財政業(yè)務(wù)信息系統(tǒng)安全風(fēng)險探討

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了財政業(yè)務(wù)信息系統(tǒng)安全風(fēng)險探討范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：針對財政業(yè)務(wù)的模式變化、數(shù)據(jù)集中管理、流程全面再造等帶來的安全風(fēng)險隱患，從網(wǎng)絡(luò)、數(shù)據(jù)、運維、管理等方面,對信息系統(tǒng)存在的風(fēng)險進(jìn)行分析和研究。

關(guān)鍵詞：信息系統(tǒng)，流程再造，網(wǎng)絡(luò)風(fēng)險，數(shù)據(jù)風(fēng)險

引言

財政核心業(yè)務(wù)一體化系統(tǒng)包括預(yù)算管理、預(yù)算執(zhí)行、會計核算等財政核心業(yè)務(wù)，實現(xiàn)了財政資金從預(yù)算到撥付的全流程電子化管理。系統(tǒng)具有標(biāo)準(zhǔn)統(tǒng)一、數(shù)據(jù)高度集中、流程全面再造等特點，是落實現(xiàn)代財政制度、提升財政資金管理效能的重要途徑。系統(tǒng)業(yè)務(wù)模式變化、數(shù)據(jù)集中管理等將帶來新的安全風(fēng)險隱患[1-14]。本文從網(wǎng)絡(luò)、數(shù)據(jù)、運維、管理等方面對系統(tǒng)存在的風(fēng)險進(jìn)行分析研究。

1財政信息系統(tǒng)

按照財政部規(guī)劃，財政業(yè)務(wù)一體化系統(tǒng)覆蓋財政預(yù)算編制、預(yù)算執(zhí)行、決算管理等財政管理全過程，實現(xiàn)項目庫滾動管理、中期財政規(guī)劃、預(yù)算編制、績效指標(biāo)目標(biāo)管理、預(yù)算執(zhí)行、預(yù)算調(diào)整、績效指標(biāo)報告監(jiān)控、賬務(wù)處理及決算管理、政府綜合財務(wù)報告等全生命周期管理，形成財政業(yè)務(wù)順向銜接、逆向反饋的“閉環(huán)”。從業(yè)務(wù)源頭規(guī)范業(yè)務(wù)管理要素，到業(yè)務(wù)末端記錄具體收支明細(xì)信息，實現(xiàn)財政專項資金跨層級流動跟蹤。系統(tǒng)具有涵蓋業(yè)務(wù)多、用戶廣、業(yè)務(wù)量大、安全性要求高等特點。系統(tǒng)業(yè)務(wù)方面，一體化系統(tǒng)采用省級大集中部署，橫向覆蓋項目庫、預(yù)算編制、指標(biāo)管理、國庫支付、總會計賬、單位會計賬、決算管理、政府財務(wù)報告等系統(tǒng)業(yè)務(wù)，實現(xiàn)全省財政核心業(yè)務(wù)在一個系統(tǒng)辦理。財政核心業(yè)務(wù)系統(tǒng)建設(shè)在有效提升財政數(shù)字化水平的同時，在網(wǎng)絡(luò)、數(shù)據(jù)、運維、管理等方面也帶來了新的安全管理風(fēng)險，需要切實加強安全風(fēng)險防范。

2財政信息系統(tǒng)的風(fēng)險

2.1網(wǎng)絡(luò)風(fēng)險

財政業(yè)務(wù)系統(tǒng)在政務(wù)云部署，采用省級大集中模式，系統(tǒng)用戶量大，對網(wǎng)絡(luò)的穩(wěn)定性和安全性有較高要求。（1）網(wǎng)絡(luò)穩(wěn)定性。系統(tǒng)運行于電子政務(wù)外網(wǎng)行政服務(wù)域，所涉及的網(wǎng)絡(luò)包括電子政務(wù)外網(wǎng)、財政專網(wǎng)、VPN專線等。目前政務(wù)外網(wǎng)尚未實現(xiàn)財政信息系統(tǒng)用戶全覆蓋，需要不斷拓展完善，網(wǎng)絡(luò)帶寬的承載能力、穩(wěn)定性需要持續(xù)提升。電子政務(wù)外網(wǎng)在縣級及以下部門單位應(yīng)用較少，網(wǎng)絡(luò)維護(hù)力量較弱，存在網(wǎng)絡(luò)不穩(wěn)定甚至中斷風(fēng)險。（2）網(wǎng)絡(luò)安全性。相對于財政專網(wǎng)，政務(wù)外網(wǎng)是更開放的網(wǎng)絡(luò)，運行著不同部門單位的政務(wù)信息系統(tǒng)。財政業(yè)務(wù)系統(tǒng)的安全風(fēng)險點增多，需要采用更加嚴(yán)格的安全防護(hù)措施。密碼技術(shù)應(yīng)用不夠深入，存在未在“網(wǎng)絡(luò)和通信安全層面”采用密碼技術(shù)保證通信過程中重要數(shù)據(jù)的完整性，未使用密碼技術(shù)的完整性功能來保證網(wǎng)絡(luò)邊界和系統(tǒng)資源訪問控制信息的完整性，未在所有應(yīng)用系統(tǒng)啟用國產(chǎn)密碼算法等安全問題。用戶客戶端安全防護(hù)措施不夠嚴(yán)格，存在部分終端未部署終端安全管理軟件及殺毒軟件，突破安全管理基線、違規(guī)外聯(lián)等風(fēng)險。

