IT和OT融合趨勢下的財務(wù)系統(tǒng)互聯(lián)網(wǎng)安全研究

葛小青

（唐山學(xué)院 河北 唐山 063000）

1 引言

在通信技術(shù)、計算機(jī)技術(shù)和財務(wù)系統(tǒng)技術(shù)不斷發(fā)展的驅(qū)動下，信息技術(shù)（IT）與操作技術(shù)（OT）逐漸融合，促進(jìn)財務(wù)系統(tǒng)互聯(lián)網(wǎng)絡(luò)形成。財務(wù)系統(tǒng)互聯(lián)網(wǎng)不僅包括財務(wù)系統(tǒng)控制系統(tǒng)和財務(wù)系統(tǒng)網(wǎng)絡(luò)，還包括了大數(shù)據(jù)存儲分析、云計算、客戶網(wǎng)絡(luò)等，我國提出的財務(wù)系統(tǒng)互聯(lián)網(wǎng)參考體系架構(gòu)。在財務(wù)系統(tǒng)互聯(lián)網(wǎng)中，“網(wǎng)絡(luò)”是為財務(wù)系統(tǒng)系統(tǒng)中數(shù)據(jù)信息傳輸傳遞的支撐；“數(shù)據(jù)”是財務(wù)系統(tǒng)智能化的中心。而“安全”則是財務(wù)系統(tǒng)互聯(lián)網(wǎng)運(yùn)營的重要保障。在IT/OT一體化趨勢下，財務(wù)系統(tǒng)互聯(lián)網(wǎng)安全逐漸受到國家、工廠、科研院所和用戶的重視，并且由于其作用的特殊性開始成為我國基礎(chǔ)設(shè)施安全的重要組成之一。目前研究財務(wù)系統(tǒng)互聯(lián)網(wǎng)安全保護(hù)策略已成為財務(wù)系統(tǒng)互聯(lián)網(wǎng)領(lǐng)域研究熱點(diǎn)。在充分考慮合規(guī)性和現(xiàn)實中需要的基礎(chǔ)上，開發(fā)了專門針對財務(wù)系統(tǒng)控制系統(tǒng)的安全解決方案。下面結(jié)合互聯(lián)網(wǎng)特點(diǎn)與安全風(fēng)險介紹融融網(wǎng)開發(fā)的財務(wù)系統(tǒng)互聯(lián)網(wǎng)安全保證方案[1]。

2 財務(wù)系統(tǒng)互聯(lián)網(wǎng)的特點(diǎn)與安全風(fēng)險

在經(jīng)濟(jì)社會高速發(fā)展的推動下，人們開始提高對網(wǎng)絡(luò)和服務(wù)質(zhì)量的要求，以往的網(wǎng)絡(luò)架構(gòu)不能滿足使用者的復(fù)雜需求，財務(wù)系統(tǒng)互聯(lián)網(wǎng)應(yīng)運(yùn)而生，驅(qū)動互聯(lián)網(wǎng)逐漸轉(zhuǎn)型，由“消費(fèi)型”過渡到“生產(chǎn)型”，也使得財務(wù)系統(tǒng)呈現(xiàn)了新的發(fā)展趨勢，衍生了新的技術(shù)。研究指出，財務(wù)系統(tǒng)互聯(lián)網(wǎng)不僅實現(xiàn)傳感器組網(wǎng)和信息及時傳輸，還實現(xiàn)了海量數(shù)據(jù)存儲與分析工作，因此總體來看，財務(wù)系統(tǒng)互聯(lián)網(wǎng)具有靈活性、及時性、可靠性和安全性等特點(diǎn)。

3 財務(wù)系統(tǒng)互聯(lián)網(wǎng)安全風(fēng)險

財務(wù)系統(tǒng)互聯(lián)網(wǎng)的安全面臨的挑戰(zhàn)可以被細(xì)分成設(shè)備安全問題、控制安全問題、網(wǎng)絡(luò)數(shù)據(jù)安全問題和管理人員安全問題。在IT安全需求中最高級是保密性，接下來依次是完整性、及時性和可靠性，而OT安全需求與IT不同，OT更為關(guān)注設(shè)備可靠性、有效性。由于IT與OT系統(tǒng)在需求和功能方面存在較大差異，因此IT/OT融合為財務(wù)系統(tǒng)互聯(lián)網(wǎng)安全運(yùn)行帶來不小的挑戰(zhàn)。

3.1 財務(wù)系統(tǒng)互聯(lián)網(wǎng)設(shè)備安全挑戰(zhàn)

財務(wù)系統(tǒng)互聯(lián)網(wǎng)中的設(shè)備安全挑戰(zhàn)，主要指的是接入互聯(lián)網(wǎng)系統(tǒng)的財務(wù)系統(tǒng)設(shè)備因其自身脆弱性易于遭受網(wǎng)絡(luò)攻擊風(fēng)險而引起的管理安全挑戰(zhàn)。包括智能芯片安全、嵌入式系統(tǒng)安全、編碼規(guī)范問題、選用的第三方應(yīng)用軟件安全等，若以上安全隱患爆發(fā)，會對整個財務(wù)系統(tǒng)互聯(lián)網(wǎng)的正常運(yùn)行造成重大影響。

3.2 財務(wù)系統(tǒng)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全挑戰(zhàn)

