李宇 賈巧盼 郭欣 李夢茜

[摘 要]2018年8月，國務院印發(fā)了《全國深化“放管服”改革轉變政府職能電視電話會議重點任務分工方案》。隨著高校財務系統“放管服”政策改革，互聯網的開放性和安全漏洞帶來的風險無處不在。本文旨在深化改革后，探索高校財務管理網絡進行高安全性和便捷性的網絡架構，以實現兼顧“放管服”目標且滿足高可用、高收斂、信息可追溯的財務網絡安全架構。

[關鍵詞]放管服;高可用;高收斂;信息可追溯

doi：10.3969/j.issn.1673 - 0194.2019.20.024

[中圖分類號]G644;G647.5[文獻標識碼]A[文章編號]1673-0194（2019）20-00-02

1 ? ? 高校財務網絡安全問題的研究背景

2018年8月5日，國務院印發(fā)了《全國深化“放管服”改革轉變政府職能電視電話會議重點任務分工方案》，把“放管服”改革作為全面深化改革的重要內容，持續(xù)加以推進。提出了“以簡政放權放出活力和動力”“以創(chuàng)新監(jiān)管管出公平和秩序”的方針政策，對高校財務的服務與監(jiān)督兩大職能提出了新要求。高校財務的服務與監(jiān)督兩大職能相輔相成、相互促進，對財務服務而言，放管結合尤為重要，不能脫離“管”、約束“放”。財務服務是在嚴格執(zhí)行相關財務法律法規(guī)，遵循財務規(guī)則和程序，運用相應財務方法和信息化技術實現的?！盎ヂ摼W+”環(huán)境下的網絡安全問題日益嚴峻，根據《人民日報》報道，2017年7月—2018年6月，全國范圍內至少有6.88億網民因垃圾短信、詐騙信息、個人信息泄露等造成經濟損失。其中，對高校財務系統破壞性最大和最易于發(fā)生的大數據、大聯網、大應用、大集中、復雜交互環(huán)境下持續(xù)定向威脅頻現。怎樣構建兼顧“放管服”目標且同時滿足高可用、高收斂、信息可追溯的財務網絡安全架構成為高校財務網絡安全的首要目標。

2 ? ? 高校財務網絡安全的現狀

2.1 ? 新網絡威脅種類多

新網絡威脅的種類包括攻擊來源的變化，即從個人到有組織經濟犯罪，到網絡戰(zhàn);攻擊目的的變化，即經濟利益到競爭與定向攻擊;攻擊方法的變化，即APT（Advanced Persistent Threat）高級持續(xù)威脅、DDoS拒絕服務攻擊;攻擊規(guī)模的變化，即大范圍的廣譜攻擊和大流量的DDoS攻擊。

2.2 ? 網絡空間安全人才缺失

目前，我國高校財務網絡存在人員安全意識普遍薄弱、人員安全技術水平低、無法適應日新月異的環(huán)境等問題。人員業(yè)務能力不強，業(yè)務操作難達標，網絡安全事件難以自行及時追蹤，尤其在“放管服”改革后，嚴重缺乏復雜網絡環(huán)境下的實用型安全人才;業(yè)務人員安全敏感性不高，經驗不足;系統復雜度日益增高，無法有效評估、驗證測試。因此，加強高校財務網絡管理使用人員安全意識及技術能力，持續(xù)培養(yǎng)財務網絡安全人才，提升業(yè)務系統整體安全性迫在眉睫。

2.3 ? 網絡空間安全上升為國家戰(zhàn)略

在網絡空間被視為繼陸、海、空、天之后的“第五空間”后，全球已有50多個國家出臺了網絡安全或信息安全戰(zhàn)略。我國高校財務網絡正處于信息化建設的關鍵期，安全挑戰(zhàn)多元復雜，財務網絡安全和高校日常業(yè)務的穩(wěn)定成為財務網絡管理工作的重中之重，高校發(fā)展與網絡發(fā)展趨向共振。

2.4 ? 大數據顛覆傳統網絡安全

高校財務管理網絡近年來結合大數據及人工智能技術，一方面，業(yè)務邊界擴張有效提升了高校財務管理的效率;另一方面，大數據的自身固有特點也為高校財務管理網絡的安全性帶來了新的挑戰(zhàn)，包括數據體量躍升、數據跨地域跨ISP（互聯網服務運營商）跨網絡形式的自由流動、數據權屬邊界愈發(fā)模糊、大數據應用領域的隱私保護與數據濫用、傳統信息安全保障模式被打破、大數據災難備份等問題。

