高芳 張杰 李恒

摘 要： 在大數(shù)據(jù)時(shí)代發(fā)展背景下，高校財(cái)務(wù)信息化建設(shè)要充分實(shí)現(xiàn)財(cái)務(wù)數(shù)據(jù)資源共享，以大數(shù)據(jù)技術(shù)實(shí)現(xiàn)財(cái)務(wù)數(shù)據(jù)價(jià)值，為高校管理者決策活動(dòng)提供有效支持。在財(cái)務(wù)大數(shù)據(jù)的運(yùn)轉(zhuǎn)過(guò)程中，網(wǎng)絡(luò)信息安全尤為重要，這是有效支撐財(cái)務(wù)信息化各項(xiàng)業(yè)務(wù)安全運(yùn)行的基礎(chǔ)和保障。本文從建立多層次的網(wǎng)絡(luò)安全體系、運(yùn)用防火墻提高網(wǎng)絡(luò)安全防護(hù)等級(jí)、采用工具增加服務(wù)器自動(dòng)防范功能等3個(gè)技術(shù)方面提出了財(cái)務(wù)服務(wù)器網(wǎng)絡(luò)安全保護(hù)措施。

關(guān)鍵詞： 大數(shù)據(jù)；高校財(cái)務(wù)；財(cái)務(wù)信息化；服務(wù)器；網(wǎng)絡(luò)安全

Abstract：Under the background of the development of big data era university financial information construction should fully realize the sharing of financial data resources realize the value of financial data with big data technology and provide effective support for the decisionmaking activities of college administrators. During the operation of financial big data network information security is particularly important. It is the basis and guarantee to ensure the safe operation of various businesses in the financial department. This article puts forward financial server network security protection measures from three aspects which are establishing multilevel network security system using firewall to improve network security protection level and using tools to increase server automatic prevention function.

Key words： big data；university finance；financial informatization；server；network security

引言

隨著大數(shù)據(jù)、云計(jì)算等信息技術(shù)的發(fā)展，高校財(cái)務(wù)信息化迎來(lái)新的機(jī)遇和挑戰(zhàn)。本文基于高校財(cái)務(wù)信息化的現(xiàn)實(shí)狀況，分析了建設(shè)過(guò)程面臨的主要問(wèn)題，提出以大數(shù)據(jù)思維構(gòu)建高校財(cái)務(wù)信息化的總體框架與完善措施，對(duì)進(jìn)一步推動(dòng)新時(shí)代高校財(cái)務(wù)管理工作的全面創(chuàng)新具有重要的現(xiàn)實(shí)意義。

在大數(shù)據(jù)時(shí)代發(fā)展背景下，高校財(cái)務(wù)信息化建設(shè)要充分實(shí)現(xiàn)財(cái)務(wù)數(shù)據(jù)資源共享，以大數(shù)據(jù)技術(shù)實(shí)現(xiàn)財(cái)務(wù)數(shù)據(jù)決策支撐價(jià)值，為高校管理者決策活動(dòng)提供有效支持。在大數(shù)據(jù)的運(yùn)轉(zhuǎn)過(guò)程中，網(wǎng)絡(luò)信息安全尤為重要，是支撐財(cái)務(wù)處信息化各項(xiàng)業(yè)務(wù)安全運(yùn)行的基礎(chǔ)和保障。本文從建立多層次的網(wǎng)絡(luò)安全體系、運(yùn)用防火墻提高網(wǎng)絡(luò)安全防護(hù)等級(jí)、采用具體工具增加服務(wù)器自動(dòng)防范功能等3個(gè)技術(shù)方面提出了財(cái)務(wù)服務(wù)器網(wǎng)絡(luò)安全保護(hù)主要措施。

