趙竹明 于 津 趙圣濤 張 穎

（中國水產(chǎn)科學研究院黃海水產(chǎn)研究所，山東 青島 266071）

一、科研院所財務云發(fā)展與現(xiàn)狀

2013年，浪潮集團首次提出“財務云”，以期實現(xiàn)財務共享服務、財務管理和資金管理三個功能的統(tǒng)一。財務云是將集團企業(yè)財務共享管理模式與云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等計算機技術有效融合，實現(xiàn)財務共享服務、財務管理、資金管理三個中心合一，建立集中、統(tǒng)一的企業(yè)財務云中心，支持多終端接入模式，實現(xiàn)核算、報賬、資金、決策等環(huán)節(jié)在全集團內(nèi)的管理協(xié)同應用。

2015年以來，農(nóng)業(yè)農(nóng)村部對所屬的部分科研院所給予了信息化立項的資金支持，個別院所也進行了有益嘗試，建立了科研院所財務云，實現(xiàn)了部分財務功能的云共享，極大地提高了科研院所運營效率，降低了運營成本，減少了內(nèi)控風險。

近年來，科研院所內(nèi)控管理引進財務云，財務云管理應用的價值及優(yōu)勢主要體現(xiàn)在以下幾方面：一是實現(xiàn)科研院所財務數(shù)據(jù)共享，通過財務云規(guī)劃建設，減少人員和軟硬件系統(tǒng)的重復設置，降低整體運營成本。二是實現(xiàn)管理會計決策參考功能，通過財務數(shù)據(jù)共享服務，可以實現(xiàn)某些數(shù)據(jù)的集中和建模分析，可以深度挖掘數(shù)據(jù)揭示出來的深層次問題，進而為決策者提供數(shù)據(jù)參考，更好地服務于科研院所決策和運營。三是助推科研院所實現(xiàn)整合效益，通過財務云數(shù)據(jù)共享提升科研院所的整合能力，支持科研院所業(yè)務整合和快速擴張，實現(xiàn)整合效益。四是提高內(nèi)控管理質(zhì)量水平，通過財務云數(shù)據(jù)共享，可以標準化科研院所業(yè)務流程、專業(yè)化人才隊伍、精準化信息服務，一系列的標準化、專業(yè)化和精細化可以提高科研院所工作效率，大大提高科研院所管理質(zhì)量水平。

科研院所應用財務云有效結合了財務共享管理模式與移動互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、信息處理技術等，系統(tǒng)化地建立了財務共享服務、財務管理以及資金管理“三合一”的集中化、統(tǒng)一化的財務云中心，可實現(xiàn)多終端的接入?？蒲性核鶎崿F(xiàn)財務云共享功能可以提高科研院所運營效率，降低運營成本，減少內(nèi)控風險，還可以提供及時、準確、完整的財務信息，提升運營能力?，F(xiàn)階段，我國科研院所開始逐步建設財務共享中心，實現(xiàn)云共享。然而，在實施財務云的進程中，隨著財務信息化、智能化的推進，云共享下科研院所信息系統(tǒng)安全問題也日漸凸顯?？蒲性核畔⒁坏┬孤痘虮淮鄹?，將會給科研院所帶來極大的危害?；诖?，本文研究云共享下科研院所信息系統(tǒng)安全問題具有重要的現(xiàn)實意義。

二、云共享下科研院所財務信息系統(tǒng)安全問題分析

（一）科研院所網(wǎng)絡信息安全意識不強

有些科研院所信息安全意識不強，尚沒有建立完善的網(wǎng)絡安全管理制度，信息系統(tǒng)網(wǎng)絡安全工作的開展缺乏能夠遵循的管理辦法。對于財務信息系統(tǒng)，網(wǎng)絡安全至關重要，系統(tǒng)中不僅存儲著使用人的基本信息，還有科研院所寶貴的核心財務數(shù)據(jù)。部分科研院所云端財務信息系統(tǒng)沒有及時進行網(wǎng)絡安全等級測評，原有系統(tǒng)漏洞無法發(fā)現(xiàn)；后期系統(tǒng)維護時，也未及時修補已知的網(wǎng)絡安全漏洞。還有一些財務系統(tǒng)的使用人所用電腦未安裝防火墻、網(wǎng)絡安全組件等防護工具，系統(tǒng)登錄密碼仍使用弱口令，沒有手機短信驗證等安全認證方式。

