潘 耘， 劉牧群， 周志洪

(上海交通大學(xué) a.財(cái)務(wù)計(jì)劃處； b.信息安全工程學(xué)院，上海 200240)

0 引 言

高校財(cái)務(wù)信息正向著公開(kāi)、公示、接受監(jiān)督、同時(shí)需規(guī)范，信息互聯(lián)互通、高效管理的方向變化。同時(shí)，信息的安全存儲(chǔ)和正確傳輸都成為高校財(cái)務(wù)信息化必須重視和解決的問(wèn)題。傳統(tǒng)的”查漏補(bǔ)缺“的信息安全防護(hù)建設(shè)的方式已經(jīng)不能適應(yīng)高校財(cái)務(wù)信息系統(tǒng)的發(fā)展，必須采用縱深防御的戰(zhàn)略思路，實(shí)現(xiàn)體系化的全程全網(wǎng)的一體化安全管控和防護(hù)體系。

為此，我們從工作實(shí)踐和研究中，以A高校的財(cái)務(wù)信息系統(tǒng)典型關(guān)聯(lián)業(yè)務(wù)為例，抓住幾個(gè)重要環(huán)節(jié)進(jìn)行研究，通過(guò)分析其面臨的信息安全威脅，提出體系化的、符合高校財(cái)務(wù)信息系統(tǒng)業(yè)務(wù)需求的信息安全的縱深防御體系，以及一體化的管控和防護(hù)體系。結(jié)合目前高校財(cái)務(wù)信息系統(tǒng)的信息安全問(wèn)題及現(xiàn)狀，提出針對(duì)現(xiàn)階段高校財(cái)務(wù)信息系統(tǒng)的一些具體的信息安全防護(hù)舉措和建議。

1 高校財(cái)務(wù)信息化現(xiàn)狀及發(fā)展趨勢(shì)

1979年是我國(guó)電算化實(shí)踐的開(kāi)始，當(dāng)年財(cái)政部在長(zhǎng)春第一汽車制造廠進(jìn)行了會(huì)計(jì)電算化試點(diǎn)工作。1989年，財(cái)政部對(duì)財(cái)務(wù)管理信息化系統(tǒng)制定了標(biāo)準(zhǔn)，以計(jì)算機(jī)替代手工處理。最后，發(fā)展到以商品化的財(cái)會(huì)信息系統(tǒng)進(jìn)入規(guī)范化的總體設(shè)計(jì)等三個(gè)階段。

高校財(cái)務(wù)信息化建設(shè)也經(jīng)歷了三個(gè)階段。① 電算化階段。在這個(gè)階段，會(huì)計(jì)信息化的程度較低，以手工處理為主，計(jì)算機(jī)輔助做賬。② 信息化建設(shè)階段。以財(cái)會(huì)核算軟件為主的、規(guī)范化的高校財(cái)務(wù)信息管理階段。以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)，運(yùn)用先進(jìn)的信息化手段和工具對(duì)學(xué)校實(shí)行數(shù)字化管理，提升管理效率和高校競(jìng)爭(zhēng)力。③ 應(yīng)用網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)技術(shù)階段。由于互聯(lián)網(wǎng)的普及、對(duì)資金支付手段的創(chuàng)新等原因，原本相對(duì)獨(dú)立的、僅只在高校財(cái)務(wù)內(nèi)網(wǎng)上運(yùn)行的財(cái)務(wù)管理信息系統(tǒng)不得不與財(cái)務(wù)外網(wǎng)打通，進(jìn)而與銀行資金支付系統(tǒng)(公眾區(qū))實(shí)現(xiàn)對(duì)接，跟第三方支付平臺(tái)連通，實(shí)現(xiàn)了網(wǎng)上預(yù)約報(bào)銷、對(duì)接學(xué)校乃至校外各類業(yè)務(wù)系統(tǒng)的網(wǎng)上繳費(fèi)、網(wǎng)上申報(bào)科研和預(yù)算、銀企直連等功能[1]。

