趙竹明 于 津 趙圣濤 張 穎

（中國(guó)水產(chǎn)科學(xué)研究院黃海水產(chǎn)研究所，山東 青島 266071）

一、科研院所財(cái)務(wù)云發(fā)展與現(xiàn)狀

2013年，浪潮集團(tuán)首次提出“財(cái)務(wù)云”，以期實(shí)現(xiàn)財(cái)務(wù)共享服務(wù)、財(cái)務(wù)管理和資金管理三個(gè)功能的統(tǒng)一。財(cái)務(wù)云是將集團(tuán)企業(yè)財(cái)務(wù)共享管理模式與云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等計(jì)算機(jī)技術(shù)有效融合，實(shí)現(xiàn)財(cái)務(wù)共享服務(wù)、財(cái)務(wù)管理、資金管理三個(gè)中心合一，建立集中、統(tǒng)一的企業(yè)財(cái)務(wù)云中心，支持多終端接入模式，實(shí)現(xiàn)核算、報(bào)賬、資金、決策等環(huán)節(jié)在全集團(tuán)內(nèi)的管理協(xié)同應(yīng)用。

2015年以來，農(nóng)業(yè)農(nóng)村部對(duì)所屬的部分科研院所給予了信息化立項(xiàng)的資金支持，個(gè)別院所也進(jìn)行了有益嘗試，建立了科研院所財(cái)務(wù)云，實(shí)現(xiàn)了部分財(cái)務(wù)功能的云共享，極大地提高了科研院所運(yùn)營(yíng)效率，降低了運(yùn)營(yíng)成本，減少了內(nèi)控風(fēng)險(xiǎn)。

近年來，科研院所內(nèi)控管理引進(jìn)財(cái)務(wù)云，財(cái)務(wù)云管理應(yīng)用的價(jià)值及優(yōu)勢(shì)主要體現(xiàn)在以下幾方面：一是實(shí)現(xiàn)科研院所財(cái)務(wù)數(shù)據(jù)共享，通過財(cái)務(wù)云規(guī)劃建設(shè)，減少人員和軟硬件系統(tǒng)的重復(fù)設(shè)置，降低整體運(yùn)營(yíng)成本。二是實(shí)現(xiàn)管理會(huì)計(jì)決策參考功能，通過財(cái)務(wù)數(shù)據(jù)共享服務(wù)，可以實(shí)現(xiàn)某些數(shù)據(jù)的集中和建模分析，可以深度挖掘數(shù)據(jù)揭示出來的深層次問題，進(jìn)而為決策者提供數(shù)據(jù)參考，更好地服務(wù)于科研院所決策和運(yùn)營(yíng)。三是助推科研院所實(shí)現(xiàn)整合效益，通過財(cái)務(wù)云數(shù)據(jù)共享提升科研院所的整合能力，支持科研院所業(yè)務(wù)整合和快速擴(kuò)張，實(shí)現(xiàn)整合效益。四是提高內(nèi)控管理質(zhì)量水平，通過財(cái)務(wù)云數(shù)據(jù)共享，可以標(biāo)準(zhǔn)化科研院所業(yè)務(wù)流程、專業(yè)化人才隊(duì)伍、精準(zhǔn)化信息服務(wù)，一系列的標(biāo)準(zhǔn)化、專業(yè)化和精細(xì)化可以提高科研院所工作效率，大大提高科研院所管理質(zhì)量水平。

科研院所應(yīng)用財(cái)務(wù)云有效結(jié)合了財(cái)務(wù)共享管理模式與移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、信息處理技術(shù)等，系統(tǒng)化地建立了財(cái)務(wù)共享服務(wù)、財(cái)務(wù)管理以及資金管理“三合一”的集中化、統(tǒng)一化的財(cái)務(wù)云中心，可實(shí)現(xiàn)多終端的接入?？蒲性核鶎?shí)現(xiàn)財(cái)務(wù)云共享功能可以提高科研院所運(yùn)營(yíng)效率，降低運(yùn)營(yíng)成本，減少內(nèi)控風(fēng)險(xiǎn)，還可以提供及時(shí)、準(zhǔn)確、完整的財(cái)務(wù)信息，提升運(yùn)營(yíng)能力。現(xiàn)階段，我國(guó)科研院所開始逐步建設(shè)財(cái)務(wù)共享中心，實(shí)現(xiàn)云共享。然而，在實(shí)施財(cái)務(wù)云的進(jìn)程中，隨著財(cái)務(wù)信息化、智能化的推進(jìn)，云共享下科研院所信息系統(tǒng)安全問題也日漸凸顯。科研院所信息一旦泄露或被篡改，將會(huì)給科研院所帶來極大的危害?；诖?，本文研究云共享下科研院所信息系統(tǒng)安全問題具有重要的現(xiàn)實(shí)意義。

