时间:2023-07-07 17:23:53
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇财务管理系统服务保障,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
(一)基础设施建设1.服务器和存储系统
按照相关的应用配置了7台服务器,供信息管理系统、网络版杀毒软件、网站和数据备份等使用,尽量避免多个应用占用一台服务器,以确保系统的不间断运行。
2.交换机
根据实际使用需要,配备了1台核心交换机,严格划分vlan,分割出办公网络、财务安全网络和服务器隔离区,5台汇聚交换机构成公司信息化基础网络。
3.网络及系统安全
网络出口配备了带路由功能并集成上网行为管理软件的硬件防火墙,对防火墙配置安全策略,启用了IPS阻断不必要的端口和服务,并对上网行为进行了有效的管理,为防止计算机病毒对系统的影响,服务器安装了防病毒软件,客户端亦安装了防病毒软件,并及时更新病毒码。
4.网络建设
公司于2008年12月将网络出口线路升级为光纤10M,2011年又增加了一条与集团连接、用于数据交换的SDH数据专线,保证了信息传输的安全性和机密性。
5.其它建设
机房配备了4组UPS,用于保护核心设备,并解决在突然断电情况下的应急处理,机房中设置了恒温设备和防火设备,以保证核心设备的安全。
2009年4月,我公司终止使用于2006年开发使用的老网站,全面改版为新网站,并使用至今。
(二)制度保障体系建设信息化保障制度和系统管理制度是通过公司规章的形式,以保障信息系统稳定、有效运行。
公司的信息化制度保障体系建设包括信息化保障制度和系统管理制度,信息化保障制度主要包括组织机构设置、资金使用预算、中心机房管理制度、网络管理制度、计算机设备管理制度、信息安全管理制度、软件管理制度、信息系统应用考核办法、信息化技术资料管理制度等,系统管理制度主要包括公文管理办法、人力资源管理信息化办法、财务管理信息化办法、综合项目管理办法、档案管理办法等。
(三)安全保障体系建设随着信息化建设的不断深入,信息系统中将会有越来越多的企业重要数据和敏感信息,因此,公司把信息系统的安全保障放到了一个很重要的位置。安全保障主要从信息系统的全方位进行考虑,采取有效措施进行防范,启用内部系统入侵检测(IDS)和入侵防御(IPS),设置防火墙策略,有效控制系统服务和端口的访问规则。
做好设备相关记录的保存工作,硬件方案文档、设备配置文档、核心设备的系统日志定期妥为保管,视同机密。
通过集团SDH专线信道加密来进行数据传输,防止数据被窃取或篡改等,确保公司管理信息系统的信息安全。
备份工作在信息化应用过程中是不可缺少的安全保障环节,是对信息系统的可恢复性提供的保障。公司指定专人执行,定期完全备份和实时差异备份;制定相关的信息系统备份管理规则,并定期检查和考核备份工作的执行情况。
防止病毒的侵害,检测和清除已经入侵的病毒,是保证所有系统正常运行的重要措施之一。在管理上制定行之有效的制度,提高操作人员防范计算机病毒的知识和意识;在信息系统中部署防病毒软件,以提供对病毒的检测、清除和防御能力。
(四)资金保障按信息化建设资金预算,近两年公司已先后投入了550多万元资金对原有的网络和硬件等基础设施进行改造和升级,同时引进国内知名的软件供应集成商进行合作,对系统重新进行了全面的优化设计。在今后的信息化建设中,公司将确保信息化建设资金的保障和持续投入。
(五)信息系统建设在集团公司的指导帮助下,公司与软件供应集成商通力合作,以满足公司现行管控模式、适应公司未来发展为前提,对系统重新进行了全面的优化设计,按照“以需求为导向、以流程为线索、以业务为中心、以数据标准化为重点、以效益为驱动力”的指导思想,按照“统一规划、重点突破、分步实施”的原则,建立了满足公司现行管控模式并适应公司未来发展的,集协同办公系统、人力资源管理系统、综合项目管理系统、档案管理系统、NC财务管理系统为一体的信息化管理系统平台。
1. OA办公自动化系统
OA办公自动化系统目前我公司已经实现了日常的协同工作,公文收发、业务表单审批、公共新闻以及知识管理等功能,公司企业邮箱也与OA办公自动化系统集成。