由上可見(jiàn)，隨著高校財(cái)務(wù)信息化進(jìn)程的深化，信息安全問(wèn)題日益突出。采用的信息安全防護(hù)技術(shù)也不斷優(yōu)化和提高，從最初的網(wǎng)絡(luò)隔離，單機(jī)殺毒，防火墻，入侵檢測(cè)等[2]，逐步演化到網(wǎng)絡(luò)版殺毒軟件，綜合的安全管理技術(shù)，再到基于大數(shù)據(jù)和更大規(guī)模網(wǎng)絡(luò)的信息安全技術(shù)，需要對(duì)態(tài)勢(shì)進(jìn)行預(yù)測(cè)和把控。此外，信息安全新型攻擊技術(shù)還在不斷更新和演進(jìn)，如SQL注入[3]、XSS跨站腳本工具[4]、APT(Advanced Persistent Threat)高級(jí)持續(xù)性威脅攻擊[5]等，高校財(cái)務(wù)信息系統(tǒng)的信息安全保障也需要不斷提高。

2 高校財(cái)務(wù)信息系統(tǒng)面臨的安全隱患

隨著高校多校區(qū)辦學(xué)越來(lái)越多，二級(jí)財(cái)務(wù)管理的要求不斷提高，以及產(chǎn)學(xué)研規(guī)模的不斷擴(kuò)大等情況，財(cái)務(wù)管理不斷與計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)科學(xué)、金融科學(xué)緊密結(jié)合，但也帶來(lái)了諸多信息安全問(wèn)題[6]，因?yàn)榫W(wǎng)絡(luò)的開(kāi)放性雖然方便了業(yè)務(wù)互聯(lián)互通，但也增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[7]，如：網(wǎng)絡(luò)攻擊、財(cái)務(wù)敏感數(shù)據(jù)外泄、非授權(quán)訪問(wèn)、病毒木馬入侵等[8]，因此，高校財(cái)務(wù)信息系統(tǒng)的信息安全問(wèn)題所引起的后果將會(huì)非常嚴(yán)重[9]。

原來(lái)高校的財(cái)務(wù)信息管理系統(tǒng)僅僅是財(cái)會(huì)核算系統(tǒng)在財(cái)務(wù)內(nèi)網(wǎng)里運(yùn)行，相對(duì)獨(dú)立安全，但隨著互聯(lián)網(wǎng)的普及，國(guó)家對(duì)高等教育及科學(xué)研究的投入力度不斷加大，以及師生的各類需求持續(xù)增加、上級(jí)單位對(duì)財(cái)務(wù)的管理要求不斷提高，現(xiàn)在高校的財(cái)務(wù)信息管理系統(tǒng)不僅從業(yè)務(wù)上有很大的發(fā)展，其面臨的環(huán)境也有了很大的變化，大量信息都是互聯(lián)互通的，不僅要完成既定會(huì)計(jì)核算、財(cái)務(wù)管理的職能，還必須要接受監(jiān)督。

從圖(1)可知，原來(lái)基本上在財(cái)務(wù)內(nèi)網(wǎng)里獨(dú)立運(yùn)行的財(cái)會(huì)核算系統(tǒng)，發(fā)展到了多系統(tǒng)聯(lián)動(dòng)，即，各專項(xiàng)業(yè)務(wù)系統(tǒng)—網(wǎng)上繳費(fèi)系統(tǒng)/網(wǎng)上預(yù)約報(bào)銷系統(tǒng)—財(cái)會(huì)核算系統(tǒng)—銀企直連系統(tǒng)/財(cái)會(huì)核算系統(tǒng)—資金監(jiān)控系統(tǒng)等多個(gè)系統(tǒng)相對(duì)獨(dú)立又通過(guò)校園網(wǎng)、互聯(lián)網(wǎng)有機(jī)聯(lián)系，同時(shí)在網(wǎng)上隔離設(shè)備/防火墻、專線或?qū)＞W(wǎng)的保護(hù)下，實(shí)現(xiàn)信息順利流動(dòng)且安全到位、業(yè)務(wù)完成。

