基于DP2OM模型財(cái)務(wù)專(zhuān)網(wǎng)的構(gòu)建與實(shí)現(xiàn)

2012-09-25 03:11周立民王慶嶺張麗景

大慶師范學(xué)院學(xué)報(bào) 2012年6期

關(guān)鍵詞：專(zhuān)網(wǎng)校園網(wǎng)服務(wù)器

周立民，王慶嶺，張麗景

(蘭州石化職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系，甘肅蘭州 730060)

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和數(shù)字化校園的建設(shè)與普及，高校財(cái)務(wù)管理工作的方式、方法也隨之發(fā)生了革命性的變化[1-2]。高校財(cái)務(wù)工作從過(guò)去計(jì)劃預(yù)算、學(xué)生上門(mén)繳費(fèi)、職工報(bào)銷(xiāo)等常規(guī)操作，逐漸增加了財(cái)政網(wǎng)絡(luò)支付、銀行代扣、在線(xiàn)付款、在線(xiàn)對(duì)賬、工資查詢(xún)和津貼發(fā)放等網(wǎng)絡(luò)功能。將網(wǎng)絡(luò)技術(shù)與財(cái)務(wù)工作結(jié)合在一起，實(shí)現(xiàn)數(shù)據(jù)和資源共享，財(cái)務(wù)工作變得更快捷、準(zhǔn)確和規(guī)范，能有效提高工作效率。但網(wǎng)絡(luò)的開(kāi)放性在許多因素的影響下又成了整個(gè)系統(tǒng)的一大安全隱患。因此，安全可靠財(cái)務(wù)專(zhuān)網(wǎng)的構(gòu)建成了信息時(shí)代的焦點(diǎn)課題。

1 建設(shè)背景

目前，蘭州石化職業(yè)技術(shù)學(xué)院財(cái)務(wù)網(wǎng)絡(luò)功能單一，效率低。全網(wǎng)只用一臺(tái)二層交換機(jī)將設(shè)備進(jìn)行了簡(jiǎn)單的互聯(lián)，構(gòu)成了部門(mén)局域網(wǎng)，沒(méi)有和校園網(wǎng)鏈接，更不可能進(jìn)行互聯(lián)網(wǎng)訪(fǎng)問(wèn)。因此，只能進(jìn)行常規(guī)現(xiàn)場(chǎng)收費(fèi)、計(jì)劃、報(bào)銷(xiāo)等業(yè)務(wù)，有時(shí)候財(cái)務(wù)處會(huì)出現(xiàn)人滿(mǎn)為患的景象，工作效率不高；另外，財(cái)務(wù)機(jī)房?jī)?nèi)網(wǎng)絡(luò)設(shè)備陳舊、服務(wù)器配置較低，數(shù)據(jù)存儲(chǔ)、備份和更新的安全隱患大。機(jī)房?jī)?nèi)只有三臺(tái)塔式服務(wù)器，均購(gòu)置于2002年左右，是財(cái)務(wù)數(shù)據(jù)的核心設(shè)備，但隨著每年數(shù)據(jù)量的不斷增加，在運(yùn)行過(guò)程中暴露出了很多問(wèn)題，如：所有的服務(wù)器均配置硬盤(pán)一塊，沒(méi)有實(shí)現(xiàn)數(shù)據(jù)冗余備份，其中有一臺(tái)甚至連USB接口都沒(méi)有，數(shù)據(jù)導(dǎo)出十分困難。而每年新生報(bào)到時(shí)，機(jī)房?jī)?nèi)的兩臺(tái)收費(fèi)服務(wù)器還需要搬到收費(fèi)現(xiàn)場(chǎng)，在東西校區(qū)臨時(shí)組建兩個(gè)現(xiàn)場(chǎng)星型局域網(wǎng)，進(jìn)行新生報(bào)到收費(fèi)。然后將兩臺(tái)收費(fèi)服務(wù)器數(shù)據(jù)用移動(dòng)介質(zhì)拷貝，實(shí)行人工匯總、進(jìn)行同步。這樣一來(lái)，一方面數(shù)據(jù)匯總量大，人工匯總會(huì)出現(xiàn)數(shù)據(jù)冗余和錯(cuò)誤，造成數(shù)據(jù)不一致；另一方面如果殺毒處理不及時(shí)，移動(dòng)存儲(chǔ)介質(zhì)極易使服務(wù)器感染病毒，造成意想不到的后果，而且服務(wù)器的頻繁關(guān)停和移動(dòng)本身也會(huì)降低其使用壽命。

