時間:2023-07-07 17:23:53
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇財務管理系統服務保障,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
(一)基礎設施建設1.服務器和存儲系統
按照相關的應用配置了7臺服務器,供信息管理系統、網絡版殺毒軟件、網站和數據備份等使用,盡量避免多個應用占用一臺服務器,以確保系統的不間斷運行。
2.交換機
根據實際使用需要,配備了1臺核心交換機,嚴格劃分vlan,分割出辦公網絡、財務安全網絡和服務器隔離區,5臺匯聚交換機構成公司信息化基礎網絡。
3.網絡及系統安全
網絡出口配備了帶路由功能并集成上網行為管理軟件的硬件防火墻,對防火墻配置安全策略,啟用了IPS阻斷不必要的端口和服務,并對上網行為進行了有效的管理,為防止計算機病毒對系統的影響,服務器安裝了防病毒軟件,客戶端亦安裝了防病毒軟件,并及時更新病毒碼。
4.網絡建設
公司于2008年12月將網絡出口線路升級為光纖10M,2011年又增加了一條與集團連接、用于數據交換的SDH數據專線,保證了信息傳輸的安全性和機密性。
5.其它建設
機房配備了4組UPS,用于保護核心設備,并解決在突然斷電情況下的應急處理,機房中設置了恒溫設備和防火設備,以保證核心設備的安全。
2009年4月,我公司終止使用于2006年開發使用的老網站,全面改版為新網站,并使用至今。
(二)制度保障體系建設信息化保障制度和系統管理制度是通過公司規章的形式,以保障信息系統穩定、有效運行。
公司的信息化制度保障體系建設包括信息化保障制度和系統管理制度,信息化保障制度主要包括組織機構設置、資金使用預算、中心機房管理制度、網絡管理制度、計算機設備管理制度、信息安全管理制度、軟件管理制度、信息系統應用考核辦法、信息化技術資料管理制度等,系統管理制度主要包括公文管理辦法、人力資源管理信息化辦法、財務管理信息化辦法、綜合項目管理辦法、檔案管理辦法等。
(三)安全保障體系建設隨著信息化建設的不斷深入,信息系統中將會有越來越多的企業重要數據和敏感信息,因此,公司把信息系統的安全保障放到了一個很重要的位置。安全保障主要從信息系統的全方位進行考慮,采取有效措施進行防范,啟用內部系統入侵檢測(IDS)和入侵防御(IPS),設置防火墻策略,有效控制系統服務和端口的訪問規則。
做好設備相關記錄的保存工作,硬件方案文檔、設備配置文檔、核心設備的系統日志定期妥為保管,視同機密。
通過集團SDH專線信道加密來進行數據傳輸,防止數據被竊取或篡改等,確保公司管理信息系統的信息安全。
備份工作在信息化應用過程中是不可缺少的安全保障環節,是對信息系統的可恢復性提供的保障。公司指定專人執行,定期完全備份和實時差異備份;制定相關的信息系統備份管理規則,并定期檢查和考核備份工作的執行情況。
防止病毒的侵害,檢測和清除已經入侵的病毒,是保證所有系統正常運行的重要措施之一。在管理上制定行之有效的制度,提高操作人員防范計算機病毒的知識和意識;在信息系統中部署防病毒軟件,以提供對病毒的檢測、清除和防御能力。
(四)資金保障按信息化建設資金預算,近兩年公司已先后投入了550多萬元資金對原有的網絡和硬件等基礎設施進行改造和升級,同時引進國內知名的軟件供應集成商進行合作,對系統重新進行了全面的優化設計。在今后的信息化建設中,公司將確保信息化建設資金的保障和持續投入。
