高校財(cái)務(wù)網(wǎng)絡(luò)化后的風(fēng)險(xiǎn)與安全對(duì)策

樊愛玲

（太原理工大學(xué)，山西 太原 030024）

高校財(cái)務(wù)網(wǎng)絡(luò)化后的風(fēng)險(xiǎn)與安全對(duì)策

樊愛玲

（太原理工大學(xué)，山西 太原 030024）

財(cái)務(wù)管理發(fā)展的必然趨勢(shì)是以計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)化財(cái)務(wù)管理方向，解決財(cái)務(wù)網(wǎng)絡(luò)安全是實(shí)現(xiàn)網(wǎng)絡(luò)化財(cái)務(wù)管理的前提。文章針對(duì)高校財(cái)務(wù)網(wǎng)絡(luò)安全問題，并結(jié)合高校實(shí)際情況，提出了強(qiáng)化網(wǎng)絡(luò)安全意識(shí)、創(chuàng)建網(wǎng)絡(luò)安全規(guī)則、落實(shí)網(wǎng)絡(luò)安全維護(hù)的安全風(fēng)險(xiǎn)防范措施。

高校財(cái)務(wù)；網(wǎng)絡(luò)安全

隨著知識(shí)經(jīng)濟(jì)的蓬勃發(fā)展，計(jì)算機(jī)信息技術(shù)已滲透到社會(huì)的各個(gè)方面，高校財(cái)務(wù)領(lǐng)域在網(wǎng)絡(luò)環(huán)境下發(fā)生了深刻的變革，其中以信息化建設(shè)尤為突出。

當(dāng)以計(jì)算機(jī)技術(shù)為平臺(tái)的信息技術(shù)和網(wǎng)絡(luò)技術(shù)迅猛發(fā)展時(shí)，為搭上信息化建設(shè)這條大船，各大高校結(jié)合自身?xiàng)l件搭建起了校園局域網(wǎng)。依托這個(gè)平臺(tái)，以教務(wù)、教學(xué)、招生、財(cái)務(wù)為主的高校各部門紛紛外部采購或自行開發(fā)了適用于本部門的軟件系統(tǒng)，雖然借助高速、先進(jìn)的計(jì)算機(jī)軟、硬件平臺(tái)，將網(wǎng)絡(luò)技術(shù)與財(cái)務(wù)工作結(jié)合在一起，實(shí)現(xiàn)數(shù)據(jù)共享和資源共享，使財(cái)務(wù)工作更快捷、準(zhǔn)確和規(guī)范，有效提高了財(cái)務(wù)工作效率。但是信息的開放性和共享性這個(gè)財(cái)務(wù)網(wǎng)絡(luò)的最大優(yōu)點(diǎn)，很多時(shí)候在人為因素的影響下反而成為整個(gè)系統(tǒng)中的一大隱患，網(wǎng)絡(luò)安全將成為經(jīng)濟(jì)信息時(shí)代的一個(gè)焦點(diǎn)課題。

一、財(cái)務(wù)系統(tǒng)安全問題

（一）管理安全風(fēng)險(xiǎn)

管理安全風(fēng)險(xiǎn)是指由于沒有進(jìn)行必要的安全知識(shí)培訓(xùn)，或者是操作人員不遵守本部門信息安全規(guī)范，造成數(shù)據(jù)丟失、損壞等問題。

在所有安全問題中，人為因素最主要也最難以防范，因?yàn)橹贫仁撬赖模耸腔畹摹ｋm然我們制定了完善的制度和設(shè)置了完備的權(quán)限控制機(jī)制，但總有軟件開發(fā)者為了滿足客戶需要，開發(fā)一些所謂的后門程序來跳過安全檢查；也總有操作人員使用未全面殺毒的移動(dòng)存儲(chǔ)介質(zhì)，或者安裝一些與業(yè)務(wù)無關(guān)甚至是有很高風(fēng)險(xiǎn)的軟件、游戲等。

（二）信息安全風(fēng)險(xiǎn)

在網(wǎng)絡(luò)環(huán)境下，財(cái)務(wù)信息的保密性和公開性相互矛盾。賬務(wù)信息屬于機(jī)密信息，無關(guān)人員不能獲取，但是，為保證其他部門分享財(cái)務(wù)數(shù)據(jù)，我們又不得不將部分甚至全部數(shù)據(jù)在不夠安全的校園網(wǎng)中傳遞。我們?cè)诶镁W(wǎng)絡(luò)共享功能分享財(cái)務(wù)信息的同時(shí)，也將數(shù)據(jù)暴露于風(fēng)險(xiǎn)之中。信息安全風(fēng)險(xiǎn)包括財(cái)務(wù)信息泄密和惡意篡改，甚至被非法刪除，造成整個(gè)軟件系統(tǒng)癱瘓、數(shù)據(jù)丟失等較大損失。

（三）非法入侵和攻擊風(fēng)險(xiǎn)

