財政業(yè)務信息系統(tǒng)安全風險探討

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了財政業(yè)務信息系統(tǒng)安全風險探討范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：針對財政業(yè)務的模式變化、數(shù)據(jù)集中管理、流程全面再造等帶來的安全風險隱患，從網(wǎng)絡、數(shù)據(jù)、運維、管理等方面,對信息系統(tǒng)存在的風險進行分析和研究。

關(guān)鍵詞：信息系統(tǒng)，流程再造，網(wǎng)絡風險，數(shù)據(jù)風險

引言

財政核心業(yè)務一體化系統(tǒng)包括預算管理、預算執(zhí)行、會計核算等財政核心業(yè)務，實現(xiàn)了財政資金從預算到撥付的全流程電子化管理。系統(tǒng)具有標準統(tǒng)一、數(shù)據(jù)高度集中、流程全面再造等特點，是落實現(xiàn)代財政制度、提升財政資金管理效能的重要途徑。系統(tǒng)業(yè)務模式變化、數(shù)據(jù)集中管理等將帶來新的安全風險隱患[1-14]。本文從網(wǎng)絡、數(shù)據(jù)、運維、管理等方面對系統(tǒng)存在的風險進行分析研究。

1財政信息系統(tǒng)

按照財政部規(guī)劃，財政業(yè)務一體化系統(tǒng)覆蓋財政預算編制、預算執(zhí)行、決算管理等財政管理全過程，實現(xiàn)項目庫滾動管理、中期財政規(guī)劃、預算編制、績效指標目標管理、預算執(zhí)行、預算調(diào)整、績效指標報告監(jiān)控、賬務處理及決算管理、政府綜合財務報告等全生命周期管理，形成財政業(yè)務順向銜接、逆向反饋的“閉環(huán)”。從業(yè)務源頭規(guī)范業(yè)務管理要素，到業(yè)務末端記錄具體收支明細信息，實現(xiàn)財政專項資金跨層級流動跟蹤。系統(tǒng)具有涵蓋業(yè)務多、用戶廣、業(yè)務量大、安全性要求高等特點。系統(tǒng)業(yè)務方面，一體化系統(tǒng)采用省級大集中部署，橫向覆蓋項目庫、預算編制、指標管理、國庫支付、總會計賬、單位會計賬、決算管理、政府財務報告等系統(tǒng)業(yè)務，實現(xiàn)全省財政核心業(yè)務在一個系統(tǒng)辦理。財政核心業(yè)務系統(tǒng)建設(shè)在有效提升財政數(shù)字化水平的同時，在網(wǎng)絡、數(shù)據(jù)、運維、管理等方面也帶來了新的安全管理風險，需要切實加強安全風險防范。

2財政信息系統(tǒng)的風險

2.1網(wǎng)絡風險

財政業(yè)務系統(tǒng)在政務云部署，采用省級大集中模式，系統(tǒng)用戶量大，對網(wǎng)絡的穩(wěn)定性和安全性有較高要求。（1）網(wǎng)絡穩(wěn)定性。系統(tǒng)運行于電子政務外網(wǎng)行政服務域，所涉及的網(wǎng)絡包括電子政務外網(wǎng)、財政專網(wǎng)、VPN專線等。目前政務外網(wǎng)尚未實現(xiàn)財政信息系統(tǒng)用戶全覆蓋，需要不斷拓展完善，網(wǎng)絡帶寬的承載能力、穩(wěn)定性需要持續(xù)提升。電子政務外網(wǎng)在縣級及以下部門單位應用較少，網(wǎng)絡維護力量較弱，存在網(wǎng)絡不穩(wěn)定甚至中斷風險。（2）網(wǎng)絡安全性。相對于財政專網(wǎng)，政務外網(wǎng)是更開放的網(wǎng)絡，運行著不同部門單位的政務信息系統(tǒng)。財政業(yè)務系統(tǒng)的安全風險點增多，需要采用更加嚴格的安全防護措施。密碼技術(shù)應用不夠深入，存在未在“網(wǎng)絡和通信安全層面”采用密碼技術(shù)保證通信過程中重要數(shù)據(jù)的完整性，未使用密碼技術(shù)的完整性功能來保證網(wǎng)絡邊界和系統(tǒng)資源訪問控制信息的完整性，未在所有應用系統(tǒng)啟用國產(chǎn)密碼算法等安全問題。用戶客戶端安全防護措施不夠嚴格，存在部分終端未部署終端安全管理軟件及殺毒軟件，突破安全管理基線、違規(guī)外聯(lián)等風險。