(五)信息系統建設在集團公司的指導幫助下,公司與軟件供應集成商通力合作,以滿足公司現行管控模式、適應公司未來發展為前提,對系統重新進行了全面的優化設計,按照“以需求為導向、以流程為線索、以業務為中心、以數據標準化為重點、以效益為驅動力”的指導思想,按照“統一規劃、重點突破、分步實施”的原則,建立了滿足公司現行管控模式并適應公司未來發展的,集協同辦公系統、人力資源管理系統、綜合項目管理系統、檔案管理系統、NC財務管理系統為一體的信息化管理系統平臺。
1. OA辦公自動化系統
OA辦公自動化系統目前我公司已經實現了日常的協同工作,公文收發、業務表單審批、公共新聞以及知識管理等功能,公司企業郵箱也與OA辦公自動化系統集成。
2. 人力資源系統
人力資源系統目前我公司已經實現了組織機構管理、人員檔案管理、勞動合同管理、薪酬福利管理、招聘培訓管理以及績效管理等功能,并且能夠為OA系統、人力資源系統、財務管理系統提供人員引用。
3. 財務管理系統
財務管理系統目前我公司已經實現總賬管理、現金管理、固定資產管理、會計報表統計以及財務分析等功能,公司對每個在建項目均建立有獨立的帳套進行核算,實行一個項目一套帳。
4. 綜合項目管理系統
綜合項目管理系統目前我公司已經實現了從招投標、合同簽訂一直到竣工驗收的全過程管理,目前公司60個3000萬合同金額的在建項目正式上線,取得了一定的成果,比如資料文件,業務單據能夠可靠保存,隨時備查;進度執行情況報表、承建合同情況報表、合同明細臺賬、物資收發存匯總表、分包結算臺賬、設備租賃費用臺賬、質量隱患一覽表、安全隱患一覽表、創優情況一覽表、安全事故一覽表等統計報表能夠自動生成,減少工作量,增加準確度;收入支出、成本盈虧情況能夠自動分析;集團客商、存貨、成本科目等定義和管理全部一體化;
5. 檔案管理系統
檔案管理系統目前我公司實現了在建項目竣工資料的過程收集(預歸檔),OA公文文書歸檔、竣工項目資料歸檔等功能。
二、存在問題
按照集團公司和用友公司對信息化建設做出的總體規劃,云南建設總承包公司在近1年的實施過程中有以下幾個應用上的問題需要用友公司配合解決和優化,情況如下:
1、NC系統收入管理模塊的清單分析表中的預算清單不能夠按結構碼排序,大大增加了預算員信息錄入和復查難度,應待NC 5.7版本解決。
2、NC系統進度管理模塊存在當月實際進度不能統計下一月提前完成的工作項的問題,也應待NC 5.7版本解決。
3、NC系統物資管理模塊存在項目出入庫不能參照物資采購合同簽訂的物資清單的問題,這使物資采購合同不在物資管理業務流之中得到體現,信息相對孤立,不能查詢合同的執行和結算情況,這是系統功能設計上的一大不足。
4、NC系統供應鏈模塊存在入庫單和出庫單不能聯查的問題,即不能通過入庫單查詢出庫單,或者通過出庫單查詢入庫單,只能通過批次號或人工查詢,無法及時準確地定位跟蹤到某種物資的出入庫情況。
5、NC系統物資管理模塊存在周轉材料租賃過程中租金價格改變后,在租金結算的時候仍然按照原租金結算的問題,目前解決的辦法只有讓租金改變的周轉材料先退場,然后重新進場,結算出的金額才正確。這是系統功能的缺陷,希望盡快得到解決。
6、NC系統成本管理模塊的成本盈虧分析表,即三算對比表,僅能反應合同產值和實際成本的對比分析,不能反應目標成本與二者的對比分析,希望用友公司能夠在報表當中加入分析字段。
7、NC系統風險管理模塊對于成本風險預警,有且僅有目標成本的風險預警,意義不大,不能滿足我公司要求,希望能夠增加預算收入和實際成本的預警機制。
8、目前NC系統很多關鍵功能節點,如預算書導入、目標成本調整、分包變更審批單、實際進度維護、進度計劃修訂、合同修訂等,均未設立棄審和修改功能,只能通知用友軟件工程師到數據庫后臺刪除數據,這給業務操作人員修正和補充信息帶來很大麻煩,應由NC 5.7版本解決。
三、信息化應用的效果及綜合收益
