公務(wù)員期刊網(wǎng) 論文中心 正文

財(cái)政業(yè)務(wù)信息系統(tǒng)安全風(fēng)險(xiǎn)探討

前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了財(cái)政業(yè)務(wù)信息系統(tǒng)安全風(fēng)險(xiǎn)探討范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

財(cái)政業(yè)務(wù)信息系統(tǒng)安全風(fēng)險(xiǎn)探討

摘要:針對(duì)財(cái)政業(yè)務(wù)的模式變化、數(shù)據(jù)集中管理、流程全面再造等帶來(lái)的安全風(fēng)險(xiǎn)隱患,從網(wǎng)絡(luò)、數(shù)據(jù)、運(yùn)維、管理等方面,對(duì)信息系統(tǒng)存在的風(fēng)險(xiǎn)進(jìn)行分析和研究。

關(guān)鍵詞:信息系統(tǒng),流程再造,網(wǎng)絡(luò)風(fēng)險(xiǎn),數(shù)據(jù)風(fēng)險(xiǎn)

引言

財(cái)政核心業(yè)務(wù)一體化系統(tǒng)包括預(yù)算管理、預(yù)算執(zhí)行、會(huì)計(jì)核算等財(cái)政核心業(yè)務(wù),實(shí)現(xiàn)了財(cái)政資金從預(yù)算到撥付的全流程電子化管理。系統(tǒng)具有標(biāo)準(zhǔn)統(tǒng)一、數(shù)據(jù)高度集中、流程全面再造等特點(diǎn),是落實(shí)現(xiàn)代財(cái)政制度、提升財(cái)政資金管理效能的重要途徑。系統(tǒng)業(yè)務(wù)模式變化、數(shù)據(jù)集中管理等將帶來(lái)新的安全風(fēng)險(xiǎn)隱患[1-14]。本文從網(wǎng)絡(luò)、數(shù)據(jù)、運(yùn)維、管理等方面對(duì)系統(tǒng)存在的風(fēng)險(xiǎn)進(jìn)行分析研究。

1財(cái)政信息系統(tǒng)

按照財(cái)政部規(guī)劃,財(cái)政業(yè)務(wù)一體化系統(tǒng)覆蓋財(cái)政預(yù)算編制、預(yù)算執(zhí)行、決算管理等財(cái)政管理全過(guò)程,實(shí)現(xiàn)項(xiàng)目庫(kù)滾動(dòng)管理、中期財(cái)政規(guī)劃、預(yù)算編制、績(jī)效指標(biāo)目標(biāo)管理、預(yù)算執(zhí)行、預(yù)算調(diào)整、績(jī)效指標(biāo)報(bào)告監(jiān)控、賬務(wù)處理及決算管理、政府綜合財(cái)務(wù)報(bào)告等全生命周期管理,形成財(cái)政業(yè)務(wù)順向銜接、逆向反饋的“閉環(huán)”。從業(yè)務(wù)源頭規(guī)范業(yè)務(wù)管理要素,到業(yè)務(wù)末端記錄具體收支明細(xì)信息,實(shí)現(xiàn)財(cái)政專(zhuān)項(xiàng)資金跨層級(jí)流動(dòng)跟蹤。系統(tǒng)具有涵蓋業(yè)務(wù)多、用戶(hù)廣、業(yè)務(wù)量大、安全性要求高等特點(diǎn)。系統(tǒng)業(yè)務(wù)方面,一體化系統(tǒng)采用省級(jí)大集中部署,橫向覆蓋項(xiàng)目庫(kù)、預(yù)算編制、指標(biāo)管理、國(guó)庫(kù)支付、總會(huì)計(jì)賬、單位會(huì)計(jì)賬、決算管理、政府財(cái)務(wù)報(bào)告等系統(tǒng)業(yè)務(wù),實(shí)現(xiàn)全省財(cái)政核心業(yè)務(wù)在一個(gè)系統(tǒng)辦理。財(cái)政核心業(yè)務(wù)系統(tǒng)建設(shè)在有效提升財(cái)政數(shù)字化水平的同時(shí),在網(wǎng)絡(luò)、數(shù)據(jù)、運(yùn)維、管理等方面也帶來(lái)了新的安全管理風(fēng)險(xiǎn),需要切實(shí)加強(qiáng)安全風(fēng)險(xiǎn)防范。

