公務(wù)員期刊網(wǎng) 論文中心 正文

財(cái)政信息系統(tǒng)安全建設(shè)的思考

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了財(cái)政信息系統(tǒng)安全建設(shè)的思考范文,希望能給你帶來靈感和參考,敬請閱讀。

財(cái)政信息系統(tǒng)安全建設(shè)的思考

[摘要]隨著財(cái)政業(yè)務(wù)信息系統(tǒng)的建設(shè)和運(yùn)行,財(cái)政信息化進(jìn)程逐步深入開展,信息安全成為財(cái)政信息系統(tǒng)建設(shè)面臨的重要問題。文章通過對壽光財(cái)政信息系統(tǒng)建設(shè)的分析,指出其中安全建設(shè)存在的問題,并提出相關(guān)建議和解決措施。

[關(guān)鍵詞]財(cái)政;信息系統(tǒng)安全;壽光

1壽光財(cái)政信息系統(tǒng)應(yīng)用現(xiàn)狀

(1)網(wǎng)絡(luò)情況。壽光財(cái)政信息網(wǎng)絡(luò)分別部署互聯(lián)網(wǎng)(俗稱外網(wǎng))、財(cái)政內(nèi)部專網(wǎng)(俗稱內(nèi)網(wǎng)),并對內(nèi)網(wǎng)和外網(wǎng)實(shí)行物理隔離,其中內(nèi)網(wǎng)縱向連接部、省、市級財(cái)政及鄉(xiāng)鎮(zhèn)財(cái)政,橫向連接各預(yù)算單位、商業(yè)銀行等相關(guān)職能部門?,F(xiàn)連接到壽光財(cái)政內(nèi)網(wǎng)的單位達(dá)175個(gè),計(jì)算機(jī)終端278臺,均實(shí)行實(shí)名注冊認(rèn)證管理。(2)業(yè)務(wù)系統(tǒng)部署情況。壽光財(cái)政目前運(yùn)行了財(cái)政一體化平臺(市本級)、財(cái)政一體化平臺(鎮(zhèn)街級)、四方志誠賬務(wù)系統(tǒng)(市本級)、四方志誠賬務(wù)系統(tǒng)(鎮(zhèn)街級)、非稅收入系統(tǒng)、國有資產(chǎn)管理系統(tǒng)、財(cái)政CA身份認(rèn)證系統(tǒng)、基礎(chǔ)設(shè)施建設(shè)資金管理系統(tǒng)、政府投資建設(shè)項(xiàng)目管理信息系統(tǒng)、部門預(yù)算系統(tǒng)、部門預(yù)算基礎(chǔ)信息系統(tǒng)、壽光市財(cái)政局內(nèi)部網(wǎng)站、FTP網(wǎng)絡(luò)存儲系統(tǒng)、OA辦公自動化系統(tǒng)、通軟安全桌面系統(tǒng)、電子監(jiān)察等16套業(yè)務(wù)系統(tǒng)。(3)硬件設(shè)備配備情況。壽光市財(cái)政局現(xiàn)有科室15個(gè),計(jì)算機(jī)使用人員119名,實(shí)際配備計(jì)算機(jī)160臺、打印機(jī)100臺,開通網(wǎng)絡(luò)接口160個(gè)(外網(wǎng)接口100個(gè)、內(nèi)網(wǎng)接口60個(gè))。

2存在的問題和面臨的風(fēng)險(xiǎn)