1、提高了數據采集的及時性和準確性。
隨著信息化建設的推進,按系統操作的要求,項目管理的各類初始數據在各種業務實施時就要及時進行采集和錄入,對數據源的真實性和及時性能可靠保證,通過對數據的分析和歸集,為項目級和企業級的決策與風險控制提供了依據。
2、進一步提高了各項管理工作的規范性與合規性。
借助信息化建設,通過對主要基礎管理表單的統一設定,不同核算體系的分類對接,歸集方法和標準的確定,各核心業務流程的梳理和再造等環節管理,流程管理和標準化管理得到了固化,避免了過去業務管理的隨意性,各項管理工作的規范性和合規性有了很大的提高,有利于公司考核評價體系的進一步完善。
3、企業的標準化管理體系得到進一步推進,成本管理和財務管理的能力有了顯著提高,項目的過程控制得到加強。
在信息化建設過程中,公司統一了物資材料編碼、機械設備編碼、客商編碼、成本科目、費用拆分項、收發類別等,企業標準管理體系得到進一步完善,通過基礎單據的錄入,成本能夠自動歸集、分攤、攤銷,使公司具備在對項目的成本管控過程中,能及時對項目進行分階段、分節點的成本核算和成本過程分析。同時,成本管理有了評價基準,對同類項目的評價有了可對比性。成本管理和效益得到了提升。
綜合項目管理模塊所提供的項目收入、付款、成本結算數據可自動傳到財務模塊的會計平臺,公司和集團均能夠及時準確地提取各種報表數據,對合并及匯總報表的處理,系統可以直接進行匯總、合并,快捷構建報表匯總體系。統一的客商編碼規則、客商名稱規則為保持客商的唯一性奠定了基礎,有利于業務結算、財務對賬及支付業務的順利進行。
4、傳統項目管理向“精細化”管理邁進的基礎得到了進一步夯實。
公司的信息化建設,明顯加快了推進公司各項基礎管理的進程,公司在流程梳理、再造,標準化體系的完善,業務與財務核算的對接等諸多方面有了實質性的進展。綜合項目管理、OA、HR、財務模塊實現了數據共享,各個相匹配的管理流程和各類制度得以完善,績效考核體系有了檢查對比的基本量化標準,項目“精細化”管理水平不斷得到提高。
5、數據資源初步實現共享,數據保存的可靠性和安全性得到提高和保障,查詢檢索更加便捷,工作效率明顯提高。
項目管理所涉及到的人、材、機、專業分包、收入、支付等各類信息及數據在系統中都有實時和直觀的反映,數據之間通過系統自動的生成及合并功能,實現了彼此關聯和可對比分析,提高了數據資源的利用率,綜合項目管理、OA、HR、財務模塊實現數據共享。
公司使用集團公司建立的SDH網絡專線,避免信息系統的數據在傳輸過程中被竊取和篡改;在信息系統服務器上安裝防病毒軟件保證操作系統和軟件系統的正常運行;對于在服務器數據庫存儲的數據,使用專業備份軟件進行實時的增量備份和定時的完全備份,在發生系統故障和數據丟失時能夠及時有效地進行數據恢復。
6、建立了公司及集團“大審計”工作的有力支撐平臺。
借助信息化管理平臺,公司及集團對各職能部門和項目部的工作效能、管理規范性、成本控制能力、質量安全管控水平、項目各類經濟指標評價等綜合“大審計”工作有了全面的支撐,有力地監督和促進了各項管理工作的改進和提升。
7、企業形象和綜合競爭力得到提高。
在競爭日益激烈的市場經濟環境下,企業的生存與發展依靠的是企業管理的創新。信息化建設的全面開展標志著公司的管理實現了真正意義上的由“粗放分散型”向“精細集約型”的根本性轉變,公司在市場中的企業形象和綜合競爭力也有了進一步的提高。
8、推進了企業人才隊伍建設及各級管理人員業務素質的提高。
在一個知識化、信息化的時代,企業的發展離不開人才隊伍的建設,公司推行信息化建設,實質上是促進管理人員業務素質的提高。各級管理人員特別是項目管理層管理人員通過信息化管理要求,對日常管理工作的職責是日清月結,數據的實時采集和輸送能保證其及時性和真實性。通過對系統的逐漸熟悉以及對操作的日臻熟練,人員的綜合素質也會有較大程度的提高。
