高芳 张杰 李恒

摘 要： 在大数据时代发展背景下，高校财务信息化建设要充分实现财务数据资源共享，以大数据技术实现财务数据价值，为高校管理者决策活动提供有效支持。在财务大数据的运转过程中，网络信息安全尤为重要，这是有效支撑财务信息化各项业务安全运行的基础和保障。本文从建立多层次的网络安全体系、运用防火墙提高网络安全防护等级、采用工具增加服务器自动防范功能等3个技术方面提出了财务服务器网络安全保护措施。

关键词： 大数据；高校财务；财务信息化；服务器；网络安全

Abstract：Under the background of the development of big data era university financial information construction should fully realize the sharing of financial data resources realize the value of financial data with big data technology and provide effective support for the decisionmaking activities of college administrators. During the operation of financial big data network information security is particularly important. It is the basis and guarantee to ensure the safe operation of various businesses in the financial department. This article puts forward financial server network security protection measures from three aspects which are establishing multilevel network security system using firewall to improve network security protection level and using tools to increase server automatic prevention function.

Key words： big data；university finance；financial informatization；server；network security

引言

隨着大数据、云计算等信息技术的发展，高校财务信息化迎来新的机遇和挑战。本文基于高校财务信息化的现实状况，分析了建设过程面临的主要问题，提出以大数据思维构建高校财务信息化的总体框架与完善措施，对进一步推动新时代高校财务管理工作的全面创新具有重要的现实意义。

在大数据时代发展背景下，高校财务信息化建设要充分实现财务数据资源共享，以大数据技术实现财务数据决策支撑价值，为高校管理者决策活动提供有效支持。在大数据的运转过程中，网络信息安全尤为重要，是支撑财务处信息化各项业务安全运行的基础和保障。本文从建立多层次的网络安全体系、运用防火墙提高网络安全防护等级、采用具体工具增加服务器自动防范功能等3个技术方面提出了财务服务器网络安全保护主要措施。

1 建立多层次的网络安全体系

财务信息化服务器系统多数都是采用了二层网络架构，即财务专网和校园教育网。主要分为数据库服务器、查询服务器和Ngnix服务器。其中，数据库服务器存放所有财务数据，包括客户读财务程序产生的数据和网页上产生的数据，而且只能连接财务专网；查询服务器存放网页App供BS浏览器访问；Ngnix服务器用来隔离查询服务器和应用数据分发，更加高效和安全，所有BS浏览器访问数据都首先经过Ngnix代理和转发，大多数学校把查询服务器和Ngnix服务器安装在一台服务器上。该服务器有2块网卡，即内网卡和外网卡。具体地，内网卡连接财务专网，外网卡连接校园教育网和校外公网。该次研究中的网络设计架构如图1所示。

以上的结构存在着很大的安全问题。查询服务器上安装了2块网卡，实际上形成了一个网桥，导致财务内网与外网是物理直接连通的，因而存在着较为严重的安全风险。尤其是经历了2017年在全球范围内网络病毒大爆发的情势危机后，财务服务器系统则应及时采用更好的结构方案，保证财务数据安全。

在此基础上，本文就有针对性地将Ngnix服务器从查询服务器中独立出来，建立三层网络构架，由Ngnix服务器链接外网和校园教育网，查询服务器链接财务专网和校园教育网，财务数据库服务器只链接财务内部专网。极大限度地把财务内部专网与外网分开，保证财务数据安全。如此可得，网络设计架构如图2所示。

在设计安装Ngnix服务器时，本文将提出如下技术方案，即以一台Ngnix服务器对应多台查询服务器，并且把图片文件存储在对外的Ngnix服务器上，再使财务查询服务器、无现金支付服务器及统一收费平台服务器做到专门功能划定，也就是分别只存储相应业务的财务数据，可以显著提高财务服务器查询速度。

2 服务器网络安全防护

目前，防火墙是公认的服务器网络安全的最有效的保障，这是一种保护计算机网络安全的技术性措施，由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。

因此财务数据服务器必须有效引入防火墙防护技术，对服务器运行状态提供检查和防护，并配合IP 地址的保密工作，保证计算机网络安全稳定运行，实现各访问权限及访问端口的管理。

