多校區(qū)財務(wù)網(wǎng)絡(luò)安全風(fēng)險解決方案分析與應(yīng)用

陽靈芬　熊娜

摘 要：多校區(qū)高校由于其地理分布特性，使得財務(wù)部門的業(yè)務(wù)開展更加依賴于網(wǎng)絡(luò)，文章對具有普適性的高校財務(wù)網(wǎng)絡(luò)安全現(xiàn)狀及存在的主要問題進行分析，提出了基于層次劃分的多校區(qū)高校財務(wù)網(wǎng)絡(luò)安全方案，為高校的信息及網(wǎng)絡(luò)安全提供保障，同時應(yīng)對新的安全隱患，提出防范措施及改進建議。

關(guān)鍵詞：多校區(qū) 高校 財務(wù) 網(wǎng)絡(luò)安全

中圖分類號：F230 文獻標識碼：A

文章編號：1004-4914（2016）06-198-02

隨著高校辦學(xué)規(guī)模的不斷擴大， 財務(wù)部門使用分布式系統(tǒng)進行多校區(qū)辦公及數(shù)據(jù)傳輸成為主流趨勢，隨著信息與網(wǎng)絡(luò)技術(shù)的發(fā)展，財務(wù)數(shù)據(jù)的傳輸?shù)乃俣群托蚀蟠筇嵘瑫r財務(wù)部門也越來越多地面對管理安全、計算機病毒、非法入侵等問題帶來的困擾，如何在利用計算機信息與網(wǎng)絡(luò)技術(shù)帶來的便利的同時保證財務(wù)數(shù)據(jù)的安全成為可研究的課題。本文對高校財務(wù)網(wǎng)絡(luò)現(xiàn)狀進行分析，形成了基于層次劃分的多校區(qū)高校網(wǎng)絡(luò)安全技術(shù)方案，目前該方案已投入應(yīng)用。

一、高校財務(wù)網(wǎng)絡(luò)建設(shè)現(xiàn)狀

近年隨著網(wǎng)絡(luò)理論的發(fā)展和設(shè)備工藝的進步，多校區(qū)高校財務(wù)管理工作的方式、方法也產(chǎn)生了巨大變革。目前，以網(wǎng)絡(luò)技術(shù)為主的各種信息技術(shù)在財務(wù)上的應(yīng)用提升到新的高度，改變了傳統(tǒng)模式的資金交易記賬方式，使網(wǎng)絡(luò)處理貫穿了高校財政撥款、科研到款、匯劃的整個流程。高校財務(wù)部門普遍通過信息網(wǎng)絡(luò)技術(shù)在財務(wù)管理工作上的應(yīng)用，提高了財務(wù)管理工作的效率和水平，但同時也開始面對很多財務(wù)網(wǎng)絡(luò)安全問題，而多校區(qū)的地理分布情況更加加深了該問題的復(fù)雜程度。

二、財務(wù)網(wǎng)絡(luò)安全風(fēng)險

（一）管理安全風(fēng)險

管理安全風(fēng)險是指因管理人員網(wǎng)絡(luò)安全基本知識的缺失、管理制度存在漏洞和缺陷，造成不必要的數(shù)據(jù)損失的可能性。研究表明，管理安全風(fēng)險應(yīng)提升到與技術(shù)安全風(fēng)險同樣被重視的地位，財務(wù)網(wǎng)絡(luò)安全管理應(yīng)堅持“管理先行、技術(shù)保障”原則，管理安全風(fēng)險主要包括兩個方面：

1.管理權(quán)限風(fēng)險。高校財務(wù)網(wǎng)絡(luò)化使財務(wù)事項的處理和財務(wù)管理一體化，財務(wù)網(wǎng)絡(luò)系統(tǒng)的權(quán)限劃分不當，網(wǎng)絡(luò)層次沒有依據(jù)崗位職責(zé)進行劃分，造成有的工作人員可以訪問職責(zé)權(quán)限之外的系統(tǒng)，交叉操作造成信息被覆蓋或遺失。

2.專業(yè)技能風(fēng)險。隨著信息技術(shù)的發(fā)展，財務(wù)人員所需掌握的設(shè)備范疇已從計算機擴展到各類財務(wù)終端，同時財務(wù)軟件的操作也日益復(fù)雜。高校財務(wù)網(wǎng)絡(luò)化需要財務(wù)人員不僅要能夠進行常規(guī)的財務(wù)終端操作，而且還需要能夠解決或協(xié)助解決工作中遇到的各種軟件網(wǎng)絡(luò)問題，但是目前高校的財務(wù)人員普遍缺乏較深層次的財務(wù)終端操作能力，導(dǎo)致了財務(wù)網(wǎng)絡(luò)管理水平的低下。

