張欣

【摘 要】財務(wù)結(jié)算中心也稱資金結(jié)算中心，是油田負(fù)責(zé)資金調(diào)劑和資金管理的內(nèi)部職能機(jī)構(gòu)。結(jié)算中心的基本運(yùn)作模式是油田內(nèi)各成員單位取消其在銀行開立的賬戶，全部到結(jié)算中心開戶存款并通過結(jié)算中心統(tǒng)一對外辦理結(jié)算；結(jié)算中心可以監(jiān)控各成員單位的資金運(yùn)作，也可以將各成員單位暫時閑置的資金調(diào)劑給符合條件的其它成員單位使用。隨著中原油田局域網(wǎng)覆蓋范圍的不斷延伸，以及財務(wù)信息化系統(tǒng)在我單位應(yīng)用的不斷深入，網(wǎng)絡(luò)信息安全已日益成為各類財務(wù)系統(tǒng)平穩(wěn)運(yùn)行和業(yè)務(wù)持續(xù)開展的重中之重。由于我單位網(wǎng)絡(luò)終端用戶和聯(lián)網(wǎng)設(shè)備數(shù)量超過200臺，網(wǎng)絡(luò)結(jié)構(gòu)相對復(fù)雜，除中心本部外，還有冀東、普光、陜北、新疆、東北五個外部結(jié)算處，通過油田VPN與總公司及本部財務(wù)數(shù)據(jù)庫相連。因此，盡快建立完善的網(wǎng)絡(luò)信息安全管理系統(tǒng)就成為當(dāng)務(wù)之急。

【關(guān)鍵詞】安全管理 財務(wù)結(jié)算 建設(shè) 網(wǎng)絡(luò)

【中圖分類號】TP311【文獻(xiàn)標(biāo)識碼】A【文章編號】1672-5158（2013）02-0057-02

一、單位網(wǎng)絡(luò)信息安全現(xiàn)狀

經(jīng)過多年的信息化建設(shè)，財務(wù)結(jié)算中心已建成千兆互聯(lián)到終端桌面，所使用的主要財務(wù)軟件如下：

（1）中原油田財務(wù)結(jié)算系統(tǒng)（安裝該系統(tǒng)僅為查詢歷史財務(wù)數(shù)據(jù)）。

（2）中國石化資金集中管理信息系統(tǒng)。

（3）中國石化會計集中管理信息系統(tǒng)。

（4）中原油田關(guān)聯(lián)交易系統(tǒng)。

在網(wǎng)絡(luò)應(yīng)用方面，與日常工作密切相關(guān)的財務(wù)應(yīng)用系統(tǒng)相繼投入使用，網(wǎng)絡(luò)信息安全系統(tǒng)的建設(shè)卻相對薄弱。

1、網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀

近幾年，隨著局域網(wǎng)規(guī)模的日益擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備日趨復(fù)雜，網(wǎng)絡(luò)病毒、黑客攻擊、網(wǎng)絡(luò)欺騙、IP盜用、非法接入等現(xiàn)象，給中心網(wǎng)絡(luò)的管理、維護(hù)帶來了前所未有的挑戰(zhàn)。中心網(wǎng)絡(luò)、員工微機(jī)經(jīng)常受到油田局域網(wǎng)以及來自大網(wǎng)非法連接的攻擊，IP地址沖突時有發(fā)生。ARP攻擊導(dǎo)致網(wǎng)絡(luò)中斷、甚至癱瘓；病毒、蠕蟲、木馬、惡意代碼等則可能通過網(wǎng)絡(luò)傳遞進(jìn)來，造成操作系統(tǒng)崩潰、財務(wù)數(shù)據(jù)丟失、泄漏。而各類財務(wù)軟件的日常應(yīng)用，必然要進(jìn)行各種外連和數(shù)據(jù)傳遞。如何進(jìn)行安全地連接網(wǎng)絡(luò)、傳輸數(shù)據(jù)，日益成為中心亟待解決的問題。

2、網(wǎng)絡(luò)信息監(jiān)控狀況

對于互聯(lián)網(wǎng)出口的外發(fā)信息無法進(jìn)行記錄和查詢，缺乏有效的信息審計和日志保存手段，從而不能有效貫徹和滿足油田以及國家關(guān)于企業(yè)網(wǎng)絡(luò)安全管理制度的落實。

