“放管服”改革和“互聯(lián)網(wǎng)+”背景下高校財務(wù)網(wǎng)絡(luò)安全問題的思考

李宇 賈巧盼 郭欣 李夢茜

[摘 要]2018年8月，國務(wù)院印發(fā)了《全國深化“放管服”改革轉(zhuǎn)變政府職能電視電話會議重點任務(wù)分工方案》。隨著高校財務(wù)系統(tǒng)“放管服”政策改革，互聯(lián)網(wǎng)的開放性和安全漏洞帶來的風(fēng)險無處不在。本文旨在深化改革后，探索高校財務(wù)管理網(wǎng)絡(luò)進行高安全性和便捷性的網(wǎng)絡(luò)架構(gòu)，以實現(xiàn)兼顧“放管服”目標(biāo)且滿足高可用、高收斂、信息可追溯的財務(wù)網(wǎng)絡(luò)安全架構(gòu)。

[關(guān)鍵詞]放管服;高可用;高收斂;信息可追溯

doi：10.3969/j.issn.1673 - 0194.2019.20.024

[中圖分類號]G644;G647.5[文獻標(biāo)識碼]A[文章編號]1673-0194（2019）20-00-02

1 ? ? 高校財務(wù)網(wǎng)絡(luò)安全問題的研究背景

2018年8月5日，國務(wù)院印發(fā)了《全國深化“放管服”改革轉(zhuǎn)變政府職能電視電話會議重點任務(wù)分工方案》，把“放管服”改革作為全面深化改革的重要內(nèi)容，持續(xù)加以推進。提出了“以簡政放權(quán)放出活力和動力”“以創(chuàng)新監(jiān)管管出公平和秩序”的方針政策，對高校財務(wù)的服務(wù)與監(jiān)督兩大職能提出了新要求。高校財務(wù)的服務(wù)與監(jiān)督兩大職能相輔相成、相互促進，對財務(wù)服務(wù)而言，放管結(jié)合尤為重要，不能脫離“管”、約束“放”。財務(wù)服務(wù)是在嚴(yán)格執(zhí)行相關(guān)財務(wù)法律法規(guī)，遵循財務(wù)規(guī)則和程序，運用相應(yīng)財務(wù)方法和信息化技術(shù)實現(xiàn)的?！盎ヂ?lián)網(wǎng)+”環(huán)境下的網(wǎng)絡(luò)安全問題日益嚴(yán)峻，根據(jù)《人民日報》報道，2017年7月—2018年6月，全國范圍內(nèi)至少有6.88億網(wǎng)民因垃圾短信、詐騙信息、個人信息泄露等造成經(jīng)濟損失。其中，對高校財務(wù)系統(tǒng)破壞性最大和最易于發(fā)生的大數(shù)據(jù)、大聯(lián)網(wǎng)、大應(yīng)用、大集中、復(fù)雜交互環(huán)境下持續(xù)定向威脅頻現(xiàn)。怎樣構(gòu)建兼顧“放管服”目標(biāo)且同時滿足高可用、高收斂、信息可追溯的財務(wù)網(wǎng)絡(luò)安全架構(gòu)成為高校財務(wù)網(wǎng)絡(luò)安全的首要目標(biāo)。

2 ? ? 高校財務(wù)網(wǎng)絡(luò)安全的現(xiàn)狀

2.1 ? 新網(wǎng)絡(luò)威脅種類多

新網(wǎng)絡(luò)威脅的種類包括攻擊來源的變化，即從個人到有組織經(jīng)濟犯罪，到網(wǎng)絡(luò)戰(zhàn);攻擊目的的變化，即經(jīng)濟利益到競爭與定向攻擊;攻擊方法的變化，即APT（Advanced Persistent Threat）高級持續(xù)威脅、DDoS拒絕服務(wù)攻擊;攻擊規(guī)模的變化，即大范圍的廣譜攻擊和大流量的DDoS攻擊。

