高校财务信息系统安全防护体系建设研究

张鹏　陈帆　韩索民

摘 要：随着高校信息化建设的推进，财务信息化已经成为高校提高财务管理和服务水平的最重要推手。同时，由于财务信息系统自身的特点和网络环境的复杂性，财务信息系统的安全风险日益凸显。着重分析财务信息系统存在的安全风险，提出一种高校财务信息系统安全防护体系建设方案。

关键词：高等学校；财务信息系统；安全防护

中图分类号：F232 文献标志码：A 文章编号：1673-291X（2015）25-0103-02

近年来，随着我国高等教育事业的发展，高校信息化建设取得了长足进步。高校财务信息化为高校的管理和决策提供了有力的支撑，已成为高校提升财务工作效率和财务服务水平的重要推手。财务信息化建设的目标已由提高财务核算工作效率向提升财务管理和服务水平转变，各高校普遍建成了面向全校师生的网上报账、信息查询、跨部门业务办理等财务综合服务体系。然而，随着财务信息化建设的迅猛发展和财务综合服务体系的推广应用，财务信息系统存在的安全风险开始凸显。

一、高校财务信息系统存在的安全风险

1.硬件设备的风险。财务信息系统的硬件设备主要指服务器、网络设备、存储设备等。硬件设备是财务信息系统的物理载体，是财务信息系统稳定运行的先决条件，硬件设备的损坏会给整个系统造成严重损失。但在日常工作中，硬件设备的配置和运行环境经常得不到财务部门的重视。

硬件设备常见的配置问题包括：计算、内存、网络设备带宽等与业务需求不匹配，形成瓶颈导致系统运行效率低下。服务器运行环境无法满足要求，如运行存放场所的供电、降温、除尘、防磁等配套设施不完善，极易引起硬件设备损坏。

2.网络攻击和感染病毒的风险。随着财务信息化服务体系的建立，财务信息系统需要面向全校师生员工提供各类财务服务，随之而来的，以非法取得或篡改数据为目的的入侵行为难以避免。由于通用操作系统本身存在的漏洞和信息系统管理制度的不完善，财务信息系统遭受网络攻击和感染病毒的风险一直存在。

3.数据损失风险。在财务信息化系统中，数据是系统的核心，财务管理的过程就是对数据的生成、分类、分析和利用的过程。各种不可控因素造成的数据损失，将会对财务信息系统造成致命的损失。高校财务数据存在的问题包括：缺乏科学合理的备份机制，缺乏财务电子数据的管理制度，电子数据的存储条件损坏等。

4.财务人员错误操作的风险。高校财务人员知识结构和业务能力存在差异，部分财务人员对信息系统的安全风险认识不足。个别财务人员对财务信息系统无意或有意地错误操作，将会引起财务信息失真或造成财务数据的重大损失。

二、财务信息系统安全防护体系建设

1.加强硬件平台运行维护管理。硬件平台是财务信息系统的基础，高校应对硬件平台的管理给予足够的重视。在搭建信息系统硬件平台之前，应根据预先规划的业务种类和业务规模对硬件设备的架构和配置做科学设计，硬件平台要充分考虑财务信息系统在计算、运行、存储、网络等方面的需求，避免因为某一环节出现瓶颈，降低整个系统的运行效率。硬件平台的设计方案可由财务部门提出业务需求，请信息化领域的专家进行充分论证，避免盲目建设造成损失。硬件平台的运行环境应满足持续供电、恒温恒湿、防磁微尘等方面的要求，在日常生产中，还应实时监控硬件平台的运行状态，对运维系统给出的提示和报警信息及时给予分析解决，规避可能出现的硬件故障风险。

2.科学规划财务信息系统网络架构。建立科学合理的网络架构对财务信息系统安全防护具有重要意义，往往可以起到事半功倍的效果。规划财务信息系统应考虑的问题包括：（1）确保财务核心数据的安全，最好做到专网运行，与因特网物理隔离；（2）财务核心数据应与财务网上服务数据实现互通，保障财务查询、网上报账等业务数据的双向传输；（3）对校园网访问财务网上服务应用进行必要的监控。

下面提出一种财务信息系统网络架构设计方案（见下图）。

3.完善财务数据保护策略。制定财务数据保护策略，建立财务信息系统灾后快速恢复能力。应包括：（1）应用虚拟机高可用（HA）解决方案。建立虚拟服务器快速恢复能力，当一个集群中的某一台物理主机出现故障，虚拟机可以自主侦测并迁移到另外的物理主机上，实现业务不中断。（2）完善数据备份策略。备份范围应包括：文件系统备份，数据备份，日志备份。备份方式应包含：在线备份、离线备份、完全备份、增量备份等。同时根据各应用系统的工作特点和安全防护级别合理选择备份方式和操作频率。（3）建立热备与容灾系统。随着高校财务管理和服务水平的提高，高校财务部门希望具备在遭受突发灾难后财务应用不间断服务的能力，可建立财务数据热备与容灾系统。建立一个异地的数据系统，该系统是本地主系统关键数据的一个可用镜像，异地数据系统通过同步或准同步的方式与本地主数据系统保持一致，当主系统遭遇意外损失，应用系统可以迅速切换到异地热备容灾服务器，保证财务应用不间断。

4.建立健全财务信息系统内部控制制度。建立健全财务信息系统内部控制制度可以有效规避系统安全风险，提高财务信息系统的可靠性。

（1）财务信息系统权限管理制度。为规避财务人员操作失误引入的风险，防范内部人员舞弊行为，应建立和完善财务信息系统权限管理制度。根据各岗位的职责，设置相应的系统使用权限，从系统上做到不相容岗位隔离，建立关键业务环节多级审核机制，保障会计信息真实、可靠。（2）财务信息系统运行维护制度。建立财务信息系统硬件和软件的运行维护制度，规范系统操作和管理，及时发现和规避硬件故障和非法访问引入的风险。定期检查并记录服务器、存储、交换机、防火墙以及隔离网闸等硬件设备的运行状态；定期检查硬件设备、数据库的日志，排查系统隐患；梳理财务应用系统操作流程，编制应用系统使用指南和注意事项。（3）财务电子档案管理制度。建立与财务信息化发展水平相适应的财务电子档案管理机制，规范财务电子档案的采集、归档、存储等流程。根据电子档案的特殊性质，还应定期对财务电子档案做完整性和一致性验证。

5.加强财务人员综合能力培养。财务人员的职业操守和业务能力对财务信息系统安全防护水平的提升至关重要，高校应注重对财务人员道德素质和信息化工作能力的培养。加强财务人员对财务信息化相关知识的学习，了解财务信息系统的基本架构和工作原理，具备财务信息系统安全防护的意识，掌握财务信息系统安全防护的基本技术，有效地提升财务信息系统的安全防护水平。

参考文献：

[1] 王婷婷.我国高校信息化机制建设研究[D].长沙：湖南大学硕士学位论文，2006.

[2] 李波.基于VPN的天翼财务信息安全平台的设计与实现[D].上海：复旦大学硕士学位论文，2012.

[3] 刘中杰.基于WPDRRC模型构建基层农信社信息安全管理系统[D].长沙：湖南大学硕士学位论文，2012.

[4] 丛磊.高校财务信息化面临的信息安全问题研究[J].会计之友，2014，（11）：116-118.

[责任编辑 吴明宇]endprint