云共享下科研院所信息系統安全問題分析及防范

趙竹明 于 津 趙圣濤 張 穎

（中國水產科學研究院黃海水產研究所，山東 青島 266071）

一、科研院所財務云發展與現狀

2013年，浪潮集團首次提出“財務云”，以期實現財務共享服務、財務管理和資金管理三個功能的統一。財務云是將集團企業財務共享管理模式與云計算、移動互聯網、大數據等計算機技術有效融合，實現財務共享服務、財務管理、資金管理三個中心合一，建立集中、統一的企業財務云中心，支持多終端接入模式，實現核算、報賬、資金、決策等環節在全集團內的管理協同應用。

2015年以來，農業農村部對所屬的部分科研院所給予了信息化立項的資金支持，個別院所也進行了有益嘗試，建立了科研院所財務云，實現了部分財務功能的云共享，極大地提高了科研院所運營效率，降低了運營成本，減少了內控風險。

近年來，科研院所內控管理引進財務云，財務云管理應用的價值及優勢主要體現在以下幾方面：一是實現科研院所財務數據共享，通過財務云規劃建設，減少人員和軟硬件系統的重復設置，降低整體運營成本。二是實現管理會計決策參考功能，通過財務數據共享服務，可以實現某些數據的集中和建模分析，可以深度挖掘數據揭示出來的深層次問題，進而為決策者提供數據參考，更好地服務于科研院所決策和運營。三是助推科研院所實現整合效益，通過財務云數據共享提升科研院所的整合能力，支持科研院所業務整合和快速擴張，實現整合效益。四是提高內控管理質量水平，通過財務云數據共享，可以標準化科研院所業務流程、專業化人才隊伍、精準化信息服務，一系列的標準化、專業化和精細化可以提高科研院所工作效率，大大提高科研院所管理質量水平。

科研院所應用財務云有效結合了財務共享管理模式與移動互聯網、大數據、云計算、信息處理技術等，系統化地建立了財務共享服務、財務管理以及資金管理“三合一”的集中化、統一化的財務云中心，可實現多終端的接入。科研院所實現財務云共享功能可以提高科研院所運營效率，降低運營成本，減少內控風險，還可以提供及時、準確、完整的財務信息，提升運營能力?，F階段，我國科研院所開始逐步建設財務共享中心，實現云共享。然而，在實施財務云的進程中，隨著財務信息化、智能化的推進，云共享下科研院所信息系統安全問題也日漸凸顯?？蒲性核畔⒁坏┬孤痘虮淮鄹模瑢o科研院所帶來極大的危害?；诖?，本文研究云共享下科研院所信息系統安全問題具有重要的現實意義。

二、云共享下科研院所財務信息系統安全問題分析

（一）科研院所網絡信息安全意識不強

有些科研院所信息安全意識不強，尚沒有建立完善的網絡安全管理制度，信息系統網絡安全工作的開展缺乏能夠遵循的管理辦法。對于財務信息系統，網絡安全至關重要，系統中不僅存儲著使用人的基本信息，還有科研院所寶貴的核心財務數據。部分科研院所云端財務信息系統沒有及時進行網絡安全等級測評，原有系統漏洞無法發現；后期系統維護時，也未及時修補已知的網絡安全漏洞。還有一些財務系統的使用人所用電腦未安裝防火墻、網絡安全組件等防護工具，系統登錄密碼仍使用弱口令，沒有手機短信驗證等安全認證方式。

（二）計算機病毒的破壞

當前，隨著信息技術不斷發展，信息技術的應用領域及應用深度也不斷拓展，與此同時，不同種類、不同形式的計算機病毒也逐漸滲透到社會各個領域。計算機病毒是具有嚴重的破壞性、能主動復制代碼，根據編制者的主觀意向及編制水平的不同，其破壞能力也有所不同，進而對信息系統造成不同程度的破壞。云共享下科研院所的財務信息系統建立，也是依托計算機信息技術，也存在著被計算機病毒破壞的風險，可能給科研院所健康發展帶來極大的威脅。

