IT和OT融合趋势下的财务系统互联网安全研究
2021-04-04葛小青
葛小青
(唐山学院 河北 唐山 063000)
1 引言
在通信技术、计算机技术和财务系统技术不断发展的驱动下,信息技术(IT)与操作技术(OT)逐渐融合,促进财务系统互联网络形成。财务系统互联网不仅包括财务系统控制系统和财务系统网络,还包括了大数据存储分析、云计算、客户网络等,我国提出的财务系统互联网参考体系架构。在财务系统互联网中,“网络”是为财务系统系统中数据信息传输传递的支撑;“数据”是财务系统智能化的中心。而“安全”则是财务系统互联网运营的重要保障。在IT/OT一体化趋势下,财务系统互联网安全逐渐受到国家、工厂、科研院所和用户的重视,并且由于其作用的特殊性开始成为我国基础设施安全的重要组成之一。目前研究财务系统互联网安全保护策略已成为财务系统互联网领域研究热点。在充分考虑合规性和现实中需要的基础上,开发了专门针对财务系统控制系统的安全解决方案。下面结合互联网特点与安全风险介绍融融网开发的财务系统互联网安全保证方案[1]。
2 财务系统互联网的特点与安全风险
在经济社会高速发展的推动下,人们开始提高对网络和服务质量的要求,以往的网络架构不能满足使用者的复杂需求,财务系统互联网应运而生,驱动互联网逐渐转型,由“消费型”过渡到“生产型”,也使得财务系统呈现了新的发展趋势,衍生了新的技术。研究指出,财务系统互联网不仅实现传感器组网和信息及时传输,还实现了海量数据存储与分析工作,因此总体来看,财务系统互联网具有灵活性、及时性、可靠性和安全性等特点。
3 财务系统互联网安全风险
财务系统互联网的安全面临的挑战可以被细分成设备安全问题、控制安全问题、网络数据安全问题和管理人员安全问题。在IT安全需求中最高级是保密性,接下来依次是完整性、及时性和可靠性,而OT安全需求与IT不同,OT更为关注设备可靠性、有效性。由于IT与OT系统在需求和功能方面存在较大差异,因此IT/OT融合为财务系统互联网安全运行带来不小的挑战。
3.1 财务系统互联网设备安全挑战
财务系统互联网中的设备安全挑战,主要指的是接入互联网系统的财务系统设备因其自身脆弱性易于遭受网络攻击风险而引起的管理安全挑战。包括智能芯片安全、嵌入式系统安全、编码规范问题、选用的第三方应用软件安全等,若以上安全隐患爆发,会对整个财务系统互联网的正常运行造成重大影响。
3.2 财务系统互联网网络安全挑战
网络安全是财务系统互联网安全的核心所在,也是众多安全威胁中风险系数最高的一种,这一层面的安全挑战几乎包括所有财务系统互联网涉及的方面。其中,最引人注意的安全问题是系统作业过程中面临的网络数据传输威胁。一方面,应用于财务系统生产的无线网络技术使得网络防护边界愈来愈模糊,工厂网络的灵活组网导致网络拓扑结构复杂,传统静态防护策略方法面临新情况“捉襟见肘”;另一方面,IT和OT的融合在一定程度上增加了网络攻击的攻击范围,而目前缺乏APT攻击检测和防护手段。
3.3 财务系统互联网人员管理安全挑战
为提高财务系统生产效率,改善数据传输准确性,财务系统互联网地应用愈加广泛,计算机科学技术在财务系统生产中的重要性日渐提升。尽管计算机技术和通信技术已经比较成熟,但是,在实际应用中,受研发限制,财务系统互联网运行仍然需要投入人力进行监管和维护。
4 应对财务系统互联网安全的对策措施
4.1 积极寻找安全漏洞
参考动态安全模型,架构安全框架包括五类相关性系统,以提高企业应对IT/OT融合趋势下的财务系统互联网安全挑战能力。首先确保构架安全,在财务系统互联网设计阶段引入安全防护,保证设备或系统不能被随意调用;其次,加强被动防御,增加无人监管的持续性威胁防御系统,如构建财务系统互联网防火墙,同时清点硬件设备和软件应用,理清网络拓扑;最后,及时更新工作站和服务器,避免非法入侵,如开蜜罐系统,采用蜜罐系统进行主动防御,捕获并分析非法行为,采取合适的安全略策[2]。
4.2 完善网络分区防护
参考国际工控领域中权威性文件提出的安全防御架构,财务系统互联网被分为功能区与生产现场。传统防护策略是在各功能区边界设置防火墙,防止遭受外部攻击,同时实现企业网络、控制网络与远程访问区的隔离,分隔开生产区与控制网络。为完善财务系统互联网防护,将网络分区防火墙防护进行改进,根据深度防御体系设置和布局防火墙:第1阶段,建设双宿主机防火墙;第2阶段,建设企业网络与控制网络防火墙;第3阶段,制定科学的防火墙应用策略,进一步确保财务系统互联网安全。
4.3 保障远程访问安全
财务系统互联网开放的重要基础是设备和财务系统,因此确保远程访问安全是保障财务系统互联网运营的关键。第一,完善企业设备远程访问安全政策,只开放必要端口,精细化访问管理与监控,例如要求员工不得使用公共网络远程访问,应使用虚拟专用网络(VPN)访问设备或系统,并且设置强口令,加密传输文件,同时以最小权限原则限制外部客户远程访问权限;第二,加强终端设备安全防护,定期对工厂内老旧设备进行备份和漏洞排查,同时设置办公和生产用电脑等终端自行备份。
