陽(yáng)靈芬　熊娜

摘 要：多校區(qū)高校由于其地理分布特性，使得財(cái)務(wù)部門(mén)的業(yè)務(wù)開(kāi)展更加依賴(lài)于網(wǎng)絡(luò)，文章對(duì)具有普適性的高校財(cái)務(wù)網(wǎng)絡(luò)安全現(xiàn)狀及存在的主要問(wèn)題進(jìn)行分析，提出了基于層次劃分的多校區(qū)高校財(cái)務(wù)網(wǎng)絡(luò)安全方案，為高校的信息及網(wǎng)絡(luò)安全提供保障，同時(shí)應(yīng)對(duì)新的安全隱患，提出防范措施及改進(jìn)建議。

關(guān)鍵詞：多校區(qū) 高校 財(cái)務(wù) 網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：F230 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1004-4914（2016）06-198-02

隨著高校辦學(xué)規(guī)模的不斷擴(kuò)大， 財(cái)務(wù)部門(mén)使用分布式系統(tǒng)進(jìn)行多校區(qū)辦公及數(shù)據(jù)傳輸成為主流趨勢(shì)，隨著信息與網(wǎng)絡(luò)技術(shù)的發(fā)展，財(cái)務(wù)數(shù)據(jù)的傳輸?shù)乃俣群托蚀蟠筇嵘?，但同時(shí)財(cái)務(wù)部門(mén)也越來(lái)越多地面對(duì)管理安全、計(jì)算機(jī)病毒、非法入侵等問(wèn)題帶來(lái)的困擾，如何在利用計(jì)算機(jī)信息與網(wǎng)絡(luò)技術(shù)帶來(lái)的便利的同時(shí)保證財(cái)務(wù)數(shù)據(jù)的安全成為可研究的課題。本文對(duì)高校財(cái)務(wù)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行分析，形成了基于層次劃分的多校區(qū)高校網(wǎng)絡(luò)安全技術(shù)方案，目前該方案已投入應(yīng)用。

一、高校財(cái)務(wù)網(wǎng)絡(luò)建設(shè)現(xiàn)狀

近年隨著網(wǎng)絡(luò)理論的發(fā)展和設(shè)備工藝的進(jìn)步，多校區(qū)高校財(cái)務(wù)管理工作的方式、方法也產(chǎn)生了巨大變革。目前，以網(wǎng)絡(luò)技術(shù)為主的各種信息技術(shù)在財(cái)務(wù)上的應(yīng)用提升到新的高度，改變了傳統(tǒng)模式的資金交易記賬方式，使網(wǎng)絡(luò)處理貫穿了高校財(cái)政撥款、科研到款、匯劃的整個(gè)流程。高校財(cái)務(wù)部門(mén)普遍通過(guò)信息網(wǎng)絡(luò)技術(shù)在財(cái)務(wù)管理工作上的應(yīng)用，提高了財(cái)務(wù)管理工作的效率和水平，但同時(shí)也開(kāi)始面對(duì)很多財(cái)務(wù)網(wǎng)絡(luò)安全問(wèn)題，而多校區(qū)的地理分布情況更加加深了該問(wèn)題的復(fù)雜程度。

二、財(cái)務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

（一）管理安全風(fēng)險(xiǎn)

管理安全風(fēng)險(xiǎn)是指因管理人員網(wǎng)絡(luò)安全基本知識(shí)的缺失、管理制度存在漏洞和缺陷，造成不必要的數(shù)據(jù)損失的可能性。研究表明，管理安全風(fēng)險(xiǎn)應(yīng)提升到與技術(shù)安全風(fēng)險(xiǎn)同樣被重視的地位，財(cái)務(wù)網(wǎng)絡(luò)安全管理應(yīng)堅(jiān)持“管理先行、技術(shù)保障”原則，管理安全風(fēng)險(xiǎn)主要包括兩個(gè)方面：

1.管理權(quán)限風(fēng)險(xiǎn)。高校財(cái)務(wù)網(wǎng)絡(luò)化使財(cái)務(wù)事項(xiàng)的處理和財(cái)務(wù)管理一體化，財(cái)務(wù)網(wǎng)絡(luò)系統(tǒng)的權(quán)限劃分不當(dāng)，網(wǎng)絡(luò)層次沒(méi)有依據(jù)崗位職責(zé)進(jìn)行劃分，造成有的工作人員可以訪(fǎng)問(wèn)職責(zé)權(quán)限之外的系統(tǒng)，交叉操作造成信息被覆蓋或遺失。

