高校財務系統安全解決方案探討

◆王東 周建平

高校財務系統安全解決方案探討

◆王東 周建平

（重慶科技學院信息化辦公室 重慶 401331）

本文介紹高校財務系統安全的解決方案，該方案經濟實惠且安全可靠，對高校財務系統安全建設具有一定的借鑒參考意義。

財務系統、安全解決方案、經濟實惠、安全可靠

高校校園網發展大致經歷三個階段，分別是數字校園、智慧校園、智能校園。在每個發展階段，各種應用系統（如財務系統、教務管理系統人事系統、辦公系統）的安全建設都貫穿始終，特別是財務系統的安全建設更為各高校重視。筆者參加了學校財務系統安全設計方案調研工作，在調研市內兄弟院校財務解決方案基礎上，結合學校自身實際，提出我校財務系統安全解決方案，該方案經濟實惠且安全可靠。

1 高校財務系統組成

高校財務系統包括：統一支付平臺、收入申報、單點登錄、中行銀校前置、預算管理、財務信息查詢、財政收費前置，賬務管理核心庫、博思電子票據、微信平臺、網上預約報賬等系統。

2 網絡安全解決方案

財務系統網絡安全解決方案由網絡拓撲設計、業務系統VLAN、IP規劃和安全策略設計三部分組成。

2.1 網絡拓撲設計

高校財務系統的各子系統部署在校園“內網”的數據中心，數據中心前端部署UTM防火墻，使數據中心與內網隔離，校園網邊界部署防火墻，使校園網與外網隔離。為了與中銀e校園對接，銀行專線接入校園內網。同時為滿足遠程管理財務各子系統的需要，校園內網部署硬件專業VPN系統、“堡壘機”系統。見拓撲圖1。

圖1 高校財務系統解決方案拓撲圖

3 安全策略設計

（1）財務管理核心數據庫系統：財務管理核心數據庫是財務數據生產的原始、權威數據庫，其安全的重要性不言而喻，在設計安全訪問策略時，專門為運行財務核心數據庫的服務器劃分單獨專用網段，同時在數據中心的防火墻上開啟PPTPvpn功能（見圖1），創建VPN賬號。只有擁有VPN賬號的財務處工作人員，才能具有訪問財務數據庫系統的權限。財務工作人員訪問數據庫系統時，事先要在做賬機器上創建PPTP連接，然后通過校園網登錄認證上網，最后連接防火墻上已開啟的VPN服務。VPN連接成功后，工作人員就能使用財務系統的客戶端訪問數據庫系統。而且在VPN連接成功時，財務工作人員的機器自動斷開互聯網訪問。這樣，從技術層面實現了財務工作人員在上班期間只能專注做賬工作，不能同時做訪問互聯網的工作，確保了做賬工作的專注性。如果財務工作人員需要訪問互聯網，必須手動斷開機器已連接的VPN連接，一旦VPN連接斷開，做賬工作就自動終止，這樣最大限度地阻止了來自互聯網對數據庫系統的攻擊。因為缺省的pptp VPN路由（跳點數為36）優先于正常互聯網缺省路由（跳點數 4260），如圖2所示。

圖2 做賬機器連接VPN成功后的路由表

（2）硬件專業VPN系統、“堡壘機”系統、防火墻安全設備之間相互配合，統一學校財務系統遠程管理入口，最大限度保護財務系統的安全。首先，在硬件專業VPN系統中發布財務系統資源和“堡壘機”資源，并只授權財務工作人員才有權限訪問財務系統資源，然后在防火墻上設置訪問規則，只允許“堡壘機”系統才能訪問財務系統的遠程服務。在外網，如果財務系統的管理人員需要遠程管理財務系統，首先管理人員用事先在VPN系統中創建的VPN賬號登錄VPN系統，獲得訪問財務系統資源和“堡壘機”權限，然后管理人員再通過“堡壘機”賬號登錄堡壘機，最后通過“堡壘機”訪問管理財務系統。在內網，如果財務管理人員需要遠程管理財務系統，也必須通過登錄“堡壘機”后才能管理財務系統。

（3）銀行專線接入學校數據中心，通過設置access-list訪問控制列表，限制校園網內只有財務系統相應的服務器才能訪問銀行提供的對接系統，這樣就保證了銀行對接系統的安全。

（4）如果在校外教職員工需要訪問查詢自己的工資以及科研經費使用情況，可以通過登錄VPN系統進入校園內網來訪問財務查詢子系統，這樣隨時隨地地滿足教職工查詢、了解科研經費使用情況，助力學校科研管理上臺階。

3 結語

在本文介紹的安全解決方案指導下，學校財務系統運行安全可靠。實踐證明，該方案經濟實惠且可靠地解決高校財務系統運行的安全性，對高校財務系統安全性的建設具有一定的借鑒參考意義。

[1]李化江.高校財務管理信息系統網絡安全解決方案[J].會計之友（中旬刊），2008（01）：49-50.

[2]周明亮.高等學校財務系統安全防護研究[J].遼寧行政學院學報，2016（10）：45-47.

[3]張鵬，陳帆，韓索民.高校財務信息系統安全防護體系建設研究[J].經濟研究導刊，2015（25）：103-104.

[4]李心. 高校財務信息系統安全防護體系的設計與實現[D].中南大學，2013.