2.2數(shù)據(jù)風(fēng)險

財政業(yè)務(wù)系統(tǒng)涉及全省財政資金管理，對資金撥付的實時性、準(zhǔn)確性、有效性要求高，系統(tǒng)由分散在各市獨立部署變?yōu)槿〖胁渴鸷?，風(fēng)險隨之集中，主要涉及數(shù)據(jù)泄露風(fēng)險、數(shù)據(jù)丟失風(fēng)險、單點故障。（1）數(shù)據(jù)泄露風(fēng)險。隨著數(shù)據(jù)整合共享的推進(jìn)，部分財政數(shù)據(jù)需要在部門間共享使用。對共享數(shù)據(jù)管理的相關(guān)制度辦法仍在不斷完善，可能出現(xiàn)因數(shù)據(jù)管理不嚴(yán)、共享范圍把握不準(zhǔn)，造成數(shù)據(jù)披露過度的風(fēng)險。在復(fù)雜網(wǎng)絡(luò)環(huán)境下，存在遭遇木馬植入等攻擊方式造成數(shù)據(jù)泄漏的風(fēng)險。（2）數(shù)據(jù)丟失風(fēng)險。尚未建立標(biāo)準(zhǔn)的“兩地三中心”災(zāi)難備份恢復(fù)機制，存在遭遇勒索病毒、硬件損壞、系統(tǒng)錯誤等原因會造成數(shù)據(jù)丟失的風(fēng)險。數(shù)據(jù)恢復(fù)時間較長，不能實現(xiàn)分鐘級的數(shù)據(jù)恢復(fù)。（3）單點故障。系統(tǒng)實現(xiàn)了數(shù)據(jù)集中存儲保護(hù)，同時也帶來了存儲資源、網(wǎng)絡(luò)資源、計算資源的共享使用，一旦存儲資源出現(xiàn)故障，就會導(dǎo)致系統(tǒng)無法正常運行，數(shù)據(jù)無法訪問，出現(xiàn)單點故障。

2.3運維風(fēng)險

（1）運維管理風(fēng)險。運維人員利用內(nèi)部網(wǎng)絡(luò)管理漏洞，違規(guī)遠(yuǎn)程運維，如，通過配置雙網(wǎng)卡聯(lián)通內(nèi)外網(wǎng)、搭建服務(wù)器構(gòu)建中間跳板機進(jìn)行遠(yuǎn)程運維。運維人員授權(quán)不規(guī)范，數(shù)據(jù)處理權(quán)限過大，存在較大的管理風(fēng)險，甚至?xí)霈F(xiàn)誤操作而導(dǎo)致數(shù)據(jù)刪除等重大安全風(fēng)險。業(yè)務(wù)功能變化頻繁，系統(tǒng)功能開發(fā)周期短，測試不充分，導(dǎo)致部分?jǐn)?shù)據(jù)需要從后臺進(jìn)行處理，增加運維風(fēng)險。（2）故障排查難度增加。系統(tǒng)出現(xiàn)故障后，有可能是應(yīng)用系統(tǒng)、政務(wù)云或電子政務(wù)外網(wǎng)等方面的問題，應(yīng)用系統(tǒng)、政務(wù)云、電子政務(wù)外網(wǎng)分屬不同部門維護(hù)，增加了故障排查的協(xié)調(diào)難度和及時性。

