CN112364360A

CN112364360A - 一种财务数据安全管理系统

Info

Publication number: CN112364360A
Application number: CN202011251101.8A
Authority: CN
Inventors: 刘铭; 陈振奋
Original assignee: Nanjing Vocational College Of Information Technology
Current assignee: Nanjing Vocational College Of Information Technology
Priority date: 2020-11-11
Filing date: 2020-11-11
Publication date: 2021-02-12
Anticipated expiration: 2040-11-11
Also published as: CN112364360B

Abstract

本发明涉及财务数据安全管理技术领域，且公开了一种财务数据安全管理系统，在总集成财务数据库和分部财务数据库的网络进出端口处分别部署有总库防火墙系统和分库防火墙系统，所述总库防火墙系统包括数据包过滤模块Ⅰ，该数据包过滤模块Ⅰ的过滤方法包括：令分部财务数据库所在的网络节点作为数据包的源节点、总集成财务数据库所在的网络节点作为数据包的目标节点；在源节点上构建通信权限列表，该通信权限列表由用户信息、通道类型、传输方向控制信息组成，其中的传输方向控制信息是允许从源节点向目标节点通信、禁止从目标节点向源节点通信。本发明解决了财务集中核算系统的数据库存在的系统安全问题。

Description

一种财务数据安全管理系统

技术领域

本发明涉及财务数据安全管理技术领域，具体为一种财务数据安全管理系统。

背景技术

随着信息时代的来临,财务数据对企业的发展越来越重要，人们对财务数据的应用越来越广泛，这就要求企业不仅要保证财务数据的准确性，而且更要重视财务数据的安全管理。

目前企业正由数据控制阶段急速进入数据集成阶段。企业传统的会计核算模式已经很难适应财务集中核算的要求，对于财务集中核算信息系统的需求日益突出。财务集中核算模式成为企业实现安全、高效会计核算的必然选择。企业财务集中核算系统是一个以多数据库为核心的复杂人机系统。要保证整个数据库系统的安全，总集成财务数据库与各分部财务数据库不仅要保证各自内部数据库系统的安全，而且还要保证总集成财务数据库与各分部财务数据库数据通讯的安全。

面对会计核算模式的转变，财务集中核算信息系统的广泛使用，如何从新的核算模式出发，从保证数据库系统的安全着手，从而保证机密会计信息不被泄漏或篡改已经成为企业急需解决的问题。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供一种财务数据安全管理系统，以解决财务集中核算系统的数据库存在的系统安全问题。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：

一种财务数据安全管理系统，包括总集成财务数据库和分部财务数据库，在总集成财务数据库的网络进出端口处部署有总库防火墙系统，在分部财务数据库的网络进出端口处部署有分库防火墙系统；

所述总库防火墙系统包括数据包过滤模块Ⅰ，该数据包过滤模块Ⅰ的过滤方法包括以下步骤：

Step1，令分部财务数据库所在的网络节点作为数据包的源节点、总集成财务数据库所在的网络节点作为数据包的目标节点；

在源节点上构建通信权限列表，该通信权限列表由用户信息、通道类型、传输方向控制信息组成，其中的传输方向控制信息是允许从源节点向目标节点通信、禁止从目标节点向源节点通信；

Step2，源节点计算待分发数据包的同型签名函数及签名后的输出信息，源节点将输出信息传送给目标节点；

Step3，目标节点将收到的数据包按顺序放入一个共享的输入缓冲区内，并取出缓冲区队列中的数据包，将他们组合成一个新矩阵，创建该矩阵的子矩阵，计算子矩阵的线性相关性，然后根据计算结果将新矩阵中线性相关的数据包丢弃；

如果线性相关的数据包数量大于2，那么目标节点就认为源节点是恶意节点，则目标节点直接切断通信链路。

进一步的，所述分库防火墙系统的过滤逻辑条件是不允许一个分部财务数据库向其他的分部财务数据库传输财务数据。

进一步的，所述分库防火墙系统的过滤逻辑条件是不允许任一个分部财务数据库向其他任一数据库传输财务数据。

进一步的，所述总集成财务数据库的访问控制端口处部署有总库数据加密模块、总库权限管理模块、总库用户认证模块。

进一步的，所述总库数据加密模块选择表级、字段进行加密，对重要的会计凭证和报表进行加密，该加密方法包括：

①具有总集成财务数据库管理权限的用户在二进制域F₂ ^m上随机选定一条椭圆曲线E_p(a，b)，在该椭圆曲线E_p(a，b)上随机选取一点R作为基点，在二进制域F₂ ^m上选取私有密钥k，系统自动生成在二进制域F₂ ^m上的公开密钥K，且使K＝kR成立；

