張飛飛 武漢軟件工程職業(yè)學(xué)院財(cái)務(wù)處

一、引言

隨著互聯(lián)網(wǎng)技術(shù)和基礎(chǔ)設(shè)備的不斷完善，大數(shù)據(jù)、云計(jì)算改變了我們的生活方式，提高著工作效率，在挖掘更大的數(shù)據(jù)價(jià)值方面發(fā)揮越來(lái)越重要的作用。高校信息化業(yè)務(wù)也不斷擴(kuò)大，網(wǎng)上報(bào)銷、網(wǎng)上審批、銀校互聯(lián)等應(yīng)用應(yīng)運(yùn)而生，在網(wǎng)絡(luò)不斷普及的同時(shí)，安全問(wèn)題也日益增多。財(cái)務(wù)數(shù)據(jù)作為單位的核心數(shù)據(jù)，其數(shù)據(jù)安全更是重中之重。如何有效的安全防范，使得財(cái)務(wù)網(wǎng)絡(luò)更加安全可靠，已成為一個(gè)重要課題。

二、當(dāng)前高校財(cái)務(wù)信息系統(tǒng)安全部署存在的缺陷

（一）重視校園網(wǎng)與互聯(lián)網(wǎng)邊界的防護(hù)，忽視校園網(wǎng)內(nèi)和財(cái)務(wù)專網(wǎng)的防護(hù)

高校財(cái)務(wù)網(wǎng)絡(luò)一般運(yùn)行在財(cái)務(wù)內(nèi)網(wǎng)、校園網(wǎng)、互聯(lián)網(wǎng)三層網(wǎng)絡(luò)上，部分院校將防護(hù)重點(diǎn)放在了校園網(wǎng)和互聯(lián)網(wǎng)臨界之間，而對(duì)校園網(wǎng)內(nèi)的安全防護(hù)重視不夠，財(cái)務(wù)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器均運(yùn)行在校園網(wǎng)內(nèi)，沒(méi)有獨(dú)立專網(wǎng)，校園網(wǎng)訪問(wèn)沒(méi)有使用域名解析訪問(wèn)，直接將IP地址暴露在校園網(wǎng)上。

（二）財(cái)務(wù)信息系統(tǒng)運(yùn)維人員管控存在盲區(qū)

財(cái)務(wù)系統(tǒng)管理人員通常對(duì)財(cái)務(wù)數(shù)據(jù)的操作在后臺(tái)數(shù)據(jù)庫(kù)直接操作，改動(dòng)財(cái)務(wù)數(shù)據(jù)或者誤操作都很難發(fā)現(xiàn)，且更容易造成不可估計(jì)的損失。

（三）財(cái)務(wù)工作人員網(wǎng)絡(luò)安全意識(shí)不強(qiáng)

財(cái)務(wù)辦公電腦未及時(shí)更新系統(tǒng)漏洞補(bǔ)丁和安全防護(hù)軟件，辦公電腦、財(cái)務(wù)軟件無(wú)密碼或者密碼過(guò)于簡(jiǎn)單，將來(lái)歷不明的U盤、移動(dòng)硬盤連接財(cái)務(wù)辦公電腦、接收不明郵件等，導(dǎo)致財(cái)務(wù)辦公設(shè)備成為風(fēng)險(xiǎn)敞口。

三、高校財(cái)務(wù)網(wǎng)絡(luò)安全建設(shè)的對(duì)策

（一）建立健全財(cái)務(wù)數(shù)據(jù)安全管理制度，提高財(cái)務(wù)人員網(wǎng)絡(luò)安全意識(shí)

1.建立財(cái)務(wù)數(shù)據(jù)日常運(yùn)行維護(hù)制度。高校財(cái)務(wù)部門應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全運(yùn)行與維護(hù)管理，制定財(cái)務(wù)數(shù)據(jù)安全信息系統(tǒng)工作程序、管理制度及各子系統(tǒng)具體操作規(guī)范；建立及時(shí)跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在問(wèn)題的流程反饋機(jī)制，確保財(cái)務(wù)信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)運(yùn)行；建立信息系統(tǒng)變更管理流程，信息系統(tǒng)變更應(yīng)當(dāng)嚴(yán)格按照管理流程進(jìn)行操作，財(cái)務(wù)信息系統(tǒng)操作人員不得擅自進(jìn)行系統(tǒng)軟件的刪除、修改等操作，不得擅自升級(jí)、改變系統(tǒng)軟件的版本，不得擅自改變軟件系統(tǒng)環(huán)境配置。建設(shè)系統(tǒng)數(shù)據(jù)定期備份制度，明確數(shù)據(jù)備份范圍、頻率、方法、責(zé)任人、存放地點(diǎn)、有效性檢查等內(nèi)容。

2.建立新舊財(cái)務(wù)系統(tǒng)切換制度。高校財(cái)務(wù)部門應(yīng)切實(shí)做好信息系統(tǒng)上線的各項(xiàng)準(zhǔn)備工作，培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人員，制定科學(xué)的上線計(jì)劃和新舊系統(tǒng)轉(zhuǎn)換方案，制定應(yīng)急預(yù)案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據(jù)遷移的，應(yīng)當(dāng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃，在啟用新的財(cái)務(wù)軟件系統(tǒng)時(shí)，應(yīng)當(dāng)保持新老系統(tǒng)并行運(yùn)行一定時(shí)間，保證新舊系統(tǒng)順利過(guò)渡。

