高校財會信息安全保障體系的研究

潘 耘， 劉牧群， 周志洪

(上海交通大學 a.財務計劃處； b.信息安全工程學院，上海 200240)

0 引 言

高校財務信息正向著公開、公示、接受監督、同時需規范，信息互聯互通、高效管理的方向變化。同時，信息的安全存儲和正確傳輸都成為高校財務信息化必須重視和解決的問題。傳統的”查漏補缺“的信息安全防護建設的方式已經不能適應高校財務信息系統的發展，必須采用縱深防御的戰略思路，實現體系化的全程全網的一體化安全管控和防護體系。

為此，我們從工作實踐和研究中，以A高校的財務信息系統典型關聯業務為例，抓住幾個重要環節進行研究，通過分析其面臨的信息安全威脅，提出體系化的、符合高校財務信息系統業務需求的信息安全的縱深防御體系，以及一體化的管控和防護體系。結合目前高校財務信息系統的信息安全問題及現狀，提出針對現階段高校財務信息系統的一些具體的信息安全防護舉措和建議。

1 高校財務信息化現狀及發展趨勢

1979年是我國電算化實踐的開始，當年財政部在長春第一汽車制造廠進行了會計電算化試點工作。1989年，財政部對財務管理信息化系統制定了標準，以計算機替代手工處理。最后，發展到以商品化的財會信息系統進入規范化的總體設計等三個階段。

高校財務信息化建設也經歷了三個階段。① 電算化階段。在這個階段，會計信息化的程度較低，以手工處理為主，計算機輔助做賬。② 信息化建設階段。以財會核算軟件為主的、規范化的高校財務信息管理階段。以計算機網絡為基礎，運用先進的信息化手段和工具對學校實行數字化管理，提升管理效率和高校競爭力。③ 應用網絡和數據庫技術階段。由于互聯網的普及、對資金支付手段的創新等原因，原本相對獨立的、僅只在高校財務內網上運行的財務管理信息系統不得不與財務外網打通，進而與銀行資金支付系統(公眾區)實現對接，跟第三方支付平臺連通，實現了網上預約報銷、對接學校乃至校外各類業務系統的網上繳費、網上申報科研和預算、銀企直連等功能[1]。

由上可見，隨著高校財務信息化進程的深化，信息安全問題日益突出。采用的信息安全防護技術也不斷優化和提高，從最初的網絡隔離，單機殺毒，防火墻，入侵檢測等[2]，逐步演化到網絡版殺毒軟件，綜合的安全管理技術，再到基于大數據和更大規模網絡的信息安全技術，需要對態勢進行預測和把控。此外，信息安全新型攻擊技術還在不斷更新和演進，如SQL注入[3]、XSS跨站腳本工具[4]、APT(Advanced Persistent Threat)高級持續性威脅攻擊[5]等，高校財務信息系統的信息安全保障也需要不斷提高。

2 高校財務信息系統面臨的安全隱患

隨著高校多校區辦學越來越多，二級財務管理的要求不斷提高，以及產學研規模的不斷擴大等情況，財務管理不斷與計算機科學、網絡科學、金融科學緊密結合，但也帶來了諸多信息安全問題[6]，因為網絡的開放性雖然方便了業務互聯互通，但也增加了網絡安全風險[7]，如：網絡攻擊、財務敏感數據外泄、非授權訪問、病毒木馬入侵等[8]，因此，高校財務信息系統的信息安全問題所引起的后果將會非常嚴重[9]。

原來高校的財務信息管理系統僅僅是財會核算系統在財務內網里運行，相對獨立安全，但隨著互聯網的普及，國家對高等教育及科學研究的投入力度不斷加大，以及師生的各類需求持續增加、上級單位對財務的管理要求不斷提高，現在高校的財務信息管理系統不僅從業務上有很大的發展，其面臨的環境也有了很大的變化，大量信息都是互聯互通的，不僅要完成既定會計核算、財務管理的職能，還必須要接受監督。

從圖(1)可知，原來基本上在財務內網里獨立運行的財會核算系統，發展到了多系統聯動，即，各專項業務系統—網上繳費系統/網上預約報銷系統—財會核算系統—銀企直連系統/財會核算系統—資金監控系統等多個系統相對獨立又通過校園網、互聯網有機聯系，同時在網上隔離設備/防火墻、專線或專網的保護下，實現信息順利流動且安全到位、業務完成。

