网络财务系统的信息安全及对策

张永毅¹ 杨梅² 雷羽³

（1、3北京电视台，北京，100022；2北京水务局，北京，100142）

摘要：本文从网络财务系统的运行是基于网络，所以网络中常见的问题在网络财务系统中也会出现，再加上网络财务系统本身在应用中遇到的风险；网络财务系统针对这些风险都采取了相应的措施，从而保障财务系统安全运行，财务数据真实可靠。

关键词：网络财务 安全 风险

0 引言

电视台的财务信息化总体目标是建立以“财务集中管理为核心”的管理信息系统来支撑电视台的发展战略，优化电视台资源配置和业务协同，提高电视台财务管控能力，从而提升目标计划、业务处理和控制方面的业务水平和效率，各业务部门在其权限控制范围内提高信息的共享程度，加强人员间的沟通和合作。通过对系统中各项数据的分析和统计，能快速灵活形成所需的报表，为管理者提供实时的业务数据结果，及时了解业务状况，并为高层管理者提供决策支持。

1 财务管理系统网络部署方案

电视台要求业务应用网络是基于网络的应用系统运行的基础，所有的业务系统都放置在数据中心内部，数据中心相对独立于业务网络和制播网络，但同属业务网络的一部分，根据业务需要，数据中心网络将与制播网和业务网络快速、安全的局部互联。财务系统的网络部署方案如图1所示。

图1 财务系统网络图

根据电视台财务管理要求，结合财务管理系统建设的规划，提供财务管理系统网络部署方案。在电视台设置两台服务器，一台数据库服务器，安装oracle数据库。一台应用服务器，安装NC财务管理系统，各个财务业务部门登陆到应用服务器上完成财务核算业务、报表业务、预算业务、资产业务、收入成本业务等处理。任何一个信息系统无论其安全控制功能多么完善，运行环境多么安全，都存在着安全风险。但是，每一个系统的风险大小又由于系统控制功能和运行环境的不同而不同，所以，如何提高系统的安全程度，降低安全风险成了系统设计者和系统用户都关心和考虑的问题。

2 财务网络化系统的安全风险

财务信息系统的安全是指系统保持正常稳定运行状态的能力。财务信息系统的安全风险是指由于人为的或非人为的因素使得财务信息系统保护安全的能力减弱，从而造成系统的信息失真、失窃，企业资金财产损失，系统硬件、软件无法正常运行等结果发生的可能性。保护系统的安全就是保护系统免遭破坏或遭到损害后系统能够较容易再生、财务信息系统的安全风险主要表现在几方面：

2.1 财务信息失真

财务信息的真实、完整、准确是对财务信息处理的基本要求，一旦财务信息系统的安全受到侵害，最直接的影响就是财务数据错误、数据丢失或被篡改使财务信息失真，从而不同程序地影响财务信息的使用者进行有关决策。

2.2 台里的资产损失

利用非法手段侵吞企业资财是财务信息系统安全风险的主要形式之一。其手段主要有：未经许可非法侵入他人计算机设施、通过网络散布病毒等有害程序、非法转移电子资金及盗窈银行存款等。

2.3 台里的重要信息泄露

信息技术高速发展的今天，信息在企业的经营管理中变得尤为重要，成为企业的一项重要资本，甚至决定了企业在激烈的市场竞争中的成败。因此利用高技术手段窃取企业机密是当今计算机犯罪的主要目的之一，也是构成系统安全风险的重要形式。

2.4 财务系统无法正常运行

无论是无法避免的自然灾害，还是出于非法目的而输入破坏性程序、操作者有意、无意的操作造成硬件设施的损害、计算机病毒的破坏等都有可能使财务信息系统的软件、硬件无法正常工作，甚至系统瘫痪，造成巨大损失。

3 财务网络化系统的安全策略

基于以上风险，我们针对财务系统在网络安全、应用系统安全性设计、传输安全保障、安全管理、意外事件紧急处理、数据备份和灾难恢复等你方面对怎样保障ERP财务系统的安全采取了相应的设计和保障措施。

3.1 网络安全方案

出于财务数据安全的考虑，外部用户通过VPN或电话拨号连入总部局域网之前先经过防火墙过滤、身份验证，防止非法用户访问服务器数据。

有访问权限的用户也只能访问WEB和应用服务器，WEB和应用服务器上面安装两块网卡并禁止IP转发，一块连接公司网络，另一块单独连接数据库服务器。保证没有用户能直接访问到数据库服务器。