來自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進(jìn)行的，這些威脅事件多數(shù)是來自于油田局域網(wǎng)內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些網(wǎng)絡(luò)安全事件的審計要求，網(wǎng)絡(luò)安全審計通常要求專門細(xì)致的協(xié)議分析技術(shù)，完整的跟蹤能力和數(shù)據(jù)查詢過程回放等功能實現(xiàn)。

3、上網(wǎng)行為管理能力

中心網(wǎng)絡(luò)資源能否合理使用，帶寬是否會被非工作需要的網(wǎng)絡(luò)應(yīng)用占用，日常工作所需的網(wǎng)絡(luò)流量和穩(wěn)定性能否得到保障，當(dāng)網(wǎng)絡(luò)出現(xiàn)擁堵，或者異常流量、異常攻擊爆發(fā)時，是否能及時分析、排查流量使用情況并幾時進(jìn)行有效控制，這些狀況主要表現(xiàn)為：網(wǎng)絡(luò)用戶非工作范疇（用于娛樂）的網(wǎng)絡(luò)應(yīng)用流量極大，如：各類多線程P2P軟件下載、大型網(wǎng)絡(luò)游戲、P2P類的音視頻、網(wǎng)絡(luò)電視等應(yīng)用。

二、中心網(wǎng)絡(luò)信息安全建設(shè)目標(biāo)

為了確保信息資產(chǎn)的價值不受侵犯，保證信息資產(chǎn)擁有者面臨最小的安全風(fēng)險和獲取最大的安全利益，使包含物理環(huán)境、網(wǎng)絡(luò)通訊、操作系統(tǒng)、應(yīng)用平臺和信息數(shù)據(jù)等各個層面在內(nèi)的整體網(wǎng)絡(luò)信息系統(tǒng)具有抵御各種安全威脅的能力，我們制訂了如下的安全目標(biāo)：

1、保密性

確保各類財務(wù)數(shù)據(jù)不會泄漏給任何未經(jīng)授權(quán)的個人和實體，或供其使用。

2、可用性

確保財務(wù)信息系統(tǒng)正常運(yùn)轉(zhuǎn)，并保證合法用戶對財務(wù)信息的使用不會被不正當(dāng)?shù)鼐芙^。

3、完整性

防止財務(wù)信息被未經(jīng)授權(quán)的篡改，保證真實的信息從真實的信源無失真地到達(dá)真實的信宿。

4、真實性

應(yīng)能對通訊實體所宣稱身份的真實性進(jìn)行準(zhǔn)確鑒別。

5、可控性

保證財務(wù)數(shù)據(jù)不被非法訪問及非授權(quán)訪問，并能夠控制使用資源的人或?qū)嶓w對資源的使用方式。

6、不可抵賴性

應(yīng)建立有效的責(zé)任機(jī)制，防止實體否認(rèn)其行為。

7、可審查性

應(yīng)能記錄一個實體的全部行為，為出現(xiàn)的網(wǎng)絡(luò)安全問題提供有效的調(diào)查依據(jù)和手段。

8、可管理性

應(yīng)提供統(tǒng)一有效的安全管理機(jī)制和管理規(guī)章制度，這是確保信息系統(tǒng)各項安全性能有效實現(xiàn)的根本保障，同時合理有效的安全管理可以在一定程度上彌補(bǔ)技術(shù)上無法實現(xiàn)的安全目標(biāo)。

三、中心網(wǎng)絡(luò)信息安全建設(shè)方案

通過上述對中心網(wǎng)絡(luò)的現(xiàn)狀及安全需求分析，并結(jié)合油田網(wǎng)絡(luò)安全與信息安全的具體要求，我們建議實施部署網(wǎng)絡(luò)出口防火墻系統(tǒng)、網(wǎng)絡(luò)日志審計系統(tǒng)、網(wǎng)絡(luò)訪問內(nèi)容和行為審計系統(tǒng)。

1、網(wǎng)絡(luò)出口防火墻系統(tǒng)

防火墻是基于網(wǎng)絡(luò)處理器技術(shù)（NP）的硬件高速狀態(tài)防火墻，不僅支持豐富的協(xié)議狀態(tài)檢測及地址轉(zhuǎn)換功能，而且具備強(qiáng)大的攻擊防范能力，提供靜態(tài)和動態(tài)黑名單過濾等特性，可提供豐富的統(tǒng)計分析功能和日志。能有效實現(xiàn)過濾垃圾殘包、攔截惡意代碼，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)和資源的安全。

