徐 鑫，高冬元

(黑龙江省科学院石油化学研究院，哈尔滨 150040)



科研机构新技术安全应用的风险探析

徐 鑫，高冬元

(黑龙江省科学院石油化学研究院，哈尔滨 150040)

随着大数据、云计算、移动互联网等IT新技术的发展应用，移动办公、物联网、云计算正成为科研机构IT投资的重要组成部分。但是，新技术在推广、应用过程中存在的不确定因素会给科研机构、科研机构的系统和研发带来风险。科研机构应对新技术应用风险进行分析并制定策略，从而更好地应用新技术。

新技术；风险；安全；应用

随着科研机构应对其发展需要，逐步引入了智能终端和渠道类技术(移动办公、物联网)、计算能力类技术(云计算)等。但新技术在促进科研发展的同时，也带来了新的安全风险，科研机构应重视新技术带来的风险，采取合理的措施应对。

1 新技术安全应用风险分析

1.1 移动办公风险分析

第一，移动办公主体仿冒风险。移动办公的参与主体可分为办公主体(用户)和办公机构(虚拟办公机构，可分为厅、局、处、科、组等)两类。在移动办公的场景下，参与主体双方的身份认证首先要考虑安全要求。办公主体和办公机构的身份仿冒是移动办公面临的最大风险。第二，移动终端安全风险。支持移动办公的移动终端(手机、平板电脑、PDA等)与移动办公的参与主体直接相关，所以，移动终端的安全风险也是移动办公中十分重要的风险，主要表现以下三个方面：首先，终端操作系统漏洞导致的风险。其次，应用软件漏洞导致的风险。最后，移动终端病毒、木马、恶意链接导致的风险。移动终端的病毒、木马恶意程序可以记录移动办公参与主体的操作，窃取其账号、密码，对动办公参与主体造成极大威胁。第三，移动通信安全风险。移动通信安全风险主要分为近场读取风险和使用WIFI的风险。使用WIFI 的风险是指在非安全WIFI环境下进行移动办公存在的信息泄露或授权指令被篡改等风险。

1.2 物联网风险分析

第一，感知层风险。首先，二维码的风险，二维码生成简单、方便，但缺乏监管，借助二维码传播恶意链接、病毒、木马日渐增多。其次，RFID系统面临的风险。RFID标签价格低廉和设备简单，安全措施很少被应用到RFID系统中，从而使其具有先天的安全弱点，主要有：信息泄露、追踪、篡改等。信息泄露主要是一些不法单位或个人利用合法或自购读写器对RFID标签非法接入，造成标签信息泄露。追踪主要是多数RFID信息为经过加密处理，容易被个人或货物非法跟踪。篡改主要是将截获的信息篡改后再发布至接收者。第二，网络层风险。攻击者利用网络区域的开放特性和无线的特点，通过阻碍节点，破坏整个传感器的运行，从而降低可用性。无人“看守”的无线传感器更易遭到俘获、毁坏或妥协。第三，应用层风险。应用层风险主要有：超大量终端海量数据的识别和处理不足、自动处理效能的降低、自动处理过程的失控、灾难导致的业务停止、内部人员的非法干预、应用分析设备的丢失、信息泄露等。

物联网涉及多领域多行业，因此，广域范围的海量数据处理和业务控制策略将在安全性和可靠性方面面临极大挑战，特别是业务控制和隐私保护等安全问题尤为突出。

1.3 云计算风险分析

第一，集中风险。首先，传输风险。用户在云计算系统环境中传输时，用户对自身数据安全的控制能力缺失，完全依赖服务商(运行商)。如果其对数据安全控制存在疏漏，必然会导致数据泄露或丢失。其次，存储风险。A.遭受外部攻击。由于云计算采用的是虚拟化等技术实现的资源共享，与虚拟机之间的隔离、防护易受到攻击。B.对数据的控制力降低。用户无法对服务商的数据安全措施防范控制，也无法监督其内部是否对用户数据进行合法访问。C.使用风险。客户身份可能遭到冒用,云服务商内部员工窃取客户数据。D.残留风险。客户推出云计算服务时，无法监管其完全删除客户数据。第二，中断风险。由于系统遭到攻击、系统或网络中断、运行不稳定、应用程序故障、网络资源不足、高可用性集群失效、数据北非失效等原因，导致服务缓慢、中断或运行故障。第三，外包风险。云计算外包带来了所有权和经营权分离，引发安全性和可靠性风险，对科研机构现有IT外包管理能力和监管能力带来了挑战。

1.4 大数据风险分析

第一，不法分子使用大数据犯罪。首先，撞库。黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，再用字典中的用户和密码，登录其他网站、数据库等。其次，利用掌握的客户信息进行非法交易。不法分子将掌握的科研机构用户及密码信息出售给国外同业机构或企业，甚至是间谍等，从中获益，造成科研机构知识产权或机密信息泄露的风险。第二，不当使用大数据造成的声誉损害。科研机构在使用大数据时应鉴别数据来源，在未明确数据来源的情况下使用大数据，可能会出现侵犯隐私、侵权等风险，对科研机构声誉造成严重影响。第三，预测结果不准确造成决策结果错误。由于统计数据存在偏差、大数据价值密度低、数据间关联性较低的特点，科研机构运用大数据进行分析预测时，可能简单、乐观地相信“数据自己说出结论”的思维，导致以其未依托的决策结果错误。