（二）計算機病毒的破壞

當前，隨著信息技術不斷發(fā)展，信息技術的應用領域及應用深度也不斷拓展，與此同時，不同種類、不同形式的計算機病毒也逐漸滲透到社會各個領域。計算機病毒是具有嚴重的破壞性、能主動復制代碼，根據(jù)編制者的主觀意向及編制水平的不同，其破壞能力也有所不同，進而對信息系統(tǒng)造成不同程度的破壞。云共享下科研院所的財務信息系統(tǒng)建立，也是依托計算機信息技術，也存在著被計算機病毒破壞的風險，可能給科研院所健康發(fā)展帶來極大的威脅。

（三）Web應用所面臨的安全威脅

當前，云共享下的財務信息系統(tǒng)就是以Web應用形式實現(xiàn)的，隨著計算機網(wǎng)絡應用架構從客戶端/服務器（C/S）轉(zhuǎn)為瀏覽器/服務器（B/S）,Web應用也快速發(fā)展，Web成為互聯(lián)網(wǎng)上主要的服務，同時，其應用系統(tǒng)的安全風險也隨之增加?？蒲性核鵚eb應用的安全威脅主要來源兩個方面，一是涉及敏感、私有、機密信息的安全傳輸。二是Web服務器和瀏覽器安全運行。Web應用服務器的設計、編制、集成、運行等都離不開語句代碼，在代碼編制過程中可能會存在設計漏洞、惡意代碼等現(xiàn)象，進而造成科研院所成果信息泄露、系統(tǒng)或程序癱瘓等后果。

（四）內(nèi)部機密信息面臨的安全威脅

現(xiàn)階段，科研院所使用的網(wǎng)絡多是依托于互聯(lián)網(wǎng)、城域網(wǎng)或局域網(wǎng)?？蒲性核ㄟ^云共享財務信息系統(tǒng)傳遞信息時，面臨著在源端存儲及交互傳輸時的安全威脅?？蒲性核谠乒蚕碡攧招畔⑾到y(tǒng)源端存儲方面，存在著以下兩方面的安全問題：一是計算機操作系統(tǒng)、數(shù)據(jù)庫或應用服務軟件被入侵、攻擊導致的信息丟失或篡改的風險。二是不法分子利用漏洞繞開安全防線非法獲取信息的風險，云共享財務信息系統(tǒng)在進行信息交互傳輸方面還存在著信息被截獲、搭線竊聽等方面的安全威脅。

（五）黑客的惡意攻擊、竊取信息隱患

黑客技術通過惡意攻擊科研院所的計算機主機，使得科研院所的軟、硬件資源癱瘓，進而竊取科研院所信息，黑客技術破壞的范圍、程度及攻擊的隱蔽性各有不同。計算機網(wǎng)絡出現(xiàn)后，大量的黑客網(wǎng)站也隨之出現(xiàn)，黑客技術在大范圍傳播，使得科研院所信息安全面臨極大的威脅。云共享財務信息系統(tǒng)承載了科研院所財務信息、運營信息等重要的機密信息，也是黑客攻擊的對象。

（六）對網(wǎng)絡及系統(tǒng)安全缺乏有效的監(jiān)視與評估

計算機網(wǎng)絡體系所遵守的TCP/IP協(xié)議，缺乏相應的安全機制，由此可見，計算機網(wǎng)絡體系結構從根本上存在缺陷。當前，科研院所多數(shù)計算機網(wǎng)絡安全策略、監(jiān)控和防范技術都是針對某一領域或某一層次的，缺乏一套完整的安全策略、監(jiān)控和防范技術，這就給攻擊者敞開了一扇門，暴露出薄弱環(huán)節(jié)。

