一种财务信息的安全防护方法与流程

1.本发明涉及数据的安全防护技术领域，尤其是指一种财务信息的安全防护方法。


背景技术：

2.伴随着电力企业改革的不断深化以及不断发展，对于电力企业财务信息的管理重要性也在不断提升。由于电力企业相较于其他企业具有资金量大以及资金种类繁多等特点，对于财务信息的管理人员的需求量也很大，这就造成了在管理过程中财务信息安全性得不到保障的问题。由于财务信息管理工作量大，在管理过程中容易出现漏洞，从而导致财务信息泄漏或被恶意篡改，造成电力企业的损失。且现有的财务信息管理系统中，仅对管理账户进行单一权限校验，对于财务信息的安全防护力较低，且财务信息的内容的重要性不同，财务信息面对的管理人员类型也不同，若都仅用单一的权限校验即开放所有财务信息的管理权限，无法保证重要财务信息的安全。


技术实现要素：

3.本发明的目的是克服现有技术中的缺点，提供一种财务信息的安全防护方法。
4.本发明的目的是通过下述技术方案予以实现：
5.一种财务信息的安全防护方法，包括以下步骤：
6.步骤一，数据接收模块接收财务信息数据，并将财务信息数据传输至财务信息分析模块；
7.步骤二，财务信息分析模块根据预设业务规则条件对财务信息数据进行合法性识别，并在识别过程中对判断为非法财务信息数据的财务信息数据进行标记，识别完成后，财务信息分析模块将标记为非法财务信息数据的财务信息数据进行过滤删除处理，财务信息分析模块将识别为合法财务信息数据的财务信息数据传输至数据库内进行储存；
8.步骤三，控制模块在接受到用户提交的访问请求后，对提交访问请求的用户账号授权关系进行访问权限校验；
9.步骤四，若提交访问请求的用户账号未通过访问权限的校验，则控制模块拒绝该用户账号的访问请求，若提交访问请求的用户账号通过访问权限，则控制模块为该用户账号开放相应财务信息数据的访问权限。
10.在将财务信息数据传输至数据库前，基于预设的各种业务规则条件，批量并行智能化的先对财务信息数据进行合法性判断，通过合法性判断能够获取财务信息数据的防止经过恶意篡改的财务信息数据被储存至数据库，保护数据库内原有财务信息数据的安全。且对用户账号的访问权限进行校验，防止有财务信息数据发生泄漏或遭到篡改。
11.步骤二中财务信息分析模块在对财务信息数据进行合法性识别前，还对财务信息数据进行分类处理。
12.由于财务信息数据具备不同的数据类型，每种数据类型对应的合法性判断规则不同，通过合法性判断能够对财务信息数据进行合法合规判定，所以在财务信息数据进行合
法性判断前，先对财务信息数据进行分类，并针对性的设定相关规则和智能算法，保证合法性判断的准确性。且由于财务信息数据量很大，需进行批量并行计算，所以进行分类处理和针对性规则算法预配置，使得后续的进行数据查看时能够更加快速地获取所需数据。
13.步骤二中在将判断为财务信息数据为合法财务信息数据传输至数据库内进行储存后，控制模块还根据财务信息数据的分类结果对数据库内财务信息数据的访问权限以及操作权限进行设置，每类财务信息数据设置有对应的授权用户名清单和授权操作账号名单以及对应的授权逻辑和授权范围，所述授权用户名清单内包括授权用户的用户名信息以及对应的访问权限口令，所述授权操作账号名单内包括授权用户的账号以及对应的操作权限口令，在进行访问权限和操作权限校验时，通过sm3算法对访问权限口令以及操作权限口令进行处理获取混淆字符串，根据混淆字符串进行访问权限和操作权限的校验。
14.对财务信息数据的访问权限以及操作权限分别进行设置，将访问权限以及操作权限进行分开校验能够降低财务信息数据管理过程中的数据泄漏以及恶意篡改能风险。
15.sm3算法(国密3算法)是一种256位消息摘要算法，具备不可逆性，因此在进行权限校验时，采用sm3算法对权限口令进行混淆处理，根据通过sm3算法进行混淆处理后的权限口令进行权限校验，可以有效防止权限数据泄漏后权限口令被破解而带来的安全风险，保护财务信息的安全。
16.对比结果显示一致，则访问权限校验通过，若对比结果显示不一致，则访问权限校验不通过。
