“放管服”改革和“互联网+”背景下高校财务网络安全问题的思考
来源:用户上传
作者:李宇 贾巧盼 郭欣 李梦茜
[摘 要]2018年8月,国务院印发了《全国深化“放管服”改革转变政府职能电视电话会议重点任务分工方案》。随着高校财务系统“放管服”政策改革,互联网的开放性和安全漏洞带来的风险无处不在。本文旨在深化改革后,探索高校财务管理网络进行高安全性和便捷性的网络架构,以实现兼顾“放管服”目标且满足高可用、高收敛、信息可追溯的财务网络安全架构。
[关键词]放管服;高可用;高收敛;信息可追溯
doi:10.3969/j.issn.1673 - 0194.2019.20.024
[中图分类号]G644;G647.5 [文献标识码]A [文章编号]1673-0194(2019)20-00-02
1 高校财务网络安全问题的研究背景
2018年8月5日,国务院印发了《全国深化“放管服”改革转变政府职能电视电话会议重点任务分工方案》,把“放管服”改革作为全面深化改革的重要内容,持续加以推进。提出了“以简政放权放出活力和动力”“以创新监管管出公平和秩序”的方针政策,对高校财务的服务与监督两大职能提出了新要求。高校财务的服务与监督两大职能相辅相成、相互促进,对财务服务而言,放管结合尤为重要,不能脱离“管”、约束“放”。财务服务是在严格执行相关财务法律法规,遵循财务规则和程序,运用相应财务方法和信息化技术实现的。“互联网+”环境下的网络安全问题日益严峻,根据《人民日报》报道,2017年7月—2018年6月,全国范围内至少有6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成经济损失。其中,对高校财务系统破坏性最大和最易于发生的大数据、大联网、大应用、大集中、复杂交互环境下持续定向威胁频现。怎样构建兼顾“放管服”目标且同时满足高可用、高收敛、信息可追溯的财务网络安全架构成为高校财务网络安全的首要目标。
2 高校财务网络安全的现状
2.1 新网络威胁种类多
新网络威胁的种类包括攻击来源的变化,即从个人到有组织经济犯罪,到网络战;攻击目的的变化,即经济利益到竞争与定向攻击;攻击方法的变化,即APT(Advanced Persistent Threat)高级持续威胁、DDoS拒绝服务攻击;攻击规模的变化,即大范围的广谱攻击和大流量的DDoS攻击。
2.2 网络空间安全人才缺失
目前,我国高校财务网络存在人员安全意识普遍薄弱、人员安全技术水平低、无法适应日新月异的环境等问题。人员业务能力不强,业务操作难达标,网络安全事件难以自行及时追踪,尤其在“放管服”改革后,严重缺乏复杂网络环境下的实用型安全人才;业务人员安全敏感性不高,经验不足;系统复杂度日益增高,无法有效评估、验证测试。因此,加强高校财务网络管理使用人员安全意识及技术能力,持续培养财务网络安全人才,提升业务系统整体安全性迫在眉睫。
2.3 网络空间安全上升为国家战略
在网络空间被视为继陆、海、空、天之后的“第五空间”后,全球已有50多个国家出台了网络安全或信息安全战略。我国高校财务网络正处于信息化建设的关键期,安全挑战多元复杂,财务网络安全和高校日常业务的稳定成为财务网络管理工作的重中之重,高校发展与网络发展趋向共振。
2.4 大数据颠覆传统网络安全
高校财务管理网络近年来结合大数据及人工智能技术,一方面,业务边界扩张有效提升了高校财务管理的效率;另一方面,大数据的自身固有特点也为高校财务管理网络的安全性带来了新的挑战,包括数据体量跃升、数据跨地域跨ISP(互联网服务运营商)跨网络形式的自由流动、数据权属边界愈发模糊、大数据应用领域的隐私保护与数据滥用、传统信息安全保障模式被打破、大数据灾难备份等问题。
3 高校财务网络安全问题的思考
3.1 未来高校财务网络安全趋势预测
首先,对于未来高校财务网络安全问题,由于新威胁不断涌现,安全分析举措从静态转向实时的紧迫性大大增加。其次,云计算等新技术应用需求增加会推动财务应用程序开发,使集成和基础设施等层面发生巨大改变。安全技术发展会紧跟国家重大基础设施资源管理方面的变化动向发展。随着新应用的不断增加,重新定义“终端”的同时也重新定义了终端防护策略和技术,随之而来的身份和访问管理必须兼顾发展规模和外部使用环境需求。最后,弱人工智能技术的发展将在很短时间内实现自动化网络安全管理,从而改写安全技术使用规则。
3.2 “互联网+”模式下高校财务网络安全新思考
基于大数据的威胁发现、预警、防御,基于大数据的身份认证、接入控制,基于大数据的數据完整性、真实性分析3类技术与高校财务网络安全构架互相融合发展,能够彻底将信息安全技术和高校财务管理大数据研究项目有机结合,相互促进。
