当前位置: 首页>政务信息>领导讲话
翟刚:加强信息安全管理 为国库改革提供支撑 ——在部分省市财政国库信息安全管理工作座谈会上的讲话(节选)

 

 

2011824

 

在今年4月份召开的全国财政国库管理制度改革座谈会上,部领导重点强调了财政资金安全管理工作。加强信息安全管理则是在新时期、新形势下,保障财政资金安全,推动国库改革深化的一项基础性、战略性工作。

一、充分认识加强财政国库信息安全管理的重要性和紧迫性

国库改革从一开始就与信息化密不可分,可以说,没有信息化,国库改革就无从谈起。十年来,按照建立现代国库管理制度的改革要求,各级财政国库部门大力推进国库信息化建设,国库管理信息系统对国库改革的支撑和促进作用不断增强,为完善现代财政国库管理体系提供了坚实基础。然而,迅猛发展的信息技术在服务国库改革的同时,也带来了信息安全风险,像一把“双刃剑”立在我们面前。如果国库信息安全问题处理不好,将很可能诱发财政资金运行风险,不但会损害财政国库部门的形象,还可能威胁到国家的核心利益。加强国库信息安全管理,既是确保国库管理制度改革各项政策目标有效落实的重要保障,也是提高财政国库科学化、精细化管理的有力抓手,应当从战略的高度来理解和认识这项工作。

(一)加强信息安全管理是应对当前信息安全形势的需要

进入新世纪以来,信息技术发展迅速,国民经济和社会信息化不断深化,信息安全面临新的挑战。网络空间中的渗透与反渗透、控制与反控制、窃密与反窃密斗争日趋激烈。近年来,境内外各种敌对势力想尽一切办法,利用信息安全漏洞窃取我国经济、社会各领域的重要情报,其手段之新、技术之高可能是我们无法想象的。我们要高度重视经济和社会信息化发展的这些新情况、新形势,尤其要将其与财政国库工作结合起来。财政收支数据,直接反映我国的政策导向、经济态势和财政运行情况,成为境内外各种敌对势力觊觎的热点对象。财政收支数据中,包含大量关系国计民生的敏感信息,如果被不法分子利用,不仅会造成经济损失,还有可能威胁社会稳定。而这些数据大都集中于国库部门管理的系统中,我们责任重大,绝不能掉以轻心。加强信息安全管理,已到了刻不容缓的地步,广大国库干部一定要认清形势,增强忧患意识,积极行动起来,全面推进这项工作。

(二)加强信息安全管理是保障财政资金安全的需要

财政资金安全管理是财政国库部门的一条重要生命线,近年来,各级财政国库部门一直高度重视,狠抓落实,通过强化管理基础、创新制度机制,不断提高财政资金安全管理工作水平。今年7月,国库司组织12个工作组,分赴全国36个省(自治区、直辖市、计划单列市)对地方清理整顿财政专户情况进行了重点抽查,工作力度之大在近几年是比较罕见的,足见我们对财政资金安全管理工作的重视程度。在检查中,我们看到,一些地方财政国库部门正在通过信息化手段,建立“全资金覆盖、全流程控制、全账户监管”的管理框架,即将所有性质的财政资金以及资金管理的各个环节全部纳入信息系统中,将国库管理制度的各项规范性要求固化在系统的控制规则里。可以肯定,信息化应用水平的提高是对财政资金安全管理的一大进步。但是,所有资金安全问题也因此集中在信息系统上。在这种情况下,加强信息安全管理,保证信息的“真实性、可靠性、完整性”,已经成为保障财政资金安全的关键所在。

(三)加强信息安全管理是深化财政国库改革的需要

经过反复研究论证和广泛征求意见,“十二五”时期,财政国库改革与发展的基本思路和主要措施已基本确定,要强化和健全现代国库管理制度“四项功能”、建设和完善现代国库管理制度“五大体系”,对国库信息化建设也提出了更高的要求。“十二五”时期,要建设并完善财政现金管理、债务管理和政府采购管理系统,并与国库收付管理系统衔接,形成完整统一的财政国库管理一体化信息系统。与此同时,还要逐步建立预算执行数据中心,实现从生产系统中动态提取数据,并在此基础上同步开展国库信息资源开发、利用、共享工作。可以展望,以上工作目标的实现,必将使财政国库改革上升到一个崭新的高度。但我们必须清醒的认识到,国库改革越是深化,国库系统运行的环境越是开放、复杂,数据越是精细、庞大,信息安全管理的基础性保障作用越是明显。俗话说,“基础不牢,地动山摇”,因此,要确保财政国库改革目标顺利实现,加快建立完善的现代国库管理制度体系,就必须切实加强国库信息安全管理这项基础性工作。

