財務(wù)管理平臺安全體系分析與構(gòu)建

饒正嬋蒲天銀楊 俊

?

財務(wù)管理平臺安全體系分析與構(gòu)建

饒正嬋1，蒲天銀1，2，楊 俊3

（1．銅仁學(xué)院 大數(shù)據(jù)學(xué)院，貴州 銅仁 554300；2．銅仁學(xué)院 財務(wù)處，貴州 銅仁 554300； 3．銅仁至成信息技術(shù)有限公司，貴州 銅仁 554300 ）

隨著信息技術(shù)的發(fā)展，財務(wù)管理的信息化已成為高校財務(wù)管理系統(tǒng)發(fā)展的必然趨勢。針對高校財務(wù)系統(tǒng)安全問題進行了分析和思考，提出了相應(yīng)的解決措施與辦法。隨后，以銅仁學(xué)院財務(wù)綜合管理平臺為例，對系統(tǒng)綜合架構(gòu)、財務(wù)信息交換、安全框架及權(quán)限管理等安全問題進行了探討，并給出了解決思路。

財務(wù)管理； 信息安全； 安全架構(gòu)

0．引言

互聯(lián)網(wǎng)的快速發(fā)展和普及已經(jīng)成為工作和生活中不可或缺的一部分，給人們的生產(chǎn)和生活帶來了很大的便利。財務(wù)管理系統(tǒng)也不例外，信息技術(shù)已全面融入各行各業(yè)的財務(wù)管理體系當(dāng)中。財務(wù)報銷、會計核算、財務(wù)報告、財務(wù)數(shù)據(jù)分析等流程均能通過財務(wù)管理綜合平臺在開放的網(wǎng)絡(luò)體系中完成。但互聯(lián)網(wǎng)作為一個開放的網(wǎng)絡(luò)平臺，在進行信息交流與傳播的過程中，必然會出現(xiàn)信息安全問題，而財務(wù)信息恰恰是任何一個單位的財經(jīng)決策的生命線。如果財務(wù)數(shù)據(jù)的安全性得不到保證，表明該單位的經(jīng)濟底線被突破，會嚴(yán)重影響其經(jīng)濟發(fā)展和資金的安全[1]。因此，財務(wù)綜合管理平臺的安全體系的構(gòu)建已成一個極為重要的問題。

1．財務(wù)綜合管理平臺架構(gòu)

高校在構(gòu)建財務(wù)綜合管理平臺時，必須充分考慮數(shù)字化校園建設(shè)以及財務(wù)信息化建設(shè)需要，采用功能更強大、安全性能更高的軟件平臺。我校選擇了用友公司的UAP（Unified Application Platform）平臺軟件系統(tǒng)。該平臺在安全體系構(gòu)建及功能等方面均作了充分的考慮。其財務(wù)綜合管理平臺，主要包括了七個部分：開發(fā)平臺、集成平臺、動態(tài)建模平臺、商業(yè)分析平臺、數(shù)據(jù)處理平臺、云管理平臺和運行平臺。

我校財務(wù)有一套體現(xiàn)用友自身水平的框架思路，特別是在安全控制方面，針對身份認證、安全檢測、數(shù)據(jù)防護、日志與審計等構(gòu)建了相應(yīng)的安全體系，具體如圖1所示。

2．管理系統(tǒng)數(shù)據(jù)交換流分析

任何一個信息化管理平臺在應(yīng)用過程中，必然有多種數(shù)據(jù)交換流存在。財務(wù)管理系統(tǒng)更是如此，主管部門財務(wù)核算與控制工作除了需求核算和控制本單位的經(jīng)濟業(yè)務(wù)外，還需要管理其他部門的部分財務(wù)信息，為國家財政、稅務(wù)、資產(chǎn)管理部門提供有用的經(jīng)濟信息[2]。高校財務(wù)管理平臺數(shù)據(jù)交換呈現(xiàn)體量大、安全要求級別高、數(shù)據(jù)交換頻繁等特征。主要有如下幾方面的數(shù)據(jù)流。