2. 人力资源系统
人力资源系统目前我公司已经实现了组织机构管理、人员档案管理、劳动合同管理、薪酬福利管理、招聘培训管理以及绩效管理等功能,并且能够为OA系统、人力资源系统、财务管理系统提供人员引用。
3. 财务管理系统
财务管理系统目前我公司已经实现总账管理、现金管理、固定资产管理、会计报表统计以及财务分析等功能,公司对每个在建项目均建立有独立的帐套进行核算,实行一个项目一套帐。
4. 综合项目管理系统
综合项目管理系统目前我公司已经实现了从招投标、合同签订一直到竣工验收的全过程管理,目前公司60个3000万合同金额的在建项目正式上线,取得了一定的成果,比如资料文件,业务单据能够可靠保存,随时备查;进度执行情况报表、承建合同情况报表、合同明细台账、物资收发存汇总表、分包结算台账、设备租赁费用台账、质量隐患一览表、安全隐患一览表、创优情况一览表、安全事故一览表等统计报表能够自动生成,减少工作量,增加准确度;收入支出、成本盈亏情况能够自动分析;集团客商、存货、成本科目等定义和管理全部一体化;
5. 档案管理系统
档案管理系统目前我公司实现了在建项目竣工资料的过程收集(预归档),OA公文文书归档、竣工项目资料归档等功能。
二、存在问题
按照集团公司和用友公司对信息化建设做出的总体规划,云南建设总承包公司在近1年的实施过程中有以下几个应用上的问题需要用友公司配合解决和优化,情况如下:
1、NC系统收入管理模块的清单分析表中的预算清单不能够按结构码排序,大大增加了预算员信息录入和复查难度,应待NC 5.7版本解决。
2、NC系统进度管理模块存在当月实际进度不能统计下一月提前完成的工作项的问题,也应待NC 5.7版本解决。
3、NC系统物资管理模块存在项目出入库不能参照物资采购合同签订的物资清单的问题,这使物资采购合同不在物资管理业务流之中得到体现,信息相对孤立,不能查询合同的执行和结算情况,这是系统功能设计上的一大不足。
4、NC系统供应链模块存在入库单和出库单不能联查的问题,即不能通过入库单查询出库单,或者通过出库单查询入库单,只能通过批次号或人工查询,无法及时准确地定位跟踪到某种物资的出入库情况。
5、NC系统物资管理模块存在周转材料租赁过程中租金价格改变后,在租金结算的时候仍然按照原租金结算的问题,目前解决的办法只有让租金改变的周转材料先退场,然后重新进场,结算出的金额才正确。这是系统功能的缺陷,希望尽快得到解决。
6、NC系统成本管理模块的成本盈亏分析表,即三算对比表,仅能反应合同产值和实际成本的对比分析,不能反应目标成本与二者的对比分析,希望用友公司能够在报表当中加入分析字段。
7、NC系统风险管理模块对于成本风险预警,有且仅有目标成本的风险预警,意义不大,不能满足我公司要求,希望能够增加预算收入和实际成本的预警机制。
8、目前NC系统很多关键功能节点,如预算书导入、目标成本调整、分包变更审批单、实际进度维护、进度计划修订、合同修订等,均未设立弃审和修改功能,只能通知用友软件工程师到数据库后台删除数据,这给业务操作人员修正和补充信息带来很大麻烦,应由NC 5.7版本解决。
三、信息化应用的效果及综合收益
1、提高了数据采集的及时性和准确性。
随着信息化建设的推进,按系统操作的要求,项目管理的各类初始数据在各种业务实施时就要及时进行采集和录入,对数据源的真实性和及时性能可靠保证,通过对数据的分析和归集,为项目级和企业级的决策与风险控制提供了依据。
2、进一步提高了各项管理工作的规范性与合规性。
借助信息化建设,通过对主要基础管理表单的统一设定,不同核算体系的分类对接,归集方法和标准的确定,各核心业务流程的梳理和再造等环节管理,流程管理和标准化管理得到了固化,避免了过去业务管理的随意性,各项管理工作的规范性和合规性有了很大的提高,有利于公司考核评价体系的进一步完善。
3、企业的标准化管理体系得到进一步推进,成本管理和财务管理的能力有了显著提高,项目的过程控制得到加强。
在信息化建设过程中,公司统一了物资材料编码、机械设备编码、客商编码、成本科目、费用拆分项、收发类别等,企业标准管理体系得到进一步完善,通过基础单据的录入,成本能够自动归集、分摊、摊销,使公司具备在对项目的成本管控过程中,能及时对项目进行分阶段、分节点的成本核算和成本过程分析。同时,成本管理有了评价基准,对同类项目的评价有了可对比性。成本管理和效益得到了提升。