1 建立多層次的網(wǎng)絡(luò)安全體系

財(cái)務(wù)信息化服務(wù)器系統(tǒng)多數(shù)都是采用了二層網(wǎng)絡(luò)架構(gòu)，即財(cái)務(wù)專網(wǎng)和校園教育網(wǎng)。主要分為數(shù)據(jù)庫(kù)服務(wù)器、查詢服務(wù)器和Ngnix服務(wù)器。其中，數(shù)據(jù)庫(kù)服務(wù)器存放所有財(cái)務(wù)數(shù)據(jù)，包括客戶讀財(cái)務(wù)程序產(chǎn)生的數(shù)據(jù)和網(wǎng)頁(yè)上產(chǎn)生的數(shù)據(jù)，而且只能連接財(cái)務(wù)專網(wǎng)；查詢服務(wù)器存放網(wǎng)頁(yè)App供BS瀏覽器訪問(wèn)；Ngnix服務(wù)器用來(lái)隔離查詢服務(wù)器和應(yīng)用數(shù)據(jù)分發(fā)，更加高效和安全，所有BS瀏覽器訪問(wèn)數(shù)據(jù)都首先經(jīng)過(guò)Ngnix代理和轉(zhuǎn)發(fā)，大多數(shù)學(xué)校把查詢服務(wù)器和Ngnix服務(wù)器安裝在一臺(tái)服務(wù)器上。該服務(wù)器有2塊網(wǎng)卡，即內(nèi)網(wǎng)卡和外網(wǎng)卡。具體地，內(nèi)網(wǎng)卡連接財(cái)務(wù)專網(wǎng)，外網(wǎng)卡連接校園教育網(wǎng)和校外公網(wǎng)。該次研究中的網(wǎng)絡(luò)設(shè)計(jì)架構(gòu)如圖1所示。

以上的結(jié)構(gòu)存在著很大的安全問(wèn)題。查詢服務(wù)器上安裝了2塊網(wǎng)卡，實(shí)際上形成了一個(gè)網(wǎng)橋，導(dǎo)致財(cái)務(wù)內(nèi)網(wǎng)與外網(wǎng)是物理直接連通的，因而存在著較為嚴(yán)重的安全風(fēng)險(xiǎn)。尤其是經(jīng)歷了2017年在全球范圍內(nèi)網(wǎng)絡(luò)病毒大爆發(fā)的情勢(shì)危機(jī)后，財(cái)務(wù)服務(wù)器系統(tǒng)則應(yīng)及時(shí)采用更好的結(jié)構(gòu)方案，保證財(cái)務(wù)數(shù)據(jù)安全。

在此基礎(chǔ)上，本文就有針對(duì)性地將Ngnix服務(wù)器從查詢服務(wù)器中獨(dú)立出來(lái)，建立三層網(wǎng)絡(luò)構(gòu)架，由Ngnix服務(wù)器鏈接外網(wǎng)和校園教育網(wǎng)，查詢服務(wù)器鏈接財(cái)務(wù)專網(wǎng)和校園教育網(wǎng)，財(cái)務(wù)數(shù)據(jù)庫(kù)服務(wù)器只鏈接財(cái)務(wù)內(nèi)部專網(wǎng)。極大限度地把財(cái)務(wù)內(nèi)部專網(wǎng)與外網(wǎng)分開，保證財(cái)務(wù)數(shù)據(jù)安全。如此可得，網(wǎng)絡(luò)設(shè)計(jì)架構(gòu)如圖2所示。

在設(shè)計(jì)安裝Ngnix服務(wù)器時(shí)，本文將提出如下技術(shù)方案，即以一臺(tái)Ngnix服務(wù)器對(duì)應(yīng)多臺(tái)查詢服務(wù)器，并且把圖片文件存儲(chǔ)在對(duì)外的Ngnix服務(wù)器上，再使財(cái)務(wù)查詢服務(wù)器、無(wú)現(xiàn)金支付服務(wù)器及統(tǒng)一收費(fèi)平臺(tái)服務(wù)器做到專門功能劃定，也就是分別只存儲(chǔ)相應(yīng)業(yè)務(wù)的財(cái)務(wù)數(shù)據(jù)，可以顯著提高財(cái)務(wù)服務(wù)器查詢速度。

2 服務(wù)器網(wǎng)絡(luò)安全防護(hù)

