大智移云时代下高校财务信息化安全防控研究
2019-12-06康长安
康长安
摘 要:大智移云时代,高校财务信息化水平发展迅速,业务系统越来越复杂,信息资源高度共享,财务信息化安全面临巨大挑战。文章基于大智移云时代高校财务信息化的特征,探索财务信息化的安全防控优化策略,为高校财务信息化工作提供借鉴。
关键词:高校财务;信息化安全;大智移云;网络安全
中图分类号:G475 文献标志码:A 文章编号:1673-8454(2019)21-0048-03
一、引言
我国的会计电算化起步于20世纪70年代,经历40年的发展,已取得了显著成绩,财务管理水平和效率都得到大大提升。随着信息技术的发展,大智移云时代已经到来,网上预约报销、电子发票、数据实时传输共享、大数据驾驶舱分析和数字化智慧校园等新时代技术特征迫切要求高校财务工作予以变革创新。这些技术在提高财务管理水平的同时增加了财务信息化安全风险。近几年高校网络安全事件时有发生,唯有建立健全财务信息化安全体系,为高校财务信息化推进夯实基础,进而才能更好地服务于高校的战略发展。
二、大智移云时代财务信息化面临的安全挑战
1.财务系统更加开放,信息资源高度共享,数据处理高度实时
在会计电算化时代,高校财务系统由一个单一的核算系统组成,该系统运行于物理隔离的专网内,不与外部系统发生任何数据交换。随着大智移云时代的到来,财务系统不断与数字化校园、科研系统、资产系统等进行对接,信息高度共享,数据处理高度实时,物理隔离的专网在逐渐被打破。财务系统更加开放,有的通过Web Service实时传输,有的通过传输工具定时传输,无形之中影响了系统的安全性和稳定性。
2.财务系统越来越复杂,系统间数据交互密切,增加了隐患排查难度
大智移云时代的高校财务系统,往往由大大小小20多个系统组成(如图1所示),系统之间逻辑关系密切,每个系统都属于数据加工的一个环节。数据在某个环节被恶意篡改都会影响数据链上下游的正常运行,甚至造成学校资金流失。在系统发生故障或数据被篡改后,及时发现问题,定位问题,解决问题就显得十分重要。
3.勒索病毒肆虐严重,处于专网之内的财务终端和服务器无法及时进行补丁修复和病毒库升级
由于近十年来没有大规模网络安全事件发生,容易疏忽安全防范意识,对电脑病毒这颗“定时炸弹”放松了警惕。2017年,不法分子通过改造“永恒之蓝”制作了勒索病毒。一旦中招,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。而高校财务终端和服务器由于处于专网之内,长期无法进行病毒库升级和补丁修复,一旦遭受勒索病毒侵入,将带来不可估量的损失。
三、合理规划财务网络结构,增强防护能力
网络攻击已成为威胁计算机信息安全的主要手段,保障网络安全,提高防范意识是目前面临的巨大挑战。威胁网络安全的主要因素是计算机网络拓扑结构本身的脆弱性,即网络结构、网络协议、基础设施、以及应用程序服务等。随着《信息安全等级保护管理办法》的推行,将高校财务系统定级为3级或2级等保,对财务系统网络安全提出了更高要求。
传统的高校财务网络结构由一台服务器、一台交换机和众多终端组成,该系统运行于内网(财务专网)之中。随着财务信息化水平的提高,业务系统及服务器数量也不断增加,逐渐形成由外网(校园网)、内网(财务专网)和银行网络组成网络拓扑结构,如图2所示。近些年,各大高校纷纷开展数字化校园和智慧校园建设,财务数据需要定时或实时与外部系统进行数据交换,财务系统已逐渐发展为校园内最为复杂的系统之一。系统越复杂,系统的稳定性也就越低,潜在的安全隐患也就越多,因此需要对财务网络进行合理规划和梳理。
1.合理规划财务内网,加强网络安全和稳定性
财务内网可由2台核心交换机组成,一台发生故障后,另一台交换机承接故障交换机下的所有链路。其上行连接财务防火墙和服务器,下行连接各终端电脑,旁挂各类网络安全设备。
(1)对内网进行子网划分,服务器可使用192.168.1.*段,终端使用192.168.2.*段,安全设备使用192.168.3.*段,这样能够有效避免内网IP冲突和网络广播风暴。
(2)通过数据库审计系统、准入系统和入侵检测系统等,能够有效防范网络攻击,在系统故障时能够通过系统日志有效排查漏洞。
(3)通过专业隔离网工具或企业级安全产品,定期对内网终端和服务器进行漏洞扫描和补丁升级。
2.加強外网服务器系统安全,提高应用程序可靠性
财务对外服务的系统有预约报销、综合查询、网上缴费和收入申报等系统。这些系统存储着师生的重要隐私数据,同时需要与内网中的核心数据库进行数据交换。相比财务内网而言,外网系统面临的网络攻击要大得多。为做好外网系统安全,在日常工作中可以从以下几个方面着手:
(1)应用程序与数据库分离。为保障外网系统安全,需要对外网系统进行程序和数据库分离,这样避免直接将数据库服务器暴露在外面。同时对数据库服务器进行端口限定(如:1433和1521端口),仅允许应用程序服务器访问数据库服务器。
(2)关闭不需要的端口。鉴于各高校服务器已使用虚拟化平台,因此外网服务器可以关闭包括远程桌面(3389端口)的所有端口,仅开放需要对外提供服务的80端口。对服务器的维护可以通过虚拟化平台专用工具或堡垒机进行日常运维。