②具有总集成财务数据库管理权限的用户将存储到总集成财务数据库内的财务数据编码到E_p(a，b)上的一点M，并生成一个在二进制域F₂ ^m上的随机数s，且使M＝sR成立，得到加密密文C＝M+sK。

进一步的，所述总库权限管理模块包括两个具有超级权限的用户，分别为功能权限用户与数据权限用户，功能权限用户负责总集成财务数据库访问用户组的创建与权限的分配，数据权限用户对功能权限用户的设置进行审核。

进一步的，所述总库权限管理模块对访问用户的创建与权限分配方法包括：访问用户在总库权限管理模块的管理系统上进行用户注册，功能权限用户对访问用户进行权限分配及授权，数据权限用户对功能权限用户所进行的权限分配及授权设置进行审核，之后采集访问用户的人脸图像，并将该人脸图像与所述注册信息和权限分配及授权匹配成用户数据组。

进一步的，所述总库用户认证模块对经过总库权限管理模块授权的访问用户进行权限认证，该认证方法包括：总库用户认证模块采集总集成财务数据库访问用户的人脸图像，并将所采集的人脸图像与总库权限管理模块中注册用户的人脸图像进行比对，若总库用户认证模块所采集的人脸图像与总库权限管理模块中注册用户的人脸图像为同一个用户，则允许所述访问用户访问总集成财务数据库，并执行与总库权限管理模块所分配权限匹配的操作，否则就拒绝。

进一步的，所述分部财务数据库的访问控制端口处部署有分库数据加密模块、分库权限管理模块、分库用户认证模块。

(三)有益的技术效果

与现有技术相比，本发明具备以下有益的技术效果：

1.本发明在总集成财务数据库与分部财务数据库的网络进出端口处部署防火墙系统，防火墙使用拦截技术拦截到财务数据库接收或发送的数据包，对拦截到的数据包使用策略分析，从而决定是否让数据包通过，由于总集成财务数据库与分部财务数据库之间的连接都要通过防火墙系统的介入和转换，通过安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给总集成财务数据库与分部财务数据库系统以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵总集成财务数据库与分部财务数据库系统，从而保证了总集成财务数据库与各分部财务数据库数据通讯的安全。

2.本发明在总集成财务数据库与分部财务数据库的访问控制端口处部署有数据加密模块、权限管理模块、用户认证模块，数据加密模块对存储到财务数据库内的表级、字段进行加密，对重要的会计凭证和报表进行加密，保证了机密会计信息不被泄漏或篡改；

而用户认证模块对经过权限管理模块授权的访问用户进行权限认证，只有访问用户的身份通过了用户认证模块的权限认证，才允许其访问财务数据库，并执行与权限管理模块所分配权限匹配的操作，从而保证了财务数据库系统内部的安全。

附图说明

图1为本发明一种财务数据安全管理系统的逻辑框图；

图2为总集成财务数据库的安全管理框图；

图3为分部财务数据库的安全管理框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种财务数据安全管理系统，如图1所示，包括：总集成财务数据库，A分部财务数据库，B分部财务数据库，N分部财务数据库；

在总集成财务数据库的网络进出端口处部署有总库防火墙系统，该总库防火墙系统包括数据包过滤模块Ⅰ，该数据包过滤模块Ⅰ的过滤逻辑条件是只允许经过授权且处于合法状态的分部财务数据库向总集成财务数据库传输财务数据，而不允许财务数据反向传输，即不允许总集成财务数据库向经过授权且处于合法状态的分部财务数据库传输财务数据，具体的过滤方法包括以下步骤：

所述源节点选取以下安全参数：

一个1024位的素数p和一个257位的素数q，一个选自剩余类环Z_p的随机数g，且对任意整数t而言，满足k^tpmodp≡1；存在(m+n)个私钥x₁,x₂,…,x_m+n,x_j∈Z_q,公钥y₁,y₂,…,y_m+n,y_j＝k^xjmodp,j＝1,2,…,m+n；

