數據通信的意義。導致基于財務網絡的網絡財務活動效率不高，給中小型企業(yè)的財務管理模式、財務數據信息分析及后期決策帶來不利影響，影響企業(yè)的進一步發(fā)展。

4 基于中小型企業(yè)財務網絡的網絡財務廉價安全解決方案

從中小型企業(yè)的實際情況出發(fā)，研究出跨越Internet，比較廉價，經濟，安全，配置簡單容易的基于中小型企業(yè)實現財務網絡之間網絡財務活動的解決方案。通過基于IPSec的VPN技術與防火墻技術來保護網絡財務數據信息安全可靠傳輸或財務數據信息共享?；贗PSec的VPN技術和防火墻技術的安全性解決方案連接如圖1所示。

圖1 安全方案連接示意圖

圖1中堡壘主機可以是高性能計算機或者簡單的服務器，堡壘主機安裝1000Mbps高性能的網卡2塊：ethernet0和ethernet1。ethernet0連接內部財務網絡，內部網卡連接所要保護的財務網絡；ethernet1連接外部網絡，外部網卡ethernet1可以通過直接或間接連接局域網的路由器，這樣路由器可以對進出外部網口的數據包進行安全加密。堡壘主機既可以是應用網關服務器又可以是VPN服務器，可以安裝Windows服務器版操作系統(tǒng)，如Windows 2003 server，并且安裝VPN配置軟件，如Injoy firewall（是一個功能強大，資源占用極小的防火墻軟件）軟件的Injoy IPSec模塊來實現VPN功能。在需要進行VPN連接的服務器端和各個客戶端的網關主機上都安裝該軟件，并將該軟件的防火墻接口綁定在外部網絡網卡ethernet1上，然后進行配置。堡壘主機工作于財務網絡的邊緣，服務于外部網絡和內部財務網絡。該堡壘主機容多種功能于一體，既完成對訪問財務網絡數據信息用戶的身份鑒別與認證，又具有數據包過濾及防火墻功能?；贗PSec VPN技術確保數據的安全可靠，完整性檢查，認證鑒別身份與加密功能。防火墻技術，對財務網絡內的用戶進行管理，配置合適的訪問控制規(guī)則及權限，屏蔽內部財務網絡等，以提高財務網絡的安全性。

4.1 基于IPSec VPN服務，保證網絡財務數據信息安全傳輸及安全共享

4.1.1 VPN技術

VPN是虛擬專用網，是采用隧道技術、身份認證及加密等方法，在公眾網絡上構建專用網絡的技術，數據通過“安全虛擬隧道”穿越公網實現數據的安全傳輸。它實現了內部財務網絡在公眾信息網Internet上安全保密的傳輸，就如同在廣域網中為企業(yè)用戶專門拉一條專線，公眾網絡Internet起到“虛擬專用”的效果。

4.1.2 基于IPSec VPN技術

它解決了Internet所面臨的不安全因素的威脅，實現在公網上建立專有網絡的技術，在不信任的公網上建立安全“虛擬隧道”進行數據信息安全傳輸。IPSec協(xié)議工作于OSI參考模型的網絡層，提供了三種安全機制：加密、認證和數據信息完整性檢查。VPN需要的成本較低，提供遠程訪問，具有擴展性強，便于管理等優(yōu)勢，是企業(yè)網絡外聯擴展的發(fā)展趨勢。二者結合在一起采用4種安全機制：安全隧道技術、身份認證、加密解密技術、密鑰交換技術，來保證傳輸財務數據信息的保密性、安全性、完整性和可用性。

（1）安全隧道技術是在公網Internet中建立一條數據安全“虛擬隧道”，將待傳財務數據信息經過加密和協(xié)議封裝處理后，在嵌套裝入另外一種協(xié)議的數據包中，發(fā)送到Internet的安全“虛擬隧道”中，保證財務數據信息安全、透明的傳輸。IPSec是一種安全隧道協(xié)議，定義了一個系統(tǒng)來提供安全算法、安全協(xié)議選擇、服務密鑰交換等服務，從而在網絡層即IP層提供安全保障。使用IPSec傳輸模式提供服務器端到客戶端、服務器端到服務器端與客戶端到客戶端之間端到端的安全。使用IPSec協(xié)議中的ESP子協(xié)議和AH子協(xié)議保護IP數據報頭與IP數據報不被攻擊者入侵，在兩個或多個財務子網絡之間建立一個安全“虛擬隧道”用于財務數據信息的安全通信。企業(yè)遠程用戶，通過IPSec安全策略的配置及實施實現用戶對財務網絡中財務數據信息保護的作用。IPSec安全策略包括什么時候對AH和ESP保護，保護什么樣的通信，什么時候進行密鑰協(xié)商及交換，什么時候協(xié)商保護的強度。只有經過VPN服務器認證的用戶，才能與VPN服務器建立安全“虛擬隧道”。通過IPSec認證和密鑰交換機制確保網絡財務數據信息傳輸的安全性及重要數據信息共享。配置如下：①配置總部財務網絡及分支機構財務網絡的IP地址；②在VPN服務器端（總部）進行隧道配置，包括本地端點設置（本地網絡地址），遠程端點設置（0.0.0.0／0表示所有網絡）和VPN策略設置（傳輸模式為“Tunnel隧道模式”）；③在VPN客戶端進行隧道配置，包括本地端點配置（本地網絡地址），遠程端點配置（總部網絡地址）和VPN策略配置。