2.2數(shù)據(jù)風險

財政業(yè)務系統(tǒng)涉及全省財政資金管理，對資金撥付的實時性、準確性、有效性要求高，系統(tǒng)由分散在各市獨立部署變?yōu)槿〖胁渴鸷螅L險隨之集中，主要涉及數(shù)據(jù)泄露風險、數(shù)據(jù)丟失風險、單點故障。（1）數(shù)據(jù)泄露風險。隨著數(shù)據(jù)整合共享的推進，部分財政數(shù)據(jù)需要在部門間共享使用。對共享數(shù)據(jù)管理的相關(guān)制度辦法仍在不斷完善，可能出現(xiàn)因數(shù)據(jù)管理不嚴、共享范圍把握不準，造成數(shù)據(jù)披露過度的風險。在復雜網(wǎng)絡環(huán)境下，存在遭遇木馬植入等攻擊方式造成數(shù)據(jù)泄漏的風險。（2）數(shù)據(jù)丟失風險。尚未建立標準的“兩地三中心”災難備份恢復機制，存在遭遇勒索病毒、硬件損壞、系統(tǒng)錯誤等原因會造成數(shù)據(jù)丟失的風險。數(shù)據(jù)恢復時間較長，不能實現(xiàn)分鐘級的數(shù)據(jù)恢復。（3）單點故障。系統(tǒng)實現(xiàn)了數(shù)據(jù)集中存儲保護，同時也帶來了存儲資源、網(wǎng)絡資源、計算資源的共享使用，一旦存儲資源出現(xiàn)故障，就會導致系統(tǒng)無法正常運行，數(shù)據(jù)無法訪問，出現(xiàn)單點故障。

2.3運維風險

（1）運維管理風險。運維人員利用內(nèi)部網(wǎng)絡管理漏洞，違規(guī)遠程運維，如，通過配置雙網(wǎng)卡聯(lián)通內(nèi)外網(wǎng)、搭建服務器構(gòu)建中間跳板機進行遠程運維。運維人員授權(quán)不規(guī)范，數(shù)據(jù)處理權(quán)限過大，存在較大的管理風險，甚至會出現(xiàn)誤操作而導致數(shù)據(jù)刪除等重大安全風險。業(yè)務功能變化頻繁，系統(tǒng)功能開發(fā)周期短，測試不充分，導致部分數(shù)據(jù)需要從后臺進行處理，增加運維風險。（2）故障排查難度增加。系統(tǒng)出現(xiàn)故障后，有可能是應用系統(tǒng)、政務云或電子政務外網(wǎng)等方面的問題，應用系統(tǒng)、政務云、電子政務外網(wǎng)分屬不同部門維護，增加了故障排查的協(xié)調(diào)難度和及時性。

