高芳 張杰 李恒

摘 要： 在大數(shù)據(jù)時代發(fā)展背景下，高校財務(wù)信息化建設(shè)要充分實現(xiàn)財務(wù)數(shù)據(jù)資源共享，以大數(shù)據(jù)技術(shù)實現(xiàn)財務(wù)數(shù)據(jù)價值，為高校管理者決策活動提供有效支持。在財務(wù)大數(shù)據(jù)的運轉(zhuǎn)過程中，網(wǎng)絡(luò)信息安全尤為重要，這是有效支撐財務(wù)信息化各項業(yè)務(wù)安全運行的基礎(chǔ)和保障。本文從建立多層次的網(wǎng)絡(luò)安全體系、運用防火墻提高網(wǎng)絡(luò)安全防護等級、采用工具增加服務(wù)器自動防范功能等3個技術(shù)方面提出了財務(wù)服務(wù)器網(wǎng)絡(luò)安全保護措施。

關(guān)鍵詞： 大數(shù)據(jù)；高校財務(wù)；財務(wù)信息化；服務(wù)器；網(wǎng)絡(luò)安全

Abstract：Under the background of the development of big data era university financial information construction should fully realize the sharing of financial data resources realize the value of financial data with big data technology and provide effective support for the decisionmaking activities of college administrators. During the operation of financial big data network information security is particularly important. It is the basis and guarantee to ensure the safe operation of various businesses in the financial department. This article puts forward financial server network security protection measures from three aspects which are establishing multilevel network security system using firewall to improve network security protection level and using tools to increase server automatic prevention function.

Key words： big data；university finance；financial informatization；server；network security

引言

隨著大數(shù)據(jù)、云計算等信息技術(shù)的發(fā)展，高校財務(wù)信息化迎來新的機遇和挑戰(zhàn)。本文基于高校財務(wù)信息化的現(xiàn)實狀況，分析了建設(shè)過程面臨的主要問題，提出以大數(shù)據(jù)思維構(gòu)建高校財務(wù)信息化的總體框架與完善措施，對進一步推動新時代高校財務(wù)管理工作的全面創(chuàng)新具有重要的現(xiàn)實意義。

在大數(shù)據(jù)時代發(fā)展背景下，高校財務(wù)信息化建設(shè)要充分實現(xiàn)財務(wù)數(shù)據(jù)資源共享，以大數(shù)據(jù)技術(shù)實現(xiàn)財務(wù)數(shù)據(jù)決策支撐價值，為高校管理者決策活動提供有效支持。在大數(shù)據(jù)的運轉(zhuǎn)過程中，網(wǎng)絡(luò)信息安全尤為重要，是支撐財務(wù)處信息化各項業(yè)務(wù)安全運行的基礎(chǔ)和保障。本文從建立多層次的網(wǎng)絡(luò)安全體系、運用防火墻提高網(wǎng)絡(luò)安全防護等級、采用具體工具增加服務(wù)器自動防范功能等3個技術(shù)方面提出了財務(wù)服務(wù)器網(wǎng)絡(luò)安全保護主要措施。

1 建立多層次的網(wǎng)絡(luò)安全體系

財務(wù)信息化服務(wù)器系統(tǒng)多數(shù)都是采用了二層網(wǎng)絡(luò)架構(gòu)，即財務(wù)專網(wǎng)和校園教育網(wǎng)。主要分為數(shù)據(jù)庫服務(wù)器、查詢服務(wù)器和Ngnix服務(wù)器。其中，數(shù)據(jù)庫服務(wù)器存放所有財務(wù)數(shù)據(jù)，包括客戶讀財務(wù)程序產(chǎn)生的數(shù)據(jù)和網(wǎng)頁上產(chǎn)生的數(shù)據(jù)，而且只能連接財務(wù)專網(wǎng)；查詢服務(wù)器存放網(wǎng)頁App供BS瀏覽器訪問；Ngnix服務(wù)器用來隔離查詢服務(wù)器和應(yīng)用數(shù)據(jù)分發(fā)，更加高效和安全，所有BS瀏覽器訪問數(shù)據(jù)都首先經(jīng)過Ngnix代理和轉(zhuǎn)發(fā)，大多數(shù)學(xué)校把查詢服務(wù)器和Ngnix服務(wù)器安裝在一臺服務(wù)器上。該服務(wù)器有2塊網(wǎng)卡，即內(nèi)網(wǎng)卡和外網(wǎng)卡。具體地，內(nèi)網(wǎng)卡連接財務(wù)專網(wǎng)，外網(wǎng)卡連接校園教育網(wǎng)和校外公網(wǎng)。該次研究中的網(wǎng)絡(luò)設(shè)計架構(gòu)如圖1所示。