(1)信息安全設(shè)備投入不足。在財(cái)政業(yè)務(wù)系統(tǒng)建設(shè)過程中,只重視基礎(chǔ)設(shè)備的標(biāo)準(zhǔn)和配置,忽視網(wǎng)絡(luò)安全建設(shè)在信息系統(tǒng)中的重要性,安全設(shè)備的投入不足。在系統(tǒng)建設(shè)中,只看到了信息化建設(shè)帶來的便利和快捷,忽視了信息化建設(shè)的信息安全問題,未對信息安全采取適當(dāng)?shù)姆婪洞胧?,致使信息化發(fā)展存在安全隱患。(2)專業(yè)人員配備不足和安全管理制度更新不夠。信息系統(tǒng)安全管理人員配置相對較為緊缺,尤其是關(guān)鍵崗位未配備多人共同管理;在安全管理制度方面,不能根據(jù)系統(tǒng)實(shí)際運(yùn)行狀況和變化及時(shí)進(jìn)行制度更新。(3)軟件使用規(guī)范性不強(qiáng)。在操作系統(tǒng)、辦公軟件和防病毒軟件應(yīng)用中缺乏網(wǎng)絡(luò)安全意識,安裝使用不規(guī)范的現(xiàn)象比較普遍。同時(shí),使用人員不能及時(shí)為殺毒軟件升級和為操作系統(tǒng)下載補(bǔ)丁,從而存在一定的網(wǎng)絡(luò)安全隱患。(4)信息安全防范意識不強(qiáng),安全保密意識差。干部職工對當(dāng)前信息安全形勢的嚴(yán)峻性缺乏足夠認(rèn)識,全員防范、主動防范意識較為薄弱,執(zhí)行安全制度還存在不到位的現(xiàn)象。許多財(cái)政干部職工對網(wǎng)絡(luò)安全知識非常欠缺,例如有些人認(rèn)為內(nèi)網(wǎng)比較安全,不存在病毒攻擊,為了提高電腦運(yùn)行速度,將殺毒軟件卸載,這樣將最基本的網(wǎng)絡(luò)安全措施都取消了。部分人員沒有做到專網(wǎng)專機(jī)專用,存在違規(guī)使用U盤和內(nèi)外網(wǎng)違規(guī)切換使用的問題;有的系統(tǒng)操作人員不及時(shí)更改密碼,極易造成數(shù)據(jù)丟失等安全隱患。(5)存在違規(guī)接入和非法外聯(lián)風(fēng)險(xiǎn)。一些單位與個(gè)人沒有經(jīng)過財(cái)政授權(quán)直接將計(jì)算機(jī)接入財(cái)政內(nèi)網(wǎng),雖然非法接入不是暴力入侵,但會給財(cái)政內(nèi)網(wǎng)帶來極大的威脅,尤其是有可能帶有病毒的計(jì)算機(jī)與移動設(shè)備的非法接入,很可能會造成在內(nèi)網(wǎng)傳播病毒、移植木馬等嚴(yán)重后果。同時(shí),財(cái)政內(nèi)網(wǎng)本身是與外網(wǎng)物理隔離的網(wǎng)絡(luò),不允許連接互聯(lián)網(wǎng),但個(gè)別單位用戶為了上網(wǎng)辦公方便,使用一些手段(如人工切換)建立互聯(lián)網(wǎng)非法連接,從而繞開內(nèi)網(wǎng)的連接限制,給財(cái)政內(nèi)網(wǎng)系統(tǒng)安全帶來巨大的隱患,會導(dǎo)致病毒入侵、泄密甚至網(wǎng)絡(luò)癱瘓的后果。

