财政业务信息系统安全风险探讨

摘要：针对财政业务的模式变化、数据集中管理、流程全面再造等带来的安全风险隐患，从网络、数据、运维、管理等方面,对信息系统存在的风险进行分析和研究。

关键词：信息系统，流程再造，网络风险，数据风险

引言

财政核心业务一体化系统包括预算管理、预算执行、会计核算等财政核心业务，实现了财政资金从预算到拨付的全流程电子化管理。系统具有标准统一、数据高度集中、流程全面再造等特点，是落实现代财政制度、提升财政资金管理效能的重要途径。系统业务模式变化、数据集中管理等将带来新的安全风险隐患[1-14]。本文从网络、数据、运维、管理等方面对系统存在的风险进行分析研究。

1财政信息系统

按照财政部规划，财政业务一体化系统覆盖财政预算编制、预算执行、决算管理等财政管理全过程，实现项目库滚动管理、中期财政规划、预算编制、绩效指标目标管理、预算执行、预算调整、绩效指标报告监控、账务处理及决算管理、政府综合财务报告等全生命周期管理，形成财政业务顺向衔接、逆向反馈的“闭环”。从业务源头规范业务管理要素，到业务末端记录具体收支明细信息，实现财政专项资金跨层级流动跟踪。系统具有涵盖业务多、用户广、业务量大、安全性要求高等特点。系统业务方面，一体化系统采用省级大集中部署，横向覆盖项目库、预算编制、指标管理、国库支付、总会计账、单位会计账、决算管理、政府财务报告等系统业务，实现全省财政核心业务在一个系统办理。财政核心业务系统建设在有效提升财政数字化水平的同时，在网络、数据、运维、管理等方面也带来了新的安全管理风险，需要切实加强安全风险防范。

2财政信息系统的风险

2.1网络风险

财政业务系统在政务云部署，采用省级大集中模式，系统用户量大，对网络的稳定性和安全性有较高要求。（1）网络稳定性。系统运行于电子政务外网行政服务域，所涉及的网络包括电子政务外网、财政专网、VPN专线等。目前政务外网尚未实现财政信息系统用户全覆盖，需要不断拓展完善，网络带宽的承载能力、稳定性需要持续提升。电子政务外网在县级及以下部门单位应用较少，网络维护力量较弱，存在网络不稳定甚至中断风险。（2）网络安全性。相对于财政专网，政务外网是更开放的网络，运行着不同部门单位的政务信息系统。财政业务系统的安全风险点增多，需要采用更加严格的安全防护措施。密码技术应用不够深入，存在未在“网络和通信安全层面”采用密码技术保证通信过程中重要数据的完整性，未使用密码技术的完整性功能来保证网络边界和系统资源访问控制信息的完整性，未在所有应用系统启用国产密码算法等安全问题。用户客户端安全防护措施不够严格，存在部分终端未部署终端安全管理软件及杀毒软件，突破安全管理基线、违规外联等风险。

2.2数据风险

财政业务系统涉及全省财政资金管理，对资金拨付的实时性、准确性、有效性要求高，系统由分散在各市独立部署变为全省集中部署后，风险随之集中，主要涉及数据泄露风险、数据丢失风险、单点故障。（1）数据泄露风险。随着数据整合共享的推进，部分财政数据需要在部门间共享使用。对共享数据管理的相关制度办法仍在不断完善，可能出现因数据管理不严、共享范围把握不准，造成数据披露过度的风险。在复杂网络环境下，存在遭遇木马植入等攻击方式造成数据泄漏的风险。（2）数据丢失风险。尚未建立标准的“两地三中心”灾难备份恢复机制，存在遭遇勒索病毒、硬件损坏、系统错误等原因会造成数据丢失的风险。数据恢复时间较长，不能实现分钟级的数据恢复。（3）单点故障。系统实现了数据集中存储保护，同时也带来了存储资源、网络资源、计算资源的共享使用，一旦存储资源出现故障，就会导致系统无法正常运行，数据无法访问，出现单点故障。

