企业集团资金集中结算系统安全应用研究.pdf

2 0 0 9 年 第2 期 瞧晨 斜技 l 7 3 企业集 团资金集 中结算系统安全应 用研究 顾景民， 王野 ， 郭利波 兖 矿集团。 山东 邹城2 7 3 5 0 0 摘要企 业集 团财务公 司开发设计资金集 中结算 系统 ， 可 以提高资金的周围效率， 控制资金风 险， 降低集 团财 务成本 ， 增 强企 业集团的核心 竞争力。从网络安全 、 系统安全 、 数据安全几个 方面对 系统 的安全性进行 了阐述 。 关 键词资金集 中结算系统 防火墙 安全策略数据库c A数字证 书 中图分类号 F 2 7 5 ． 1 文 献标识码C 企业集团资金集中结算系统是通过网络化处理方 式， 直接将集团财务结算管理系统向外延伸至商业银 行资金结算网络处理系统， 实现“ 成员单位集团财 务公 司商业银 行” 无 缝对 接 的 网络结 算体 系。通 过企业集团资金集中结算系统， 可以实现集团公司各 级成员单位资 金 的 日常 收支 管理 、 成员 单位 与集 团公 司之间的资金归集业务 ， 成员单位之间的内部资金结 算业务、 成员单位与集团外企业之问的资金结算业务。 示意图如 图 1 。 集团成员单位 集团 财务公司 接 口 模 式 合作商业银行 外单位 图 1 企业集团资金结算系统流程图 1 网络拓扑结构安全设计 企业资金结算系统网络可以充分利用集团公司的 I n t r a n e t 网络平 台， 通过 网络 防火墙设 备 在企业 I n t r a n e t 平台上组建不同的安全网络区域， 将企业资金结算系 统 的设备根据不同的访问需要放置在相 应的防火墙 安 全区域中， 企业资金结算系统网络拓扑结构参见图2 。 企业 资金结算 系统网络拓 扑结构 以网络防火墙设 备为中心划分 为五个 不 同的 网络 区域 ， 即数 据服 务 网 络区域 、 应用服务 网络 区域 、 银行前 置 网络 区域 、 财 务 公司结算网络区域、 用户访问区域。在不 同的网络区 域间通过制定相应的防火墙策略来控制 网络问的访 *收稿 日期 2 o 0 90 2 一l O 作者简介 顾 景民 1 9 7 4一 ， 男 ， 1 9 9 8年毕业 于莱 阳农学 院机 电工 程， 现在兖矿集团有限公司从事专业计算机与通信工程师。 集团公司 集强，厶 ＼ 目 驻外用户 驻外用户 图2 企业集团资金结算系统网络拓扑图 问 ， 保护整个 系统的安全。 1 ． 1 数据服务 网络 数据服务 网络 主要有数据库 服务器 、 磁盘阵列 、 备 份磁带库等设备 。 该区域的安全策略为 允许应用服务网络中的设备用户访问数据库的服 务 端 口 S Q L S E R V E 默 认 为 1 4 3 3 ， O R A C L E默 认 为 1 5 2 1 。 允许本区域设备用户访问企业 I n t r a n e t 系统软件 升级服务器及防病毒软件升级服务器相关端口。 禁止其它网络用户访问本区域的所有设备其它端 口 。 禁止本区域的用户访问外部其它网络区域的所有 端 口。 1 ． 2 应用服务 网络 应用服务 网络 中主要有 系统 的 WE B应 用服务 器、 银企互联前置机服务器、 数据备份服务器等设备。 该区域的安全策略为 允许所有其它网络区域 的用户访 问本区域 WE B 应用服务器的 8 0 、 4 4 3网络端 口。 允许银行前置网络内的设备用户访问本区域前置 机服务器的专用通信端 口 根据各银行前置机实际需 要开放 。 1 7 4 东 媳晨 舛枝 2 0 0 9 年第2 期 允许本区域的设备用户访问数据服务网络的数据 库端 口。 允许本区域内设备用户访问内企业 I n t r a n e t 系统 软件升级服务器及防病毒软件升级服务器相关端E l 。 禁止其 它网络用户访 问本区域的所有设备 的其它 端 口。 禁止本区域的用户访问外部其它网络区域所有端 口 。 