高校財(cái)務(wù)系統(tǒng)安全解決方案探討

◆王東 周建平

高校財(cái)務(wù)系統(tǒng)安全解決方案探討

◆王東 周建平

（重慶科技學(xué)院信息化辦公室 重慶 401331）

本文介紹高校財(cái)務(wù)系統(tǒng)安全的解決方案，該方案經(jīng)濟(jì)實(shí)惠且安全可靠，對高校財(cái)務(wù)系統(tǒng)安全建設(shè)具有一定的借鑒參考意義。

財(cái)務(wù)系統(tǒng)、安全解決方案、經(jīng)濟(jì)實(shí)惠、安全可靠

高校校園網(wǎng)發(fā)展大致經(jīng)歷三個階段，分別是數(shù)字校園、智慧校園、智能校園。在每個發(fā)展階段，各種應(yīng)用系統(tǒng)（如財(cái)務(wù)系統(tǒng)、教務(wù)管理系統(tǒng)人事系統(tǒng)、辦公系統(tǒng)）的安全建設(shè)都貫穿始終，特別是財(cái)務(wù)系統(tǒng)的安全建設(shè)更為各高校重視。筆者參加了學(xué)校財(cái)務(wù)系統(tǒng)安全設(shè)計(jì)方案調(diào)研工作，在調(diào)研市內(nèi)兄弟院校財(cái)務(wù)解決方案基礎(chǔ)上，結(jié)合學(xué)校自身實(shí)際，提出我校財(cái)務(wù)系統(tǒng)安全解決方案，該方案經(jīng)濟(jì)實(shí)惠且安全可靠。

1 高校財(cái)務(wù)系統(tǒng)組成

高校財(cái)務(wù)系統(tǒng)包括：統(tǒng)一支付平臺、收入申報(bào)、單點(diǎn)登錄、中行銀校前置、預(yù)算管理、財(cái)務(wù)信息查詢、財(cái)政收費(fèi)前置，賬務(wù)管理核心庫、博思電子票據(jù)、微信平臺、網(wǎng)上預(yù)約報(bào)賬等系統(tǒng)。

2 網(wǎng)絡(luò)安全解決方案

財(cái)務(wù)系統(tǒng)網(wǎng)絡(luò)安全解決方案由網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)、業(yè)務(wù)系統(tǒng)VLAN、IP規(guī)劃和安全策略設(shè)計(jì)三部分組成。

2.1 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

高校財(cái)務(wù)系統(tǒng)的各子系統(tǒng)部署在校園“內(nèi)網(wǎng)”的數(shù)據(jù)中心，數(shù)據(jù)中心前端部署UTM防火墻，使數(shù)據(jù)中心與內(nèi)網(wǎng)隔離，校園網(wǎng)邊界部署防火墻，使校園網(wǎng)與外網(wǎng)隔離。為了與中銀e校園對接，銀行專線接入校園內(nèi)網(wǎng)。同時為滿足遠(yuǎn)程管理財(cái)務(wù)各子系統(tǒng)的需要，校園內(nèi)網(wǎng)部署硬件專業(yè)VPN系統(tǒng)、“堡壘機(jī)”系統(tǒng)。見拓?fù)鋱D1。

圖1 高校財(cái)務(wù)系統(tǒng)解決方案拓?fù)鋱D

3 安全策略設(shè)計(jì)

（1）財(cái)務(wù)管理核心數(shù)據(jù)庫系統(tǒng)：財(cái)務(wù)管理核心數(shù)據(jù)庫是財(cái)務(wù)數(shù)據(jù)生產(chǎn)的原始、權(quán)威數(shù)據(jù)庫，其安全的重要性不言而喻，在設(shè)計(jì)安全訪問策略時，專門為運(yùn)行財(cái)務(wù)核心數(shù)據(jù)庫的服務(wù)器劃分單獨(dú)專用網(wǎng)段，同時在數(shù)據(jù)中心的防火墻上開啟PPTPvpn功能（見圖1），創(chuàng)建VPN賬號。只有擁有VPN賬號的財(cái)務(wù)處工作人員，才能具有訪問財(cái)務(wù)數(shù)據(jù)庫系統(tǒng)的權(quán)限。財(cái)務(wù)工作人員訪問數(shù)據(jù)庫系統(tǒng)時，事先要在做賬機(jī)器上創(chuàng)建PPTP連接，然后通過校園網(wǎng)登錄認(rèn)證上網(wǎng)，最后連接防火墻上已開啟的VPN服務(wù)。VPN連接成功后，工作人員就能使用財(cái)務(wù)系統(tǒng)的客戶端訪問數(shù)據(jù)庫系統(tǒng)。而且在VPN連接成功時，財(cái)務(wù)工作人員的機(jī)器自動斷開互聯(lián)網(wǎng)訪問。這樣，從技術(shù)層面實(shí)現(xiàn)了財(cái)務(wù)工作人員在上班期間只能專注做賬工作，不能同時做訪問互聯(lián)網(wǎng)的工作，確保了做賬工作的專注性。如果財(cái)務(wù)工作人員需要訪問互聯(lián)網(wǎng)，必須手動斷開機(jī)器已連接的VPN連接，一旦VPN連接斷開，做賬工作就自動終止，這樣最大限度地阻止了來自互聯(lián)網(wǎng)對數(shù)據(jù)庫系統(tǒng)的攻擊。因?yàn)槿笔〉膒ptp VPN路由（跳點(diǎn)數(shù)為36）優(yōu)先于正?；ヂ?lián)網(wǎng)缺省路由（跳點(diǎn)數(shù) 4260），如圖2所示。