圖1 A高校財(cái)務(wù)信息系統(tǒng)典型關(guān)聯(lián)業(yè)務(wù)

根據(jù)以上高校財(cái)務(wù)信息系統(tǒng)的發(fā)展現(xiàn)狀，我們可以發(fā)現(xiàn)明顯有如下幾點(diǎn)安全隱患：① 身份管理的易變性。目前高校財(cái)務(wù)信息管理系統(tǒng)面臨用戶身份的不斷變化，其中學(xué)生的用戶身份相對(duì)項(xiàng)目周期來(lái)說(shuō)流動(dòng)性相對(duì)較高，老師的用戶身份相對(duì)固定，用戶身份的易變性增加了信息安全的風(fēng)險(xiǎn)。由于目前高校財(cái)務(wù)信息系統(tǒng)對(duì)用戶開(kāi)放的功能越來(lái)越多，可以進(jìn)行轉(zhuǎn)賬、工資、獎(jiǎng)金查詢和發(fā)放、報(bào)銷預(yù)約、付款操作等[11。所有的功能都是通過(guò)用戶名和密碼的身份認(rèn)證步驟完成的。但是往往用戶的登錄卻還是使用簡(jiǎn)單的用戶(工號(hào))和密碼的普通登錄方式。② 非授權(quán)訪問(wèn)。非法獲取未經(jīng)授權(quán)的訪問(wèn)，獲取數(shù)據(jù)甚至進(jìn)行修改等，非法用戶可能繞開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)設(shè)備和資源進(jìn)行非正常使用。一些敏感數(shù)據(jù)的非授權(quán)訪問(wèn)及外泄，可能造成嚴(yán)重的后果，特別是財(cái)務(wù)數(shù)據(jù)、工資數(shù)據(jù)和項(xiàng)目數(shù)據(jù)。需要對(duì)用戶按照最小授權(quán)原則進(jìn)行權(quán)限分類設(shè)計(jì)，并且嚴(yán)格控制系統(tǒng)管理員和操作員的權(quán)限，只授予必要權(quán)限，不授予充分權(quán)限。權(quán)限控制遵循財(cái)務(wù)崗位牽制與制約制定。③ 第三方運(yùn)維人員帶來(lái)的安全隱患。目前，很多高校都選擇將非核心業(yè)務(wù)的信息系統(tǒng)運(yùn)維服務(wù)外包給第三方公司，在享受便利的同時(shí)，由于第三方運(yùn)維人員流動(dòng)性大，對(duì)操作行為的監(jiān)控帶來(lái)的風(fēng)險(xiǎn)日益凸顯，并且由于第三方運(yùn)維人員往往共用同一個(gè)管理員賬號(hào)，難以對(duì)其操作行為進(jìn)行精確的審計(jì)和監(jiān)管。因此，需要通過(guò)嚴(yán)格的權(quán)限控制和操作行為審計(jì)，加強(qiáng)對(duì)第三方運(yùn)維人員的行為管理。④ 篡改數(shù)據(jù)。篡改數(shù)據(jù)有可能因?yàn)楣ぷ魅藛T的粗心失誤造成，也可能由惡意攻擊者得到報(bào)文或數(shù)據(jù)后，惡意對(duì)內(nèi)容進(jìn)行添加、刪除、修改數(shù)據(jù)，篡改資金等關(guān)鍵數(shù)據(jù)，干擾或者破壞系統(tǒng)的正常使用，使得系統(tǒng)賬目混亂。若攻擊者截獲并修改交易的收款賬號(hào)，收款金額等關(guān)鍵信息，惡意轉(zhuǎn)移高校的直接撥款賬戶或零余額帳戶的余額或預(yù)算，將造成高校資金的直接損失。⑤ 從關(guān)聯(lián)系統(tǒng)滲透入侵。由于高校財(cái)務(wù)信息系統(tǒng)將與越來(lái)越多的業(yè)務(wù)系統(tǒng)進(jìn)行聯(lián)動(dòng)，與銀行和企業(yè)進(jìn)行直連，系統(tǒng)的互聯(lián)增加了攻擊入侵可供實(shí)施的跳板路徑。攻擊的首先目標(biāo)就是這些業(yè)務(wù)連接點(diǎn)，通過(guò)校園網(wǎng)甚至公眾網(wǎng)，對(duì)提供包含財(cái)務(wù)服務(wù)的業(yè)務(wù)系統(tǒng)，以WEB攻擊方式進(jìn)行注入、滲透和提權(quán)，完全遠(yuǎn)程入侵控制業(yè)務(wù)系統(tǒng)的服務(wù)器之后，再利用財(cái)務(wù)服務(wù)的聯(lián)動(dòng)接口，進(jìn)一步實(shí)施對(duì)財(cái)務(wù)內(nèi)網(wǎng)系統(tǒng)的突防入侵。