9、隨著信息化建設的不斷推進與深入,不僅項目管理水平有了可喜的提升,公司的盈利能力也有了明顯的提高。
關鍵詞:中職;數字化校園;建設;實踐
中圖分類號:G718 文獻標志碼:A 文章編號:1673-9094-C-(2015)01-0038-03
江蘇省淮安中等專業學校(以下簡稱淮安中專校)以數字化校園建設為重點,在基礎設施、資源建設、推廣應用等方面進行了積極實踐。
一、基礎設施是前提
(一)校園有線與無線網絡全覆蓋
數字化校園建設的重要標志之一是網絡全覆蓋。淮安中專校建有有線為主、無線輔助的校園網。第一,網絡主干。基于當前信息技術發展形勢及經濟實用可持續發展原則,學校構建網絡主干是1000m,確保校內師生應用空間、視頻點播、電子閱覽、資源共享、虛擬桌面等,有條件的可將部分重要應用做成10000m。根據實際工作站信息點到網絡中心的距離,選擇適當的傳輸媒介進行網絡綜合布線。一般而言,同一幢大樓內如果距離100米均可鋪設超五類非屏蔽雙絞線,改成樓宇之間的連接應架設光纜,以滿足今后發展的需要。第二, 網絡中心。也就是校園網中心機房,必須配置有各種系統服務器、文件服務器、中心交換機、配線機柜等。如剛使用時數據流量不大,可只配置一臺高性能的服務器,視今后網絡發展情況再作擴充。為保證網絡運行穩定可靠,網絡中心的設備應選擇信譽可靠、質量上等、性能穩定、擴充性優良的專業產品。為保證師生上網體驗,建議至少使用兩條線路接入,一是起到備用作用,二是有利于師生網絡隔離。目前,學校租賃電信光纜,校內設置2866個信息點,在一些主要的空間實現了無線網絡覆蓋。學校在整個校園實現了有線為主、無線輔助的網絡全覆蓋,為信息化教學與管理奠定了堅實的基礎。
(二)公用與專用機房全滿足
按照四星級中等職業學校的基本要求,供學生使用的計算機數量不少于每臺8人;供教師使用的計算機數量不少于每2臺3人。但是,隨著課程改革的推進,數字化教學資源的廣泛應用,淮安中專校百名學生計算機為29.5臺,供教師使用的計算機數量人均1.2臺,其中在為每位教師配發一臺筆記本電腦的同時,還在名師工作室、創新工作室、研發室、重點項目工作室等工作場所為每人配備一臺臺式機。每個機房通過星型網絡拓撲結構將所有計算機連接到可堆疊交換機上,再通過光纖連接校園主干網。為方便教學,在以上網絡教室安裝多媒體教學平臺,使之成為一個既能完成計算機專業教學,又能進行多媒體輔助教學,還能開展基于Internet技術網絡活動的多媒體網絡活動室。學校每個專業都配有2―4個數量不等的專業機房,另有10個公用機房,由現代教育技術中心集中負責管理。公用與專用機房能夠全部滿足通用信息技術課程與專業課程的教學需要。
(三)教學場所多媒體化全實現
按照四星級中等職業學校要求,30%以上教室應具有多媒體教學功能。淮安中專校150個普通教室全部實現多媒體教學功能。學校還利用數字化校園建設的契機,將20個實訓室、5個大階梯教室、3個會議室、2個報告廳全部多媒體化。在會議室和實訓場所安裝超短焦投影機麗訊D791ST,電子白板天士博TS-4080L。另外還建有200座的電子閱覽室,一個錄播教室,具備全自動跟蹤功能,支持人工導播和自動導播模式,還有課程的自動錄播功能和教學網絡化、數字化的傳播功能,為精品課、網絡課建設奠定了堅實的基礎,為“兩課”評比、信息化教學大賽等提供了有力的物質與技術保障。
二、資源建設是核心
(一)全體參與
