高等學(xué)校財(cái)務(wù)系統(tǒng)安全防護(hù)研究

1、    高等學(xué)校財(cái)務(wù)系統(tǒng)安全防護(hù)研究    摘要：高校規(guī)模的逐年擴(kuò)大，財(cái)務(wù)事務(wù)的增多，信息技術(shù)被更廣泛的應(yīng)用。高校財(cái)務(wù)管理由傳統(tǒng)核算向信息化、網(wǎng)絡(luò)化發(fā)展。財(cái)務(wù)系統(tǒng)網(wǎng)絡(luò)化發(fā)展帶來了管理流程的優(yōu)化，提升了工作效率，管理水平不斷提升。在管理水平提高的同時(shí)，財(cái)務(wù)系統(tǒng)存在諸多安全隱患。文章針對(duì)高等學(xué)校財(cái)務(wù)系統(tǒng)安全防護(hù)進(jìn)行深入分析，提出合理化建議。關(guān)鍵詞：高校，財(cái)務(wù)系統(tǒng)，安全防護(hù)在高校財(cái)務(wù)不斷發(fā)展的今天，隨著網(wǎng)絡(luò)、信息化技術(shù)的不斷應(yīng)用，高校財(cái)務(wù)工作開啟了信息化的新時(shí)代，財(cái)務(wù)管理與核算借助信息化手段，管理質(zhì)量逐步上升，信息化必要要求信息對(duì)外提供，目前多數(shù)高校都能將工資

2、、學(xué)生收費(fèi)、賬目信息等通過網(wǎng)絡(luò)對(duì)外公布。部分學(xué)校將經(jīng)費(fèi)報(bào)銷、簽字審批等財(cái)務(wù)管理工作借助網(wǎng)絡(luò)完成，形成了“云財(cái)務(wù)”。信息網(wǎng)絡(luò)技術(shù)從來都是“雙刃劍”，在提高財(cái)務(wù)信息水平的同時(shí)，面臨來自信息網(wǎng)絡(luò)安全的沖擊。如何保護(hù)財(cái)務(wù)系統(tǒng)安全不受外部侵害，成本目前財(cái)務(wù)系統(tǒng)建設(shè)工作重點(diǎn)。一、高等學(xué)校財(cái)務(wù)系統(tǒng)風(fēng)險(xiǎn)隱患許多高校在網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)建設(shè)中，往往重視新功能、新系統(tǒng)的前期使用而忽視后期管理和安全防控，面對(duì)惡略的網(wǎng)絡(luò)環(huán)境，沒有做好應(yīng)對(duì)措施，存在以下安全隱患。（一）信息毀損風(fēng)險(xiǎn)會(huì)計(jì)電算化發(fā)展到現(xiàn)階段，對(duì)電子信息數(shù)據(jù)的依賴越來越大。尤其是“云財(cái)務(wù)”實(shí)施以來，財(cái)務(wù)信息和數(shù)據(jù)多數(shù)存儲(chǔ)在服務(wù)器上，財(cái)務(wù)各項(xiàng)業(yè)務(wù)系統(tǒng)通過網(wǎng)絡(luò)連接至服