源节点将参数p,q和g发送给目标节点；

Step2，源节点计算n个待分发数据包的同型签名函数

式中，

为待分发数据包签名、

为第i个待分发数据包；

签名后的输出信息

为：

式中，α为误判率；

源节点将输出信息

传送给目标节点；

Step3，目标节点将收到的数据包按顺序放入一个共享的输入缓冲区内，并取出缓冲区队列中的前g个数据包，将他们组合成一个新的矩阵：

Y_g×(m+n)＝[Y₁,Y₂,…,Y_g]^T (3)；

创建Y_g×(m+n)的子矩阵X_g×g∈Y_g×(m+n)，其中X_g×g的每个列向量X_i(1≤i≤g)独立随机地选自矩阵Y_g×(m+n)；

计算矩阵X_g×g的线性相关性，然后根据计算结果将Y_g×(m+n)中线性相关的数据包丢弃；

如果线性相关的数据包数量大于2，那么目标节点就认为源节点是恶意节点，此时目标节点发出警告信息并且直接切断这条链路；

在A分部财务数据库的网络进出端口处部署有A分库防火墙系统；

在B分部财务数据库的网络进出端口处部署有B分库防火墙系统；

在N分部财务数据库的网络进出端口处部署有N分库防火墙系统；

该分库防火墙系统也包括数据包过滤模块Ⅱ，该数据包过滤模块Ⅱ的过滤逻辑条件是只允许分部财务数据库向总集成财务数据库传输财务数据，而不允许一个分部财务数据库向其他的分部财务数据库传输财务数据，更不允许任一个分部财务数据库向其他任一数据库传输财务数据，具体的过滤方法包括：

令分部财务数据库所在的网络节点作为数据包的目标节点、总集成财务数据库所在的网络节点作为数据包的源节点；

在源节点上构建通信权限列表，该通信权限列表由用户信息、通道类型、传输方向控制信息组成，其中的传输方向控制信息是：允许从目标节点向源节点通信、禁止从一个目标节点向另一个目标节点通信、禁止从任一目标节点向其他节点通信；

其中，防火墙使用拦截技术拦截到财务数据库接收或发送的数据包，对拦截到的数据包使用策略分析，从而决定是否让数据包通过，由于总集成财务数据库与分部财务数据库之间的连接都要通过防火墙系统的介入和转换，通过安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给总集成财务数据库与分部财务数据库系统以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵总集成财务数据库与分部财务数据库系统；

如图2所示，在总集成财务数据库的访问控制端口处部署有总库数据加密模块、总库权限管理模块、总库用户认证模块；

其中，在财务数据存储到总集成财务数据库内时，总库数据加密模块同步选择表级、字段进行加密，对重要的会计凭证和报表进行加密，该加密方法包括：

②具有总集成财务数据库管理权限的用户将存储到总集成财务数据库内的财务数据编码到E_p(a，b)上的一点M，并生成一个在二进制域F₂ ^m上的随机数s，且使M＝sR成立，得到加密密文C＝M+sK；

总库权限管理模块包括两个具有超级权限的用户，分别为功能权限用户与数据权限用户，功能权限用户负责总集成财务数据库访问用户组的创建与权限的分配，数据权限用户对功能权限用户的设置进行审核，并且两超级用户分属不同的人员所使用；

总库权限管理模块对访问用户的创建与权限分配的方法具体包括：访问用户在总库权限管理模块的管理系统上进行用户注册，功能权限用户对访问用户进行权限分配及授权，数据权限用户对功能权限用户所进行的权限分配及授权设置进行审核，之后采集所述审核通过的访问用户的人脸图像，并将该人脸图像与所述注册信息和权限分配及授权匹配成用户数据组，之后进行存储；

为了提高总集成财务数据库的安全性能，总库用户认证模块对经过总库权限管理模块授权的访问用户进行权限认证，只有访问用户的身份通过了总库用户认证模块的权限认证，才允许其访问总集成财务数据库，并执行与总库权限管理模块所分配权限匹配的操作；

总库用户认证模块对访问用户进行权限认证的方法包括：总库用户认证模块采集总集成财务数据库访问用户的人脸图像，并将所采集的人脸图像与总库权限管理模块所存储的用户数据组中的人脸图像进行比对，若总库用户认证模块所采集的人脸图像与总库权限管理模块所存储的用户数据组中的人脸图像证实为同一个用户，则允许所述访问用户访问总集成财务数据库，并执行与总库权限管理模块所分配权限匹配的操作，否则就拒绝；

如图3所示，在分部财务数据库的访问控制端口处部署有分库数据加密模块、分库权限管理模块、分库用户认证模块；

其中，在财务数据存储到分部财务数据库内时，分库数据加密模块同步选择表级、字段进行加密，对重要的会计凭证和报表进行加密，该加密方法包括：

①具有分部财务数据库管理权限的用户在二进制域F₂ ^m上随机选定一条椭圆曲线E_p(a，b)，在该椭圆曲线E_p(a，b)上随机选取一点R作为基点，在二进制域F₂ ^m上选取私有密钥k，系统自动生成在二进制域F₂ ^m上的公开密钥K，且使K＝kR成立；