（1）上級主管部門的數(shù)據(jù)交換。其數(shù)據(jù)量較大。一是與財政部門預(yù)算編審系統(tǒng)交換信息。主管部門本身是部門預(yù)算單位，需要通過本部門內(nèi)部財務(wù)管理系統(tǒng)與財政部門預(yù)算編審系統(tǒng)進行預(yù)算編報數(shù)據(jù)交換；二是與財政部門國庫集中支付系統(tǒng)交換信息；三是財政部門決算報表系統(tǒng)間的信息交換。財務(wù)決算是主管部門預(yù)算執(zhí)行情況的重要內(nèi)容，也是主管部門財務(wù)管理系統(tǒng)對整體財務(wù)狀況及成果的全面反映，是所有行政事業(yè)單位最重要工作之一。因此，實現(xiàn)主管部門財務(wù)管理系統(tǒng)與財政部門目前所使用的決算報表系統(tǒng)間的信息交換，可大大提高主管部門財務(wù)工作的效率與質(zhì)量。

圖1 用友綜合平臺架構(gòu)

Fig.1 the system architecture of UFIDA

（2）金融系統(tǒng)數(shù)據(jù)交換。數(shù)據(jù)安全要求級別最高，主要體現(xiàn)為資金的收支數(shù)據(jù)，該部分?jǐn)?shù)據(jù)安全級別最高，風(fēng)險最大。隨著現(xiàn)代金融業(yè)務(wù)發(fā)展，網(wǎng)上銀行已成為最基本的支付途徑，也是現(xiàn)代網(wǎng)絡(luò)技術(shù)逐步成熟后出現(xiàn)的先進資金管理方式，而通過主管部門內(nèi)部財務(wù)管理信息系統(tǒng)與網(wǎng)上銀行系統(tǒng)的連接與實時交換，是先進的內(nèi)部管理信息系統(tǒng)與便捷的外部銀行資金管理手段的結(jié)合。

（3）學(xué)校內(nèi)部數(shù)據(jù)交換。數(shù)據(jù)最頻繁：一是學(xué)校相關(guān)職能部門的數(shù)據(jù)交換，主要有學(xué)生數(shù)據(jù)、教職工數(shù)據(jù)、資產(chǎn)管理數(shù)據(jù)。這類數(shù)據(jù)是財務(wù)綜合系統(tǒng)數(shù)據(jù)流動性最強，頻度最高的一種。其次還有學(xué)生交費、教職工財務(wù)報銷、數(shù)據(jù)查詢等，其數(shù)據(jù)交換也較為頻繁。

3．系統(tǒng)的拓撲結(jié)構(gòu)

銅仁學(xué)院財務(wù)綜合管理平臺在構(gòu)建時，將服務(wù)器放置在高校內(nèi)網(wǎng)中，與校園網(wǎng)服務(wù)器相聯(lián)結(jié)，同時也為信息通訊應(yīng)用平臺提供服務(wù)。通過校園網(wǎng)和Internet之間建一個防火墻，將校園網(wǎng)與Internet連結(jié)。為移動應(yīng)用打通兩網(wǎng)的連結(jié)通道。這種連接模式采用物理的防火墻，從根本上將UAP系統(tǒng)安全提高到了較高的等級，連接模式如圖2所示。

