財政業務信息系統安全風險探討

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了財政業務信息系統安全風險探討范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：針對財政業務的模式變化、數據集中管理、流程全面再造等帶來的安全風險隱患，從網絡、數據、運維、管理等方面,對信息系統存在的風險進行分析和研究。

關鍵詞：信息系統，流程再造，網絡風險，數據風險

引言

財政核心業務一體化系統包括預算管理、預算執行、會計核算等財政核心業務，實現了財政資金從預算到撥付的全流程電子化管理。系統具有標準統一、數據高度集中、流程全面再造等特點，是落實現代財政制度、提升財政資金管理效能的重要途徑。系統業務模式變化、數據集中管理等將帶來新的安全風險隱患[1-14]。本文從網絡、數據、運維、管理等方面對系統存在的風險進行分析研究。

1財政信息系統

按照財政部規劃，財政業務一體化系統覆蓋財政預算編制、預算執行、決算管理等財政管理全過程，實現項目庫滾動管理、中期財政規劃、預算編制、績效指標目標管理、預算執行、預算調整、績效指標報告監控、賬務處理及決算管理、政府綜合財務報告等全生命周期管理，形成財政業務順向銜接、逆向反饋的“閉環”。從業務源頭規范業務管理要素，到業務末端記錄具體收支明細信息，實現財政專項資金跨層級流動跟蹤。系統具有涵蓋業務多、用戶廣、業務量大、安全性要求高等特點。系統業務方面，一體化系統采用省級大集中部署，橫向覆蓋項目庫、預算編制、指標管理、國庫支付、總會計賬、單位會計賬、決算管理、政府財務報告等系統業務，實現全省財政核心業務在一個系統辦理。財政核心業務系統建設在有效提升財政數字化水平的同時，在網絡、數據、運維、管理等方面也帶來了新的安全管理風險，需要切實加強安全風險防范。

2財政信息系統的風險

2.1網絡風險

財政業務系統在政務云部署，采用省級大集中模式，系統用戶量大，對網絡的穩定性和安全性有較高要求。（1）網絡穩定性。系統運行于電子政務外網行政服務域，所涉及的網絡包括電子政務外網、財政專網、VPN專線等。目前政務外網尚未實現財政信息系統用戶全覆蓋，需要不斷拓展完善，網絡帶寬的承載能力、穩定性需要持續提升。電子政務外網在縣級及以下部門單位應用較少，網絡維護力量較弱，存在網絡不穩定甚至中斷風險。（2）網絡安全性。相對于財政專網，政務外網是更開放的網絡，運行著不同部門單位的政務信息系統。財政業務系統的安全風險點增多，需要采用更加嚴格的安全防護措施。密碼技術應用不夠深入，存在未在“網絡和通信安全層面”采用密碼技術保證通信過程中重要數據的完整性，未使用密碼技術的完整性功能來保證網絡邊界和系統資源訪問控制信息的完整性，未在所有應用系統啟用國產密碼算法等安全問題。用戶客戶端安全防護措施不夠嚴格，存在部分終端未部署終端安全管理軟件及殺毒軟件，突破安全管理基線、違規外聯等風險。

2.2數據風險

財政業務系統涉及全省財政資金管理，對資金撥付的實時性、準確性、有效性要求高，系統由分散在各市獨立部署變為全省集中部署后，風險隨之集中，主要涉及數據泄露風險、數據丟失風險、單點故障。（1）數據泄露風險。隨著數據整合共享的推進，部分財政數據需要在部門間共享使用。對共享數據管理的相關制度辦法仍在不斷完善，可能出現因數據管理不嚴、共享范圍把握不準，造成數據披露過度的風險。在復雜網絡環境下，存在遭遇木馬植入等攻擊方式造成數據泄漏的風險。（2）數據丟失風險。尚未建立標準的“兩地三中心”災難備份恢復機制，存在遭遇勒索病毒、硬件損壞、系統錯誤等原因會造成數據丟失的風險。數據恢復時間較長，不能實現分鐘級的數據恢復。（3）單點故障。系統實現了數據集中存儲保護，同時也帶來了存儲資源、網絡資源、計算資源的共享使用，一旦存儲資源出現故障，就會導致系統無法正常運行，數據無法訪問，出現單點故障。