3安全風(fēng)險(xiǎn)控制對策與措施

系統(tǒng)安全問題一直是一個(gè)先發(fā)現(xiàn)問題,再補(bǔ)救問題的過程。建成一個(gè)絕對安全的網(wǎng)絡(luò)是不可能的,但我們要保證及時(shí)發(fā)現(xiàn)問題,第一時(shí)間解決問題。根據(jù)財(cái)政部對財(cái)政信息系統(tǒng)安全建設(shè)和財(cái)政業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)安全接入提出的“可控性、可管理型、可用性、安全性、規(guī)范性”相關(guān)原則要求,針對我市財(cái)政信息系統(tǒng)的現(xiàn)狀和存在的信息安全方面的問題,我們提出如下對策和措施,嚴(yán)格執(zhí)行財(cái)政業(yè)務(wù)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的隔離限制,嚴(yán)格移動終端接入管理,加強(qiáng)客戶端防護(hù)、入網(wǎng)身份鑒別、數(shù)據(jù)傳輸?shù)劝踩珕栴}管理,以全面提升我市財(cái)政信息系統(tǒng)的整體安全保障水平。(1)加強(qiáng)信息安全投入,提高安全防御能力。第一,加大信息安全資金投入。增加綜合日志審計(jì)、防病毒網(wǎng)關(guān)、入侵防御、運(yùn)維審計(jì)等信息安全設(shè)備投入,防止網(wǎng)絡(luò)的惡意攻擊,盡量使用安全級別高的技術(shù)或設(shè)備用于網(wǎng)絡(luò)接入,增加硬件UKEY驗(yàn)證機(jī)制。在設(shè)備中做好安全驗(yàn)證及網(wǎng)絡(luò)傳輸加密設(shè)置,至少保證將用戶與計(jì)算機(jī)硬件互相綁定,從而縮小操作人員的操作環(huán)境,提高安全系數(shù)。第二,強(qiáng)化技術(shù)支持。嚴(yán)格控制接入用戶的網(wǎng)絡(luò)接入方式,禁止內(nèi)網(wǎng)用戶連接其他網(wǎng)絡(luò),禁止使用無線網(wǎng)絡(luò)產(chǎn)品。并在系統(tǒng)設(shè)置中記錄用戶的登錄時(shí)間及基本操作內(nèi)容,做到出現(xiàn)安全問題時(shí)有據(jù)可依。第三,加強(qiáng)網(wǎng)絡(luò)與信息安全人員的培養(yǎng)和激勵。加強(qiáng)財(cái)政信息系統(tǒng)的日常技術(shù)和安全知識培訓(xùn),提高對計(jì)算機(jī)病毒及惡意程序的防范意識,提高網(wǎng)絡(luò)安全保密意識。加強(qiáng)財(cái)政信息系統(tǒng)管理人員和使用人員的業(yè)務(wù)培訓(xùn),使財(cái)政工作人員掌握常見的網(wǎng)絡(luò)信息安全知識和防范技能,提高信息安全問題的處置能力,提升信息專業(yè)技術(shù)能力。(2)建立健全信息系統(tǒng)安全管理制度。第一,切實(shí)做好信息設(shè)備和信息系統(tǒng)安全制度管理更新工作,維護(hù)財(cái)政信息設(shè)備和系統(tǒng)環(huán)境安全、穩(wěn)定、健康,根據(jù)信息安全法律、法規(guī)的有關(guān)規(guī)定,結(jié)合壽光財(cái)政工作實(shí)際,及時(shí)建立健全壽光財(cái)政信息設(shè)備和信息系統(tǒng)安全管理制度,通過對原有安全管理制度及時(shí)進(jìn)行修訂和新增,使安全意識貫穿于日常財(cái)政系統(tǒng)業(yè)務(wù)操作中,提升財(cái)政信息系統(tǒng)的防范能力,保障財(cái)政業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行。第二,建立健全財(cái)政信息系統(tǒng)內(nèi)部控制制度。根據(jù)內(nèi)控有關(guān)管理規(guī)定,從信息系統(tǒng)建設(shè)管理、信息系統(tǒng)流程控制管理、數(shù)據(jù)管理與應(yīng)用、信息系統(tǒng)安全管理等四個(gè)方面建立健全內(nèi)部控制管理制度,提升信息安全意識,確保安全防護(hù)技術(shù)或管理措施到位,提升財(cái)政信息系統(tǒng)自身抵御外部攻擊能力,確保財(cái)政資金安全有效運(yùn)行。(3)完善和健全計(jì)算機(jī)軟件管理制度。第一,在新購、更新計(jì)算機(jī)等硬件設(shè)備時(shí),全面預(yù)裝正版操作系統(tǒng)軟件、辦公軟件和殺毒軟件。第二,要切實(shí)增強(qiáng)知識產(chǎn)權(quán)意識,按照誰使用、誰負(fù)責(zé)的原則對使用的軟件資產(chǎn)進(jìn)行登記管理,不隨意下載、安裝、更換軟件,保證已使用的正版軟件得到有效維護(hù)。第三,健全資產(chǎn)管理制度。制訂軟件資產(chǎn)管理制度,健全計(jì)算機(jī)軟件配套購買和使用登記制度,將軟件作為資產(chǎn)納入財(cái)政資產(chǎn)管理體系,強(qiáng)化軟件的購買、安裝、更換、使用、報(bào)廢等管理工作。(4)實(shí)施財(cái)政客戶端安全監(jiān)控管理系統(tǒng)應(yīng)用工作。對與財(cái)政專網(wǎng)相連的預(yù)算單位、人民銀行及銀行終端全部啟用財(cái)政客戶端安全監(jiān)控管理系統(tǒng)進(jìn)行管理,實(shí)施“3+1”管理策略。“3”是指準(zhǔn)入管理、補(bǔ)丁修復(fù)、非法外聯(lián)策略,“1”是指終端PC實(shí)名制。實(shí)現(xiàn)所有預(yù)算單位,銀行等使用財(cái)政專網(wǎng)計(jì)算機(jī)專網(wǎng)專機(jī)使用,保證了財(cái)政專網(wǎng)的安全性。(5)加強(qiáng)安全宣傳和培訓(xùn),強(qiáng)化財(cái)政信息和網(wǎng)絡(luò)監(jiān)管力度,建立財(cái)政信息安全管理責(zé)任制。第一,突出安全宣傳和培訓(xùn),強(qiáng)化專網(wǎng)監(jiān)管力度。信息系統(tǒng)安全防護(hù)全部靠技術(shù)手段是做不到的,更重要的是加強(qiáng)日常的安全宣傳和培訓(xùn),增強(qiáng)使用人員信息安全的防范意識和責(zé)任意識。第二,加強(qiáng)日常維護(hù),建立定期巡查制度,及時(shí)了解和掌握信息系統(tǒng)運(yùn)行狀況,及時(shí)排除出現(xiàn)的不安全因素和故障,變“事后處理”為“事前預(yù)防”。加強(qiáng)日常檢測檢查、管理維護(hù),及時(shí)了解信息系統(tǒng)正常運(yùn)行情況,建立網(wǎng)絡(luò)安全巡查檢查記錄,定期進(jìn)行設(shè)備維護(hù),及時(shí)了解和掌握設(shè)備運(yùn)行中存在的問題,做到巡查有記錄、檢查有目標(biāo)、查后有改進(jìn),從源頭上構(gòu)建一張嚴(yán)密的“信息安全網(wǎng)”。第三,建立健全網(wǎng)絡(luò)與信息安全防范工作責(zé)任制,財(cái)政內(nèi)網(wǎng)電腦全部實(shí)行IP地址與網(wǎng)卡MAC地址綁定,確定每個(gè)使用人員是相關(guān)直接責(zé)任人,明確信息安全責(zé)任,保證網(wǎng)絡(luò)信息安全管理工作的正常開展。長期以來,我國對重要網(wǎng)絡(luò)和信息系統(tǒng)安全保護(hù)重視不夠,沒有在法律中做出明確規(guī)定,導(dǎo)致單位在信息安全方面的責(zé)任存在缺位,許多針對性工作由于缺乏依據(jù)無法順利開展。隨著《中華人民共和國網(wǎng)絡(luò)安全法》的正式實(shí)施,明確將重要網(wǎng)絡(luò)和信息系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施納入國家重點(diǎn)保護(hù)范圍,對其運(yùn)行安全進(jìn)行詳細(xì)規(guī)定。這是我國首次在法律高度提出關(guān)鍵信息基礎(chǔ)設(shè)施概念,并對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)提出具體要求,是我國在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面取得的重大措施,將國家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全提升到一個(gè)新的局面,也對壽光財(cái)政信息系統(tǒng)安全提出了新的要求。

