“金财工程”是我国电子政务的重要组成部分,也是我国“十五”期间12个重点建设的业务系统之一,它的推进和实施,将极大地促进电子政务工程整体功能的发挥,推进国家信息化战略目标的实现。
“金财工程”覆盖各级政府财政管理部门和财政资金使用部门,全面支撑部门预算管理、国库单一账户集中收付、政府采购、宏观经济预测和办公自动化等方面的应用需求。“金财工程”的建立将有利于预算管理的规范化,提高国库资金的使用效率,提高政府财政管理决策的科学性,增大财政管理的透明度,有利于加强廉政建设。 “金财工程”的建立将从根本上改变财政系统多年来“粗放”的管理模式,有利于逐步走向依法理财。
“金财工程”的建立将覆盖GDP 20%的资金流动,对国家经济的运转也将产生重大影响。因此“金财工程”建设对安全性有较高的要求,系统安全建设应该与信息系统建设同步规划,同步设计,同步建设,不能滞后。在系统安全的各项建设内容中,安全管理体系的建设是关键和基础。没有健全的安全管理,系统的安全性是很难保证的,任何网络系统仅在技术上是无法实现完整的安全要求的。为此,建立一套科学的、可靠的、全面而有层次的安全管理体系是“金财工程”安全建设的必要条件和基本保证。
一、 安全管理体系的建设目标
通过有效的安全管理体系的建设,最终要实现的目标是:采取集中控制、分级管理的模式,建立起完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
二、 安全管理体系的建设内容
安全管理体系主要包括安全管理机构、安全管理制度、安全管理技术和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障“金财工程”安全的目的。
(一) 安全管理机构建设
按照统一领导和分级管理的原则,安全管理必须设立专门的管理机构,配备相应的安全管理人员,并实行“一把手”责任制,明确主管领导,落实部门责任,各尽其职。其主要内容包括:各级管理机构的建立;各级管理机构的职能、权限划分;人员岗位、数量、职责的确定。
各级财政保障信息系统安全管理机构,将根据国家的有关信息网络安全的法规、方针、政策等,承担所属财政保障部门网络系统的各项安全管理工作,主要职责为:
1. 拟定并组织实施计算机信息系统安全管理的各项规章制度;
2. 监督、指导计算机信息系统管理人员和用户做好安全保密工作,定期组织检查计算机信息系统安全运行情况,及时排除各种安全隐患;
3. 贯彻国家信息安全主管部门的规章制度和要求,组织落实安全技术措施,保障计算机信息系统的运行安全;
4. 组织宣传计算机信息系统安全方面的法律、法规和有关政策,开展计算机信息系统的安全培训和教育;
5. 负责所属财政保障部门计算机信息系统的各项日常安全管理工作。
(二) 安全管理制度建设
安全管理制度是保证网络系统安全的基础,需要通过一系列规章制度的实施,来确保各类人员按照规定的职责行事,做到各行其职、各负其责,避免责任事故的发生和防止恶意侵犯。
1.安全管理制度主要包括:人员安全管理制度、设备安全管理制度、运行安全管理制度、安全操作管理制度、安全等级保护制度;有害数据及计算机病毒防范管理制度;敏感数据保护制度、安全技术保障制度、安全计划管理制度。
2.安全技术规范主要包括:日常操作管理办法;安全策略配置管理办法;数据备份管理办法;攻击事件预警管理办法;日志管理办法;定期报告办法。
(三) 安全管理技术
采用研祥公司的EIP安全平台产品、利用先进的安全管理技术实现对系统安全管理的科学化、系统化、法制化和规范化,把安全规章制度通过安全管理技术强制实施。“金财工程”的信息保障技术框架包括四个部分:保卫网络和基础设施、保卫边界和外部接入、保卫计算环境和支持基础设施的建设。
建立“金财工程”信息安全管理技术就是要从技术上建立多层次的纵深保卫战略,以防止对“金财工程”的内部和外部攻击,也防止内外勾结的攻击。
在安全建设的过程中,将大量利用先进的技术和设备,如研祥公司EIP BIOS安全技术等;采用包括用户标识与鉴别、访问控制、信息流控制、加/解密、完整性保护、不可否认性保护、网络及网络隔离、入侵检测、病毒防护、漏洞扫描、安全审计、备份、灾难恢复、防火墙、 VPN设备等,为安全管理提供强大的技术保障。
(四) 安全教育和培训
根据用户的不同层次制定相应的教育培训计划及培训方案。为了将安全隐患减少到最低,不仅需要对安全管理员进行专业性的安全技术培训,还需要加强对一般办公人员的信息安全教育,普及信息安全基本知识,通过对用户的不断教育和培训,增强全体工作人员的信息安全意识、法制观念和技术防范水平,确保网络系统的安全运行。