综合项目管理模块所提供的项目收入、付款、成本结算数据可自动传到财务模块的会计平台,公司和集团均能够及时准确地提取各种报表数据,对合并及汇总报表的处理,系统可以直接进行汇总、合并,快捷构建报表汇总体系。统一的客商编码规则、客商名称规则为保持客商的唯一性奠定了基础,有利于业务结算、财务对账及支付业务的顺利进行。
4、传统项目管理向“精细化”管理迈进的基础得到了进一步夯实。
公司的信息化建设,明显加快了推进公司各项基础管理的进程,公司在流程梳理、再造,标准化体系的完善,业务与财务核算的对接等诸多方面有了实质性的进展。综合项目管理、OA、HR、财务模块实现了数据共享,各个相匹配的管理流程和各类制度得以完善,绩效考核体系有了检查对比的基本量化标准,项目“精细化”管理水平不断得到提高。
5、数据资源初步实现共享,数据保存的可靠性和安全性得到提高和保障,查询检索更加便捷,工作效率明显提高。
项目管理所涉及到的人、材、机、专业分包、收入、支付等各类信息及数据在系统中都有实时和直观的反映,数据之间通过系统自动的生成及合并功能,实现了彼此关联和可对比分析,提高了数据资源的利用率,综合项目管理、OA、HR、财务模块实现数据共享。
公司使用集团公司建立的SDH网络专线,避免信息系统的数据在传输过程中被窃取和篡改;在信息系统服务器上安装防病毒软件保证操作系统和软件系统的正常运行;对于在服务器数据库存储的数据,使用专业备份软件进行实时的增量备份和定时的完全备份,在发生系统故障和数据丢失时能够及时有效地进行数据恢复。
6、建立了公司及集团“大审计”工作的有力支撑平台。
借助信息化管理平台,公司及集团对各职能部门和项目部的工作效能、管理规范性、成本控制能力、质量安全管控水平、项目各类经济指标评价等综合“大审计”工作有了全面的支撑,有力地监督和促进了各项管理工作的改进和提升。
7、企业形象和综合竞争力得到提高。
在竞争日益激烈的市场经济环境下,企业的生存与发展依靠的是企业管理的创新。信息化建设的全面开展标志着公司的管理实现了真正意义上的由“粗放分散型”向“精细集约型”的根本性转变,公司在市场中的企业形象和综合竞争力也有了进一步的提高。
8、推进了企业人才队伍建设及各级管理人员业务素质的提高。
在一个知识化、信息化的时代,企业的发展离不开人才队伍的建设,公司推行信息化建设,实质上是促进管理人员业务素质的提高。各级管理人员特别是项目管理层管理人员通过信息化管理要求,对日常管理工作的职责是日清月结,数据的实时采集和输送能保证其及时性和真实性。通过对系统的逐渐熟悉以及对操作的日臻熟练,人员的综合素质也会有较大程度的提高。
9、随着信息化建设的不断推进与深入,不仅项目管理水平有了可喜的提升,公司的盈利能力也有了明显的提高。
关键词:中职;数字化校园;建设;实践
中图分类号:G718 文献标志码:A 文章编号:1673-9094-C-(2015)01-0038-03
江苏省淮安中等专业学校(以下简称淮安中专校)以数字化校园建设为重点,在基础设施、资源建设、推广应用等方面进行了积极实践。
一、基础设施是前提
(一)校园有线与无线网络全覆盖
数字化校园建设的重要标志之一是网络全覆盖。淮安中专校建有有线为主、无线辅助的校园网。第一,网络主干。基于当前信息技术发展形势及经济实用可持续发展原则,学校构建网络主干是1000m,确保校内师生应用空间、视频点播、电子阅览、资源共享、虚拟桌面等,有条件的可将部分重要应用做成10000m。根据实际工作站信息点到网络中心的距离,选择适当的传输媒介进行网络综合布线。一般而言,同一幢大楼内如果距离100米均可铺设超五类非屏蔽双绞线,改成楼宇之间的连接应架设光缆,以满足今后发展的需要。第二, 网络中心。也就是校园网中心机房,必须配置有各种系统服务器、文件服务器、中心交换机、配线机柜等。如刚使用时数据流量不大,可只配置一台高性能的服务器,视今后网络发展情况再作扩充。为保证网络运行稳定可靠,网络中心的设备应选择信誉可靠、质量上等、性能稳定、扩充性优良的专业产品。为保证师生上网体验,建议至少使用两条线路接入,一是起到备用作用,二是有利于师生网络隔离。目前,学校租赁电信光缆,校内设置2866个信息点,在一些主要的空间实现了无线网络覆盖。学校在整个校园实现了有线为主、无线辅助的网络全覆盖,为信息化教学与管理奠定了坚实的基础。