數字化資源建設涉及教學、科研、管理等各方面,特別是在教學上涉及各專業、各個學科或項目,需要調動一切力量,全體參與。一是以教研室為抓手組建團隊。淮安中專校按照專業或公共學科設立了12個教研室,統籌相同或相近的課程、項目的教學工作,更好地解決了教學中所面臨的課題、問題或難題。如2014年11月初,學校通過12個教研室完成了80件數字化教學資源建設。二是以競賽項目為抓手組建團隊。在實際競賽活動中,往往需要組建跨學科團隊,將學科教師,信息類、藝術類教師組合到一起,共同研究,共同開發。比如在學校的協調與幫助下,將數學、網站設計、軟件開發、工藝美術等四類教師組合起來,成立中職數學課程數字化資源建設項目組,通過一年的努力,建成了豐富的教學資源,其中《函數》一章獲得了2012年全國信息化教學大賽一等獎。三是以管理項目為抓手組建團隊。近年來,學校大力推行“國際化、信息化、品牌化”發展戰略,實行無紙化辦公,建立了一系列的管理平臺或系統。如OA辦公平臺、人事管理系統、財務管理系統、正方教學管理系統等。為了把軟件企業產品的共性與學校管理的個性相結合,學校組建了由企業專家+校內管理人員+校內信息技術人員組成的校企合作二次開發團隊,實現全體參與,共同完成了數字化資源建設目標。
(二)全線開發
一是自主開發。基于目前數字化教學資源原創性不足這一現狀,淮安中專校鼓勵廣大教師自主開發資源,特別是一些教學常規使用的、難度比較小的資源。以全校12個教研室為單位,結合各教研室的課程特點,內部分工協作,有計劃地開發了一些數字化教學資源。二是合作開發。對于一些難度較大的項目,采取教師設計腳本,提供比較具體的設計方案,委托合作企業進行深度開發,形成最終資源。如學校曾委托鳳凰創壹軟件江蘇有限公司,為學校教師開發《函數教學軟件》《萬用表多媒體教學軟件》等。近2年,學校數控技術應用、電子技術應用、計算機應用和物流服務與管理等4個專業先后加入教育部“資源共建共享計劃”協作組,參與建設了精品課程教學資源。這種方式適合于整套精品課程建設,實用性強,貼近教學實際、易于推廣使用。三是二次開發。對一些通用性較強的各學科教學輔導類軟件和教學資源庫,先由學校出資購買,然后結合學科或項目的教學與學校管理實際,進行必要的二次開發。如一些模擬仿真學習軟件、教務管理系統、財務管理系統等,結合學校中、高職教學與管理實際,進行必要的量身定制,通過校企共同二次開發或學校自主二次開發,更好地為我所用。
(三)全力保障
首先,以制度為統領,人、財、物保障。淮安中專校出臺了《關于加強數字化教學資源建設的有關規定》,其中不僅明確提出建設目標、保障措施、考核評價,還提出了堅持數字化教學資源建設和應用“三個掛鉤”措施:一是與每個專業系、教研室考核評比掛鉤;二是與教師職稱評審掛鉤;三是與全體教師業務考核掛鉤。其次,以大賽為統領,人、財、物保障。以各類競賽為抓手,以人、財、物保障為后盾,促進數字化資源建設。近年來,學校認真舉辦并積極參加校內外一切信息化教學競賽活動。競賽調動了教師的積極性,最終實現了數字化教學資源的快速集聚。再次是以評估為統領,人、財、物保障。近年來,示范專業、品牌專業、特色專業創建,課改實驗校、四星級評估、學校網站評比及國家改革發展示范校創建都對數字化校園的硬件與軟件,對課程改革與課程資源建設提出了一定要求。目前,學校正在深入推進信息技術的廣泛和有效運用,全面提升信息技術引領和支撐職業教育創新發展的能力。
三、應用普及是關鍵
(一)全員培訓
數字化校園建設靠人,使用靠人,管理也得靠人。因此,數字化校園建設成敗的關鍵是人的因素。只有建設一支具有現代教育理念、業務水平高、技術強的骨干教師隊伍和管理人員隊伍,全面提高學生信息化技能和素養,才能使數字化校園建設順利進行。淮安中專校成立了現代教育技術中心,負責學校信息技術工作的資源保障、師資培訓、技術研究、設備采購和教學服務工作,并按照“分層培訓、同步推進、適度超前”的多元培訓原則,以校本培訓、活動帶訓、自我培訓和外出培訓為主要途徑,以信息技術基礎能力普及培訓與數字化教學資源專項能力提升培訓為主要內容,全面提高教師和信息技術人員的數字化教學資源的開發與應用能力。