2.1 远程SSH权限配置

对于服务器远程SSH，则需限制只有特定网段才能采用SSH，例如：

iptables -A INPUT -s 1**.***.0.0/24 -p tcp --dport 18070 -j ACCEPT

iptables -A INPUT -s 2**.***.*.0/24 -p tcp --dport 18070 -j ACCEPT

2.2 Nginx端口限制

设置Nginx服务器只对特定的端口允许访问，例如：

（1）限制单个IP的最大syn连接数，防止DOS出现超量连接，例如：可以允许外网网卡每个IP最多15个初始连接，超过则丢弃。

iptables -A INPUT -i eth1 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

（2）防止單个IP访问量过大设置如下：

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP

（3）防止ping攻击设置如下：

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

3 增强服务器自动防范措施

3.1 安装木马扫描工具

木马程序（Trojan horse program）通常称为木马、恶意代码等，是指潜伏在电脑中，可受外部用户控制以窃取本机信息或者控制权的程序。木马程序带来很多严重后果，例如占用系统资源，降低电脑效能，危害本机信息安全（盗取各类账号等），将本机作为工具来攻击其它设备等。

木马的作用是窥视机主操作和窃取用户信息，比如偷窃上网密码、游戏账号、股票账号、网上银行账号等。黑客编写和传播木马的初始目的是为了窃取刺探他人隐私或恶作剧。

随着病毒编写技术的发展，木马程序对用户的威胁已不容忽视。尤其是一些木马程序采用了高超伪装的手段来隐蔽自己，使普通用户在中毒后很难发觉。

一般的普通杀毒软件里都包含了对木马的查杀功能，也有一些厂商为木马特别设计一个专门的木马查杀工具，把查杀木马程序单独剥离出来，可以提高查杀效率。用户可以根据自己的情况酌情选择适宜的木马扫描工具。

3.2 防篡改技术

Web网站防篡改的核心内容主要包括阻止对网页文件的篡改、防止非法网页和信息被访问及有效防御各种来自应用层的攻击，例如注入式攻击、跨站攻击、非法上传、身份仿冒等等。为此，财务Web网站和Web应用系统除了使用一般的网络安全设备外，还需要配备有效的网页防篡改系统来对页面内容和动态数据设计展开严密防护。Web网站通常使用了防火墙和IDS/IPS等网络安全设备来增强自身的安全，安全设计的策略方案即如图3所示。

目前，研究中常见的网页防篡改技术可分析论述为3种，详情如下。

（1）外挂轮询技术。用一个网页读取和检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

（2）核心内嵌技术。将篡改检测模块内嵌在Web服务器软件里，并在每一个网页流出时都进行完整性检查，对于篡改网页设置实时访问阻断，并予以报警和恢复。

（3）事件触发技术。利用操作系统的文件系统或驱动程序接口，在网页文件遭遇修改时进行合法性检查，对于非法操作发送报警和阻止、及恢复。

4 结束语

大数据和云计算技术为高校的财务管理创造了更多发展平台，给财务数据挖掘和分析过程提供了新的信息技术手段，能够实现财务数据实时共享与同步，有效降低信息化成本。财务信息化已经发展成为高校财务不可或缺的一部分，财务数据安全问题则已突显其至关重要的地位与作用。加强财务服务器的安全与维护，对提高整个财务系统的运行安全具有现实关键意义与价值。高校财务部门必须重视网络服务器的安全问题，规范构建组织结构，合理引入防火墙等先进技术，加强服务器Web网页防篡改功能，连同各种软件维护及财务数据的妥善备份，即可切实降低财务信息化中存在的各类风险，有效确保财务信息的运行与存储安全。

参考文献

[1] 毕巧. 大数据时代下会计信息化存在的风险及防范对策[J]. 商业经济 2017（2）： 142-144.

[2] 张新红，陆璐，陈利国. 基于大数据技术的高校信息化建设[J]. 郑州铁路职业技术学院学报，2017，29（1）： 85-88.

[3] 杨小燕，廖清远. 大数据时代基于云计算的高校智能化财务信息平台设计与实现[J]. 信息与电脑（理论版），2016（7）：26-28.