(二)公用与专用机房全满足
按照四星级中等职业学校的基本要求,供学生使用的计算机数量不少于每台8人;供教师使用的计算机数量不少于每2台3人。但是,随着课程改革的推进,数字化教学资源的广泛应用,淮安中专校百名学生计算机为29.5台,供教师使用的计算机数量人均1.2台,其中在为每位教师配发一台笔记本电脑的同时,还在名师工作室、创新工作室、研发室、重点项目工作室等工作场所为每人配备一台台式机。每个机房通过星型网络拓扑结构将所有计算机连接到可堆叠交换机上,再通过光纤连接校园主干网。为方便教学,在以上网络教室安装多媒体教学平台,使之成为一个既能完成计算机专业教学,又能进行多媒体辅助教学,还能开展基于Internet技术网络活动的多媒体网络活动室。学校每个专业都配有2―4个数量不等的专业机房,另有10个公用机房,由现代教育技术中心集中负责管理。公用与专用机房能够全部满足通用信息技术课程与专业课程的教学需要。
(三)教学场所多媒体化全实现
按照四星级中等职业学校要求,30%以上教室应具有多媒体教学功能。淮安中专校150个普通教室全部实现多媒体教学功能。学校还利用数字化校园建设的契机,将20个实训室、5个大阶梯教室、3个会议室、2个报告厅全部多媒体化。在会议室和实训场所安装超短焦投影机丽讯D791ST,电子白板天士博TS-4080L。另外还建有200座的电子阅览室,一个录播教室,具备全自动跟踪功能,支持人工导播和自动导播模式,还有课程的自动录播功能和教学网络化、数字化的传播功能,为精品课、网络课建设奠定了坚实的基础,为“两课”评比、信息化教学大赛等提供了有力的物质与技术保障。
二、资源建设是核心
(一)全体参与
数字化资源建设涉及教学、科研、管理等各方面,特别是在教学上涉及各专业、各个学科或项目,需要调动一切力量,全体参与。一是以教研室为抓手组建团队。淮安中专校按照专业或公共学科设立了12个教研室,统筹相同或相近的课程、项目的教学工作,更好地解决了教学中所面临的课题、问题或难题。如2014年11月初,学校通过12个教研室完成了80件数字化教学资源建设。二是以竞赛项目为抓手组建团队。在实际竞赛活动中,往往需要组建跨学科团队,将学科教师,信息类、艺术类教师组合到一起,共同研究,共同开发。比如在学校的协调与帮助下,将数学、网站设计、软件开发、工艺美术等四类教师组合起来,成立中职数学课程数字化资源建设项目组,通过一年的努力,建成了丰富的教学资源,其中《函数》一章获得了2012年全国信息化教学大赛一等奖。三是以管理项目为抓手组建团队。近年来,学校大力推行“国际化、信息化、品牌化”发展战略,实行无纸化办公,建立了一系列的管理平台或系统。如OA办公平台、人事管理系统、财务管理系统、正方教学管理系统等。为了把软件企业产品的共性与学校管理的个性相结合,学校组建了由企业专家+校内管理人员+校内信息技术人员组成的校企合作二次开发团队,实现全体参与,共同完成了数字化资源建设目标。
(二)全线开发
一是自主开发。基于目前数字化教学资源原创性不足这一现状,淮安中专校鼓励广大教师自主开发资源,特别是一些教学常规使用的、难度比较小的资源。以全校12个教研室为单位,结合各教研室的课程特点,内部分工协作,有计划地开发了一些数字化教学资源。二是合作开发。对于一些难度较大的项目,采取教师设计脚本,提供比较具体的设计方案,委托合作企业进行深度开发,形成最终资源。如学校曾委托凤凰创壹软件江苏有限公司,为学校教师开发《函数教学软件》《万用表多媒体教学软件》等。近2年,学校数控技术应用、电子技术应用、计算机应用和物流服务与管理等4个专业先后加入教育部“资源共建共享计划”协作组,参与建设了精品课程教学资源。这种方式适合于整套精品课程建设,实用性强,贴近教学实际、易于推广使用。三是二次开发。对一些通用性较强的各学科教学辅导类软件和教学资源库,先由学校出资购买,然后结合学科或项目的教学与学校管理实际,进行必要的二次开发。如一些模拟仿真学习软件、教务管理系统、财务管理系统等,结合学校中、高职教学与管理实际,进行必要的量身定制,通过校企共同二次开发或学校自主二次开发,更好地为我所用。
