信息化條件下高校財務網絡數據安全的應對研究

張飛飛 武漢軟件工程職業學院財務處

一、引言

隨著互聯網技術和基礎設備的不斷完善，大數據、云計算改變了我們的生活方式，提高著工作效率，在挖掘更大的數據價值方面發揮越來越重要的作用。高校信息化業務也不斷擴大，網上報銷、網上審批、銀校互聯等應用應運而生，在網絡不斷普及的同時，安全問題也日益增多。財務數據作為單位的核心數據，其數據安全更是重中之重。如何有效的安全防范，使得財務網絡更加安全可靠，已成為一個重要課題。

二、當前高校財務信息系統安全部署存在的缺陷

（一）重視校園網與互聯網邊界的防護，忽視校園網內和財務專網的防護

高校財務網絡一般運行在財務內網、校園網、互聯網三層網絡上，部分院校將防護重點放在了校園網和互聯網臨界之間，而對校園網內的安全防護重視不夠，財務應用服務器和數據庫服務器均運行在校園網內，沒有獨立專網，校園網訪問沒有使用域名解析訪問，直接將IP地址暴露在校園網上。

（二）財務信息系統運維人員管控存在盲區

財務系統管理人員通常對財務數據的操作在后臺數據庫直接操作，改動財務數據或者誤操作都很難發現，且更容易造成不可估計的損失。

（三）財務工作人員網絡安全意識不強

財務辦公電腦未及時更新系統漏洞補丁和安全防護軟件，辦公電腦、財務軟件無密碼或者密碼過于簡單，將來歷不明的U盤、移動硬盤連接財務辦公電腦、接收不明郵件等，導致財務辦公設備成為風險敞口。

三、高校財務網絡安全建設的對策

（一）建立健全財務數據安全管理制度，提高財務人員網絡安全意識

1.建立財務數據日常運行維護制度。高校財務部門應當加強數據安全運行與維護管理，制定財務數據安全信息系統工作程序、管理制度及各子系統具體操作規范；建立及時跟蹤、發現和解決系統運行中存在問題的流程反饋機制，確保財務信息系統按照規定的程序、制度和操作規范持續運行；建立信息系統變更管理流程，信息系統變更應當嚴格按照管理流程進行操作，財務信息系統操作人員不得擅自進行系統軟件的刪除、修改等操作，不得擅自升級、改變系統軟件的版本，不得擅自改變軟件系統環境配置。建設系統數據定期備份制度，明確數據備份范圍、頻率、方法、責任人、存放地點、有效性檢查等內容。

2.建立新舊財務系統切換制度。高校財務部門應切實做好信息系統上線的各項準備工作，培訓業務操作和系統管理人員，制定科學的上線計劃和新舊系統轉換方案，制定應急預案，確保新舊系統順利切換和平穩銜接。系統上線涉及數據遷移的，應當制定詳細的數據遷移計劃，在啟用新的財務軟件系統時，應當保持新老系統并行運行一定時間，保證新舊系統順利過渡。

（二）科學規劃財務網絡拓撲結構

在互聯網、校園網、財務內網之間的邊界處，應當增加防火墻、路由器等網絡軟硬件防護設備，如圖1所示，典型的財務網絡拓撲結構，財務的核心數據庫和容災備份服務器應當運行在財務內網上，網上報銷、預算申報、網上查詢等應用服務器和應用數據庫運行在校園網上，財務內網和校園網之間不直接進行數據交換，而是通過中間服務器轉發交換數據，同時在財務內網和校園網之間添加網閘和堡壘機，阻止未授權、不可信任的訪問通過校園網進入財務內網，堡壘機通過操作審計、日志記錄可有效防止財人員的誤操作、監控財務系統維護人員后臺數據庫操作軌跡。在網絡設置配置上，針對財務內網、校園網網絡節點用VLAN隔離成不同的網段，防止木馬、病毒在整個網絡擴散。

（三）財務服務器日常維護

財務服務器日常維護應該由專人維護，安裝殺毒軟件，定期升級操作系統，在升級系統前，應對系統、數據進行備份，以防止升級導致的軟件沖突問題。對于只在內網運行的服務器，可以建立殺毒軟件、系統補丁服務器，為內網所有服務器提供系統、軟件升級。財務服務器應關閉無業務需求的服務端口，通過安全策略固定服務器遠程登錄維護IP地址，定期查看容災備份系統運行情況，確保數據備份實時進行。對于軟件系統廠家后臺數據庫維護操作，讓維護人員通過堡壘機平臺登錄，從而可以對維護人員的操作進行審計、監控，防止對數據的誤操作。總之，要綜合利用防火墻、網閘等網絡設備，漏洞掃描、入侵檢測等軟件技術以及遠程訪問安全策略等手段，加強網絡安全，防范來自網絡的攻擊和非法侵入。

圖1 財務網絡拓撲結構

（四）提高財務人員網絡安全意識

建立財務工作人員網絡安全操作制度，規范財務工作人員電腦操作流程。通過舉辦講座、聘請網絡安全專家授課、參加培訓等形式提升財務人員的安全意識和電腦安全維護知識，強制要求財務人員辦公電腦設置密碼，強制要求密碼復雜度，對不明郵件、不明網站禁止點擊、訪問，財務辦公電腦和互聯網隔離，禁止財務人員接入不明的U盤、移動硬盤等外部設備。

四、結語

隨著財務信息化的推進，財務各系統實施應用會越來越多，子系統之間聯系更復雜，財務數據的實時交互更頻繁，網絡安全防護更加困難。加強財務網絡安全管理，確保數據安全更為迫切，財務數據安全不僅僅是系統維護人員的職責，而是一個系統工程，應當將財務管理制度、網絡安全防護措施、財務人員數據安全意識三者有機結合起來才能形成財務安全的有效防線。