前言:想要寫出一篇引人入勝的文章?我們特意為您整理了財政業(yè)務(wù)信息系統(tǒng)安全風(fēng)險探討范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:針對財政業(yè)務(wù)的模式變化、數(shù)據(jù)集中管理、流程全面再造等帶來的安全風(fēng)險隱患,從網(wǎng)絡(luò)、數(shù)據(jù)、運維、管理等方面,對信息系統(tǒng)存在的風(fēng)險進行分析和研究。
關(guān)鍵詞:信息系統(tǒng),流程再造,網(wǎng)絡(luò)風(fēng)險,數(shù)據(jù)風(fēng)險
引言
財政核心業(yè)務(wù)一體化系統(tǒng)包括預(yù)算管理、預(yù)算執(zhí)行、會計核算等財政核心業(yè)務(wù),實現(xiàn)了財政資金從預(yù)算到撥付的全流程電子化管理。系統(tǒng)具有標(biāo)準(zhǔn)統(tǒng)一、數(shù)據(jù)高度集中、流程全面再造等特點,是落實現(xiàn)代財政制度、提升財政資金管理效能的重要途徑。系統(tǒng)業(yè)務(wù)模式變化、數(shù)據(jù)集中管理等將帶來新的安全風(fēng)險隱患[1-14]。本文從網(wǎng)絡(luò)、數(shù)據(jù)、運維、管理等方面對系統(tǒng)存在的風(fēng)險進行分析研究。
1財政信息系統(tǒng)
按照財政部規(guī)劃,財政業(yè)務(wù)一體化系統(tǒng)覆蓋財政預(yù)算編制、預(yù)算執(zhí)行、決算管理等財政管理全過程,實現(xiàn)項目庫滾動管理、中期財政規(guī)劃、預(yù)算編制、績效指標(biāo)目標(biāo)管理、預(yù)算執(zhí)行、預(yù)算調(diào)整、績效指標(biāo)報告監(jiān)控、賬務(wù)處理及決算管理、政府綜合財務(wù)報告等全生命周期管理,形成財政業(yè)務(wù)順向銜接、逆向反饋的“閉環(huán)”。從業(yè)務(wù)源頭規(guī)范業(yè)務(wù)管理要素,到業(yè)務(wù)末端記錄具體收支明細信息,實現(xiàn)財政專項資金跨層級流動跟蹤。系統(tǒng)具有涵蓋業(yè)務(wù)多、用戶廣、業(yè)務(wù)量大、安全性要求高等特點。系統(tǒng)業(yè)務(wù)方面,一體化系統(tǒng)采用省級大集中部署,橫向覆蓋項目庫、預(yù)算編制、指標(biāo)管理、國庫支付、總會計賬、單位會計賬、決算管理、政府財務(wù)報告等系統(tǒng)業(yè)務(wù),實現(xiàn)全省財政核心業(yè)務(wù)在一個系統(tǒng)辦理。財政核心業(yè)務(wù)系統(tǒng)建設(shè)在有效提升財政數(shù)字化水平的同時,在網(wǎng)絡(luò)、數(shù)據(jù)、運維、管理等方面也帶來了新的安全管理風(fēng)險,需要切實加強安全風(fēng)險防范。
2財政信息系統(tǒng)的風(fēng)險
2.1網(wǎng)絡(luò)風(fēng)險
財政業(yè)務(wù)系統(tǒng)在政務(wù)云部署,采用省級大集中模式,系統(tǒng)用戶量大,對網(wǎng)絡(luò)的穩(wěn)定性和安全性有較高要求。(1)網(wǎng)絡(luò)穩(wěn)定性。系統(tǒng)運行于電子政務(wù)外網(wǎng)行政服務(wù)域,所涉及的網(wǎng)絡(luò)包括電子政務(wù)外網(wǎng)、財政專網(wǎng)、VPN專線等。目前政務(wù)外網(wǎng)尚未實現(xiàn)財政信息系統(tǒng)用戶全覆蓋,需要不斷拓展完善,網(wǎng)絡(luò)帶寬的承載能力、穩(wěn)定性需要持續(xù)提升。電子政務(wù)外網(wǎng)在縣級及以下部門單位應(yīng)用較少,網(wǎng)絡(luò)維護力量較弱,存在網(wǎng)絡(luò)不穩(wěn)定甚至中斷風(fēng)險。(2)網(wǎng)絡(luò)安全性。相對于財政專網(wǎng),政務(wù)外網(wǎng)是更開放的網(wǎng)絡(luò),運行著不同部門單位的政務(wù)信息系統(tǒng)。