(三)全力保障
首先,以制度为统领,人、财、物保障。淮安中专校出台了《关于加强数字化教学资源建设的有关规定》,其中不仅明确提出建设目标、保障措施、考核评价,还提出了坚持数字化教学资源建设和应用“三个挂钩”措施:一是与每个专业系、教研室考核评比挂钩;二是与教师职称评审挂钩;三是与全体教师业务考核挂钩。其次,以大赛为统领,人、财、物保障。以各类竞赛为抓手,以人、财、物保障为后盾,促进数字化资源建设。近年来,学校认真举办并积极参加校内外一切信息化教学竞赛活动。竞赛调动了教师的积极性,最终实现了数字化教学资源的快速集聚。再次是以评估为统领,人、财、物保障。近年来,示范专业、品牌专业、特色专业创建,课改实验校、四星级评估、学校网站评比及国家改革发展示范校创建都对数字化校园的硬件与软件,对课程改革与课程资源建设提出了一定要求。目前,学校正在深入推进信息技术的广泛和有效运用,全面提升信息技术引领和支撑职业教育创新发展的能力。
三、应用普及是关键
(一)全员培训
数字化校园建设靠人,使用靠人,管理也得靠人。因此,数字化校园建设成败的关键是人的因素。只有建设一支具有现代教育理念、业务水平高、技术强的骨干教师队伍和管理人员队伍,全面提高学生信息化技能和素养,才能使数字化校园建设顺利进行。淮安中专校成立了现代教育技术中心,负责学校信息技术工作的资源保障、师资培训、技术研究、设备采购和教学服务工作,并按照“分层培训、同步推进、适度超前”的多元培训原则,以校本培训、活动带训、自我培训和外出培训为主要途径,以信息技术基础能力普及培训与数字化教学资源专项能力提升培训为主要内容,全面提高教师和信息技术人员的数字化教学资源的开发与应用能力。
(二)全面应用
一是推动教师应用。数字化校园建设不是装潢门面,它的价值在于充分应用,而应用的关键在于教师。近年来,淮安中专校大力推进数字化校园建设,促进大批中青年教师运用信息技术快速提升教学能力,涌现了一批优秀的信息技术与学科整合能力强的教师,有3名教师获得全国信息化教学大赛一等奖。二是推动学生应用。数字化校园建设应提高学生信息化应用能力,促进学校培养更多适应现代科技信息发展的技能型人才。学校每个专业均开设了计算机应用基础课程,每个学生均要通过计算机应用等级考试,学会查找、利用每门课程的网上教学资源。通过访问数据分析,有85%以上学生养成应用校园网络进行学习的良好习惯。三是推动管理应用。学校建有OA网络智能办公系统,实现了行政管理、教务管理、学生管理、安全监控等网络化。学校实行无纸化办公,尽可能地将所有教育教学与管理信息数字化,提高了学校行政管理、教学管理、学生管理和后勤管理工作效率,提高了学校在信息化条件下的管理水平和效能。
(三)全程督查
为更好地促进广大教师、学生及管理人员提升信息化水平,学校实施全程考核督查,出台《关于加强数字化资源建设与应用的实施办法》。其中,明确了“三覆盖、三促进、三否决”的规定。“三覆盖”即数字化资源覆盖到教、学、管三个方面。“三促进”即数字化资源应用要促进管理效能、促进教学质量、促进服务水平提升。“三否决”即不充分利用学校OA平台、三大QQ群、微信与微博实施日常管理的部门,不得评为优秀集体;不达到建设与使用数字化教学资源者不得评为年度优秀教师;中青年教师不参加校级以上“两课”评比、信息化教学竞赛、微课竞赛、课件制作竞赛,不得晋升专业技术职称。
Reflection on the Practice of Secondary Vocational Digital
Campus Construction: A Case Study
WANG Qi-you & FENG Zheng-guo & XUE Zhao-yi
(Jiangsu Huai'an Secondary Vocational School, Huai'an 223005, Jiangsu Province)
【 关键词 】 局域网;信息系统;数据库;安全
1 引言