（二）科學(xué)規(guī)劃財(cái)務(wù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

在互聯(lián)網(wǎng)、校園網(wǎng)、財(cái)務(wù)內(nèi)網(wǎng)之間的邊界處，應(yīng)當(dāng)增加防火墻、路由器等網(wǎng)絡(luò)軟硬件防護(hù)設(shè)備，如圖1所示，典型的財(cái)務(wù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，財(cái)務(wù)的核心數(shù)據(jù)庫(kù)和容災(zāi)備份服務(wù)器應(yīng)當(dāng)運(yùn)行在財(cái)務(wù)內(nèi)網(wǎng)上，網(wǎng)上報(bào)銷、預(yù)算申報(bào)、網(wǎng)上查詢等應(yīng)用服務(wù)器和應(yīng)用數(shù)據(jù)庫(kù)運(yùn)行在校園網(wǎng)上，財(cái)務(wù)內(nèi)網(wǎng)和校園網(wǎng)之間不直接進(jìn)行數(shù)據(jù)交換，而是通過(guò)中間服務(wù)器轉(zhuǎn)發(fā)交換數(shù)據(jù)，同時(shí)在財(cái)務(wù)內(nèi)網(wǎng)和校園網(wǎng)之間添加網(wǎng)閘和堡壘機(jī)，阻止未授權(quán)、不可信任的訪問(wèn)通過(guò)校園網(wǎng)進(jìn)入財(cái)務(wù)內(nèi)網(wǎng)，堡壘機(jī)通過(guò)操作審計(jì)、日志記錄可有效防止財(cái)人員的誤操作、監(jiān)控財(cái)務(wù)系統(tǒng)維護(hù)人員后臺(tái)數(shù)據(jù)庫(kù)操作軌跡。在網(wǎng)絡(luò)設(shè)置配置上，針對(duì)財(cái)務(wù)內(nèi)網(wǎng)、校園網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn)用VLAN隔離成不同的網(wǎng)段，防止木馬、病毒在整個(gè)網(wǎng)絡(luò)擴(kuò)散。

（三）財(cái)務(wù)服務(wù)器日常維護(hù)

財(cái)務(wù)服務(wù)器日常維護(hù)應(yīng)該由專人維護(hù)，安裝殺毒軟件，定期升級(jí)操作系統(tǒng)，在升級(jí)系統(tǒng)前，應(yīng)對(duì)系統(tǒng)、數(shù)據(jù)進(jìn)行備份，以防止升級(jí)導(dǎo)致的軟件沖突問(wèn)題。對(duì)于只在內(nèi)網(wǎng)運(yùn)行的服務(wù)器，可以建立殺毒軟件、系統(tǒng)補(bǔ)丁服務(wù)器，為內(nèi)網(wǎng)所有服務(wù)器提供系統(tǒng)、軟件升級(jí)。財(cái)務(wù)服務(wù)器應(yīng)關(guān)閉無(wú)業(yè)務(wù)需求的服務(wù)端口，通過(guò)安全策略固定服務(wù)器遠(yuǎn)程登錄維護(hù)IP地址，定期查看容災(zāi)備份系統(tǒng)運(yùn)行情況，確保數(shù)據(jù)備份實(shí)時(shí)進(jìn)行。對(duì)于軟件系統(tǒng)廠家后臺(tái)數(shù)據(jù)庫(kù)維護(hù)操作，讓維護(hù)人員通過(guò)堡壘機(jī)平臺(tái)登錄，從而可以對(duì)維護(hù)人員的操作進(jìn)行審計(jì)、監(jiān)控，防止對(duì)數(shù)據(jù)的誤操作?？傊?，要綜合利用防火墻、網(wǎng)閘等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測(cè)等軟件技術(shù)以及遠(yuǎn)程訪問(wèn)安全策略等手段，加強(qiáng)網(wǎng)絡(luò)安全，防范來(lái)自網(wǎng)絡(luò)的攻擊和非法侵入。

圖1 財(cái)務(wù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

（四）提高財(cái)務(wù)人員網(wǎng)絡(luò)安全意識(shí)

建立財(cái)務(wù)工作人員網(wǎng)絡(luò)安全操作制度，規(guī)范財(cái)務(wù)工作人員電腦操作流程。通過(guò)舉辦講座、聘請(qǐng)網(wǎng)絡(luò)安全專家授課、參加培訓(xùn)等形式提升財(cái)務(wù)人員的安全意識(shí)和電腦安全維護(hù)知識(shí)，強(qiáng)制要求財(cái)務(wù)人員辦公電腦設(shè)置密碼，強(qiáng)制要求密碼復(fù)雜度，對(duì)不明郵件、不明網(wǎng)站禁止點(diǎn)擊、訪問(wèn)，財(cái)務(wù)辦公電腦和互聯(lián)網(wǎng)隔離，禁止財(cái)務(wù)人員接入不明的U盤、移動(dòng)硬盤等外部設(shè)備。

四、結(jié)語(yǔ)

隨著財(cái)務(wù)信息化的推進(jìn)，財(cái)務(wù)各系統(tǒng)實(shí)施應(yīng)用會(huì)越來(lái)越多，子系統(tǒng)之間聯(lián)系更復(fù)雜，財(cái)務(wù)數(shù)據(jù)的實(shí)時(shí)交互更頻繁，網(wǎng)絡(luò)安全防護(hù)更加困難。加強(qiáng)財(cái)務(wù)網(wǎng)絡(luò)安全管理，確保數(shù)據(jù)安全更為迫切，財(cái)務(wù)數(shù)據(jù)安全不僅僅是系統(tǒng)維護(hù)人員的職責(zé)，而是一個(gè)系統(tǒng)工程，應(yīng)當(dāng)將財(cái)務(wù)管理制度、網(wǎng)絡(luò)安全防護(hù)措施、財(cái)務(wù)人員數(shù)據(jù)安全意識(shí)三者有機(jī)結(jié)合起來(lái)才能形成財(cái)務(wù)安全的有效防線。