大智移云時(shí)代下高校財(cái)務(wù)信息化安全防控研究

康長(zhǎng)安

摘 ? 要：大智移云時(shí)代，高校財(cái)務(wù)信息化水平發(fā)展迅速，業(yè)務(wù)系統(tǒng)越來(lái)越復(fù)雜，信息資源高度共享，財(cái)務(wù)信息化安全面臨巨大挑戰(zhàn)。文章基于大智移云時(shí)代高校財(cái)務(wù)信息化的特征，探索財(cái)務(wù)信息化的安全防控優(yōu)化策略，為高校財(cái)務(wù)信息化工作提供借鑒。

關(guān)鍵詞：高校財(cái)務(wù);信息化安全;大智移云;網(wǎng)絡(luò)安全

中圖分類號(hào)：G475 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-8454（2019）21-0048-03

一、引言

我國(guó)的會(huì)計(jì)電算化起步于20世紀(jì)70年代，經(jīng)歷40年的發(fā)展，已取得了顯著成績(jī)，財(cái)務(wù)管理水平和效率都得到大大提升。隨著信息技術(shù)的發(fā)展，大智移云時(shí)代已經(jīng)到來(lái)，網(wǎng)上預(yù)約報(bào)銷、電子發(fā)票、數(shù)據(jù)實(shí)時(shí)傳輸共享、大數(shù)據(jù)駕駛艙分析和數(shù)字化智慧校園等新時(shí)代技術(shù)特征迫切要求高校財(cái)務(wù)工作予以變革創(chuàng)新。這些技術(shù)在提高財(cái)務(wù)管理水平的同時(shí)增加了財(cái)務(wù)信息化安全風(fēng)險(xiǎn)。近幾年高校網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，唯有建立健全財(cái)務(wù)信息化安全體系，為高校財(cái)務(wù)信息化推進(jìn)夯實(shí)基礎(chǔ)，進(jìn)而才能更好地服務(wù)于高校的戰(zhàn)略發(fā)展。

二、大智移云時(shí)代財(cái)務(wù)信息化面臨的安全挑戰(zhàn)

1.財(cái)務(wù)系統(tǒng)更加開(kāi)放，信息資源高度共享，數(shù)據(jù)處理高度實(shí)時(shí)

在會(huì)計(jì)電算化時(shí)代，高校財(cái)務(wù)系統(tǒng)由一個(gè)單一的核算系統(tǒng)組成，該系統(tǒng)運(yùn)行于物理隔離的專網(wǎng)內(nèi)，不與外部系統(tǒng)發(fā)生任何數(shù)據(jù)交換。隨著大智移云時(shí)代的到來(lái)，財(cái)務(wù)系統(tǒng)不斷與數(shù)字化校園、科研系統(tǒng)、資產(chǎn)系統(tǒng)等進(jìn)行對(duì)接，信息高度共享，數(shù)據(jù)處理高度實(shí)時(shí)，物理隔離的專網(wǎng)在逐漸被打破。財(cái)務(wù)系統(tǒng)更加開(kāi)放，有的通過(guò)Web Service實(shí)時(shí)傳輸，有的通過(guò)傳輸工具定時(shí)傳輸，無(wú)形之中影響了系統(tǒng)的安全性和穩(wěn)定性。

2.財(cái)務(wù)系統(tǒng)越來(lái)越復(fù)雜，系統(tǒng)間數(shù)據(jù)交互密切，增加了隱患排查難度

大智移云時(shí)代的高校財(cái)務(wù)系統(tǒng)，往往由大大小小20多個(gè)系統(tǒng)組成（如圖1所示），系統(tǒng)之間邏輯關(guān)系密切，每個(gè)系統(tǒng)都屬于數(shù)據(jù)加工的一個(gè)環(huán)節(jié)。數(shù)據(jù)在某個(gè)環(huán)節(jié)被惡意篡改都會(huì)影響數(shù)據(jù)鏈上下游的正常運(yùn)行，甚至造成學(xué)校資金流失。在系統(tǒng)發(fā)生故障或數(shù)據(jù)被篡改后，及時(shí)發(fā)現(xiàn)問(wèn)題，定位問(wèn)題，解決問(wèn)題就顯得十分重要。

