袁雋媛

［摘 要］ 本文首先對危害財務內(nèi)網(wǎng)信息安全的主要因素進行分析，說明加強財務內(nèi)網(wǎng)安全建設(shè)、改進財務內(nèi)網(wǎng)管理、保護網(wǎng)絡系統(tǒng)內(nèi)部核心資源的必要性；接著提出了加強財務內(nèi)網(wǎng)安全建設(shè)的幾種策略及其各自的不足；最后詳細論述了保證財務內(nèi)網(wǎng)信息安全的幾種切實有效的技術(shù)措施。

［關(guān)鍵詞］ 財務內(nèi)網(wǎng)；信息安全；局域網(wǎng)；服務器；客戶機；審計

［中圖分類號］F232；F239［文獻標識碼］A［文章編號］1673-0194（2009）04-0009-04

隨著網(wǎng)絡技術(shù)的迅猛發(fā)展，為了解決單位內(nèi)部信息資料的共享，很多企事業(yè)單位建立了單位內(nèi)部的局域網(wǎng)，簡稱內(nèi)網(wǎng)。內(nèi)網(wǎng)中有很多重要信息，必須嚴格保證安全，防止泄密。隨著網(wǎng)絡安全事件的頻頻發(fā)生，人們對Internet的安全問題日益重視，但對內(nèi)部網(wǎng)絡的安全卻重視不夠。事實上對內(nèi)部網(wǎng)絡的攻擊有愈演愈烈之勢，財務信息被竊取、病毒入侵等，往往給企事業(yè)單位造成極其重大的損失。因此，消除隱患，切實保護核心資源，使內(nèi)部財務網(wǎng)絡始終處于安全、可靠、保密的環(huán)境下運行，已迫在眉睫。本文將對危害財務內(nèi)網(wǎng)信息安全的主要因素進行分析，說明加強財務內(nèi)網(wǎng)的安全建設(shè)、改進財務內(nèi)網(wǎng)管理、保護網(wǎng)絡系統(tǒng)內(nèi)部核心資源的必要性，并就保證財務內(nèi)網(wǎng)信息安全提出了一些策略和幾種切實有效的技術(shù)措施。

一、危害財務內(nèi)網(wǎng)信息安全的主要因素

危害財務內(nèi)網(wǎng)信息安全的因素有很多，既有自然因素，也有人為因素，但主要是人為因素。歸納起來，有以下幾個方面：

（1）安全權(quán)限設(shè)置不當。財務人員一般對計算機不是很精通，很多單位沒有配備專門的計算機管理人員，即使配備有專門的計算機管理人員，計算機水平一般也不高。這樣勢必會導致財務內(nèi)網(wǎng)的權(quán)限管理混亂，安全配置不正確，資源訪問控制不合理，允許不應進入內(nèi)網(wǎng)的人上網(wǎng)和出現(xiàn)丟失口令、非法操作等。

（2）單位資產(chǎn)管理混亂。有的單位財務人員將內(nèi)網(wǎng)非法外聯(lián)互聯(lián)網(wǎng)和其他網(wǎng)絡，將移動設(shè)備（筆記本電腦和U盤等）未經(jīng)過安全檢查和處理違規(guī)接入內(nèi)網(wǎng)，網(wǎng)絡客戶機和用戶隨意增減調(diào)換，對每個客戶機硬件配備（CPU、硬盤、內(nèi)存等）隨意組裝拆卸、操作系統(tǒng)隨意更換、各類應用軟件胡亂安裝卸載等，由此造成病毒傳播、黑客入侵，導致單位內(nèi)部重要財務信息泄露或丟失。

（3）病毒造成網(wǎng)絡癱瘓。從“蠕蟲”病毒到CIH病毒、愛蟲病毒、木馬及磁碟機病毒等，病毒一直是對計算機系統(tǒng)安全最直接的威脅，病毒的發(fā)展變化使它們能獨自傳播，大量復制，會使殺毒軟件的監(jiān)控失效，無法查殺病毒，還會頻繁查找殺毒軟件的程序窗口，強行將其關(guān)閉，甚至不斷出現(xiàn)開機自啟動，使計算機根本無法工作。網(wǎng)絡更是為病毒提供了迅速傳播的途徑，病毒很容易地通過財務內(nèi)網(wǎng)的服務器傳播到整個網(wǎng)絡。內(nèi)網(wǎng)中由于安裝補丁不及時、網(wǎng)絡濫用、非法接入、查殺病毒軟件未升級等因素導致網(wǎng)絡內(nèi)病毒泛濫、網(wǎng)絡阻塞、數(shù)據(jù)損壞丟失的例子很多，還可能因無法找到災難的源頭而不能迅速采取隔離等處理措施。