二、云共享下科研院所財(cái)務(wù)信息系統(tǒng)安全問題分析

（一）科研院所網(wǎng)絡(luò)信息安全意識(shí)不強(qiáng)

有些科研院所信息安全意識(shí)不強(qiáng)，尚沒有建立完善的網(wǎng)絡(luò)安全管理制度，信息系統(tǒng)網(wǎng)絡(luò)安全工作的開展缺乏能夠遵循的管理辦法。對(duì)于財(cái)務(wù)信息系統(tǒng)，網(wǎng)絡(luò)安全至關(guān)重要，系統(tǒng)中不僅存儲(chǔ)著使用人的基本信息，還有科研院所寶貴的核心財(cái)務(wù)數(shù)據(jù)。部分科研院所云端財(cái)務(wù)信息系統(tǒng)沒有及時(shí)進(jìn)行網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)，原有系統(tǒng)漏洞無法發(fā)現(xiàn)；后期系統(tǒng)維護(hù)時(shí)，也未及時(shí)修補(bǔ)已知的網(wǎng)絡(luò)安全漏洞。還有一些財(cái)務(wù)系統(tǒng)的使用人所用電腦未安裝防火墻、網(wǎng)絡(luò)安全組件等防護(hù)工具，系統(tǒng)登錄密碼仍使用弱口令，沒有手機(jī)短信驗(yàn)證等安全認(rèn)證方式。

（二）計(jì)算機(jī)病毒的破壞

當(dāng)前，隨著信息技術(shù)不斷發(fā)展，信息技術(shù)的應(yīng)用領(lǐng)域及應(yīng)用深度也不斷拓展，與此同時(shí)，不同種類、不同形式的計(jì)算機(jī)病毒也逐漸滲透到社會(huì)各個(gè)領(lǐng)域。計(jì)算機(jī)病毒是具有嚴(yán)重的破壞性、能主動(dòng)復(fù)制代碼，根據(jù)編制者的主觀意向及編制水平的不同，其破壞能力也有所不同，進(jìn)而對(duì)信息系統(tǒng)造成不同程度的破壞。云共享下科研院所的財(cái)務(wù)信息系統(tǒng)建立，也是依托計(jì)算機(jī)信息技術(shù)，也存在著被計(jì)算機(jī)病毒破壞的風(fēng)險(xiǎn)，可能給科研院所健康發(fā)展帶來極大的威脅。

（三）Web應(yīng)用所面臨的安全威脅

當(dāng)前，云共享下的財(cái)務(wù)信息系統(tǒng)就是以Web應(yīng)用形式實(shí)現(xiàn)的，隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用架構(gòu)從客戶端/服務(wù)器（C/S）轉(zhuǎn)為瀏覽器/服務(wù)器（B/S）,Web應(yīng)用也快速發(fā)展，Web成為互聯(lián)網(wǎng)上主要的服務(wù)，同時(shí)，其應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)也隨之增加?？蒲性核鵚eb應(yīng)用的安全威脅主要來源兩個(gè)方面，一是涉及敏感、私有、機(jī)密信息的安全傳輸。二是Web服務(wù)器和瀏覽器安全運(yùn)行。Web應(yīng)用服務(wù)器的設(shè)計(jì)、編制、集成、運(yùn)行等都離不開語句代碼，在代碼編制過程中可能會(huì)存在設(shè)計(jì)漏洞、惡意代碼等現(xiàn)象，進(jìn)而造成科研院所成果信息泄露、系統(tǒng)或程序癱瘓等后果。