4．財務(wù)綜合系統(tǒng)安全架構(gòu)分析

對系統(tǒng)安全而言，單純靠某一項技術(shù)是無法保證的，在設(shè)計中應(yīng)考慮一種合適的安全框架。一般來講，信息的安全保障體系由安全服務(wù)、協(xié)議層次、系統(tǒng)單元三個層面構(gòu)成，每一個層面包括相應(yīng)安全管理的內(nèi)容[3]。如圖3所示，該圖是一個通用的安全體系框架模型。用友開發(fā)的UAP平臺是專門針對當(dāng)前大中型企業(yè)單位與相關(guān)組織應(yīng)用一體的平臺。該平臺采用可視化技術(shù)，將軟件開發(fā)整個過程融為一體，覆蓋軟件生命周期全過程。我們知道，軟件行業(yè)應(yīng)用系統(tǒng)的核心軟件是應(yīng)用軟件，既為應(yīng)用，其安全問題是首要考慮的問題，而作為財務(wù)管理平臺，安全又是重中之重，可以這樣講，衡量一個財務(wù)綜合平臺是否成功，信息的安全是第一要素。UAP平臺中，從功能角度出發(fā)，在滿足客戶的需求的基礎(chǔ)上，要求軟件系統(tǒng)能夠安全、穩(wěn)定地運行。因此，在實踐中，平臺與客戶在溝通之前，就需要為其建立完善的安全保障體系[4-5]。UAP在安全方面作了全面的考慮，整個安全框架設(shè)計整合了很多因素，具體情況如圖4所示。

圖2 財務(wù)信息系統(tǒng)結(jié)構(gòu)

Fig.2 the structure of financial information system

圖3 通用安全體系結(jié)構(gòu)模型

Fig.3 the model of general security architecture

4．1．架構(gòu)分析

UAP安全架構(gòu)為客戶的應(yīng)用安全設(shè)計了一套應(yīng)用性極強的安全框架。該框架從五個層面上加以考慮，即安全策略、安全管理、系統(tǒng)安全、安全合規(guī)以及多種安全基礎(chǔ)技術(shù)。前兩個是框架性安全分析，后三個是環(huán)境、政策的安全，但核心是系統(tǒng)安全分析。下面針對每一個層面的問題作簡單分析。

（1）安全策略問題 這是UAP最頂層的設(shè)計，也是UAP的戰(zhàn)略考慮，基本內(nèi)容是平臺綜合目標(biāo)確定。即根據(jù)目標(biāo)進行多方位的安全分析，從軟件功能需求作為入口，針對每一項需求分析其安全隱患，并對每一個隱患進行綜合評估。評估后需制定詳細的安全控制與實施方案，在這個環(huán)節(jié)中，還需要做一項重要的工作就是對安全風(fēng)險進行預(yù)警，即對關(guān)鍵安全風(fēng)險問題進行預(yù)判和控制。

（2）安全管理 這一層面是安全策略的具體實施過程，該層面主要考慮與安全相關(guān)的工作，包括安全配置管理、軟件項目升級補丁、事件響應(yīng)機制、系統(tǒng)運行異常監(jiān)控、功能監(jiān)控、性能監(jiān)控等。

（3）觀點安全問題 更加詳細地對每個環(huán)節(jié)的安全加以分析，從微觀到宏觀對架構(gòu)進行全面的分析。這里的微觀指的是數(shù)據(jù)和存儲安全，宏觀指的是網(wǎng)絡(luò)和云端的安全。

該層面的安全在平臺中處于核心地位。其中，數(shù)據(jù)存儲安全問題考慮了數(shù)據(jù)存儲、管理、訪問、數(shù)據(jù)隱私、數(shù)據(jù)隔離、數(shù)據(jù)一致性、RAID等系列的安全問題。服務(wù)器安全中考慮了五類服務(wù)安全，即應(yīng)用服務(wù)、WEB服務(wù)、文件服務(wù)、郵件服務(wù)、消息服務(wù)。

（4）安全合規(guī)性 一是政策性安全層面。該層面實際上是軟件平臺的肌體，沒有這些內(nèi)容的支撐，該框架對平臺完成什么、達到什么目的、如何達到目的等問題將缺乏響應(yīng)；二是安全技術(shù)，包括CA認證、加密/解密、動態(tài)密碼、USB Key、SSL、IPSec、VPN、https等。同時可支持多格式、多形式、定時與實時、指定執(zhí)行方法及數(shù)據(jù)交換任務(wù)。還涵蓋了統(tǒng)一的財務(wù)權(quán)限控制機制、消息服務(wù)管理接口、業(yè)務(wù)日志、統(tǒng)一系統(tǒng)服務(wù)管理、統(tǒng)一的業(yè)務(wù)流程管理、預(yù)留安全認證管理接口，如電子簽名、CA等。