17.每类财务信息数据对应不同的授权用户名清单，由于财务信息数据类型多样，数据量大，财务信息管理人员也较杂，仅对与每类财务信息数据相关的人员账号设置为授权用户，进一步限制财务信息管理人员对于财务信息数据的访问权限，降低财务信息数据泄漏风险。
18.当用户发出财务信息数据操作申请时，控制模块还对该用户账号进行操作权限校验，所述操作权限校验的具体过程为：控制模块根据用户提交的操作申请获取用户申请操作的财务信息数据类型，控制模块提取数据库内该财务信息数据类型对应的授权操作账号名单，控制模块再将用户账号与授权操作账号名单进行比对，若用户账号不在授权操作账号名单内，则拒绝该用户的财务信息数据操作申请；若用户账号在授权操作账号名单内，则控制模块通过数据交互模块向用户发出操作权限口令输入请求，将授权操作名单内该用户账号对应的操作权限口令以及用户输入的操作权限口令通过sm3算法进行处理，获取对应的混淆字符串，并将用户输入的操作权限口令与授权操作账号名单内该用户账号对应的操作权限口令对应的混淆字符串进行比对，若对比结果显示一致，则开放该用户的财务信息数据操作权限；若不一致，则拒绝该用户的财务信息数据操作申请。
19.将访问权限和操作权限进行分别校验，为了防止财务信息数据被恶意篡改，对财务信息数据的操作权限进行限制，仅有具备操作资格账号的用户能对财务信息数据进行操作修改。
20.财务信息分析模块在对财务信息数据进行分类处理时，财务信息分析模块还对根据预设敏感财务信息数据类型提取出的财务信息数据进行敏感标记处理。
21.对于敏感财务信息数据进行敏感标记，在用户进行财务信息数据访问或操作时，在查阅敏感财务信息数据时，能够通过敏感标记快速获取相关信息。且由于敏感财务信息
数据的重要性，所以需要对敏感财务信息数据的访问或操作过程进行记录，通过敏感标记也能够快速定位敏感财务数据的访问或操作记录。
22.步骤二所述财务信息分析模块对财务信息数据进行合法性识别的具体过程为：根据财务信息数据的分类结果选取其中一类财务信息数据，首先将选取出的财务信息数据与非法字符表进行比对，筛选出财务信息数据内的非法字符，并将筛选出的非法字符所属财务信息数据作为非法财务信息数据；再对除非法字符外的财务信息数据进行数据缺失筛查，并根据预设的规则利用同类财务信息数据的平均值对缺失的财务信息数据进行填充；再基于填充后的财务信息数据进行离群值检测，筛选出财务信息数据内的离群数据，计算出财务信息数据除去离群数据后其他数据的平均值和平均偏差值，并根据计算得到的平均值和平均偏差值对离群数据进行异常判断，筛选出离群数据中的异常数据和非异常数据，将筛选出的异常数据作为非法财务信息数据，再将除异常数据外的财务信息数据与该财务信息数据所属数据类型对应的正则表达式进行比较，筛选出财务信息数据中的无效数据，将筛选出的无效数据作为非法财务信息数据，剩余财务信息数据则为合法财务信息数据。
23.由于财务信息数据类型并不相同，其对应的合法性判断校验规则也不同，如离群值的判断以及数据缺失填充等均需要根据具体的数据类型以及对应的业务领域来进行智能综合处理判断，所以根据数据类型分别进行合法性校验，进一步保证储存至数据库的财务信息数据的安全性和准确性。
24.步骤四所述控制模块为通过访问权限的用户账号开放财务信息数据访问权限后，用户登录用户账号后通过数据交互模块对数据库内财务信息数据进行访问。
25.步骤四中当提交访问请求的用户账号未通过访问权限校验时，还通过日志记录模块记录未通过访问权限校验的用户账号的相关信息。
26.记录未通过访问权限校验的用户账号的相关信息，及时对其进行排查，防止有非法访问的情况出现，及时降低财务信息数据泄漏风险。
27.在用户访问或操作财务信息数据后，还通过安全审计模块对用户访问或操作财务信息数据的具体情况进行安全审计，并通过日志记录模块对审计结果进行记录。
28.本发明的有益效果是：
