高校財務(wù)管理信息系統(tǒng)網(wǎng)路安全解決方案

　　摘要：高校財務(wù)信息化在高校數(shù)字化、信息化過程中發(fā)揮著越來越重要的作用，但隨著高校財務(wù)管理信息系統(tǒng)專用網(wǎng)規(guī)模的不斷擴大，網(wǎng)絡(luò)安全問題日益突出。文章在分析目前專網(wǎng)所存在安全問題的基礎(chǔ)上，提出了一套針對專網(wǎng)安全的整體解決方案。
　　關(guān)鍵詞：安全；網(wǎng)絡(luò)；財務(wù)管理信息系統(tǒng)
　　
　　隨著我國信息技術(shù)的快速發(fā)展。加快我國教育信息化發(fā)展已經(jīng)成為推動我國教育實現(xiàn)跨越式發(fā)展的戰(zhàn)略選擇。高校財務(wù)管理信息化作為教育信息化的一部分，隨著教育信息化的飛速發(fā)展也得到了快速發(fā)展。但由于高校財務(wù)部門缺乏信息技術(shù)人員。財務(wù)管理信息系統(tǒng)專用網(wǎng)存在著安全隱患。
　　
　　一、高校財務(wù)管理信息系統(tǒng)網(wǎng)路存在的安全問題
　　
　　(一)物理層的安全問題
　　物理層的安全問題是指由于物理設(shè)備的放置不合適或者防范措施不得力，使得服務(wù)器、工作站、交換機、路由器等網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等網(wǎng)絡(luò)線路以及UPS和電纜線等電源提供設(shè)備遭受水災(zāi)、火災(zāi)、地震、雷電等自然災(zāi)害、意外事故或人為破壞，造成財務(wù)管理系統(tǒng)專用網(wǎng)不能正常運行。物理安全是制訂財務(wù)管理系統(tǒng)專用網(wǎng)安全整體解決方案時首先應(yīng)考慮的問題。
　　
　　(二)系統(tǒng)和應(yīng)用軟件存在的漏洞威脅
　　在財務(wù)管理信息系統(tǒng)中使用的各種操作系統(tǒng)和應(yīng)用軟件不可能沒有缺陷或漏洞，這些缺陷或漏洞如未及時發(fā)現(xiàn)。就會被攻擊者通過掃描或其他方式所利用，成為黑客攻擊的首選目標。國際上一些安全組織已經(jīng)發(fā)布了大量的安全漏洞，其中一些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限，一些漏洞則可以被用來實施拒絕服務(wù)攻擊。一些漏洞則成為病毒攻擊的對象。如近年的“沖擊波”、“震蕩波”以及最近的“狙擊波”病毒就是利用windows操作系統(tǒng)本身的漏洞進行攻擊的。
　　
　　(三)計算機病毒入侵
　　計算機病毒是網(wǎng)絡(luò)安全最大的威脅因素，有著巨大的破壞性。其中之一是通過計算機網(wǎng)絡(luò)傳播的病毒，其傳播速度、影響面、清除難度、破壞力等都不是單機病毒所能比擬的。近年來的“CIH病毒”、“愛蟲病毒”、“震蕩波”等網(wǎng)絡(luò)病毒對全球計算機網(wǎng)絡(luò)造成了極大的破壞和嚴重的經(jīng)濟損失。
　　
　　(四)其它因素
　　隨著學(xué)校規(guī)模的擴大，校區(qū)的增加，財務(wù)管理系統(tǒng)網(wǎng)絡(luò)與原來的局域網(wǎng)變得更大了。使得網(wǎng)絡(luò)監(jiān)管更是難上加難。首先是安全管理政策的不完善，還不能夠有效地規(guī)范和約束教工的上網(wǎng)行為；其次是許多教工的計算機網(wǎng)絡(luò)安全意識薄弱、安全知識缺乏，因此，財務(wù)的安全組織建設(shè)亟待加強。
　　
　　二、高校財務(wù)管理信息系統(tǒng)網(wǎng)路的解決方案
　　