圖4 UAP安全架構(gòu)

Fig. 4 the security architecture of UAP

4．2．系統(tǒng)權(quán)限管理分析

對系統(tǒng)操作員進行設(shè)置，可增加或刪除操作員、進行操作員密碼設(shè)置或重置等，這里的操作員包括系統(tǒng)管理員、用戶組和操作員等，并為系統(tǒng)管理員、用戶組和操作員設(shè)置相應(yīng)權(quán)限，具體情況如圖5所示。

圖5 系統(tǒng)權(quán)限管理體系

Fig. 5 the authority management system

系統(tǒng)中有且僅有一個系統(tǒng)管理員賬號，其具有系統(tǒng)操作權(quán)限。普通用戶可下設(shè)多個賬號，不同普通用戶可在不同終端同時使用系統(tǒng)。

權(quán)限管理是系統(tǒng)正常運行的重要保證，是構(gòu)建安全系統(tǒng)的基礎(chǔ)手段。系統(tǒng)將用戶與權(quán)限進行掛接，將權(quán)限的劃分細化到菜單以及單張報表。針對用戶的操作權(quán)限控制分為查看、修改、禁用等幾種方式，用戶登陸后僅會顯示權(quán)限范圍之內(nèi)的菜單，沒有權(quán)限的菜單將不會顯示。權(quán)限管理實現(xiàn)了按人員對系統(tǒng)功能菜單、報表、數(shù)據(jù)權(quán)限進行授權(quán)。對于同一套報表、同一個單位，支持定義該單位每個業(yè)務(wù)人員可以看到不同的表樣，有利于數(shù)據(jù)保密、協(xié)同辦公。

（1）權(quán)限大小管理 這種類型的設(shè)計是基于訪問相應(yīng)財務(wù)平臺功能大小，根據(jù)功能需求分配相應(yīng)的權(quán)限。系統(tǒng)提供功能的使用分配原則是不同級別的用戶被分配使用不同的子系統(tǒng)，這里所指的子系統(tǒng)主要是功能和模塊，其中功能即系統(tǒng)提供的所有功能項目，如初始化、評審、摘要、查詢、統(tǒng)計與分析、平臺維護等。

（2）單位權(quán)限管理 這種權(quán)限主要是考慮一個單位之間有幾個管理層，根據(jù)管理層次的高低分配相應(yīng)的訪問權(quán)限。一般來講，上級單位能夠訪問下級單位的所有上報數(shù)據(jù)，也可以指定是否可以讀、寫等操作。下級單位可以通過管理員設(shè)定權(quán)限訪問上級單位的數(shù)據(jù)，或者更上一級單位的數(shù)據(jù)。銅仁學(xué)院采用二級管理模式，校級一層由學(xué)校財務(wù)處統(tǒng)一管理，針對二級學(xué)院及職能部門設(shè)置財務(wù)聯(lián)系人，聯(lián)系人員和部門負責(zé)人可在限定的范圍內(nèi)訪問財務(wù)數(shù)據(jù)，具有指定的權(quán)限。

（3）數(shù)據(jù)權(quán)限管理 財務(wù)信息的訪問權(quán)限是安全級別較高的層級，針對不同的用戶，哪些數(shù)據(jù)只能讀不能寫，作為平臺開發(fā)人員是必須全面考慮的。在UAP平臺設(shè)計中有基礎(chǔ)數(shù)據(jù)、記賬數(shù)據(jù)、決算數(shù)據(jù)等多種類型。針對每一種不同的數(shù)據(jù)，再考慮其級別劃分，如基礎(chǔ)數(shù)據(jù)中的教職工信息的身份證號、銀行卡號，用戶口令等。