所以，針對(duì)諸多財(cái)務(wù)網(wǎng)絡(luò)的安全問(wèn)題以及教職工日益增長(zhǎng)的實(shí)際需求(如工資查詢(xún)、公積金查詢(xún)、科研賬務(wù)查詢(xún)、繳費(fèi)查詢(xún)等)，為進(jìn)一步提高財(cái)務(wù)工作效率，保障數(shù)據(jù)的安全性，加快財(cái)務(wù)專(zhuān)網(wǎng)的信息化和數(shù)字化進(jìn)程，結(jié)合實(shí)際，我們提出了基于校園網(wǎng)DP2OM安全模型重構(gòu)財(cái)務(wù)專(zhuān)網(wǎng)的解決方案。

2 DP2OM模型

伴隨高校數(shù)字化校園建設(shè)的深入，校園網(wǎng)的信息化、網(wǎng)絡(luò)化的功能不斷增強(qiáng)，校園網(wǎng)正在成為現(xiàn)代化校園的亮點(diǎn)。但由于網(wǎng)絡(luò)系統(tǒng)的開(kāi)放性和自身的脆弱性，加之各種利益對(duì)人的驅(qū)動(dòng)，校園網(wǎng)所面臨的攻擊也在逐年增加，特別是互聯(lián)網(wǎng)上的網(wǎng)頁(yè)木馬、偽裝欺騙、系統(tǒng)漏洞、拒絕服務(wù)、計(jì)算機(jī)病毒等給校園網(wǎng)帶來(lái)了巨大的威脅。因此信息安全已經(jīng)成為各級(jí)主管部門(mén)和網(wǎng)絡(luò)管理人員必須重視的問(wèn)題。2009年學(xué)院投資進(jìn)行了校園網(wǎng)基礎(chǔ)設(shè)施改造，通過(guò)多方論證，我們提出了DP2OM的校園網(wǎng)運(yùn)維模型，即利用學(xué)院現(xiàn)有的網(wǎng)絡(luò)硬件條件，結(jié)合軟件平臺(tái)，貫穿工程化管理思想，形成全過(guò)程關(guān)注的觀(guān)念，構(gòu)建一套集設(shè)計(jì)安全(Design)、策略安全(Policy)、防護(hù)安全(Protection)和運(yùn)維安全(Operation and Maintenance)為一體的DP2OM校園網(wǎng)安防體系，如圖1所示。

圖1 DP2OM體系

DP2OM網(wǎng)絡(luò)安防體系的研究?jī)?nèi)容既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于方案設(shè)計(jì)合情合理、設(shè)備配置完善、防范攻擊與入侵、策略制定和下發(fā)，做好安全防護(hù)；管理方面則側(cè)重于人員管理和培訓(xùn)、流程制定與執(zhí)行、應(yīng)急事件響應(yīng)和處理、體系更新和維護(hù)等。通過(guò)全面的考慮和實(shí)踐，DP2OM最終實(shí)現(xiàn)一個(gè)安全性高、可靠性強(qiáng)、性能穩(wěn)定、響應(yīng)快速的校園網(wǎng)安全保障體系。在兩年多實(shí)踐和運(yùn)行中，不斷地進(jìn)行體系更新和維護(hù)，最大限度地使校園網(wǎng)為教育教學(xué)服務(wù)，從而實(shí)現(xiàn)其自身的實(shí)效性和先進(jìn)性。財(cái)務(wù)專(zhuān)網(wǎng)的構(gòu)建依托校園網(wǎng)，完全采用此模型，從設(shè)計(jì)、實(shí)施到運(yùn)行做到安全、高效、可靠。

3 設(shè)計(jì)方案

學(xué)院現(xiàn)有東西兩個(gè)校區(qū)，相距1.5公里。在校園網(wǎng)改造的基礎(chǔ)上，我們采取了“1+2架構(gòu)”重新組建財(cái)務(wù)專(zhuān)網(wǎng)。即利用校園網(wǎng)基礎(chǔ)平臺(tái)，構(gòu)建以財(cái)務(wù)部門(mén)級(jí)核心LAN(Local Area Network，局域網(wǎng))為主，東西兩個(gè)校區(qū)新生報(bào)道收費(fèi)子LAN為延伸的虛擬專(zhuān)用財(cái)務(wù)網(wǎng)絡(luò)，拓?fù)淙鐖D2所示。

