大數據時代下的高校財務服務器網絡安全研究

高芳 張杰 李恒

摘 要： 在大數據時代發展背景下，高校財務信息化建設要充分實現財務數據資源共享，以大數據技術實現財務數據價值，為高校管理者決策活動提供有效支持。在財務大數據的運轉過程中，網絡信息安全尤為重要，這是有效支撐財務信息化各項業務安全運行的基礎和保障。本文從建立多層次的網絡安全體系、運用防火墻提高網絡安全防護等級、采用工具增加服務器自動防范功能等3個技術方面提出了財務服務器網絡安全保護措施。

關鍵詞： 大數據；高校財務；財務信息化；服務器；網絡安全

Abstract：Under the background of the development of big data era university financial information construction should fully realize the sharing of financial data resources realize the value of financial data with big data technology and provide effective support for the decisionmaking activities of college administrators. During the operation of financial big data network information security is particularly important. It is the basis and guarantee to ensure the safe operation of various businesses in the financial department. This article puts forward financial server network security protection measures from three aspects which are establishing multilevel network security system using firewall to improve network security protection level and using tools to increase server automatic prevention function.

Key words： big data；university finance；financial informatization；server；network security

引言

隨著大數據、云計算等信息技術的發展，高校財務信息化迎來新的機遇和挑戰。本文基于高校財務信息化的現實狀況，分析了建設過程面臨的主要問題，提出以大數據思維構建高校財務信息化的總體框架與完善措施，對進一步推動新時代高校財務管理工作的全面創新具有重要的現實意義。

在大數據時代發展背景下，高校財務信息化建設要充分實現財務數據資源共享，以大數據技術實現財務數據決策支撐價值，為高校管理者決策活動提供有效支持。在大數據的運轉過程中，網絡信息安全尤為重要，是支撐財務處信息化各項業務安全運行的基礎和保障。本文從建立多層次的網絡安全體系、運用防火墻提高網絡安全防護等級、采用具體工具增加服務器自動防范功能等3個技術方面提出了財務服務器網絡安全保護主要措施。

1 建立多層次的網絡安全體系

財務信息化服務器系統多數都是采用了二層網絡架構，即財務專網和校園教育網。主要分為數據庫服務器、查詢服務器和Ngnix服務器。其中，數據庫服務器存放所有財務數據，包括客戶讀財務程序產生的數據和網頁上產生的數據，而且只能連接財務專網；查詢服務器存放網頁App供BS瀏覽器訪問；Ngnix服務器用來隔離查詢服務器和應用數據分發，更加高效和安全，所有BS瀏覽器訪問數據都首先經過Ngnix代理和轉發，大多數學校把查詢服務器和Ngnix服務器安裝在一臺服務器上。該服務器有2塊網卡，即內網卡和外網卡。具體地，內網卡連接財務專網，外網卡連接校園教育網和校外公網。該次研究中的網絡設計架構如圖1所示。

以上的結構存在著很大的安全問題。查詢服務器上安裝了2塊網卡，實際上形成了一個網橋，導致財務內網與外網是物理直接連通的，因而存在著較為嚴重的安全風險。尤其是經歷了2017年在全球范圍內網絡病毒大爆發的情勢危機后，財務服務器系統則應及時采用更好的結構方案，保證財務數據安全。

在此基礎上，本文就有針對性地將Ngnix服務器從查詢服務器中獨立出來，建立三層網絡構架，由Ngnix服務器鏈接外網和校園教育網，查詢服務器鏈接財務專網和校園教育網，財務數據庫服務器只鏈接財務內部專網。極大限度地把財務內部專網與外網分開，保證財務數據安全。如此可得，網絡設計架構如圖2所示。

在設計安裝Ngnix服務器時，本文將提出如下技術方案，即以一臺Ngnix服務器對應多臺查詢服務器，并且把圖片文件存儲在對外的Ngnix服務器上，再使財務查詢服務器、無現金支付服務器及統一收費平臺服務器做到專門功能劃定，也就是分別只存儲相應業務的財務數據，可以顯著提高財務服務器查詢速度。

2 服務器網絡安全防護

目前，防火墻是公認的服務器網絡安全的最有效的保障，這是一種保護計算機網絡安全的技術性措施，由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，通過在網絡邊界上建立相應的網絡通信監控系統來隔離內部和外部網絡，以阻擋來自外部的網絡入侵。

因此財務數據服務器必須有效引入防火墻防護技術，對服務器運行狀態提供檢查和防護，并配合IP 地址的保密工作，保證計算機網絡安全穩定運行，實現各訪問權限及訪問端口的管理。