以上的結(jié)構(gòu)存在著很大的安全問題。查詢服務(wù)器上安裝了2塊網(wǎng)卡，實際上形成了一個網(wǎng)橋，導(dǎo)致財務(wù)內(nèi)網(wǎng)與外網(wǎng)是物理直接連通的，因而存在著較為嚴重的安全風險。尤其是經(jīng)歷了2017年在全球范圍內(nèi)網(wǎng)絡(luò)病毒大爆發(fā)的情勢危機后，財務(wù)服務(wù)器系統(tǒng)則應(yīng)及時采用更好的結(jié)構(gòu)方案，保證財務(wù)數(shù)據(jù)安全。

在此基礎(chǔ)上，本文就有針對性地將Ngnix服務(wù)器從查詢服務(wù)器中獨立出來，建立三層網(wǎng)絡(luò)構(gòu)架，由Ngnix服務(wù)器鏈接外網(wǎng)和校園教育網(wǎng)，查詢服務(wù)器鏈接財務(wù)專網(wǎng)和校園教育網(wǎng)，財務(wù)數(shù)據(jù)庫服務(wù)器只鏈接財務(wù)內(nèi)部專網(wǎng)。極大限度地把財務(wù)內(nèi)部專網(wǎng)與外網(wǎng)分開，保證財務(wù)數(shù)據(jù)安全。如此可得，網(wǎng)絡(luò)設(shè)計架構(gòu)如圖2所示。

在設(shè)計安裝Ngnix服務(wù)器時，本文將提出如下技術(shù)方案，即以一臺Ngnix服務(wù)器對應(yīng)多臺查詢服務(wù)器，并且把圖片文件存儲在對外的Ngnix服務(wù)器上，再使財務(wù)查詢服務(wù)器、無現(xiàn)金支付服務(wù)器及統(tǒng)一收費平臺服務(wù)器做到專門功能劃定，也就是分別只存儲相應(yīng)業(yè)務(wù)的財務(wù)數(shù)據(jù)，可以顯著提高財務(wù)服務(wù)器查詢速度。

2 服務(wù)器網(wǎng)絡(luò)安全防護

目前，防火墻是公認的服務(wù)器網(wǎng)絡(luò)安全的最有效的保障，這是一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障，通過在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋來自外部的網(wǎng)絡(luò)入侵。

因此財務(wù)數(shù)據(jù)服務(wù)器必須有效引入防火墻防護技術(shù)，對服務(wù)器運行狀態(tài)提供檢查和防護，并配合IP 地址的保密工作，保證計算機網(wǎng)絡(luò)安全穩(wěn)定運行，實現(xiàn)各訪問權(quán)限及訪問端口的管理。

2.1 遠程SSH權(quán)限配置

對于服務(wù)器遠程SSH，則需限制只有特定網(wǎng)段才能采用SSH，例如：

iptables -A INPUT -s 1**.***.0.0/24 -p tcp --dport 18070 -j ACCEPT

iptables -A INPUT -s 2**.***.*.0/24 -p tcp --dport 18070 -j ACCEPT

2.2 Nginx端口限制

設(shè)置Nginx服務(wù)器只對特定的端口允許訪問，例如：

（1）限制單個IP的最大syn連接數(shù)，防止DOS出現(xiàn)超量連接，例如：可以允許外網(wǎng)網(wǎng)卡每個IP最多15個初始連接，超過則丟棄。

iptables -A INPUT -i eth1 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

（2）防止單個IP訪問量過大設(shè)置如下：

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP

（3）防止ping攻擊設(shè)置如下：

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

3 增強服務(wù)器自動防范措施

3.1 安裝木馬掃描工具

木馬程序（Trojan horse program）通常稱為木馬、惡意代碼等，是指潛伏在電腦中，可受外部用戶控制以竊取本機信息或者控制權(quán)的程序。木馬程序帶來很多嚴重后果，例如占用系統(tǒng)資源，降低電腦效能，危害本機信息安全（盜取各類賬號等），將本機作為工具來攻擊其它設(shè)備等。

木馬的作用是窺視機主操作和竊取用戶信息，比如偷竊上網(wǎng)密碼、游戲賬號、股票賬號、網(wǎng)上銀行賬號等。黑客編寫和傳播木馬的初始目的是為了竊取刺探他人隱私或惡作劇。

