(这条文章已经被阅读了 67 次) 时间:2001-11-13 15:38:03 来源:上海1号 (上海1号) 原创-IT
前些天单位为了实现Intranet网,在上海分公司和北京总部分别购买了路由设备将上海和北京的所有计算机连接相关设备连接起来。初步看这是大好事,但后来从图书馆中借了本网络防火墙配置看了看,真是不看不要紧,越看冷汗越多。据我估计,国内已经实现了网络财务和正在试验开展网络财务的单位99%的财务数据是不安全的,这个数据可能有些夸张,但事实不会相差太远。希望今天能看到此贴的同仁们能对现在已经使用和将来开展网络财务的单位体个醒,不要成为未来被媒体曝光的中国第一家通过网络使财务数据遭受浩劫的丑闻单位。
随着中国企业的改革深化,大范围应用信息技术增强企业竞争力已经成了所有企业的必然选择,然而由于我国信息技术起步慢,专业技术人员匮乏,成本高昂等因素,大部分企业对信息化改造的深度还不够。网络安全因素就是伴随着最近网络普及爆发的最大危机。这里就以财务数据为例,谈谈企业的数据安全问题。
针对财务数据的网络安全问题主要区分为主观的和客观的,主观的也可区分为有确定目标的和确定无目标的。
先谈谈主观的,也就是人为地入侵。现在大部分财务软件都是运行在Windows平台上,Windows是出了名的不安全产品,特别是在黑客界臭名昭著的IIS(Internet Information Server)服务器。一般小小的初级黑客在黑客入门教学网站上学习24小时就能利用现成的工具攻陷IIS,然后开始肆无忌弹的开始为非作歹。但可怜的是现代网络财务的服务器端软件90%都是运行在IIS上的。(出汗了么?后面还有很多)。随着Internet的普及化,TCP/IP协议已经成了事实的网络协议标准,几乎所有的网络程序都是以TCP/IP作为通讯开发平台的。而由于TCP/IP开发时间较早,有很多东西已经不符合现代应用了,然而正是这些不符合时代的东西往往为人滥用。由于Windows为了照顾老的应用程序的兼容性,往往把TCP/IP的许多端口开放,这样就给了黑客可乘之机。而现在的财务软件由于向网络转型的时间不长,存在这样那样的问题,很容易被利用。最典型问题的就是许多不收尾的程序员写程序时将默认断线侦测延续的时间过长,当一个普通的财务工作站遇到死机等异常情况非正常退出时,服务器端的TCP/IP连接端口可以长达数10分钟不关,一旦给长期监测的黑客检测到,就有足够的时间利用该端口和财务软件通讯,达到非法利用财务数据的目的。许多单位在上网的总出口安装网络防火墙后就以为OK万事大捷了,其实很愚蠢,因为据统计70%的黑客入侵是从公司内部开始的,运行财务程序或存放财务数据的计算机因为直接要和外面的公网通讯,往往会受到很好的保护,但是你保证用来备份财务数据的那台计算机做过安全优化的吗?内部财务操作人员的计算机都安全了么?财务们都有不在自己计算机内保存密码的习惯么?一旦这些财务人员的工作站被攻陷,内部人员可以操纵财务工作站从服务器上找到他们要的财务数据。更有趣的是有些糊涂的网管接到声称自己是财务部的某人,忘了密码或帮忙改一下密码,然后就乖乖的从电话里奉献上密码。(这是真的,我就遇到过这样的网管)从财务软件供应商角度说,目前国内财务软件据称都已经实现了网络传输加密,但实际上多是销售员的幌子,黑客很容易从网络上截到数据包,轻易的从中还原出需要的财务数据。由于商业目的,公司的商业数据中财务数据等一定是入侵者们的一等目标,他们是无孔不入的,为达到确定的目标而时时威胁着公司的财务数据安全。而还有一部分主观网络安全问题就是很多人在无意中发现的网络问题,他们往往是利用一些工具漫无目标的搜索网络漏洞,一旦程序找到,他们就会随意的无目标的入侵,很多只是为了增加一点自己的网络知识和受好奇感支配。虽然对财务数据的威胁不如主动入侵者大,但是也会带来不少麻烦。
客观的威胁主要来自网络病毒,从今年年初到现在,红色代码,蓝色代码,尼姆达,尼姆达II接踵而来,一次比一次肆孽,一次比一次破坏性大,如果有点远见性的人就可以预见不久的将来,很有可能出现一种前所未有的核弹病毒,其威力足以在一瞬间摧毁世界20%没有任何防护的联网计算机。想想97年的CIH把,如果捆绑上尼姆达作为传播扩散工具,再植入冰河和潜伏性,就这样的威力足以让没有安全保数的财务数据死100次,何况可能会,也可能已经有比之狠百倍千倍的撒旦魔王正待从潘多拉魔盒释放。到时候用樯橹灰飞烟灭来形容财务部门数年的心血将一点不为过。(已经浑身是汉了吧)
后门程序和陷阱邮件也是财务数据安全的一大隐患,他借助网络病毒的客观破坏在有财务数据的服务器植入非法程序,从内部与外部的入侵者会合,而安全措施对这种情况却会判断为合法应用不予干扰,这种新的结合型安全威胁将是今后网络财务推进的需要克服的主要问题。试想一天你收到一份署名经理的Email让你点击Email里的地址去打开一份文件,或者附件有一份Word,Excel图标的附件,而实际是个exe文件。等你鼠标点了,就为用心良苦之人大开方便之门了。所以财务部的同志收Email千万要小心,希望你不要给别人暗中卖了还给人数钱。
网络这么不安全我们就不要开展网络财务了么?当然不可能因噎废食。单位的电算负责人首先要树立安全意识,努力提高相关业务素质,而IT审计师也是单位信息安全的福音,多听听他们的意见。我这里提一些建议以抛砖引玉,希望大家能提出更多更深入的意见,以滋看的冷汗淋淋的财务主管们,权当壮壮胆把(因为根本没有绝对安全)。
一、运行财务程序和存放财务数据的服务器一定要请专业安全公司堵漏,关闭一切不必要的服务。
二、财务工作站安装个人防火墙(推荐天网 sky.net.cn),不要连到Internet上,只给与内部邮件收发的权限。
三、安装网络版杀毒程序,因为其能与杀毒公司的服务器连通,在病毒大举来犯进攻前筑好必要的防护墙,将损失减到最小。
四、利用好网络,将财务数据定期备份到异地的数据中心。911事件中,摩根史坦利的金融财务数据就是因为每天传到100公里外的电信数据中心备份,所以事故后不久就能恢复业务。有了备份就有希望,所以这些安全预算还是必需的。