2.4管理風險

（1）相關(guān)配套制度滯后風險。財政核心業(yè)務一體化系統(tǒng)上線后，與系統(tǒng)配套的規(guī)范性文件包括《財政核心業(yè)務一體化系統(tǒng)管理規(guī)范》《財政核心業(yè)務一體化系統(tǒng)技術(shù)標準》，不能滿足各省市縣財政部門及預算單位具體操作和全面內(nèi)控管理需求，需要從崗位職責劃分、業(yè)務流程、系統(tǒng)運行管理、應急處置等方面制定業(yè)務操作規(guī)范、運維管理辦法、印章管理制度等，保障業(yè)務正常有序開展，降低操作風險。（2）安全責任劃分執(zhí)行風險。一是安全責任劃分難。系統(tǒng)部署在政務云，信息安全取決于多個安全責任相關(guān)方，包括財政部門、單位用戶、政務云供應商、網(wǎng)絡供應商、應用系統(tǒng)供應商，存在系統(tǒng)數(shù)據(jù)共享的，還涉及數(shù)據(jù)共享部門單位，安全責任較難劃分。二是安全責任執(zhí)行難。信息系統(tǒng)正常運行需要網(wǎng)絡、服務器、應用系統(tǒng)、中間件、安全設(shè)備等軟硬件的共同支撐及用戶的規(guī)范安全操作，一個問題的產(chǎn)生可能由多個因素造成，需建立聯(lián)防聯(lián)控的風險防控機制。

3結(jié)語

財政核心業(yè)務系統(tǒng)實現(xiàn)一體化集成和省級集中部署后，將使財政業(yè)務管理更加規(guī)范、數(shù)據(jù)流轉(zhuǎn)更加順暢，有力提升全省財政管理水平。為使財政核心業(yè)務系統(tǒng)有效服務于財政業(yè)務管理，需要在網(wǎng)絡、數(shù)據(jù)、運維、管理等方面采取有效的防護措施，保障系統(tǒng)安全可靠運行。

參考文獻

[1]胡建偉,湯建龍,楊紹全.網(wǎng)絡對抗原理[M].陜西:西安電子科技大學出版社,2004.

[2]李穎,張逸龍.基層央行ACS系統(tǒng)上線運行中存在的問題及對策[J].金融理論與實踐,2014(10):110-112.

[3]胡楠,黃玥,徐春玲,方鐘,蘇雪娟,張旭.基于模糊層次分析法的計算機網(wǎng)絡安全評價探析[J].通訊世界,2016(09):73-74.

[4]王謙,陳放.我國電子政務信息安全及保障體系[J].網(wǎng)絡安全技術(shù)與應用,2006(04):75-78+65.

[5]李全.服務器虛擬化安全風險及其對策研究[J].信息系統(tǒng)工程,2014(05):63.

[6]趙紅言,許柯,許杰,趙緒民.計算機網(wǎng)絡安全及防范技術(shù)[J].陜西師范大學學報(哲學社會科學版),2007(S2):80-82.

[7]彭珺,高珺.計算機網(wǎng)絡信息安全及防護策略研究[J].計算機與數(shù)字工程,2011,39(01):121-124+178.

[8]費軍,余麗華.基于模糊層次分析法的計算機網(wǎng)絡安全評價[J].計算機應用與軟件,2011,28(10):120-123+166.

[9]王練,張昭,張賀,張勛楊.一種基于RSA的抗多重攻擊安全網(wǎng)絡編碼方案[J].計算機工程,2019,45(11):166-171.

[10]廖方圓,陳劍鋒,甘植旺.人工智能驅(qū)動的關(guān)鍵信息基礎(chǔ)設(shè)施防御研究綜述[J].計算機工程,2019,45(07):181-187+193.

[11]張偉,王宜懷.云系統(tǒng)的安全性增強算法研究[J].計算機工程,2019,45(10):150-154+159.

[12]譚躍生,魯黎明,王靜宇.基于安全三方計算的密文策略加密方案[J].計算機工程,2019,45(01):115-120+128.

[13]劉煜.網(wǎng)絡安全態(tài)勢感知與防護體系[J].電子技術(shù),2017,46(09):28-30+16.

[14]孫中化,王冕.同態(tài)加密技術(shù)及其在云計算安全中的應用[J].電子技術(shù),2014,43(12):17-19.

作者：張利明 肖麗輝 單位：山東省財源保障評價中心