◎文/祖新星

一、天津财政网络安全管理的现状

近年来，天津市财政局在加快信息化建设和信息系统应用的同时，高度重视网络安全工作，为财政信息化事业发展提供了有力的安全保障，信息系统整体安全防护能力得到了加强。

（一）网络安全管理取得的成果

1.加强组织领导。天津市财政局一直将网络安全作为一项重点工作常抓不懈，成立了由主要负责同志担任组长的网络安全和信息化工作领导小组，负责推进网络安全和信息化顶层设计，对网络安全和信息化工作进行规划和决策。领导小组办公室设在信息化处，负责网络安全和信息化日常工作的组织与协调。各基层单位全部成立本单位网络安全和信息化领导小组，明确网络安全领导组织机构，达到了安全组织机构设置规范、人员责任分工明确的要求。

2.完善制度建设。按照“安全第一、预防为主、综合治理”的方针，不断完善各项管理制度。天津市财政局先后制定并完善了应用系统网络安全审核办法、信息通报管理办法以及信息化服务工作规程等多项制度，并结合工作实际定期修订完善，使各项工作做到有章可循、有据可依，信息系统的整体安全防护能力得到加强。

3.开展定级备案。天津市财政局按照国家网络安全等级保护各项制度开展信息系统定级备案工作，每年组织开展等级保护测评工作，形成等级保护测评报告，制定整改加固计划，形成整改方案并组织落实，确保信息系统安全可靠运行。

4.加强内部办公网络安全隐患整治。通过桌面管理系统、上网行为管理系统实现终端网络安全准入和审计；组织对内网计算机开展全面安全检查，重点对防病毒软件安装情况进行核查，并对终端逐一进行维护，实现计算机终端防病毒软件安装率100%。

5.开展应急管理工作。按照中央网信办 《网络安全事件应急演练指南 （试行）》要求，天津市财政局对关键信息系统进行容灾系统建设，建立了数据备份恢复管理和专项应急响应处置工作机制。定期开展应急演练和备份数据恢复测试，检查应对突发事件所需应急队伍、物资、装备、技术等方面的准备情况，发现不足即时改进。通过应急演练，检验了业务主管部门和技术支持部门对应急预案的熟练程度，理顺了工作程序，有效提高应急处置能力。按照应急演练实战效果，不断完善应急机制，优化改进应急预案。

6.加强网络安全意识教育。通过印发信息安全简报，明确管理要求、通报安全状况，在交流经验、宣传常识、牢固意识等方面起到了积极的作用。多次举办 “网络安全”专题信息安全知识讲座，对各单位各部门安全管理员进行专业技能培训，加快信息技术队伍知识更新和完善人才储备。举办网络安全管理工作会议，及时传达网络安全面临的新形势、新状况，使全系统每名干部时刻绷紧网络安全这根弦。精心组织网络安全宣传周活动，各单位结合自身实际，通过展示宣传展板、播放宣传视频、在办公区张贴宣传画等多种形式，在全体干部中广泛开展宣传活动。

（二）网络安全管理存在的不足

1.网络安全风险防范意识还需进一步提升。一是网络安全管理制度体系覆盖尚不全面，部分薄弱环节仍需不断完善；二是应用系统安全审核流程下发后，执行过程中各部门对系统建设责任仍未提高重视，部分同志网络安全风险意识不足；三是各单位网络安全专业人才缺口大，人才储备需进一步加强，知识更新需不断跟进。

2.网络安全技术更新还需进一步加快。一是部分安全措施没有完全到位，纵深防御体系仍需进一步完善；二是安全事件及日志的追溯、分析不够全面，安全感知能力有待进一步提高。

二、影响财政网络安全的几个主要因素

通过落实国家和天津对网络安全的各项要求，天津市财政局在网络安全管理方面取得了一些成果，但是对于当前财政网络安全的发展，在主观和客观方面还存在一些制约因素，主要包括：

（一）自然灾害

自然灾害会导致通信网络中断或者数据中心瘫痪。通信线路相当于人的血管，承担着将数据从客户端向数据中心、从生产中心向存储中心、灾备中心传递的功能。自然灾害和市政管网施工都可能导致线路中断，使得财政资金收支业务受到影响。地震、火灾、安全事故、长时间断电等都可能导致设备停机、信息化系统停止服务。

（二）网络接入风险

由于财政业务的特性，财政系统必须与同级预算单位实现网络连通，网络接入的方式包括虚拟专用网、城域网、政务网络等。财政业务信息在这些网络中传输，如果安全防范不到位，会带来很大风险。财政信息系统可能遭到越权访问、恶意使用、蓄意攻击和计算机病毒的入侵。