（2）用戶認證及訪問控制技術。對用戶身份進行驗證，是發(fā)生在安全“虛擬隧道”建立之前，以便系統(tǒng)的實時用戶授權或資源訪問控制，提供安全防護措施，有抵抗黑客通過VPN通道竊取企業(yè)財務網絡數據信息的能力，并可對VPN通道進行訪問控制。用戶的訪問控制，由網絡管理員授權，以便確定可以訪問哪些財務數據信息，實現基于用戶的“細粒度”訪問控制。每一通信主機必須是經過授權的，有抵抗IP地址冒認領的能力。配置如下：①設置服務器認證方式；②配置客戶端認證方式；③在VPN服務器端軟件中配置分支機構用戶身份信息，包括用戶名和密碼。

（3）加密解密技術。保證 “虛擬隧道”的保密性，提供強有力的保密和加密手段，抵抗黑客篡改和捕獲網絡財務數據信息的能力，同時防止黑客破解捕獲或攔截到“安全隧道”中的網絡財務數據信息。配置加密算法，如AES，DES，3DES3等。

（4）密鑰交換技術。建立密鑰中心管理服務器，防止密鑰在公網Internet上傳輸而不被竊取，防止數據重演。配置服務器端及客戶端共享密鑰等。

4.2 防火墻技術，確保授權用戶訪問網絡財務數據信息及信息安全共享

為了使基于IPSec的VPN平臺更加安全可靠，還需要對防火墻功能模塊進行適當的配置。防火墻是財務網絡和外部網絡連接的橋梁，阻斷了內部網絡與外部網絡的直接通信，保證內部網絡拓撲結構等重要信息不會被泄露。防火墻技術不但可以隱藏財務網絡拓撲結構及內部IP地址，而且基于應用層的過濾規(guī)則容易配置與調試，具有高效性和易擴展性?？梢詮膽脤拥骄W絡層不同層次上起到保護財務網絡的作用。根據財務網絡的需要，配置合適的安全策略。當安全檢測時，就會根據安全策略，分析數據包的相關信息，如IP數據報，TCP端口號等，以決定數據包是拒絕還是通過，控制進出財務網絡的數據信息。還可以啟動其他配置，如配置安全訪問策略，日志監(jiān)控和病毒檢測等功能，進一步增強安全性。

5 方案分析

該方案節(jié)省成本、配置簡單、安全穩(wěn)定，是一個為中小型企業(yè)財務網絡數據傳輸保駕護航的不錯的經濟和實用性方案，給中小型企業(yè)網絡帶來了良好的經濟效益和管理效益。該“軟”方案充分利用VPN的專用與公用優(yōu)點，在公用網中開辟安全“虛擬隧道”，通過基于IPSec VPN技術與應用網關防火墻等多種技術多層次保護網絡財務數據信息。由于服務器是財務網絡與公網Internet的惟一關卡，安全配置容易實施。如出現安全威脅，便于隔離網絡，安全管理靈活。但也存在一些風險。主要有：服務器故障會導致網絡連接失?。挥绍浖崿F數據加密、包過濾等功能，一定程度上會導致通信效率下降。另外，還需完善財務管理制度，注重提升內部網絡財會人員素質，防止社會學的攻擊。

6 結束語

利用該方案可跨越Internet構建安全可靠的財務網絡，發(fā)揮網絡財務的優(yōu)勢，促進中小型企業(yè)的經濟飛速發(fā)展。通過該方案可充分利用Internet將遍布全球的分支機構連接起來，建立企業(yè)全球財務信息網絡，促使網絡財務數字化、信息一體化、實時管理化，促進網絡財務的發(fā)展，推進企業(yè)在全球領域的快速發(fā)展，也必將是企業(yè)應對全球市場競爭的一種方式。

［1］郝春雷，鄭陽平.中小型企業(yè)敏感分支網絡安全解決方案［J］.商業(yè)時代，2007（21）：45.

［2］王勇.VPN安全網關實現技術研究［J］.微處理機，2008（1）：46-48.

［3］李淑梅.中小企業(yè)基于IPSec VPN的網絡構建［J］.現代計算機（專業(yè)版），2011（9）：99-101.

［4］張定祥.集散式中小型企業(yè)遠程數據安全傳輸解決方案［J］.信息安全與技術，2012（5）：104-105，110.

Research on Security of Network Financial of Small and Medium Sized Enterprises

ZHENG Yang-ping
（Department of Computer and Information Engineering，Chengde Petroleum College，Chengde 067000，China）

By analyzing the characters of finance network and network finance，the paper provides a cheap，safe and simple method based on the fact of small and medium sized enterprises and the technology of VPN ground on IPSec and FireWall to set up safe and reliable finance network.Itmakes the information of finance to transmit and share safely.The method will play an important role in the network finance of small and medium sized enterprises.

The finance network of small and medium sized enterprise；Network finance；VPN；Security

10.3969／j.issn.1002-2279.2014.01.009

TP393.1

：A

：1002-2279（2014）01-0029-03

鄭陽平（1979-），男，陜西洛川人，講師，網絡應用教研室主任，高級技師，主研方向：計算機網絡和網絡安全教學與研究。

2013-08-12