圖1 A高校財務信息系統典型關聯業務

根據以上高校財務信息系統的發展現狀，我們可以發現明顯有如下幾點安全隱患：① 身份管理的易變性。目前高校財務信息管理系統面臨用戶身份的不斷變化，其中學生的用戶身份相對項目周期來說流動性相對較高，老師的用戶身份相對固定，用戶身份的易變性增加了信息安全的風險。由于目前高校財務信息系統對用戶開放的功能越來越多，可以進行轉賬、工資、獎金查詢和發放、報銷預約、付款操作等[11。所有的功能都是通過用戶名和密碼的身份認證步驟完成的。但是往往用戶的登錄卻還是使用簡單的用戶(工號)和密碼的普通登錄方式。② 非授權訪問。非法獲取未經授權的訪問，獲取數據甚至進行修改等，非法用戶可能繞開系統訪問控制機制，對設備和資源進行非正常使用。一些敏感數據的非授權訪問及外泄，可能造成嚴重的后果，特別是財務數據、工資數據和項目數據。需要對用戶按照最小授權原則進行權限分類設計，并且嚴格控制系統管理員和操作員的權限，只授予必要權限，不授予充分權限。權限控制遵循財務崗位牽制與制約制定。③ 第三方運維人員帶來的安全隱患。目前，很多高校都選擇將非核心業務的信息系統運維服務外包給第三方公司，在享受便利的同時，由于第三方運維人員流動性大，對操作行為的監控帶來的風險日益凸顯，并且由于第三方運維人員往往共用同一個管理員賬號，難以對其操作行為進行精確的審計和監管。因此，需要通過嚴格的權限控制和操作行為審計，加強對第三方運維人員的行為管理。④ 篡改數據。篡改數據有可能因為工作人員的粗心失誤造成，也可能由惡意攻擊者得到報文或數據后，惡意對內容進行添加、刪除、修改數據，篡改資金等關鍵數據，干擾或者破壞系統的正常使用，使得系統賬目混亂。若攻擊者截獲并修改交易的收款賬號，收款金額等關鍵信息，惡意轉移高校的直接撥款賬戶或零余額帳戶的余額或預算，將造成高校資金的直接損失。⑤ 從關聯系統滲透入侵。由于高校財務信息系統將與越來越多的業務系統進行聯動，與銀行和企業進行直連，系統的互聯增加了攻擊入侵可供實施的跳板路徑。攻擊的首先目標就是這些業務連接點，通過校園網甚至公眾網，對提供包含財務服務的業務系統，以WEB攻擊方式進行注入、滲透和提權，完全遠程入侵控制業務系統的服務器之后，再利用財務服務的聯動接口，進一步實施對財務內網系統的突防入侵。

隨著高校財務信息系統的迅速發展，聯動的業務越來越多，由于信息安全攻擊和防御的不對稱性，每增加一個業務聯動接口，需要投入的信息安全防護成本急速上升，但是一旦哪個地方有漏洞，就有可能遭到攻擊。因此，不能搞“查缺補漏”式的信息安全防護建設，而是應該遵循縱深防御的戰略思路，建設一體化的安全管控和防護體系。實現多層次，多區域，全方位的一體化安全監管與檢測，將高校財務信息系統遭受的攻擊風險降至最低，實現對業務流程的全程可管控，將入侵和攻擊阻斷在縱深防御體系的層層防守之下。

3 高校財務的信息安全縱深防御思路

根據目前高校財務管理信息系統的發展現狀和系統間互通的趨勢來看，遭受攻擊是不可避免的，并且這些攻擊沒有時間和地域的限制、變得越來越隱蔽(混雜在正常網絡活動中間)、手段越來越復雜。面對不可避免的攻擊，傳統的信息安全加固和防護的思路：網絡出口配置防火墻、信息傳輸和存儲加密、集中身份認證、病毒查殺等已經力不從心。需要將高校財務信息系統防護的重點從靜態防護轉換到動態防護，采用信息安全縱深防御體系，實現快速的入侵檢測、預警、應急響應和災難恢復。使得系統整體處于動態的風險最低的狀態。

縱深防御最初是由美國國家安全局編制的《信息保障技術框架(IATF)》(IATF：Information Assurance Technical Framework )中提出[12], 其核心思想就是縱深防御戰略, 即采用一個多層次縱深的安全措施來保障用戶信息及信息系統的安全[13]。我們對A高校的財會信息系統進行了如下圖所示的多層次的縱深防御體系。

圖2 高校財務信息系統的縱深防御體系

從上圖中我們可以發現，即使外部攻擊和入侵突破了第一層防火墻，其活動也僅局限于網絡縱深隔離帶，并且在一體化的安全協同管控下，入侵活動的一舉一動將被記錄并被追溯。并且可以對安全態勢進行感知和預測。同樣，也不能忽視來自內部的信息泄露，對于這個問題，也通過以上的縱深隔離區，加上綜合安全管控的安全失泄密檢測，將失泄密風險降至最低。

