科研機構新技術安全應用的風險探析

徐 鑫，高冬元

(黑龍江省科學院石油化學研究院，哈爾濱 150040)

?

科研機構新技術安全應用的風險探析

徐 鑫，高冬元

(黑龍江省科學院石油化學研究院，哈爾濱 150040)

隨著大數據、云計算、移動互聯網等IT新技術的發展應用，移動辦公、物聯網、云計算正成為科研機構IT投資的重要組成部分。但是，新技術在推廣、應用過程中存在的不確定因素會給科研機構、科研機構的系統和研發帶來風險。科研機構應對新技術應用風險進行分析并制定策略，從而更好地應用新技術。

新技術；風險；安全；應用

隨著科研機構應對其發展需要，逐步引入了智能終端和渠道類技術(移動辦公、物聯網)、計算能力類技術(云計算)等。但新技術在促進科研發展的同時，也帶來了新的安全風險，科研機構應重視新技術帶來的風險，采取合理的措施應對。

1 新技術安全應用風險分析

1.1 移動辦公風險分析

第一，移動辦公主體仿冒風險。移動辦公的參與主體可分為辦公主體(用戶)和辦公機構(虛擬辦公機構，可分為廳、局、處、科、組等)兩類。在移動辦公的場景下，參與主體雙方的身份認證首先要考慮安全要求。辦公主體和辦公機構的身份仿冒是移動辦公面臨的最大風險。第二，移動終端安全風險。支持移動辦公的移動終端(手機、平板電腦、PDA等)與移動辦公的參與主體直接相關，所以，移動終端的安全風險也是移動辦公中十分重要的風險，主要表現以下三個方面：首先，終端操作系統漏洞導致的風險。其次，應用軟件漏洞導致的風險。最后，移動終端病毒、木馬、惡意鏈接導致的風險。移動終端的病毒、木馬惡意程序可以記錄移動辦公參與主體的操作，竊取其賬號、密碼，對動辦公參與主體造成極大威脅。第三，移動通信安全風險。移動通信安全風險主要分為近場讀取風險和使用WIFI的風險。使用WIFI 的風險是指在非安全WIFI環境下進行移動辦公存在的信息泄露或授權指令被篡改等風險。

1.2 物聯網風險分析

第一，感知層風險。首先，二維碼的風險，二維碼生成簡單、方便，但缺乏監管，借助二維碼傳播惡意鏈接、病毒、木馬日漸增多。其次，RFID系統面臨的風險。RFID標簽價格低廉和設備簡單，安全措施很少被應用到RFID系統中，從而使其具有先天的安全弱點，主要有：信息泄露、追蹤、篡改等。信息泄露主要是一些不法單位或個人利用合法或自購讀寫器對RFID標簽非法接入，造成標簽信息泄露。追蹤主要是多數RFID信息為經過加密處理，容易被個人或貨物非法跟蹤。篡改主要是將截獲的信息篡改后再發布至接收者。第二，網絡層風險。攻擊者利用網絡區域的開放特性和無線的特點，通過阻礙節點，破壞整個傳感器的運行，從而降低可用性。無人“看守”的無線傳感器更易遭到俘獲、毀壞或妥協。第三，應用層風險。應用層風險主要有：超大量終端海量數據的識別和處理不足、自動處理效能的降低、自動處理過程的失控、災難導致的業務停止、內部人員的非法干預、應用分析設備的丟失、信息泄露等。