在計(jì)算機(jī)環(huán)境下，電子信息代替了會(huì)計(jì)數(shù)據(jù)，磁盤代替了紙張。網(wǎng)絡(luò)環(huán)境中除非物理鏈接斷開，否則一切信息都可以被訪問到。財(cái)務(wù)系統(tǒng)很難避免非法侵?jǐn)_，一些入侵者可能出于各種目的，有意或無意地?fù)p壞數(shù)據(jù)、資料等。

就目前高校計(jì)算機(jī)網(wǎng)絡(luò)管理現(xiàn)狀而言，硬件建設(shè)很完善，而管理一片空白，網(wǎng)絡(luò)管理人員水平還停留在僅能保障網(wǎng)絡(luò)通暢層面，對(duì)于網(wǎng)絡(luò)故障診斷、網(wǎng)絡(luò)安全防范等更深層次的內(nèi)容，可謂一知半解。

（四）病毒傳播風(fēng)險(xiǎn)

隨著網(wǎng)銀、金財(cái)工程的推進(jìn)，為配合業(yè)務(wù)需要，財(cái)務(wù)計(jì)算機(jī)需要與互聯(lián)網(wǎng)連接，這使得計(jì)算機(jī)系統(tǒng)感染病毒的幾率和病毒防范的難度更大。當(dāng)一臺(tái)計(jì)算機(jī)感染了病毒后，在網(wǎng)絡(luò)環(huán)境中病毒會(huì)以很快的速度進(jìn)行傳播和破壞，二十年以來對(duì)計(jì)算機(jī)系統(tǒng)破壞最大的十種病毒中有九種都是利用網(wǎng)絡(luò)傳播的。

（五）軟、硬件兼容風(fēng)險(xiǎn)

硬件系統(tǒng)能夠發(fā)揮最大效率，很大程度上取決于軟件的合理開發(fā)和正確配置，但目前軟件開發(fā)人員水平參差不齊，開發(fā)工具也不盡相同，在開發(fā)過程中沒有很好地了解硬件系統(tǒng)的開發(fā)規(guī)范，從而導(dǎo)致所開發(fā)的很多軟件從運(yùn)行效率和安全上得不到保障，甚至人為“創(chuàng)造”出很多錯(cuò)誤（BUG）和漏洞。

二、高校財(cái)務(wù)網(wǎng)絡(luò)的安全防范對(duì)策

（一）強(qiáng)化網(wǎng)絡(luò)安全意識(shí)

會(huì)計(jì)信息化對(duì)于每一個(gè)財(cái)務(wù)人員來說都是一個(gè)新課題，強(qiáng)化網(wǎng)絡(luò)信息安全重要性宣傳，樹立正確的網(wǎng)絡(luò)信息安全意識(shí)，必須在操作人員的思想上安裝一道堅(jiān)固的“防火墻”。要對(duì)操作人員分層次、分級(jí)別進(jìn)行網(wǎng)絡(luò)安全知識(shí)教育，建立網(wǎng)絡(luò)信息安全操作守則，把網(wǎng)絡(luò)信息安全技能納入日常工作和業(yè)務(wù)考核之中。財(cái)務(wù)人員要從思想上認(rèn)識(shí)網(wǎng)絡(luò)安全的重要性，共同維護(hù)財(cái)務(wù)網(wǎng)絡(luò)的安全。

（二）創(chuàng)建網(wǎng)絡(luò)安全規(guī)則

1．建立健全財(cái)務(wù)網(wǎng)絡(luò)安全管理制度

高校應(yīng)遵照相關(guān)法律、法規(guī)建立健全財(cái)務(wù)網(wǎng)絡(luò)安全管理制度，包括會(huì)計(jì)電算化崗位責(zé)任制、財(cái)務(wù)網(wǎng)絡(luò)操作管理制度、計(jì)算機(jī)軟、硬件數(shù)據(jù)管理制度和網(wǎng)絡(luò)信息安全管理制度。在制定這些制度時(shí)，應(yīng)該充分體現(xiàn)對(duì)系統(tǒng)和數(shù)據(jù)安全的保障。單位負(fù)責(zé)人應(yīng)重視并落實(shí)這些制度和規(guī)范，定期檢查執(zhí)行情況，發(fā)現(xiàn)問題及時(shí)按照規(guī)定處理，使日常工作制度化，建立規(guī)范有序的業(yè)務(wù)流程和管理模式。

2．加強(qiáng)建設(shè)高校信息化管理人才

（1）把網(wǎng)絡(luò)信息建設(shè)和網(wǎng)絡(luò)信息安全管理工作融為一體，在規(guī)劃網(wǎng)絡(luò)時(shí)就應(yīng)當(dāng)把安全性和可靠性放在首位。

（2）建立網(wǎng)絡(luò)信息安全管理機(jī)構(gòu)，結(jié)合高校實(shí)際情況和網(wǎng)絡(luò)信息安全的發(fā)展趨勢(shì)，不斷學(xué)習(xí)。

（3）開展前瞻性研究，為高校的財(cái)務(wù)網(wǎng)絡(luò)信息安全提供自主、創(chuàng)新、整體的理論指導(dǎo)和基礎(chǔ)構(gòu)件，為網(wǎng)絡(luò)信息安全工程奠定堅(jiān)實(shí)的基礎(chǔ)。