2財(cái)政信息系統(tǒng)的風(fēng)險(xiǎn)

2.1網(wǎng)絡(luò)風(fēng)險(xiǎn)

財(cái)政業(yè)務(wù)系統(tǒng)在政務(wù)云部署,采用省級(jí)大集中模式,系統(tǒng)用戶(hù)量大,對(duì)網(wǎng)絡(luò)的穩(wěn)定性和安全性有較高要求。(1)網(wǎng)絡(luò)穩(wěn)定性。系統(tǒng)運(yùn)行于電子政務(wù)外網(wǎng)行政服務(wù)域,所涉及的網(wǎng)絡(luò)包括電子政務(wù)外網(wǎng)、財(cái)政專(zhuān)網(wǎng)、VPN專(zhuān)線等。目前政務(wù)外網(wǎng)尚未實(shí)現(xiàn)財(cái)政信息系統(tǒng)用戶(hù)全覆蓋,需要不斷拓展完善,網(wǎng)絡(luò)帶寬的承載能力、穩(wěn)定性需要持續(xù)提升。電子政務(wù)外網(wǎng)在縣級(jí)及以下部門(mén)單位應(yīng)用較少,網(wǎng)絡(luò)維護(hù)力量較弱,存在網(wǎng)絡(luò)不穩(wěn)定甚至中斷風(fēng)險(xiǎn)。(2)網(wǎng)絡(luò)安全性。相對(duì)于財(cái)政專(zhuān)網(wǎng),政務(wù)外網(wǎng)是更開(kāi)放的網(wǎng)絡(luò),運(yùn)行著不同部門(mén)單位的政務(wù)信息系統(tǒng)。財(cái)政業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)點(diǎn)增多,需要采用更加嚴(yán)格的安全防護(hù)措施。密碼技術(shù)應(yīng)用不夠深入,存在未在“網(wǎng)絡(luò)和通信安全層面”采用密碼技術(shù)保證通信過(guò)程中重要數(shù)據(jù)的完整性,未使用密碼技術(shù)的完整性功能來(lái)保證網(wǎng)絡(luò)邊界和系統(tǒng)資源訪問(wèn)控制信息的完整性,未在所有應(yīng)用系統(tǒng)啟用國(guó)產(chǎn)密碼算法等安全問(wèn)題。用戶(hù)客戶(hù)端安全防護(hù)措施不夠嚴(yán)格,存在部分終端未部署終端安全管理軟件及殺毒軟件,突破安全管理基線、違規(guī)外聯(lián)等風(fēng)險(xiǎn)。

2.2數(shù)據(jù)風(fēng)險(xiǎn)