隨著高校財(cái)務(wù)信息系統(tǒng)的迅速發(fā)展，聯(lián)動(dòng)的業(yè)務(wù)越來(lái)越多，由于信息安全攻擊和防御的不對(duì)稱性，每增加一個(gè)業(yè)務(wù)聯(lián)動(dòng)接口，需要投入的信息安全防護(hù)成本急速上升，但是一旦哪個(gè)地方有漏洞，就有可能遭到攻擊。因此，不能搞“查缺補(bǔ)漏”式的信息安全防護(hù)建設(shè)，而是應(yīng)該遵循縱深防御的戰(zhàn)略思路，建設(shè)一體化的安全管控和防護(hù)體系。實(shí)現(xiàn)多層次，多區(qū)域，全方位的一體化安全監(jiān)管與檢測(cè)，將高校財(cái)務(wù)信息系統(tǒng)遭受的攻擊風(fēng)險(xiǎn)降至最低，實(shí)現(xiàn)對(duì)業(yè)務(wù)流程的全程可管控，將入侵和攻擊阻斷在縱深防御體系的層層防守之下。

3 高校財(cái)務(wù)的信息安全縱深防御思路

根據(jù)目前高校財(cái)務(wù)管理信息系統(tǒng)的發(fā)展現(xiàn)狀和系統(tǒng)間互通的趨勢(shì)來(lái)看，遭受攻擊是不可避免的，并且這些攻擊沒(méi)有時(shí)間和地域的限制、變得越來(lái)越隱蔽(混雜在正常網(wǎng)絡(luò)活動(dòng)中間)、手段越來(lái)越復(fù)雜。面對(duì)不可避免的攻擊，傳統(tǒng)的信息安全加固和防護(hù)的思路：網(wǎng)絡(luò)出口配置防火墻、信息傳輸和存儲(chǔ)加密、集中身份認(rèn)證、病毒查殺等已經(jīng)力不從心。需要將高校財(cái)務(wù)信息系統(tǒng)防護(hù)的重點(diǎn)從靜態(tài)防護(hù)轉(zhuǎn)換到動(dòng)態(tài)防護(hù)，采用信息安全縱深防御體系，實(shí)現(xiàn)快速的入侵檢測(cè)、預(yù)警、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)。使得系統(tǒng)整體處于動(dòng)態(tài)的風(fēng)險(xiǎn)最低的狀態(tài)。

縱深防御最初是由美國(guó)國(guó)家安全局編制的《信息保障技術(shù)框架(IATF)》(IATF：Information Assurance Technical Framework )中提出[12], 其核心思想就是縱深防御戰(zhàn)略, 即采用一個(gè)多層次縱深的安全措施來(lái)保障用戶信息及信息系統(tǒng)的安全[13]。我們對(duì)A高校的財(cái)會(huì)信息系統(tǒng)進(jìn)行了如下圖所示的多層次的縱深防御體系。