2.專(zhuān)業(yè)技能風(fēng)險(xiǎn)。隨著信息技術(shù)的發(fā)展，財(cái)務(wù)人員所需掌握的設(shè)備范疇已從計(jì)算機(jī)擴(kuò)展到各類(lèi)財(cái)務(wù)終端，同時(shí)財(cái)務(wù)軟件的操作也日益復(fù)雜。高校財(cái)務(wù)網(wǎng)絡(luò)化需要財(cái)務(wù)人員不僅要能夠進(jìn)行常規(guī)的財(cái)務(wù)終端操作，而且還需要能夠解決或協(xié)助解決工作中遇到的各種軟件網(wǎng)絡(luò)問(wèn)題，但是目前高校的財(cái)務(wù)人員普遍缺乏較深層次的財(cái)務(wù)終端操作能力，導(dǎo)致了財(cái)務(wù)網(wǎng)絡(luò)管理水平的低下。

（二）信息泄露風(fēng)險(xiǎn)

財(cái)務(wù)人員終端往往與應(yīng)用服務(wù)器或數(shù)據(jù)庫(kù)建立物理連接，形成內(nèi)部專(zhuān)網(wǎng)，但出于業(yè)務(wù)需要，財(cái)務(wù)人員終端常需與其他財(cái)務(wù)終端進(jìn)行數(shù)據(jù)交互，或通過(guò)信息系統(tǒng)進(jìn)行信息上報(bào)，增加了信息泄露的風(fēng)險(xiǎn)，近來(lái)的一些網(wǎng)絡(luò)風(fēng)險(xiǎn)分析報(bào)告指出，信息泄露對(duì)公司的損害在所有的危害事件中已從80%上升為86%，超過(guò)50%發(fā)生在內(nèi)部人員終端。其主要為以下兩種類(lèi)型：

1.主動(dòng)泄露：財(cái)務(wù)人員通過(guò)信息傳輸手段人為地披露、傳播內(nèi)部財(cái)務(wù)數(shù)據(jù)，稱(chēng)為主動(dòng)泄露。

2.被動(dòng)泄露：被動(dòng)泄露是在財(cái)務(wù)工作過(guò)程中，在工作人員未知的情況下，由于文件共享、病毒感染、非法入侵等原因造成的信息的非預(yù)期擴(kuò)散。下面列舉了三種泄露途經(jīng)：（1）文件共享：協(xié)同工作過(guò)程中，財(cái)務(wù)終端之間交替使用移動(dòng)硬盤(pán)、優(yōu)盤(pán)等存儲(chǔ)設(shè)備進(jìn)行文件共享，造成信息泄露和未監(jiān)管狀態(tài)下的傳播。（2）病毒感染：病毒感染為網(wǎng)絡(luò)安全帶來(lái)非常大的挑戰(zhàn)，財(cái)務(wù)終端或服務(wù)器在感染病毒后，往往將敏感數(shù)據(jù)發(fā)送到病毒制作者的郵箱，更有甚者致使文件被損壞，由于病毒經(jīng)常偽裝成系統(tǒng)進(jìn)程運(yùn)行在后臺(tái)，具有隱蔽性強(qiáng)的特點(diǎn)。病毒感染宿主之后會(huì)尋找更多的終端進(jìn)行擴(kuò)散，因此為整個(gè)財(cái)務(wù)網(wǎng)絡(luò)帶來(lái)威脅。（3）非法入侵：攻擊者可利用系統(tǒng)漏洞，提升自己權(quán)限或獲取賬號(hào)密碼，從而非法進(jìn)入系統(tǒng)查看敏感數(shù)據(jù)；另外也可通過(guò)物理手段，在傳輸鏈路上通過(guò)網(wǎng)絡(luò)竊聽(tīng)，截取、復(fù)制或偽造攻擊者感興趣的數(shù)據(jù)。在網(wǎng)絡(luò)環(huán)境中，非法入侵由于技術(shù)門(mén)檻高，導(dǎo)致被人工發(fā)現(xiàn)的可能性較低，易造成長(zhǎng)期的信息泄露。

（三）信息追溯風(fēng)險(xiǎn)