（四）內(nèi)部機(jī)密信息面臨的安全威脅

現(xiàn)階段，科研院所使用的網(wǎng)絡(luò)多是依托于互聯(lián)網(wǎng)、城域網(wǎng)或局域網(wǎng)?？蒲性核ㄟ^云共享財(cái)務(wù)信息系統(tǒng)傳遞信息時(shí)，面臨著在源端存儲(chǔ)及交互傳輸時(shí)的安全威脅?？蒲性核谠乒蚕碡?cái)務(wù)信息系統(tǒng)源端存儲(chǔ)方面，存在著以下兩方面的安全問題：一是計(jì)算機(jī)操作系統(tǒng)、數(shù)據(jù)庫或應(yīng)用服務(wù)軟件被入侵、攻擊導(dǎo)致的信息丟失或篡改的風(fēng)險(xiǎn)。二是不法分子利用漏洞繞開安全防線非法獲取信息的風(fēng)險(xiǎn)，云共享財(cái)務(wù)信息系統(tǒng)在進(jìn)行信息交互傳輸方面還存在著信息被截獲、搭線竊聽等方面的安全威脅。

（五）黑客的惡意攻擊、竊取信息隱患

黑客技術(shù)通過惡意攻擊科研院所的計(jì)算機(jī)主機(jī)，使得科研院所的軟、硬件資源癱瘓，進(jìn)而竊取科研院所信息，黑客技術(shù)破壞的范圍、程度及攻擊的隱蔽性各有不同。計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)后，大量的黑客網(wǎng)站也隨之出現(xiàn)，黑客技術(shù)在大范圍傳播，使得科研院所信息安全面臨極大的威脅。云共享財(cái)務(wù)信息系統(tǒng)承載了科研院所財(cái)務(wù)信息、運(yùn)營(yíng)信息等重要的機(jī)密信息，也是黑客攻擊的對(duì)象。

（六）對(duì)網(wǎng)絡(luò)及系統(tǒng)安全缺乏有效的監(jiān)視與評(píng)估

計(jì)算機(jī)網(wǎng)絡(luò)體系所遵守的TCP/IP協(xié)議，缺乏相應(yīng)的安全機(jī)制，由此可見，計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)從根本上存在缺陷。當(dāng)前，科研院所多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全策略、監(jiān)控和防范技術(shù)都是針對(duì)某一領(lǐng)域或某一層次的，缺乏一套完整的安全策略、監(jiān)控和防范技術(shù)，這就給攻擊者敞開了一扇門，暴露出薄弱環(huán)節(jié)。

三、科研院所云共享下財(cái)務(wù)信息系統(tǒng)安全防范

（一）加強(qiáng)科研院所信息安全體系建設(shè)

建立健全科研院所信息安全體系，成立信息安全領(lǐng)導(dǎo)專職機(jī)構(gòu)，進(jìn)一步壓實(shí)網(wǎng)絡(luò)安全責(zé)任。建立完善的信息安全管理制度，從人員、經(jīng)費(fèi)及系統(tǒng)使用等各方面完善相關(guān)的安全管理辦法。云端財(cái)務(wù)信息系統(tǒng)在科研院所研發(fā)階段就要考慮到網(wǎng)絡(luò)安全問題，及時(shí)開展信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)、備案及測(cè)評(píng)工作，使服務(wù)平臺(tái)減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。增強(qiáng)系統(tǒng)使用人的網(wǎng)絡(luò)安全意識(shí)，客戶端電腦應(yīng)安裝相應(yīng)的安全防護(hù)工具，系統(tǒng)登錄密碼采用強(qiáng)密碼并定期進(jìn)行變更。

（二）強(qiáng)化防火墻技術(shù)

防火墻技術(shù)是確保網(wǎng)絡(luò)安全最基本的安全“防線”，可以阻止外部不安全因素入侵。防火墻通過掃描流經(jīng)的網(wǎng)絡(luò)通信，過濾具有攻擊性的網(wǎng)絡(luò)通信，阻止其執(zhí)行，而且防火墻還可以關(guān)閉不使用的端口，禁止不明站點(diǎn)訪問、特定端口流出等，防止不明入侵者的通信。防火墻技術(shù)通過數(shù)據(jù)包過濾判斷該數(shù)據(jù)包的屬性，判斷傳輸?shù)臄?shù)據(jù)路徑，并與配置表中的訪問規(guī)則對(duì)比，進(jìn)而確定如何處理相關(guān)的數(shù)據(jù)。網(wǎng)絡(luò)IP地址轉(zhuǎn)換可以通過隱藏IP地址，進(jìn)而保護(hù)內(nèi)部網(wǎng)絡(luò)區(qū)域的安全?？蒲性核鶅?nèi)部網(wǎng)絡(luò)的IP地址及端口可以通過網(wǎng)絡(luò)IP地址轉(zhuǎn)換技術(shù)轉(zhuǎn)變成外部、異構(gòu)網(wǎng)絡(luò)中的公用IP地址及端口，網(wǎng)絡(luò)IP地址轉(zhuǎn)換技術(shù)還可以減少科研院所購買或租用公共網(wǎng)絡(luò)通道的費(fèi)用。