1 ． 3 银行前置 网络 银行 区域 网络主要 放置各家合作商业银行 的企业 端前置服务器、 路由器、 加密机等设备。根据各家合作 商业银行的不同情况采用专线接入或公网接入的方式 与银行 网络连通 。 本区域内所有银行前置机服务器配置双网卡， 网 卡一为银行网络接人点， 网卡二为企业资金网络接入 点 。 网卡一至银行端设备的安全由各家合作商业银行 网络安全设备 提供 ， 网卡 二至企 业资金 系统安 全 由系 统 防火墙设备提供 。 该 区域 的安全策 略为 允许本区域内的服务器网卡二访问应用服务网络 内的银企互联前置机服务器相关端口。 允许本 区域 内的 服务 器 网卡二 访 问企 业 I n t r a n e t 系统 软件 升级服 务器及 防病毒软件升级服务器相关端 口 。 禁止其 它网络用户 访问本区域的所有设备 的其它 端 口。 禁止本区域的用户访问外部其它网络区域所有端 口 。 1 ． 4 财务公司结算网络 财务公司结算人员是资金系统人工参与的业务处 理核心， 为了保证资金业务处理的效率与安全， 为财务 公司建立一个专用业务处理网络 ， 将处理结算业务的 设备全部放人专用网络内。 该区域 的安全策略为 允许本区域内的用户访问服务网络内 WWW服务 器的 8 0 、 4 4 3端口。 允许本区域内的用户访问内企业 I n t r a n e t 系统软 件升级服务器及防病毒软件升级服务器相关端口O 禁止其它网络用户访问本区域内所有设备的其它 端 口。 禁止本区域内的用户访问外部网络的其它端 口。 1 ． 5 用 户访 问区域 企业资金结 算系统 的业 务用户 可以来 自企业 I n t r a n e t ， 也可以来 自I n t e r n e t ， 业务用户的所有访问请求 均要经过防火墙的安全检查以后才允许进行人企业资 金结算系统网络。 该区域的安全策略为 允许所有网络用户访问应用服务网络的 WWW应 用服务器 的 4 4 3和 8 O 端 口。 禁止所有网络用户访问资金系统 网络的其 它端 口 。 2 系统数据安全设计 2 ． 1 系统数据 库的安全 企业资金结算系统数据库可以采用两台或多台小 型机服务器做数据库集群， 使数据库分布运行在两台 或多台服务器上 ， 保证在数据库服务器出现故障或需 要检修服务器时， 使数据库服务可以自动转移至其他 服务器上 。 在 13 常运行过程中应为数据库系统做好数据备份 策略， 每周为数据库做一次完全数据备份， 每 13 在夜间 为数据库做一次差异或增量数据备份。为了保证备份 数据库的可用性 要定期 检查备份 数据 的可用性 ， 在测 试系统 中进行 数据的还原试验 。 2 ． 2 应用系统 数据备份 企业资金结算系统在 13 常运行 中会产 生大量的 日 志型数据及数据库的在线备份的数据文件， 为了保证 这些数据的安全 ， 采用磁带 库系统 对这些 数据进 行备 份并将数据进行长期保存。 对于 13 志型数据采用增量备份的策略， 每 13对产 生的数据追加至磁带保存 ； 对于数据库产生的在线备 份数据文件和归档 13 志采用每周一次的完全备份。 磁带库磁带 写满 以后不进 行覆 盖重写 ， 待整个 磁 带库全部写满后更换新磁带， 将原磁带取出进行长期 保存。 3 应用 系统安 全设计 为了保证业务系统的安全性， 企业资金结算 系统 采用商业银行普遍使用的 C A数字证书加密的方式来 保证业务数据在网络上传输的安全性。使用 C A数字 证书可以对服务器与客户端通讯时传输的数据采用 1 2 8 位不对称加密方式进行加密。保证在客户端机器 访问资金系统 WE B应用服务器时， 双方传输的数据都 是经过 C A证书加密的密文， 保证了访问数据不会被第 三者窃听。 企业资金结算系统使用数字证书不仅提供了数据 传输的加密功能 ， 而且还提供了用户交易的数字签名， 使交易具有了数字签名不可抵赖性 ， 进一步加强了系 统的安全性