三、科研院所云共享下財務信息系統(tǒng)安全防范

（一）加強科研院所信息安全體系建設

建立健全科研院所信息安全體系，成立信息安全領導專職機構，進一步壓實網(wǎng)絡安全責任。建立完善的信息安全管理制度，從人員、經(jīng)費及系統(tǒng)使用等各方面完善相關的安全管理辦法。云端財務信息系統(tǒng)在科研院所研發(fā)階段就要考慮到網(wǎng)絡安全問題，及時開展信息系統(tǒng)安全等級保護定級、備案及測評工作，使服務平臺減少網(wǎng)絡安全風險。增強系統(tǒng)使用人的網(wǎng)絡安全意識，客戶端電腦應安裝相應的安全防護工具，系統(tǒng)登錄密碼采用強密碼并定期進行變更。

（二）強化防火墻技術

防火墻技術是確保網(wǎng)絡安全最基本的安全“防線”，可以阻止外部不安全因素入侵。防火墻通過掃描流經(jīng)的網(wǎng)絡通信，過濾具有攻擊性的網(wǎng)絡通信，阻止其執(zhí)行，而且防火墻還可以關閉不使用的端口，禁止不明站點訪問、特定端口流出等，防止不明入侵者的通信。防火墻技術通過數(shù)據(jù)包過濾判斷該數(shù)據(jù)包的屬性，判斷傳輸?shù)臄?shù)據(jù)路徑，并與配置表中的訪問規(guī)則對比，進而確定如何處理相關的數(shù)據(jù)。網(wǎng)絡IP地址轉(zhuǎn)換可以通過隱藏IP地址，進而保護內(nèi)部網(wǎng)絡區(qū)域的安全?？蒲性核鶅?nèi)部網(wǎng)絡的IP地址及端口可以通過網(wǎng)絡IP地址轉(zhuǎn)換技術轉(zhuǎn)變成外部、異構網(wǎng)絡中的公用IP地址及端口，網(wǎng)絡IP地址轉(zhuǎn)換技術還可以減少科研院所購買或租用公共網(wǎng)絡通道的費用。

（三）構建漏洞掃描技術

漏洞掃描技術是通過掃描技術掃描本地網(wǎng)絡或主機，進而發(fā)現(xiàn)網(wǎng)絡或主機存在的安全問題，降低黑客的攻擊，是一種積極的防御措施。漏洞掃描技術也可以探測遠端網(wǎng)絡或主機是否存在安全問題。再加上，漏洞掃描技術還可以針對發(fā)現(xiàn)的安全漏洞，進行調(diào)查分析，查找漏洞，提供解決措施。科研院所運用漏洞掃描技術定期或不定期地對云共享財務信息系統(tǒng)進行掃描，及時發(fā)現(xiàn)漏洞，以便及時防范風險的發(fā)生。

（四）阻斷入侵檢測技術

入侵檢測技術是通過對計算機網(wǎng)絡和所附帶的信息系統(tǒng)進行檢測，判斷是否有違反安全策略行為或入侵行為的技術。科研院所采用入侵檢測技術對不同網(wǎng)絡區(qū)域及云共享財務信息系統(tǒng)提供在線防護，通過搜集云共享財務信息系統(tǒng)網(wǎng)絡訪問、安全日志、信息數(shù)據(jù)等檢測是否存在違反安全策略的入侵行為，減少誤操作，阻斷云共享財務信息系統(tǒng)面臨的安全威脅。入侵檢測系統(tǒng)是依托入侵檢測技術構建的，其通過對計算機網(wǎng)絡及云共享財務信息系統(tǒng)進行在線監(jiān)視，檢測可疑行為。若是計算機網(wǎng)絡或云共享財務信息系統(tǒng)出現(xiàn)可疑行為，該入侵檢測系統(tǒng)可以發(fā)出警告，并能啟用安全防護設備進行安全防護。入侵檢測系統(tǒng)主動應對各種威脅，提高了科研院所云共享財務信息系統(tǒng)的安全防護能力，擴充了安全防護結構。