（4）非法用戶惡意攻擊。這里是指來自財務局域網(wǎng)內(nèi)部的非法用戶利用內(nèi)網(wǎng)進行惡意攻擊。例如，他們有選擇地破壞網(wǎng)絡信息的有效性和完整性；偽裝為合法用戶進入網(wǎng)絡內(nèi)部并占用大量資源；修改數(shù)據(jù)、竊取或破譯財務機密信息、破壞軟件執(zhí)行；在中間站點攔截和讀取絕密財務信息等。

（5）網(wǎng)絡內(nèi)部家賊難防。在財務局域網(wǎng)內(nèi)部，極個別難防的家賊利用其合法用戶身份登錄網(wǎng)站，非法查看信息，復制機密信息，修改信息內(nèi)容及破壞應用系統(tǒng)的運行，以達到不可告人的目的。

（6）系統(tǒng)“漏洞”及“后門”。微軟的操作系統(tǒng)及網(wǎng)絡軟件在編碼時存在缺陷和漏洞，故不斷地公布補??；財務軟件編程人員為了方便也在軟件中留有“后門”。一旦這些“漏洞”及“后門”為黑客所知，它們就會成為整個財務內(nèi)網(wǎng)系統(tǒng)受攻擊的首選目標和薄弱環(huán)節(jié)。千里之堤，潰于蟻穴。大部分的黑客入侵事件都是由系統(tǒng)的“漏洞”和“后門”所造成的。由于補丁管理混亂，客戶機用戶不了解系統(tǒng)補丁狀態(tài)，也不及時打補丁，從而為病毒與黑客入侵保留了通道。

（7）存儲、傳輸信息泄密。財務機密信息存儲在財務局域網(wǎng)系統(tǒng)內(nèi)部，當系統(tǒng)受到攻擊時，如不采取措施，很容易被搜集而造成泄密，特別是在傳輸過程中，可能要經(jīng)過多個節(jié)點，在其中任何節(jié)點任何客戶機上都有可能被讀取，很難查證。因此，財務機密信息的存儲和傳輸也是威脅財務內(nèi)網(wǎng)安全的一個重要方面。

上述因素都會危及財務內(nèi)網(wǎng)信息安全，所以必須加強財務內(nèi)網(wǎng)安全建設(shè)，改進財務內(nèi)網(wǎng)管理，保護網(wǎng)絡系統(tǒng)內(nèi)部核心資源。

二、加強財務內(nèi)網(wǎng)安全建設(shè)的策略

加強財務內(nèi)網(wǎng)安全建設(shè)的策略有以下幾種：

（1）進行入網(wǎng)身份認證和操作權(quán)限設(shè)置，這是事先預防功能。

（2）對設(shè)備使用、應用程序、上網(wǎng)行為、文件操作和網(wǎng)絡訪問等進行現(xiàn)場監(jiān)控并報警。

（3）利用不能隨便刪除、修改的日志對網(wǎng)絡上的行為、蹤跡進行事后強審計。

（4）對內(nèi)網(wǎng)中的重要信息加密，如對數(shù)據(jù)庫加密，對應用程序加密等。

（5）對黑客攻擊和病毒入侵進行檢測和清除，對信息資源進行保護。

這些策略每一種都很重要，但僅僅使用其中一種不足以保證內(nèi)網(wǎng)安全，因為它們只是內(nèi)網(wǎng)安全建設(shè)的一個環(huán)節(jié)或者一個側(cè)面，還很不完善，當然也就很不安全。如只實施第一種策略，黑客和病毒照樣能夠通過操作系統(tǒng)入侵；實施第二種策略能夠發(fā)現(xiàn)用戶某些違反規(guī)定的使用，但對黑客攻擊和病毒入侵照樣不可能進行檢測和清除；第三種是事后檢查日志，也就是不能立即解決安全問題；第四種對信息加密，可以保證重要信息不被竊取，但也無法保證信息不被破壞；第五種雖能對黑客攻擊和病毒入侵進行檢測和清除，但又不能發(fā)現(xiàn)和防止內(nèi)部家賊以合法用戶的身份登錄內(nèi)網(wǎng)竊取重要信息。