3 ? ? 高校財務網絡安全問題的思考

3.1 ? 未來高校財務網絡安全趨勢預測

首先，對于未來高校財務網絡安全問題，由于新威脅不斷涌現，安全分析舉措從靜態(tài)轉向實時的緊迫性大大增加。其次，云計算等新技術應用需求增加會推動財務應用程序開發(fā)，使集成和基礎設施等層面發(fā)生巨大改變。安全技術發(fā)展會緊跟國家重大基礎設施資源管理方面的變化動向發(fā)展。隨著新應用的不斷增加，重新定義“終端”的同時也重新定義了終端防護策略和技術，隨之而來的身份和訪問管理必須兼顧發(fā)展規(guī)模和外部使用環(huán)境需求。最后，弱人工智能技術的發(fā)展將在很短時間內實現自動化網絡安全管理，從而改寫安全技術使用規(guī)則。

3.2 ? “互聯網+”模式下高校財務網絡安全新思考

基于大數據的威脅發(fā)現、預警、防御，基于大數據的身份認證、接入控制，基于大數據的數據完整性、真實性分析3類技術與高校財務網絡安全構架互相融合發(fā)展，能夠徹底將信息安全技術和高校財務管理大數據研究項目有機結合，相互促進。

第一，大數據已成為安全領域所有新興技術的基礎。從威脅情報、UEBA（用戶實體行為分析），再到態(tài)勢感知、人工智能，底層的基礎都是大數據。在本文所討論的高校財務網絡安全建設模型中，基礎是以大數據驅動安全，從而實現持續(xù)檢測的響應。第二，通過基于大數據技術的網絡安全架構能夠實現針對云計算、虛擬化、移動互聯網等新興應用環(huán)境實現在任意時間、任意地點、任意數據包的端到端的全覆蓋實時監(jiān)控。第三，針對APT（Advanced Persistent Threat）高級持續(xù)威脅的不斷重復采集和分析，實現歷史數據回溯和對各種網絡安全威脅事件取證。第四，利用DPI（Deep Packet Inspection）深度包檢測技術，高級逃避檢測技術，數據流及應用流文件系統分析，安全域、IP、網絡域名自動檢測過濾，沙箱技術等實現新型信息系統安全架構。第五，利用機器學習技術，實現自動化網絡安全事件高級檢索、數據挖掘、仿真查找、日志審計，保證網絡信息系統日常應用數據合規(guī)，提高對網絡威脅的響應和處理效率，有效降低誤判對高校財務網絡可用性的影響。

4 ? ? 基于弱人工智能技術的DPI深度包檢測技術應用

弱人工智能DPI深度包檢測技術是在傳統信息網絡IP數據包檢測技術的基礎上，利用弱人工智能模型，通過增加對OSI應用層數據的應用協議識別，數據包內容檢測與深度解碼，通過對數據包檢測分析，實現對數據網絡非授權操作或非法數據的自動識別，從而實現高校財務網絡安全目標，基本原理是通過捕獲網絡通訊的原始數據包，利用弱人工智能的自動識別技術對應用數據的“特征值”、應用層協議、數據行為模式進行自動檢測，對通信數據包可能含有的異常數據做逐一拆包分析，深度挖掘出宏觀數據流中存在的細微數據變化。

4.1 ? 弱人工智能DPI技術實現的基本框架（Deep Inspect Manag-

ement）

控制管理層面上看，首先，將各個業(yè)務模塊的業(yè)務通訊需求抽象化成“規(guī)則”，基于這些規(guī)則定義生成不同的“分類”對象，不同的規(guī)則對象同時具有“使能狀態(tài)、報文動作”等屬性，內部還設置特征、選項等關鍵字部件。其次，DIM框架對業(yè)務模塊的公共業(yè)務需求進行抽象處理。其中，包括利用弱人工智能的自動識別能力歸納統一開放格式的規(guī)則管理算法，并在此算法的基礎上統一開放格式的特征庫加載和文件解析。最后，通過自動化配置變更和下發(fā)流程管理，自動實現包括引擎編譯和下發(fā)、規(guī)則下發(fā)以及板間同步。