3.勒索病毒肆虐嚴(yán)重，處于專網(wǎng)之內(nèi)的財(cái)務(wù)終端和服務(wù)器無(wú)法及時(shí)進(jìn)行補(bǔ)丁修復(fù)和病毒庫(kù)升級(jí)

由于近十年來(lái)沒(méi)有大規(guī)模網(wǎng)絡(luò)安全事件發(fā)生，容易疏忽安全防范意識(shí)，對(duì)電腦病毒這顆“定時(shí)炸彈”放松了警惕。2017年，不法分子通過(guò)改造“永恒之藍(lán)”制作了勒索病毒。一旦中招，只有支付高額贖金才能解密恢復(fù)文件，對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。而高校財(cái)務(wù)終端和服務(wù)器由于處于專網(wǎng)之內(nèi)，長(zhǎng)期無(wú)法進(jìn)行病毒庫(kù)升級(jí)和補(bǔ)丁修復(fù)，一旦遭受勒索病毒侵入，將帶來(lái)不可估量的損失。

三、合理規(guī)劃財(cái)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)，增強(qiáng)防護(hù)能力

網(wǎng)絡(luò)攻擊已成為威脅計(jì)算機(jī)信息安全的主要手段，保障網(wǎng)絡(luò)安全，提高防范意識(shí)是目前面臨的巨大挑戰(zhàn)。威脅網(wǎng)絡(luò)安全的主要因素是計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)本身的脆弱性，即網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、基礎(chǔ)設(shè)施、以及應(yīng)用程序服務(wù)等。隨著《信息安全等級(jí)保護(hù)管理辦法》的推行，將高校財(cái)務(wù)系統(tǒng)定級(jí)為3級(jí)或2級(jí)等保，對(duì)財(cái)務(wù)系統(tǒng)網(wǎng)絡(luò)安全提出了更高要求。

傳統(tǒng)的高校財(cái)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)由一臺(tái)服務(wù)器、一臺(tái)交換機(jī)和眾多終端組成，該系統(tǒng)運(yùn)行于內(nèi)網(wǎng)（財(cái)務(wù)專網(wǎng)）之中。隨著財(cái)務(wù)信息化水平的提高，業(yè)務(wù)系統(tǒng)及服務(wù)器數(shù)量也不斷增加，逐漸形成由外網(wǎng)（校園網(wǎng)）、內(nèi)網(wǎng)（財(cái)務(wù)專網(wǎng)）和銀行網(wǎng)絡(luò)組成網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，如圖2所示。近些年，各大高校紛紛開(kāi)展數(shù)字化校園和智慧校園建設(shè)，財(cái)務(wù)數(shù)據(jù)需要定時(shí)或?qū)崟r(shí)與外部系統(tǒng)進(jìn)行數(shù)據(jù)交換，財(cái)務(wù)系統(tǒng)已逐漸發(fā)展為校園內(nèi)最為復(fù)雜的系統(tǒng)之一。系統(tǒng)越復(fù)雜，系統(tǒng)的穩(wěn)定性也就越低，潛在的安全隱患也就越多，因此需要對(duì)財(cái)務(wù)網(wǎng)絡(luò)進(jìn)行合理規(guī)劃和梳理。

1.合理規(guī)劃財(cái)務(wù)內(nèi)網(wǎng)，加強(qiáng)網(wǎng)絡(luò)安全和穩(wěn)定性

財(cái)務(wù)內(nèi)網(wǎng)可由2臺(tái)核心交換機(jī)組成，一臺(tái)發(fā)生故障后，另一臺(tái)交換機(jī)承接故障交換機(jī)下的所有鏈路。其上行連接財(cái)務(wù)防火墻和服務(wù)器，下行連接各終端電腦，旁掛各類網(wǎng)絡(luò)安全設(shè)備。

（1）對(duì)內(nèi)網(wǎng)進(jìn)行子網(wǎng)劃分，服務(wù)器可使用192.168.1.*段，終端使用192.168.2.*段，安全設(shè)備使用192.168.3.*段，這樣能夠有效避免內(nèi)網(wǎng)IP沖突和網(wǎng)絡(luò)廣播風(fēng)暴。

（2）通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、準(zhǔn)入系統(tǒng)和入侵檢測(cè)系統(tǒng)等，能夠有效防范網(wǎng)絡(luò)攻擊，在系統(tǒng)故障時(shí)能夠通過(guò)系統(tǒng)日志有效排查漏洞。