常有人認為內(nèi)網(wǎng)中有完善的身份認證，就能夠保證內(nèi)網(wǎng)使用的安全，內(nèi)網(wǎng)安全就等于身份認證；也有人認為內(nèi)網(wǎng)安全就是現(xiàn)場監(jiān)控，就是審計，只要能隨時發(fā)現(xiàn)和控制每個客戶機的行為，能通過計算機看到客戶機用戶的操作界面，就能了解他們到底在做什么，有沒有危害內(nèi)網(wǎng)信息安全的行為，這樣內(nèi)網(wǎng)就安全了。其實這些都是認識誤區(qū)，內(nèi)網(wǎng)安全是一個集成綜合技術(shù)，包括的層面很多。由于內(nèi)網(wǎng)安全的重要性，有不少廠家抓住了這一商機，推出了內(nèi)網(wǎng)安全產(chǎn)品，有的做認證，有的做外部審計，也有的聲稱整合了幾個方面，具有多種功能。這些產(chǎn)品雖然能起到某些作用，但需要另外安裝專用服務器和網(wǎng)絡探測器等硬件，還要有與其配套的軟件，這些硬件和軟件價格很貴，需要花很多錢，而且安裝、設(shè)置、管理都很復雜，效果也不能令人滿意，如對以合法用戶身份登錄內(nèi)網(wǎng)的內(nèi)部家賊竊取重要信息起不了多大作用，對黑客利用尚未公布補丁的操作系統(tǒng)漏洞進行攻擊也不能發(fā)現(xiàn)和防止，對新出現(xiàn)的病毒入侵也不能進行檢測和清除。

三、保證財務內(nèi)網(wǎng)信息安全的幾種切實有效的技術(shù)措施

財務內(nèi)網(wǎng)有其特殊性：其計算機工作站不是太多，一般在100臺以內(nèi)；財務人員一般對計算機不是很精通；很多單位沒有配備專門的計算機管理人員等。對于怎樣保證財務內(nèi)網(wǎng)的信息安全，本文提出幾種切實有效的技術(shù)措施。

1. 配備專門的計算機管理人員，加強網(wǎng)絡的權(quán)限管理

因為財務內(nèi)網(wǎng)的計算機工作站不太多，所以可以采用兩層客戶/服務器模式，以獲得較高的訪問效率。配備專門的計算機管理人員，對網(wǎng)內(nèi)的所有計算機實行全面管理。從服務器到每臺客戶機的軟件和硬件安裝、配置、維護都由計算機管理員負責。管理員分別為不同用戶設(shè)定用戶名和密碼，用戶只能在規(guī)定的客戶機和上機時間內(nèi)通過輸入用戶名和密碼進入系統(tǒng)。由于每臺客戶機的工作內(nèi)容互不相同，操作員的身份也不一樣，有會計，有出納等，他們對財務信息的可讀、可寫、可查權(quán)限都不一樣，因此要特別注意用戶的權(quán)限。管理員要加強對網(wǎng)絡權(quán)限和共享文件的管理，數(shù)據(jù)庫放在服務器上，用戶要根據(jù)專門設(shè)定的用戶名和密碼登錄數(shù)據(jù)庫，數(shù)據(jù)庫的表、視圖、模塊也必須進行權(quán)限設(shè)置。實行這種由專人負責的管理辦法就能保證財務內(nèi)網(wǎng)內(nèi)軟件和硬件的正確配置和安全使用，不給非法用戶提供進入內(nèi)網(wǎng)的機會。

2. 機器安裝連接要嚴格區(qū)分內(nèi)外網(wǎng)

內(nèi)網(wǎng)和外網(wǎng)要嚴格區(qū)別開來。首先是網(wǎng)絡連接要有區(qū)別，內(nèi)網(wǎng)不能連接到外網(wǎng)，特別是不能連接到Internet上。要做到這一點，先要保證有足夠的內(nèi)網(wǎng)機器，規(guī)定內(nèi)網(wǎng)的機器絕對不能連接外網(wǎng)，不能私自撥號上Internet，不能無線上Internet。當今社會已是互聯(lián)網(wǎng)時代，辦公室不能上Internet幾乎是不可能的。為了在辦公室也能上Internet，有條件的單位可以給每個職工配備兩臺計算機，分別連接，一臺連內(nèi)網(wǎng)，一臺連外網(wǎng)，考慮資金原因也可以給幾個人共同配備一臺計算機連外網(wǎng)或者一間辦公室配備一臺計算機連外網(wǎng)。這樣就能嚴格區(qū)分內(nèi)外網(wǎng)，能滿足職工在辦公室上Internet的需要。如果內(nèi)網(wǎng)需要外網(wǎng)的有關(guān)數(shù)據(jù)，必須由內(nèi)網(wǎng)的管理員在專用機上連接外網(wǎng)。