網(wǎng)絡(luò)安全是財務(wù)系統(tǒng)互聯(lián)網(wǎng)安全的核心所在，也是眾多安全威脅中風(fēng)險系數(shù)最高的一種，這一層面的安全挑戰(zhàn)幾乎包括所有財務(wù)系統(tǒng)互聯(lián)網(wǎng)涉及的方面。其中，最引人注意的安全問題是系統(tǒng)作業(yè)過程中面臨的網(wǎng)絡(luò)數(shù)據(jù)傳輸威脅。一方面，應(yīng)用于財務(wù)系統(tǒng)生產(chǎn)的無線網(wǎng)絡(luò)技術(shù)使得網(wǎng)絡(luò)防護(hù)邊界愈來愈模糊，工廠網(wǎng)絡(luò)的靈活組網(wǎng)導(dǎo)致網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜，傳統(tǒng)靜態(tài)防護(hù)策略方法面臨新情況“捉襟見肘”；另一方面，IT和OT的融合在一定程度上增加了網(wǎng)絡(luò)攻擊的攻擊范圍，而目前缺乏APT攻擊檢測和防護(hù)手段。

3.3 財務(wù)系統(tǒng)互聯(lián)網(wǎng)人員管理安全挑戰(zhàn)

為提高財務(wù)系統(tǒng)生產(chǎn)效率，改善數(shù)據(jù)傳輸準(zhǔn)確性，財務(wù)系統(tǒng)互聯(lián)網(wǎng)地應(yīng)用愈加廣泛，計算機(jī)科學(xué)技術(shù)在財務(wù)系統(tǒng)生產(chǎn)中的重要性日漸提升。盡管計算機(jī)技術(shù)和通信技術(shù)已經(jīng)比較成熟，但是，在實際應(yīng)用中，受研發(fā)限制，財務(wù)系統(tǒng)互聯(lián)網(wǎng)運(yùn)行仍然需要投入人力進(jìn)行監(jiān)管和維護(hù)。

4 應(yīng)對財務(wù)系統(tǒng)互聯(lián)網(wǎng)安全的對策措施

4.1 積極尋找安全漏洞

參考動態(tài)安全模型，架構(gòu)安全框架包括五類相關(guān)性系統(tǒng)，以提高企業(yè)應(yīng)對IT/OT融合趨勢下的財務(wù)系統(tǒng)互聯(lián)網(wǎng)安全挑戰(zhàn)能力。首先確保構(gòu)架安全，在財務(wù)系統(tǒng)互聯(lián)網(wǎng)設(shè)計階段引入安全防護(hù)，保證設(shè)備或系統(tǒng)不能被隨意調(diào)用；其次，加強(qiáng)被動防御，增加無人監(jiān)管的持續(xù)性威脅防御系統(tǒng)，如構(gòu)建財務(wù)系統(tǒng)互聯(lián)網(wǎng)防火墻，同時清點(diǎn)硬件設(shè)備和軟件應(yīng)用，理清網(wǎng)絡(luò)拓?fù)洌蛔詈?，及時更新工作站和服務(wù)器，避免非法入侵，如開蜜罐系統(tǒng)，采用蜜罐系統(tǒng)進(jìn)行主動防御，捕獲并分析非法行為，采取合適的安全略策[2]。

4.2 完善網(wǎng)絡(luò)分區(qū)防護(hù)

參考國際工控領(lǐng)域中權(quán)威性文件提出的安全防御架構(gòu)，財務(wù)系統(tǒng)互聯(lián)網(wǎng)被分為功能區(qū)與生產(chǎn)現(xiàn)場。傳統(tǒng)防護(hù)策略是在各功能區(qū)邊界設(shè)置防火墻，防止遭受外部攻擊，同時實現(xiàn)企業(yè)網(wǎng)絡(luò)、控制網(wǎng)絡(luò)與遠(yuǎn)程訪問區(qū)的隔離，分隔開生產(chǎn)區(qū)與控制網(wǎng)絡(luò)。為完善財務(wù)系統(tǒng)互聯(lián)網(wǎng)防護(hù)，將網(wǎng)絡(luò)分區(qū)防火墻防護(hù)進(jìn)行改進(jìn)，根據(jù)深度防御體系設(shè)置和布局防火墻：第1階段，建設(shè)雙宿主機(jī)防火墻；第2階段，建設(shè)企業(yè)網(wǎng)絡(luò)與控制網(wǎng)絡(luò)防火墻；第3階段，制定科學(xué)的防火墻應(yīng)用策略，進(jìn)一步確保財務(wù)系統(tǒng)互聯(lián)網(wǎng)安全。

4.3 保障遠(yuǎn)程訪問安全

財務(wù)系統(tǒng)互聯(lián)網(wǎng)開放的重要基礎(chǔ)是設(shè)備和財務(wù)系統(tǒng)，因此確保遠(yuǎn)程訪問安全是保障財務(wù)系統(tǒng)互聯(lián)網(wǎng)運(yùn)營的關(guān)鍵。第一，完善企業(yè)設(shè)備遠(yuǎn)程訪問安全政策，只開放必要端口，精細(xì)化訪問管理與監(jiān)控，例如要求員工不得使用公共網(wǎng)絡(luò)遠(yuǎn)程訪問，應(yīng)使用虛擬專用網(wǎng)絡(luò)（VPN）訪問設(shè)備或系統(tǒng)，并且設(shè)置強(qiáng)口令，加密傳輸文件，同時以最小權(quán)限原則限制外部客戶遠(yuǎn)程訪問權(quán)限；第二，加強(qiáng)終端設(shè)備安全防護(hù)，定期對工廠內(nèi)老舊設(shè)備進(jìn)行備份和漏洞排查，同時設(shè)置辦公和生產(chǎn)用電腦等終端自行備份。