3、務(wù)器，與以往財(cái)務(wù)處數(shù)據(jù)有紙質(zhì)材料備份存檔不同，現(xiàn)有財(cái)務(wù)基礎(chǔ)資料以電子數(shù)據(jù)形式存儲(chǔ)在服務(wù)器上，財(cái)務(wù)信息數(shù)據(jù)安全風(fēng)險(xiǎn)加大。然而很多高校對(duì)財(cái)務(wù)信息存放不夠重視，即使數(shù)據(jù)存儲(chǔ)使用了raid鏡像、雙機(jī)熱備等技術(shù)，但備份數(shù)據(jù)仍然存儲(chǔ)在本地，存放地點(diǎn)單一，若信息存放地點(diǎn)本身毀損，后果非常嚴(yán)重。（二）數(shù)據(jù)泄露風(fēng)險(xiǎn)信息時(shí)代背景下，財(cái)務(wù)網(wǎng)絡(luò)形成了內(nèi)網(wǎng)、外網(wǎng)和內(nèi)外網(wǎng)結(jié)合的格局。內(nèi)網(wǎng)即局域網(wǎng)，傳統(tǒng)的財(cái)務(wù)、工資、學(xué)費(fèi)等軟件通過局域網(wǎng)連接內(nèi)網(wǎng)服務(wù)器；外網(wǎng)即互聯(lián)網(wǎng)，工資信息、財(cái)務(wù)管理數(shù)據(jù)等需要通過網(wǎng)絡(luò)向外公布，高校的財(cái)務(wù)信息網(wǎng)路服務(wù)，包括財(cái)務(wù)信息查詢、網(wǎng)絡(luò)報(bào)銷等平臺(tái)，多個(gè)節(jié)點(diǎn)需要連接互聯(lián)網(wǎng)。財(cái)務(wù)部門需要向稅務(wù)、財(cái)政、審計(jì)等

4、上級(jí)機(jī)構(gòu)匯報(bào)數(shù)據(jù)，還要與校內(nèi)各部門流通信息，對(duì)內(nèi)日常辦公的業(yè)務(wù)軟件都在局域網(wǎng)內(nèi)，財(cái)務(wù)人員電腦連接局域網(wǎng)又連接互聯(lián)網(wǎng)的情況普遍存在。財(cái)務(wù)數(shù)據(jù)中的內(nèi)部敏感信息、個(gè)人財(cái)務(wù)信息、財(cái)務(wù)數(shù)據(jù)等的重要性不言而喻，在網(wǎng)絡(luò)傳輸、傳遞過程中，容易被截獲、竊取，一旦泄露，可能會(huì)造成巨大損失。（三）數(shù)據(jù)篡改風(fēng)險(xiǎn)財(cái)務(wù)手工記賬時(shí)期，所有會(huì)計(jì)資料均為紙質(zhì)。會(huì)計(jì)電算化初期以紙質(zhì)資料為主，電子資料為輔。目前，會(huì)計(jì)核算的原始憑證仍為紙質(zhì)，但隨著電子支付、網(wǎng)絡(luò)財(cái)務(wù)的興起，很多財(cái)務(wù)基礎(chǔ)數(shù)據(jù)以電子存儲(chǔ)形式為主，記賬時(shí)以一定時(shí)期的總數(shù)登記賬務(wù)，如校園卡的充值、校園內(nèi)部網(wǎng)絡(luò)繳費(fèi)等等，這些數(shù)據(jù)一旦被人為篡改，難以察覺。在實(shí)際工作中，工資、學(xué)

5、生收費(fèi)等軟件直接操作數(shù)據(jù)庫，沒有復(fù)核和審核機(jī)制，誤操作的情況在所難免。財(cái)務(wù)管理軟件本身也存在缺陷，首先重要數(shù)據(jù)錄入和修改沒有復(fù)核機(jī)制，如工資、學(xué)生收費(fèi)等軟件的數(shù)據(jù)；其次，系統(tǒng)日志只記錄系統(tǒng)登入、登出時(shí)間，對(duì)數(shù)據(jù)修改等重要信息不做登記，出現(xiàn)數(shù)據(jù)篡改時(shí)，不能通過查詢歷史紀(jì)錄追溯排查，無法進(jìn)行責(zé)任追查。二、財(cái)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)原因分析（一）對(duì)財(cái)務(wù)信息安全不夠重視對(duì)財(cái)務(wù)信息安全重視不足表現(xiàn)為學(xué)校人員的配備和財(cái)務(wù)部門人員調(diào)配方面。學(xué)校方面，重管理輕技術(shù)，認(rèn)為財(cái)務(wù)是管理崗位的工作，誰都能做。在人員分配上僅配備會(huì)計(jì)人員，缺少專業(yè)計(jì)算機(jī)專業(yè)人才輔助。較理想的人員配置是以財(cái)務(wù)專業(yè)人員作為依靠，至少配備1-2名計(jì)算機(jī)