（三）構(gòu)建漏洞掃描技術(shù)

漏洞掃描技術(shù)是通過掃描技術(shù)掃描本地網(wǎng)絡(luò)或主機(jī)，進(jìn)而發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)存在的安全問題，降低黑客的攻擊，是一種積極的防御措施。漏洞掃描技術(shù)也可以探測(cè)遠(yuǎn)端網(wǎng)絡(luò)或主機(jī)是否存在安全問題。再加上，漏洞掃描技術(shù)還可以針對(duì)發(fā)現(xiàn)的安全漏洞，進(jìn)行調(diào)查分析，查找漏洞，提供解決措施?？蒲性核\(yùn)用漏洞掃描技術(shù)定期或不定期地對(duì)云共享財(cái)務(wù)信息系統(tǒng)進(jìn)行掃描，及時(shí)發(fā)現(xiàn)漏洞，以便及時(shí)防范風(fēng)險(xiǎn)的發(fā)生。

（四）阻斷入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和所附帶的信息系統(tǒng)進(jìn)行檢測(cè)，判斷是否有違反安全策略行為或入侵行為的技術(shù)。科研院所采用入侵檢測(cè)技術(shù)對(duì)不同網(wǎng)絡(luò)區(qū)域及云共享財(cái)務(wù)信息系統(tǒng)提供在線防護(hù)，通過搜集云共享財(cái)務(wù)信息系統(tǒng)網(wǎng)絡(luò)訪問、安全日志、信息數(shù)據(jù)等檢測(cè)是否存在違反安全策略的入侵行為，減少誤操作，阻斷云共享財(cái)務(wù)信息系統(tǒng)面臨的安全威脅。入侵檢測(cè)系統(tǒng)是依托入侵檢測(cè)技術(shù)構(gòu)建的，其通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)及云共享財(cái)務(wù)信息系統(tǒng)進(jìn)行在線監(jiān)視，檢測(cè)可疑行為。若是計(jì)算機(jī)網(wǎng)絡(luò)或云共享財(cái)務(wù)信息系統(tǒng)出現(xiàn)可疑行為，該入侵檢測(cè)系統(tǒng)可以發(fā)出警告，并能啟用安全防護(hù)設(shè)備進(jìn)行安全防護(hù)。入侵檢測(cè)系統(tǒng)主動(dòng)應(yīng)對(duì)各種威脅，提高了科研院所云共享財(cái)務(wù)信息系統(tǒng)的安全防護(hù)能力，擴(kuò)充了安全防護(hù)結(jié)構(gòu)。

（五）網(wǎng)絡(luò)設(shè)施安全防護(hù)技術(shù)

科研院所網(wǎng)絡(luò)設(shè)施安全防護(hù)技術(shù)應(yīng)通過合理配置的路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，進(jìn)而抵御風(fēng)險(xiǎn)的發(fā)生。一是網(wǎng)絡(luò)設(shè)施安全防護(hù)技術(shù)可以通過設(shè)定云共享財(cái)務(wù)信息系統(tǒng)登錄的密碼規(guī)則，增強(qiáng)云共享財(cái)務(wù)信息系統(tǒng)的安全性，比如設(shè)置首次登錄強(qiáng)制修改密碼，若是密碼登錄失敗限制登錄次數(shù)，通過某種算法對(duì)密碼進(jìn)行加密存儲(chǔ)等。二是路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)施可以依據(jù)加密協(xié)議進(jìn)行遠(yuǎn)程連接加密，保證通信安全。三是路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)施可以抵御DOS攻擊，保持設(shè)備可用性。四是路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)施還可以通過構(gòu)建VPN（虛擬專用網(wǎng)絡(luò)）為遠(yuǎn)程用戶、合作伙伴等不同網(wǎng)絡(luò)構(gòu)建安全鏈接。

