IT和OT融合趨勢下的財務系統互聯網安全研究

2021-04-04 08:10:16葛小青

信息記錄材料 2021年4期

葛小青

（唐山學院河北唐山 063000）

1 引言

在通信技術、計算機技術和財務系統技術不斷發展的驅動下，信息技術（IT）與操作技術（OT）逐漸融合，促進財務系統互聯網絡形成。財務系統互聯網不僅包括財務系統控制系統和財務系統網絡，還包括了大數據存儲分析、云計算、客戶網絡等，我國提出的財務系統互聯網參考體系架構。在財務系統互聯網中，“網絡”是為財務系統系統中數據信息傳輸傳遞的支撐；“數據”是財務系統智能化的中心。而“安全”則是財務系統互聯網運營的重要保障。在IT/OT一體化趨勢下，財務系統互聯網安全逐漸受到國家、工廠、科研院所和用戶的重視，并且由于其作用的特殊性開始成為我國基礎設施安全的重要組成之一。目前研究財務系統互聯網安全保護策略已成為財務系統互聯網領域研究熱點。在充分考慮合規性和現實中需要的基礎上，開發了專門針對財務系統控制系統的安全解決方案。下面結合互聯網特點與安全風險介紹融融網開發的財務系統互聯網安全保證方案[1]。

2 財務系統互聯網的特點與安全風險

在經濟社會高速發展的推動下，人們開始提高對網絡和服務質量的要求，以往的網絡架構不能滿足使用者的復雜需求，財務系統互聯網應運而生，驅動互聯網逐漸轉型，由“消費型”過渡到“生產型”，也使得財務系統呈現了新的發展趨勢，衍生了新的技術。研究指出，財務系統互聯網不僅實現傳感器組網和信息及時傳輸，還實現了海量數據存儲與分析工作，因此總體來看，財務系統互聯網具有靈活性、及時性、可靠性和安全性等特點。

3 財務系統互聯網安全風險

財務系統互聯網的安全面臨的挑戰可以被細分成設備安全問題、控制安全問題、網絡數據安全問題和管理人員安全問題。在IT安全需求中最高級是保密性，接下來依次是完整性、及時性和可靠性，而OT安全需求與IT不同，OT更為關注設備可靠性、有效性。由于IT與OT系統在需求和功能方面存在較大差異，因此IT/OT融合為財務系統互聯網安全運行帶來不小的挑戰。

3.1 財務系統互聯網設備安全挑戰

財務系統互聯網中的設備安全挑戰，主要指的是接入互聯網系統的財務系統設備因其自身脆弱性易于遭受網絡攻擊風險而引起的管理安全挑戰。包括智能芯片安全、嵌入式系統安全、編碼規范問題、選用的第三方應用軟件安全等，若以上安全隱患爆發，會對整個財務系統互聯網的正常運行造成重大影響。

3.2 財務系統互聯網網絡安全挑戰

網絡安全是財務系統互聯網安全的核心所在，也是眾多安全威脅中風險系數最高的一種，這一層面的安全挑戰幾乎包括所有財務系統互聯網涉及的方面。其中，最引人注意的安全問題是系統作業過程中面臨的網絡數據傳輸威脅。一方面，應用于財務系統生產的無線網絡技術使得網絡防護邊界愈來愈模糊，工廠網絡的靈活組網導致網絡拓撲結構復雜，傳統靜態防護策略方法面臨新情況“捉襟見肘”；另一方面，IT和OT的融合在一定程度上增加了網絡攻擊的攻擊范圍，而目前缺乏APT攻擊檢測和防護手段。

3.3 財務系統互聯網人員管理安全挑戰

為提高財務系統生產效率，改善數據傳輸準確性，財務系統互聯網地應用愈加廣泛，計算機科學技術在財務系統生產中的重要性日漸提升。盡管計算機技術和通信技術已經比較成熟，但是，在實際應用中，受研發限制，財務系統互聯網運行仍然需要投入人力進行監管和維護。

4 應對財務系統互聯網安全的對策措施

4.1 積極尋找安全漏洞

參考動態安全模型，架構安全框架包括五類相關性系統，以提高企業應對IT/OT融合趨勢下的財務系統互聯網安全挑戰能力。首先確保構架安全，在財務系統互聯網設計階段引入安全防護，保證設備或系統不能被隨意調用；其次，加強被動防御，增加無人監管的持續性威脅防御系統，如構建財務系統互聯網防火墻，同時清點硬件設備和軟件應用，理清網絡拓撲；最后，及時更新工作站和服務器，避免非法入侵，如開蜜罐系統，采用蜜罐系統進行主動防御，捕獲并分析非法行為，采取合適的安全略策[2]。

4.2 完善網絡分區防護

參考國際工控領域中權威性文件提出的安全防御架構，財務系統互聯網被分為功能區與生產現場。傳統防護策略是在各功能區邊界設置防火墻，防止遭受外部攻擊，同時實現企業網絡、控制網絡與遠程訪問區的隔離，分隔開生產區與控制網絡。為完善財務系統互聯網防護，將網絡分區防火墻防護進行改進，根據深度防御體系設置和布局防火墻：第1階段，建設雙宿主機防火墻；第2階段，建設企業網絡與控制網絡防火墻；第3階段，制定科學的防火墻應用策略，進一步確保財務系統互聯網安全。

4.3 保障遠程訪問安全

財務系統互聯網開放的重要基礎是設備和財務系統，因此確保遠程訪問安全是保障財務系統互聯網運營的關鍵。第一，完善企業設備遠程訪問安全政策，只開放必要端口，精細化訪問管理與監控，例如要求員工不得使用公共網絡遠程訪問，應使用虛擬專用網絡（VPN）訪問設備或系統，并且設置強口令，加密傳輸文件，同時以最小權限原則限制外部客戶遠程訪問權限；第二，加強終端設備安全防護，定期對工廠內老舊設備進行備份和漏洞排查，同時設置辦公和生產用電腦等終端自行備份。