高校财务系统安全解决方案探讨

2021-04-20 14:38王东周建平
网络安全技术与应用 2021年3期
关键词:数据库系统系统安全堡垒

◆王东 周建平

高校财务系统安全解决方案探讨

◆王东 周建平

(重庆科技学院信息化办公室 重庆 401331)

本文介绍高校财务系统安全的解决方案,该方案经济实惠且安全可靠,对高校财务系统安全建设具有一定的借鉴参考意义。

财务系统、安全解决方案、经济实惠、安全可靠

高校校园网发展大致经历三个阶段,分别是数字校园、智慧校园、智能校园。在每个发展阶段,各种应用系统(如财务系统、教务管理系统人事系统、办公系统)的安全建设都贯穿始终,特别是财务系统的安全建设更为各高校重视。笔者参加了学校财务系统安全设计方案调研工作,在调研市内兄弟院校财务解决方案基础上,结合学校自身实际,提出我校财务系统安全解决方案,该方案经济实惠且安全可靠。

1 高校财务系统组成

高校财务系统包括:统一支付平台、收入申报、单点登录、中行银校前置、预算管理、财务信息查询、财政收费前置,账务管理核心库、博思电子票据、微信平台、网上预约报账等系统。

2 网络安全解决方案

财务系统网络安全解决方案由网络拓扑设计、业务系统VLAN、IP规划和安全策略设计三部分组成。

2.1 网络拓扑设计

高校财务系统的各子系统部署在校园“内网”的数据中心,数据中心前端部署UTM防火墙,使数据中心与内网隔离,校园网边界部署防火墙,使校园网与外网隔离。为了与中银e校园对接,银行专线接入校园内网。同时为满足远程管理财务各子系统的需要,校园内网部署硬件专业VPN系统、“堡垒机”系统。见拓扑图1。

图1 高校财务系统解决方案拓扑图

3 安全策略设计

(1)财务管理核心数据库系统:财务管理核心数据库是财务数据生产的原始、权威数据库,其安全的重要性不言而喻,在设计安全访问策略时,专门为运行财务核心数据库的服务器划分单独专用网段,同时在数据中心的防火墙上开启PPTPvpn功能(见图1),创建VPN账号。只有拥有VPN账号的财务处工作人员,才能具有访问财务数据库系统的权限。财务工作人员访问数据库系统时,事先要在做账机器上创建PPTP连接,然后通过校园网登录认证上网,最后连接防火墙上已开启的VPN服务。VPN连接成功后,工作人员就能使用财务系统的客户端访问数据库系统。而且在VPN连接成功时,财务工作人员的机器自动断开互联网访问。这样,从技术层面实现了财务工作人员在上班期间只能专注做账工作,不能同时做访问互联网的工作,确保了做账工作的专注性。如果财务工作人员需要访问互联网,必须手动断开机器已连接的VPN连接,一旦VPN连接断开,做账工作就自动终止,这样最大限度地阻止了来自互联网对数据库系统的攻击。因为缺省的pptp VPN路由(跳点数为36)优先于正常互联网缺省路由(跳点数 4260),如图2所示。

图2 做账机器连接VPN成功后的路由表

(2)硬件专业VPN系统、“堡垒机”系统、防火墙安全设备之间相互配合,统一学校财务系统远程管理入口,最大限度保护财务系统的安全。首先,在硬件专业VPN系统中发布财务系统资源和“堡垒机”资源,并只授权财务工作人员才有权限访问财务系统资源,然后在防火墙上设置访问规则,只允许“堡垒机”系统才能访问财务系统的远程服务。在外网,如果财务系统的管理人员需要远程管理财务系统,首先管理人员用事先在VPN系统中创建的VPN账号登录VPN系统,获得访问财务系统资源和“堡垒机”权限,然后管理人员再通过“堡垒机”账号登录堡垒机,最后通过“堡垒机”访问管理财务系统。在内网,如果财务管理人员需要远程管理财务系统,也必须通过登录“堡垒机”后才能管理财务系统。

(3)银行专线接入学校数据中心,通过设置access-list访问控制列表,限制校园网内只有财务系统相应的服务器才能访问银行提供的对接系统,这样就保证了银行对接系统的安全。

(4)如果在校外教职员工需要访问查询自己的工资以及科研经费使用情况,可以通过登录VPN系统进入校园内网来访问财务查询子系统,这样随时随地地满足教职工查询、了解科研经费使用情况,助力学校科研管理上台阶。

3 结语

在本文介绍的安全解决方案指导下,学校财务系统运行安全可靠。实践证明,该方案经济实惠且可靠地解决高校财务系统运行的安全性,对高校财务系统安全性的建设具有一定的借鉴参考意义。

[1]李化江.高校财务管理信息系统网络安全解决方案[J].会计之友(中旬刊),2008(01):49-50.

[2]周明亮.高等学校财务系统安全防护研究[J].辽宁行政学院学报,2016(10):45-47.

[3]张鹏,陈帆,韩索民.高校财务信息系统安全防护体系建设研究[J].经济研究导刊,2015(25):103-104.

[4]李心. 高校财务信息系统安全防护体系的设计与实现[D].中南大学,2013.

猜你喜欢
数据库系统系统安全堡垒
开心堡垒2
新型电力系统安全稳定运行分析
开心堡垒
开心堡垒
最后的堡垒T-84
铁路信号集中监测系统安全隔离机制研究
铁路信号系统安全输入输出平台
Oracle数据库系统的性能优化研究
微细铣削工艺数据库系统设计与开发
江苏省ETC数据库系统改造升级方案探讨