物聯網涉及多領域多行業，因此，廣域范圍的海量數據處理和業務控制策略將在安全性和可靠性方面面臨極大挑戰，特別是業務控制和隱私保護等安全問題尤為突出。

1.3 云計算風險分析

第一，集中風險。首先，傳輸風險。用戶在云計算系統環境中傳輸時，用戶對自身數據安全的控制能力缺失，完全依賴服務商(運行商)。如果其對數據安全控制存在疏漏，必然會導致數據泄露或丟失。其次，存儲風險。A.遭受外部攻擊。由于云計算采用的是虛擬化等技術實現的資源共享，與虛擬機之間的隔離、防護易受到攻擊。B.對數據的控制力降低。用戶無法對服務商的數據安全措施防范控制，也無法監督其內部是否對用戶數據進行合法訪問。C.使用風險。客戶身份可能遭到冒用,云服務商內部員工竊取客戶數據。D.殘留風險。客戶推出云計算服務時，無法監管其完全刪除客戶數據。第二，中斷風險。由于系統遭到攻擊、系統或網絡中斷、運行不穩定、應用程序故障、網絡資源不足、高可用性集群失效、數據北非失效等原因，導致服務緩慢、中斷或運行故障。第三，外包風險。云計算外包帶來了所有權和經營權分離，引發安全性和可靠性風險，對科研機構現有IT外包管理能力和監管能力帶來了挑戰。

1.4 大數據風險分析

第一，不法分子使用大數據犯罪。首先，撞庫。黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，再用字典中的用戶和密碼，登錄其他網站、數據庫等。其次，利用掌握的客戶信息進行非法交易。不法分子將掌握的科研機構用戶及密碼信息出售給國外同業機構或企業，甚至是間諜等，從中獲益，造成科研機構知識產權或機密信息泄露的風險。第二，不當使用大數據造成的聲譽損害。科研機構在使用大數據時應鑒別數據來源，在未明確數據來源的情況下使用大數據，可能會出現侵犯隱私、侵權等風險，對科研機構聲譽造成嚴重影響。第三，預測結果不準確造成決策結果錯誤。由于統計數據存在偏差、大數據價值密度低、數據間關聯性較低的特點，科研機構運用大數據進行分析預測時，可能簡單、樂觀地相信“數據自己說出結論”的思維，導致以其未依托的決策結果錯誤。

2 新技術安全應用風險防范措施

2.1 移動辦公的風險防范措施

第一，針對移動辦公的參與主體身份仿冒，主要是提高參與主體雙方身份仿冒防范和使用身份認證新技術。提高參與主體雙方身份仿冒防范。辦公機構需要確認是正確的辦公主體，使用合法的賬號進行辦公操作。辦公主體要掌握一定的真假網站、軟件識別能力，確保正確進行辦公操作。可以通過身份認證使用動態密碼輸入及硬件密鑰實體按鍵確認組合的方式，向指定移動設備發送驗證碼，保證身份認證的安全。

第二，針對移動終端的安全，盡量避免使用代碼開源的操作系統的移動終端設備，確保移動終端操作系統的及時升級、更新，不對系統進行“越獄”處理。移動終端應使用經過安全認證的軟件應用，且軟件提供商能保證軟件的升級、維護。移動終端用戶不隨意點擊陌生短信、郵件提供的鏈接，不隨意識別非信任的二維碼。移動終端還應安裝正規的安全防護軟件，定期進行安全掃描，降低感染病毒、木馬的可能性。

第三，通信安全風險防范應完善本機構無線網絡的建設，提高網絡的安全性可靠性。首先，根據機構自身需求，定制嚴密的無線安全策略。其次，采用加密技術確保無線數據傳輸不被泄露。規范辦公主體安全使用移動終端，非必要環境下關閉移動設備的WIFI、藍牙、NFC等功能，防止在未知情況下的惡意數據讀取。

要實現移動辦公的長遠可持續發展，科研機構應構建一套科學完備的安全技術體系，從基礎技術和設備、安全數據及加密算法等環節夯實移動辦公安全基礎，與產業鏈(移動終端制造商商、安全軟件廠商等)各方建立廣泛合作，依靠產業鏈抵御風險。