(二)全面應用
一是推動教師應用。數字化校園建設不是裝潢門面,它的價值在于充分應用,而應用的關鍵在于教師。近年來,淮安中專校大力推進數字化校園建設,促進大批中青年教師運用信息技術快速提升教學能力,涌現了一批優秀的信息技術與學科整合能力強的教師,有3名教師獲得全國信息化教學大賽一等獎。二是推動學生應用。數字化校園建設應提高學生信息化應用能力,促進學校培養更多適應現代科技信息發展的技能型人才。學校每個專業均開設了計算機應用基礎課程,每個學生均要通過計算機應用等級考試,學會查找、利用每門課程的網上教學資源。通過訪問數據分析,有85%以上學生養成應用校園網絡進行學習的良好習慣。三是推動管理應用。學校建有OA網絡智能辦公系統,實現了行政管理、教務管理、學生管理、安全監控等網絡化。學校實行無紙化辦公,盡可能地將所有教育教學與管理信息數字化,提高了學校行政管理、教學管理、學生管理和后勤管理工作效率,提高了學校在信息化條件下的管理水平和效能。
(三)全程督查
為更好地促進廣大教師、學生及管理人員提升信息化水平,學校實施全程考核督查,出臺《關于加強數字化資源建設與應用的實施辦法》。其中,明確了“三覆蓋、三促進、三否決”的規定。“三覆蓋”即數字化資源覆蓋到教、學、管三個方面。“三促進”即數字化資源應用要促進管理效能、促進教學質量、促進服務水平提升。“三否決”即不充分利用學校OA平臺、三大QQ群、微信與微博實施日常管理的部門,不得評為優秀集體;不達到建設與使用數字化教學資源者不得評為年度優秀教師;中青年教師不參加校級以上“兩課”評比、信息化教學競賽、微課競賽、課件制作競賽,不得晉升專業技術職稱。
Reflection on the Practice of Secondary Vocational Digital
Campus Construction: A Case Study
WANG Qi-you & FENG Zheng-guo & XUE Zhao-yi
(Jiangsu Huai'an Secondary Vocational School, Huai'an 223005, Jiangsu Province)
【 關鍵詞 】 局域網;信息系統;數據庫;安全
1 引言
空管信息系統基于局域網,集成了包括INDRA自動化系統、AIMS系統等生產系統和辦公自動化系統、財務管理系統、人力資源管理系統、固定資產管理系統等管理系統等多個子系統。它們承擔著空中交通管理、通信導航監視、氣象、航行情報、安全監查、飛行校驗、法規標準、人員管理、技術支持等多種重要職能。空管信息系統經過多年的運行,形成了網絡多級冗余規劃、全網集中地調度控制、分級落實安全責任管理,具有較完善的規劃、管理及運行維護體系,以及很好的運維風險意識和責任感。
這些自動化系統都需要建立在物理網絡、操作系統、數據庫系統、中間件等信息技術基礎平臺上,空管信息系統網絡規模龐大,運營商傳輸線路不是完全信任,操作系統、數據庫平臺具有安全漏洞,針對各類信息平臺的黑客技術和工具成為了空管信息系統的實際威脅。如果空管核心信息服務被中斷,將會影響民航機場、航空公司等無法正常運營,如果發生重要信息篡改,將會引發更加嚴重的后果,在此環境下的信息系統安全問題一直被廣泛關注。因此,對基于局域網的空管信息系統安全策略的系統研究是非常重要的。