財政業(yè)務(wù)系統(tǒng)的安全風(fēng)險點增多,需要采用更加嚴格的安全防護措施。密碼技術(shù)應(yīng)用不夠深入,存在未在“網(wǎng)絡(luò)和通信安全層面”采用密碼技術(shù)保證通信過程中重要數(shù)據(jù)的完整性,未使用密碼技術(shù)的完整性功能來保證網(wǎng)絡(luò)邊界和系統(tǒng)資源訪問控制信息的完整性,未在所有應(yīng)用系統(tǒng)啟用國產(chǎn)密碼算法等安全問題。用戶客戶端安全防護措施不夠嚴格,存在部分終端未部署終端安全管理軟件及殺毒軟件,突破安全管理基線、違規(guī)外聯(lián)等風(fēng)險。
2.2數(shù)據(jù)風(fēng)險
財政業(yè)務(wù)系統(tǒng)涉及全省財政資金管理,對資金撥付的實時性、準(zhǔn)確性、有效性要求高,系統(tǒng)由分散在各市獨立部署變?yōu)槿〖胁渴鸷螅L(fēng)險隨之集中,主要涉及數(shù)據(jù)泄露風(fēng)險、數(shù)據(jù)丟失風(fēng)險、單點故障。(1)數(shù)據(jù)泄露風(fēng)險。隨著數(shù)據(jù)整合共享的推進,部分財政數(shù)據(jù)需要在部門間共享使用。對共享數(shù)據(jù)管理的相關(guān)制度辦法仍在不斷完善,可能出現(xiàn)因數(shù)據(jù)管理不嚴、共享范圍把握不準(zhǔn),造成數(shù)據(jù)披露過度的風(fēng)險。在復(fù)雜網(wǎng)絡(luò)環(huán)境下,存在遭遇木馬植入等攻擊方式造成數(shù)據(jù)泄漏的風(fēng)險。(2)數(shù)據(jù)丟失風(fēng)險。尚未建立標(biāo)準(zhǔn)的“兩地三中心”災(zāi)難備份恢復(fù)機制,存在遭遇勒索病毒、硬件損壞、系統(tǒng)錯誤等原因會造成數(shù)據(jù)丟失的風(fēng)險。數(shù)據(jù)恢復(fù)時間較長,不能實現(xiàn)分鐘級的數(shù)據(jù)恢復(fù)。(3)單點故障。系統(tǒng)實現(xiàn)了數(shù)據(jù)集中存儲保護,同時也帶來了存儲資源、網(wǎng)絡(luò)資源、計算資源的共享使用,一旦存儲資源出現(xiàn)故障,就會導(dǎo)致系統(tǒng)無法正常運行,數(shù)據(jù)無法訪問,出現(xiàn)單點故障。
2.3運維風(fēng)險
(1)運維管理風(fēng)險。運維人員利用內(nèi)部網(wǎng)絡(luò)管理漏洞,違規(guī)遠程運維,如,通過配置雙網(wǎng)卡聯(lián)通內(nèi)外網(wǎng)、搭建服務(wù)器構(gòu)建中間跳板機進行遠程運維。運維人員授權(quán)不規(guī)范,數(shù)據(jù)處理權(quán)限過大,存在較大的管理風(fēng)險,甚至?xí)霈F(xiàn)誤操作而導(dǎo)致數(shù)據(jù)刪除等重大安全風(fēng)險。業(yè)務(wù)功能變化頻繁,系統(tǒng)功能開發(fā)周期短,測試不充分,導(dǎo)致部分數(shù)據(jù)需要從后臺進行處理,增加運維風(fēng)險。(2)故障排查難度增加。系統(tǒng)出現(xiàn)故障后,有可能是應(yīng)用系統(tǒng)、政務(wù)云或電子政務(wù)外網(wǎng)等方面的問題,應(yīng)用系統(tǒng)、政務(wù)云、電子政務(wù)外網(wǎng)分屬不同部門維護,增加了故障排查的協(xié)調(diào)難度和及時性。
2.4管理風(fēng)險
