云共享下科研院所信息系统安全问题分析及防范
2022-12-18赵竹明赵圣涛
赵竹明 于 津 赵圣涛 张 颖
(中国水产科学研究院黄海水产研究所,山东 青岛 266071)
一、科研院所财务云发展与现状
2013年,浪潮集团首次提出“财务云”,以期实现财务共享服务、财务管理和资金管理三个功能的统一。财务云是将集团企业财务共享管理模式与云计算、移动互联网、大数据等计算机技术有效融合,实现财务共享服务、财务管理、资金管理三个中心合一,建立集中、统一的企业财务云中心,支持多终端接入模式,实现核算、报账、资金、决策等环节在全集团内的管理协同应用。
2015年以来,农业农村部对所属的部分科研院所给予了信息化立项的资金支持,个别院所也进行了有益尝试,建立了科研院所财务云,实现了部分财务功能的云共享,极大地提高了科研院所运营效率,降低了运营成本,减少了内控风险。
近年来,科研院所内控管理引进财务云,财务云管理应用的价值及优势主要体现在以下几方面:一是实现科研院所财务数据共享,通过财务云规划建设,减少人员和软硬件系统的重复设置,降低整体运营成本。二是实现管理会计决策参考功能,通过财务数据共享服务,可以实现某些数据的集中和建模分析,可以深度挖掘数据揭示出来的深层次问题,进而为决策者提供数据参考,更好地服务于科研院所决策和运营。三是助推科研院所实现整合效益,通过财务云数据共享提升科研院所的整合能力,支持科研院所业务整合和快速扩张,实现整合效益。四是提高内控管理质量水平,通过财务云数据共享,可以标准化科研院所业务流程、专业化人才队伍、精准化信息服务,一系列的标准化、专业化和精细化可以提高科研院所工作效率,大大提高科研院所管理质量水平。
科研院所应用财务云有效结合了财务共享管理模式与移动互联网、大数据、云计算、信息处理技术等,系统化地建立了财务共享服务、财务管理以及资金管理“三合一”的集中化、统一化的财务云中心,可实现多终端的接入。科研院所实现财务云共享功能可以提高科研院所运营效率,降低运营成本,减少内控风险,还可以提供及时、准确、完整的财务信息,提升运营能力。现阶段,我国科研院所开始逐步建设财务共享中心,实现云共享。然而,在实施财务云的进程中,随着财务信息化、智能化的推进,云共享下科研院所信息系统安全问题也日渐凸显。科研院所信息一旦泄露或被篡改,将会给科研院所带来极大的危害。基于此,本文研究云共享下科研院所信息系统安全问题具有重要的现实意义。
二、云共享下科研院所财务信息系统安全问题分析
(一)科研院所网络信息安全意识不强
有些科研院所信息安全意识不强,尚没有建立完善的网络安全管理制度,信息系统网络安全工作的开展缺乏能够遵循的管理办法。对于财务信息系统,网络安全至关重要,系统中不仅存储着使用人的基本信息,还有科研院所宝贵的核心财务数据。部分科研院所云端财务信息系统没有及时进行网络安全等级测评,原有系统漏洞无法发现;后期系统维护时,也未及时修补已知的网络安全漏洞。还有一些财务系统的使用人所用电脑未安装防火墙、网络安全组件等防护工具,系统登录密码仍使用弱口令,没有手机短信验证等安全认证方式。
(二)计算机病毒的破坏
当前,随着信息技术不断发展,信息技术的应用领域及应用深度也不断拓展,与此同时,不同种类、不同形式的计算机病毒也逐渐渗透到社会各个领域。计算机病毒是具有严重的破坏性、能主动复制代码,根据编制者的主观意向及编制水平的不同,其破坏能力也有所不同,进而对信息系统造成不同程度的破坏。云共享下科研院所的财务信息系统建立,也是依托计算机信息技术,也存在着被计算机病毒破坏的风险,可能给科研院所健康发展带来极大的威胁。