2.2 ? 網(wǎng)絡(luò)空間安全人才缺失

目前，我國高校財務(wù)網(wǎng)絡(luò)存在人員安全意識普遍薄弱、人員安全技術(shù)水平低、無法適應(yīng)日新月異的環(huán)境等問題。人員業(yè)務(wù)能力不強，業(yè)務(wù)操作難達標(biāo)，網(wǎng)絡(luò)安全事件難以自行及時追蹤，尤其在“放管服”改革后，嚴(yán)重缺乏復(fù)雜網(wǎng)絡(luò)環(huán)境下的實用型安全人才;業(yè)務(wù)人員安全敏感性不高，經(jīng)驗不足;系統(tǒng)復(fù)雜度日益增高，無法有效評估、驗證測試。因此，加強高校財務(wù)網(wǎng)絡(luò)管理使用人員安全意識及技術(shù)能力，持續(xù)培養(yǎng)財務(wù)網(wǎng)絡(luò)安全人才，提升業(yè)務(wù)系統(tǒng)整體安全性迫在眉睫。

2.3 ? 網(wǎng)絡(luò)空間安全上升為國家戰(zhàn)略

在網(wǎng)絡(luò)空間被視為繼陸、海、空、天之后的“第五空間”后，全球已有50多個國家出臺了網(wǎng)絡(luò)安全或信息安全戰(zhàn)略。我國高校財務(wù)網(wǎng)絡(luò)正處于信息化建設(shè)的關(guān)鍵期，安全挑戰(zhàn)多元復(fù)雜，財務(wù)網(wǎng)絡(luò)安全和高校日常業(yè)務(wù)的穩(wěn)定成為財務(wù)網(wǎng)絡(luò)管理工作的重中之重，高校發(fā)展與網(wǎng)絡(luò)發(fā)展趨向共振。

2.4 ? 大數(shù)據(jù)顛覆傳統(tǒng)網(wǎng)絡(luò)安全

高校財務(wù)管理網(wǎng)絡(luò)近年來結(jié)合大數(shù)據(jù)及人工智能技術(shù)，一方面，業(yè)務(wù)邊界擴張有效提升了高校財務(wù)管理的效率;另一方面，大數(shù)據(jù)的自身固有特點也為高校財務(wù)管理網(wǎng)絡(luò)的安全性帶來了新的挑戰(zhàn)，包括數(shù)據(jù)體量躍升、數(shù)據(jù)跨地域跨ISP（互聯(lián)網(wǎng)服務(wù)運營商）跨網(wǎng)絡(luò)形式的自由流動、數(shù)據(jù)權(quán)屬邊界愈發(fā)模糊、大數(shù)據(jù)應(yīng)用領(lǐng)域的隱私保護與數(shù)據(jù)濫用、傳統(tǒng)信息安全保障模式被打破、大數(shù)據(jù)災(zāi)難備份等問題。

3 ? ? 高校財務(wù)網(wǎng)絡(luò)安全問題的思考

3.1 ? 未來高校財務(wù)網(wǎng)絡(luò)安全趨勢預(yù)測

首先，對于未來高校財務(wù)網(wǎng)絡(luò)安全問題，由于新威脅不斷涌現(xiàn)，安全分析舉措從靜態(tài)轉(zhuǎn)向?qū)崟r的緊迫性大大增加。其次，云計算等新技術(shù)應(yīng)用需求增加會推動財務(wù)應(yīng)用程序開發(fā)，使集成和基礎(chǔ)設(shè)施等層面發(fā)生巨大改變。安全技術(shù)發(fā)展會緊跟國家重大基礎(chǔ)設(shè)施資源管理方面的變化動向發(fā)展。隨著新應(yīng)用的不斷增加，重新定義“終端”的同時也重新定義了終端防護策略和技術(shù)，隨之而來的身份和訪問管理必須兼顧發(fā)展規(guī)模和外部使用環(huán)境需求。最后，弱人工智能技術(shù)的發(fā)展將在很短時間內(nèi)實現(xiàn)自動化網(wǎng)絡(luò)安全管理，從而改寫安全技術(shù)使用規(guī)則。