（三）管理不健全

用户是财政业务的参与者，直接关系着财政资金的具体流向。尽管在资金管理制度、用户权限设计上，财政部门进行了针对性的设计，全力防范资金风险。但是现实情况中，部分单位存在一人多岗等情况，实质上绕开了管理制度，构成了严重的业务安全隐患。另一个突出的问题是密码管理疏忽大意，系统用户在取得账号后，不对初始密码进行修改，使得权限分配管理出现空转，无法发挥保障作用。此外，部分单位技术力量不足，在系统维护中过多依赖外部公司技术人员，对外部人员的管理力度不够，容易导致信息泄露等多项安全风险。

（四）病毒和非法攻击

公安部组织的全国信息网络安全状况暨计算机和移动终端病毒疫情调查活动结果显示，我国信息安全事件连续多年呈上升趋势，病毒和非法攻击造成的威胁日益严重。信息安全是一个看不见的战场，黑客入侵技术手段愈发层出不穷，勒索病毒、木马等侵入手段不断更新，网络安全事件时有发生，给包括财政系统在内的众多政务系统造成了严重的威胁和危害。

存储介质管理的混乱也给网络和信息安全带来了较大的威胁。由于用户安全意识薄弱，从互联网下载程序安装到内部办公网络终端，容易带入计算机病毒和木马等；内外网存储介质混用，将内部网络中工作敏感信息复制到U盘、移动硬盘，在互联网终端使用这些介质时，容易被恶意软件截获并盗取。

（五）技术落后

计算机网络技术起源于美国军方的实验项目，核心技术掌控在美国手中。“棱镜”事件暴露了美国意图通过对计算机软硬件技术上的领先，实现对全世界网络监控的野心。财政系统使用的小型机、存储等硬件设备，操作系统、数据库等软件大部分为国外研制开发，容易成为网络攻击的目标。随着我国计算机设备、软件系统的国产化水平不断提高，我国维护、保障网络和信息安全的能力将极大地增强，在信息时代的网络自主能力也将大大提高。

三、加强财政网络和信息安全管理的探索

针对当前财政网络安全管理现状，通过对影响财政网络安全的因素进行分析，我们对网络和信息安全管理的目标进行了明确，对下一步强化网络和信息安全提出几点改进措施。

（一）网络和信息安全管理的目标

实现对用户行为的规范，完善安全管理制度，将内部用户和临时用户行为限定在可控范围内，强化制度落实，网络安全观念深入人心；确保业务系统正常运转，有完善的网络安全应急机制和保障预案，在遇到突发网络安全事件时保障系统服务不中断、各预算单位正常资金运转；抵御非法入侵，严密监控网络可疑行为，做好病毒防范；保护数据安全，确保数据完整，能有效抵御各类数据丢失风险，在安全事件发生后能迅速恢复。

（二）强化财政网络和信息安全的措施

1.健全管理制度。加强网络安全管理制度建设，形成全面完善的网络安全管理制度体系，不断修订完善网络安全综合应急预案、完善外部人员安全管理制度。推进网络安全标准规范制定，为信息化建设提供安全制度保障。

2.细化责任流程。按照“横向到边、纵向到底”的原则，进一步细化责任流程，所有应用系统和数据信息的安全管理责任落实到每个部门、每个岗位和每个环节，实现安全管理全岗责、全流程和全覆盖。信息技术部门要做好应用系统的运维管理、安全防护等技术保障工作。

3.加强安全宣传。落实《网络安全法》，营造人人学法、人人懂法、人人守法的良好氛围。开展网络安全培训，广泛宣传网络安全规章制度和常识，普及网络安全知识，切实增强所有干部职工网络安全意识和基本安全防护技能。加强网络安全技术培训，充实人才储备。

4.强化信息安全措施的落地。强化系统漏洞补丁升级管理、账户权限及口令限定，对薄弱环节进行加固改造。增加安全设备及系统，提升安全防护标准。推进虚拟化安全建设，在重要业务区域设置网络回溯分析系统并制定相应的整改方案，设置安全态势感知系统。

5.全力提升信息安全纵深防御水平。整合网络与安全基础资源，进一步规范和优化安全区域和安全策略，完善信息系统内控审计机制，加强对核心资产的保护，升级信息安全管理平台，加强对安全事件的集中监控、预警和响应处置等。