（3）通過(guò)專業(yè)隔離網(wǎng)工具或企業(yè)級(jí)安全產(chǎn)品，定期對(duì)內(nèi)網(wǎng)終端和服務(wù)器進(jìn)行漏洞掃描和補(bǔ)丁升級(jí)。

2.加強(qiáng)外網(wǎng)服務(wù)器系統(tǒng)安全，提高應(yīng)用程序可靠性

財(cái)務(wù)對(duì)外服務(wù)的系統(tǒng)有預(yù)約報(bào)銷、綜合查詢、網(wǎng)上繳費(fèi)和收入申報(bào)等系統(tǒng)。這些系統(tǒng)存儲(chǔ)著師生的重要隱私數(shù)據(jù)，同時(shí)需要與內(nèi)網(wǎng)中的核心數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)交換。相比財(cái)務(wù)內(nèi)網(wǎng)而言，外網(wǎng)系統(tǒng)面臨的網(wǎng)絡(luò)攻擊要大得多。為做好外網(wǎng)系統(tǒng)安全，在日常工作中可以從以下幾個(gè)方面著手：

（1）應(yīng)用程序與數(shù)據(jù)庫(kù)分離。為保障外網(wǎng)系統(tǒng)安全，需要對(duì)外網(wǎng)系統(tǒng)進(jìn)行程序和數(shù)據(jù)庫(kù)分離，這樣避免直接將數(shù)據(jù)庫(kù)服務(wù)器暴露在外面。同時(shí)對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行端口限定（如：1433和1521端口），僅允許應(yīng)用程序服務(wù)器訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器。

（2）關(guān)閉不需要的端口。鑒于各高校服務(wù)器已使用虛擬化平臺(tái)，因此外網(wǎng)服務(wù)器可以關(guān)閉包括遠(yuǎn)程桌面（3389端口）的所有端口，僅開(kāi)放需要對(duì)外提供服務(wù)的80端口。對(duì)服務(wù)器的維護(hù)可以通過(guò)虛擬化平臺(tái)專用工具或堡壘機(jī)進(jìn)行日常運(yùn)維。

（3）根據(jù)系統(tǒng)面向范圍，限制校外訪問(wèn)，師生校外訪問(wèn)可以通過(guò)學(xué)校VPN平臺(tái)訪問(wèn)財(cái)務(wù)系統(tǒng)。

（4）定期對(duì)外網(wǎng)程序和操作系統(tǒng)進(jìn)行安全檢測(cè)掃描，及時(shí)發(fā)現(xiàn)漏洞，并進(jìn)行整改。

3.加強(qiáng)內(nèi)網(wǎng)邊界安全

財(cái)務(wù)的內(nèi)網(wǎng)并不是完全物理隔離的，它需要與銀行系統(tǒng)和外網(wǎng)進(jìn)行互聯(lián)互通，在財(cái)務(wù)網(wǎng)絡(luò)邊界之間通過(guò)網(wǎng)閘或防火墻進(jìn)行安全防護(hù)，限定數(shù)據(jù)通道，對(duì)不必要的端口和服務(wù)禁止通行，增強(qiáng)邊界網(wǎng)絡(luò)安全，防范網(wǎng)絡(luò)攻擊。

四、建章立制，規(guī)范管理，加強(qiáng)內(nèi)部控制

財(cái)務(wù)信息化安全建設(shè)不僅僅是網(wǎng)絡(luò)硬件設(shè)備的加強(qiáng)，還需要牢固樹(shù)立“安全第一、預(yù)防為主”的信息化工作理念，進(jìn)一步明確任務(wù)，完善制度，落實(shí)措施，強(qiáng)化責(zé)任，堅(jiān)決杜絕各類由于人為操作原因造成的網(wǎng)絡(luò)安全事故發(fā)生?？梢詮囊韵聨讉€(gè)方面入手：

