信息化條件下高校財務網(wǎng)絡數(shù)據(jù)安全的應對研究

張飛飛 武漢軟件工程職業(yè)學院財務處

一、引言

隨著互聯(lián)網(wǎng)技術和基礎設備的不斷完善，大數(shù)據(jù)、云計算改變了我們的生活方式，提高著工作效率，在挖掘更大的數(shù)據(jù)價值方面發(fā)揮越來越重要的作用。高校信息化業(yè)務也不斷擴大，網(wǎng)上報銷、網(wǎng)上審批、銀校互聯(lián)等應用應運而生，在網(wǎng)絡不斷普及的同時，安全問題也日益增多。財務數(shù)據(jù)作為單位的核心數(shù)據(jù)，其數(shù)據(jù)安全更是重中之重。如何有效的安全防范，使得財務網(wǎng)絡更加安全可靠，已成為一個重要課題。

二、當前高校財務信息系統(tǒng)安全部署存在的缺陷

（一）重視校園網(wǎng)與互聯(lián)網(wǎng)邊界的防護，忽視校園網(wǎng)內(nèi)和財務專網(wǎng)的防護

高校財務網(wǎng)絡一般運行在財務內(nèi)網(wǎng)、校園網(wǎng)、互聯(lián)網(wǎng)三層網(wǎng)絡上，部分院校將防護重點放在了校園網(wǎng)和互聯(lián)網(wǎng)臨界之間，而對校園網(wǎng)內(nèi)的安全防護重視不夠，財務應用服務器和數(shù)據(jù)庫服務器均運行在校園網(wǎng)內(nèi)，沒有獨立專網(wǎng)，校園網(wǎng)訪問沒有使用域名解析訪問，直接將IP地址暴露在校園網(wǎng)上。

（二）財務信息系統(tǒng)運維人員管控存在盲區(qū)

財務系統(tǒng)管理人員通常對財務數(shù)據(jù)的操作在后臺數(shù)據(jù)庫直接操作，改動財務數(shù)據(jù)或者誤操作都很難發(fā)現(xiàn)，且更容易造成不可估計的損失。

（三）財務工作人員網(wǎng)絡安全意識不強

財務辦公電腦未及時更新系統(tǒng)漏洞補丁和安全防護軟件，辦公電腦、財務軟件無密碼或者密碼過于簡單，將來歷不明的U盤、移動硬盤連接財務辦公電腦、接收不明郵件等，導致財務辦公設備成為風險敞口。

三、高校財務網(wǎng)絡安全建設的對策

（一）建立健全財務數(shù)據(jù)安全管理制度，提高財務人員網(wǎng)絡安全意識

1.建立財務數(shù)據(jù)日常運行維護制度。高校財務部門應當加強數(shù)據(jù)安全運行與維護管理，制定財務數(shù)據(jù)安全信息系統(tǒng)工作程序、管理制度及各子系統(tǒng)具體操作規(guī)范；建立及時跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運行中存在問題的流程反饋機制，確保財務信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)運行；建立信息系統(tǒng)變更管理流程，信息系統(tǒng)變更應當嚴格按照管理流程進行操作，財務信息系統(tǒng)操作人員不得擅自進行系統(tǒng)軟件的刪除、修改等操作，不得擅自升級、改變系統(tǒng)軟件的版本，不得擅自改變軟件系統(tǒng)環(huán)境配置。建設系統(tǒng)數(shù)據(jù)定期備份制度，明確數(shù)據(jù)備份范圍、頻率、方法、責任人、存放地點、有效性檢查等內(nèi)容。

2.建立新舊財務系統(tǒng)切換制度。高校財務部門應切實做好信息系統(tǒng)上線的各項準備工作，培訓業(yè)務操作和系統(tǒng)管理人員，制定科學的上線計劃和新舊系統(tǒng)轉換方案，制定應急預案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據(jù)遷移的，應當制定詳細的數(shù)據(jù)遷移計劃，在啟用新的財務軟件系統(tǒng)時，應當保持新老系統(tǒng)并行運行一定時間，保證新舊系統(tǒng)順利過渡。