2 新技术安全应用风险防范措施

2.1 移动办公的风险防范措施

第一，针对移动办公的参与主体身份仿冒，主要是提高参与主体双方身份仿冒防范和使用身份认证新技术。提高参与主体双方身份仿冒防范。办公机构需要确认是正确的办公主体，使用合法的账号进行办公操作。办公主体要掌握一定的真假网站、软件识别能力，确保正确进行办公操作。可以通过身份认证使用动态密码输入及硬件密钥实体按键确认组合的方式，向指定移动设备发送验证码，保证身份认证的安全。

第二，针对移动终端的安全，尽量避免使用代码开源的操作系统的移动终端设备，确保移动终端操作系统的及时升级、更新，不对系统进行“越狱”处理。移动终端应使用经过安全认证的软件应用，且软件提供商能保证软件的升级、维护。移动终端用户不随意点击陌生短信、邮件提供的链接，不随意识别非信任的二维码。移动终端还应安装正规的安全防护软件，定期进行安全扫描，降低感染病毒、木马的可能性。

第三，通信安全风险防范应完善本机构无线网络的建设，提高网络的安全性可靠性。首先，根据机构自身需求，定制严密的无线安全策略。其次，采用加密技术确保无线数据传输不被泄露。规范办公主体安全使用移动终端，非必要环境下关闭移动设备的WIFI、蓝牙、NFC等功能，防止在未知情况下的恶意数据读取。

要实现移动办公的长远可持续发展，科研机构应构建一套科学完备的安全技术体系，从基础技术和设备、安全数据及加密算法等环节夯实移动办公安全基础，与产业链(移动终端制造商商、安全软件厂商等)各方建立广泛合作，依靠产业链抵御风险。

2.2 物联网风险的防范措施

第一，感知层安全措施。针对二维码的安全措施为用户终端安装二维码监测工具，自动检测二维码中是否含有恶意链接、病毒、木马等威胁，对用户进行提示和拦截。建议用户不要随意读取或扫描二维码。针对RFID的安全措施：首先，使标签失效或沉睡标签，有效防止信息泄露。其次，有源屏蔽和主动干扰，避免RFID标签被识别。再次，建立安全密钥管理系统。构建一个需要多个网络同时控制的安全密钥管理系统，解决物联网密钥的分配、更新等安全管理问题。最后，数据处理和隐私保护。对RFID采集的信息进行轻量级加密后再传输至汇聚节点。第二，网络层安全措施。首先，建立健全安全路由体系。安全路由体系可以保证在受到威胁时仍能维持正常运行。其次，加强网络节点访问控制。访问控制体系能防止未授权的用户访问物联网感知层的节点和数据，有效保护数据安全。最后，建立有效的纠容错机制。纠容错机制使网络存在非法入侵时仍能正常运行，当网络节点失效后，仍能进行传输数据的恢复。第三，应用层安全措施。物联网的安全架构要从处理过程和业务实现两方面入手。处理过程需要建立认证机制、密钥管理、入侵检测和病毒检测等安全机制；业务实现要建立数据库访问控制、内容筛选、隐私信息保护等机制。

2.3 云计算风险的防范措施

第一，云计算服务使用决策。是否采用云计算服务，特别是采用社会化的云计算服务。只有当安全风险在用户可承受范围内，或安全风险引起的事件有适当控制或补救措施时，方可采用云计算服务。科研机构应根据自身的数据敏感程度及科研类型判断是否采用云计算服务，采用哪种模式和部署，明确自身所需云计算平台的安全保护能力。第二，服务需求管理。科研机构(用户)与云服务商(供应商)签订服务水平协议，详细说明供应商和用户的有限承诺，限定用户可获得的补救措施和彼时供应商的义务。第三，选择云服务商。在确定服务与安全需求后，为确保用户数据与业务系统安全，科研机构应从已获得安全认可的云服务商中选择适合的供应商。第四，合同约定。通过与云服务商签订合同，约定科研机构最关注的的数据保护与安全问题，以及由此产生的法律问题，明确发生纠纷时由谁来承担损害责任和赔偿责任。第五，外包检查。加强对与服务商的运行监管，根据相关规定开展信息安全检查。若有问题，则要求云服务商整改。若云服务商存在严重问题，科研机构科研选择退出服务或变更云服务商。第六，应急机制。科研机构自身应对云计算服务的可靠性、持续性进行评估，关注中断频率与预期恢复时间。网络链路应采用多个网络运营商的优质链路，做到网络连接冗余。确定云计算服务商是否有应急机制，是否可以异地备份，保证自然灾害发生时也能保护和恢复数据。

[1] 于志丹.互联网新技术新业务面临的安全风险及安全评估技术应用[J].内蒙古通信，2015，(04)：140-141.

[2] 杨叶.现代技术风险及其传播策略研究[D].成都：成都理工大学，2013.

Analysis on the risk of new technology safety application of scientific research institution

XU Xin, GAO Dong-yuan

(Institute of Petrochemistry, Heilongjiang Academy of Sciences, Harbin 150040, China)

With application of big data, cloud computing and mobile Internet, the mobile office, networking, cloud computing have become an important part of IT investment in scientific research institutions. However, the uncertain factors in the promotion of new technology will bring risks to scientific research institutions. Therefore, research institutions need to make strategies to application risks of new technology, so as to better take use of these new technologies.

New technology; Risks; Safety; Application

2016-11-12

徐鑫(1981-)，女，学士，高级工程师。

TP393.08

A

1674-8646(2017)02-0182-02