從數據轉發(fā)層面上看，弱人工智能DPI通過對各個業(yè)務需求各自的應用層協議進行解析、解碼和搜索。在自動建立協議解析器的基礎上對搜索算法引擎進行歸納總結，從而實現對網絡數據報文的高效、安全轉發(fā)和處理，數據轉發(fā)層面的需求主要在內核態(tài)進行處理，通過控制管理層和數據轉發(fā)層相互獨立的設計模式，旨在將CPU密集型的引擎預處理（編譯和下發(fā)）和高性能的搜索算法過程分離在用戶態(tài)和內核態(tài)，使預處理匹配在不同單板甚至不同設備上進行，保證轉發(fā)流程的檢測持續(xù)性和穩(wěn)定性。

4.2 ? 利用數據特征值識別判斷業(yè)務類型

利用五元組分析技術，構建五元組分析弱人工智能模型，實現弱人工智能DPI。DPI通過對高校財務網絡IP數據包的內容進行實時分析，依據查找數據特征關鍵字或統計業(yè)務行為，得到相關業(yè)務流的類型。利用弱人工智能DPI針對HTTP應用特征進行判斷，在此基礎上，對應用層協議、數據行為模式進行自動評估和匹配，生成識別業(yè)務傳輸的數據指紋，避免將BT傳輸業(yè)務簡單誤判為一個Web訪問應用，并通過對利用已知通信端口或未知端口進行木馬傳輸數據特征做識別判斷，建立業(yè)務流的類型知識庫，以判斷識別后期類似特征業(yè)務行為。

4.3 ? 應用協議識別

利用弱人工智能DPI技術識別網絡應用及協議。其中，數據簽名生成數據指紋進行辨別并建立相關“簽名指紋庫”，是弱人工智能DPI技術對網絡應用及協議識別的基礎。簽名主要用來分析鑒別應用及協議的固有及衍生特征，特征值一一對應“簽名指紋庫”，從而唯一標識應用協議。協議識別的主要作用是識別已知或未知的應用協議，并自動發(fā)現高校財務網絡中的異常通訊流量。

4.4 ? 業(yè)務交付統計

弱人工智能DPI的業(yè)務統計功能通過自動識別網絡中的業(yè)務流量分布和用戶各種業(yè)務使用情況，及時發(fā)現影響網絡正常運行的因素，為網絡安全和業(yè)務優(yōu)化提供依據，其中，重點是高校財務網絡回溯自動分析技術。高校財務網絡回溯分析通過原始通訊數據的海量存儲，滿足對微量異常通訊的發(fā)現能力;然后識別特定業(yè)務通訊的五元組和應用協議特征，在基于時間窗口的基礎上，為各類業(yè)務通訊提供每一時段的交互質量檢測。

5 ? ? 結 語

在未來基于大數據高校財務管理網絡安全系統中，通過應用異常行為數據分析、安全支付和反欺詐、財務數據物聯網安全、下一代身份和訪問控制、內部威脅監(jiān)控和響應、威脅情報基礎設施和安全生態(tài)系統等技術，構建出一種兼顧“放管服”目標且滿足高可用、高收斂、信息可追述的財務網絡安全系統，利用新信息通信技術以及互聯網平臺，讓互聯網與高校財務管理網絡空間進行深度融合，創(chuàng)造出新的發(fā)展生態(tài)。不僅能夠充分發(fā)揮互聯網在社會資源配置中的優(yōu)化和集成作用，將互聯網的創(chuàng)新成果深度融合于高校財務網絡各域之中，更能提升全社會的創(chuàng)新力和生產力，為高校財務部門“放管服”改革提供安全的信息環(huán)境。

主要參考文獻

[1]王欣，韓占柱，烏日吉樂.基于七層DPI流控識別技術的無線網絡研究與實現[J].呼倫貝爾學院學報，2017（2）.

[2]聶敏，張秀英，楊智.互聯網+高校財務管理信息化創(chuàng)新應用研究[J].商業(yè)經濟，2016（6）.

[3]楊娜.信息化建設推進“放管服”改革[J].環(huán)球市場信息導報，2016（41）.

[4]楊小燕，廖清遠.大數據時代基于云計算的高校智能化財務信息平臺設計與實現[J].信息與電腦：理論版，2016（7）.