(3)根据系统面向范围,限制校外访问,师生校外访问可以通过学校VPN平台访问财务系统。
(4)定期对外网程序和操作系统进行安全检测扫描,及时发现漏洞,并进行整改。
3.加强内网边界安全
财务的内网并不是完全物理隔离的,它需要与银行系统和外网进行互联互通,在财务网络边界之间通过网闸或防火墙进行安全防护,限定数据通道,对不必要的端口和服务禁止通行,增强边界网络安全,防范网络攻击。
四、建章立制,规范管理,加强内部控制
财务信息化安全建设不仅仅是网络硬件设备的加强,还需要牢固树立“安全第一、预防为主”的信息化工作理念,进一步明确任务,完善制度,落实措施,强化责任,坚决杜绝各类由于人为操作原因造成的网络安全事故发生。可以从以下几个方面入手:
1.建章立制,规范管理,推进管理制度化
制度是落实的保证,为进一步落实和规范财务安全工作,培养财务人员的安全意识,高校财务部门需要完善一系列安全工作的规章制度,使财务人员有规可依、有章可循、有制可守。将财务信息化日常工作形成规范的操作流程和管理办法,如:《财务系统年终结转操作指南》《财务系统账号及权限管理办法》《财务系统数据安全管理办法》《财务网络准入管理办法》《财务信息化操作指南》《财务机房和服务器管理办法》《财务内网U盘管理办法》等。
2.做好信息化安全培训,增强网络安全意识
针对普通财务人员,做好财务信息化安全培训,讲解计算机日常安全操作规范,树立正确的安全防范意识;对于财务信息化工作人员,可以定期参加专业计算机网络安全培训,增强安全防护技能。
3.完善软件开发,做好系统维护
财务软件是财务信息化的核心组成部分,其稳定性和安全性影响着财务工作的效率和服务水平。在日常工作中严格做好软件升级更新,对发现的软件漏洞及时处理,确保软件的可用性和安全性。
五、建立完善有效的数据备份和恢复机制
目前高校常用的财务系统有20多个,涉及10余台服务器,分别运行于外网、内网以及内外网的网络边界上。各业务系统中都有大量的日志、文档、图片和数据库文件,一旦某个系统发生硬件故障、人为操作失误、感染病毒或黑客入侵等,可能会直接影响该系统及相关业务的正常运行,若没有完善的数据备份机制,将导致多年积累的历史数据丢失,造成不可挽回的损失。
数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他存储介质的过程。财务数据备份由两部分组成,数据库文件备份和应用程序备份。数据库文件可以由数据库系统根据系统重要性每天或每小时,甚至10分钟产生一次数据备份文件。应用程序备份包含程序文件及相关配置,及该应用程序产生的相关日志文件、用户上传文件等。一旦发生故障可使用最近一次备份迅速恢复系统,将损失降到最低。
1.建立安全的备份通道
为防止服务器物理损坏,需要将财务数据从生成环境备份到另一台备份机,由于财务系统的内外网运行特点,这就需要在内外网各准备一台或多台备份机,该备份机需要具有大容量的存储,以便备份更久的数据,记录数据的时点状态。为保障生产环境的安全,需要在数据备份通道上添加限制,即在生产服务器上限定端口,仅允許备份机IP通过此通道进行数据备份。如图3所示,生产环境仅允许备份机(192.168.1.33)通过FTP协议连接生产环境。
2.建立数据备份台账机制
数据安全无小事,一旦发生数据丢失,其恢复成本往往是巨大的,因此不可有侥幸心理。可根据各业务系统重要性,设置备份频次,每天由专人定时检查数据备份情况,并签字确认,建立财务数据备份台账机制。由于自动备份软件无法核验数据的有效性,因此无论是手动数据备份还是自动数据备份都需要进行人工检查。通过备份台账机制将数据备份工作变成一项日常规范性工作,保障财务数据有效及时备份,在发生系统故障时准确确定最新备份的可用文件,以便及时恢复系统。
3.建立数据迅速恢复机制
及时进行数据备份能够减少数据丢失损失,而广大师生需要的则是不间断的财务服务体验,因此在故障发生后能够及时通过备份文件恢复系统就显得极为重要。财务处可根据自身财力和系统重要性,对重要的业务系统提供备机,在备机上部署与生产环境相同的操作系统和运行环境。在生产环境无法正常运行时,通过备份数据第一时间在备机上进行恢复运行。
六、结束语
大智移云时代刚刚开始,师生对便捷稳定的财务服务需求逐渐提升,高校财务信息化水平在不断提高,财务系统变得越来越复杂,对财务数据安全、系统稳定性和用户隐私保护的挑战越来越大。网络安全无小事,学校不仅需要增加网络安全资金投入,还需要在管理规范上加强内部控制,人人筑起安全防护堤。
参考文献:
[1]张玲玲.大数据背景下网络财务会计信息系统的安全与防范[J].现代工业经济和信息化,2018,8(15):76-77.
[2]蔡雪辉.大智移云时代高校财务工作的挑战与创新[J].会计之友,2018(24):65-68.
[3]高芳,张杰,李恒.大数据时代下的高校财务服务器网络安全研究[J].智能计算机与应用,2018,8(2):148-150.
[4]毕巧.大数据时代下会计信息化存在的风险及防范对策[J].商业经济,2017(2):142-144.
(编辑:王晓明)