IT和OT融合趨勢下的財務系統(tǒng)互聯(lián)網(wǎng)安全研究

葛小青

（唐山學院 河北 唐山 063000）

1 引言

在通信技術(shù)、計算機技術(shù)和財務系統(tǒng)技術(shù)不斷發(fā)展的驅(qū)動下，信息技術(shù)（IT）與操作技術(shù)（OT）逐漸融合，促進財務系統(tǒng)互聯(lián)網(wǎng)絡形成。財務系統(tǒng)互聯(lián)網(wǎng)不僅包括財務系統(tǒng)控制系統(tǒng)和財務系統(tǒng)網(wǎng)絡，還包括了大數(shù)據(jù)存儲分析、云計算、客戶網(wǎng)絡等，我國提出的財務系統(tǒng)互聯(lián)網(wǎng)參考體系架構(gòu)。在財務系統(tǒng)互聯(lián)網(wǎng)中，“網(wǎng)絡”是為財務系統(tǒng)系統(tǒng)中數(shù)據(jù)信息傳輸傳遞的支撐；“數(shù)據(jù)”是財務系統(tǒng)智能化的中心。而“安全”則是財務系統(tǒng)互聯(lián)網(wǎng)運營的重要保障。在IT/OT一體化趨勢下，財務系統(tǒng)互聯(lián)網(wǎng)安全逐漸受到國家、工廠、科研院所和用戶的重視，并且由于其作用的特殊性開始成為我國基礎設施安全的重要組成之一。目前研究財務系統(tǒng)互聯(lián)網(wǎng)安全保護策略已成為財務系統(tǒng)互聯(lián)網(wǎng)領(lǐng)域研究熱點。在充分考慮合規(guī)性和現(xiàn)實中需要的基礎上，開發(fā)了專門針對財務系統(tǒng)控制系統(tǒng)的安全解決方案。下面結(jié)合互聯(lián)網(wǎng)特點與安全風險介紹融融網(wǎng)開發(fā)的財務系統(tǒng)互聯(lián)網(wǎng)安全保證方案[1]。

2 財務系統(tǒng)互聯(lián)網(wǎng)的特點與安全風險

在經(jīng)濟社會高速發(fā)展的推動下，人們開始提高對網(wǎng)絡和服務質(zhì)量的要求，以往的網(wǎng)絡架構(gòu)不能滿足使用者的復雜需求，財務系統(tǒng)互聯(lián)網(wǎng)應運而生，驅(qū)動互聯(lián)網(wǎng)逐漸轉(zhuǎn)型，由“消費型”過渡到“生產(chǎn)型”，也使得財務系統(tǒng)呈現(xiàn)了新的發(fā)展趨勢，衍生了新的技術(shù)。研究指出，財務系統(tǒng)互聯(lián)網(wǎng)不僅實現(xiàn)傳感器組網(wǎng)和信息及時傳輸，還實現(xiàn)了海量數(shù)據(jù)存儲與分析工作，因此總體來看，財務系統(tǒng)互聯(lián)網(wǎng)具有靈活性、及時性、可靠性和安全性等特點。

3 財務系統(tǒng)互聯(lián)網(wǎng)安全風險

財務系統(tǒng)互聯(lián)網(wǎng)的安全面臨的挑戰(zhàn)可以被細分成設備安全問題、控制安全問題、網(wǎng)絡數(shù)據(jù)安全問題和管理人員安全問題。在IT安全需求中最高級是保密性，接下來依次是完整性、及時性和可靠性，而OT安全需求與IT不同，OT更為關(guān)注設備可靠性、有效性。由于IT與OT系統(tǒng)在需求和功能方面存在較大差異，因此IT/OT融合為財務系統(tǒng)互聯(lián)網(wǎng)安全運行帶來不小的挑戰(zhàn)。

3.1 財務系統(tǒng)互聯(lián)網(wǎng)設備安全挑戰(zhàn)

財務系統(tǒng)互聯(lián)網(wǎng)中的設備安全挑戰(zhàn)，主要指的是接入互聯(lián)網(wǎng)系統(tǒng)的財務系統(tǒng)設備因其自身脆弱性易于遭受網(wǎng)絡攻擊風險而引起的管理安全挑戰(zhàn)。包括智能芯片安全、嵌入式系統(tǒng)安全、編碼規(guī)范問題、選用的第三方應用軟件安全等，若以上安全隱患爆發(fā)，會對整個財務系統(tǒng)互聯(lián)網(wǎng)的正常運行造成重大影響。

3.2 財務系統(tǒng)互聯(lián)網(wǎng)網(wǎng)絡安全挑戰(zhàn)

