编者按:本文作者有多年财政信息化建设工作经验,在实践中尤为关注财政信息安全,而且研究了国内外大量相关理论知识。文中观点为作者从实践中总结所得,在此与读者分享。
当前,随着财税体制改革各项工作的不断推进,财政工作信息化程度不断提高,财政业务对信息化技术的依赖性日益增强,财政信息安全问题引起各级财政部门的重视。
在新形势下,到底应该如何做好财政信息安全治理工作,从而为财政改革和发展保驾护航?
安全治理中的认识误区
误区一:将信息安全等同于网络安全。一个信息系统是由应用软件、网络和主机等要素构成的,所以信息系统的安全包括应用软件的安全、网络的安全、主机的安全等。而网络安全是一种泛指的说法。网络空间本身是由许多个应用软件、网络通道、计算机主机等承载电子信息的载体组成的。所以网络空间的安全,其实质是信息系统的安全。
财政信息安全和财政网络安全是包含和被包含的关系,财政信息安全的范畴要包含并且远远大于财政网络安全的范畴。信息技术领域是专业分工比较多的领域,专业技术人员包括软件工程师、网络工程师、硬件工程师、数据库工程师、系统分析师和信息系统管理者等许多细分岗位,日常工作中也由不同的部门承担相应的工作内容。如果管理者不能认识信息安全和网络安全的本质,就无法实现工作责任的主体定位,无法实现对存在问题的准确分析,也就无法有效地开展信息安全治理工作。
误区二:财政信息安全治理工作只是信息技术部门的职责。根据我国信息安全等级保护制度“谁主管谁负责、谁使用谁负责、谁建设谁负责、谁运行谁负责”的基本原则,信息技术作为开展财政工作的工具,信息安全保障工作应由工具的管理人、使用人、建设人和维护人四方面的主体责任人共同承担。只有把这四方面的相关干系人共同组织起来,四方面干系人共同履行各自的职责,才可能真正推进信息安全保障工作。
在日常工作中,财政系统的信息技术部门主要承担信息系统建设和维护的职能,还有些地方大部分财政信息系统都由开发商建设。作为建设人和维护人,技术部门根本无法代为履行工具管理人和使用人的职责。角色缺位和角色越位,使得信息安全治理工作步履维艰。
误区三:信息安全是在信息系统使用阶段才需要重点关注的工作。信息安全是伴随信息系统的使用产生的,但信息系统本身是有生命周期的,从信息系统的规划阶段,信息安全问题就已产生了。一个在规划阶段就没有被考虑过安全的信息系统,如何保证在使用时不产生问题。信息化建设和信息安全治理就像双胞胎,在信息系统规划阶段、建设阶段、运行使用阶段和消亡阶段都如影随形。
因此,要从信息的整个生命周期,即信息产生、处理、存储、传输、消亡的各个阶段,对信息和信息系统形成有效的技术和管理保障体系。
新时期财政信息安全风险
从财政信息安全治理的实践看,目前存在五大风险。
不可抗力风险。目前财政工作对信息化的依赖性日前增强,防范不可抗力(自然灾害等)造成的信息安全事件需要引起高度重视,要加强信息安全应急体系的建设,加强应急预案的演练。制定应急预案,不仅仅是技术部门的工作,业务部门也需要制定没有信息系统后还能正常(临时)开展工作的方案。
人为故障风险。财政各项应用系统涉及用户面广,需要对拥有系统操作权限、系统维护权限人员加强管理。有些地方甚至是由开发单位的人员进行财政业务操作权限的分配,系统的管理权限掌握在非财政人员手中,许多系统管理员拥有对资金数据库的无限制权限。
技术故障风险。目前财政各项应用系统的技术结构复杂,系统关联度高,故障风险点多,在软件应用、网络和硬件平台上均可能产生故障。需要进一步加强系统综合可靠性建设,提高系统性能,加强系统测试,完善系统改造和升级流程。
组织或机构运作的缺陷风险。财政信息安全保障工作涉及财政部门、预算单位、金融机构、各类系统建设和维护机构。目前信息安全的各项工作主要由技术部门负责,由于技术部门缺乏对外部机构的约束力,导致相关工作要求无法落实。加之技术部门本身也是部分系统的建设者和维护者,身兼裁判员和运动员双重角色,需要防范因体制造成的信息安全隐患。
蓄意破坏行为造成的风险。随着财政面向公众提供服务的系统不断增多,对于面向互联网开放的各类系统,需要防范来自四面八方的蓄意攻击和破坏风险。
建立财政信息安全治理体系
参考国际国内在信息安全保障领域的理论、标准和经验,结合财政工作实际,笔者从组织体系、制度体系和技术体系三个方面,提出建立和完善财政信息安全治理体系的建议。
成立专职的财政信息安全管理机构。通过成立专业的机构,实现财政信息安全管理、监督工作和执行体系的分离,实现运动员和裁判员的角色分离。专职机构引进或抽调专业人员,制定财政信息安全治理工作的整体规划,定期分析财政信息安全的风险与隐患,对信息系统的管理者、使用者、建设者、维护者提出具体要求,统一协调管理者、使用者、建设者、维护者之间的工作衔接,督促系统建设者和维护者落实信息安全技术保障措施,完善财政信息安全保障制度、技术和执行体系。
建立和完善信息安全治理制度体系。制定开展信息安全治理工作的原则、规划、工作制度、工作流程等。通过制度体系,将信息安全治理工作落实到信息系统的整个生命周期(规划阶段、建设阶段、实施阶段、验收阶段、使用阶段、持续升级改造阶段等)的各个环节;将信息安全保障工作责任落实到每个相关的干系人(管理者、使用者、建设者、维护者);将信息安全治理细化到人员管理、资产管理、物理环境管理、开发与维护管理、网络与终端管理、事件响应管理和检查考核等方面。
建立和完善财政信息安全技术体系。从信息系统的物理环境安全、主机安全、网络安全、应用安全、数据安全等领域全面建立和完善信息安全技术体系。
信息技术不断发展,信息安全所面临的风险日新月异,财政信息安全治理工作不可能一劳永逸。只有不断发展,持续改进,这项工作才能真正保障财政业务和资金的安全。(作者单位:新疆财政厅信息网络中心)
摘自—中国财经报网