6、從事信息系統(tǒng)維護(hù)和網(wǎng)絡(luò)安全的專業(yè)技術(shù)人員。然而，很多高校的系統(tǒng)管理員由財(cái)務(wù)人員兼任，他們對(duì)計(jì)算機(jī)能力的掌握無法滿足要求。財(cái)務(wù)部門方面，財(cái)務(wù)信息化工作不僅僅是將財(cái)務(wù)信息對(duì)外公布，還包含財(cái)務(wù)流程再造、財(cái)務(wù)資源整合等內(nèi)容，涉及整個(gè)財(cái)務(wù)部門的業(yè)務(wù)，需要具備各方面專業(yè)知識(shí)，尤其是計(jì)算機(jī)網(wǎng)絡(luò)、系統(tǒng)安全等內(nèi)容。在信息安全方面，財(cái)務(wù)部門往往只重視結(jié)果，要求系統(tǒng)管理人員來保障網(wǎng)絡(luò)信息安全，這種做法忽視了一個(gè)重要問題，信息化涉及整個(gè)財(cái)務(wù)流程，不是一個(gè)系統(tǒng)維護(hù)員能夠完成的，要求系統(tǒng)管理人員獨(dú)立完成網(wǎng)絡(luò)信息方案的規(guī)劃和落實(shí)是不實(shí)際的。（二）缺乏專業(yè)隊(duì)伍和專業(yè)技術(shù)能力高校財(cái)務(wù)信息系統(tǒng)傳遞的全過程都涉及安全管控，高校應(yīng)該

7、重視財(cái)務(wù)隊(duì)伍的建設(shè)，培養(yǎng)一支復(fù)合型知識(shí)武裝的信息管理隊(duì)伍。既要重視硬件建設(shè)，也要重視軟實(shí)力的培育。實(shí)際情況是，有些高校配備了計(jì)算機(jī)專業(yè)人才作為財(cái)務(wù)系統(tǒng)管理員，購買了網(wǎng)閘、防火墻等網(wǎng)絡(luò)設(shè)備，使用了前置機(jī)、中轉(zhuǎn)服務(wù)器等設(shè)備。而網(wǎng)絡(luò)安全設(shè)備不是自動(dòng)發(fā)揮作用的，需要通過設(shè)置和調(diào)試才能工作。設(shè)備在調(diào)試中又必須與財(cái)務(wù)軟件的設(shè)置和使用相結(jié)合。設(shè)備買來了，往往工作就結(jié)束了，不能真正發(fā)揮設(shè)備的作用。網(wǎng)絡(luò)安全設(shè)備在調(diào)試中，需要對(duì)財(cái)務(wù)各系統(tǒng)也有一定熟悉程度。所以，財(cái)務(wù)信息安全管理者需要學(xué)習(xí)大量的專業(yè)知識(shí)，才能真正保障財(cái)務(wù)信息系統(tǒng)安全。（三）信息安全管控制度不完善高校近年來圍繞財(cái)務(wù)管理制定了完善的規(guī)章制度，規(guī)范各項(xiàng)經(jīng)