29.由于财务信息数据类型多且数据量大，在储存财务信息数据前对财务信息数据进行分类，并对分类所得每类财务信息数据进行对应的合法性校验，提高数据库内财务信息数据的准确性，降低财务信息数据错误率。且对财务信息数据的访问及操作权限进行分开校验，通过多次校验来保证财务信息数据的安全性。且每类财务信息数据设置对应的授权账号，科学化每个授权账号的权限，且还对每个授权账号进行权限口令的限制，通过sm3算法对权限口令进行混淆处理，利用混淆处理后所得混淆字符串进行权限校验，进一步降低因非法盗用授权账号和权限数据泄漏而造成的损失。对于财务信息数据的访问或操作过程进行实时安全审计，进一步提高了财务信息数据的安全性。
附图说明
30.图1是本发明的一种流程示意图；
31.图2是本发明实施例的一种用户访问权限校验流程示意图；
32.图3是本发明实施例的一种用户操作权限校验流程示意图。
具体实施方式
33.下面结合附图和实施例对本发明进一步描述。
34.实施例：
35.一种财务信息的安全防护方法，如图1所示，包括以下步骤：
36.步骤一，数据接收模块接收财务信息数据，并将财务信息数据传输至财务信息分析模块；
37.步骤二，财务信息分析模块根据预设业务规则条件对财务信息数据进行合法性识别，并在识别过程中对识别为非法财务信息数据的财务信息数据进行标记，识别完成后，财务信息分析模块将标记为非法财务信息数据的财务信息数据进行过滤删除处理，财务信息分析模块将识别为合法财务信息数据的财务信息数据传输至数据库内进行储存；
38.步骤三，控制模块在接受到用户提交的访问请求后，对提交访问请求的用户账号授权关系进行访问权限校验；
39.步骤四，若提交访问请求的用户账号未通过访问权限的校验，则控制模块拒绝该用户账号的访问请求，若提交访问请求的用户账号通过访问权限，则控制模块为该用户账号开放相应财务信息数据的访问权限。
40.步骤二中财务信息分析模块在对财务信息数据进行合法性识别前，还对财务信息数据进行分类处理。
41.步骤二中在将判断为财务信息数据为合法财务信息数据传输至数据库内进行储存后，控制模块还根据财务信息数据的分类结果对数据库内财务信息数据的访问权限以及操作权限进行设置，每类财务信息数据设置有对应的授权用户名清单和授权操作账号名单以及对应的授权逻辑和授权范围，所述授权用户名清单内包括授权用户的用户名信息以及对应的访问权限口令，所述授权操作账号名单内包括授权用户的账号以及对应的操作权限口令，在进行访问权限和操作权限校验时，通过sm3算法对访问权限口令以及操作权限口令进行处理获取混淆字符串，根据混淆字符串进行访问权限和操作权限的校验。
42.对于授权用户名清单以及授权操作账号名单通过管理员账号进行操作修改，且对于访问权限口令和操作权限口令进行限制，包括将口令限制为最小长度为8位，并将口令限制为由字母、数字或特殊字符混合组成的字符串，且禁止与用户名相同，进一步降低口令的泄漏风险。且定期更换访问权限口令和操作权限口令，并将更换周期定为90天，防止由于管理人员的变动而导致权限口令泄漏，从而对财务信息数据的管理造成影响。
43.步骤三中控制模块在接受到用户提交的访问请求后，如图2所示，对提交访问请求的用户账号进行访问权限校验的具体过程为：控制模块根据用户提交的访问请求获取用户申请访问的财务信息数据类型以及用户账号信息，并提取该财务信息数据类型对应的授权用户名清单以及用户账号信息内的用户名信息，控制模块首先将用户名信息与数据库内储存的授权用户名清单进行查找比对，若用户名信息不在授权用户名清单内，则该用户账号访问权限校验不通过；若用户名信息在授权用户名清单内，则控制模块提取授权用户名清单上该用户名信息对应的访问权限口令以及用户账号信息内的访问权限口令，并通过sm3算法对用户名信息对应的访问权限口令以及用户账号信息的访问权限口令进行处理获取对应的混淆字符串，并将用户账号信息内的访问权限口令对应的混淆字符串与授权用户清单上该用户名信息对应的访问权限口令的混淆字符串进行比对，若访问权限口令对比结果
显示一致，则访问权限校验通过，若对比结果显示不一致，则访问权限校验不通过。
