賀文杰，陽宗妤

(湖南科技大學(xué) 財務(wù)處，湖南 湘潭411201)

在信息化時代，由于對財務(wù)會計信息及時、高效、共享的需求等原因，廣泛采用現(xiàn)代計算機網(wǎng)絡(luò)技術(shù)必將成為財務(wù)管理和會計核算發(fā)展的必然趨勢［1］。但在網(wǎng)絡(luò)環(huán)境下的財務(wù)管理和會計核算處于一種開放平臺上，勢必面臨黑客攻擊、病毒感染等諸多風(fēng)險。解決財務(wù)網(wǎng)絡(luò)的安全問題、維護數(shù)據(jù)安全是實現(xiàn)網(wǎng)絡(luò)化財務(wù)管理和會計核算的前提。本文以某高校為例，首先介紹其財務(wù)網(wǎng)絡(luò)環(huán)境現(xiàn)狀，然后分析其財務(wù)網(wǎng)絡(luò)可能存在的安全問題，最后提出在保證內(nèi)部核算和財務(wù)管理安全，用戶對財務(wù)會計信息實時查詢需求的前提下，強化財務(wù)網(wǎng)絡(luò)安全管理，創(chuàng)新財務(wù)網(wǎng)絡(luò)安全策略的解決方案。

1 高校財務(wù)網(wǎng)絡(luò)環(huán)境現(xiàn)狀

某高校在財務(wù)網(wǎng)絡(luò)環(huán)境及其財務(wù)網(wǎng)絡(luò)安全管理等方面具有代表性。本文以此為典型案例開展深入研究。

該校于1990年就實現(xiàn)了會計賬務(wù)核算、資金管理的網(wǎng)絡(luò)化，并在2003年搭建財務(wù)網(wǎng)，實現(xiàn)了財務(wù)會計核算信息的網(wǎng)絡(luò)實時發(fā)布，師生員工能通過網(wǎng)絡(luò)實時了解教學(xué)、科研、管理等項目的收入/歸還、支出(經(jīng)費報銷)/借款、結(jié)余以及學(xué)雜費繳納/欠費等情況，并對其進行核對和監(jiān)督，有效解決了財務(wù)會計信息實時查詢和財務(wù)會計錯弊等問題，其典型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖1。

2 高校財務(wù)網(wǎng)絡(luò)可能存在的安全問題

目前財務(wù)網(wǎng)絡(luò)服務(wù)器在安全性上可能存在以下幾個問題:(1)網(wǎng)絡(luò)后門未及時堵漏，給黑客攻擊以可乘之機(見圖2、圖3)，危害極大。(2)服務(wù)器Administrator 賬號的密碼為空或者太短太簡單。(3)數(shù)據(jù)庫鏈接采用SA 最高權(quán)限賬號。(4)提供WEB 服務(wù)的賬號沒有獨立。(5)存在一些不應(yīng)該在服務(wù)器上直接使用的應(yīng)用程序，如QQ。(6)Web 目錄的權(quán)限沒有細(xì)分。(7)關(guān)機或者重新啟動的時候要輸入時間跟蹤原因(造成發(fā)生中斷時，一些后臺服務(wù)不能自動啟動)。(8)未能有效配置防火墻方案。

圖1 高校財務(wù)網(wǎng)絡(luò)典型拓?fù)浣Y(jié)構(gòu)

圖2 黑客攻擊后建立的賬號

圖3 黑客攻擊賬號遺留下的文件

3 P2DR 動態(tài)網(wǎng)絡(luò)安全體系模型簡介

P2DR 模型(見圖4)是美國ISS 公司首先提出的，其核心包括四個主要部分:Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應(yīng))［2］。(1)策略:是模型的核心，所有的防護、檢測和響應(yīng)都是依據(jù)安全策略實施的。網(wǎng)絡(luò)安全策略一般包括總體安全策略和具體安全策略兩個部分。(2)防護:根據(jù)系統(tǒng)可能出現(xiàn)的安全問題而采取的預(yù)防措施，這些措施通過傳統(tǒng)的靜態(tài)安全技術(shù)實現(xiàn)。采用的防護技術(shù)通常包括數(shù)據(jù)加密、身份認(rèn)證、訪問控制、授權(quán)和虛擬專用網(wǎng)(VPN)技術(shù)、防火墻、安全掃描和數(shù)據(jù)備份等。(3)檢測:當(dāng)攻擊者穿透防護系統(tǒng)時，檢測功能就發(fā)揮作用，與防護系統(tǒng)形成互補。檢測是動態(tài)響應(yīng)的依據(jù)。(4)響應(yīng):系統(tǒng)一旦檢測到入侵，響應(yīng)系統(tǒng)就開始工作，進行事件處理。響應(yīng)包括緊急響應(yīng)和恢復(fù)處理，恢復(fù)處理又包括系統(tǒng)恢復(fù)和信息恢復(fù)。

根據(jù)P2DR 模型的2 個數(shù)學(xué)公式(Pt ＞Dt+Rt ;Et =Dt+Rt)，如果Pt=0，我們針對安全問題可以得出兩個明確的方向:即如何提高系統(tǒng)的防護時間，如何降低檢測安全問題的耗費時間及響應(yīng)對策的實施時間。

圖4 P2DR 動態(tài)網(wǎng)絡(luò)安全體系模型

4 高校財務(wù)網(wǎng)絡(luò)安全新策略

根據(jù)P2DR 模型針對安全問題的解決方向，主要采取以下幾個措施來進一步加強其安全性。

4.1 使用硬件防火墻

使用硬件防火墻通過安全規(guī)則(見圖5)的定義，開放盡量少的端口及協(xié)議，可以有效提高系統(tǒng)的防護時間;防火墻日志系統(tǒng)的分析，降低了檢測安全問題的耗費時間;圖形化簡潔的界面可以有效地降低響應(yīng)對策的實施時間。由此可知，擁有可便捷管理系統(tǒng)的硬件防火墻系統(tǒng)是高校財務(wù)網(wǎng)絡(luò)的基礎(chǔ)設(shè)置，必不可少。