8、濟(jì)業(yè)務(wù)。但在信息安全管理方面，相關(guān)制度不夠完善。一方面是應(yīng)變時(shí)間段，信息技術(shù)相對(duì)財(cái)務(wù)核算來說還是新興事物，更新速度快，某項(xiàng)針對(duì)具體業(yè)務(wù)的操作規(guī)定還沒有出臺(tái)，可能技術(shù)形式已經(jīng)發(fā)生變化，而財(cái)務(wù)管理制度和規(guī)定是一個(gè)循序漸進(jìn)的過程，經(jīng)過數(shù)年積累。另一方面是重視程度不足，信息技術(shù)普及以來，很對(duì)財(cái)務(wù)業(yè)務(wù)流程、風(fēng)險(xiǎn)控制點(diǎn)都放生了變化，相關(guān)制度沒有圍繞信息技術(shù)進(jìn)行更新完善。信息安全管理制度不是一個(gè)獨(dú)立的財(cái)務(wù)制度，它滲透在財(cái)務(wù)信息涉及的各方面。財(cái)務(wù)信息安全管理制度缺失，安全管理人員無章可循，系統(tǒng)管理員往往權(quán)限較大，任意連接系統(tǒng)，隨意操作數(shù)據(jù)。普通財(cái)務(wù)人員使用財(cái)務(wù)網(wǎng)絡(luò)沒有規(guī)范，財(cái)務(wù)信息安全無從保障。尤其是行政事業(yè)

9、單位內(nèi)部控制規(guī)范（試行）發(fā)布以來，財(cái)務(wù)信息安全管理應(yīng)圍繞內(nèi)控規(guī)范完善財(cái)務(wù)信息安全管理制度。三、高校財(cái)務(wù)系統(tǒng)安全防護(hù)措施（一）提高認(rèn)識(shí)，加大資金投入首先，高校必須重視財(cái)務(wù)信息安全管理。高校應(yīng)成立處長主抓，副處長主管，科級(jí)落實(shí)的財(cái)務(wù)信息安全管理辦公室，定期例會(huì)通報(bào)安全管理進(jìn)展。不能簡(jiǎn)單用布置任務(wù)的形式落實(shí)信息安全管理工作，應(yīng)著眼于頂層設(shè)計(jì)，規(guī)劃信息安全方案。高校應(yīng)加強(qiáng)信息化安全管理資金投入。財(cái)務(wù)信息管理是一個(gè)系統(tǒng)工程，需要設(shè)備購置、軟件開發(fā)，人員培訓(xùn)等軟件、硬件的投入。高校首先要聘請(qǐng)安全評(píng)級(jí)機(jī)構(gòu)對(duì)本單位網(wǎng)絡(luò)狀況進(jìn)行評(píng)級(jí)，并據(jù)此提出安全解決方案和規(guī)劃。網(wǎng)絡(luò)設(shè)備應(yīng)購買具備行為管理的交換機(jī)，服務(wù)器方面應(yīng)

10、將各網(wǎng)絡(luò)、各應(yīng)用程序服務(wù)器分離，避免多個(gè)應(yīng)用放置一臺(tái)服務(wù)器現(xiàn)象，還要購置網(wǎng)閘、防火墻等設(shè)備網(wǎng)絡(luò)防護(hù)。信息安全設(shè)備需要設(shè)置和調(diào)試才能真正發(fā)揮作用，因此還要積極組織人員培訓(xùn)，及時(shí)掌握相關(guān)軟件的更新?lián)Q代情況。（二）加強(qiáng)人才培養(yǎng)，組建專業(yè)隊(duì)伍高校財(cái)務(wù)管理信息建設(shè)，人才培養(yǎng)至關(guān)重要。高校應(yīng)大力支持財(cái)務(wù)信息安全工作，為財(cái)務(wù)部門配備網(wǎng)絡(luò)信息安全專業(yè)人才。財(cái)務(wù)信息安全管理建設(shè)、使用、管理和維護(hù)，需要掌握財(cái)務(wù)管理、計(jì)算機(jī)網(wǎng)絡(luò)、信息安全相關(guān)知識(shí)的綜合型人才。人才建設(shè)需要團(tuán)隊(duì)發(fā)揮更大力量，分工協(xié)作，各行其責(zé)，培養(yǎng)一批信息安全管理骨干力量。當(dāng)然，財(cái)務(wù)工作也不能忽視會(huì)計(jì)職業(yè)化道德，財(cái)務(wù)數(shù)據(jù)就是經(jīng)濟(jì)數(shù)據(jù)，就是金錢，思想覺