2.3运维风险

（1）运维管理风险。运维人员利用内部网络管理漏洞，违规远程运维，如，通过配置双网卡联通内外网、搭建服务器构建中间跳板机进行远程运维。运维人员授权不规范，数据处理权限过大，存在较大的管理风险，甚至会出现误操作而导致数据删除等重大安全风险。业务功能变化频繁，系统功能开发周期短，测试不充分，导致部分数据需要从后台进行处理，增加运维风险。（2）故障排查难度增加。系统出现故障后，有可能是应用系统、政务云或电子政务外网等方面的问题，应用系统、政务云、电子政务外网分属不同部门维护，增加了故障排查的协调难度和及时性。

2.4管理风险

（1）相关配套制度滞后风险。财政核心业务一体化系统上线后，与系统配套的规范性文件包括《财政核心业务一体化系统管理规范》《财政核心业务一体化系统技术标准》，不能满足各省市县财政部门及预算单位具体操作和全面内控管理需求，需要从岗位职责划分、业务流程、系统运行管理、应急处置等方面制定业务操作规范、运维管理办法、印章管理制度等，保障业务正常有序开展，降低操作风险。（2）安全责任划分执行风险。一是安全责任划分难。系统部署在政务云，信息安全取决于多个安全责任相关方，包括财政部门、单位用户、政务云供应商、网络供应商、应用系统供应商，存在系统数据共享的，还涉及数据共享部门单位，安全责任较难划分。二是安全责任执行难。信息系统正常运行需要网络、服务器、应用系统、中间件、安全设备等软硬件的共同支撑及用户的规范安全操作，一个问题的产生可能由多个因素造成，需建立联防联控的风险防控机制。

3结语

财政核心业务系统实现一体化集成和省级集中部署后，将使财政业务管理更加规范、数据流转更加顺畅，有力提升全省财政管理水平。为使财政核心业务系统有效服务于财政业务管理，需要在网络、数据、运维、管理等方面采取有效的防护措施，保障系统安全可靠运行。

参考文献

[1]胡建伟,汤建龙,杨绍全.网络对抗原理[M].陕西:西安电子科技大学出版社,2004.

[2]李颖,张逸龙.基层央行ACS系统上线运行中存在的问题及对策[J].金融理论与实践,2014(10):110-112.

[3]胡楠,黄玥,徐春玲,方钟,苏雪娟,张旭.基于模糊层次分析法的计算机网络安全评价探析[J].通讯世界,2016(09):73-74.

[4]王谦,陈放.我国电子政务信息安全及保障体系[J].网络安全技术与应用,2006(04):75-78+65.

[5]李全.服务器虚拟化安全风险及其对策研究[J].信息系统工程,2014(05):63.

[6]赵红言,许柯,许杰,赵绪民.计算机网络安全及防范技术[J].陕西师范大学学报(哲学社会科学版),2007(S2):80-82.

[7]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011,39(01):121-124+178.

[8]费军,余丽华.基于模糊层次分析法的计算机网络安全评价[J].计算机应用与软件,2011,28(10):120-123+166.

[9]王练,张昭,张贺,张勋杨.一种基于RSA的抗多重攻击安全网络编码方案[J].计算机工程,2019,45(11):166-171.

[10]廖方圆,陈剑锋,甘植旺.人工智能驱动的关键信息基础设施防御研究综述[J].计算机工程,2019,45(07):181-187+193.

[11]张伟,王宜怀.云系统的安全性增强算法研究[J].计算机工程,2019,45(10):150-154+159.

[12]谭跃生,鲁黎明,王静宇.基于安全三方计算的密文策略加密方案[J].计算机工程,2019,45(01):115-120+128.

[13]刘煜.网络安全态势感知与防护体系[J].电子技术,2017,46(09):28-30+16.

[14]孙中化,王冕.同态加密技术及其在云计算安全中的应用[J].电子技术,2014,43(12):17-19.

作者：张利明 肖丽辉 单位：山东省财源保障评价中心