第一,大数据已成为安全领域所有新兴技术的基础。从威胁情报、UEBA(用户实体行为分析),再到态势感知、人工智能,底层的基础都是大数据。在本文所讨论的高校财务网络安全建设模型中,基础是以大数据驱动安全,从而实现持续检测的响应。第二,通过基于大数据技术的网络安全架构能够实现针对云计算、虚拟化、移动互联网等新兴应用环境实现在任意时间、任意地点、任意数据包的端到端的全覆盖实时监控。第三,针对APT(Advanced Persistent Threat)高级持续威胁的不断重复采集和分析,实现历史数据回溯和对各种网络安全威胁事件取证。第四,利用DPI(Deep Packet Inspection)深度包检测技术,高级逃避检测技术,数据流及应用流文件系统分析,安全域、IP、网络域名自动检测过滤,沙箱技术等实现新型信息系统安全架构。第五,利用机器学习技术,实现自动化网络安全事件高级检索、数据挖掘、仿真查找、日志审计,保证网络信息系统日常应用数据合规,提高对网络威胁的响应和处理效率,有效降低误判对高校财务网络可用性的影响。 4 基于弱人工智能技术的DPI深度包检测技术应用
弱人工智能DPI深度包检测技术是在传统信息网络IP数据包检测技术的基础上,利用弱人工智能模型,通过增加对OSI应用层数据的应用协议识别,数据包内容检测与深度解码,通过对数据包检测分析,实现对数据网络非授权操作或非法数据的自动识别,从而实现高校财务网络安全目标,基本原理是通过捕获网络通讯的原始数据包,利用弱人工智能的自动识别技术对应用数据的“特征值”、应用层协议、数据行为模式进行自动检测,对通信数据包可能含有的异常数据做逐一拆包分析,深度挖掘出宏观数据流中存在的细微数据变化。
4.1 弱人工智能DPI技术实现的基本框架(Deep Inspect Manag-
ement)
控制管理层面上看,首先,将各个业务模块的业务通讯需求抽象化成“规则”,基于这些规则定义生成不同的“分类”对象,不同的规则对象同时具有“使能状态、报文动作”等属性,内部还设置特征、选项等关键字部件。其次,DIM框架对业务模块的公共业务需求进行抽象处理。其中,包括利用弱人工智能的自动识别能力归纳统一开放格式的规则管理算法,并在此算法的基础上统一开放格式的特征库加载和文件解析。最后,通过自动化配置变更和下发流程管理,自动实现包括引擎编译和下发、规则下发以及板间同步。
从数据转发层面上看,弱人工智能DPI通过对各个业务需求各自的应用层协议进行解析、解码和搜索。在自动建立协议解析器的基础上对搜索算法引擎进行归纳总结,从而实现对网络数据报文的高效、安全转发和处理,数据转发层面的需求主要在内核态进行处理,通过控制管理层和数据转发层相互独立的设计模式,旨在将CPU密集型的引擎预处理(编译和下发)和高性能的搜索算法过程分离在用户态和内核态,使预处理匹配在不同单板甚至不同设备上进行,保证转发流程的检测持续性和稳定性。
4.2 利用数据特征值识别判断业务类型
利用五元组分析技术,构建五元组分析弱人工智能模型,实现弱人工智能DPI。DPI通过对高校财务网络IP數据包的内容进行实时分析,依据查找数据特征关键字或统计业务行为,得到相关业务流的类型。利用弱人工智能DPI针对HTTP应用特征进行判断,在此基础上,对应用层协议、数据行为模式进行自动评估和匹配,生成识别业务传输的数据指纹,避免将BT传输业务简单误判为一个Web访问应用,并通过对利用已知通信端口或未知端口进行木马传输数据特征做识别判断,建立业务流的类型知识库,以判断识别后期类似特征业务行为。
4.3 应用协议识别
利用弱人工智能DPI技术识别网络应用及协议。其中,数据签名生成数据指纹进行辨别并建立相关“签名指纹库”,是弱人工智能DPI技术对网络应用及协议识别的基础。签名主要用来分析鉴别应用及协议的固有及衍生特征,特征值一一对应“签名指纹库”,从而唯一标识应用协议。协议识别的主要作用是识别已知或未知的应用协议,并自动发现高校财务网络中的异常通讯流量。
4.4 业务交付统计
弱人工智能DPI的业务统计功能通过自动识别网络中的业务流量分布和用户各种业务使用情况,及时发现影响网络正常运行的因素,为网络安全和业务优化提供依据,其中,重点是高校财务网络回溯自动分析技术。高校财务网络回溯分析通过原始通讯数据的海量存储,满足对微量异常通讯的发现能力;然后识别特定业务通讯的五元组和应用协议特征,在基于时间窗口的基础上,为各类业务通讯提供每一时段的交互质量检测。
5 结 语
在未来基于大数据高校财务管理网络安全系统中,通过应用异常行为数据分析、安全支付和反欺诈、财务数据物联网安全、下一代身份和访问控制、内部威胁监控和响应、威胁情报基础设施和安全生态系统等技术,构建出一种兼顾“放管服”目标且满足高可用、高收敛、信息可追述的财务网络安全系统,利用新信息通信技术以及互联网平台,让互联网与高校财务管理网络空间进行深度融合,创造出新的发展生态。不仅能够充分发挥互联网在社会资源配置中的优化和集成作用,将互联网的创新成果深度融合于高校财务网络各域之中,更能提升全社会的创新力和生产力,为高校财务部门“放管服”改革提供安全的信息环境。
主要参考文献
[1]王欣,韩占柱,乌日吉乐.基于七层DPI流控识别技术的无线网络研究与实现[J].呼伦贝尔学院学报,2017(2).
[2]聂敏,张秀英,杨智.互联网+高校财务管理信息化创新应用研究[J].商业经济,2016(6).
[3]杨娜.信息化建设推进“放管服”改革[J].环球市场信息导报,2016(41).
[4]杨小燕,廖清远.大数据时代基于云计算的高校智能化财务信息平台设计与实现[J].信息与电脑:理论版,2016(7).
转载注明来源:https://www.xzbu.com/3/view-15053554.htm