1.建章立制，規(guī)范管理，推進(jìn)管理制度化

制度是落實(shí)的保證，為進(jìn)一步落實(shí)和規(guī)范財(cái)務(wù)安全工作，培養(yǎng)財(cái)務(wù)人員的安全意識(shí)，高校財(cái)務(wù)部門需要完善一系列安全工作的規(guī)章制度，使財(cái)務(wù)人員有規(guī)可依、有章可循、有制可守。將財(cái)務(wù)信息化日常工作形成規(guī)范的操作流程和管理辦法，如：《財(cái)務(wù)系統(tǒng)年終結(jié)轉(zhuǎn)操作指南》《財(cái)務(wù)系統(tǒng)賬號(hào)及權(quán)限管理辦法》《財(cái)務(wù)系統(tǒng)數(shù)據(jù)安全管理辦法》《財(cái)務(wù)網(wǎng)絡(luò)準(zhǔn)入管理辦法》《財(cái)務(wù)信息化操作指南》《財(cái)務(wù)機(jī)房和服務(wù)器管理辦法》《財(cái)務(wù)內(nèi)網(wǎng)U盤管理辦法》等。

2.做好信息化安全培訓(xùn)，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)

針對(duì)普通財(cái)務(wù)人員，做好財(cái)務(wù)信息化安全培訓(xùn)，講解計(jì)算機(jī)日常安全操作規(guī)范，樹(shù)立正確的安全防范意識(shí);對(duì)于財(cái)務(wù)信息化工作人員，可以定期參加專業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全培訓(xùn)，增強(qiáng)安全防護(hù)技能。

3.完善軟件開(kāi)發(fā)，做好系統(tǒng)維護(hù)

財(cái)務(wù)軟件是財(cái)務(wù)信息化的核心組成部分，其穩(wěn)定性和安全性影響著財(cái)務(wù)工作的效率和服務(wù)水平。在日常工作中嚴(yán)格做好軟件升級(jí)更新，對(duì)發(fā)現(xiàn)的軟件漏洞及時(shí)處理，確保軟件的可用性和安全性。

五、建立完善有效的數(shù)據(jù)備份和恢復(fù)機(jī)制

目前高校常用的財(cái)務(wù)系統(tǒng)有20多個(gè)，涉及10余臺(tái)服務(wù)器，分別運(yùn)行于外網(wǎng)、內(nèi)網(wǎng)以及內(nèi)外網(wǎng)的網(wǎng)絡(luò)邊界上。各業(yè)務(wù)系統(tǒng)中都有大量的日志、文檔、圖片和數(shù)據(jù)庫(kù)文件，一旦某個(gè)系統(tǒng)發(fā)生硬件故障、人為操作失誤、感染病毒或黑客入侵等，可能會(huì)直接影響該系統(tǒng)及相關(guān)業(yè)務(wù)的正常運(yùn)行，若沒(méi)有完善的數(shù)據(jù)備份機(jī)制，將導(dǎo)致多年積累的歷史數(shù)據(jù)丟失，造成不可挽回的損失。

數(shù)據(jù)備份是容災(zāi)的基礎(chǔ)，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全部或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其他存儲(chǔ)介質(zhì)的過(guò)程。財(cái)務(wù)數(shù)據(jù)備份由兩部分組成，數(shù)據(jù)庫(kù)文件備份和應(yīng)用程序備份。數(shù)據(jù)庫(kù)文件可以由數(shù)據(jù)庫(kù)系統(tǒng)根據(jù)系統(tǒng)重要性每天或每小時(shí)，甚至10分鐘產(chǎn)生一次數(shù)據(jù)備份文件。應(yīng)用程序備份包含程序文件及相關(guān)配置，及該應(yīng)用程序產(chǎn)生的相關(guān)日志文件、用戶上傳文件等。一旦發(fā)生故障可使用最近一次備份迅速恢復(fù)系統(tǒng)，將損失降到最低。

1.建立安全的備份通道

為防止服務(wù)器物理?yè)p壞，需要將財(cái)務(wù)數(shù)據(jù)從生成環(huán)境備份到另一臺(tái)備份機(jī)，由于財(cái)務(wù)系統(tǒng)的內(nèi)外網(wǎng)運(yùn)行特點(diǎn)，這就需要在內(nèi)外網(wǎng)各準(zhǔn)備一臺(tái)或多臺(tái)備份機(jī)，該備份機(jī)需要具有大容量的存儲(chǔ)，以便備份更久的數(shù)據(jù)，記錄數(shù)據(jù)的時(shí)點(diǎn)狀態(tài)。為保障生產(chǎn)環(huán)境的安全，需要在數(shù)據(jù)備份通道上添加限制，即在生產(chǎn)服務(wù)器上限定端口，僅允許備份機(jī)IP通過(guò)此通道進(jìn)行數(shù)據(jù)備份。如圖3所示，生產(chǎn)環(huán)境僅允許備份機(jī)（192.168.1.33）通過(guò)FTP協(xié)議連接生產(chǎn)環(huán)境。