圖2 高校財(cái)務(wù)信息系統(tǒng)的縱深防御體系

從上圖中我們可以發(fā)現(xiàn)，即使外部攻擊和入侵突破了第一層防火墻，其活動(dòng)也僅局限于網(wǎng)絡(luò)縱深隔離帶，并且在一體化的安全協(xié)同管控下，入侵活動(dòng)的一舉一動(dòng)將被記錄并被追溯。并且可以對(duì)安全態(tài)勢(shì)進(jìn)行感知和預(yù)測(cè)。同樣，也不能忽視來(lái)自內(nèi)部的信息泄露，對(duì)于這個(gè)問(wèn)題，也通過(guò)以上的縱深隔離區(qū)，加上綜合安全管控的安全失泄密檢測(cè)，將失泄密風(fēng)險(xiǎn)降至最低。

4 高校財(cái)務(wù)的信息安全保障體系

然而，部署高校財(cái)務(wù)信息系統(tǒng)的縱深防御體系并不單純是技術(shù)層面的建設(shè)：參照上述多層次縱深隔離的部署方案，再引入一套綜合安全管控平臺(tái)。這是一個(gè)系統(tǒng)工程，是一整套信息安全保障體系，其中縱深防御是我們這套信息安全保障體系的方法論。綜合安全管控以及多層次的縱深隔離布防是這個(gè)縱深防御思想指導(dǎo)下的具體實(shí)現(xiàn)方案。作為一整套信息安全保障體系，必然是“技管結(jié)合的”，甚至“三分技術(shù)、七分管理”。該保障體系應(yīng)包含三方面的因素：人、管理和技術(shù)[14]。以下從人、管理、技術(shù)三方面展開(kāi)進(jìn)行分析如何構(gòu)建高校財(cái)務(wù)信息系統(tǒng)的信息安全保障體系見(jiàn)圖3：

(1) 關(guān)鍵的因素還是人的因素。由于高校財(cái)務(wù)系統(tǒng)大多是財(cái)務(wù)方面的專家，但對(duì)于信息安全和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)并不精通，往往信息安全的知識(shí)和意識(shí)比較薄弱。需要加強(qiáng)信息安全人才體系建設(shè)，加強(qiáng)信息安全人才的教育與培養(yǎng)，增強(qiáng)業(yè)務(wù)人員的信息安全知識(shí)和技能訓(xùn)練和信息安全意識(shí)的培養(yǎng)[15]。

圖3 高校財(cái)務(wù)管理信息系統(tǒng)的信息安全保障體系

(2) 建立一體化的安全管理體系。管理包括了信息安全策略、信息安全管理與資金安全業(yè)務(wù)流程，需要緊緊圍繞高校財(cái)務(wù)信息系統(tǒng)業(yè)務(wù)操作流程和業(yè)務(wù)信息的保密性、完整性、可用性、不可否認(rèn)性等要求。需要加強(qiáng)信息安全的管理制度和體系建設(shè)，加強(qiáng)安全策略的制訂、實(shí)施、執(zhí)行、管理以及監(jiān)督和審計(jì)。這里強(qiáng)調(diào)一點(diǎn)，應(yīng)通過(guò)制定系列網(wǎng)絡(luò)及信息安全事件的應(yīng)急處置預(yù)案，加強(qiáng)和完善網(wǎng)絡(luò)與信息應(yīng)急管理措施，有效預(yù)防、及時(shí)控制和最大限度地消除信息安全突發(fā)事件的危害和影響，確保信息系統(tǒng)和網(wǎng)絡(luò)的通暢運(yùn)行。