国库改革前期,我也曾参与其中,那时,我就非常关注安全问题。国库部门通过信息系统每天要支付成千上万笔财政资金,与金融等行业相比,国库数据更综合、更全面,如果国库管理信息系统藏有“后门”,后果将不堪设想。而纵观我们的信息安全管理现状,既缺乏科学合理的制度约束,也缺乏权威专业的技术指导,很不乐观。我们现在正处于“安全”与“不安全”的边缘,大家一定要重视起来,切实加强国库信息安全管理,不断提高信息安全保障水平。

二、转变传统观念,深入理解财政国库信息安全管理有关问题

提到信息安全管理,可能大家的第一反应认为这是个技术问题,是技术部门的事。事实上,在众多威胁信息安全的因素中,管理缺失占了相当大的比重。近年来财政部门发生的多起重大信息安全事件,究其原因,主要是由于我们的干部安全意识淡薄、安全知识缺乏、未认真执行有关管理制度造成的。但总体来说,信息安全管理是一个比较专业的领域,需要向专业机构和相关专家学习。这也是我们为什么要请安全专家授课的主要原因。下面,我先结合我们的实际情况讲几点看法:

(一)正确认识管理与技术在安全管理中的关系

国库管理工作对信息系统和网络的依赖程度不断加深,系统与业务紧密结合、相互影响、相互促进。安全问题主要表现在两个方面:一是业务管理中人为因素造成的管理风险,如关键业务岗位没有落实“不兼容岗位分设”和“岗位牵制”等内控原则,或是没有严格执行有关管理规定,最近国库资金管理中暴露出的一些问题基本上都是这个因素造成的;二是由于网络安全设施不健全,计算机软、硬件产品本身技术漏洞造成的安全问题。因此,我们研究财政资金安全管理问题,要从管理和技术两个层面入手,而且还要把管理问题放在首位。安全专家经常讲“三分技术、七分管理”,如果管理措施不到位,技术手段再强、再严密也发挥不出实际作用。

(二)合理把握信息安全管理有关原则

信息安全管理,涉及技术手段、管理方法、业务要求、资源制约等诸多因素,只有正确处理好各种要素的关系,才能形成合力,具体说来,有以下几个原则要遵守:一是要遵循系统性原则,信息安全管理是一个庞大的系统工程,任何环节上的管理缺失都会对整个系统构成威胁,要综合考虑安全管理中各个层面、各个环节、各种手段的协调统一,避免出现受短板制约的“木桶效应”;二是要遵循动态性原则,“黑客”手段和防护技术总是在此消彼长中交替发展。因此,安全管理制度和安全防护措施不是一劳永逸的,要随着业务环境和技术条件的变化而不断进行调整;三是要遵循现实性原则,大家要清醒的认识到,没有绝对的安全,甚至有时“安全”和“效率”是一对矛盾主体。但也不能因噎废食,关键要在综合评估现实的安全防御需要和风险承受能力的基础上,采取有效措施确保核心机密不外泄、数据丢失可恢复、异常操作可追踪等安全管理目标,实现“效率”和“安全”双保障、双促进。

(三)正确认识电子化管理与安全的关系

近年来,各地财政部门对电子化管理的呼声很高,有些省市已在积极探索。在实施支付电子化管理的过程中,应该认识到电子化管理不是简单的技术变革,更是管理上的革命。传统管理方式下,资金支付要经过填单、初审、复核、盖章等环节,依靠各岗位间“接力棒”式的简单传递,没有从头到尾真正无缝关联起来,一旦某个环节存在控制不严、监管不力等问题,很容易被不法分子利用,从而威胁到财政资金安全。电子化管理,把原来这种相对独立的分散控制通过流程再造整合成一个完整的管理链条,从而实现了所有支付环节的关联和交叉验证,可以说,相比传统管理方式更安全、更便捷。但这里说的“更安全”是有前提的。要真正实现安全的电子化管理,首先要从重构业务管理流程入手,建立与支付电子化管理相适应的管理模式和制度体系,其次要采取一系列技术防范措施,管理与技术“两手抓,两手都要硬”,才能真正使支付安全管理再上一个台阶。我们在实施支付电子化管理的问题上,一定要认识到位、准备到位,谋定而后动。

三、采取有效措施,全面加强财政国库信息安全管理

加强财政国库信息安全管理,涉及法律制度、管理规范、技术标准等诸多方面,问题复杂、任务艰巨。根据中央的国库改革实践,结合我们掌握的各地信息化建设情况,初步确定了此项工作的基本思路:坚持积极防御、趋利避害的方针,按照管理与技术并重、安全与效率统一、近期与长期兼顾的原则,不断完善制度标准,逐步夯实管理基础,着力健全长效机制,进一步提高财政国库信息安全管理水平。根据上述思路,要重点抓好以下几个方面的工作:

(一)研究制定财政国库信息安全管理规范

制定财政国库信息安全管理规范的目的,是要将国家有关安全标准与国库管理实践紧密结合,为平稳推行各项国库管理制度改革提供安全保障。可以说,这是一项制度创新,将国库管理制度体系从政策层面延伸到操作层面。信息安全管理规范是一系列制度的集合,包括业务审核管理、人员授权管理、系统运行维护管理、财政与相关部门的数据接口规范等非常广泛的内容,应当分阶段、分步骤、分重点,逐步建立起一套较为完整的制度体系。各级财政国库部门要积极探索,群策群力,配合我们共同把这项工作做好。财政部做了一些前期研究工作,参照人民银行发布的《电子支付指引》和有关国家标准,我们草拟了《财政国库业务电子化管理暂行办法》, 明确了国库集中支付电子化管理业务应遵循的原则、业务准备及办理程序,并从管理和技术两个方面提出了加强安全控制的具体要求。希望大家多提宝贵意见,便于我们进一步修改完善。

(二)加快建设电子化管理安全支撑体系

为支持地方财政实行支付电子化管理,提高国库支付系统运行的安全性和稳定性,我们想尝试建设电子化管理安全支撑体系,即利用成熟安全技术和产品,组成基本的安全支撑控件,以解决电子印章、安全传输、信息留痕等一系列问题。同时,争取不与特定的支付系统和管理模式绑定,提高其通用性,满足不同单位需要,适应不同信息系统。应该说,安全支撑控件不同于以往建设和推广的软件系统,建设思路有创新、有突破,需要重点关注其可操作性。希望大家深入讨论,重点研究统一的安全性要求与各地业务管理的个性化特点如何协调,系统的通用性和有效性如何平衡等问题。做好这项工作的关键是要央地共建,地方财政国库部门要深度参与。近期,我们拟抽调部分地方财政国库部门同志组成业务需求研究小组,广泛征求地方同志意见,共同推进此项工作。

(三)尽快开展信息系统安全测评工作

按照国家关于信息安全等级保护的有关要求,开展信息系统安全测评工作,将有助于我们进一步提升信息安全管理的专业化、科学化水平。各级财政国库部门要积极推动这项工作任务。一是思想上要高度重视。各地很多已经建成的国库管理信息系统,在开发设计时并未充分考虑到相关安全管理措施配套实施问题,在长期运行使用过程中也未定期进行安全检测,“运行十年,从未体检”的现象比较普遍,其中的安全隐患不容小觑。信息安全无小事,各级财政国库部门要建立信息安全“一把手”负责制,将系统安全测评与加强内控管理、完善制度体系紧密结合起来,精心组织,认真落实。二是行动上要迅速有力。这项工作非常急迫,安全问题一天不解决,我们很多工作都无从开展,各地要迅速行动起来,与技术部门主动配合,争取早日完成对重要信息系统的安全测评和安全加固工作。三是落实上要细致周到。国库管理信息系统子系统众多,要从各个子系统的重要程度、关联关系、网络部署等各方面综合考虑,精心设计测评方案,一个系统一个系统的分析,一个节点一个节点的检测。对发现的安全问题,要及时整改;对提出的改进建议,要认真吸纳。

(四)建立健全信息安全管理长效机制

安全问题有很多,对地方各级财政国库部门来说,最为严峻的就是制度缺失问题,要赶快填补“空白”,尽快建立起覆盖采购、收支、账务等各个管理环节,贯穿信息系统开发、运行、维护等整个生命周期的长效机制,为加强管理提供重要基础和有力保障。地方各级财政国库部门要注重从以下几个方面开展工作:一是要注重动态性,强化定期安全检查。信息安全管理不是一成不变的,要根据新情况、新要求,对安全管理制度、防护措施等不断进行调整完善。要建立信息安全定期检查制度,并根据业务需要对重要信息系统适度增加检查的深度和频度,保证安全管理工作的有效性。二是要注重实时性,严格系统运行监控。信息安全威胁无处不在,而且一般情况下“看不见,摸不着”,我们一定要时刻绷紧安全这根弦,建立信息系统运行情况实时监控机制,发现异常情况,及时响应处理。三是要注重系统性,实施全程安全管理。信息安全管理的系统性,要求我们一个薄弱环节也不能放过,要引入专业安全顾问从信息系统产品选型、设计开发、测试评估和运行维护等方方面面进行安全方案设计和安全管理指导,建立起预防、控制、纠错、修正的闭环式管理链条。

财政工作千头万绪,但无论何时,我们都要高度重视安全问题,充分认识加强财政国库信息安全管理工作的长期性、艰巨性和复杂性,抓住“十二五”的重要机遇,以“咬定青山不放松”的精神,创新管理手段,完善管理制度,狠抓管理效果,全面提升财政国库信息安全管理水平。

 

附件下载:

 

  】 【打印此页】 【关闭窗口

版权所有:中华人民共和国财政部
地 址:北京市西城区三里河南三巷3号
网站管理:财政部办公厅
电子邮箱:webmaster@mof.gov.cn
技术支持:财政部信息网络中心
电话:010-68551114
京ICP备05002860号