（二）科學規(guī)劃財務網(wǎng)絡拓撲結構

在互聯(lián)網(wǎng)、校園網(wǎng)、財務內(nèi)網(wǎng)之間的邊界處，應當增加防火墻、路由器等網(wǎng)絡軟硬件防護設備，如圖1所示，典型的財務網(wǎng)絡拓撲結構，財務的核心數(shù)據(jù)庫和容災備份服務器應當運行在財務內(nèi)網(wǎng)上，網(wǎng)上報銷、預算申報、網(wǎng)上查詢等應用服務器和應用數(shù)據(jù)庫運行在校園網(wǎng)上，財務內(nèi)網(wǎng)和校園網(wǎng)之間不直接進行數(shù)據(jù)交換，而是通過中間服務器轉發(fā)交換數(shù)據(jù)，同時在財務內(nèi)網(wǎng)和校園網(wǎng)之間添加網(wǎng)閘和堡壘機，阻止未授權、不可信任的訪問通過校園網(wǎng)進入財務內(nèi)網(wǎng)，堡壘機通過操作審計、日志記錄可有效防止財人員的誤操作、監(jiān)控財務系統(tǒng)維護人員后臺數(shù)據(jù)庫操作軌跡。在網(wǎng)絡設置配置上，針對財務內(nèi)網(wǎng)、校園網(wǎng)網(wǎng)絡節(jié)點用VLAN隔離成不同的網(wǎng)段，防止木馬、病毒在整個網(wǎng)絡擴散。

（三）財務服務器日常維護

財務服務器日常維護應該由專人維護，安裝殺毒軟件，定期升級操作系統(tǒng)，在升級系統(tǒng)前，應對系統(tǒng)、數(shù)據(jù)進行備份，以防止升級導致的軟件沖突問題。對于只在內(nèi)網(wǎng)運行的服務器，可以建立殺毒軟件、系統(tǒng)補丁服務器，為內(nèi)網(wǎng)所有服務器提供系統(tǒng)、軟件升級。財務服務器應關閉無業(yè)務需求的服務端口，通過安全策略固定服務器遠程登錄維護IP地址，定期查看容災備份系統(tǒng)運行情況，確保數(shù)據(jù)備份實時進行。對于軟件系統(tǒng)廠家后臺數(shù)據(jù)庫維護操作，讓維護人員通過堡壘機平臺登錄，從而可以對維護人員的操作進行審計、監(jiān)控，防止對數(shù)據(jù)的誤操作。總之，要綜合利用防火墻、網(wǎng)閘等網(wǎng)絡設備，漏洞掃描、入侵檢測等軟件技術以及遠程訪問安全策略等手段，加強網(wǎng)絡安全，防范來自網(wǎng)絡的攻擊和非法侵入。

圖1 財務網(wǎng)絡拓撲結構

（四）提高財務人員網(wǎng)絡安全意識

建立財務工作人員網(wǎng)絡安全操作制度，規(guī)范財務工作人員電腦操作流程。通過舉辦講座、聘請網(wǎng)絡安全專家授課、參加培訓等形式提升財務人員的安全意識和電腦安全維護知識，強制要求財務人員辦公電腦設置密碼，強制要求密碼復雜度，對不明郵件、不明網(wǎng)站禁止點擊、訪問，財務辦公電腦和互聯(lián)網(wǎng)隔離，禁止財務人員接入不明的U盤、移動硬盤等外部設備。

四、結語

隨著財務信息化的推進，財務各系統(tǒng)實施應用會越來越多，子系統(tǒng)之間聯(lián)系更復雜，財務數(shù)據(jù)的實時交互更頻繁，網(wǎng)絡安全防護更加困難。加強財務網(wǎng)絡安全管理，確保數(shù)據(jù)安全更為迫切，財務數(shù)據(jù)安全不僅僅是系統(tǒng)維護人員的職責，而是一個系統(tǒng)工程，應當將財務管理制度、網(wǎng)絡安全防護措施、財務人員數(shù)據(jù)安全意識三者有機結合起來才能形成財務安全的有效防線。