基于DP2OM模型财务专网的构建与实现

2012-09-25 03:11周立民王庆岭张丽景

大庆师范学院学报 2012年6期

周立民，王庆岭，张丽景

(兰州石化职业技术学院计算机系，甘肃兰州 730060)

0 引言

随着计算机网络技术的迅猛发展和数字化校园的建设与普及，高校财务管理工作的方式、方法也随之发生了革命性的变化[1-2]。高校财务工作从过去计划预算、学生上门缴费、职工报销等常规操作，逐渐增加了财政网络支付、银行代扣、在线付款、在线对账、工资查询和津贴发放等网络功能。将网络技术与财务工作结合在一起，实现数据和资源共享，财务工作变得更快捷、准确和规范，能有效提高工作效率。但网络的开放性在许多因素的影响下又成了整个系统的一大安全隐患。因此，安全可靠财务专网的构建成了信息时代的焦点课题。

1 建设背景

目前，兰州石化职业技术学院财务网络功能单一，效率低。全网只用一台二层交换机将设备进行了简单的互联，构成了部门局域网，没有和校园网链接，更不可能进行互联网访问。因此，只能进行常规现场收费、计划、报销等业务，有时候财务处会出现人满为患的景象，工作效率不高；另外，财务机房内网络设备陈旧、服务器配置较低，数据存储、备份和更新的安全隐患大。机房内只有三台塔式服务器，均购置于2002年左右，是财务数据的核心设备，但随着每年数据量的不断增加，在运行过程中暴露出了很多问题，如：所有的服务器均配置硬盘一块，没有实现数据冗余备份，其中有一台甚至连USB接口都没有，数据导出十分困难。而每年新生报到时，机房内的两台收费服务器还需要搬到收费现场，在东西校区临时组建两个现场星型局域网，进行新生报到收费。然后将两台收费服务器数据用移动介质拷贝，实行人工汇总、进行同步。这样一来，一方面数据汇总量大，人工汇总会出现数据冗余和错误，造成数据不一致；另一方面如果杀毒处理不及时，移动存储介质极易使服务器感染病毒，造成意想不到的后果，而且服务器的频繁关停和移动本身也会降低其使用寿命。

所以，针对诸多财务网络的安全问题以及教职工日益增长的实际需求(如工资查询、公积金查询、科研账务查询、缴费查询等)，为进一步提高财务工作效率，保障数据的安全性，加快财务专网的信息化和数字化进程，结合实际，我们提出了基于校园网DP2OM安全模型重构财务专网的解决方案。

2 DP2OM模型

伴随高校数字化校园建设的深入，校园网的信息化、网络化的功能不断增强，校园网正在成为现代化校园的亮点。但由于网络系统的开放性和自身的脆弱性，加之各种利益对人的驱动，校园网所面临的攻击也在逐年增加，特别是互联网上的网页木马、伪装欺骗、系统漏洞、拒绝服务、计算机病毒等给校园网带来了巨大的威胁。因此信息安全已经成为各级主管部门和网络管理人员必须重视的问题。2009年学院投资进行了校园网基础设施改造，通过多方论证，我们提出了DP2OM的校园网运维模型，即利用学院现有的网络硬件条件，结合软件平台，贯穿工程化管理思想，形成全过程关注的观念，构建一套集设计安全(Design)、策略安全(Policy)、防护安全(Protection)和运维安全(Operation and Maintenance)为一体的DP2OM校园网安防体系，如图1所示。

图1 DP2OM体系

DP2OM网络安防体系的研究内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于方案设计合情合理、设备配置完善、防范攻击与入侵、策略制定和下发，做好安全防护；管理方面则侧重于人员管理和培训、流程制定与执行、应急事件响应和处理、体系更新和维护等。通过全面的考虑和实践，DP2OM最终实现一个安全性高、可靠性强、性能稳定、响应快速的校园网安全保障体系。在两年多实践和运行中，不断地进行体系更新和维护，最大限度地使校园网为教育教学服务，从而实现其自身的实效性和先进性。财务专网的构建依托校园网，完全采用此模型，从设计、实施到运行做到安全、高效、可靠。

3 设计方案

学院现有东西两个校区，相距1.5公里。在校园网改造的基础上，我们采取了“1+2架构”重新组建财务专网。即利用校园网基础平台，构建以财务部门级核心LAN(Local Area Network，局域网)为主，东西两个校区新生报道收费子LAN为延伸的虚拟专用财务网络，拓扑如图2所示。