4 高校財務的信息安全保障體系

然而，部署高校財務信息系統的縱深防御體系并不單純是技術層面的建設：參照上述多層次縱深隔離的部署方案，再引入一套綜合安全管控平臺。這是一個系統工程，是一整套信息安全保障體系，其中縱深防御是我們這套信息安全保障體系的方法論。綜合安全管控以及多層次的縱深隔離布防是這個縱深防御思想指導下的具體實現方案。作為一整套信息安全保障體系，必然是“技管結合的”，甚至“三分技術、七分管理”。該保障體系應包含三方面的因素：人、管理和技術[14]。以下從人、管理、技術三方面展開進行分析如何構建高校財務信息系統的信息安全保障體系見圖3：

(1) 關鍵的因素還是人的因素。由于高校財務系統大多是財務方面的專家，但對于信息安全和計算機網絡技術并不精通，往往信息安全的知識和意識比較薄弱。需要加強信息安全人才體系建設，加強信息安全人才的教育與培養，增強業務人員的信息安全知識和技能訓練和信息安全意識的培養[15]。

圖3 高校財務管理信息系統的信息安全保障體系

(2) 建立一體化的安全管理體系。管理包括了信息安全策略、信息安全管理與資金安全業務流程，需要緊緊圍繞高校財務信息系統業務操作流程和業務信息的保密性、完整性、可用性、不可否認性等要求。需要加強信息安全的管理制度和體系建設，加強安全策略的制訂、實施、執行、管理以及監督和審計。這里強調一點，應通過制定系列網絡及信息安全事件的應急處置預案，加強和完善網絡與信息應急管理措施，有效預防、及時控制和最大限度地消除信息安全突發事件的危害和影響，確保信息系統和網絡的通暢運行。

(3) 具體技術措施。構建高校財務信息系統的信息安全保障體系，必須以信息安全等級保護作為工作抓手。以適當的分區、定級來落實不同的等級下的保護措施。高校財務管理信息系統安全等級保護從系統邏輯上分為物理層、網絡層、系統層、應用層等四個層面，應針對上述各個層面分別進行系統定級、風險評估、等級測評及系統安全監測[16]。從技術層面來說，內容很多，主要包括基于密碼技術的認證加密技術和基于攻防技術的安全檢測技術。限于篇幅，本文僅結合縱深防御體系及安全管控體系對與高校財務信息系統業務特點相關的一些主要技術進行一些探討。① 邊界防護。對于高校財務信息系統而言，由于系統互聯互通的情況越來越多，傳統的依靠網絡的物理隔離已經無法保障系統的安全。需要在前面梳理業務和資產，劃分好安全域的基礎上，使用邊界防護產品來加強防護。邊界防護技術包括：VLAN、NAT、防火墻、安全網關、VPN(虛擬專用網)等物理/邏輯隔離技術進行信息安全邊界的安全隔離、堡壘主機等。比如在不等候預約報銷系統以及網上繳費平臺、學生助學金發放系統、酬金發放系統中，在財務內網區和財務外網區可以在有條件的情況下使用網絡隔離設備，只允許合法的應用流量通過邊界。阻止財務內網安全邊界外的網絡入侵和非法訪問。在銀企直連系統中，使用應用前置堡壘機進行邊界安全的防護。② 安全審計。在上述安全邊界的堡壘機中部署運維安全審計，從邏輯上將人與目標設備分離，建立“人→堡壘機主賬號授權→從賬號(目標設備賬號)”的模式，在這種模式下，基于唯一身份標識，通過集中管控安全策略的賬號管理，授權管理和審計，建立針對維護人員的”主賬號→登錄→訪問操作→退出“的全過程完整審計管理。③ 身份認證。根據前面高校財務典型業務系統的分析，比如預約報銷系統等業務，用戶登錄應該使用安全的HTTPS(由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比HTTP協議安全)進行安全保護，否則如果使用明文傳輸，用戶名和密碼可以通過簡單的網絡嗅探得到。還應使用圖片隨機碼，增加安全性，使得用字典攻擊猜解口令進行破解的難度增加了。對于像銀企直連的業務系統，其資金安全的保障需要進一步增強身份認證的安全性，使用UKey輔助進行雙因子身份認證。不同的UKey對應于不同的人員角色，授權不同的權限。④ 通信加密。由于高校財務信息系統的迅速發展，大量財務和資金相關的數據將通過網絡進行傳輸，使得物流、信息流、資金流達到同步。因此必須對網上傳輸的敏感數據進行通信加密，防止惡意攻擊者通過網絡竊取機密數據，甚至對數據進行截獲和篡改。應該使用國家密碼管理局認定的密碼產品，使用網絡密碼機、金融數據加密機等產品保護通信鏈路和數據的安全。⑤ 入侵檢測。在高校財務內網區和外網區的核心交換機上部署入侵檢測系統的探針，對系統外部訪問入侵情況進行檢測，檢測網絡異常流量和數據。入侵檢測產品在判斷出現入侵情況后會發送告警消息給系統管理員。⑥ 病毒查殺(惡意代碼檢測)。在系統的終端PC上安裝病毒查殺軟件，并在安全邊界處使用防病毒網關進行惡意代碼的查殺。由于新型病毒和木馬層出不窮，尤其是通過USB存儲設備感染傳播的計算機病毒越來越多，因此即使是做了網絡隔離的系統也不能掉以輕心。并且應該同時做好移動介質管理和非法外聯管理。⑦ 失泄密管理。通過部署敏感數據的失泄密管理系統，可以防止高校財務信息系統的內部員工或合作伙伴有意或者無意的泄密，嚴格管理和控制內部及外部文件；泄密事件的主動防御和時候審計。⑧ 綜合管控平臺。綜合管控平臺的目標是建設全程全網的高校財務信息系統的網絡與信息安全綜合管控系統，包括信息安全檢查、網絡流量分析、網站監測、Web應用安全掃描滲透、安全預警及響應、態勢分析、數據采集、失泄密檢測、在線培訓考試、資產管理、知識管理和信息通報等工作于一體的綜合管理平臺。