2.3運維風險

（1）運維管理風險。運維人員利用內部網絡管理漏洞，違規遠程運維，如，通過配置雙網卡聯通內外網、搭建服務器構建中間跳板機進行遠程運維。運維人員授權不規范，數據處理權限過大，存在較大的管理風險，甚至會出現誤操作而導致數據刪除等重大安全風險。業務功能變化頻繁，系統功能開發周期短，測試不充分，導致部分數據需要從后臺進行處理，增加運維風險。（2）故障排查難度增加。系統出現故障后，有可能是應用系統、政務云或電子政務外網等方面的問題，應用系統、政務云、電子政務外網分屬不同部門維護，增加了故障排查的協調難度和及時性。

2.4管理風險

（1）相關配套制度滯后風險。財政核心業務一體化系統上線后，與系統配套的規范性文件包括《財政核心業務一體化系統管理規范》《財政核心業務一體化系統技術標準》，不能滿足各省市縣財政部門及預算單位具體操作和全面內控管理需求，需要從崗位職責劃分、業務流程、系統運行管理、應急處置等方面制定業務操作規范、運維管理辦法、印章管理制度等，保障業務正常有序開展，降低操作風險。（2）安全責任劃分執行風險。一是安全責任劃分難。系統部署在政務云，信息安全取決于多個安全責任相關方，包括財政部門、單位用戶、政務云供應商、網絡供應商、應用系統供應商，存在系統數據共享的，還涉及數據共享部門單位，安全責任較難劃分。二是安全責任執行難。信息系統正常運行需要網絡、服務器、應用系統、中間件、安全設備等軟硬件的共同支撐及用戶的規范安全操作，一個問題的產生可能由多個因素造成，需建立聯防聯控的風險防控機制。

3結語

財政核心業務系統實現一體化集成和省級集中部署后，將使財政業務管理更加規范、數據流轉更加順暢，有力提升全省財政管理水平。為使財政核心業務系統有效服務于財政業務管理，需要在網絡、數據、運維、管理等方面采取有效的防護措施，保障系統安全可靠運行。

參考文獻

[1]胡建偉,湯建龍,楊紹全.網絡對抗原理[M].陜西:西安電子科技大學出版社,2004.

[2]李穎,張逸龍.基層央行ACS系統上線運行中存在的問題及對策[J].金融理論與實踐,2014(10):110-112.

[3]胡楠,黃玥,徐春玲,方鐘,蘇雪娟,張旭.基于模糊層次分析法的計算機網絡安全評價探析[J].通訊世界,2016(09):73-74.

[4]王謙,陳放.我國電子政務信息安全及保障體系[J].網絡安全技術與應用,2006(04):75-78+65.

[5]李全.服務器虛擬化安全風險及其對策研究[J].信息系統工程,2014(05):63.

[6]趙紅言,許柯,許杰,趙緒民.計算機網絡安全及防范技術[J].陜西師范大學學報(哲學社會科學版),2007(S2):80-82.

[7]彭珺,高珺.計算機網絡信息安全及防護策略研究[J].計算機與數字工程,2011,39(01):121-124+178.

[8]費軍,余麗華.基于模糊層次分析法的計算機網絡安全評價[J].計算機應用與軟件,2011,28(10):120-123+166.

[9]王練,張昭,張賀,張勛楊.一種基于RSA的抗多重攻擊安全網絡編碼方案[J].計算機工程,2019,45(11):166-171.

[10]廖方圓,陳劍鋒,甘植旺.人工智能驅動的關鍵信息基礎設施防御研究綜述[J].計算機工程,2019,45(07):181-187+193.

[11]張偉,王宜懷.云系統的安全性增強算法研究[J].計算機工程,2019,45(10):150-154+159.

[12]譚躍生,魯黎明,王靜宇.基于安全三方計算的密文策略加密方案[J].計算機工程,2019,45(01):115-120+128.

[13]劉煜.網絡安全態勢感知與防護體系[J].電子技術,2017,46(09):28-30+16.

[14]孫中化,王冕.同態加密技術及其在云計算安全中的應用[J].電子技術,2014,43(12):17-19.

作者：張利明 肖麗輝 單位：山東省財源保障評價中心