②具有分部财务数据库管理权限的用户将存储到分部财务数据库内的财务数据编码到E_p(a，b)上的一点M，并生成一个在二进制域F₂ ^m上的随机数s，且使M＝sR成立，得到加密密文C＝M+sK；

分库权限管理模块包括两个具有超级权限的用户，分别为功能权限用户与数据权限用户，功能权限用户负责分部财务数据库访问用户组的创建与权限的分配，数据权限用户对功能权限用户的设置进行审核，并且两超级用户分属不同的人员所使用；

分库权限管理模块对访问用户的创建与权限分配的方法具体包括：访问用户在分库权限管理模块的管理系统上进行用户注册，功能权限用户对访问用户进行权限分配及授权，数据权限用户对功能权限用户所进行的权限分配及授权设置进行审核，之后采集所述审核通过的访问用户的人脸图像，并将该人脸图像与所述注册信息和权限分配及授权匹配成用户数据组，之后进行存储；

为了提高分部财务数据库的安全性能，分库用户认证模块对经过分库权限管理模块授权的访问用户进行权限认证，只有访问用户的身份通过了分库权限管理模块的权限认证，才允许其访问分部财务数据库，并执行与分库权限管理模块所分配权限匹配的操作；

分库用户认证模块对访问用户进行权限认证的方法包括：分库用户认证模块采集分部财务数据库访问用户的人脸图像，并将所采集的人脸图像与分库权限管理模块所存储的用户数据组中的人脸图像进行比对，若分库用户认证模块所采集的人脸图像与分库权限管理模块所存储的用户数据组中的人脸图像证实为同一个用户，则允许所述访问用户访问分部财务数据库，并执行与分库权限管理模块所分配权限匹配的操作，否则就拒绝。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims

1.一种财务数据安全管理系统，其特征在于，包括总集成财务数据库和分部财务数据库，在总集成财务数据库的网络进出端口处部署有总库防火墙系统，在分部财务数据库的网络进出端口处部署有分库防火墙系统；

2.根据权利要求1所述的财务数据安全管理系统，其特征在于，所述分库防火墙系统的过滤逻辑条件是不允许一个分部财务数据库向其他的分部财务数据库传输财务数据。

3.根据权利要求2所述的财务数据安全管理系统，其特征在于，所述分库防火墙系统的过滤逻辑条件是不允许任一个分部财务数据库向其他任一数据库传输财务数据。

4.根据权利要求3所述的财务数据安全管理系统，其特征在于，所述总集成财务数据库的访问控制端口处部署有总库数据加密模块、总库权限管理模块、总库用户认证模块。

5.根据权利要求4所述的财务数据安全管理系统，其特征在于，所述总库数据加密模块选择表级、字段进行加密，对重要的会计凭证和报表进行加密，该加密方法包括：

6.根据权利要求5所述的财务数据安全管理系统，其特征在于，所述总库权限管理模块包括两个具有超级权限的用户，分别为功能权限用户与数据权限用户，功能权限用户负责总集成财务数据库访问用户组的创建与权限的分配，数据权限用户对功能权限用户的设置进行审核。

7.根据权利要求6所述的财务数据安全管理系统，其特征在于，所述总库权限管理模块对访问用户的创建与权限分配方法包括：访问用户在总库权限管理模块的管理系统上进行用户注册，功能权限用户对访问用户进行权限分配及授权，数据权限用户对功能权限用户所进行的权限分配及授权设置进行审核，之后采集访问用户的人脸图像，并将该人脸图像与所述注册信息和权限分配及授权匹配成用户数据组。

8.根据权利要求7所述的财务数据安全管理系统，其特征在于，所述总库用户认证模块对经过总库权限管理模块授权的访问用户进行权限认证，该认证方法包括：总库用户认证模块采集总集成财务数据库访问用户的人脸图像，并将所采集的人脸图像与总库权限管理模块中注册用户的人脸图像进行比对，若总库用户认证模块所采集的人脸图像与总库权限管理模块中注册用户的人脸图像为同一个用户，则允许所述访问用户访问总集成财务数据库，并执行与总库权限管理模块所分配权限匹配的操作，否则就拒绝。

9.根据权利要求8所述的财务数据安全管理系统，其特征在于，所述分部财务数据库的访问控制端口处部署有分库数据加密模块、分库权限管理模块、分库用户认证模块。