2.4管理風(fēng)險

（1）相關(guān)配套制度滯后風(fēng)險。財政核心業(yè)務(wù)一體化系統(tǒng)上線后，與系統(tǒng)配套的規(guī)范性文件包括《財政核心業(yè)務(wù)一體化系統(tǒng)管理規(guī)范》《財政核心業(yè)務(wù)一體化系統(tǒng)技術(shù)標(biāo)準(zhǔn)》，不能滿足各省市縣財政部門及預(yù)算單位具體操作和全面內(nèi)控管理需求，需要從崗位職責(zé)劃分、業(yè)務(wù)流程、系統(tǒng)運行管理、應(yīng)急處置等方面制定業(yè)務(wù)操作規(guī)范、運維管理辦法、印章管理制度等，保障業(yè)務(wù)正常有序開展，降低操作風(fēng)險。（2）安全責(zé)任劃分執(zhí)行風(fēng)險。一是安全責(zé)任劃分難。系統(tǒng)部署在政務(wù)云，信息安全取決于多個安全責(zé)任相關(guān)方，包括財政部門、單位用戶、政務(wù)云供應(yīng)商、網(wǎng)絡(luò)供應(yīng)商、應(yīng)用系統(tǒng)供應(yīng)商，存在系統(tǒng)數(shù)據(jù)共享的，還涉及數(shù)據(jù)共享部門單位，安全責(zé)任較難劃分。二是安全責(zé)任執(zhí)行難。信息系統(tǒng)正常運行需要網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)、中間件、安全設(shè)備等軟硬件的共同支撐及用戶的規(guī)范安全操作，一個問題的產(chǎn)生可能由多個因素造成，需建立聯(lián)防聯(lián)控的風(fēng)險防控機制。

3結(jié)語

財政核心業(yè)務(wù)系統(tǒng)實現(xiàn)一體化集成和省級集中部署后，將使財政業(yè)務(wù)管理更加規(guī)范、數(shù)據(jù)流轉(zhuǎn)更加順暢，有力提升全省財政管理水平。為使財政核心業(yè)務(wù)系統(tǒng)有效服務(wù)于財政業(yè)務(wù)管理，需要在網(wǎng)絡(luò)、數(shù)據(jù)、運維、管理等方面采取有效的防護(hù)措施，保障系統(tǒng)安全可靠運行。

參考文獻(xiàn)

[1]胡建偉,湯建龍,楊紹全.網(wǎng)絡(luò)對抗原理[M].陜西:西安電子科技大學(xué)出版社,2004.

[2]李穎,張逸龍.基層央行ACS系統(tǒng)上線運行中存在的問題及對策[J].金融理論與實踐,2014(10):110-112.

[3]胡楠,黃玥,徐春玲,方鐘,蘇雪娟,張旭.基于模糊層次分析法的計算機網(wǎng)絡(luò)安全評價探析[J].通訊世界,2016(09):73-74.

[4]王謙,陳放.我國電子政務(wù)信息安全及保障體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006(04):75-78+65.

[5]李全.服務(wù)器虛擬化安全風(fēng)險及其對策研究[J].信息系統(tǒng)工程,2014(05):63.

[6]趙紅言,許柯,許杰,趙緒民.計算機網(wǎng)絡(luò)安全及防范技術(shù)[J].陜西師范大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2007(S2):80-82.

[7]彭珺,高珺.計算機網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].計算機與數(shù)字工程,2011,39(01):121-124+178.

[8]費軍,余麗華.基于模糊層次分析法的計算機網(wǎng)絡(luò)安全評價[J].計算機應(yīng)用與軟件,2011,28(10):120-123+166.

[9]王練,張昭,張賀,張勛楊.一種基于RSA的抗多重攻擊安全網(wǎng)絡(luò)編碼方案[J].計算機工程,2019,45(11):166-171.

[10]廖方圓,陳劍鋒,甘植旺.人工智能驅(qū)動的關(guān)鍵信息基礎(chǔ)設(shè)施防御研究綜述[J].計算機工程,2019,45(07):181-187+193.

[11]張偉,王宜懷.云系統(tǒng)的安全性增強算法研究[J].計算機工程,2019,45(10):150-154+159.

[12]譚躍生,魯黎明,王靜宇.基于安全三方計算的密文策略加密方案[J].計算機工程,2019,45(01):115-120+128.

[13]劉煜.網(wǎng)絡(luò)安全態(tài)勢感知與防護(hù)體系[J].電子技術(shù),2017,46(09):28-30+16.

[14]孫中化,王冕.同態(tài)加密技術(shù)及其在云計算安全中的應(yīng)用[J].電子技術(shù),2014,43(12):17-19.

作者：張利明 肖麗輝 單位：山東省財源保障評價中心