11、悟不高很容易犯錯(cuò)誤。加強(qiáng)思想覺悟的同時(shí)也不能忽視制度建設(shè)，從財(cái)務(wù)業(yè)務(wù)設(shè)計(jì)流程的角度，配備填充專業(yè)人才，組建專業(yè)人才隊(duì)伍，避免出現(xiàn)因人員操作帶來的財(cái)務(wù)安全問題。（三）完善內(nèi)部控制、加強(qiáng)日志管理高校應(yīng)按照行政事業(yè)單位內(nèi)部控制規(guī)范（試行）相關(guān)規(guī)范要求，圍繞財(cái)務(wù)信息涉及的各項(xiàng)內(nèi)容，進(jìn)行風(fēng)險(xiǎn)評(píng)估，運(yùn)用“不相容崗位分離”、“逐級(jí)授權(quán)審批”等手段，完善財(cái)務(wù)信息安全管理相關(guān)制度，貫穿財(cái)務(wù)信息傳遞的整個(gè)過程。另外，高校財(cái)務(wù)軟件缺乏統(tǒng)一標(biāo)準(zhǔn)，在內(nèi)控關(guān)鍵環(huán)節(jié)技術(shù)控制不足，由于軟件定制開發(fā)的特點(diǎn)，各行業(yè)財(cái)務(wù)軟件差別較大，高?？梢詤⒄掌渌袠I(yè)或事業(yè)的財(cái)務(wù)信息化成功經(jīng)驗(yàn)，定制符合自身需求的財(cái)務(wù)信息系統(tǒng)。梳理業(yè)務(wù)流程，根據(jù)

12、業(yè)務(wù)需要詳細(xì)劃分崗位信息權(quán)限，確保財(cái)務(wù)人員在各自權(quán)限范圍內(nèi)修改財(cái)務(wù)信息。同時(shí)完善數(shù)據(jù)操作日志，系統(tǒng)日志詳細(xì)記錄操作員的登陸時(shí)間和數(shù)據(jù)操作，所有數(shù)據(jù)修改有據(jù)可查，確保數(shù)據(jù)修改責(zé)任可追溯。系統(tǒng)日志的查詢報(bào)關(guān)權(quán)限應(yīng)分配給系統(tǒng)管理員、業(yè)務(wù)操作員以外的第三人，類似內(nèi)控中的內(nèi)部審計(jì)監(jiān)督。數(shù)據(jù)日志應(yīng)參照財(cái)務(wù)數(shù)據(jù)進(jìn)行備份、存檔等管理。（四）強(qiáng)化數(shù)據(jù)備份、保證信息安全財(cái)務(wù)信息電子化程度不斷提高，傳統(tǒng)會(huì)計(jì)憑證需要保存十五年，而很多高校對(duì)電子檔案信息數(shù)據(jù)的保存重視程度不足，財(cái)務(wù)信息系統(tǒng)發(fā)展的高級(jí)狀態(tài)是紙質(zhì)材料越來越少，對(duì)電子數(shù)據(jù)依賴性逐漸提高。高校應(yīng)重視數(shù)據(jù)備份，建立雙機(jī)時(shí)時(shí)熱備、raid鏡像、遠(yuǎn)程備份、多介質(zhì)全方