(1)相關(guān)配套制度滯后風(fēng)險。財政核心業(yè)務(wù)一體化系統(tǒng)上線后,與系統(tǒng)配套的規(guī)范性文件包括《財政核心業(yè)務(wù)一體化系統(tǒng)管理規(guī)范》《財政核心業(yè)務(wù)一體化系統(tǒng)技術(shù)標(biāo)準(zhǔn)》,不能滿足各省市縣財政部門及預(yù)算單位具體操作和全面內(nèi)控管理需求,需要從崗位職責(zé)劃分、業(yè)務(wù)流程、系統(tǒng)運行管理、應(yīng)急處置等方面制定業(yè)務(wù)操作規(guī)范、運維管理辦法、印章管理制度等,保障業(yè)務(wù)正常有序開展,降低操作風(fēng)險。(2)安全責(zé)任劃分執(zhí)行風(fēng)險。一是安全責(zé)任劃分難。系統(tǒng)部署在政務(wù)云,信息安全取決于多個安全責(zé)任相關(guān)方,包括財政部門、單位用戶、政務(wù)云供應(yīng)商、網(wǎng)絡(luò)供應(yīng)商、應(yīng)用系統(tǒng)供應(yīng)商,存在系統(tǒng)數(shù)據(jù)共享的,還涉及數(shù)據(jù)共享部門單位,安全責(zé)任較難劃分。二是安全責(zé)任執(zhí)行難。信息系統(tǒng)正常運行需要網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)、中間件、安全設(shè)備等軟硬件的共同支撐及用戶的規(guī)范安全操作,一個問題的產(chǎn)生可能由多個因素造成,需建立聯(lián)防聯(lián)控的風(fēng)險防控機制。
3結(jié)語
財政核心業(yè)務(wù)系統(tǒng)實現(xiàn)一體化集成和省級集中部署后,將使財政業(yè)務(wù)管理更加規(guī)范、數(shù)據(jù)流轉(zhuǎn)更加順暢,有力提升全省財政管理水平。為使財政核心業(yè)務(wù)系統(tǒng)有效服務(wù)于財政業(yè)務(wù)管理,需要在網(wǎng)絡(luò)、數(shù)據(jù)、運維、管理等方面采取有效的防護措施,保障系統(tǒng)安全可靠運行。
參考文獻
[1]胡建偉,湯建龍,楊紹全.網(wǎng)絡(luò)對抗原理[M].陜西:西安電子科技大學(xué)出版社,2004.
[2]李穎,張逸龍.基層央行ACS系統(tǒng)上線運行中存在的問題及對策[J].金融理論與實踐,2014(10):110-112.
[3]胡楠,黃玥,徐春玲,方鐘,蘇雪娟,張旭.基于模糊層次分析法的計算機網(wǎng)絡(luò)安全評價探析[J].通訊世界,2016(09):73-74.
[4]王謙,陳放.我國電子政務(wù)信息安全及保障體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006(04):75-78+65.
[5]李全.服務(wù)器虛擬化安全風(fēng)險及其對策研究[J].信息系統(tǒng)工程,2014(05):63.
[6]趙紅言,許柯,許杰,趙緒民.計算機網(wǎng)絡(luò)安全及防范技術(shù)[J].陜西師范大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2007(S2):80-82.
[7]彭珺,高珺.計算機網(wǎng)絡(luò)信息安全及防護策略研究[J].計算機與數(shù)字工程,2011,39(01):121-124+178.
[8]費軍,余麗華.基于模糊層次分析法的計算機網(wǎng)絡(luò)安全評價[J].計算機應(yīng)用與軟件,2011,28(10):120-123+166.
[9]王練,張昭,張賀,張勛楊.一種基于RSA的抗多重攻擊安全網(wǎng)絡(luò)編碼方案[J].計算機工程,2019,45(11):166-171.
[10]廖方圓,陳劍鋒,甘植旺.人工智能驅(qū)動的關(guān)鍵信息基礎(chǔ)設(shè)施防御研究綜述[J].計算機工程,2019,45(07):181-187+193.
[11]張偉,王宜懷.云系統(tǒng)的安全性增強算法研究[J].計算機工程,2019,45(10):150-154+159.
[12]譚躍生,魯黎明,王靜宇.基于安全三方計算的密文策略加密方案[J].計算機工程,2019,45(01):115-120+128.
[13]劉煜.網(wǎng)絡(luò)安全態(tài)勢感知與防護體系[J].電子技術(shù),2017,46(09):28-30+16.
[14]孫中化,王冕.同態(tài)加密技術(shù)及其在云計算安全中的應(yīng)用[J].電子技術(shù),2014,43(12):17-19.
作者:張利明 肖麗輝 單位:山東省財源保障評價中心