將防火墻透明接入到原有網(wǎng)絡(luò)中的出口處，采用應(yīng)用層透明代理的方式對用戶對外網(wǎng)的訪問進(jìn)行應(yīng)用層解析控制。在防火墻上劃分兩個區(qū)域：外網(wǎng)區(qū)域、內(nèi)網(wǎng)區(qū)域，防火墻可以橋接入到原有的用戶網(wǎng)絡(luò)中，或者接到核心交換機(jī)上。保證所有的數(shù)據(jù)流經(jīng)過防火墻以便完成應(yīng)用層的過濾。

2、部署網(wǎng)絡(luò)訪問內(nèi)容和行為審計系統(tǒng)

安全審計系統(tǒng)是一個安全的網(wǎng)絡(luò)必須支持的功能特性，審計是記錄用戶使用計算機(jī)網(wǎng)絡(luò)系統(tǒng)所訪問的全部資源及訪問的過程，它是提高網(wǎng)絡(luò)安全的重要工具，對于確定是否有網(wǎng)絡(luò)攻擊的情況，確定問題和攻擊源很重要。而行為審計系統(tǒng)通過對網(wǎng)絡(luò)信息內(nèi)容的完全監(jiān)控和記錄，為網(wǎng)絡(luò)管理員或安全審計員提供對網(wǎng)絡(luò)信息泄密事件進(jìn)行有效的監(jiān)控和取證；也可以完全掌握員工上網(wǎng)情況，比如是否在工作時間上網(wǎng)沖浪、網(wǎng)上聊天、是否訪問內(nèi)容不健康的網(wǎng)站、是否通過網(wǎng)絡(luò)泄漏了機(jī)密信息等等，對于不符合安全策略的網(wǎng)上行為進(jìn)行記錄，并可對這些行為進(jìn)行回放，進(jìn)行跟蹤和審計。

3、部署網(wǎng)絡(luò)日志審計系統(tǒng)

日志審計系統(tǒng)為不同的網(wǎng)絡(luò)設(shè)備提供了統(tǒng)一的日志管理分析平臺，打破了企業(yè)中不同網(wǎng)絡(luò)設(shè)備之間存在的信息鴻溝。系統(tǒng)提供了強(qiáng)大監(jiān)控能力，實現(xiàn)了從網(wǎng)絡(luò)到設(shè)備直至應(yīng)用系統(tǒng)的監(jiān)控。在對日志信息的集中、關(guān)聯(lián)分析的基礎(chǔ)上，有效地實現(xiàn)了全網(wǎng)的安全預(yù)警、入侵行為的實時發(fā)現(xiàn)、入侵事件動態(tài)響應(yīng)，通過與其它安全設(shè)備的聯(lián)動來真正實現(xiàn)動態(tài)防御。

部署日志審計系統(tǒng)主要功能：1）海量的數(shù)據(jù)日志：系統(tǒng)全面支持安全設(shè)備 （如防火墻，IDS、AV）、網(wǎng)絡(luò)設(shè)備 （如Router、Switch）、應(yīng)用系統(tǒng) （如WEB、Mail、Ftp、Database）、操作系統(tǒng) （如Windows、Linux、Unix） 等多種產(chǎn)品及系統(tǒng)的日志數(shù)據(jù)的采集和分析。2）安全狀況的全面解析：幫助管理員對網(wǎng)絡(luò)事件進(jìn)行深度的挖掘分析，從不同角度進(jìn)行網(wǎng)絡(luò)事件的可視化分析。

四、結(jié)束語

經(jīng)過多方論證，上述的網(wǎng)絡(luò)信息安全建設(shè)方案架構(gòu)齊全，是合理的、先進(jìn)并且可靠的。該安全系統(tǒng)能夠針對我單位出現(xiàn)的突發(fā)網(wǎng)絡(luò)問題，迅速地進(jìn)行故障定位并實施故障處理。使網(wǎng)絡(luò)安全管理變被動為主動，能夠極大地提高網(wǎng)管人員的工作效率；同時通過及時監(jiān)控審計，大幅度減少系統(tǒng)網(wǎng)絡(luò)故障和安全隱患，從而使我單位的信息化建設(shè)邁上一個新的臺階。相信通過以上三套系統(tǒng)的部署，能夠極大地完善網(wǎng)絡(luò)安全體系，更好地為中心財務(wù)信息網(wǎng)絡(luò)系統(tǒng)保駕護(hù)航。

參考文獻(xiàn)

[1]曾慶銀 關(guān)于財務(wù)結(jié)算中心的幾點(diǎn)思考 西南民族學(xué)院學(xué)報 《西南民族學(xué)院學(xué)報》2003年2.24.