3.2 ? “互聯(lián)網(wǎng)+”模式下高校財務(wù)網(wǎng)絡(luò)安全新思考

基于大數(shù)據(jù)的威脅發(fā)現(xiàn)、預(yù)警、防御，基于大數(shù)據(jù)的身份認(rèn)證、接入控制，基于大數(shù)據(jù)的數(shù)據(jù)完整性、真實性分析3類技術(shù)與高校財務(wù)網(wǎng)絡(luò)安全構(gòu)架互相融合發(fā)展，能夠徹底將信息安全技術(shù)和高校財務(wù)管理大數(shù)據(jù)研究項目有機結(jié)合，相互促進。

第一，大數(shù)據(jù)已成為安全領(lǐng)域所有新興技術(shù)的基礎(chǔ)。從威脅情報、UEBA（用戶實體行為分析），再到態(tài)勢感知、人工智能，底層的基礎(chǔ)都是大數(shù)據(jù)。在本文所討論的高校財務(wù)網(wǎng)絡(luò)安全建設(shè)模型中，基礎(chǔ)是以大數(shù)據(jù)驅(qū)動安全，從而實現(xiàn)持續(xù)檢測的響應(yīng)。第二，通過基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全架構(gòu)能夠?qū)崿F(xiàn)針對云計算、虛擬化、移動互聯(lián)網(wǎng)等新興應(yīng)用環(huán)境實現(xiàn)在任意時間、任意地點、任意數(shù)據(jù)包的端到端的全覆蓋實時監(jiān)控。第三，針對APT（Advanced Persistent Threat）高級持續(xù)威脅的不斷重復(fù)采集和分析，實現(xiàn)歷史數(shù)據(jù)回溯和對各種網(wǎng)絡(luò)安全威脅事件取證。第四，利用DPI（Deep Packet Inspection）深度包檢測技術(shù)，高級逃避檢測技術(shù)，數(shù)據(jù)流及應(yīng)用流文件系統(tǒng)分析，安全域、IP、網(wǎng)絡(luò)域名自動檢測過濾，沙箱技術(shù)等實現(xiàn)新型信息系統(tǒng)安全架構(gòu)。第五，利用機器學(xué)習(xí)技術(shù)，實現(xiàn)自動化網(wǎng)絡(luò)安全事件高級檢索、數(shù)據(jù)挖掘、仿真查找、日志審計，保證網(wǎng)絡(luò)信息系統(tǒng)日常應(yīng)用數(shù)據(jù)合規(guī)，提高對網(wǎng)絡(luò)威脅的響應(yīng)和處理效率，有效降低誤判對高校財務(wù)網(wǎng)絡(luò)可用性的影響。

4 ? ? 基于弱人工智能技術(shù)的DPI深度包檢測技術(shù)應(yīng)用

弱人工智能DPI深度包檢測技術(shù)是在傳統(tǒng)信息網(wǎng)絡(luò)IP數(shù)據(jù)包檢測技術(shù)的基礎(chǔ)上，利用弱人工智能模型，通過增加對OSI應(yīng)用層數(shù)據(jù)的應(yīng)用協(xié)議識別，數(shù)據(jù)包內(nèi)容檢測與深度解碼，通過對數(shù)據(jù)包檢測分析，實現(xiàn)對數(shù)據(jù)網(wǎng)絡(luò)非授權(quán)操作或非法數(shù)據(jù)的自動識別，從而實現(xiàn)高校財務(wù)網(wǎng)絡(luò)安全目標(biāo)，基本原理是通過捕獲網(wǎng)絡(luò)通訊的原始數(shù)據(jù)包，利用弱人工智能的自動識別技術(shù)對應(yīng)用數(shù)據(jù)的“特征值”、應(yīng)用層協(xié)議、數(shù)據(jù)行為模式進行自動檢測，對通信數(shù)據(jù)包可能含有的異常數(shù)據(jù)做逐一拆包分析，深度挖掘出宏觀數(shù)據(jù)流中存在的細微數(shù)據(jù)變化。