2.2 物聯網風險的防范措施

第一，感知層安全措施。針對二維碼的安全措施為用戶終端安裝二維碼監測工具，自動檢測二維碼中是否含有惡意鏈接、病毒、木馬等威脅，對用戶進行提示和攔截。建議用戶不要隨意讀取或掃描二維碼。針對RFID的安全措施：首先，使標簽失效或沉睡標簽，有效防止信息泄露。其次，有源屏蔽和主動干擾，避免RFID標簽被識別。再次，建立安全密鑰管理系統。構建一個需要多個網絡同時控制的安全密鑰管理系統，解決物聯網密鑰的分配、更新等安全管理問題。最后，數據處理和隱私保護。對RFID采集的信息進行輕量級加密后再傳輸至匯聚節點。第二，網絡層安全措施。首先，建立健全安全路由體系。安全路由體系可以保證在受到威脅時仍能維持正常運行。其次，加強網絡節點訪問控制。訪問控制體系能防止未授權的用戶訪問物聯網感知層的節點和數據，有效保護數據安全。最后，建立有效的糾容錯機制。糾容錯機制使網絡存在非法入侵時仍能正常運行，當網絡節點失效后，仍能進行傳輸數據的恢復。第三，應用層安全措施。物聯網的安全架構要從處理過程和業務實現兩方面入手。處理過程需要建立認證機制、密鑰管理、入侵檢測和病毒檢測等安全機制；業務實現要建立數據庫訪問控制、內容篩選、隱私信息保護等機制。

2.3 云計算風險的防范措施

第一，云計算服務使用決策。是否采用云計算服務，特別是采用社會化的云計算服務。只有當安全風險在用戶可承受范圍內，或安全風險引起的事件有適當控制或補救措施時，方可采用云計算服務。科研機構應根據自身的數據敏感程度及科研類型判斷是否采用云計算服務，采用哪種模式和部署，明確自身所需云計算平臺的安全保護能力。第二，服務需求管理。科研機構(用戶)與云服務商(供應商)簽訂服務水平協議，詳細說明供應商和用戶的有限承諾，限定用戶可獲得的補救措施和彼時供應商的義務。第三，選擇云服務商。在確定服務與安全需求后，為確保用戶數據與業務系統安全，科研機構應從已獲得安全認可的云服務商中選擇適合的供應商。第四，合同約定。通過與云服務商簽訂合同，約定科研機構最關注的的數據保護與安全問題，以及由此產生的法律問題，明確發生糾紛時由誰來承擔損害責任和賠償責任。第五，外包檢查。加強對與服務商的運行監管，根據相關規定開展信息安全檢查。若有問題，則要求云服務商整改。若云服務商存在嚴重問題，科研機構科研選擇退出服務或變更云服務商。第六，應急機制。科研機構自身應對云計算服務的可靠性、持續性進行評估，關注中斷頻率與預期恢復時間。網絡鏈路應采用多個網絡運營商的優質鏈路，做到網絡連接冗余。確定云計算服務商是否有應急機制，是否可以異地備份，保證自然災害發生時也能保護和恢復數據。

[1] 于志丹.互聯網新技術新業務面臨的安全風險及安全評估技術應用[J].內蒙古通信，2015，(04)：140-141.

[2] 楊葉.現代技術風險及其傳播策略研究[D].成都：成都理工大學，2013.

Analysis on the risk of new technology safety application of scientific research institution

XU Xin, GAO Dong-yuan

(Institute of Petrochemistry, Heilongjiang Academy of Sciences, Harbin 150040, China)

With application of big data, cloud computing and mobile Internet, the mobile office, networking, cloud computing have become an important part of IT investment in scientific research institutions. However, the uncertain factors in the promotion of new technology will bring risks to scientific research institutions. Therefore, research institutions need to make strategies to application risks of new technology, so as to better take use of these new technologies.

New technology; Risks; Safety; Application

2016-11-12

徐鑫(1981-)，女，學士，高級工程師。

TP393.08

A

1674-8646(2017)02-0182-02