目前，防火墻是公認(rèn)的服務(wù)器網(wǎng)絡(luò)安全的最有效的保障，這是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，通過(guò)在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋來(lái)自外部的網(wǎng)絡(luò)入侵。

因此財(cái)務(wù)數(shù)據(jù)服務(wù)器必須有效引入防火墻防護(hù)技術(shù)，對(duì)服務(wù)器運(yùn)行狀態(tài)提供檢查和防護(hù)，并配合IP 地址的保密工作，保證計(jì)算機(jī)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，實(shí)現(xiàn)各訪問(wèn)權(quán)限及訪問(wèn)端口的管理。

2.1 遠(yuǎn)程SSH權(quán)限配置

對(duì)于服務(wù)器遠(yuǎn)程SSH，則需限制只有特定網(wǎng)段才能采用SSH，例如：

iptables -A INPUT -s 1**.***.0.0/24 -p tcp --dport 18070 -j ACCEPT

iptables -A INPUT -s 2**.***.*.0/24 -p tcp --dport 18070 -j ACCEPT

2.2 Nginx端口限制

設(shè)置Nginx服務(wù)器只對(duì)特定的端口允許訪問(wèn)，例如：

（1）限制單個(gè)IP的最大syn連接數(shù)，防止DOS出現(xiàn)超量連接，例如：可以允許外網(wǎng)網(wǎng)卡每個(gè)IP最多15個(gè)初始連接，超過(guò)則丟棄。

iptables -A INPUT -i eth1 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

（2）防止單個(gè)IP訪問(wèn)量過(guò)大設(shè)置如下：

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP

（3）防止ping攻擊設(shè)置如下：

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

3 增強(qiáng)服務(wù)器自動(dòng)防范措施

3.1 安裝木馬掃描工具

木馬程序（Trojan horse program）通常稱為木馬、惡意代碼等，是指潛伏在電腦中，可受外部用戶控制以竊取本機(jī)信息或者控制權(quán)的程序。木馬程序帶來(lái)很多嚴(yán)重后果，例如占用系統(tǒng)資源，降低電腦效能，危害本機(jī)信息安全（盜取各類賬號(hào)等），將本機(jī)作為工具來(lái)攻擊其它設(shè)備等。

木馬的作用是窺視機(jī)主操作和竊取用戶信息，比如偷竊上網(wǎng)密碼、游戲賬號(hào)、股票賬號(hào)、網(wǎng)上銀行賬號(hào)等。黑客編寫和傳播木馬的初始目的是為了竊取刺探他人隱私或惡作劇。

隨著病毒編寫技術(shù)的發(fā)展，木馬程序?qū)τ脩舻耐{已不容忽視。尤其是一些木馬程序采用了高超偽裝的手段來(lái)隱蔽自己，使普通用戶在中毒后很難發(fā)覺。

一般的普通殺毒軟件里都包含了對(duì)木馬的查殺功能，也有一些廠商為木馬特別設(shè)計(jì)一個(gè)專門的木馬查殺工具，把查殺木馬程序單獨(dú)剝離出來(lái)，可以提高查殺效率。用戶可以根據(jù)自己的情況酌情選擇適宜的木馬掃描工具。

3.2 防篡改技術(shù)

Web網(wǎng)站防篡改的核心內(nèi)容主要包括阻止對(duì)網(wǎng)頁(yè)文件的篡改、防止非法網(wǎng)頁(yè)和信息被訪問(wèn)及有效防御各種來(lái)自應(yīng)用層的攻擊，例如注入式攻擊、跨站攻擊、非法上傳、身份仿冒等等。為此，財(cái)務(wù)Web網(wǎng)站和Web應(yīng)用系統(tǒng)除了使用一般的網(wǎng)絡(luò)安全設(shè)備外，還需要配備有效的網(wǎng)頁(yè)防篡改系統(tǒng)來(lái)對(duì)頁(yè)面內(nèi)容和動(dòng)態(tài)數(shù)據(jù)設(shè)計(jì)展開嚴(yán)密防護(hù)。Web網(wǎng)站通常使用了防火墻和IDS/IPS等網(wǎng)絡(luò)安全設(shè)備來(lái)增強(qiáng)自身的安全，安全設(shè)計(jì)的策略方案即如圖3所示。