圖2 財(cái)務(wù)專(zhuān)網(wǎng)拓?fù)?/p>

網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)如下目標(biāo)：

1) 部門(mén)LAN合理規(guī)劃資源，把有限資源最大化發(fā)揮作用。

2) 部署學(xué)院財(cái)務(wù)數(shù)據(jù)專(zhuān)用磁盤(pán)陣列。

3) 核心數(shù)據(jù)服務(wù)器無(wú)需搬動(dòng)，實(shí)現(xiàn)新生報(bào)到收費(fèi)客戶(hù)端與服務(wù)器安全通信，數(shù)據(jù)一致，有線(xiàn)無(wú)線(xiàn)一體化。

4) 實(shí)現(xiàn)所有服務(wù)器Raid1級(jí)備份。

5) 設(shè)置代理服務(wù)器實(shí)現(xiàn)財(cái)務(wù)網(wǎng)與校園網(wǎng)的互通，Web資源開(kāi)放查詢(xún)。

6) 設(shè)置防火墻與上級(jí)部委專(zhuān)網(wǎng)的鏈接，實(shí)現(xiàn)財(cái)政專(zhuān)網(wǎng)直通，完成銀行代扣、財(cái)政審核等具體業(yè)務(wù)。

4 技術(shù)策略

4.1 用VLAN構(gòu)建專(zhuān)網(wǎng)

借助VLAN(Virtual Local Area Network，虛擬局域網(wǎng))技術(shù)，將校園網(wǎng)東西區(qū)不同地點(diǎn)、不同類(lèi)型的網(wǎng)絡(luò)設(shè)備根據(jù)端口組合在一起，使得三處LAN邏輯上構(gòu)成了財(cái)務(wù)專(zhuān)用的虛擬網(wǎng)絡(luò)環(huán)境。這樣構(gòu)建的財(cái)務(wù)專(zhuān)網(wǎng)具有很強(qiáng)的安全性，因?yàn)?，校園網(wǎng)不同VLAN之間網(wǎng)絡(luò)報(bào)文相互隔離，財(cái)務(wù)專(zhuān)網(wǎng)與校園網(wǎng)其他VLAN之間不會(huì)直接通信，所以財(cái)務(wù)敏感數(shù)據(jù)在校園網(wǎng)的傳輸是安全的；另外，使用VLAN保證了財(cái)務(wù)專(zhuān)網(wǎng)不受廣播風(fēng)暴的影響，VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過(guò)量廣播，因?yàn)椋谝粋€(gè)VLAN中的廣播不會(huì)送到VLAN之外。同樣，相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播。因此，技術(shù)配置過(guò)程中，財(cái)務(wù)專(zhuān)網(wǎng)命名VLAN200，劃分固定端口，依次透?jìng)餍@網(wǎng)核心交換機(jī)、兩個(gè)匯聚交換機(jī)和四臺(tái)接入設(shè)備，將“1+2模式”的三個(gè)本地LAN邏輯上劃分在了一起。

4.2 用ACL保障內(nèi)部安全

ACL(Access Control List)是實(shí)際網(wǎng)絡(luò)環(huán)境中策略配置里經(jīng)常用到的安全控制技術(shù)。它是一種基于包過(guò)濾的流控制技術(shù)。標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表通過(guò)把源地址、目的地址及端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過(guò)。標(biāo)準(zhǔn)ACL已經(jīng)在校園網(wǎng)出口控制上得到應(yīng)用，有效的部署了校園網(wǎng)絡(luò)出網(wǎng)策略。但財(cái)務(wù)專(zhuān)網(wǎng)資源不是完全與校園網(wǎng)隔離，部分資源需要開(kāi)放訪(fǎng)問(wèn)、敏感數(shù)據(jù)需要開(kāi)放給特殊權(quán)限用戶(hù)使用，如：教職工要能通過(guò)校園網(wǎng)查詢(xún)工資、公積金、科研費(fèi)、學(xué)費(fèi)等余額或繳費(fèi)信息；院領(lǐng)導(dǎo)、財(cái)務(wù)長(zhǎng)要能夠直接訪(fǎng)問(wèn)核心服務(wù)器資源；財(cái)政專(zhuān)網(wǎng)與校園網(wǎng)不能互通信息等。根據(jù)這些具體的要求，我們采用標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)控制列表，完全實(shí)現(xiàn)了財(cái)務(wù)專(zhuān)網(wǎng)內(nèi)部資源的特殊訪(fǎng)問(wèn)，防止黑客攻擊，進(jìn)而保障這些資源的內(nèi)網(wǎng)安全性。