實時安全分析能幫助我們獲得對系統的整體的安全信息,了解系統整體的安全狀況。當前,對系統安全監測進行實時性安全分析的主要困難在于缺少一套完整有效的安全策略。
2 基于局域網的空管信息系統存在的風險隱患
2.1 網絡層對系統安全的影響
每一個通信協議層有自身的安全問題。對于基于局域網的空管信息系統,應用層、傳輸層和網絡層是同系統安全相關的三個主要協議層。對這幾個協議層的威脅包括Forgery/Fraud、拒絕服務攻擊(DOS)、Information- stealing等。
2.2 操作系統對系統安全的影響
空管信息系統AIX等服務器平臺已經有了一個非常高的標準。但是,由于實際應用中對安全策略的不合理配置、用戶許可、密碼設置、系統漏洞或其他因素使得系統平臺安全問題越來越明顯。如果系統平臺的安全問題不做深入研究或安全策略設置不當,該平臺將使空管信息系統陷入非常危險的處境。
2.3 數據庫對系統安全的影響
安全配置信息系統時,除了系統服務器平臺等基礎安全配置以外,還需要重點關注數據庫的安全配置。實際上,黑客的主要攻擊對象往往針對數據庫。空管信息系統的Oracle等數據庫功能強大,并且通過了美國C2安全認證,實際應用也有不少安全問題,主要體現在數據超限、對端口和客戶端的攻擊、密碼破解、數據文件的破壞和失竊、不當的備份策略等。
3 安全配置策略的應用
3.1 局域網核心信任區的設置
如圖1所示,空管信息系統數據庫服務器應作為網絡安全防護的重要部分,將應用服務器同數據庫服務器設置在同一個信任區,并將管理客戶端同樣設置在核心區。核心信任區是指空管信息系統局域網中核心區充分信任部分,防火墻以外部分是不能被充分信任的訪問客戶端。通過設置防火墻、路由器包過濾和服務器平臺設置安全策略,限制防火墻以外區域客戶端對數據庫服務器的直接訪問,做到安全可控。
避免核心區域IP地址對外可見的辦法是網絡地址轉換(NAT,Network Address Transforming)。同時,將每一臺服務器或管理客戶端IP地址及網卡MAC地址同接入交換機端口綁定,便于網絡管理,避免IP地址沖突。此外,不是內網網段的每一臺管理終端都需要訪問數據庫服務器,對不需要訪問數據庫服務器的終端需做禁止訪問設置。如在網絡層使用系統防火墻策略禁止不相關終端的連接請求;在應用層設置可信任IP地址表,當收到某個終端連接請求時,首先用終端IP地址同IP地址表比較,如果終端IP地址在IP地址表中,則允許訪問,否則拒絕訪問。對于每臺管理終端,限制接入服務器的端口滿足最小服務要求。
系統數據庫通常主要提供數據訪問服務,只需要開啟數據訪問和遠程接入的端口,其它端口用防火墻安全策略關閉。還需要關閉數據庫不需要提供的的服務如文件共享、FTP或Telnet等,防止外界利用服務器漏洞或端口進行攻擊。
為了便于管理數據庫或服務器,可以開啟操作系統和數據庫的遠程訪問端口,但是要對遠程端口的信任域做嚴格限定。用數據庫服務器上未使用端口代替默認端口,避免開放端口被攻擊利用。
3.2 權限分配和用戶身份驗證
系統數據庫用戶分為幾類,分別賦予不同權限,數據庫訪問用戶能夠驗證應用服務器同數據庫服務器的連接狀態,沒有數據庫管理權限,數據庫管理用戶除了具有數據庫訪問權限以外,還可以對數據庫進行深入管理。
用戶身份驗證除了系統登錄身份驗證外,還有第二步關鍵數據模塊驗證,比如結果輸入模塊是拒絕用戶跳出特定接口操作,保護數據不被篡改;密碼驗證模塊就是在用戶端使用加密程序對用戶輸入的密碼進行加密,加密密碼通過網絡送給服務器端,再使用對應的解密程序將密碼解密后存儲在數據庫中。這樣不僅降低了密碼被截獲的可能,同時也降低了被破解的可能。如圖2所示。
3.3 傳輸加密設置