图2 财务专网拓扑

网络设计实现如下目标：

1) 部门LAN合理规划资源，把有限资源最大化发挥作用。

2) 部署学院财务数据专用磁盘阵列。

3) 核心数据服务器无需搬动，实现新生报到收费客户端与服务器安全通信，数据一致，有线无线一体化。

4) 实现所有服务器Raid1级备份。

5) 设置代理服务器实现财务网与校园网的互通，Web资源开放查询。

6) 设置防火墙与上级部委专网的链接，实现财政专网直通，完成银行代扣、财政审核等具体业务。

4 技术策略

4.1 用VLAN构建专网

借助VLAN(Virtual Local Area Network，虚拟局域网)技术，将校园网东西区不同地点、不同类型的网络设备根据端口组合在一起，使得三处LAN逻辑上构成了财务专用的虚拟网络环境。这样构建的财务专网具有很强的安全性，因为，校园网不同VLAN之间网络报文相互隔离，财务专网与校园网其他VLAN之间不会直接通信，所以财务敏感数据在校园网的传输是安全的；另外，使用VLAN保证了财务专网不受广播风暴的影响，VLAN可以提供建立防火墙的机制，防止交换网络的过量广播，因为，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。因此，技术配置过程中，财务专网命名VLAN200，划分固定端口，依次透传校园网核心交换机、两个汇聚交换机和四台接入设备，将“1+2模式”的三个本地LAN逻辑上划分在了一起。

4.2 用ACL保障内部安全

ACL(Access Control List)是实际网络环境中策略配置里经常用到的安全控制技术。它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。标准ACL已经在校园网出口控制上得到应用，有效的部署了校园网络出网策略。但财务专网资源不是完全与校园网隔离，部分资源需要开放访问、敏感数据需要开放给特殊权限用户使用，如：教职工要能通过校园网查询工资、公积金、科研费、学费等余额或缴费信息；院领导、财务长要能够直接访问核心服务器资源；财政专网与校园网不能互通信息等。根据这些具体的要求，我们采用标准IP访问控制列表，完全实现了财务专网内部资源的特殊访问，防止黑客攻击，进而保障这些资源的内网安全性。

4.3 防火墙和杀毒软件抵御外侵

非法入侵同样会带来灾难性的后果，在财务内网前端架设硬件防火墙(Firewall)，是为明智之举。它对跨越网络边界的信息进行过滤，目的在于防止外部非法用户访问[3]。同时对各层的数据进行主动的、实时的监测，有效地判断出各层中的非法侵入，为数据传输设置了一道电子屏障。另外，计算机病毒同样会对网络正常运行及数据安全产生严重威胁，为此，我们引入趋势科技，建立了完善的云安全防病毒体系，服务器和工作站都在线安装正版杀毒软件客户端，启动实时监控系统。严格执行防病毒措施，禁止在工作机上安装无关软件，U 盘等存储介质等使用前须通过计算机病毒检测。定期升级病毒库和查杀病毒，杜绝使用盗版软件。

4.4 磁盘阵列实现自动备份

为了实现数据的最大安全性，考虑实际，通过光纤交换机把磁盘阵列划分三个区，分别挂接在财务专网的三台主服务器上，通过计划任务和阵列软件实现了“重要数据每天、次要数据每周、所有数据每月”的自动备份，最大限度的保障了数据的异机安全性。

5 运行维护

专网建成至今仍保持零故障运行，服务器升级后运行效率大为提高，很多资源可以实现在线实时访问，与上级专网和校园网真正实现了有线通信。由于东西校区的子LAN只有每年的9月份新生入校报到时，用其进行集中收费，其他时段没有业务，考虑到资源的合理配置和均衡。我们设计了手动“软件开关”，即管理员在自己PC机上与财务核心交换机通信，直接切断财务专网VLAN的对外通道，实现与东西校区子LAN的分离。同理，有业务需求时，运行打开命令，将财务专网在东西校区进行延伸连通，该开关命令行通过记事本等软件编写后，存为Open.bat和Shut.bat两个批处理文件，再经软件处理后形成加密的Open.exe和Shut.exe两个可执行软件。测试使用发现，软件防反编译性好，操作方便；彻底解决了服务器的搬动问题，保障了数据的一致性、有效节约了数据维护成本，提高了设备维护维修效率。其中，打开命令(以H3C设备为例)核心代码如下：

@del c: empShutport.vbs

@echo on error resume next >>c: empShutport.vbs

@echo dim WshShell>>c: empShutport.vbs

@echo Set WshShell = WScript.CreateObject("WScript.Shell")>>c: empShutport.vbs

@echo WshShell.run"cmd">>c: empShutport.vbs

@echo WshShell.AppActivate"c:windowssystem32cmd.exe">>c: empShutport.vbs

@echo WScript.Sleep 200>>c: empShutport.vbs

@echo WshShell.SendKeys"telnet 192.168.100.90">>c: empShutport.vbs