4結(jié)語

總之,在這個(gè)信息化的時(shí)代,信息化建設(shè)是財(cái)政信息系統(tǒng)發(fā)展和生存的重要途徑。但就目前而言,我們只看到了信息化建設(shè)的優(yōu)勢,沒有意識到信息系統(tǒng)安全問題的重要性,信息系統(tǒng)還處在一個(gè)長期不設(shè)防的狀態(tài)當(dāng)中,這一情況直接影響了財(cái)政信息系統(tǒng)的安全性。因此,提高財(cái)政信息系統(tǒng)的安全性,重視信息系統(tǒng)的安全問題,樹立正確的信息安全意識,并采取有效的防范措施、不斷完善財(cái)政信息系統(tǒng)管理體系,在財(cái)政信息化建設(shè)過程中,對可能會影響信息系統(tǒng)安全的因素進(jìn)行全面考慮,以確保財(cái)政信息系統(tǒng)建設(shè)和運(yùn)行的安全成為當(dāng)務(wù)之急。

參考文獻(xiàn):

[1]沈進(jìn)棋.關(guān)于基層財(cái)稅部門網(wǎng)絡(luò)與信息安全的調(diào)查和研究[J].科技資訊,2014(4).

[2]劉昆.深化認(rèn)識創(chuàng)新思路努力開創(chuàng)全國財(cái)政信息化工作新局面[J].中國財(cái)政,2016(15)

作者:劉林 楊春 單位:壽光市財(cái)政局