（三）落實(shí)網(wǎng)絡(luò)安全維護(hù)

1．建立備份機(jī)制

對(duì)于重要財(cái)務(wù)軟件，從數(shù)據(jù)上講應(yīng)實(shí)行定期自動(dòng)備份和不定期手工備份相結(jié)合，本地和異地存放相結(jié)合的原則。從技術(shù)上講，可采用服務(wù)器雙機(jī)熱備份、RAID鏡像技術(shù)等，按照“積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速反應(yīng)、確保恢復(fù)”的要求做好數(shù)據(jù)備份工作。備份數(shù)據(jù)要在安全可靠的多個(gè)存儲(chǔ)介質(zhì)上加密保存，重要數(shù)據(jù)應(yīng)保證多份備份，且存放在不同的地點(diǎn)，由專人保管，以保證遇到災(zāi)難時(shí)可及時(shí)恢復(fù)。

2．實(shí)施全面的技術(shù)控制

就高校財(cái)務(wù)系統(tǒng)現(xiàn)狀而言，接入校園網(wǎng)所帶來的風(fēng)險(xiǎn)大于利益，所以，在網(wǎng)絡(luò)安全和管理人員不完備的情況下可先不連接校園網(wǎng)。如果必須接入校園網(wǎng)，那么需要注意以下幾點(diǎn)：

（1）保證網(wǎng)絡(luò)設(shè)備和線纜的安全，定期檢查交換機(jī)端口并觀察有無異常收發(fā)信息報(bào)文。

（2）設(shè)置訪問外網(wǎng)專用計(jì)算機(jī)，徹底隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，如果內(nèi)網(wǎng)計(jì)算機(jī)必須使用移動(dòng)存儲(chǔ)設(shè)備，需全面殺毒后再使用。

（3）加設(shè)防火墻（Firewall），防止外部非法用戶訪問。

（4）采用數(shù)據(jù)加密技術(shù)，防止非法用戶截獲信息。

（5）運(yùn)用數(shù)字簽名。可有效驗(yàn)證用戶身份、保證數(shù)據(jù)完整。

（6）使用安全協(xié)議。如安全電子交易規(guī)范、安全接口層協(xié)議及安全超文本傳輸協(xié)議等。

（7）高校內(nèi)部安裝網(wǎng)絡(luò)管理軟件，實(shí)行網(wǎng)絡(luò)接入實(shí)名制，要求所有接入校園網(wǎng)的用戶使用實(shí)名登錄。

（8）操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、財(cái)務(wù)軟件應(yīng)及時(shí)安裝正規(guī)渠道發(fā)布的補(bǔ)丁程序和升級(jí)程序，提高整個(gè)系統(tǒng)的安全性。

3．操作人員安全規(guī)則

合理分配數(shù)據(jù)訪問賬號(hào)中操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和財(cái)務(wù)會(huì)計(jì)軟件的權(quán)限，由用戶自行設(shè)置密碼，要求密碼長度和復(fù)雜性達(dá)到標(biāo)準(zhǔn)，并定期修改密碼，防止泄露賬號(hào)及密碼。權(quán)限設(shè)置的原則是“最小化和互斥性”，也就是能不給予的權(quán)限不給予，給予某個(gè)用戶權(quán)限就不要再給予其他用戶該權(quán)限。

“三分技術(shù)，七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言。其原意是：網(wǎng)絡(luò)安全中的30%依靠計(jì)算機(jī)系統(tǒng)信息安全設(shè)備和技術(shù)保障，而70%則依靠用戶安全管理意識(shí)的提高以及管理模式的更新。所以提高管理水平，技術(shù)不是關(guān)鍵，關(guān)鍵在制度和執(zhí)行。

廣大財(cái)務(wù)工作人員要有清醒的認(rèn)識(shí)，要具有前瞻性和敏銳性，充分認(rèn)識(shí)網(wǎng)絡(luò)環(huán)境下所面臨的安全問題，促進(jìn)高校會(huì)計(jì)電算化向財(cái)務(wù)網(wǎng)絡(luò)化管理的轉(zhuǎn)變，積極探索網(wǎng)絡(luò)安全方案，為高校財(cái)務(wù)事業(yè)的健康發(fā)展作出貢獻(xiàn)。

［1］栗永鋒．基于校園網(wǎng)的高校財(cái)務(wù)信息公開化研究［J］．財(cái)會(huì)通訊，2004，（6）．

［2］陳麗羽．高校財(cái)務(wù)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)防范探析［J］．中國管理信息化(綜合版)，2006，（1）．

［3］王霞．淺談高校財(cái)務(wù)網(wǎng)絡(luò)系統(tǒng)管理［J］．廣西社會(huì)科學(xué)，2003，（10）．

［4］文興斌．網(wǎng)絡(luò)財(cái)務(wù)安全控制對(duì)策分析［J］．農(nóng)業(yè)網(wǎng)絡(luò)信息，2005，（12）．

F23

A

1673-0046（2011）10-0091-02