44.当用户发出财务信息数据操作申请时，控制模块还对该用户账号进行操作权限校验，如图3所示，所述操作权限校验的具体过程为：控制模块根据用户提交的操作申请获取用户申请操作的财务信息数据类型，控制模块提取数据库内该财务信息数据类型对应的授权操作账号名单，控制模块再将用户账号与授权操作账号名单进行比对，若用户账号不在授权操作账号名单内，则拒绝该用户的财务信息数据操作申请；若用户账号在授权操作账号名单内，则控制模块通过数据交互模块向用户发出操作权限口令输入请求，将授权操作名单内该用户账号对应的操作权限口令以及用户输入的操作权限口令通过sm3算法进行处理，获取对应的混淆字符串，并将用户输入的操作权限口令输入请求与授权操作账号名单内该用户账号对应的操作权限口令对应的混淆字符串进行比对，若对比结果显示一致，则开放该用户的财务信息数据操作权限；若不一致，则拒绝该用户的财务信息数据操作申请。若用户选择对财务信息数据进行删除操作，则对用户的删除操作进行二次确认，需要用户再次输入操作权限口令才能实现财务信息数据的删除操作，防止出现用户误操作的情况出现。
45.财务信息分析模块在对财务信息数据进行分类处理时，财务信息分析模块还对根据预设敏感财务信息数据类型提取出的财务信息数据进行敏感标记处理。
46.步骤二所述财务信息分析模块对财务信息数据进行合法性识别的具体过程为：根据财务信息数据的分类结果选取其中一类财务信息数据，首先将选取出的财务信息数据与非法字符表进行比对，筛选出财务信息数据内的非法字符，并将筛选出的非法字符所属财务信息数据作为非法财务信息数据；再对除非法字符外的财务信息数据进行数据缺失筛查，并根据预设的规则利用同类财务信息数据的平均值对缺失的财务信息数据进行填充；再基于填充后的财务信息数据进行离群值检测，筛选出财务信息数据内的离群数据，计算出财务信息数据除去离群数据后其他数据的平均值和平均偏差值，并根据计算得到的平均值和平均偏差值对离群数据进行异常判断，筛选出离群数据中的异常数据和非异常数据，将筛选出的异常数据作为非法财务信息数据，再将除异常数据外的财务信息数据与该财务信息数据所属数据类型对应的正则表达式进行比较，筛选出财务信息数据中的无效数据，将筛选出的无效数据作为非法财务信息数据，剩余财务信息数据则为合法财务信息数据。
47.所述离群数据通过4d检验法进行判别，所述4d检验法的异常判断公式为：
[0048][0049]
其中：x
out
为离群数据值，为除去离群数据后其他数据的平均值，为除去离群数据后其他数据的平均偏差值。
[0050]
对传输的财务信息数据进行合法判断，如表单、参数类数据需要筛选出其中的非法字符进行删除，以降低被注入式攻击的潜在风险。非法字符包括《》"'％()& -*\\'\"以及and/or/insert/update/delete/where/join等sql常用字符串，却根据非法字符建立非法字符数据库以实现非法字符的管理，在后续需要添加进行过滤处理的新的非法字符时，将所述新的非法字符添加至非法字符数据库。通过筛选并删除非法字符能够防止有恶意代码存储至数据库，提高数据库内原有财务信息数据的安全性。且对于所有数据均进行完整性验证，针对数据缺失、异常等情况进行日志记录跟踪。
[0051]
步骤四所述控制模块为通过访问权限的用户账号开放财务信息数据访问权限后，用户登录用户账号后通过数据交互模块对数据库内财务信息数据进行访问。
[0052]
步骤四中当提交访问请求的用户账号未通过访问权限校验时，还通过日志记录模块记录未通过访问权限校验的用户账号的相关信息。
[0053]
在访问权限校验未通过时，对提交访问请求的用户账号进行排查，排查范围包括网络地址、时间、操作人账号信息等。
[0054]
在用户访问或操作财务信息数据后，还通过安全审计模块对用户访问或操作财务信息数据的具体情况进行安全审计，并通过日志记录模块对审计结果进行记录。
[0055]
安全审计模块对用户的访问、数据插入、数据删除、数据更新或其他自定义操作等进行实时审计，通过用户的访问或操作命令获取对应的源ip地址、目的ip地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等数据，能够实现安全事件准确的全程跟踪定位。
[0056]
以上所述的实施例只是本发明的一种较佳的方案，并非对本发明作任何形式上的限制，在不超出权利要求所记载的技术方案的前提下还有其它的变体及改型。