2.1 遠程SSH權限配置

對于服務器遠程SSH，則需限制只有特定網段才能采用SSH，例如：

iptables -A INPUT -s 1**.***.0.0/24 -p tcp --dport 18070 -j ACCEPT

iptables -A INPUT -s 2**.***.*.0/24 -p tcp --dport 18070 -j ACCEPT

2.2 Nginx端口限制

設置Nginx服務器只對特定的端口允許訪問，例如：

（1）限制單個IP的最大syn連接數，防止DOS出現超量連接，例如：可以允許外網網卡每個IP最多15個初始連接，超過則丟棄。

iptables -A INPUT -i eth1 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

（2）防止單個IP訪問量過大設置如下：

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP

（3）防止ping攻擊設置如下：

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

3 增強服務器自動防范措施

3.1 安裝木馬掃描工具

木馬程序（Trojan horse program）通常稱為木馬、惡意代碼等，是指潛伏在電腦中，可受外部用戶控制以竊取本機信息或者控制權的程序。木馬程序帶來很多嚴重后果，例如占用系統資源，降低電腦效能，危害本機信息安全（盜取各類賬號等），將本機作為工具來攻擊其它設備等。

木馬的作用是窺視機主操作和竊取用戶信息，比如偷竊上網密碼、游戲賬號、股票賬號、網上銀行賬號等。黑客編寫和傳播木馬的初始目的是為了竊取刺探他人隱私或惡作劇。

隨著病毒編寫技術的發展，木馬程序對用戶的威脅已不容忽視。尤其是一些木馬程序采用了高超偽裝的手段來隱蔽自己，使普通用戶在中毒后很難發覺。

一般的普通殺毒軟件里都包含了對木馬的查殺功能，也有一些廠商為木馬特別設計一個專門的木馬查殺工具，把查殺木馬程序單獨剝離出來，可以提高查殺效率。用戶可以根據自己的情況酌情選擇適宜的木馬掃描工具。

3.2 防篡改技術

Web網站防篡改的核心內容主要包括阻止對網頁文件的篡改、防止非法網頁和信息被訪問及有效防御各種來自應用層的攻擊，例如注入式攻擊、跨站攻擊、非法上傳、身份仿冒等等。為此，財務Web網站和Web應用系統除了使用一般的網絡安全設備外，還需要配備有效的網頁防篡改系統來對頁面內容和動態數據設計展開嚴密防護。Web網站通常使用了防火墻和IDS/IPS等網絡安全設備來增強自身的安全，安全設計的策略方案即如圖3所示。

目前，研究中常見的網頁防篡改技術可分析論述為3種，詳情如下。

（1）外掛輪詢技術。用一個網頁讀取和檢測程序，以輪詢方式讀出要監控的網頁，與真實網頁相比較，來判斷網頁內容的完整性，對于被篡改的網頁進行報警和恢復。

（2）核心內嵌技術。將篡改檢測模塊內嵌在Web服務器軟件里，并在每一個網頁流出時都進行完整性檢查，對于篡改網頁設置實時訪問阻斷，并予以報警和恢復。

（3）事件觸發技術。利用操作系統的文件系統或驅動程序接口，在網頁文件遭遇修改時進行合法性檢查，對于非法操作發送報警和阻止、及恢復。

4 結束語

大數據和云計算技術為高校的財務管理創造了更多發展平臺，給財務數據挖掘和分析過程提供了新的信息技術手段，能夠實現財務數據實時共享與同步，有效降低信息化成本。財務信息化已經發展成為高校財務不可或缺的一部分，財務數據安全問題則已突顯其至關重要的地位與作用。加強財務服務器的安全與維護，對提高整個財務系統的運行安全具有現實關鍵意義與價值。高校財務部門必須重視網絡服務器的安全問題，規范構建組織結構，合理引入防火墻等先進技術，加強服務器Web網頁防篡改功能，連同各種軟件維護及財務數據的妥善備份，即可切實降低財務信息化中存在的各類風險，有效確保財務信息的運行與存儲安全。

參考文獻

[1] 畢巧. 大數據時代下會計信息化存在的風險及防范對策[J]. 商業經濟 2017（2）： 142-144.

[2] 張新紅，陸璐，陳利國. 基于大數據技術的高校信息化建設[J]. 鄭州鐵路職業技術學院學報，2017，29（1）： 85-88.

[3] 楊小燕，廖清遠. 大數據時代基于云計算的高校智能化財務信息平臺設計與實現[J]. 信息與電腦（理論版），2016（7）：26-28.