空管信息系统基于局域网,集成了包括INDRA自动化系统、AIMS系统等生产系统和办公自动化系统、财务管理系统、人力资源管理系统、固定资产管理系统等管理系统等多个子系统。它们承担着空中交通管理、通信导航监视、气象、航行情报、安全监查、飞行校验、法规标准、人员管理、技术支持等多种重要职能。空管信息系统经过多年的运行,形成了网络多级冗余规划、全网集中地调度控制、分级落实安全责任管理,具有较完善的规划、管理及运行维护体系,以及很好的运维风险意识和责任感。
这些自动化系统都需要建立在物理网络、操作系统、数据库系统、中间件等信息技术基础平台上,空管信息系统网络规模庞大,运营商传输线路不是完全信任,操作系统、数据库平台具有安全漏洞,针对各类信息平台的黑客技术和工具成为了空管信息系统的实际威胁。如果空管核心信息服务被中断,将会影响民航机场、航空公司等无法正常运营,如果发生重要信息篡改,将会引发更加严重的后果,在此环境下的信息系统安全问题一直被广泛关注。因此,对基于局域网的空管信息系统安全策略的系统研究是非常重要的。
实时安全分析能帮助我们获得对系统的整体的安全信息,了解系统整体的安全状况。当前,对系统安全监测进行实时性安全分析的主要困难在于缺少一套完整有效的安全策略。
2 基于局域网的空管信息系统存在的风险隐患
2.1 网络层对系统安全的影响
每一个通信协议层有自身的安全问题。对于基于局域网的空管信息系统,应用层、传输层和网络层是同系统安全相关的三个主要协议层。对这几个协议层的威胁包括Forgery/Fraud、拒绝服务攻击(DOS)、Information- stealing等。
2.2 操作系统对系统安全的影响
空管信息系统AIX等服务器平台已经有了一个非常高的标准。但是,由于实际应用中对安全策略的不合理配置、用户许可、密码设置、系统漏洞或其他因素使得系统平台安全问题越来越明显。如果系统平台的安全问题不做深入研究或安全策略设置不当,该平台将使空管信息系统陷入非常危险的处境。
2.3 数据库对系统安全的影响
安全配置信息系统时,除了系统服务器平台等基础安全配置以外,还需要重点关注数据库的安全配置。实际上,黑客的主要攻击对象往往针对数据库。空管信息系统的Oracle等数据库功能强大,并且通过了美国C2安全认证,实际应用也有不少安全问题,主要体现在数据超限、对端口和客户端的攻击、密码破解、数据文件的破坏和失窃、不当的备份策略等。
3 安全配置策略的应用
3.1 局域网核心信任区的设置
如图1所示,空管信息系统数据库服务器应作为网络安全防护的重要部分,将应用服务器同数据库服务器设置在同一个信任区,并将管理客户端同样设置在核心区。核心信任区是指空管信息系统局域网中核心区充分信任部分,防火墙以外部分是不能被充分信任的访问客户端。通过设置防火墙、路由器包过滤和服务器平台设置安全策略,限制防火墙以外区域客户端对数据库服务器的直接访问,做到安全可控。
避免核心区域IP地址对外可见的办法是网络地址转换(NAT,Network Address Transforming)。同时,将每一台服务器或管理客户端IP地址及网卡MAC地址同接入交换机端口绑定,便于网络管理,避免IP地址冲突。此外,不是内网网段的每一台管理终端都需要访问数据库服务器,对不需要访问数据库服务器的终端需做禁止访问设置。如在网络层使用系统防火墙策略禁止不相关终端的连接请求;在应用层设置可信任IP地址表,当收到某个终端连接请求时,首先用终端IP地址同IP地址表比较,如果终端IP地址在IP地址表中,则允许访问,否则拒绝访问。对于每台管理终端,限制接入服务器的端口满足最小服务要求。
系统数据库通常主要提供数据访问服务,只需要开启数据访问和远程接入的端口,其它端口用防火墙安全策略关闭。还需要关闭数据库不需要提供的的服务如文件共享、FTP或Telnet等,防止外界利用服务器漏洞或端口进行攻击。
为了便于管理数据库或服务器,可以开启操作系统和数据库的远程访问端口,但是要对远程端口的信任域做严格限定。用数据库服务器上未使用端口代替默认端口,避免开放端口被攻击利用。
3.2 权限分配和用户身份验证
系统数据库用户分为几类,分别赋予不同权限,数据库访问用户能够验证应用服务器同数据库服务器的连接状态,没有数据库管理权限,数据库管理用户除了具有数据库访问权限以外,还可以对数据库进行深入管理。