TCP/IP協議通信通常用戶名和密碼通過明文傳輸,如果不加密,數據包會有被網絡嗅探器截獲的威脅,可以使用SSL協議實現從用戶到服務器之間傳輸數據的加密/解密。
4 數據庫安全性設置
4.1 啟動審計功能
數據庫審計方法有標準審計和精細化審計(FGA,Fine-grained auditing)。標準審計主要是校驗語句審計、權限審計、對象審計和用戶審計。精細化審計是一種更嚴格的賦值審計標準,可以實現對每一條數據庫操作的審計。通過測試表明,使用FGA審計對服務器運行性能的降低影響基本感覺不到。
4.2 告警系統
告警系統主要實現檢測非法活動和性能測試。當一個告警發生時,告警信息會通過網絡送給系統管理員,管理員通過命令記錄非法活動并向非法活動源發送警告信息,還可以利用該功能檢測數據庫超限或非法訪問事件。性能測試提供了許多計數統計功能如內存管理、SQL統計等,能夠為告警提供數據庫文件大小、登錄次數等數據參數。
5 備份策略和災難恢復
除了以上安全策略,還有一個很重要的方法,那就是做好數據備份工作,實現在災難發生時,能在最短的時間內恢復數據,不影響工作的正常開展。
設置合適的備份周期,使用數據庫維護計劃自動實現數據庫雙機熱備。數據庫備份周期有很多種。通常,全庫備份每周一次,包括本地備份和遠程備份。日志備份是每4小時一次。但在實際中備份策略要根據信息系統的實際情況具體考慮。有了定時備份策略,當重要數據丟失時,數據庫就能方便的將最近一次備份的數據恢復出來,維持工作正常開展。
6 結束語
基于局域網的空管信息系統的安全策略顯得非常重要,因為系統的安全性直接影響到系統本身的質量和可持續性。這里將系統區域劃分、用戶身份驗證、SSL連接安全、FGA審計、告警設置、數據備份恢復等方法引入空管信息系統。通過這些方法的綜合應用,實現系統管理員動態監控空管信息系統、記錄安全事件以及查找安全漏洞,進一步提高空管信息系統的安全性和管理水平。
參考文獻
[1] Papadopoulos Y. Mcdermid J. Automated safety monitoring: A review and classification of methods[J].International Journal of Condition Monitoring and Diagnostic Engineering Management,2001,(4):1-32.
[2] Karl N F. Markov models for evaluating risk-in-formed in service inspection strategies for nuclear power plant piping systems[J].Reliability Engineering and System Safety,2004,(83):27-45.
[3] Andrews C , Litchfield D. ORACLE 11g Security [M]. Beijing: Tsinghua University Press, 2004.
[4] 劉碩,羅喜伶等. 空管信息系統身份管理與訪問控制架構設計. 民航科技,2010.1:P52-57.
[5] 劉曄,馬士新等. 空管信息系統綜合集成探討.現代電子工程, 2007.3:P5-8.
[6] 王希忠,曲家興,黃俊強等.網絡數據庫安全檢測與管理程序設計實現[J].信息網絡安全,2012,(02):14-18.
[7] 范光遠,辛陽.防火墻審計方案的分析與設計[J].信息網絡安全,2012,(03):81-84.
[8] 張明德,鄭雪峰,蔡翌.應用安全模型研究[J].信息網絡安全,2012,(08):121-125.