隨著病毒編寫技術(shù)的發(fā)展，木馬程序?qū)τ脩舻耐{已不容忽視。尤其是一些木馬程序采用了高超偽裝的手段來隱蔽自己，使普通用戶在中毒后很難發(fā)覺。

一般的普通殺毒軟件里都包含了對木馬的查殺功能，也有一些廠商為木馬特別設(shè)計一個專門的木馬查殺工具，把查殺木馬程序單獨剝離出來，可以提高查殺效率。用戶可以根據(jù)自己的情況酌情選擇適宜的木馬掃描工具。

3.2 防篡改技術(shù)

Web網(wǎng)站防篡改的核心內(nèi)容主要包括阻止對網(wǎng)頁文件的篡改、防止非法網(wǎng)頁和信息被訪問及有效防御各種來自應(yīng)用層的攻擊，例如注入式攻擊、跨站攻擊、非法上傳、身份仿冒等等。為此，財務(wù)Web網(wǎng)站和Web應(yīng)用系統(tǒng)除了使用一般的網(wǎng)絡(luò)安全設(shè)備外，還需要配備有效的網(wǎng)頁防篡改系統(tǒng)來對頁面內(nèi)容和動態(tài)數(shù)據(jù)設(shè)計展開嚴密防護。Web網(wǎng)站通常使用了防火墻和IDS/IPS等網(wǎng)絡(luò)安全設(shè)備來增強自身的安全，安全設(shè)計的策略方案即如圖3所示。

目前，研究中常見的網(wǎng)頁防篡改技術(shù)可分析論述為3種，詳情如下。

（1）外掛輪詢技術(shù)。用一個網(wǎng)頁讀取和檢測程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁，與真實網(wǎng)頁相比較，來判斷網(wǎng)頁內(nèi)容的完整性，對于被篡改的網(wǎng)頁進行報警和恢復(fù)。

（2）核心內(nèi)嵌技術(shù)。將篡改檢測模塊內(nèi)嵌在Web服務(wù)器軟件里，并在每一個網(wǎng)頁流出時都進行完整性檢查，對于篡改網(wǎng)頁設(shè)置實時訪問阻斷，并予以報警和恢復(fù)。

（3）事件觸發(fā)技術(shù)。利用操作系統(tǒng)的文件系統(tǒng)或驅(qū)動程序接口，在網(wǎng)頁文件遭遇修改時進行合法性檢查，對于非法操作發(fā)送報警和阻止、及恢復(fù)。

4 結(jié)束語

大數(shù)據(jù)和云計算技術(shù)為高校的財務(wù)管理創(chuàng)造了更多發(fā)展平臺，給財務(wù)數(shù)據(jù)挖掘和分析過程提供了新的信息技術(shù)手段，能夠?qū)崿F(xiàn)財務(wù)數(shù)據(jù)實時共享與同步，有效降低信息化成本。財務(wù)信息化已經(jīng)發(fā)展成為高校財務(wù)不可或缺的一部分，財務(wù)數(shù)據(jù)安全問題則已突顯其至關(guān)重要的地位與作用。加強財務(wù)服務(wù)器的安全與維護，對提高整個財務(wù)系統(tǒng)的運行安全具有現(xiàn)實關(guān)鍵意義與價值。高校財務(wù)部門必須重視網(wǎng)絡(luò)服務(wù)器的安全問題，規(guī)范構(gòu)建組織結(jié)構(gòu)，合理引入防火墻等先進技術(shù)，加強服務(wù)器Web網(wǎng)頁防篡改功能，連同各種軟件維護及財務(wù)數(shù)據(jù)的妥善備份，即可切實降低財務(wù)信息化中存在的各類風險，有效確保財務(wù)信息的運行與存儲安全。

參考文獻

[1] 畢巧. 大數(shù)據(jù)時代下會計信息化存在的風險及防范對策[J]. 商業(yè)經(jīng)濟 2017（2）： 142-144.

[2] 張新紅，陸璐，陳利國. 基于大數(shù)據(jù)技術(shù)的高校信息化建設(shè)[J]. 鄭州鐵路職業(yè)技術(shù)學(xué)院學(xué)報，2017，29（1）： 85-88.

[3] 楊小燕，廖清遠. 大數(shù)據(jù)時代基于云計算的高校智能化財務(wù)信息平臺設(shè)計與實現(xiàn)[J]. 信息與電腦（理論版），2016（7）：26-28.