（三）Web應用所面臨的安全威脅

當前，云共享下的財務信息系統就是以Web應用形式實現的，隨著計算機網絡應用架構從客戶端/服務器（C/S）轉為瀏覽器/服務器（B/S）,Web應用也快速發展，Web成為互聯網上主要的服務，同時，其應用系統的安全風險也隨之增加?？蒲性核鵚eb應用的安全威脅主要來源兩個方面，一是涉及敏感、私有、機密信息的安全傳輸。二是Web服務器和瀏覽器安全運行。Web應用服務器的設計、編制、集成、運行等都離不開語句代碼，在代碼編制過程中可能會存在設計漏洞、惡意代碼等現象，進而造成科研院所成果信息泄露、系統或程序癱瘓等后果。

（四）內部機密信息面臨的安全威脅

現階段，科研院所使用的網絡多是依托于互聯網、城域網或局域網?？蒲性核ㄟ^云共享財務信息系統傳遞信息時，面臨著在源端存儲及交互傳輸時的安全威脅?？蒲性核谠乒蚕碡攧招畔⑾到y源端存儲方面，存在著以下兩方面的安全問題：一是計算機操作系統、數據庫或應用服務軟件被入侵、攻擊導致的信息丟失或篡改的風險。二是不法分子利用漏洞繞開安全防線非法獲取信息的風險，云共享財務信息系統在進行信息交互傳輸方面還存在著信息被截獲、搭線竊聽等方面的安全威脅。

（五）黑客的惡意攻擊、竊取信息隱患

黑客技術通過惡意攻擊科研院所的計算機主機，使得科研院所的軟、硬件資源癱瘓，進而竊取科研院所信息，黑客技術破壞的范圍、程度及攻擊的隱蔽性各有不同。計算機網絡出現后，大量的黑客網站也隨之出現，黑客技術在大范圍傳播，使得科研院所信息安全面臨極大的威脅。云共享財務信息系統承載了科研院所財務信息、運營信息等重要的機密信息，也是黑客攻擊的對象。

（六）對網絡及系統安全缺乏有效的監視與評估

計算機網絡體系所遵守的TCP/IP協議，缺乏相應的安全機制，由此可見，計算機網絡體系結構從根本上存在缺陷。當前，科研院所多數計算機網絡安全策略、監控和防范技術都是針對某一領域或某一層次的，缺乏一套完整的安全策略、監控和防范技術，這就給攻擊者敞開了一扇門，暴露出薄弱環節。

三、科研院所云共享下財務信息系統安全防范

（一）加強科研院所信息安全體系建設

建立健全科研院所信息安全體系，成立信息安全領導專職機構，進一步壓實網絡安全責任。建立完善的信息安全管理制度，從人員、經費及系統使用等各方面完善相關的安全管理辦法。云端財務信息系統在科研院所研發階段就要考慮到網絡安全問題，及時開展信息系統安全等級保護定級、備案及測評工作，使服務平臺減少網絡安全風險。增強系統使用人的網絡安全意識，客戶端電腦應安裝相應的安全防護工具，系統登錄密碼采用強密碼并定期進行變更。

（二）強化防火墻技術

防火墻技術是確保網絡安全最基本的安全“防線”，可以阻止外部不安全因素入侵。防火墻通過掃描流經的網絡通信，過濾具有攻擊性的網絡通信，阻止其執行，而且防火墻還可以關閉不使用的端口，禁止不明站點訪問、特定端口流出等，防止不明入侵者的通信。防火墻技術通過數據包過濾判斷該數據包的屬性，判斷傳輸的數據路徑，并與配置表中的訪問規則對比，進而確定如何處理相關的數據。網絡IP地址轉換可以通過隱藏IP地址，進而保護內部網絡區域的安全?？蒲性核鶅炔烤W絡的IP地址及端口可以通過網絡IP地址轉換技術轉變成外部、異構網絡中的公用IP地址及端口，網絡IP地址轉換技術還可以減少科研院所購買或租用公共網絡通道的費用。

（三）構建漏洞掃描技術

漏洞掃描技術是通過掃描技術掃描本地網絡或主機，進而發現網絡或主機存在的安全問題，降低黑客的攻擊，是一種積極的防御措施。漏洞掃描技術也可以探測遠端網絡或主機是否存在安全問題。再加上，漏洞掃描技術還可以針對發現的安全漏洞，進行調查分析，查找漏洞，提供解決措施。科研院所運用漏洞掃描技術定期或不定期地對云共享財務信息系統進行掃描，及時發現漏洞，以便及時防范風險的發生。

