大智移云時代下高校財務信息化安全防控研究

康長安

（中國礦業大學 財務資產部，江蘇 徐州 221116）

一、引言

我國的會計電算化起步于20 世紀70 年代，經歷40 年的發展，已取得了顯著成績，財務管理水平和效率都得到大大提升。隨著信息技術的發展，大智移云時代已經到來，網上預約報銷、電子發票、數據實時傳輸共享、大數據駕駛艙分析和數字化智慧校園等新時代技術特征迫切要求高校財務工作予以變革創新。這些技術在提高財務管理水平的同時增加了財務信息化安全風險。近幾年高校網絡安全事件時有發生，唯有建立健全財務信息化安全體系，為高校財務信息化推進夯實基礎，進而才能更好地服務于高校的戰略發展。

二、大智移云時代財務信息化面臨的安全挑戰

1.財務系統更加開放，信息資源高度共享，數據處理高度實時

在會計電算化時代，高校財務系統由一個單一的核算系統組成，該系統運行于物理隔離的專網內，不與外部系統發生任何數據交換。隨著大智移云時代的到來，財務系統不斷與數字化校園、科研系統、資產系統等進行對接，信息高度共享，數據處理高度實時，物理隔離的專網在逐漸被打破。財務系統更加開放，有的通過Web Service 實時傳輸，有的通過傳輸工具定時傳輸，無形之中影響了系統的安全性和穩定性。

2.財務系統越來越復雜，系統間數據交互密切，增加了隱患排查難度

大智移云時代的高校財務系統，往往由大大小小20 多個系統組成（如圖1 所示），系統之間邏輯關系密切，每個系統都屬于數據加工的一個環節。數據在某個環節被惡意篡改都會影響數據鏈上下游的正常運行，甚至造成學校資金流失。在系統發生故障或數據被篡改后，及時發現問題，定位問題，解決問題就顯得十分重要。

3.勒索病毒肆虐嚴重，處于專網之內的財務終端和服務器無法及時進行補丁修復和病毒庫升級

由于近十年來沒有大規模網絡安全事件發生，容易疏忽安全防范意識，對電腦病毒這顆“定時炸彈”放松了警惕。2017 年，不法分子通過改造“永恒之藍”制作了勒索病毒。一旦中招，只有支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。而高校財務終端和服務器由于處于專網之內，長期無法進行病毒庫升級和補丁修復，一旦遭受勒索病毒侵入，將帶來不可估量的損失。

圖1 高校財務管理信息化平臺軟件體系架構

三、合理規劃財務網絡結構，增強防護能力

網絡攻擊已成為威脅計算機信息安全的主要手段，保障網絡安全，提高防范意識是目前面臨的巨大挑戰。威脅網絡安全的主要因素是計算機網絡拓撲結構本身的脆弱性，即網絡結構、網絡協議、基礎設施、以及應用程序服務等。隨著《信息安全等級保護管理辦法》的推行，將高校財務系統定級為3 級或2 級等保，對財務系統網絡安全提出了更高要求。

傳統的高校財務網絡結構由一臺服務器、一臺交換機和眾多終端組成，該系統運行于內網（財務專網）之中。隨著財務信息化水平的提高，業務系統及服務器數量也不斷增加，逐漸形成由外網（校園網）、內網（財務專網）和銀行網絡組成網絡拓撲結構，如圖2 所示。近些年，各大高校紛紛開展數字化校園和智慧校園建設，財務數據需要定時或實時與外部系統進行數據交換，財務系統已逐漸發展為校園內最為復雜的系統之一。系統越復雜，系統的穩定性也就越低，潛在的安全隱患也就越多，因此需要對財務網絡進行合理規劃和梳理。

圖2 高校財務信息化平臺網絡架構

1.合理規劃財務內網，加強網絡安全和穩定性

財務內網可由2 臺核心交換機組成，一臺發生故障后，另一臺交換機承接故障交換機下的所有鏈路。其上行連接財務防火墻和服務器，下行連接各終端電腦，旁掛各類網絡安全設備。

（1）對內網進行子網劃分，服務器可使用192.168.1.*段，終端使用192.168.2.* 段，安全設備使用192.168.3.*段，這樣能夠有效避免內網IP 沖突和網絡廣播風暴。

（2）通過數據庫審計系統、準入系統和入侵檢測系統等，能夠有效防范網絡攻擊，在系統故障時能夠通過系統日志有效排查漏洞。

（3）通過專業隔離網工具或企業級安全產品，定期對內網終端和服務器進行漏洞掃描和補丁升級。

2.加強外網服務器系統安全，提高應用程序可靠性

財務對外服務的系統有預約報銷、綜合查詢、網上繳費和收入申報等系統。這些系統存儲著師生的重要隱私數據，同時需要與內網中的核心數據庫進行數據交換。相比財務內網而言，外網系統面臨的網絡攻擊要大得多。為做好外網系統安全，在日常工作中可以從以下幾個方面著手：

（1）應用程序與數據庫分離。為保障外網系統安全，需要對外網系統進行程序和數據庫分離，這樣避免直接將數據庫服務器暴露在外面。同時對數據庫服務器進行端口限定（如：1433 和1521 端口），僅允許應用程序服務器訪問數據庫服務器。