財(cái)政業(yè)務(wù)系統(tǒng)涉及全省財(cái)政資金管理,對(duì)資金撥付的實(shí)時(shí)性、準(zhǔn)確性、有效性要求高,系統(tǒng)由分散在各市獨(dú)立部署變?yōu)槿〖胁渴鸷螅L(fēng)險(xiǎn)隨之集中,主要涉及數(shù)據(jù)泄露風(fēng)險(xiǎn)、數(shù)據(jù)丟失風(fēng)險(xiǎn)、單點(diǎn)故障。(1)數(shù)據(jù)泄露風(fēng)險(xiǎn)。隨著數(shù)據(jù)整合共享的推進(jìn),部分財(cái)政數(shù)據(jù)需要在部門(mén)間共享使用。對(duì)共享數(shù)據(jù)管理的相關(guān)制度辦法仍在不斷完善,可能出現(xiàn)因數(shù)據(jù)管理不嚴(yán)、共享范圍把握不準(zhǔn),造成數(shù)據(jù)披露過(guò)度的風(fēng)險(xiǎn)。在復(fù)雜網(wǎng)絡(luò)環(huán)境下,存在遭遇木馬植入等攻擊方式造成數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。(2)數(shù)據(jù)丟失風(fēng)險(xiǎn)。尚未建立標(biāo)準(zhǔn)的“兩地三中心”災(zāi)難備份恢復(fù)機(jī)制,存在遭遇勒索病毒、硬件損壞、系統(tǒng)錯(cuò)誤等原因會(huì)造成數(shù)據(jù)丟失的風(fēng)險(xiǎn)。數(shù)據(jù)恢復(fù)時(shí)間較長(zhǎng),不能實(shí)現(xiàn)分鐘級(jí)的數(shù)據(jù)恢復(fù)。(3)單點(diǎn)故障。系統(tǒng)實(shí)現(xiàn)了數(shù)據(jù)集中存儲(chǔ)保護(hù),同時(shí)也帶來(lái)了存儲(chǔ)資源、網(wǎng)絡(luò)資源、計(jì)算資源的共享使用,一旦存儲(chǔ)資源出現(xiàn)故障,就會(huì)導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行,數(shù)據(jù)無(wú)法訪問(wèn),出現(xiàn)單點(diǎn)故障。

2.3運(yùn)維風(fēng)險(xiǎn)

(1)運(yùn)維管理風(fēng)險(xiǎn)。運(yùn)維人員利用內(nèi)部網(wǎng)絡(luò)管理漏洞,違規(guī)遠(yuǎn)程運(yùn)維,如,通過(guò)配置雙網(wǎng)卡聯(lián)通內(nèi)外網(wǎng)、搭建服務(wù)器構(gòu)建中間跳板機(jī)進(jìn)行遠(yuǎn)程運(yùn)維。運(yùn)維人員授權(quán)不規(guī)范,數(shù)據(jù)處理權(quán)限過(guò)大,存在較大的管理風(fēng)險(xiǎn),甚至?xí)霈F(xiàn)誤操作而導(dǎo)致數(shù)據(jù)刪除等重大安全風(fēng)險(xiǎn)。業(yè)務(wù)功能變化頻繁,系統(tǒng)功能開(kāi)發(fā)周期短,測(cè)試不充分,導(dǎo)致部分?jǐn)?shù)據(jù)需要從后臺(tái)進(jìn)行處理,增加運(yùn)維風(fēng)險(xiǎn)。(2)故障排查難度增加。系統(tǒng)出現(xiàn)故障后,有可能是應(yīng)用系統(tǒng)、政務(wù)云或電子政務(wù)外網(wǎng)等方面的問(wèn)題,應(yīng)用系統(tǒng)、政務(wù)云、電子政務(wù)外網(wǎng)分屬不同部門(mén)維護(hù),增加了故障排查的協(xié)調(diào)難度和及時(shí)性。

2.4管理風(fēng)險(xiǎn)

(1)相關(guān)配套制度滯后風(fēng)險(xiǎn)。財(cái)政核心業(yè)務(wù)一體化系統(tǒng)上線后,與系統(tǒng)配套的規(guī)范性文件包括《財(cái)政核心業(yè)務(wù)一體化系統(tǒng)管理規(guī)范》《財(cái)政核心業(yè)務(wù)一體化系統(tǒng)技術(shù)標(biāo)準(zhǔn)》,不能滿(mǎn)足各省市縣財(cái)政部門(mén)及預(yù)算單位具體操作和全面內(nèi)控管理需求,需要從崗位職責(zé)劃分、業(yè)務(wù)流程、系統(tǒng)運(yùn)行管理、應(yīng)急處置等方面制定業(yè)務(wù)操作規(guī)范、運(yùn)維管理辦法、印章管理制度等,保障業(yè)務(wù)正常有序開(kāi)展,降低操作風(fēng)險(xiǎn)。(2)安全責(zé)任劃分執(zhí)行風(fēng)險(xiǎn)。一是安全責(zé)任劃分難。系統(tǒng)部署在政務(wù)云,信息安全取決于多個(gè)安全責(zé)任相關(guān)方,包括財(cái)政部門(mén)、單位用戶(hù)、政務(wù)云供應(yīng)商、網(wǎng)絡(luò)供應(yīng)商、應(yīng)用系統(tǒng)供應(yīng)商,存在系統(tǒng)數(shù)據(jù)共享的,還涉及數(shù)據(jù)共享部門(mén)單位,安全責(zé)任較難劃分。二是安全責(zé)任執(zhí)行難。信息系統(tǒng)正常運(yùn)行需要網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)、中間件、安全設(shè)備等軟硬件的共同支撐及用戶(hù)的規(guī)范安全操作,一個(gè)問(wèn)題的產(chǎn)生可能由多個(gè)因素造成,需建立聯(lián)防聯(lián)控的風(fēng)險(xiǎn)防控機(jī)制。