（4）用戶及角色權(quán)限管理 數(shù)據(jù)權(quán)限功能可按指標(biāo)/指標(biāo)組、表單、查詢模板等對用戶授權(quán)。UAP平臺在設(shè)計之初對數(shù)據(jù)安全作了重要的規(guī)劃。在UAP中，對用戶和角色進行了統(tǒng)籌的規(guī)劃與設(shè)計，有若干的用戶同時也有若干的角色，平臺設(shè)計時將他們視為一種資源。從數(shù)據(jù)操作的角度看，一般有四項權(quán)限：讀、寫、授權(quán)、刪除，每一個用戶定義為一種或多種角色，每個角色完成的操作有其特定的范圍，也就是設(shè)定相應(yīng)的權(quán)限[6]。讀、寫、授權(quán)、刪除屬性與我們一般訪問數(shù)據(jù)的權(quán)限完全相同。

5．結(jié)論

財務(wù)信息系統(tǒng)為財務(wù)工作帶來了快捷與方便的同時，其安全問題也日益突出。對此，針對高校財務(wù)系統(tǒng)數(shù)據(jù)交換中存在一大兩高的問題，以用友軟件安全解決方案為基礎(chǔ)，討論了網(wǎng)絡(luò)安全對財務(wù)引發(fā)的風(fēng)險，提出了相應(yīng)的解決措施與辦法。盡管如此，如何確保財務(wù)系統(tǒng)的安全運行，仍是財務(wù)綜合管理平臺設(shè)計與構(gòu)建中不可回避的問題。

[1] 戴必明，沈洪濤，左元麗．當(dāng)前高校財務(wù)安全體系構(gòu)建研究[J]．經(jīng)濟師，2013，3：120-122．

[2] 蘇佩堯．信息化條件下高校財務(wù)系統(tǒng)安全隱患點及管理對策初探[J]．大慶師范學(xué)院學(xué)報，2014，5（3）：98-100．

[3] 季小明，任詩流．基于云計算的我國高校財務(wù)平臺架構(gòu)研究[J]．信息技術(shù)與信息化，2017（11）：111-113．

[4] 馬銘鑫，史國振，王亞瓊，等．適用于分布式系統(tǒng)的多級安全訪問控制策略[J]．網(wǎng)絡(luò)與信息安全學(xué)報，2017（8）：32-38．

[5] 班瑞，屠禮彪，劉惠明，等．基于云計算的大數(shù)據(jù)平臺安全策略研究[J]．郵電設(shè)計技術(shù)，2017（10）：74-78．

[6] 劉曉坦，李曉雯，崔翔．基于可信計算的多級安全策略研究[J]．電子設(shè)計工程，2016（10）：148-150．

The Safety and Design of Financial Management System

RAO Zhengchan1, PU Tianyin1,2, YANG jun3

( 1. School of Big Data, Tongren University, Tongren 554300, Guizhou, China; 2. Finance Department, Tongren University, Tongren 554300, Guizhou, China; 3. Zhicheng Info Technologies, Tongren 554300, Guizhou, China )

With the development of information technology, financial management information is the trend and the way of financial management for colleges and universities. The paper analyzes the security of information system, and measures and ways are presented for this issue. Thus, the financial management system of Tongren University, as a example, the system architecture, financial data exchange, security and rights management were analyzed and solution ways were provided.

financial management, information security, security architecture

G475

A

1673-9639 (2018) 09-0058-05

2018-05-17

貴州省科技廳科技合作項目（黔科合LH 字[2015]7251）。

饒正嬋（1976-），女，貴州銅仁人，碩士，副教授、研究方向：數(shù)據(jù)挖掘，E-mail: 68353554@qq.com.

（責(zé)任編輯 田 波）（責(zé)任校對 謝 勇）