高校網絡財務系統數據安全影響因素及其對策研究

　　 摘 要：隨著高校財務信息化的不斷發展，高校財務信息系統在創造高收益的同時也不可避免地產生各種數據安全問題。文章深入分析高校財務系統數據安全的概念，進而剖析高校財務數據系統影響數據安全的因素，并提出相應的策略和建議，為高校財務信息系統數據安全運行提供有效支持。
　　 關鍵詞：高校 財務系統 數據安全 對策
　　 中圖分類號:G475 文獻標識碼:A
　　 文章編號:1004-4914（2011）12-107-02
　　
　　 近年來，隨著高等學校辦學規模的不斷擴大，過去以傳統的手工方式為主的會計工作模式已經遠遠不能滿足高校財務管理在新形勢的需求，因此基于網絡技術的高校內部會計控制就成為了高校財務管理的主要形式。而在網絡化實施的過程中，如何確保財務數據的安全，財務網絡不被侵犯，是高校財務工作人員和管理人員面臨的新問題。高校財務數據是體現核心競爭力的重要信息資源，它如果因自然、計算機系統故障或人為的因素而遭受破壞，將給高校帶來難以估量的損失，甚至是滅頂之災。維護系統數據的正確性、防止系統外部對系統數據不合法的訪問、保證系統數據在發生意外時能及時恢復，是確保高校財務信息系統安全的一項重要工作。
　　 一、高校財務系統數據安全的概念
　　 高校財務系統數據安全是指保護數據不會被意外地或故意地泄露給未經授權的人員，以及免遭未經授權的修改或破壞。數據安全是一個涉及計算機技術、網絡技術、通信技術、加密技術、應用數學、信息論等多項技術的學科。數據安全是重要信息系統安全保障的核心問題之一，數據安全功能通過操作系統、安全訪問控制措施、數據庫/數據通信產品、備份/恢復程序、應用程序以及外部控制程序來實現。
　　 互聯網的出現極大地改變了高校財務系統的運作模式。越來越多的高校按照新體系的要求，把原先分散式的跨校區的財務數據合并收攏，集中起來放在一個巨大無比的財務數據中心里以節省成本。在新體系下，遍布高校各校區的財務人員、合作伙伴及客戶只要用簡單的Web 方式就可以方便地使用這個數據中心，從而使整個高校財務系統成為一個信息通暢、變化靈活的數字神經網，如高校財務系統上線后，以前按不同業務劃分開的信息孤島也被全面整合在以會計流程為中心的會計信息系統中，從各個環節中不斷產生的會計業務數據源源不斷地流向高校財務數據中心。在這個更充分和完整的財務數據倉庫里，高校相關部門和人員可以進行更多的財務數據挖掘和決策信息的智能分析，從而對高校的資金流變化更敏捷、更有效地作出相應決策。高校財務數據的集中有利于降低成本，但遭遇危險的破壞性也在同步提高。保障財務數據的安全越來越受到各高校財務部門的重視。
　　 二、影響高校財務系統數據安全的因素
　　 目前，隨著大中型關系數據庫的廣泛使用，在高校財務系統中開發模式逐漸以C/S、B/S架構和多層的應用系統為主流。這些財務系統的共同特征是：用戶在終端機上直接或通過中間層的應用服務器來訪問數據，而數據則集中存放在數據庫中。利用這些財務系統固有的弱點和脆弱性，信息系統中的具有重要價值的信息可以被不留痕跡地竊取，非法訪問可以造成系統內財務信息受到侵害，存儲媒質失控，數據可訪問性降低等。保護數據成為了一項復雜且成本高昂的任務。
　　 影響數據安全的因素主要有以下幾點：
　　 1.物理和環境的威脅。這主要包括支持財務數據庫系統的硬件環境發生故障，從而導致高校財務數據庫信息丟失或不可用。自然災害引起的系統破壞，主要是硬件環境的破壞。
　　 2.網絡上的威脅。目前，通過網絡對計算機系統進行攻擊的方法層出不窮，這使得網絡環境下的數據庫及其所處的軟件環境沒有安全保障。同時，網絡技術尤其是技術的發展與普及帶來了計算機病毒和木馬的大發展，從而使得計算機病毒對系統的威脅日益嚴重。與此同時，一些黑客也會利用財務系統漏洞破壞計算機的穩定性。
　　 3.非法訪問的威脅。這包括非法用戶通過各種手段獲取授權用戶的口令等信息，假冒該用戶身份獲得對數據庫的訪問許可，從而可以對數據庫進行任何該授權用戶權限范圍內的操作合法用戶通過種種手段提升訪問財務數據庫的權限，從而可以對本來無權訪問的數據進行任意的讀取、修改甚至刪除等操作。
　　 4.對數據庫的錯誤使用。這主要有授權用戶的失誤，錯誤地增加、刪除或修改財務數據庫中的數據，需要保密的敏感數據在輸人數據庫時已經泄露等等。
　　 5.數據庫管理員的責任。管理員由于自身能力或責任心問題不能很好地利用財務數據庫的安全保護機制建立合理的安全策略，造成數據庫安全管理的混亂，不能按時維護和審核數據庫系統，從而不能發現系統受到的危害。
　　 6.數據庫系統自身的安全缺陷。目前，我們所使用的數據庫絕大部分都是國外研制的。由于外國政府的種種限制，出口的數據庫都只是符合可信計算機系統評估準則和可信數據庫管理系統解釋中的類安全標準，其基本特征就是自主訪問控制。自主訪問控制允許用戶將自己擁有的訪問權限自主地轉讓給本來沒有該訪問權限的人，而系統無法對此進行控制。另外一般采用簡單的基于用戶口令的身份認證方式，而且用戶信息通常情況下都是以明文形式在網絡中傳輸的，由此可見其安全脆弱性。