2.建立數(shù)據(jù)備份臺(tái)賬機(jī)制

數(shù)據(jù)安全無(wú)小事，一旦發(fā)生數(shù)據(jù)丟失，其恢復(fù)成本往往是巨大的，因此不可有僥幸心理?？筛鶕?jù)各業(yè)務(wù)系統(tǒng)重要性，設(shè)置備份頻次，每天由專人定時(shí)檢查數(shù)據(jù)備份情況，并簽字確認(rèn)，建立財(cái)務(wù)數(shù)據(jù)備份臺(tái)賬機(jī)制。由于自動(dòng)備份軟件無(wú)法核驗(yàn)數(shù)據(jù)的有效性，因此無(wú)論是手動(dòng)數(shù)據(jù)備份還是自動(dòng)數(shù)據(jù)備份都需要進(jìn)行人工檢查。通過(guò)備份臺(tái)賬機(jī)制將數(shù)據(jù)備份工作變成一項(xiàng)日常規(guī)范性工作，保障財(cái)務(wù)數(shù)據(jù)有效及時(shí)備份，在發(fā)生系統(tǒng)故障時(shí)準(zhǔn)確確定最新備份的可用文件，以便及時(shí)恢復(fù)系統(tǒng)。

3.建立數(shù)據(jù)迅速恢復(fù)機(jī)制

及時(shí)進(jìn)行數(shù)據(jù)備份能夠減少數(shù)據(jù)丟失損失，而廣大師生需要的則是不間斷的財(cái)務(wù)服務(wù)體驗(yàn)，因此在故障發(fā)生后能夠及時(shí)通過(guò)備份文件恢復(fù)系統(tǒng)就顯得極為重要。財(cái)務(wù)處可根據(jù)自身財(cái)力和系統(tǒng)重要性，對(duì)重要的業(yè)務(wù)系統(tǒng)提供備機(jī)，在備機(jī)上部署與生產(chǎn)環(huán)境相同的操作系統(tǒng)和運(yùn)行環(huán)境。在生產(chǎn)環(huán)境無(wú)法正常運(yùn)行時(shí)，通過(guò)備份數(shù)據(jù)第一時(shí)間在備機(jī)上進(jìn)行恢復(fù)運(yùn)行。

六、結(jié)束語(yǔ)

大智移云時(shí)代剛剛開(kāi)始，師生對(duì)便捷穩(wěn)定的財(cái)務(wù)服務(wù)需求逐漸提升，高校財(cái)務(wù)信息化水平在不斷提高，財(cái)務(wù)系統(tǒng)變得越來(lái)越復(fù)雜，對(duì)財(cái)務(wù)數(shù)據(jù)安全、系統(tǒng)穩(wěn)定性和用戶隱私保護(hù)的挑戰(zhàn)越來(lái)越大。網(wǎng)絡(luò)安全無(wú)小事，學(xué)校不僅需要增加網(wǎng)絡(luò)安全資金投入，還需要在管理規(guī)范上加強(qiáng)內(nèi)部控制，人人筑起安全防護(hù)堤。

參考文獻(xiàn)：

[1]張玲玲.大數(shù)據(jù)背景下網(wǎng)絡(luò)財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的安全與防范[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2018，8（15）：76-77.

[2]蔡雪輝.大智移云時(shí)代高校財(cái)務(wù)工作的挑戰(zhàn)與創(chuàng)新[J].會(huì)計(jì)之友，2018（24）：65-68.

[3]高芳，張杰，李恒.大數(shù)據(jù)時(shí)代下的高校財(cái)務(wù)服務(wù)器網(wǎng)絡(luò)安全研究[J].智能計(jì)算機(jī)與應(yīng)用，2018，8（2）：148-150.

[4]畢巧.大數(shù)據(jù)時(shí)代下會(huì)計(jì)信息化存在的風(fēng)險(xiǎn)及防范對(duì)策[J].商業(yè)經(jīng)濟(jì)，2017（2）：142-144.

（編輯：王曉明）