（五）網(wǎng)絡設施安全防護技術

科研院所網(wǎng)絡設施安全防護技術應通過合理配置的路由器、交換機等網(wǎng)絡設備，進而抵御風險的發(fā)生。一是網(wǎng)絡設施安全防護技術可以通過設定云共享財務信息系統(tǒng)登錄的密碼規(guī)則，增強云共享財務信息系統(tǒng)的安全性，比如設置首次登錄強制修改密碼，若是密碼登錄失敗限制登錄次數(shù)，通過某種算法對密碼進行加密存儲等。二是路由器和交換機等網(wǎng)絡設施可以依據(jù)加密協(xié)議進行遠程連接加密，保證通信安全。三是路由器和交換機等網(wǎng)絡設施可以抵御DOS攻擊，保持設備可用性。四是路由器和交換機等網(wǎng)絡設施還可以通過構建VPN（虛擬專用網(wǎng)絡）為遠程用戶、合作伙伴等不同網(wǎng)絡構建安全鏈接。

（六）保障計算機防病毒技術

計算機防病毒技術主要包括預付技術、檢測技術和清除技術，運用計算機防病毒技術可以防御、治理計算機病毒。計算機病毒預防技術主要通過設定一系列的規(guī)則動態(tài)判定計算機病毒，在計算機病毒入侵前做好預防。計算機病毒檢測技術主要是通過檢測計算機病毒的特征段、關鍵字等，自我校驗判定出計算機病毒。而所謂的計算機病毒清楚技術則是對已經(jīng)感染計算機病毒的程序進行清除。由此可見，計算機防病毒技術是全方位、多層次的防御系統(tǒng)，科研院所安裝計算機防病毒軟件系統(tǒng)，可以極好地保障云共享財務信息系統(tǒng)的安全。

（七）云共享財務信息系統(tǒng)安全防護技術

科研院所應針對云共享財務信息系統(tǒng)的重要數(shù)據(jù)及程序配置采取合理、科學的技術或手段，預防潛在財務數(shù)據(jù)丟失的可能性。一是采取容災或備份的方式，嚴格設定口令，防止云共享財務信息系統(tǒng)被冒用竊密。二是科研院所應設定參與云共享信息系統(tǒng)操作人員的權限，按照不相容職務相互分離的規(guī)則合理分工。三是為防止云共享財務信息系統(tǒng)可能出現(xiàn)崩潰或出錯導致信息丟失等安全風險因素，科研院所還應合理部署和配置相關資源，及時維護或修補由于不利安全風險因素的出現(xiàn)，導致云共享財務信息系統(tǒng)崩潰造成的潛在威脅。

（八）確保加密及數(shù)字認證技術

數(shù)據(jù)加密技術是確保云共享財務信息系統(tǒng)安全的一種重要的防護機制，不僅可以防止重要機密信息泄露，還可以防止低權限訪問者查看機密信息，高權限訪問者查看屬于隱私的信息。數(shù)字認證技術是利用密碼技術構建的一個完備的認證系統(tǒng)，包括數(shù)字證書和數(shù)字簽名，是當前科研院所常用的安全防護技術。數(shù)字認證技術不僅可以鑒別、認證云共享財務信息系統(tǒng)傳輸各方的身份，還可以確保傳輸?shù)陌踩砸约皟?nèi)容的一致性。

（九）利用物理隔離技術

物理隔離技術可以使物理實體避免受到非法入侵、計算機病毒，甚至是自然災害的破壞，極大地保證了云共享財務信息系統(tǒng)的安全?？蒲性核鶓梦锢砀綦x技術，使得不同的計算機網(wǎng)絡不能互相接入，進而避免由于通過電磁輻射等方式導致信息被竊取的風險。