（2）關閉不需要的端口。鑒于各高校服務器已使用虛擬化平臺，因此外網服務器可以關閉包括遠程桌面（3389 端口）的所有端口，僅開放需要對外提供服務的80 端口。對服務器的維護可以通過虛擬化平臺專用工具或堡壘機進行日常運維。

（3）根據系統面向范圍，限制校外訪問，師生校外訪問可以通過學校VPN 平臺訪問財務系統。

（4）定期對外網程序和操作系統進行安全檢測掃描，及時發現漏洞，并進行整改。

3.加強內網邊界安全

財務的內網并不是完全物理隔離的，它需要與銀行系統和外網進行互聯互通，在財務網絡邊界之間通過網閘或防火墻進行安全防護，限定數據通道，對不必要的端口和服務禁止通行，增強邊界網絡安全，防范網絡攻擊。

四、建章立制，規范管理，加強內部控制

財務信息化安全建設不僅僅是網絡硬件設備的加強，還需要牢固樹立“安全第一、預防為主”的信息化工作理念，進一步明確任務，完善制度，落實措施，強化責任，堅決杜絕各類由于人為操作原因造成的網絡安全事故發生。可以從以下幾個方面入手：

1.建章立制，規范管理，推進管理制度化

制度是落實的保證，為進一步落實和規范財務安全工作，培養財務人員的安全意識，高校財務部門需要完善一系列安全工作的規章制度，使財務人員有規可依、有章可循、有制可守。將財務信息化日常工作形成規范的操作流程和管理辦法，如：《財務系統年終結轉操作指南》《財務系統賬號及權限管理辦法》《財務系統數據安全管理辦法》《財務網絡準入管理辦法》《財務信息化操作指南》《財務機房和服務器管理辦法》《財務內網U 盤管理辦法》等。

2.做好信息化安全培訓，增強網絡安全意識

針對普通財務人員，做好財務信息化安全培訓，講解計算機日常安全操作規范，樹立正確的安全防范意識；對于財務信息化工作人員，可以定期參加專業計算機網絡安全培訓，增強安全防護技能。

3.完善軟件開發，做好系統維護

財務軟件是財務信息化的核心組成部分，其穩定性和安全性影響著財務工作的效率和服務水平。在日常工作中嚴格做好軟件升級更新，對發現的軟件漏洞及時處理，確保軟件的可用性和安全性。

五、建立完善有效的數據備份和恢復機制

目前高校常用的財務系統有20 多個，涉及10 余臺服務器，分別運行于外網、內網以及內外網的網絡邊界上。各業務系統中都有大量的日志、文檔、圖片和數據庫文件，一旦某個系統發生硬件故障、人為操作失誤、感染病毒或黑客入侵等，可能會直接影響該系統及相關業務的正常運行，若沒有完善的數據備份機制，將導致多年積累的歷史數據丟失，造成不可挽回的損失。

數據備份是容災的基礎，是指為防止系統出現操作失誤或系統故障導致數據丟失，而將全部或部分數據集合從應用主機的硬盤或陣列復制到其他存儲介質的過程。財務數據備份由兩部分組成，數據庫文件備份和應用程序備份。數據庫文件可以由數據庫系統根據系統重要性每天或每小時，甚至10 分鐘產生一次數據備份文件。應用程序備份包含程序文件及相關配置，及該應用程序產生的相關日志文件、用戶上傳文件等。一旦發生故障可使用最近一次備份迅速恢復系統，將損失降到最低。

1.建立安全的備份通道

為防止服務器物理損壞，需要將財務數據從生成環境備份到另一臺備份機，由于財務系統的內外網運行特點，這就需要在內外網各準備一臺或多臺備份機，該備份機需要具有大容量的存儲，以便備份更久的數據，記錄數據的時點狀態。為保障生產環境的安全，需要在數據備份通道上添加限制，即在生產服務器上限定端口，僅允許備份機IP 通過此通道進行數據備份。如圖3 所示，生產環境僅允許備份機（192.168.1.33）通過FTP 協議連接生產環境。

2.建立數據備份臺賬機制

數據安全無小事，一旦發生數據丟失，其恢復成本往往是巨大的，因此不可有僥幸心理。可根據各業務系統重要性，設置備份頻次，每天由專人定時檢查數據備份情況，并簽字確認，建立財務數據備份臺賬機制。由于自動備份軟件無法核驗數據的有效性，因此無論是手動數據備份還是自動數據備份都需要進行人工檢查。通過備份臺賬機制將數據備份工作變成一項日常規范性工作，保障財務數據有效及時備份，在發生系統故障時準確確定最新備份的可用文件，以便及時恢復系統。

圖3 FTP 端口限定

3.建立數據迅速恢復機制

及時進行數據備份能夠減少數據丟失損失，而廣大師生需要的則是不間斷的財務服務體驗，因此在故障發生后能夠及時通過備份文件恢復系統就顯得極為重要。財務處可根據自身財力和系統重要性，對重要的業務系統提供備機，在備機上部署與生產環境相同的操作系統和運行環境。在生產環境無法正常運行時，通過備份數據第一時間在備機上進行恢復運行。

六、結束語

大智移云時代剛剛開始，師生對便捷穩定的財務服務需求逐漸提升，高校財務信息化水平在不斷提高，財務系統變得越來越復雜，對財務數據安全、系統穩定性和用戶隱私保護的挑戰越來越大。網絡安全無小事，學校不僅需要增加網絡安全資金投入，還需要在管理規范上加強內部控制，人人筑起安全防護堤。