3. 登錄財務內(nèi)網(wǎng)使用隱藏的機器名或機器號

登錄財務內(nèi)網(wǎng)需要使用密碼，但對用戶只告訴部分密碼，用戶登錄時只須輸入已知的部分密碼，實際密碼還自動加上隱藏的機器名或機器號。通過對單機 Windows認證登錄的“用戶名+密碼”進行改進，采用“用戶名+密碼+機器名或機器號”的認證方式成為防止入侵者的第一道屏障。每臺客戶機的機器名或機器號是固定的，計算機管理員清楚。登錄財務內(nèi)網(wǎng)時使用對用戶隱藏的的機器名進行登錄限制，這樣非法用戶使用合法計算機或合法用戶使用非法計算機都不可能登錄財務內(nèi)網(wǎng)。

4. 限制U盤、移動硬盤和打印機等外設(shè)的使用

這里的外設(shè)包括軟盤、光盤、U盤、移動硬盤、網(wǎng)絡驅(qū)動器和打印機等。這些設(shè)備的使用方便了數(shù)據(jù)的移動，但任意使用也會帶來信息安全隱患問題。

根據(jù)使用權(quán)限對客戶機用戶的軟驅(qū)、光驅(qū)（包括刻錄機）、磁帶驅(qū)動器、U盤、移動硬盤、串口、并口、SCSI、IEEE1394總線、調(diào)制解調(diào)器、紅外通訊設(shè)備以及筆記本電腦使用的PCMCIA卡和藍牙等設(shè)備進行禁用或停用，從而杜絕了財務內(nèi)部網(wǎng)與Internet的連接，避免了財務內(nèi)網(wǎng)數(shù)據(jù)被有意或者無意地泄露出去?？紤]到財務內(nèi)網(wǎng)可能需要一些內(nèi)網(wǎng)外的數(shù)據(jù)，有時也要輸出數(shù)據(jù)到網(wǎng)外，利用U盤和移動硬盤等輸入、輸出數(shù)據(jù)是最方便的。對接入客戶機的U盤和移動硬盤等存儲介質(zhì)進行控制，計算機管理員根據(jù)需要設(shè)定存儲設(shè)備的使用權(quán)限（一般合法用戶不能使用，個別合法用戶只能讀，特殊用戶和管理員允許讀寫），這樣既保留了移動設(shè)備的方便性，又消除了移動存儲設(shè)備可能帶來的安全隱患。

5. U盤和移動硬盤使用前必須殺毒

U盤和移動硬盤的使用容易帶來病毒，要保證它們不傳播病毒，必須在使用U盤和移動硬盤前殺毒。

在網(wǎng)外專門配備一臺用于給U盤和移動硬盤殺毒的計算機，并在該機上安裝已更新病毒庫的最新版本殺毒軟件。當要使用U盤和移動硬盤時，先在這臺計算機上殺毒，殺毒結(jié)束后在U盤或移動硬盤上自動生成一個文件，記錄殺毒日期和殺毒成功標志，在U盤和移動硬盤接入客戶機時首先查看其上是否有當天的殺毒日期和殺毒成功標志，如有則可根據(jù)讀寫權(quán)限來使用，否則禁止使用。

6. 注重經(jīng)常升級殺毒程序和病毒庫，客戶機和服務器定期殺毒

經(jīng)常升級殺毒程序和病毒庫，并及時分發(fā)到各客戶機上，這項工作由計算機管理員負責完成?？蛻魴C和服務器由計算機管理員設(shè)定自動定期殺毒，只有這樣才能保證財務內(nèi)網(wǎng)的服務器和客戶機基本上處于沒有病毒的狀態(tài)，不會出現(xiàn)因為染上病毒導致財務內(nèi)網(wǎng)癱瘓而無法繼續(xù)工作的局面。

7. 客戶機系統(tǒng)盤固定為C盤，為防止系統(tǒng)被破壞，做GHOST備份

把客戶機的系統(tǒng)盤固定為C盤，安裝操作系統(tǒng)，其他的軟件都不安裝到C盤。為防止操作系統(tǒng)損壞，導致客戶機不能開機，特對C盤做GHOST備份，萬一系統(tǒng)被損壞，可以立刻恢復使用，且不會影響到其他軟件和數(shù)據(jù)。