財(cái)務(wù)事務(wù)處理中，權(quán)限的錯(cuò)誤使用和誤操作會(huì)造成數(shù)據(jù)被覆蓋或遺失，此時(shí)首要任務(wù)為數(shù)據(jù)的版本比較和正確版本的恢復(fù)，其次要定位事故責(zé)任人，避免錯(cuò)誤的再次發(fā)生。而日志追溯的欠缺則會(huì)對(duì)事故責(zé)任人的追溯和數(shù)據(jù)的恢復(fù)產(chǎn)生相當(dāng)大的難度。同時(shí)良好的追溯手段也可以為對(duì)信息主動(dòng)泄露者、非法入侵攻擊者的定位產(chǎn)生幫助。

三、財(cái)務(wù)網(wǎng)絡(luò)安全防范對(duì)策

（一）加強(qiáng)管理制度的建設(shè)與執(zhí)行

科學(xué)嚴(yán)格的管理體制是保障財(cái)務(wù)網(wǎng)絡(luò)安全的必要手段，必須堅(jiān)持財(cái)務(wù)系統(tǒng)建設(shè)安全審查制度，在需求分析和邏輯設(shè)計(jì)階段就將安全管理作為系統(tǒng)的重要組成部分，系統(tǒng)建設(shè)完畢后應(yīng)邀請(qǐng)技術(shù)專(zhuān)家對(duì)系統(tǒng)進(jìn)行評(píng)估，通過(guò)安全審查后方可上線(xiàn)。加強(qiáng)財(cái)務(wù)網(wǎng)絡(luò)安全管理，除了系統(tǒng)建設(shè)期的安全審查，還必須實(shí)行科學(xué)的權(quán)限管理：設(shè)立安全管理員，其在業(yè)務(wù)主管的指導(dǎo)下分配、細(xì)化系統(tǒng)管理權(quán)限，使系統(tǒng)操作人員無(wú)法越權(quán)操作或跨范圍操作與自身崗位無(wú)關(guān)的業(yè)務(wù)。同時(shí)要注意配套建立安全管理員崗位職責(zé)，將網(wǎng)絡(luò)管理員也置于業(yè)務(wù)主管的監(jiān)督之中，避免技術(shù)集中帶來(lái)的不良后果。針對(duì)專(zhuān)業(yè)技能風(fēng)險(xiǎn)，可通過(guò)積極開(kāi)展崗前培訓(xùn)來(lái)進(jìn)行規(guī)避，操作人員在培訓(xùn)考核合格后方可上崗，上崗后必須嚴(yán)格遵守操作規(guī)程。上述規(guī)章制度和管理規(guī)定建立后，只有有效的執(zhí)行才能帶來(lái)實(shí)際效果，因此需要部門(mén)負(fù)責(zé)人高度重視并落實(shí)，避免流于形式。

（二）實(shí)施嚴(yán)格技術(shù)控制

如圖1（見(jiàn)下頁(yè)），本文以多校區(qū)高校為例，設(shè)計(jì)了基于層次劃分的網(wǎng)絡(luò)安全技術(shù)方案，實(shí)際建設(shè)中，高校可能會(huì)使用多條運(yùn)營(yíng)商鏈路，未形成主校區(qū)統(tǒng)一出口，因此對(duì)分校區(qū)1的網(wǎng)絡(luò)設(shè)計(jì)也考慮了外接鏈路存在的情況，整體網(wǎng)絡(luò)層次具體劃分如下：

1.訪(fǎng)問(wèn)控制層：該層主要由網(wǎng)絡(luò)交換設(shè)備組成，通過(guò)在路由器上建立訪(fǎng)問(wèn)控制列表（ACL），能有效地控制內(nèi)部終端對(duì)外部IP地址的訪(fǎng)問(wèn)，限制外部IP對(duì)校內(nèi)網(wǎng)絡(luò)，尤其是財(cái)務(wù)內(nèi)網(wǎng)和DMZ區(qū)服務(wù)器網(wǎng)絡(luò)的訪(fǎng)問(wèn)，財(cái)務(wù)人員確因業(yè)務(wù)需要，需在外網(wǎng)對(duì)財(cái)務(wù)內(nèi)網(wǎng)進(jìn)行訪(fǎng)問(wèn)的，通過(guò)SSL VPN接入，通過(guò)賬號(hào)密碼和手機(jī)驗(yàn)證碼登陸。在校園內(nèi)部交換機(jī)啟用訪(fǎng)問(wèn)控制列表，配置校內(nèi)不同區(qū)域?qū)ω?cái)務(wù)內(nèi)網(wǎng)的訪(fǎng)問(wèn)權(quán)限。同時(shí)為防止常用網(wǎng)絡(luò)端口的暴力破解登陸，使用IPSEC SVN對(duì)服務(wù)器進(jìn)行端口映射和地址轉(zhuǎn)換。