(3) 具體技術(shù)措施。構(gòu)建高校財(cái)務(wù)信息系統(tǒng)的信息安全保障體系，必須以信息安全等級(jí)保護(hù)作為工作抓手。以適當(dāng)?shù)姆謪^(qū)、定級(jí)來(lái)落實(shí)不同的等級(jí)下的保護(hù)措施。高校財(cái)務(wù)管理信息系統(tǒng)安全等級(jí)保護(hù)從系統(tǒng)邏輯上分為物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等四個(gè)層面，應(yīng)針對(duì)上述各個(gè)層面分別進(jìn)行系統(tǒng)定級(jí)、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)及系統(tǒng)安全監(jiān)測(cè)[16]。從技術(shù)層面來(lái)說(shuō)，內(nèi)容很多，主要包括基于密碼技術(shù)的認(rèn)證加密技術(shù)和基于攻防技術(shù)的安全檢測(cè)技術(shù)。限于篇幅，本文僅結(jié)合縱深防御體系及安全管控體系對(duì)與高校財(cái)務(wù)信息系統(tǒng)業(yè)務(wù)特點(diǎn)相關(guān)的一些主要技術(shù)進(jìn)行一些探討。① 邊界防護(hù)。對(duì)于高校財(cái)務(wù)信息系統(tǒng)而言，由于系統(tǒng)互聯(lián)互通的情況越來(lái)越多，傳統(tǒng)的依靠網(wǎng)絡(luò)的物理隔離已經(jīng)無(wú)法保障系統(tǒng)的安全。需要在前面梳理業(yè)務(wù)和資產(chǎn)，劃分好安全域的基礎(chǔ)上，使用邊界防護(hù)產(chǎn)品來(lái)加強(qiáng)防護(hù)。邊界防護(hù)技術(shù)包括：VLAN、NAT、防火墻、安全網(wǎng)關(guān)、VPN(虛擬專用網(wǎng))等物理/邏輯隔離技術(shù)進(jìn)行信息安全邊界的安全隔離、堡壘主機(jī)等。比如在不等候預(yù)約報(bào)銷系統(tǒng)以及網(wǎng)上繳費(fèi)平臺(tái)、學(xué)生助學(xué)金發(fā)放系統(tǒng)、酬金發(fā)放系統(tǒng)中，在財(cái)務(wù)內(nèi)網(wǎng)區(qū)和財(cái)務(wù)外網(wǎng)區(qū)可以在有條件的情況下使用網(wǎng)絡(luò)隔離設(shè)備，只允許合法的應(yīng)用流量通過(guò)邊界。阻止財(cái)務(wù)內(nèi)網(wǎng)安全邊界外的網(wǎng)絡(luò)入侵和非法訪問(wèn)。在銀企直連系統(tǒng)中，使用應(yīng)用前置堡壘機(jī)進(jìn)行邊界安全的防護(hù)。② 安全審計(jì)。在上述安全邊界的堡壘機(jī)中部署運(yùn)維安全審計(jì)，從邏輯上將人與目標(biāo)設(shè)備分離，建立“人→堡壘機(jī)主賬號(hào)授權(quán)→從賬號(hào)(目標(biāo)設(shè)備賬號(hào))”的模式，在這種模式下，基于唯一身份標(biāo)識(shí)，通過(guò)集中管控安全策略的賬號(hào)管理，授權(quán)管理和審計(jì)，建立針對(duì)維護(hù)人員的”主賬號(hào)→登錄→訪問(wèn)操作→退出“的全過(guò)程完整審計(jì)管理。③ 身份認(rèn)證。根據(jù)前面高校財(cái)務(wù)典型業(yè)務(wù)系統(tǒng)的分析，比如預(yù)約報(bào)銷系統(tǒng)等業(yè)務(wù)，用戶登錄應(yīng)該使用安全的HTTPS(由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比HTTP協(xié)議安全)進(jìn)行安全保護(hù)，否則如果使用明文傳輸，用戶名和密碼可以通過(guò)簡(jiǎn)單的網(wǎng)絡(luò)嗅探得到。