3結(jié)語(yǔ)

財(cái)政核心業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)一體化集成和省級(jí)集中部署后,將使財(cái)政業(yè)務(wù)管理更加規(guī)范、數(shù)據(jù)流轉(zhuǎn)更加順暢,有力提升全省財(cái)政管理水平。為使財(cái)政核心業(yè)務(wù)系統(tǒng)有效服務(wù)于財(cái)政業(yè)務(wù)管理,需要在網(wǎng)絡(luò)、數(shù)據(jù)、運(yùn)維、管理等方面采取有效的防護(hù)措施,保障系統(tǒng)安全可靠運(yùn)行。

參考文獻(xiàn)

[1]胡建偉,湯建龍,楊紹全.網(wǎng)絡(luò)對(duì)抗原理[M].陜西:西安電子科技大學(xué)出版社,2004.

[2]李穎,張逸龍.基層央行ACS系統(tǒng)上線運(yùn)行中存在的問(wèn)題及對(duì)策[J].金融理論與實(shí)踐,2014(10):110-112.

[3]胡楠,黃玥,徐春玲,方鐘,蘇雪娟,張旭.基于模糊層次分析法的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)探析[J].通訊世界,2016(09):73-74.

[4]王謙,陳放.我國(guó)電子政務(wù)信息安全及保障體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006(04):75-78+65.

[5]李全.服務(wù)器虛擬化安全風(fēng)險(xiǎn)及其對(duì)策研究[J].信息系統(tǒng)工程,2014(05):63.

[6]趙紅言,許柯,許杰,趙緒民.計(jì)算機(jī)網(wǎng)絡(luò)安全及防范技術(shù)[J].陜西師范大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2007(S2):80-82.

[7]彭珺,高珺.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].計(jì)算機(jī)與數(shù)字工程,2011,39(01):121-124+178.

[8]費(fèi)軍,余麗華.基于模糊層次分析法的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)[J].計(jì)算機(jī)應(yīng)用與軟件,2011,28(10):120-123+166.

[9]王練,張昭,張賀,張勛楊.一種基于RSA的抗多重攻擊安全網(wǎng)絡(luò)編碼方案[J].計(jì)算機(jī)工程,2019,45(11):166-171.

[10]廖方圓,陳劍鋒,甘植旺.人工智能驅(qū)動(dòng)的關(guān)鍵信息基礎(chǔ)設(shè)施防御研究綜述[J].計(jì)算機(jī)工程,2019,45(07):181-187+193.

[11]張偉,王宜懷.云系統(tǒng)的安全性增強(qiáng)算法研究[J].計(jì)算機(jī)工程,2019,45(10):150-154+159.

[12]譚躍生,魯黎明,王靜宇.基于安全三方計(jì)算的密文策略加密方案[J].計(jì)算機(jī)工程,2019,45(01):115-120+128.

[13]劉煜.網(wǎng)絡(luò)安全態(tài)勢(shì)感知與防護(hù)體系[J].電子技術(shù),2017,46(09):28-30+16.

[14]孫中化,王冕.同態(tài)加密技術(shù)及其在云計(jì)算安全中的應(yīng)用[J].電子技術(shù),2014,43(12):17-19.

作者:張利明 肖麗輝 單位:山東省財(cái)源保障評(píng)價(jià)中心