2.信息追溯層：利用安全審計(jì)系統(tǒng)和服務(wù)器日志軟件的功能實(shí)現(xiàn)信息追溯功能，一旦發(fā)生數(shù)據(jù)覆蓋、丟失、損壞，可通過(guò)上述系統(tǒng)或軟件的日志功能查閱到數(shù)據(jù)的歷史版本，完成數(shù)據(jù)恢復(fù)。如需要還可以根據(jù)網(wǎng)絡(luò)登錄信息定位到事故責(zé)任人。因財(cái)務(wù)的數(shù)據(jù)量較大，在數(shù)據(jù)恢復(fù)時(shí)，該層可配合存儲(chǔ)設(shè)備的備份功能，利用存儲(chǔ)設(shè)備中的數(shù)據(jù)備份進(jìn)行數(shù)據(jù)恢復(fù)。

3.入侵檢測(cè)層：主要由帶入侵檢測(cè)功能的防火墻組成，精心配制的防火墻策略可以阻擋大部分常用攻擊軟件發(fā)起的攻擊，對(duì)于系統(tǒng)漏洞的利用和水平較高的黑客，通過(guò)入侵檢測(cè)功能進(jìn)行阻擋。開(kāi)啟報(bào)警提示，當(dāng)系統(tǒng)發(fā)現(xiàn)攻擊發(fā)生時(shí)，提示安全管理員，使其能及時(shí)采取措施阻止攻擊。網(wǎng)絡(luò)攻擊技術(shù)發(fā)展迅速，安全管理員應(yīng)加強(qiáng)培訓(xùn)學(xué)習(xí)，掌握最新的攻擊技術(shù)動(dòng)態(tài)保障網(wǎng)絡(luò)安全。

4.終端安全層：文件共享、病毒感染造成的信息泄露主要發(fā)生在終端設(shè)備，因此在此層上部署企業(yè)版殺毒服務(wù)器，定時(shí)強(qiáng)制更新終端上的殺毒軟件。架設(shè)SVN服務(wù)器，用于終端之間的數(shù)據(jù)共享，最大程度地避免使用移動(dòng)硬盤(pán)、U盤(pán)與終端進(jìn)行數(shù)據(jù)拷貝。為防止網(wǎng)絡(luò)竊聽(tīng)，在登陸內(nèi)網(wǎng)時(shí)，使用UKEY進(jìn)行使用者身份驗(yàn)證和數(shù)據(jù)加密。

四、結(jié)語(yǔ)

本文對(duì)多校區(qū)財(cái)務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行了分析，針對(duì)風(fēng)險(xiǎn)提出了防范對(duì)策并形成了基于層次劃分的網(wǎng)絡(luò)安全技術(shù)方案。目前該方案已在昆明醫(yī)科大學(xué)及云南民族大學(xué)得以應(yīng)用，得到了財(cái)務(wù)工作人員的正面評(píng)價(jià)，使財(cái)務(wù)工作的安全性得到提升。但是由于網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性、長(zhǎng)期性的過(guò)程，安全體系如何在最少的人工干預(yù)下進(jìn)行完善，本文未做分析，值得進(jìn)一步探討。

參考文獻(xiàn)：

[1] 周建.網(wǎng)絡(luò)環(huán)境下高校會(huì)計(jì)信息化分析[J].信息化研究，2010（8）

[2] 高鶴，佟怡伶，刁春榮.淺談高校財(cái)務(wù)網(wǎng)絡(luò)安全及防范對(duì)策[J].沈陽(yáng)建筑大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2011（4）

[3] 朱海英.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)及對(duì)策[J].現(xiàn)代經(jīng)濟(jì)信息，2010（14）

[4] 鄭春芳.網(wǎng)絡(luò)財(cái)務(wù)的安全問(wèn)題與對(duì)策[J].金融經(jīng)濟(jì)，2009（6）

（作者單位：昆明醫(yī)科大學(xué) 云南昆明 050600）（責(zé)編：賈偉）