還應(yīng)使用圖片隨機(jī)碼，增加安全性，使得用字典攻擊猜解口令進(jìn)行破解的難度增加了。對(duì)于像銀企直連的業(yè)務(wù)系統(tǒng)，其資金安全的保障需要進(jìn)一步增強(qiáng)身份認(rèn)證的安全性，使用UKey輔助進(jìn)行雙因子身份認(rèn)證。不同的UKey對(duì)應(yīng)于不同的人員角色，授權(quán)不同的權(quán)限。④ 通信加密。由于高校財(cái)務(wù)信息系統(tǒng)的迅速發(fā)展，大量財(cái)務(wù)和資金相關(guān)的數(shù)據(jù)將通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸，使得物流、信息流、資金流達(dá)到同步。因此必須對(duì)網(wǎng)上傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行通信加密，防止惡意攻擊者通過(guò)網(wǎng)絡(luò)竊取機(jī)密數(shù)據(jù)，甚至對(duì)數(shù)據(jù)進(jìn)行截獲和篡改。應(yīng)該使用國(guó)家密碼管理局認(rèn)定的密碼產(chǎn)品，使用網(wǎng)絡(luò)密碼機(jī)、金融數(shù)據(jù)加密機(jī)等產(chǎn)品保護(hù)通信鏈路和數(shù)據(jù)的安全。⑤ 入侵檢測(cè)。在高校財(cái)務(wù)內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)的核心交換機(jī)上部署入侵檢測(cè)系統(tǒng)的探針，對(duì)系統(tǒng)外部訪問(wèn)入侵情況進(jìn)行檢測(cè)，檢測(cè)網(wǎng)絡(luò)異常流量和數(shù)據(jù)。入侵檢測(cè)產(chǎn)品在判斷出現(xiàn)入侵情況后會(huì)發(fā)送告警消息給系統(tǒng)管理員。⑥ 病毒查殺(惡意代碼檢測(cè))。在系統(tǒng)的終端PC上安裝病毒查殺軟件，并在安全邊界處使用防病毒網(wǎng)關(guān)進(jìn)行惡意代碼的查殺。由于新型病毒和木馬層出不窮，尤其是通過(guò)USB存儲(chǔ)設(shè)備感染傳播的計(jì)算機(jī)病毒越來(lái)越多，因此即使是做了網(wǎng)絡(luò)隔離的系統(tǒng)也不能掉以輕心。并且應(yīng)該同時(shí)做好移動(dòng)介質(zhì)管理和非法外聯(lián)管理。⑦ 失泄密管理。通過(guò)部署敏感數(shù)據(jù)的失泄密管理系統(tǒng)，可以防止高校財(cái)務(wù)信息系統(tǒng)的內(nèi)部員工或合作伙伴有意或者無(wú)意的泄密，嚴(yán)格管理和控制內(nèi)部及外部文件；泄密事件的主動(dòng)防御和時(shí)候?qū)徲?jì)。⑧ 綜合管控平臺(tái)。綜合管控平臺(tái)的目標(biāo)是建設(shè)全程全網(wǎng)的高校財(cái)務(wù)信息系統(tǒng)的網(wǎng)絡(luò)與信息安全綜合管控系統(tǒng)，包括信息安全檢查、網(wǎng)絡(luò)流量分析、網(wǎng)站監(jiān)測(cè)、Web應(yīng)用安全掃描滲透、安全預(yù)警及響應(yīng)、態(tài)勢(shì)分析、數(shù)據(jù)采集、失泄密檢測(cè)、在線培訓(xùn)考試、資產(chǎn)管理、知識(shí)管理和信息通報(bào)等工作于一體的綜合管理平臺(tái)。