（二）信息泄露風(fēng)險

財務(wù)人員終端往往與應(yīng)用服務(wù)器或數(shù)據(jù)庫建立物理連接，形成內(nèi)部專網(wǎng)，但出于業(yè)務(wù)需要，財務(wù)人員終端常需與其他財務(wù)終端進行數(shù)據(jù)交互，或通過信息系統(tǒng)進行信息上報，增加了信息泄露的風(fēng)險，近來的一些網(wǎng)絡(luò)風(fēng)險分析報告指出，信息泄露對公司的損害在所有的危害事件中已從80%上升為86%，超過50%發(fā)生在內(nèi)部人員終端。其主要為以下兩種類型：

1.主動泄露：財務(wù)人員通過信息傳輸手段人為地披露、傳播內(nèi)部財務(wù)數(shù)據(jù)，稱為主動泄露。

2.被動泄露：被動泄露是在財務(wù)工作過程中，在工作人員未知的情況下，由于文件共享、病毒感染、非法入侵等原因造成的信息的非預(yù)期擴散。下面列舉了三種泄露途經(jīng)：（1）文件共享：協(xié)同工作過程中，財務(wù)終端之間交替使用移動硬盤、優(yōu)盤等存儲設(shè)備進行文件共享，造成信息泄露和未監(jiān)管狀態(tài)下的傳播。（2）病毒感染：病毒感染為網(wǎng)絡(luò)安全帶來非常大的挑戰(zhàn)，財務(wù)終端或服務(wù)器在感染病毒后，往往將敏感數(shù)據(jù)發(fā)送到病毒制作者的郵箱，更有甚者致使文件被損壞，由于病毒經(jīng)常偽裝成系統(tǒng)進程運行在后臺，具有隱蔽性強的特點。病毒感染宿主之后會尋找更多的終端進行擴散，因此為整個財務(wù)網(wǎng)絡(luò)帶來威脅。（3）非法入侵：攻擊者可利用系統(tǒng)漏洞，提升自己權(quán)限或獲取賬號密碼，從而非法進入系統(tǒng)查看敏感數(shù)據(jù)；另外也可通過物理手段，在傳輸鏈路上通過網(wǎng)絡(luò)竊聽，截取、復(fù)制或偽造攻擊者感興趣的數(shù)據(jù)。在網(wǎng)絡(luò)環(huán)境中，非法入侵由于技術(shù)門檻高，導(dǎo)致被人工發(fā)現(xiàn)的可能性較低，易造成長期的信息泄露。

（三）信息追溯風(fēng)險

財務(wù)事務(wù)處理中，權(quán)限的錯誤使用和誤操作會造成數(shù)據(jù)被覆蓋或遺失，此時首要任務(wù)為數(shù)據(jù)的版本比較和正確版本的恢復(fù)，其次要定位事故責(zé)任人，避免錯誤的再次發(fā)生。而日志追溯的欠缺則會對事故責(zé)任人的追溯和數(shù)據(jù)的恢復(fù)產(chǎn)生相當大的難度。同時良好的追溯手段也可以為對信息主動泄露者、非法入侵攻擊者的定位產(chǎn)生幫助。

三、財務(wù)網(wǎng)絡(luò)安全防范對策

（一）加強管理制度的建設(shè)與執(zhí)行

科學(xué)嚴格的管理體制是保障財務(wù)網(wǎng)絡(luò)安全的必要手段，必須堅持財務(wù)系統(tǒng)建設(shè)安全審查制度，在需求分析和邏輯設(shè)計階段就將安全管理作為系統(tǒng)的重要組成部分，系統(tǒng)建設(shè)完畢后應(yīng)邀請技術(shù)專家對系統(tǒng)進行評估，通過安全審查后方可上線。加強財務(wù)網(wǎng)絡(luò)安全管理，除了系統(tǒng)建設(shè)期的安全審查，還必須實行科學(xué)的權(quán)限管理：設(shè)立安全管理員，其在業(yè)務(wù)主管的指導(dǎo)下分配、細化系統(tǒng)管理權(quán)限，使系統(tǒng)操作人員無法越權(quán)操作或跨范圍操作與自身崗位無關(guān)的業(yè)務(wù)。同時要注意配套建立安全管理員崗位職責(zé)，將網(wǎng)絡(luò)管理員也置于業(yè)務(wù)主管的監(jiān)督之中，避免技術(shù)集中帶來的不良后果。針對專業(yè)技能風(fēng)險，可通過積極開展崗前培訓(xùn)來進行規(guī)避，操作人員在培訓(xùn)考核合格后方可上崗，上崗后必須嚴格遵守操作規(guī)程。上述規(guī)章制度和管理規(guī)定建立后，只有有效的執(zhí)行才能帶來實際效果，因此需要部門負責(zé)人高度重視并落實，避免流于形式。