3.1.1 通过防火墙及其他安全措施，保证网络、WEB服务器的安全。

将WEB服务器与应用服务器安装于一台物理服务器，将数据库服务器安装为一台服务器。数据库服务器放在防火墙后面，外界无法知道数据库服务器的IP，无法直接访问数据库服务器，保障了数据库服务器的安全。因为所有的数据都存放在数据库服务器中，因而，数据库服务器是系统中最重要的机器，其安全性也最为重要。

应用服务器与数据库服务器通过标准的JDBC连接相连。而工作站无法直接连接到数据库服务器，只能连接到应用服务器，通过系统的

中间件操作，因此应用服务器的安全也比较关键。

3.1.2 JAVA语言在安全方面做了严格的限制，保证浏览器操作的安全。

登录到系统的客户无法利用象C语言的指针类似的后门来进行破坏，因为JAVA语言取消了容易产生安全问题的指针操作。另外，JAVA语言取消了直接对存储器的存取操作，也保证了工作站不能破坏服务器的硬盘。

3.1.3 大型关系型数据库具有良好的安全性，保证数据的安全。

数据库将操作系统和数据库的权限相结合，可对用户授予数据库级或表级的权限，表的授权可由一般用户和超级用户代理。严格避免前台直接对数据库操作。

可以通过数据库权限设置、操作系统权限设置，让一般用户不能直接访问服务器，而只能登录到财务软件来访问，如此，可将操作人员的范围界定在财务操作人员，他们只能通过财务软件来访问服务器，而财务操作人员的口令一般只有局部权限，不会对系统造成破坏。

3.1.4 财务软件提供了多层次的安全控制功能。

包括用户权限管理（模块权限、功能权限、科目权限），操作日志监控，数据的联机备份、复制与恢复、数据传输加密等

数据在网络上传输时，进行了核心数据的加密设置（如凭证内容），系统采用DES算法，64位加密。加密算法在中间件实现。

3.2应用系统安全性设计

3.2.1 防火墙技术

NC财务管理系统利用防火墙技术实现网络的安全。出于数据安全的考虑，外部用户连入总部局域网之前先经过防火墙过滤、身份验证，防止非法用户访问公司数据。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

3.2.2 结构安全性

由于采用B/S多层结构，系统代码全部放于服务器上，只有服务器管理人员才能更改代码。客户端的代码是动态地下载到客户端的，动态下载意味着谁也无法在客户端修改客户端的运行代码。另外由于只有运行在服务器上的代码才可以访问数据库，客户端不能直接访问，这样可以保证服务器安全。

3.2.3 数据传输加密- HTTPS

该方案实现比较容易，目前大部分的Web Server及Browser大多支持SSL的资料加密传输协定。而NC是完全基于B/S结构的系统，因此，可以利用这个功能，将部分具有机密性质的网页设定在加密的传输模式，如此即可避免资料在网络上传送时被其它人窃听。

3.2.4权限管理

? 权限管理主要包括业务权限、功能权限和数据权限，为了操作的灵活性和系统的实用性，本项目设计了三种权限应用模型，基于角色（Role-based）的权限管理， 基于用户（User-based）的权限管理, 基于组(Group-based)的权限管理。 权限管理的安全模型设计如图2所示：

图2 权限管理的安全模型

? 业务权限和功能权限：采用基于角色的权限管理，基于角色的权限管理体系易于操作，可进行容易的合并和分拆，也可进行累加授权和排除式授权。我们会根据企业组织信息结构对授权体系可进行分级控制，分级监督；上级企业权限管理人员可监督下属企业授权体系，下属企业可对本企业信息向上级企业的开放程度进行简单控制。也可以容易地实现标书中要求的权限管理的分布式加集中式。

? 数据权限：采用基于用户或者基于组的权限管理，数据安全的效率取决于数据控制的粒度，考虑到数据仓库数据量的庞大，建议在实施时对数据控制的粒度不宜过小。 Hyperion Essbase OLAP的数据权限可以控制到某个纬度的成员。

? 数据库加密方案

? 由于本项目要求支持字段级的数据库加密，可以通过在DBMS外层外挂数据库加密系统来实现。这样只有表的拥有者或合法使用者才能查阅到该表或字段的内容，其它用户、甚至是据库系统管理员也无法读到表中正确的内容。数据库加密方式如图3所示：