5 總結與展望

高校財務管理信息化正向著對內部門間業務信息系統互聯互通，消除“信息孤島”，對外公眾服務和銀企直連方向發展。資金管理和操作越來越迅速，需同步跟上各項業務流程進展，與更多業務系統整合的同時，也產生了安全邊界擴大，用戶數量增多，面對網絡攻擊增加的隱患。由于信息安全攻防的不對稱性，“查漏補缺”式的信息安全加固方法不會取得好的效果。

為此本文提出了多層次布防的信息安全“縱深防御”的防護思路，以高校財務信息系統為例給出了一套信息安全縱深防御體系。然而信息安全縱深防御不僅是技術層面的工作，而是需要完成一整套信息安全保障體系，包括：人、管理、技術三個方面。本文就分別針對這三個方面的一些重點問題進行了探討。通過“技管結合”的方式，以“縱深防御”為方法論，采用“全程全網”的信息安全綜合管控技術，將能夠使得高校財務信息系統的信息安全得到動態的安全防護，提高在日益增加的新的安全威脅下的信息安全保障能力。

[1] 朱亞林.互聯網環境下高校會計信息化安全問題研究[D].北京：首都經濟貿易大學，2013.

[2] 葉燕文.高職院校財務管理信息系統安全問題及其探討[J].中國校外教育(下旬刊),2012(11):138.

[3] Microsoft, "SQL Injection", http://technet.microsoft.com/en-us/library/ms161953%28 v=SQL.105%29.aspx.

[4] Grossman, Jeremiah. "The origins of Cross-Site Scripting (XSS)"[2006-7-30]. http://jeremiahgrossman. blogspot.com/2006/07/origins-of-cross-site-scripting-xss.html.

[5] Sam Musa. APT: Advanced Persistent Threat[2014-3-29].https://www.academia.edu/6309905/Advance _Persistent_Threat_-_APT.

[6] 李 波.基于VPN的天翼財務信息安全平臺的設計與實現[D].上海:復旦大學,2012.

[7] 李化江.高校財務管理信息系統網絡安全解決方案[J].會計之友(中旬刊),2008(1):49-50.

[8] 陳 剛.高校財務網絡化管理的風險與對策[J].信息與電腦(理論版),2014(3):119-120.

[9] 張 紅.高校財務管理信息系統安全問題與措施研究[J].電腦知識與技術,2012，8(7):5077-5078.

ZHANG Hong. Research of Security Issues and Measures on College Financial Management Information Systems[J]. Computer Knowledge and Technology, 2012，8(7):5077-5078.

[10] 苗海濤.銀企直連系統網絡安全技術應用研究[J].河北建筑科技學院學報,2006，23(6):99-102.

MIAO Hai Tao. Technical application of network security in enterprise financial system and network banks[J]. 2006，23(6):99-102.

[11] 鄒建軍.PKI/CA在高校財務信息系統的應用研究[D].廣州:暨南大學,2007.

ZOU Jian Jun. Research on PKI/CA in university financial information system with application[D]. Guangzhou: Ji Nan University, 2007.

[12] 趙戰生.美國信息保障技術框架——IATF簡介(一)[J].信息網絡安全,2003(4):13-16.

[13] 安輝耀.構建信息安全縱深防御體系[J].高科技與產業化,2013(2): 58-61.

[14] 劉 元.SY集團公司資金管理系統中的信息安全研究[D].成都:電子科技大學,2010.

[15] 叢 磊.高校財務信息化面臨的信息安全問題[J].研究會計之友,2014(11):116-118.

[16] 韓 婷,傅 川,宮 劍,等.【高校信息化典型示范/上海財經大學】高校信息化安全管理布局[J].中國教育網絡[J],2011(12):50-52.