13、位備份體系。服務(wù)器備份，包括服務(wù)器“冷備”和“熱備”，“冷備”指?jìng)溆梅?wù)器平時(shí)關(guān)機(jī)待用，主服務(wù)器故障時(shí)需要恢復(fù)數(shù)據(jù)等操作才能工作?！盁醾洹敝鸽S時(shí)備份，時(shí)時(shí)待命，兩臺(tái)服務(wù)器在系統(tǒng)和數(shù)據(jù)方面無差異，主服務(wù)器故障備用服務(wù)器立即啟用。雙機(jī)熱備能保證主服務(wù)器故障系統(tǒng)運(yùn)行無影響?！皉aid”，即磁盤陣列（redundant arrays of independent disks），是數(shù)據(jù)備份的一種磁盤技術(shù)，廣泛應(yīng)用于數(shù)據(jù)備份。使用這種技術(shù)，某一塊硬盤故障發(fā)生時(shí)，系統(tǒng)運(yùn)行不受影響。財(cái)務(wù)數(shù)據(jù)備份應(yīng)根據(jù)業(yè)務(wù)需要和財(cái)務(wù)期間，除時(shí)時(shí)備份外，財(cái)務(wù)月末結(jié)賬、年終結(jié)轉(zhuǎn)等重要業(yè)務(wù)處理前，重要系統(tǒng)數(shù)據(jù)操作前后要單獨(dú)備份，做好

14、防備，若出現(xiàn)數(shù)據(jù)錯(cuò)誤、操作失誤等情況，系統(tǒng)數(shù)據(jù)隨時(shí)可以恢復(fù)到重要操作前的正確形態(tài)。還要重視多介質(zhì)備份、遠(yuǎn)程備份，通過遠(yuǎn)程技術(shù)將數(shù)據(jù)備份在服務(wù)器放置地以外的另一地點(diǎn)，防止意外災(zāi)害等原因造成的服務(wù)器存放地整體毀損，定期將數(shù)據(jù)備份在移動(dòng)存儲(chǔ)、光盤等多種介質(zhì)上，備份的數(shù)據(jù)應(yīng)由專人保管，定期送學(xué)校檔案部門保存。還應(yīng)對(duì)上述多種備份做復(fù)原測(cè)試，檢查備份數(shù)據(jù)能否有效恢復(fù)?？傊?，有效利用各種技術(shù)，多地點(diǎn)、多期間、多媒介保護(hù)財(cái)務(wù)數(shù)據(jù)的安全。（五）加強(qiáng)制度建設(shè)、強(qiáng)化安全意識(shí)高校應(yīng)建立一套財(cái)務(wù)信息管理制度，規(guī)范財(cái)務(wù)人員和系統(tǒng)管理員行為，提高全體財(cái)務(wù)人員安全防范意識(shí)。財(cái)務(wù)人員作為信息系統(tǒng)的直接操作者，若對(duì)計(jì)算機(jī)基礎(chǔ)缺乏，信息安全意識(shí)薄弱，工作中易出現(xiàn)安全隱患。比如財(cái)務(wù)人員計(jì)算機(jī)密碼簡(jiǎn)單，登陸業(yè)務(wù)系統(tǒng)不設(shè)密碼或?qū)⒚艽a隨意告知他人，保存財(cái)務(wù)信息的存儲(chǔ)隨意放置，這些都可能導(dǎo)致財(cái)務(wù)信息泄露。因此需要對(duì)財(cái)務(wù)信息系統(tǒng)的操作者及相關(guān)人員進(jìn)行信息安全的定期培訓(xùn)，提高財(cái)務(wù)人員，尤其是財(cái)務(wù)管理人員的信息安全防范意識(shí)。在此基礎(chǔ)上，結(jié)合行政事業(yè)單位內(nèi)部控制規(guī)范，將本單位涉及財(cái)務(wù)信息的工作進(jìn)行分解，將安全規(guī)范制定到具體崗位。對(duì)普通財(cái)務(wù)人員提出要求的同時(shí)，也需要約束財(cái)務(wù)系統(tǒng)管理員的行為，在高校財(cái)務(wù)系統(tǒng)管理員普遍擁有較高權(quán)限，對(duì)其開放數(shù)據(jù)維護(hù)、設(shè)置等權(quán)限的“后臺(tái)”同時(shí)，解除其“前臺(tái)”登記數(shù)據(jù)等財(cái)務(wù)人員的權(quán)限，嚴(yán)格控制系統(tǒng)維護(hù)員不得兼