图3 数据库加密方式

? 采用这种加密方式时，加/解密运算可以放在客户端进行，其优点是不会加重数据库服务器的负载并可实现网上传输加密，缺点是加密功能会受一些限制。上图中，“加密定义工具”模块的主要功能是定义如何对每个数据库表数据进行加密，在创建了一个数据库表后，通过这一工具对该表进行定义；“数据库应用系统”的功能是完成数据库定义和操作。数据库加密系统将根据加密要求自动完成对数据库数据的加/ 解密。

? USB-智能卡系统

可集成第三方基于PKI体系的USB智能卡系统，这种类型的系统利用标准的加密算法技术，实现了网络安全方案中数字签名、身份认证和密钥安全管理以及分发传递等功能。是集网络身份认证、网络访问权限控制、数字签名、文件加密管理、数据流加解密等功能等诸多安全功能为一体的USB智能卡类产品。

3.3传输安全保障

3.3.1真正安全的数据传输功能

因为NC运行在基于自主知识产权的中间件上，NC的所有数据都需从中间件层过滤，可以通过在中间件层对数据进行安全处理，来做到真正意义上的数据安全，从而再也不用担心底层操作系统、硬件本身具有的系统漏洞或所留的后门对数据安全带来的威胁。

在NC中间件层中，已经对传输的数据进行了加密。算法除了一些经典的如DES之外，还可根据用户的需求采取具有自主知识产权的更高级别的加密算法。如图4所示：

图4 数据加密算法

3.3.2基本方案

身份认证采用动态口令方式或证书方式

通过集成其它安全认证系统，如动态口令系统、指纹识别、数字证书等方式来保证访问控制的安全性。在NC中已提供了与这些系统集成的接口。

动态口令系统：

在NC当前已集成的第三方动态口令系统中，采用了基于时间、事件和密钥三变量而产生的一次性口令来代替传统的静态口令，从而避免了因口令泄密带来的安全隐患。

每个令牌都有一个唯一的密钥，该密钥同时存放在服务器端，每次认证时令牌与服务器分别根据同样的密钥，同样的随机参数（时间、事件或挑战）和同样的算法计算了认证的动态口令，从而确保口令的一致和认证的成功，因每次认证时的随机参数不同，所以每次产生的动态口令也不同。由于每次计算时参数的随机性保证了每次口令的不可预测性，从而在最基本的口令认证这一环节保证了系统的安全性。

具体使用过程是：使用时，用户（远端）使用集团派发的令牌，动态产生一组口令，然后在Login (登录)界面，或者电话键盘进行输入，系统将该口令送到集团的安全认证服务器时进行信任认证算法计算，得到该口令的确认结果，由此判断其用户的合法性。基本结构如图5所示：

图5 令牌基本结构

系统采取双因素认证，要求用户在接入之前必须具有物理的令牌，同时必须知道自己的PIN码（个人验证码，用于激活令牌）。而系统独特的动态密码生成有效的消除了风险，这个过程产生一个一次性口令，是无法被猜中、分享、破解的，丢失的密码或再次使用都会被禁止。双因素认证系统可以唯一的确认用户，而且并不要求用户记忆一个新的口令。

数据传输、访问控制采用经过国家认证的浏览器SSL模块。因为一般浏览器实现的SSL功能都是基于对称加密技术，安全性较低，并且没有实现数字签名。要解决这些问题，实现更高的安全传输功能，可采用经过国家认证的浏览器SSL模块，这些SSL模块一般都采用了具有自主知识产权的算法，基于PKI体系，采用非对称加密，实现了数字签名，是电子商务、企业信息传输的首选。

结束语

网络财务系统的应用过程中，应该注意控制以上所分析的各种风险，并将系统与企业的内部业务流程、内部管理系统等结合起来。在不断发展中，企业应当根据自身环境条件的变化对财务系统和内控系统进行不断的调整，使其适不断适应企业的变化，更好的为企业服务。作为企业管理信息化进程中重要的一项内容，网络财务系统正逐步在企业中得到广泛应用。但是，当我们关注其为企业带来巨大的管理提升和经济效益的同时，也必须充分认识到由于网络财务系统自身的特点所带来的风险。针对这些风险，研究和制定财务环境下企业的内部控制策略，是财务系统应用中不容忽视的新课题。

这些风险的存在，对于我们的财务系统的信息安全具有举足轻重的作用，在部署系统之前必须加以重视，我部的财务系统已经建立，针对财务系统的安全问题的部署也备受关注，财务系统的安全设计和部署，对于其他应用系统也具有借鉴意义。