财务结算中心网络安全系统建设方案
2013-06-08张欣
张欣
【摘 要】财务结算中心也称资金结算中心,是油田负责资金调剂和资金管理的内部职能机构。结算中心的基本运作模式是油田内各成员单位取消其在银行开立的账户,全部到结算中心开户存款并通过结算中心统一对外办理结算;结算中心可以监控各成员单位的资金运作,也可以将各成员单位暂时闲置的资金调剂给符合条件的其它成员单位使用。随着中原油田局域网覆盖范围的不断延伸,以及财务信息化系统在我单位应用的不断深入,网络信息安全已日益成为各类财务系统平稳运行和业务持续开展的重中之重。由于我单位网络终端用户和联网设备数量超过200台,网络结构相对复杂,除中心本部外,还有冀东、普光、陕北、新疆、东北五个外部结算处,通过油田VPN与总公司及本部财务数据库相连。因此,尽快建立完善的网络信息安全管理系统就成为当务之急。
【关键词】安全管理 财务结算 建设 网络
【中图分类号】TP311【文献标识码】A【文章编号】1672-5158(2013)02-0057-02
一、单位网络信息安全现状
经过多年的信息化建设,财务结算中心已建成千兆互联到终端桌面,所使用的主要财务软件如下:
(1)中原油田财务结算系统(安装该系统仅为查询历史财务数据)。
(2)中国石化资金集中管理信息系统。
(3)中国石化会计集中管理信息系统。
(4)中原油田关联交易系统。
在网络应用方面,与日常工作密切相关的财务应用系统相继投入使用,网络信息安全系统的建设却相对薄弱。
1、网络系统安全现状
近几年,随着局域网规模的日益扩大,网络结构及设备日趋复杂,网络病毒、黑客攻击、网络欺骗、IP盗用、非法接入等现象,给中心网络的管理、维护带来了前所未有的挑战。中心网络、员工微机经常受到油田局域网以及来自大网非法连接的攻击,IP地址冲突时有发生。ARP攻击导致网络中断、甚至瘫痪;病毒、蠕虫、木马、恶意代码等则可能通过网络传递进来,造成操作系统崩溃、财务数据丢失、泄漏。而各类财务软件的日常应用,必然要进行各种外连和数据传递。如何进行安全地连接网络、传输数据,日益成为中心亟待解决的问题。
2、网络信息监控状况
对于互联网出口的外发信息无法进行记录和查询,缺乏有效的信息审计和日志保存手段,从而不能有效贯彻和满足油田以及国家关于企业网络安全管理制度的落实。
来自网络的安全威胁日益增多,很多威胁并不是以网络入侵的形式进行的,这些威胁事件多数是来自于油田局域网内部合法用户的误操作或恶意操作,仅靠系统自身的日志功能并不能满足对这些网络安全事件的审计要求,网络安全审计通常要求专门细致的协议分析技术,完整的跟踪能力和数据查询过程回放等功能实现。
3、上网行为管理能力
中心网络资源能否合理使用,带宽是否会被非工作需要的网络应用占用,日常工作所需的网络流量和稳定性能否得到保障,当网络出现拥堵,或者异常流量、异常攻击爆发时,是否能及时分析、排查流量使用情况并几时进行有效控制,这些状况主要表现为:网络用户非工作范畴(用于娱乐)的网络应用流量极大,如:各类多线程P2P软件下载、大型网络游戏、P2P类的音视频、网络电视等应用。
二、中心网络信息安全建设目标
为了确保信息资产的价值不受侵犯,保证信息资产拥有者面临最小的安全风险和获取最大的安全利益,使包含物理环境、网络通讯、操作系统、应用平台和信息数据等各个层面在内的整体网络信息系统具有抵御各种安全威胁的能力,我们制订了如下的安全目标:
1、保密性
确保各类财务数据不会泄漏给任何未经授权的个人和实体,或供其使用。
2、可用性
确保财务信息系统正常运转,并保证合法用户对财务信息的使用不会被不正当地拒绝。
3、完整性