　　 7.財務系統自身的缺陷。由于高校財務系統設計和開發的缺陷，系統中往往還存在一些問題。用戶權限界面劃分不清，財務用戶的口令設置簡單，保密性差，密碼大都明文存儲在數據庫中，容易給網外用戶入侵；軟件的安全性和保密性差；軟件中各核算模塊鏈接，模塊間的數據無法傳遞。問題的原因除了技術支持風險外，更大的原因是財務系統軟件過分重視報賬功能，而忽略了系統的日常維護與完善，并且在系統運行中缺乏有效的系統管理功能。
　　 三、確保高校財務系統數據安全的對策
　　 為保證高校財務系統中數據的安全，需要通過插入控制系統運行機制來預防事故性災害、遏制故意的破壞行為、盡快檢測到發生的數據安全問題、加強財務系統數據災難恢復能力。
　　 1.完善財務網絡的內部控制制度。為了更加有效地減少或避免由于高校財務部門內部人員道德風險、系統資源風險、計算機病毒等所造成的財務數據安全危害，除了要在財務系統設計等技術方面考慮數據安全外，還需要高校財務部門制訂完善的財務系統管理規章制度和嚴格、科學的財務系統軟件操作規程，只有這樣才能夠在多個層面上保證高校財務數據信息的真實性、準確性和可靠性。
　　 2.容災與數據備份技術。
　　 （1）容災系統。業務處理連續能力最高的是容災系統。網絡連接保證了兩個物理地點的網絡通訊完全冗余，并且一般在容災系統中處于激活狀態的系統通常由一個雙機熱備份系統構成。由于財務數據同時保存在兩個物理距離相對較遠的系統中，因此一個系統由于意外災難而停止工作，另外一個系統會將工作接管過來。實現財務數據的遠程復制主要有兩種方式：基于主機和基于存儲系統。目前使用最廣泛的是基于存儲系統的數據遠程復制方式。
　　 （2）備份系統。無論高校財務數據破壞出于何種原因、達到了何種嚴重程度，只要掌握著災難發生前的數據備份，就可以保證高校財務數據的安全。這就意味著當高校進行財務管理網絡建設的同時，數據安全問題就應該提到議事日程中來，特別是作為數據安全基礎的數據備份及災難恢復方案應與網絡建設同期實施。實施數據備份應做到以下三點：高校財務系統管理人員要制定針對財務數據庫、前置機服務平臺、應用服務平臺的詳盡的數據備份策略。備份策略中應包含文件系統備份，數據庫系統在線和離線數據備份、日志備份。應根據財務系統數據的重要程度和應用系統的工作負荷靈活制定數據備份的方式和執行頻率。高校財務系統管理員應定期檢查數據備份策略執行日志，檢查備份執行情況。所有備份的財務數據的介質集中保存在異地由專人保管。每次備份介質的交接要填寫交接記錄表。
　　
　　 3.權限控制。財務系統的權限控制是針對財務網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執行哪些操作?？梢愿鶕L問權限將用戶分為特殊用戶（即系統管理員）和一般用戶，財務系統管理員根據他們的實際需要為他們分配操作權限。網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、存取控制權限。
　　 4.數據加密技術。加密是實現高校財務數據存儲和傳輸保密性的一種重要手段，而數據加密標準則是一種被廣泛接受的加密算法，其目的是使入侵者無法找到真正的數據。加密能夠實現三個目的：驗證身份（確定合法發送方和接收方的身份）；控制（防止更該交易或信息）；保護隱私（防止監聽）。
　　 數字簽名技術就是一種常見的數據加密。數字簽名技術是解決網絡通信中發生否認、偽造、冒充、篡改等問題的安全技術。該技術在具體工作時，首先發送方對信息施以數學變換，所得的信息與原信息唯一對應；在接收方進行逆變換，得到原始信息。只要數學變換方法優良，變換后的信息在傳輸中就具有很強的安全性，很難被破譯、篡改。這一個過程稱為加密，對應的反變換過程稱為解密。
　　 數據加密的方法有對稱密鑰加密和非對稱密鑰加密。對稱加密：對稱加密指雙方具有共享的密鑰，只有在雙方都知道密鑰的情況下才能使用，通常應用于孤立的環境之中，比如在使用自動取款機（ATM）時，用戶需要輸入用戶識別號碼（PIN），銀行確認這個號碼后，雙方在獲得密碼的基礎上進行交易，對稱密鑰加密，加密解密速度快、算法易實現、安全性好，缺點是密鑰長度短、密碼空間小，但如果用戶數目過多，超過了可以管理的范圍時，這種機制并不可靠。非對稱加密：非對稱加密也稱為公開密鑰加密，密鑰是由公開密鑰和私有密鑰組成的密鑰對，用私有密鑰進行加密，利用公開密鑰可以進行解密，但是由于公開密鑰無法推算出私有密鑰，所以公開的密鑰并不會損害私有密鑰的安全，公開密鑰無須保密，可以公開傳播，而私有密鑰必須保密，丟失時需要報告鑒定中心及數據庫。
　　 [基金項目：江蘇省教育廳高校哲學社會科學基金資助項目（09SJD630027）。]
　　
　　 參考文獻：
　　 1.謝寶森，劉玉峰.企業信息系統數據安全方案分析[J].當代化工，2005（2）
　　 2.聶元銘，吳曉明，賈磊雷.重要信息系統數據銷毀-恢復技術及其安全措施研究[J].信息網絡安全，2011（1）
　　 3.邵波.企業信息網絡安全管理系統建設與安全策略[J].經濟研究導刊，2010（30）
　　 4.辛后居，肖開郝，柏林，李澤.信息系統數據安全研究[J].教育信息化，2004（9）
　　 5.