用户身份验证除了系统登录身份验证外,还有第二步关键数据模块验证,比如结果输入模块是拒绝用户跳出特定接口操作,保护数据不被篡改;密码验证模块就是在用户端使用加密程序对用户输入的密码进行加密,加密密码通过网络送给服务器端,再使用对应的解密程序将密码解密后存储在数据库中。这样不仅降低了密码被截获的可能,同时也降低了被破解的可能。如图2所示。
3.3 传输加密设置
TCP/IP协议通信通常用户名和密码通过明文传输,如果不加密,数据包会有被网络嗅探器截获的威胁,可以使用SSL协议实现从用户到服务器之间传输数据的加密/解密。
4 数据库安全性设置
4.1 启动审计功能
数据库审计方法有标准审计和精细化审计(FGA,Fine-grained auditing)。标准审计主要是校验语句审计、权限审计、对象审计和用户审计。精细化审计是一种更严格的赋值审计标准,可以实现对每一条数据库操作的审计。通过测试表明,使用FGA审计对服务器运行性能的降低影响基本感觉不到。
4.2 告警系统
告警系统主要实现检测非法活动和性能测试。当一个告警发生时,告警信息会通过网络送给系统管理员,管理员通过命令记录非法活动并向非法活动源发送警告信息,还可以利用该功能检测数据库超限或非法访问事件。性能测试提供了许多计数统计功能如内存管理、SQL统计等,能够为告警提供数据库文件大小、登录次数等数据参数。
5 备份策略和灾难恢复
除了以上安全策略,还有一个很重要的方法,那就是做好数据备份工作,实现在灾难发生时,能在最短的时间内恢复数据,不影响工作的正常开展。
设置合适的备份周期,使用数据库维护计划自动实现数据库双机热备。数据库备份周期有很多种。通常,全库备份每周一次,包括本地备份和远程备份。日志备份是每4小时一次。但在实际中备份策略要根据信息系统的实际情况具体考虑。有了定时备份策略,当重要数据丢失时,数据库就能方便的将最近一次备份的数据恢复出来,维持工作正常开展。
6 结束语
基于局域网的空管信息系统的安全策略显得非常重要,因为系统的安全性直接影响到系统本身的质量和可持续性。这里将系统区域划分、用户身份验证、SSL连接安全、FGA审计、告警设置、数据备份恢复等方法引入空管信息系统。通过这些方法的综合应用,实现系统管理员动态监控空管信息系统、记录安全事件以及查找安全漏洞,进一步提高空管信息系统的安全性和管理水平。
参考文献
[1] Papadopoulos Y. Mcdermid J. Automated safety monitoring: A review and classification of methods[J].International Journal of Condition Monitoring and Diagnostic Engineering Management,2001,(4):1-32.
[2] Karl N F. Markov models for evaluating risk-in-formed in service inspection strategies for nuclear power plant piping systems[J].Reliability Engineering and System Safety,2004,(83):27-45.
[3] Andrews C , Litchfield D. ORACLE 11g Security [M]. Beijing: Tsinghua University Press, 2004.
[4] 刘硕,罗喜伶等. 空管信息系统身份管理与访问控制架构设计. 民航科技,2010.1:P52-57.
[5] 刘晔,马士新等. 空管信息系统综合集成探讨.现代电子工程, 2007.3:P5-8.
[6] 王希忠,曲家兴,黄俊强等.网络数据库安全检测与管理程序设计实现[J].信息网络安全,2012,(02):14-18.
[7] 范光远,辛阳.防火墙审计方案的分析与设计[J].信息网络安全,2012,(03):81-84.
[8] 张明德,郑雪峰,蔡翌.应用安全模型研究[J].信息网络安全,2012,(08):121-125.