防止财务信息被未经授权的篡改,保证真实的信息从真实的信源无失真地到达真实的信宿。
4、真实性
应能对通讯实体所宣称身份的真实性进行准确鉴别。
5、可控性
保证财务数据不被非法访问及非授权访问,并能够控制使用资源的人或实体对资源的使用方式。
6、不可抵赖性
应建立有效的责任机制,防止实体否认其行为。
7、可审查性
应能记录一个实体的全部行为,为出现的网络安全问题提供有效的调查依据和手段。
8、可管理性
应提供统一有效的安全管理机制和管理规章制度,这是确保信息系统各项安全性能有效实现的根本保障,同时合理有效的安全管理可以在一定程度上弥补技术上无法实现的安全目标。
三、中心网络信息安全建设方案
通过上述对中心网络的现状及安全需求分析,并结合油田网络安全与信息安全的具体要求,我们建议实施部署网络出口防火墙系统、网络日志审计系统、网络访问内容和行为审计系统。
1、网络出口防火墙系统
防火墙是基于网络处理器技术(NP)的硬件高速状态防火墙,不仅支持丰富的协议状态检测及地址转换功能,而且具备强大的攻击防范能力,提供静态和动态黑名单过滤等特性,可提供丰富的统计分析功能和日志。能有效实现过滤垃圾残包、拦截恶意代码,保护网络数据和资源的安全。
将防火墙透明接入到原有网络中的出口处,采用应用层透明代理的方式对用户对外网的访问进行应用层解析控制。在防火墙上划分两个区域:外网区域、内网区域,防火墙可以桥接入到原有的用户网络中,或者接到核心交换机上。保证所有的数据流经过防火墙以便完成应用层的过滤。
2、部署网络访问内容和行为审计系统
安全审计系统是一个安全的网络必须支持的功能特性,审计是记录用户使用计算机网络系统所访问的全部资源及访问的过程,它是提高网络安全的重要工具,对于确定是否有网络攻击的情况,确定问题和攻击源很重要。而行为审计系统通过对网络信息内容的完全监控和记录,为网络管理员或安全审计员提供对网络信息泄密事件进行有效的监控和取证;也可以完全掌握员工上网情况,比如是否在工作时间上网冲浪、网上聊天、是否访问内容不健康的网站、是否通过网络泄漏了机密信息等等,对于不符合安全策略的网上行为进行记录,并可对这些行为进行回放,进行跟踪和审计。
3、部署网络日志审计系统
日志审计系统为不同的网络设备提供了统一的日志管理分析平台,打破了企业中不同网络设备之间存在的信息鸿沟。系统提供了强大监控能力,实现了从网络到设备直至应用系统的监控。在对日志信息的集中、关联分析的基础上,有效地实现了全网的安全预警、入侵行为的实时发现、入侵事件动态响应,通过与其它安全设备的联动来真正实现动态防御。
部署日志审计系统主要功能:1)海量的数据日志:系统全面支持安全设备 (如防火墙,IDS、AV)、网络设备 (如Router、Switch)、应用系统 (如WEB、Mail、Ftp、Database)、操作系统 (如Windows、Linux、Unix) 等多种产品及系统的日志数据的采集和分析。2)安全状况的全面解析:帮助管理员对网络事件进行深度的挖掘分析,从不同角度进行网络事件的可视化分析。
四、结束语
经过多方论证,上述的网络信息安全建设方案架构齐全,是合理的、先进并且可靠的。该安全系统能够针对我单位出现的突发网络问题,迅速地进行故障定位并实施故障处理。使网络安全管理变被动为主动,能够极大地提高网管人员的工作效率;同时通过及时监控审计,大幅度减少系统网络故障和安全隐患,从而使我单位的信息化建设迈上一个新的台阶。相信通过以上三套系统的部署,能够极大地完善网络安全体系,更好地为中心财务信息网络系统保驾护航。
参考文献
[1]曾庆银 关于财务结算中心的几点思考 西南民族学院学报 《西南民族学院学报》2003年2.24.