網(wǎng)絡安全是財務系統(tǒng)互聯(lián)網(wǎng)安全的核心所在，也是眾多安全威脅中風險系數(shù)最高的一種，這一層面的安全挑戰(zhàn)幾乎包括所有財務系統(tǒng)互聯(lián)網(wǎng)涉及的方面。其中，最引人注意的安全問題是系統(tǒng)作業(yè)過程中面臨的網(wǎng)絡數(shù)據(jù)傳輸威脅。一方面，應用于財務系統(tǒng)生產(chǎn)的無線網(wǎng)絡技術(shù)使得網(wǎng)絡防護邊界愈來愈模糊，工廠網(wǎng)絡的靈活組網(wǎng)導致網(wǎng)絡拓撲結(jié)構(gòu)復雜，傳統(tǒng)靜態(tài)防護策略方法面臨新情況“捉襟見肘”；另一方面，IT和OT的融合在一定程度上增加了網(wǎng)絡攻擊的攻擊范圍，而目前缺乏APT攻擊檢測和防護手段。

3.3 財務系統(tǒng)互聯(lián)網(wǎng)人員管理安全挑戰(zhàn)

為提高財務系統(tǒng)生產(chǎn)效率，改善數(shù)據(jù)傳輸準確性，財務系統(tǒng)互聯(lián)網(wǎng)地應用愈加廣泛，計算機科學技術(shù)在財務系統(tǒng)生產(chǎn)中的重要性日漸提升。盡管計算機技術(shù)和通信技術(shù)已經(jīng)比較成熟，但是，在實際應用中，受研發(fā)限制，財務系統(tǒng)互聯(lián)網(wǎng)運行仍然需要投入人力進行監(jiān)管和維護。

4 應對財務系統(tǒng)互聯(lián)網(wǎng)安全的對策措施

4.1 積極尋找安全漏洞

參考動態(tài)安全模型，架構(gòu)安全框架包括五類相關(guān)性系統(tǒng)，以提高企業(yè)應對IT/OT融合趨勢下的財務系統(tǒng)互聯(lián)網(wǎng)安全挑戰(zhàn)能力。首先確保構(gòu)架安全，在財務系統(tǒng)互聯(lián)網(wǎng)設計階段引入安全防護，保證設備或系統(tǒng)不能被隨意調(diào)用；其次，加強被動防御，增加無人監(jiān)管的持續(xù)性威脅防御系統(tǒng)，如構(gòu)建財務系統(tǒng)互聯(lián)網(wǎng)防火墻，同時清點硬件設備和軟件應用，理清網(wǎng)絡拓撲；最后，及時更新工作站和服務器，避免非法入侵，如開蜜罐系統(tǒng)，采用蜜罐系統(tǒng)進行主動防御，捕獲并分析非法行為，采取合適的安全略策[2]。

4.2 完善網(wǎng)絡分區(qū)防護

參考國際工控領(lǐng)域中權(quán)威性文件提出的安全防御架構(gòu)，財務系統(tǒng)互聯(lián)網(wǎng)被分為功能區(qū)與生產(chǎn)現(xiàn)場。傳統(tǒng)防護策略是在各功能區(qū)邊界設置防火墻，防止遭受外部攻擊，同時實現(xiàn)企業(yè)網(wǎng)絡、控制網(wǎng)絡與遠程訪問區(qū)的隔離，分隔開生產(chǎn)區(qū)與控制網(wǎng)絡。為完善財務系統(tǒng)互聯(lián)網(wǎng)防護，將網(wǎng)絡分區(qū)防火墻防護進行改進，根據(jù)深度防御體系設置和布局防火墻：第1階段，建設雙宿主機防火墻；第2階段，建設企業(yè)網(wǎng)絡與控制網(wǎng)絡防火墻；第3階段，制定科學的防火墻應用策略，進一步確保財務系統(tǒng)互聯(lián)網(wǎng)安全。

4.3 保障遠程訪問安全

財務系統(tǒng)互聯(lián)網(wǎng)開放的重要基礎是設備和財務系統(tǒng)，因此確保遠程訪問安全是保障財務系統(tǒng)互聯(lián)網(wǎng)運營的關(guān)鍵。第一，完善企業(yè)設備遠程訪問安全政策，只開放必要端口，精細化訪問管理與監(jiān)控，例如要求員工不得使用公共網(wǎng)絡遠程訪問，應使用虛擬專用網(wǎng)絡（VPN）訪問設備或系統(tǒng)，并且設置強口令，加密傳輸文件，同時以最小權(quán)限原則限制外部客戶遠程訪問權(quán)限；第二，加強終端設備安全防護，定期對工廠內(nèi)老舊設備進行備份和漏洞排查，同時設置辦公和生產(chǎn)用電腦等終端自行備份。