4.1 ? 弱人工智能DPI技術(shù)實現(xiàn)的基本框架（Deep Inspect Manag-

ement）

控制管理層面上看，首先，將各個業(yè)務(wù)模塊的業(yè)務(wù)通訊需求抽象化成“規(guī)則”，基于這些規(guī)則定義生成不同的“分類”對象，不同的規(guī)則對象同時具有“使能狀態(tài)、報文動作”等屬性，內(nèi)部還設(shè)置特征、選項等關(guān)鍵字部件。其次，DIM框架對業(yè)務(wù)模塊的公共業(yè)務(wù)需求進行抽象處理。其中，包括利用弱人工智能的自動識別能力歸納統(tǒng)一開放格式的規(guī)則管理算法，并在此算法的基礎(chǔ)上統(tǒng)一開放格式的特征庫加載和文件解析。最后，通過自動化配置變更和下發(fā)流程管理，自動實現(xiàn)包括引擎編譯和下發(fā)、規(guī)則下發(fā)以及板間同步。

從數(shù)據(jù)轉(zhuǎn)發(fā)層面上看，弱人工智能DPI通過對各個業(yè)務(wù)需求各自的應(yīng)用層協(xié)議進行解析、解碼和搜索。在自動建立協(xié)議解析器的基礎(chǔ)上對搜索算法引擎進行歸納總結(jié)，從而實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)報文的高效、安全轉(zhuǎn)發(fā)和處理，數(shù)據(jù)轉(zhuǎn)發(fā)層面的需求主要在內(nèi)核態(tài)進行處理，通過控制管理層和數(shù)據(jù)轉(zhuǎn)發(fā)層相互獨立的設(shè)計模式，旨在將CPU密集型的引擎預(yù)處理（編譯和下發(fā)）和高性能的搜索算法過程分離在用戶態(tài)和內(nèi)核態(tài)，使預(yù)處理匹配在不同單板甚至不同設(shè)備上進行，保證轉(zhuǎn)發(fā)流程的檢測持續(xù)性和穩(wěn)定性。

4.2 ? 利用數(shù)據(jù)特征值識別判斷業(yè)務(wù)類型

利用五元組分析技術(shù)，構(gòu)建五元組分析弱人工智能模型，實現(xiàn)弱人工智能DPI。DPI通過對高校財務(wù)網(wǎng)絡(luò)IP數(shù)據(jù)包的內(nèi)容進行實時分析，依據(jù)查找數(shù)據(jù)特征關(guān)鍵字或統(tǒng)計業(yè)務(wù)行為，得到相關(guān)業(yè)務(wù)流的類型。利用弱人工智能DPI針對HTTP應(yīng)用特征進行判斷，在此基礎(chǔ)上，對應(yīng)用層協(xié)議、數(shù)據(jù)行為模式進行自動評估和匹配，生成識別業(yè)務(wù)傳輸?shù)臄?shù)據(jù)指紋，避免將BT傳輸業(yè)務(wù)簡單誤判為一個Web訪問應(yīng)用，并通過對利用已知通信端口或未知端口進行木馬傳輸數(shù)據(jù)特征做識別判斷，建立業(yè)務(wù)流的類型知識庫，以判斷識別后期類似特征業(yè)務(wù)行為。