5 總結(jié)與展望

高校財(cái)務(wù)管理信息化正向著對(duì)內(nèi)部門(mén)間業(yè)務(wù)信息系統(tǒng)互聯(lián)互通，消除“信息孤島”，對(duì)外公眾服務(wù)和銀企直連方向發(fā)展。資金管理和操作越來(lái)越迅速，需同步跟上各項(xiàng)業(yè)務(wù)流程進(jìn)展，與更多業(yè)務(wù)系統(tǒng)整合的同時(shí)，也產(chǎn)生了安全邊界擴(kuò)大，用戶數(shù)量增多，面對(duì)網(wǎng)絡(luò)攻擊增加的隱患。由于信息安全攻防的不對(duì)稱性，“查漏補(bǔ)缺”式的信息安全加固方法不會(huì)取得好的效果。

為此本文提出了多層次布防的信息安全“縱深防御”的防護(hù)思路，以高校財(cái)務(wù)信息系統(tǒng)為例給出了一套信息安全縱深防御體系。然而信息安全縱深防御不僅是技術(shù)層面的工作，而是需要完成一整套信息安全保障體系，包括：人、管理、技術(shù)三個(gè)方面。本文就分別針對(duì)這三個(gè)方面的一些重點(diǎn)問(wèn)題進(jìn)行了探討。通過(guò)“技管結(jié)合”的方式，以“縱深防御”為方法論，采用“全程全網(wǎng)”的信息安全綜合管控技術(shù)，將能夠使得高校財(cái)務(wù)信息系統(tǒng)的信息安全得到動(dòng)態(tài)的安全防護(hù)，提高在日益增加的新的安全威脅下的信息安全保障能力。

[1] 朱亞林.互聯(lián)網(wǎng)環(huán)境下高校會(huì)計(jì)信息化安全問(wèn)題研究[D].北京：首都經(jīng)濟(jì)貿(mào)易大學(xué)，2013.

[2] 葉燕文.高職院校財(cái)務(wù)管理信息系統(tǒng)安全問(wèn)題及其探討[J].中國(guó)校外教育(下旬刊),2012(11):138.

[3] Microsoft, "SQL Injection", http://technet.microsoft.com/en-us/library/ms161953%28 v=SQL.105%29.aspx.

[4] Grossman, Jeremiah. "The origins of Cross-Site Scripting (XSS)"[2006-7-30]. http://jeremiahgrossman. blogspot.com/2006/07/origins-of-cross-site-scripting-xss.html.

[5] Sam Musa. APT: Advanced Persistent Threat[2014-3-29].https://www.academia.edu/6309905/Advance _Persistent_Threat_-_APT.

[6] 李 波.基于VPN的天翼財(cái)務(wù)信息安全平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D].上海:復(fù)旦大學(xué),2012.

[7] 李化江.高校財(cái)務(wù)管理信息系統(tǒng)網(wǎng)絡(luò)安全解決方案[J].會(huì)計(jì)之友(中旬刊),2008(1):49-50.

[8] 陳 剛.高校財(cái)務(wù)網(wǎng)絡(luò)化管理的風(fēng)險(xiǎn)與對(duì)策[J].信息與電腦(理論版),2014(3):119-120.

[9] 張 紅.高校財(cái)務(wù)管理信息系統(tǒng)安全問(wèn)題與措施研究[J].電腦知識(shí)與技術(shù),2012，8(7):5077-5078.

ZHANG Hong. Research of Security Issues and Measures on College Financial Management Information Systems[J]. Computer Knowledge and Technology, 2012，8(7):5077-5078.

[10] 苗海濤.銀企直連系統(tǒng)網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J].河北建筑科技學(xué)院學(xué)報(bào),2006，23(6):99-102.

MIAO Hai Tao. Technical application of network security in enterprise financial system and network banks[J]. 2006，23(6):99-102.

[11] 鄒建軍.PKI/CA在高校財(cái)務(wù)信息系統(tǒng)的應(yīng)用研究[D].廣州:暨南大學(xué),2007.

ZOU Jian Jun. Research on PKI/CA in university financial information system with application[D]. Guangzhou: Ji Nan University, 2007.

[12] 趙戰(zhàn)生.美國(guó)信息保障技術(shù)框架——IATF簡(jiǎn)介(一)[J].信息網(wǎng)絡(luò)安全,2003(4):13-16.

[13] 安輝耀.構(gòu)建信息安全縱深防御體系[J].高科技與產(chǎn)業(yè)化,2013(2): 58-61.

[14] 劉 元.SY集團(tuán)公司資金管理系統(tǒng)中的信息安全研究[D].成都:電子科技大學(xué),2010.

[15] 叢 磊.高校財(cái)務(wù)信息化面臨的信息安全問(wèn)題[J].研究會(huì)計(jì)之友,2014(11):116-118.

[16] 韓 婷,傅 川,宮 劍,等.【高校信息化典型示范/上海財(cái)經(jīng)大學(xué)】高校信息化安全管理布局[J].中國(guó)教育網(wǎng)絡(luò)[J],2011(12):50-52.