目前，研究中常見的網(wǎng)頁(yè)防篡改技術(shù)可分析論述為3種，詳情如下。

（1）外掛輪詢技術(shù)。用一個(gè)網(wǎng)頁(yè)讀取和檢測(cè)程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁(yè)，與真實(shí)網(wǎng)頁(yè)相比較，來(lái)判斷網(wǎng)頁(yè)內(nèi)容的完整性，對(duì)于被篡改的網(wǎng)頁(yè)進(jìn)行報(bào)警和恢復(fù)。

（2）核心內(nèi)嵌技術(shù)。將篡改檢測(cè)模塊內(nèi)嵌在Web服務(wù)器軟件里，并在每一個(gè)網(wǎng)頁(yè)流出時(shí)都進(jìn)行完整性檢查，對(duì)于篡改網(wǎng)頁(yè)設(shè)置實(shí)時(shí)訪問(wèn)阻斷，并予以報(bào)警和恢復(fù)。

（3）事件觸發(fā)技術(shù)。利用操作系統(tǒng)的文件系統(tǒng)或驅(qū)動(dòng)程序接口，在網(wǎng)頁(yè)文件遭遇修改時(shí)進(jìn)行合法性檢查，對(duì)于非法操作發(fā)送報(bào)警和阻止、及恢復(fù)。

4 結(jié)束語(yǔ)

大數(shù)據(jù)和云計(jì)算技術(shù)為高校的財(cái)務(wù)管理創(chuàng)造了更多發(fā)展平臺(tái)，給財(cái)務(wù)數(shù)據(jù)挖掘和分析過(guò)程提供了新的信息技術(shù)手段，能夠?qū)崿F(xiàn)財(cái)務(wù)數(shù)據(jù)實(shí)時(shí)共享與同步，有效降低信息化成本。財(cái)務(wù)信息化已經(jīng)發(fā)展成為高校財(cái)務(wù)不可或缺的一部分，財(cái)務(wù)數(shù)據(jù)安全問(wèn)題則已突顯其至關(guān)重要的地位與作用。加強(qiáng)財(cái)務(wù)服務(wù)器的安全與維護(hù)，對(duì)提高整個(gè)財(cái)務(wù)系統(tǒng)的運(yùn)行安全具有現(xiàn)實(shí)關(guān)鍵意義與價(jià)值。高校財(cái)務(wù)部門必須重視網(wǎng)絡(luò)服務(wù)器的安全問(wèn)題，規(guī)范構(gòu)建組織結(jié)構(gòu)，合理引入防火墻等先進(jìn)技術(shù)，加強(qiáng)服務(wù)器Web網(wǎng)頁(yè)防篡改功能，連同各種軟件維護(hù)及財(cái)務(wù)數(shù)據(jù)的妥善備份，即可切實(shí)降低財(cái)務(wù)信息化中存在的各類風(fēng)險(xiǎn)，有效確保財(cái)務(wù)信息的運(yùn)行與存儲(chǔ)安全。

參考文獻(xiàn)

[1] 畢巧. 大數(shù)據(jù)時(shí)代下會(huì)計(jì)信息化存在的風(fēng)險(xiǎn)及防范對(duì)策[J]. 商業(yè)經(jīng)濟(jì) 2017（2）： 142-144.

[2] 張新紅，陸璐，陳利國(guó). 基于大數(shù)據(jù)技術(shù)的高校信息化建設(shè)[J]. 鄭州鐵路職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2017，29（1）： 85-88.

[3] 楊小燕，廖清遠(yuǎn). 大數(shù)據(jù)時(shí)代基于云計(jì)算的高校智能化財(cái)務(wù)信息平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J]. 信息與電腦（理論版），2016（7）：26-28.