　　財務(wù)管理信息系統(tǒng)網(wǎng)絡(luò)安全問題是一個系統(tǒng)工程，不是單純的技術(shù)問題。它涉及物理安全、系統(tǒng)安全、技術(shù)安全、管理安全等諸多方面。只有建立一套能解決財務(wù)管理信息系統(tǒng)專用網(wǎng)安全威脅的整體解決方案，才能保證財務(wù)管理系統(tǒng)的各種資源免受自然或人為的破壞，確保財務(wù)管理信息系統(tǒng)專用網(wǎng)的安IC8ueL8dbmAPInwfwVm1xA==全運行。因此，必須從系統(tǒng)的觀點去考慮。下面，筆者以本校財務(wù)管理信息系統(tǒng)專用網(wǎng)為例提出一種安全的整體解決方案。財務(wù)管理信息系統(tǒng)安全可靠的使用要考慮以下幾個方面。
　　
　　(一)物理安全
　　保證計算機網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個網(wǎng)絡(luò)安全的前提。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。其目的是保護計算機系統(tǒng)、服務(wù)器、路由器等硬件實體、通信鏈路層網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路等免受自然災(zāi)害、人為破壞和搭線攻擊等。它主要包括兩個方面：
　　1　環(huán)境安全。對系統(tǒng)所在環(huán)境的安全保護，確保計算機系統(tǒng)以及各種網(wǎng)絡(luò)設(shè)備有一個良好的電磁兼容工作環(huán)境。
　　2　設(shè)備安全。包括設(shè)備的防盜、防毀、防雷、防潮、防鼠、防電磁信息輻射泄漏、抗電磁干擾及電源保護等方面。
　　
　　(二)整體安全技術(shù)解決方案
　　財務(wù)管理信息系統(tǒng)專用網(wǎng)在其網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上。采取必要的技術(shù)手段，增加了相應(yīng)的安全設(shè)備，建立了一套解決其專用網(wǎng)安全威脅的整體解決方案。其網(wǎng)絡(luò)拓補結(jié)構(gòu)一般比較復(fù)雜。
　　1　制定安全訪問策略，合理規(guī)劃網(wǎng)絡(luò)
　　各高校財務(wù)應(yīng)該根據(jù)自己的實際情況。在中心交換機和路由器上制定合適的訪問控制策略以及臺理的劃分虛網(wǎng)(vlan)。例如，通過在路由器上建立適當?shù)脑L問控制列表，能有效控制內(nèi)部IP地址對外部網(wǎng)絡(luò)的訪問權(quán)限；限制外部lP地址對專用網(wǎng)內(nèi)部的訪問權(quán)限；限制專用網(wǎng)內(nèi)部vlan之間的訪問權(quán)限以及限制對相應(yīng)端口的訪問等。而通過對vlan的創(chuàng)建，可以提高網(wǎng)絡(luò)的整體性和安全性，有效地控制網(wǎng)絡(luò)中廣播風(fēng)暴的產(chǎn)生，使網(wǎng)絡(luò)管理更加簡單、直觀。
　　2　建立病毒防護體系
　　 網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)安全的重要因素，如何防護網(wǎng)絡(luò)病毒也就成為財務(wù)管理信息系統(tǒng)專用網(wǎng)安全必須考慮的重要問題。因此必須在專用網(wǎng)上安裝防病毒體系。防病毒軟件系統(tǒng)要具有遠程安裝、遠程報警、集中管理、分布查殺病毒等多種功能。
　　3　多級訪問控制