4.3 ? 應(yīng)用協(xié)議識別

利用弱人工智能DPI技術(shù)識別網(wǎng)絡(luò)應(yīng)用及協(xié)議。其中，數(shù)據(jù)簽名生成數(shù)據(jù)指紋進行辨別并建立相關(guān)“簽名指紋庫”，是弱人工智能DPI技術(shù)對網(wǎng)絡(luò)應(yīng)用及協(xié)議識別的基礎(chǔ)。簽名主要用來分析鑒別應(yīng)用及協(xié)議的固有及衍生特征，特征值一一對應(yīng)“簽名指紋庫”，從而唯一標(biāo)識應(yīng)用協(xié)議。協(xié)議識別的主要作用是識別已知或未知的應(yīng)用協(xié)議，并自動發(fā)現(xiàn)高校財務(wù)網(wǎng)絡(luò)中的異常通訊流量。

4.4 ? 業(yè)務(wù)交付統(tǒng)計

弱人工智能DPI的業(yè)務(wù)統(tǒng)計功能通過自動識別網(wǎng)絡(luò)中的業(yè)務(wù)流量分布和用戶各種業(yè)務(wù)使用情況，及時發(fā)現(xiàn)影響網(wǎng)絡(luò)正常運行的因素，為網(wǎng)絡(luò)安全和業(yè)務(wù)優(yōu)化提供依據(jù)，其中，重點是高校財務(wù)網(wǎng)絡(luò)回溯自動分析技術(shù)。高校財務(wù)網(wǎng)絡(luò)回溯分析通過原始通訊數(shù)據(jù)的海量存儲，滿足對微量異常通訊的發(fā)現(xiàn)能力;然后識別特定業(yè)務(wù)通訊的五元組和應(yīng)用協(xié)議特征，在基于時間窗口的基礎(chǔ)上，為各類業(yè)務(wù)通訊提供每一時段的交互質(zhì)量檢測。

5 ? ? 結(jié) 語

在未來基于大數(shù)據(jù)高校財務(wù)管理網(wǎng)絡(luò)安全系統(tǒng)中，通過應(yīng)用異常行為數(shù)據(jù)分析、安全支付和反欺詐、財務(wù)數(shù)據(jù)物聯(lián)網(wǎng)安全、下一代身份和訪問控制、內(nèi)部威脅監(jiān)控和響應(yīng)、威脅情報基礎(chǔ)設(shè)施和安全生態(tài)系統(tǒng)等技術(shù)，構(gòu)建出一種兼顧“放管服”目標(biāo)且滿足高可用、高收斂、信息可追述的財務(wù)網(wǎng)絡(luò)安全系統(tǒng)，利用新信息通信技術(shù)以及互聯(lián)網(wǎng)平臺，讓互聯(lián)網(wǎng)與高校財務(wù)管理網(wǎng)絡(luò)空間進行深度融合，創(chuàng)造出新的發(fā)展生態(tài)。不僅能夠充分發(fā)揮互聯(lián)網(wǎng)在社會資源配置中的優(yōu)化和集成作用，將互聯(lián)網(wǎng)的創(chuàng)新成果深度融合于高校財務(wù)網(wǎng)絡(luò)各域之中，更能提升全社會的創(chuàng)新力和生產(chǎn)力，為高校財務(wù)部門“放管服”改革提供安全的信息環(huán)境。

主要參考文獻

[1]王欣，韓占柱，烏日吉樂.基于七層DPI流控識別技術(shù)的無線網(wǎng)絡(luò)研究與實現(xiàn)[J].呼倫貝爾學(xué)院學(xué)報，2017（2）.

[2]聶敏，張秀英，楊智.互聯(lián)網(wǎng)+高校財務(wù)管理信息化創(chuàng)新應(yīng)用研究[J].商業(yè)經(jīng)濟，2016（6）.

[3]楊娜.信息化建設(shè)推進“放管服”改革[J].環(huán)球市場信息導(dǎo)報，2016（41）.

[4]楊小燕，廖清遠.大數(shù)據(jù)時代基于云計算的高校智能化財務(wù)信息平臺設(shè)計與實現(xiàn)[J].信息與電腦：理論版，2016（7）.