圖2 做賬機(jī)器連接VPN成功后的路由表

（2）硬件專業(yè)VPN系統(tǒng)、“堡壘機(jī)”系統(tǒng)、防火墻安全設(shè)備之間相互配合，統(tǒng)一學(xué)校財(cái)務(wù)系統(tǒng)遠(yuǎn)程管理入口，最大限度保護(hù)財(cái)務(wù)系統(tǒng)的安全。首先，在硬件專業(yè)VPN系統(tǒng)中發(fā)布財(cái)務(wù)系統(tǒng)資源和“堡壘機(jī)”資源，并只授權(quán)財(cái)務(wù)工作人員才有權(quán)限訪問財(cái)務(wù)系統(tǒng)資源，然后在防火墻上設(shè)置訪問規(guī)則，只允許“堡壘機(jī)”系統(tǒng)才能訪問財(cái)務(wù)系統(tǒng)的遠(yuǎn)程服務(wù)。在外網(wǎng)，如果財(cái)務(wù)系統(tǒng)的管理人員需要遠(yuǎn)程管理財(cái)務(wù)系統(tǒng)，首先管理人員用事先在VPN系統(tǒng)中創(chuàng)建的VPN賬號登錄VPN系統(tǒng)，獲得訪問財(cái)務(wù)系統(tǒng)資源和“堡壘機(jī)”權(quán)限，然后管理人員再通過“堡壘機(jī)”賬號登錄堡壘機(jī)，最后通過“堡壘機(jī)”訪問管理財(cái)務(wù)系統(tǒng)。在內(nèi)網(wǎng)，如果財(cái)務(wù)管理人員需要遠(yuǎn)程管理財(cái)務(wù)系統(tǒng)，也必須通過登錄“堡壘機(jī)”后才能管理財(cái)務(wù)系統(tǒng)。

（3）銀行專線接入學(xué)校數(shù)據(jù)中心，通過設(shè)置access-list訪問控制列表，限制校園網(wǎng)內(nèi)只有財(cái)務(wù)系統(tǒng)相應(yīng)的服務(wù)器才能訪問銀行提供的對接系統(tǒng)，這樣就保證了銀行對接系統(tǒng)的安全。

（4）如果在校外教職員工需要訪問查詢自己的工資以及科研經(jīng)費(fèi)使用情況，可以通過登錄VPN系統(tǒng)進(jìn)入校園內(nèi)網(wǎng)來訪問財(cái)務(wù)查詢子系統(tǒng)，這樣隨時隨地地滿足教職工查詢、了解科研經(jīng)費(fèi)使用情況，助力學(xué)校科研管理上臺階。

3 結(jié)語

在本文介紹的安全解決方案指導(dǎo)下，學(xué)校財(cái)務(wù)系統(tǒng)運(yùn)行安全可靠。實(shí)踐證明，該方案經(jīng)濟(jì)實(shí)惠且可靠地解決高校財(cái)務(wù)系統(tǒng)運(yùn)行的安全性，對高校財(cái)務(wù)系統(tǒng)安全性的建設(shè)具有一定的借鑒參考意義。

[1]李化江.高校財(cái)務(wù)管理信息系統(tǒng)網(wǎng)絡(luò)安全解決方案[J].會計(jì)之友（中旬刊），2008（01）：49-50.

[2]周明亮.高等學(xué)校財(cái)務(wù)系統(tǒng)安全防護(hù)研究[J].遼寧行政學(xué)院學(xué)報(bào)，2016（10）：45-47.

[3]張鵬，陳帆，韓索民.高校財(cái)務(wù)信息系統(tǒng)安全防護(hù)體系建設(shè)研究[J].經(jīng)濟(jì)研究導(dǎo)刊，2015（25）：103-104.

[4]李心. 高校財(cái)務(wù)信息系統(tǒng)安全防護(hù)體系的設(shè)計(jì)與實(shí)現(xiàn)[D].中南大學(xué)，2013.