（六）保障計(jì)算機(jī)防病毒技術(shù)

計(jì)算機(jī)防病毒技術(shù)主要包括預(yù)付技術(shù)、檢測(cè)技術(shù)和清除技術(shù)，運(yùn)用計(jì)算機(jī)防病毒技術(shù)可以防御、治理計(jì)算機(jī)病毒。計(jì)算機(jī)病毒預(yù)防技術(shù)主要通過設(shè)定一系列的規(guī)則動(dòng)態(tài)判定計(jì)算機(jī)病毒，在計(jì)算機(jī)病毒入侵前做好預(yù)防。計(jì)算機(jī)病毒檢測(cè)技術(shù)主要是通過檢測(cè)計(jì)算機(jī)病毒的特征段、關(guān)鍵字等，自我校驗(yàn)判定出計(jì)算機(jī)病毒。而所謂的計(jì)算機(jī)病毒清楚技術(shù)則是對(duì)已經(jīng)感染計(jì)算機(jī)病毒的程序進(jìn)行清除。由此可見，計(jì)算機(jī)防病毒技術(shù)是全方位、多層次的防御系統(tǒng)，科研院所安裝計(jì)算機(jī)防病毒軟件系統(tǒng)，可以極好地保障云共享財(cái)務(wù)信息系統(tǒng)的安全。

（七）云共享財(cái)務(wù)信息系統(tǒng)安全防護(hù)技術(shù)

科研院所應(yīng)針對(duì)云共享財(cái)務(wù)信息系統(tǒng)的重要數(shù)據(jù)及程序配置采取合理、科學(xué)的技術(shù)或手段，預(yù)防潛在財(cái)務(wù)數(shù)據(jù)丟失的可能性。一是采取容災(zāi)或備份的方式，嚴(yán)格設(shè)定口令，防止云共享財(cái)務(wù)信息系統(tǒng)被冒用竊密。二是科研院所應(yīng)設(shè)定參與云共享信息系統(tǒng)操作人員的權(quán)限，按照不相容職務(wù)相互分離的規(guī)則合理分工。三是為防止云共享財(cái)務(wù)信息系統(tǒng)可能出現(xiàn)崩潰或出錯(cuò)導(dǎo)致信息丟失等安全風(fēng)險(xiǎn)因素，科研院所還應(yīng)合理部署和配置相關(guān)資源，及時(shí)維護(hù)或修補(bǔ)由于不利安全風(fēng)險(xiǎn)因素的出現(xiàn)，導(dǎo)致云共享財(cái)務(wù)信息系統(tǒng)崩潰造成的潛在威脅。

（八）確保加密及數(shù)字認(rèn)證技術(shù)

數(shù)據(jù)加密技術(shù)是確保云共享財(cái)務(wù)信息系統(tǒng)安全的一種重要的防護(hù)機(jī)制，不僅可以防止重要機(jī)密信息泄露，還可以防止低權(quán)限訪問者查看機(jī)密信息，高權(quán)限訪問者查看屬于隱私的信息。數(shù)字認(rèn)證技術(shù)是利用密碼技術(shù)構(gòu)建的一個(gè)完備的認(rèn)證系統(tǒng)，包括數(shù)字證書和數(shù)字簽名，是當(dāng)前科研院所常用的安全防護(hù)技術(shù)。數(shù)字認(rèn)證技術(shù)不僅可以鑒別、認(rèn)證云共享財(cái)務(wù)信息系統(tǒng)傳輸各方的身份，還可以確保傳輸?shù)陌踩砸约皟?nèi)容的一致性。

（九）利用物理隔離技術(shù)

物理隔離技術(shù)可以使物理實(shí)體避免受到非法入侵、計(jì)算機(jī)病毒，甚至是自然災(zāi)害的破壞，極大地保證了云共享財(cái)務(wù)信息系統(tǒng)的安全?？蒲性核鶓?yīng)用物理隔離技術(shù)，使得不同的計(jì)算機(jī)網(wǎng)絡(luò)不能互相接入，進(jìn)而避免由于通過電磁輻射等方式導(dǎo)致信息被竊取的風(fēng)險(xiǎn)。