（二）實施嚴格技術(shù)控制

如圖1（見下頁），本文以多校區(qū)高校為例，設(shè)計了基于層次劃分的網(wǎng)絡(luò)安全技術(shù)方案，實際建設(shè)中，高校可能會使用多條運營商鏈路，未形成主校區(qū)統(tǒng)一出口，因此對分校區(qū)1的網(wǎng)絡(luò)設(shè)計也考慮了外接鏈路存在的情況，整體網(wǎng)絡(luò)層次具體劃分如下：

1.訪問控制層：該層主要由網(wǎng)絡(luò)交換設(shè)備組成，通過在路由器上建立訪問控制列表（ACL），能有效地控制內(nèi)部終端對外部IP地址的訪問，限制外部IP對校內(nèi)網(wǎng)絡(luò)，尤其是財務(wù)內(nèi)網(wǎng)和DMZ區(qū)服務(wù)器網(wǎng)絡(luò)的訪問，財務(wù)人員確因業(yè)務(wù)需要，需在外網(wǎng)對財務(wù)內(nèi)網(wǎng)進行訪問的，通過SSL VPN接入，通過賬號密碼和手機驗證碼登陸。在校園內(nèi)部交換機啟用訪問控制列表，配置校內(nèi)不同區(qū)域?qū)ω攧?wù)內(nèi)網(wǎng)的訪問權(quán)限。同時為防止常用網(wǎng)絡(luò)端口的暴力破解登陸，使用IPSEC SVN對服務(wù)器進行端口映射和地址轉(zhuǎn)換。

2.信息追溯層：利用安全審計系統(tǒng)和服務(wù)器日志軟件的功能實現(xiàn)信息追溯功能，一旦發(fā)生數(shù)據(jù)覆蓋、丟失、損壞，可通過上述系統(tǒng)或軟件的日志功能查閱到數(shù)據(jù)的歷史版本，完成數(shù)據(jù)恢復(fù)。如需要還可以根據(jù)網(wǎng)絡(luò)登錄信息定位到事故責(zé)任人。因財務(wù)的數(shù)據(jù)量較大，在數(shù)據(jù)恢復(fù)時，該層可配合存儲設(shè)備的備份功能，利用存儲設(shè)備中的數(shù)據(jù)備份進行數(shù)據(jù)恢復(fù)。

3.入侵檢測層：主要由帶入侵檢測功能的防火墻組成，精心配制的防火墻策略可以阻擋大部分常用攻擊軟件發(fā)起的攻擊，對于系統(tǒng)漏洞的利用和水平較高的黑客，通過入侵檢測功能進行阻擋。開啟報警提示，當系統(tǒng)發(fā)現(xiàn)攻擊發(fā)生時，提示安全管理員，使其能及時采取措施阻止攻擊。網(wǎng)絡(luò)攻擊技術(shù)發(fā)展迅速，安全管理員應(yīng)加強培訓(xùn)學(xué)習(xí)，掌握最新的攻擊技術(shù)動態(tài)保障網(wǎng)絡(luò)安全。

4.終端安全層：文件共享、病毒感染造成的信息泄露主要發(fā)生在終端設(shè)備，因此在此層上部署企業(yè)版殺毒服務(wù)器，定時強制更新終端上的殺毒軟件。架設(shè)SVN服務(wù)器，用于終端之間的數(shù)據(jù)共享，最大程度地避免使用移動硬盤、U盤與終端進行數(shù)據(jù)拷貝。為防止網(wǎng)絡(luò)竊聽，在登陸內(nèi)網(wǎng)時，使用UKEY進行使用者身份驗證和數(shù)據(jù)加密。

四、結(jié)語

本文對多校區(qū)財務(wù)網(wǎng)絡(luò)安全風(fēng)險進行了分析，針對風(fēng)險提出了防范對策并形成了基于層次劃分的網(wǎng)絡(luò)安全技術(shù)方案。目前該方案已在昆明醫(yī)科大學(xué)及云南民族大學(xué)得以應(yīng)用，得到了財務(wù)工作人員的正面評價，使財務(wù)工作的安全性得到提升。但是由于網(wǎng)絡(luò)安全是一個系統(tǒng)性、長期性的過程，安全體系如何在最少的人工干預(yù)下進行完善，本文未做分析，值得進一步探討。

參考文獻：

[1] 周建.網(wǎng)絡(luò)環(huán)境下高校會計信息化分析[J].信息化研究，2010（8）

[2] 高鶴，佟怡伶，刁春榮.淺談高校財務(wù)網(wǎng)絡(luò)安全及防范對策[J].沈陽建筑大學(xué)學(xué)報（社會科學(xué)版），2011（4）

[3] 朱海英.網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)的風(fēng)險及對策[J].現(xiàn)代經(jīng)濟信息，2010（14）

[4] 鄭春芳.網(wǎng)絡(luò)財務(wù)的安全問題與對策[J].金融經(jīng)濟，2009（6）

（作者單位：昆明醫(yī)科大學(xué) 云南昆明 050600）（責(zé)編：賈偉）