4.2 加裝服務(wù)器版防病毒軟件

圖5 方正防火墻安全規(guī)則示例

加裝服務(wù)器版防病毒軟件是保護網(wǎng)絡(luò)安全的另一個提高系統(tǒng)防護時間的有效辦法，對病毒的快速處理進一步提高了響應(yīng)的速度和能力。以某高校為例，原先服務(wù)器安裝的防病毒軟件為瑞星殺毒軟件，現(xiàn)安裝了服務(wù)器版防病毒軟件McAfee 的VirusScan8.5 版(見圖6)，針對性更強，并進行了有針對性的配置，可設(shè)定其每日對服務(wù)器進行全盤掃描，及時發(fā)現(xiàn)部分隱患，并及時處理。

圖6 網(wǎng)絡(luò)防毒方案

4.3 配置目錄權(quán)限管理

詳細(xì)的配置目錄權(quán)限是對訪問控制的實施，用戶的隔離能夠加強系統(tǒng)的防護能力。根據(jù)一個網(wǎng)站一個獨立目錄的原則，分配獨立的屬于GUESTS 組賬號，不要隨便使用系統(tǒng)默認(rèn)賬號，對web 目錄，如果只運行asp，則只要求administrators 組賦全部權(quán)限;IIS_wpg 賦讀取、運行權(quán)限;匿名訪問賬號賦讀取運行權(quán)限;對要求上傳的目錄或文件型數(shù)據(jù)庫添加寫入等獨立權(quán)限，但要在IIS 中選擇相應(yīng)文件夾，右鍵修改為目錄—》執(zhí)行權(quán)限—》無(見圖7、圖8)。

圖7 Web 目錄用戶權(quán)限

圖8 IIS 目錄權(quán)限的修改

4.4 將應(yīng)用程序池獨立

應(yīng)用程序池的獨立不但能夠提高防護時間，而且發(fā)生錯誤時，重啟本應(yīng)用程序池即可，無需重啟iis，這樣也進一步加強了響應(yīng)時間。具體可以對IIS 中網(wǎng)站的應(yīng)用程序池獨立，深度隔離，相當(dāng)于重啟。另外不建議多線程，因為雖然能夠增強效率，但是由于會話獨立，會在程序中產(chǎn)生驗證失敗的結(jié)果。

4.5 加強SQL 注入式攻擊防范

針對目前網(wǎng)站最主流的攻擊方式SQL 注入式攻擊，采取加強檢測的措施，降低檢測時間。因為SQL 注入式攻擊方式具有實現(xiàn)簡單、效果明顯的特點。它本質(zhì)上是一種基于SQL 語法組合的攻擊，屬于網(wǎng)絡(luò)的應(yīng)用層，因此IP 層的防火墻對它無能為力。一般程序員在軟件代碼中對此類攻擊進行防范。但是無法保證每個應(yīng)用程序都經(jīng)過嚴(yán)格的檢查，因此可以從系統(tǒng)層考慮引入掃描系統(tǒng)，如微軟的URLSCAN3.1，對應(yīng)用層字符串進出進行過濾。具體配置文件在C:WINDOWSsystem32inetsrvurlscanUrlScan.ini，被阻擋的URL 請求記錄在C:WINDOWSsystem32inetsrvurlscanlog 目錄下，可以根據(jù)自身情況酌情修改(見圖9)。

圖9 啟用UrlScan ISAPI 篩選器

4.6 強化數(shù)據(jù)庫鏈接賬號和計算機用戶賬號管理

為加強防護，提高訪問控制力度，數(shù)據(jù)庫鏈接賬號不能夠采用SA，可以在數(shù)據(jù)庫服務(wù)器中單獨建立一個賬號，遵從一個數(shù)據(jù)庫限定一個賬號的原則，這個賬號一般只提供對這個庫讀寫權(quán)限，甚至只是讀取權(quán)限。這樣，就算注入，也不能通過此賬號建立系統(tǒng)賬號，而SA 特權(quán)賬號則可以。對于其他有關(guān)賬號的密碼要符合復(fù)雜性要求，最好用字母、數(shù)字、符號的共有組合。

5 結(jié) 語

計算機網(wǎng)絡(luò)的高速發(fā)展，對會計核算、會計信息的發(fā)布等管理領(lǐng)域的影響廣泛而深遠(yuǎn)，財務(wù)信息化建設(shè)、財務(wù)網(wǎng)絡(luò)管理模式等都將面臨著新的機遇和挑戰(zhàn)，高校廣大財務(wù)工作人員要保持清醒的認(rèn)識，既要充分利用網(wǎng)絡(luò)環(huán)境，也要高度重視網(wǎng)絡(luò)安全，積極探索安全高效的網(wǎng)絡(luò)財務(wù)核算管理新途徑，為高校財務(wù)事業(yè)的健康發(fā)展做出貢獻［3］。

［1］栗永鋒.基于校園網(wǎng)的高校財務(wù)信息公開化研究［J］.財會通訊，2004(6):84 －86.

［2］馮 毅.基于P2DR 模型的網(wǎng)銀安全體系方案設(shè)計［J］.104 －105.

［3］劉儉輝.網(wǎng)絡(luò)環(huán)境下財務(wù)管理的安全性研究［J］.審計理倫與實踐，2003(1):54 －55.