（四）阻斷入侵檢測技術

入侵檢測技術是通過對計算機網絡和所附帶的信息系統進行檢測，判斷是否有違反安全策略行為或入侵行為的技術?？蒲性核捎萌肭謾z測技術對不同網絡區域及云共享財務信息系統提供在線防護，通過搜集云共享財務信息系統網絡訪問、安全日志、信息數據等檢測是否存在違反安全策略的入侵行為，減少誤操作，阻斷云共享財務信息系統面臨的安全威脅。入侵檢測系統是依托入侵檢測技術構建的，其通過對計算機網絡及云共享財務信息系統進行在線監視，檢測可疑行為。若是計算機網絡或云共享財務信息系統出現可疑行為，該入侵檢測系統可以發出警告，并能啟用安全防護設備進行安全防護。入侵檢測系統主動應對各種威脅，提高了科研院所云共享財務信息系統的安全防護能力，擴充了安全防護結構。

（五）網絡設施安全防護技術

科研院所網絡設施安全防護技術應通過合理配置的路由器、交換機等網絡設備，進而抵御風險的發生。一是網絡設施安全防護技術可以通過設定云共享財務信息系統登錄的密碼規則，增強云共享財務信息系統的安全性，比如設置首次登錄強制修改密碼，若是密碼登錄失敗限制登錄次數，通過某種算法對密碼進行加密存儲等。二是路由器和交換機等網絡設施可以依據加密協議進行遠程連接加密，保證通信安全。三是路由器和交換機等網絡設施可以抵御DOS攻擊，保持設備可用性。四是路由器和交換機等網絡設施還可以通過構建VPN（虛擬專用網絡）為遠程用戶、合作伙伴等不同網絡構建安全鏈接。

（六）保障計算機防病毒技術

計算機防病毒技術主要包括預付技術、檢測技術和清除技術，運用計算機防病毒技術可以防御、治理計算機病毒。計算機病毒預防技術主要通過設定一系列的規則動態判定計算機病毒，在計算機病毒入侵前做好預防。計算機病毒檢測技術主要是通過檢測計算機病毒的特征段、關鍵字等，自我校驗判定出計算機病毒。而所謂的計算機病毒清楚技術則是對已經感染計算機病毒的程序進行清除。由此可見，計算機防病毒技術是全方位、多層次的防御系統，科研院所安裝計算機防病毒軟件系統，可以極好地保障云共享財務信息系統的安全。

（七）云共享財務信息系統安全防護技術

科研院所應針對云共享財務信息系統的重要數據及程序配置采取合理、科學的技術或手段，預防潛在財務數據丟失的可能性。一是采取容災或備份的方式，嚴格設定口令，防止云共享財務信息系統被冒用竊密。二是科研院所應設定參與云共享信息系統操作人員的權限，按照不相容職務相互分離的規則合理分工。三是為防止云共享財務信息系統可能出現崩潰或出錯導致信息丟失等安全風險因素，科研院所還應合理部署和配置相關資源，及時維護或修補由于不利安全風險因素的出現，導致云共享財務信息系統崩潰造成的潛在威脅。

（八）確保加密及數字認證技術

數據加密技術是確保云共享財務信息系統安全的一種重要的防護機制，不僅可以防止重要機密信息泄露，還可以防止低權限訪問者查看機密信息，高權限訪問者查看屬于隱私的信息。數字認證技術是利用密碼技術構建的一個完備的認證系統，包括數字證書和數字簽名，是當前科研院所常用的安全防護技術。數字認證技術不僅可以鑒別、認證云共享財務信息系統傳輸各方的身份，還可以確保傳輸的安全性以及內容的一致性。

（九）利用物理隔離技術

物理隔離技術可以使物理實體避免受到非法入侵、計算機病毒，甚至是自然災害的破壞，極大地保證了云共享財務信息系統的安全。科研院所應用物理隔離技術，使得不同的計算機網絡不能互相接入，進而避免由于通過電磁輻射等方式導致信息被竊取的風險。