4.3 防火墻和殺毒軟件抵御外侵

非法入侵同樣會(huì)帶來(lái)災(zāi)難性的后果，在財(cái)務(wù)內(nèi)網(wǎng)前端架設(shè)硬件防火墻(Firewall)，是為明智之舉。它對(duì)跨越網(wǎng)絡(luò)邊界的信息進(jìn)行過(guò)濾，目的在于防止外部非法用戶(hù)訪(fǎng)問(wèn)[3]。同時(shí)對(duì)各層的數(shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，有效地判斷出各層中的非法侵入，為數(shù)據(jù)傳輸設(shè)置了一道電子屏障。另外，計(jì)算機(jī)病毒同樣會(huì)對(duì)網(wǎng)絡(luò)正常運(yùn)行及數(shù)據(jù)安全產(chǎn)生嚴(yán)重威脅，為此，我們引入趨勢(shì)科技，建立了完善的云安全防病毒體系，服務(wù)器和工作站都在線(xiàn)安裝正版殺毒軟件客戶(hù)端，啟動(dòng)實(shí)時(shí)監(jiān)控系統(tǒng)。嚴(yán)格執(zhí)行防病毒措施，禁止在工作機(jī)上安裝無(wú)關(guān)軟件，U 盤(pán)等存儲(chǔ)介質(zhì)等使用前須通過(guò)計(jì)算機(jī)病毒檢測(cè)。定期升級(jí)病毒庫(kù)和查殺病毒，杜絕使用盜版軟件。

4.4 磁盤(pán)陣列實(shí)現(xiàn)自動(dòng)備份

為了實(shí)現(xiàn)數(shù)據(jù)的最大安全性，考慮實(shí)際，通過(guò)光纖交換機(jī)把磁盤(pán)陣列劃分三個(gè)區(qū)，分別掛接在財(cái)務(wù)專(zhuān)網(wǎng)的三臺(tái)主服務(wù)器上，通過(guò)計(jì)劃任務(wù)和陣列軟件實(shí)現(xiàn)了“重要數(shù)據(jù)每天、次要數(shù)據(jù)每周、所有數(shù)據(jù)每月”的自動(dòng)備份，最大限度的保障了數(shù)據(jù)的異機(jī)安全性。

5 運(yùn)行維護(hù)

專(zhuān)網(wǎng)建成至今仍保持零故障運(yùn)行，服務(wù)器升級(jí)后運(yùn)行效率大為提高，很多資源可以實(shí)現(xiàn)在線(xiàn)實(shí)時(shí)訪(fǎng)問(wèn)，與上級(jí)專(zhuān)網(wǎng)和校園網(wǎng)真正實(shí)現(xiàn)了有線(xiàn)通信。由于東西校區(qū)的子LAN只有每年的9月份新生入校報(bào)到時(shí)，用其進(jìn)行集中收費(fèi)，其他時(shí)段沒(méi)有業(yè)務(wù)，考慮到資源的合理配置和均衡。我們?cè)O(shè)計(jì)了手動(dòng)“軟件開(kāi)關(guān)”，即管理員在自己PC機(jī)上與財(cái)務(wù)核心交換機(jī)通信，直接切斷財(cái)務(wù)專(zhuān)網(wǎng)VLAN的對(duì)外通道，實(shí)現(xiàn)與東西校區(qū)子LAN的分離。同理，有業(yè)務(wù)需求時(shí)，運(yùn)行打開(kāi)命令，將財(cái)務(wù)專(zhuān)網(wǎng)在東西校區(qū)進(jìn)行延伸連通，該開(kāi)關(guān)命令行通過(guò)記事本等軟件編寫(xiě)后，存為Open.bat和Shut.bat兩個(gè)批處理文件，再經(jīng)軟件處理后形成加密的Open.exe和Shut.exe兩個(gè)可執(zhí)行軟件。測(cè)試使用發(fā)現(xiàn)，軟件防反編譯性好，操作方便；徹底解決了服務(wù)器的搬動(dòng)問(wèn)題，保障了數(shù)據(jù)的一致性、有效節(jié)約了數(shù)據(jù)維護(hù)成本，提高了設(shè)備維護(hù)維修效率。其中，打開(kāi)命令(以H3C設(shè)備為例)核心代碼如下：

@del c: empShutport.vbs

@echo on error resume next >>c: empShutport.vbs

@echo dim WshShell>>c: empShutport.vbs

@echo Set WshShell = WScript.CreateObject("WScript.Shell")>>c: empShutport.vbs

@echo WshShell.run"cmd">>c: empShutport.vbs

@echo WshShell.AppActivate"c:windowssystem32cmd.exe">>c: empShutport.vbs

@echo WScript.Sleep 200>>c: empShutport.vbs

@echo WshShell.SendKeys"telnet 192.168.100.90">>c: empShutport.vbs