(三)Web应用所面临的安全威胁
当前,云共享下的财务信息系统就是以Web应用形式实现的,随着计算机网络应用架构从客户端/服务器(C/S)转为浏览器/服务器(B/S),Web应用也快速发展,Web成为互联网上主要的服务,同时,其应用系统的安全风险也随之增加。科研院所Web应用的安全威胁主要来源两个方面,一是涉及敏感、私有、机密信息的安全传输。二是Web服务器和浏览器安全运行。Web应用服务器的设计、编制、集成、运行等都离不开语句代码,在代码编制过程中可能会存在设计漏洞、恶意代码等现象,进而造成科研院所成果信息泄露、系统或程序瘫痪等后果。
(四)内部机密信息面临的安全威胁
现阶段,科研院所使用的网络多是依托于互联网、城域网或局域网。科研院所通过云共享财务信息系统传递信息时,面临着在源端存储及交互传输时的安全威胁。科研院所在云共享财务信息系统源端存储方面,存在着以下两方面的安全问题:一是计算机操作系统、数据库或应用服务软件被入侵、攻击导致的信息丢失或篡改的风险。二是不法分子利用漏洞绕开安全防线非法获取信息的风险,云共享财务信息系统在进行信息交互传输方面还存在着信息被截获、搭线窃听等方面的安全威胁。
(五)黑客的恶意攻击、窃取信息隐患
黑客技术通过恶意攻击科研院所的计算机主机,使得科研院所的软、硬件资源瘫痪,进而窃取科研院所信息,黑客技术破坏的范围、程度及攻击的隐蔽性各有不同。计算机网络出现后,大量的黑客网站也随之出现,黑客技术在大范围传播,使得科研院所信息安全面临极大的威胁。云共享财务信息系统承载了科研院所财务信息、运营信息等重要的机密信息,也是黑客攻击的对象。
(六)对网络及系统安全缺乏有效的监视与评估
计算机网络体系所遵守的TCP/IP协议,缺乏相应的安全机制,由此可见,计算机网络体系结构从根本上存在缺陷。当前,科研院所多数计算机网络安全策略、监控和防范技术都是针对某一领域或某一层次的,缺乏一套完整的安全策略、监控和防范技术,这就给攻击者敞开了一扇门,暴露出薄弱环节。
三、科研院所云共享下财务信息系统安全防范
(一)加强科研院所信息安全体系建设
建立健全科研院所信息安全体系,成立信息安全领导专职机构,进一步压实网络安全责任。建立完善的信息安全管理制度,从人员、经费及系统使用等各方面完善相关的安全管理办法。云端财务信息系统在科研院所研发阶段就要考虑到网络安全问题,及时开展信息系统安全等级保护定级、备案及测评工作,使服务平台减少网络安全风险。增强系统使用人的网络安全意识,客户端电脑应安装相应的安全防护工具,系统登录密码采用强密码并定期进行变更。
(二)强化防火墙技术
防火墙技术是确保网络安全最基本的安全“防线”,可以阻止外部不安全因素入侵。防火墙通过扫描流经的网络通信,过滤具有攻击性的网络通信,阻止其执行,而且防火墙还可以关闭不使用的端口,禁止不明站点访问、特定端口流出等,防止不明入侵者的通信。防火墙技术通过数据包过滤判断该数据包的属性,判断传输的数据路径,并与配置表中的访问规则对比,进而确定如何处理相关的数据。网络IP地址转换可以通过隐藏IP地址,进而保护内部网络区域的安全。科研院所内部网络的IP地址及端口可以通过网络IP地址转换技术转变成外部、异构网络中的公用IP地址及端口,网络IP地址转换技术还可以减少科研院所购买或租用公共网络通道的费用。
(三)构建漏洞扫描技术
漏洞扫描技术是通过扫描技术扫描本地网络或主机,进而发现网络或主机存在的安全问题,降低黑客的攻击,是一种积极的防御措施。漏洞扫描技术也可以探测远端网络或主机是否存在安全问题。再加上,漏洞扫描技术还可以针对发现的安全漏洞,进行调查分析,查找漏洞,提供解决措施。科研院所运用漏洞扫描技术定期或不定期地对云共享财务信息系统进行扫描,及时发现漏洞,以便及时防范风险的发生。