　　訪問控制要在操作系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用軟件三級采取安全保護措施。在操作系統(tǒng)級，用戶在開機時要輸入用戶名和口令，如果口令不符，不準啟動系統(tǒng)。用戶上網(wǎng)后，也要對輸入口令進行驗證，網(wǎng)絡(luò)系統(tǒng)查看它是不是網(wǎng)上的合法用戶，若不是則拒絕上網(wǎng)。進入系統(tǒng)后若要訪問系統(tǒng)資源，在應(yīng)用級中必須核對用戶權(quán)限，看此用戶是否有權(quán)訪問該資源，如訪問權(quán)限與系統(tǒng)設(shè)置不符，則拒絕訪問。為保護數(shù)據(jù)的安全。對數(shù)據(jù)庫的存取、修改要設(shè)置權(quán)限，嚴防非法用戶的侵入或超級操作。多級訪問應(yīng)控制在會計信息化局域網(wǎng)內(nèi)，數(shù)據(jù)和流量必須加以控制，否則可能導(dǎo)致數(shù)據(jù)產(chǎn)生碰撞，引起信息丟失或網(wǎng)絡(luò)掛起等現(xiàn)象。為了避免上述現(xiàn)象發(fā)生，必須嚴格使用網(wǎng)絡(luò)協(xié)議。
　　4　數(shù)據(jù)備份和恢復(fù)技術(shù)
　　數(shù)據(jù)是整個財務(wù)系統(tǒng)網(wǎng)絡(luò)的核心，數(shù)據(jù)的絕對安全是不可能的，一套完整的數(shù)據(jù)備份和恢復(fù)措施是財務(wù)管理迫切需要的。財務(wù)信息技術(shù)部門必須將系統(tǒng)的數(shù)據(jù)或狀態(tài)按照一定的周期存儲在磁帶(或磁盤)上，并將磁帶(或磁盤)離線存放。在系統(tǒng)需要恢復(fù)時，備份的數(shù)據(jù)可以從磁帶恢復(fù)到生產(chǎn)系統(tǒng)中。
　　
　　(三)加強網(wǎng)絡(luò)管理制度建設(shè)
　　嚴格的管理制度是保證專網(wǎng)安全的重要措施之一，要從實際出發(fā)，制定切實可行的管理制度。
　　1　加強專網(wǎng)安全管理政策建設(shè)
　　機房要建立計算機系統(tǒng)使用管理規(guī)定(包括違反計算機管理規(guī)章制度的處理辦法)，網(wǎng)絡(luò)系統(tǒng)管理員、安全員、各業(yè)務(wù)部門主管和業(yè)務(wù)操作人員計算機密碼管理規(guī)定等內(nèi)控管理制度，嚴格實行運行、維護分離的崗位責(zé)任制。對應(yīng)用系統(tǒng)重要數(shù)據(jù)的修改要經(jīng)過授權(quán)并由專人負責(zé)，登記日志。建立健全備份制度，核心程序及數(shù)據(jù)要嚴格保密，實行專人保管。學(xué)校應(yīng)當成立信息安全領(lǐng)導(dǎo)小組，并明確其職責(zé)和工作制度，要制訂安全事故處理程序、應(yīng)急計劃等。
　　2　加強網(wǎng)絡(luò)管理員安全技術(shù)和用戶安全意識教育
　　對于新用戶的安全意識的培訓(xùn)，新生入學(xué)教育和新員工上崗培訓(xùn)是兩個比較好的時間，其他用戶可以開展一些教職工的在職培訓(xùn)、學(xué)生的文化課、選修課等形式的安全意識培訓(xùn)和基本技能的培訓(xùn)。對于網(wǎng)絡(luò)管理員，一定要重視技術(shù)培訓(xùn)，使他們自覺遵守和執(zhí)行安全制度，安全操作規(guī)程和安全技術(shù)規(guī)范。
　　
　　三、結(jié)束語
　　
　　網(wǎng)絡(luò)整體安全防范體系是一個動態(tài)的、不斷發(fā)展變化的綜合運行機制，選樣就對網(wǎng)絡(luò)管理者提出了更高的要求，其必須隨時掌握最新技術(shù)，不斷更新完善財務(wù)管理信息專用網(wǎng)安全體系，使專網(wǎng)運行更加安全、可靠、穩(wěn)