8. 數(shù)據(jù)庫做自動備份

目前財務軟件的數(shù)據(jù)庫一般都使用SQL Server 產(chǎn)品, 它是一個典型的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，有很多版本。財務內(nèi)網(wǎng)的財務數(shù)據(jù)庫建在服務器上，財務數(shù)據(jù)庫的備份和恢復是確保財務數(shù)據(jù)安全的一種必不可少的方法。人工進行數(shù)據(jù)庫備份是一項長期且繁雜的工作，SQL Server 產(chǎn)品具有自動化管理功能，它由SQL Server 代理完成。設(shè)置SQL Server 代理要先設(shè)置啟動SQL Server 代理服務，并使SQL Server 代理服務和操作系統(tǒng)同時啟動，還要使SQL Server 及SQL Server 代理在意外停止時自動重新啟動。設(shè)置好SQL Server 代理后即可制訂維護數(shù)據(jù)庫計劃，規(guī)定自動備份時間，備份磁盤等。

9. 利用日志進行檢查審計

利用日志查看特定機器的歷史記錄，可對登錄財務內(nèi)網(wǎng)的各種事件進行檢查和審計。通過事件查看器查看日志文件，分析和審計賬戶登錄事件、文件訪問行為、系統(tǒng)服務和數(shù)據(jù)庫操作等，從而發(fā)現(xiàn)各種過失違規(guī)和犯罪行為，起到規(guī)范上網(wǎng)和威懾的作用。

10. 數(shù)據(jù)庫加密

財務內(nèi)網(wǎng)的財務數(shù)據(jù)都保存在財務數(shù)據(jù)庫內(nèi)，對財務數(shù)據(jù)庫進行加密使其數(shù)據(jù)文件“面目全非”，只有輸入正確的密碼后進行解密才能打開數(shù)據(jù)文件，文件使用完畢退出以后，使它仍處于加密狀態(tài)，這樣即使有人竊取了財務數(shù)據(jù)庫的數(shù)據(jù)文件，也會因不知道密碼而無法解密，也就不會對財務內(nèi)網(wǎng)的財務信息安全造成威脅和危害。

11. 加強管理，建立嚴格的計算機管理規(guī)章制度

單位要加強管理，建立嚴格的計算機管理規(guī)章制度，而且對管理規(guī)章制度必須經(jīng)常提醒、經(jīng)常督促、經(jīng)常檢查?！爸贫戎饕欠纼?nèi)”，有了嚴密的規(guī)章制度、運行條例，形成了內(nèi)部不同人員間的相互制約關(guān)系，使每個用戶都合法使用計算機，再加上完善的技術(shù)保障措施，不允許用戶有不合規(guī)定的操作行為發(fā)生，這樣就能減少內(nèi)部人員作案的可能性，客觀上也就防止了外部人員作案，從而保證了財務內(nèi)網(wǎng)的正常安全運行。

四、結(jié)束語

上述保證財務內(nèi)網(wǎng)信息安全的幾種有效的技術(shù)措施具有很多優(yōu)越性：能將單位財務內(nèi)網(wǎng)的服務器和所有客戶機都納入管理的范疇；能夠增強財務內(nèi)網(wǎng)的整體安全性能，解決目前財務內(nèi)網(wǎng)中亟待解決的各種安全隱患；能形成防范與威懾力量，防止內(nèi)部人員的違規(guī)操作；不必增加太多的成本；技術(shù)上并不復雜等。通過實際應用已證明這些措施對保證財務內(nèi)網(wǎng)的信息安全極為有效，其對加強企事業(yè)單位的其他內(nèi)網(wǎng)的信息安全也具有參考價值。

主要參考文獻

[1] 陳鵬,蔡玥. 專用園區(qū)網(wǎng)絡系統(tǒng)安全風險評估研究[J]. 計算機工程與設(shè)計,2008,29(9):2209-2212.

[2] 崔蔚,趙強,姜建國,等. 基于主機的安全審計系統(tǒng)研究[J]. 電腦與信息技術(shù),2004,25(1):12-15.

[3] 胡品輝,凌捷,逯峰. 信息安全審計技術(shù)在財政行業(yè)的應用[J]. 計算機工程與設(shè)計, 2007,28(21):5314-5316