(四)阻断入侵检测技术
入侵检测技术是通过对计算机网络和所附带的信息系统进行检测,判断是否有违反安全策略行为或入侵行为的技术。科研院所采用入侵检测技术对不同网络区域及云共享财务信息系统提供在线防护,通过搜集云共享财务信息系统网络访问、安全日志、信息数据等检测是否存在违反安全策略的入侵行为,减少误操作,阻断云共享财务信息系统面临的安全威胁。入侵检测系统是依托入侵检测技术构建的,其通过对计算机网络及云共享财务信息系统进行在线监视,检测可疑行为。若是计算机网络或云共享财务信息系统出现可疑行为,该入侵检测系统可以发出警告,并能启用安全防护设备进行安全防护。入侵检测系统主动应对各种威胁,提高了科研院所云共享财务信息系统的安全防护能力,扩充了安全防护结构。
(五)网络设施安全防护技术
科研院所网络设施安全防护技术应通过合理配置的路由器、交换机等网络设备,进而抵御风险的发生。一是网络设施安全防护技术可以通过设定云共享财务信息系统登录的密码规则,增强云共享财务信息系统的安全性,比如设置首次登录强制修改密码,若是密码登录失败限制登录次数,通过某种算法对密码进行加密存储等。二是路由器和交换机等网络设施可以依据加密协议进行远程连接加密,保证通信安全。三是路由器和交换机等网络设施可以抵御DOS攻击,保持设备可用性。四是路由器和交换机等网络设施还可以通过构建VPN(虚拟专用网络)为远程用户、合作伙伴等不同网络构建安全链接。
(六)保障计算机防病毒技术
计算机防病毒技术主要包括预付技术、检测技术和清除技术,运用计算机防病毒技术可以防御、治理计算机病毒。计算机病毒预防技术主要通过设定一系列的规则动态判定计算机病毒,在计算机病毒入侵前做好预防。计算机病毒检测技术主要是通过检测计算机病毒的特征段、关键字等,自我校验判定出计算机病毒。而所谓的计算机病毒清楚技术则是对已经感染计算机病毒的程序进行清除。由此可见,计算机防病毒技术是全方位、多层次的防御系统,科研院所安装计算机防病毒软件系统,可以极好地保障云共享财务信息系统的安全。
(七)云共享财务信息系统安全防护技术
科研院所应针对云共享财务信息系统的重要数据及程序配置采取合理、科学的技术或手段,预防潜在财务数据丢失的可能性。一是采取容灾或备份的方式,严格设定口令,防止云共享财务信息系统被冒用窃密。二是科研院所应设定参与云共享信息系统操作人员的权限,按照不相容职务相互分离的规则合理分工。三是为防止云共享财务信息系统可能出现崩溃或出错导致信息丢失等安全风险因素,科研院所还应合理部署和配置相关资源,及时维护或修补由于不利安全风险因素的出现,导致云共享财务信息系统崩溃造成的潜在威胁。
(八)确保加密及数字认证技术
数据加密技术是确保云共享财务信息系统安全的一种重要的防护机制,不仅可以防止重要机密信息泄露,还可以防止低权限访问者查看机密信息,高权限访问者查看属于隐私的信息。数字认证技术是利用密码技术构建的一个完备的认证系统,包括数字证书和数字签名,是当前科研院所常用的安全防护技术。数字认证技术不仅可以鉴别、认证云共享财务信息系统传输各方的身份,还可以确保传输的安全性以及内容的一致性。
(九)利用物理隔离技术
物理隔离技术可以使物理实体避免受到非法入侵、计算机病毒,甚至是自然灾害的破坏,极大地保证了云共享财务信息系统的安全。科研院所应用物理隔离技术,使得不同的计算机网络不能互相接入,进而避免由于通过电磁辐射等方式导致信息被窃取的风险。