摘要:
宁夏财政信息化建设起步于1996年,首先在宁夏财政厅机关建立了局域网,实现了厅内部的资源和信息共享。2000年,在财政部的大力支持下,宁夏的“金财工程”建设也进入了一个快速发展的新时期,投入资金帮助全部市县建立了局域网和全区广域网,对财政厅内部网络进行了改造,建成了数据、音频、视频“三网合一”的财政内部骨干网络,网络上实现了IP电话和视频会议系统,运行了财政预算管理信息系统、国库集中支付系统等。
随着宁夏“金财工程”建设的逐步深入,财政管理信息系统规模的不断扩大和完善,原有的面向单机、面向局域网以及相互独立数据不能共享的各个应用系统,将逐步转向面向广域网络、集中处理数据达到数据共享的新的运行模式。人们在感受“金财网”给工作带来方便和快捷的同时,也感受到了高新技术下的新风险:用户名和密码无端被修改、重要数据肆意被篡改、重要文件无故丢失、重要数据没有备份、病毒泛滥等等。这一方面是由于操作人员安全意识淡薄,防范措施不到位,另一方面也是由于长期以来重建设、轻防范,重使用、轻管理,使得宁夏的“金财网”存在很大的安全隐患。
一是防范措施不到位。如网络管理人员安全配置不当,重要的数据没有备份,用...
宁夏财政信息化建设起步于1996年,首先在宁夏财政厅机关建立了局域网,实现了厅内部的资源和信息共享。2000年,在财政部的大力支持下,宁夏的“金财工程”建设也进入了一个快速发展的新时期,投入资金帮助全部市县建立了局域网和全区广域网,对财政厅内部网络进行了改造,建成了数据、音频、视频“三网合一”的财政内部骨干网络,网络上实现了IP电话和视频会议系统,运行了财政预算管理信息系统、国库集中支付系统等。
随着宁夏“金财工程”建设的逐步深入,财政管理信息系统规模的不断扩大和完善,原有的面向单机、面向局域网以及相互独立数据不能共享的各个应用系统,将逐步转向面向广域网络、集中处理数据达到数据共享的新的运行模式。人们在感受“金财网”给工作带来方便和快捷的同时,也感受到了高新技术下的新风险:用户名和密码无端被修改、重要数据肆意被篡改、重要文件无故丢失、重要数据没有备份、病毒泛滥等等。这一方面是由于操作人员安全意识淡薄,防范措施不到位,另一方面也是由于长期以来重建设、轻防范,重使用、轻管理,使得宁夏的“金财网”存在很大的安全隐患。
一是防范措施不到位。如网络管理人员安全配置不当,重要的数据没有备份,用户不设口令或将自己的账号随意转借他人或与别人共享。由于缺少有效的安全保护措施,众多的外联单位相继接入“金财网”,许多核心软件都在网上运行,这些都使得“金财网”很容易成为非法入侵和恶意攻击的对象。二是计算机网络存储安全漏洞和“后门”。由于TCP/IP协议本身是一个开放式的协议,再加上各种操作系统、网络硬件设备、数据库等本身就留有“后门”,如各种操作系统的bug、所有现代关系型数据库如ORACLE8就可以通过1521端口被访问等,这些漏洞和缺陷都给网络安全带来了严重的威胁,一旦这些“后门”洞开,后果将不堪设想。
由于“金财工程”建设是基于网络建设,网络安全的保密性、完整性、可用性、可控性以及可审查性,都成为“金财网”系统安全必须考虑的重要问题。各级财政机关应高度重视信息系统安全工作,制定信息系统安全规划,严格执行《财政计算机信息系统安全管理规定》,确保计算机系统、网络、机房、安全产品、数据信息、因特网和软件应用等方面的安全运行。
1.建立集中数据处理平台。根据宁夏地域小的特点,依托财政系统计算机广域网,在宁夏只建一个财政数据处理中心,实现财政数据的大集中。按照系统安全性的要求和国库集中支付业务工作不能间断的需求,建立异地的数据备份中心和灾难恢复系统。
2.建立完整的内部网络安全体系。在不影响全区业务系统正常运行的情况下,对网络进行适当的调整,包括网络的总体设计、网络设备中路由的设置、VLAN的划分、服务器的补丁程序、取消不必要的服务、最小权限等方面都要进行充分的考虑,使整个网络遵从安全设计配置的原则。在此基础上,再考虑采取必要的网络安全设备进行保护,包括采用防火墙设备进行网络边界的安全保护,采用入侵检测系统发现攻击行为和异常的动作,保护内部网络,采用动态口令技术增强用户的身份认证等等。
3.建立安全的网络通信通道。在同外部通信方面,实现保护全区财政部门同一、二级预算单位以及银行的安全通信,保证传输的数据在中间不被窃听或被利用,必须采用高强度的加密传输技术对传递的信息进行加密,即使数据被他人窃取,也无法使用,以保护网络数据通信的安全。
4.防止非法用户接入。要实现对用户的拨入进行安全认证,保证只有经过许可的用户才能接入到财政业务网络中,并对这些用户传输的数据进行保密性防护。
5.建立网络的安全监测机制。从动态和静态两个方面建立网络的安全监测机制,确保整体安全系统的实时和稳定防护。
6.建立审计机制。包括对操作系统的安全审计、业务的安全审计等等。审计系统能够对“金财网”业务系统进行审计,对不合法的客户端与“金财网”业务服务器的通信进行审计;具有审计追溯功能,能够详细地反映出近一段时间发生的业务信息以供复审使用;能够根据规则的设置,当对某些网络信息审计时,根据审计的结果与网关设备进行联动,以达到对违规行为的过滤功能。安全审计系统能够通过分析获取一条完整的数据包会话特征,在会话结束后,会话的完整内容信息被传递到文件仓库保存,用户在双方认可情况下可以实现会话重现。应用审计系统能够对接入方式、数据结构和业务流程进行检测;能够进行智能的规则匹配和事务分析。审计节点采用交换机镜像或交换机串接方式接入被控网络,系统只接收通道信息,信息传输不经过Internet网络,不向被审计网络发送数据,对被控网络不产生通信负载。
7.因地制宜,做好规划。结合宁夏“金财工程”建设的实际情况,逐步完成对现有机房的改造,使其符合“金财工程”的安全设计要求;建立统一的网络和安全管理体系,完善管理流程;在各地市以上建立技术支持部门,配备高素质的网络管理人员,以确保网络的高效运行,并由安全集成商对安全管理人员进行培训;拓展目前的网络,延伸到所有区县横向单位,并完成纵向乡镇的网络连接。
8.建章立制,加强管理。根据宁夏财政的实际,确立整个系统的安全策略,并制定符合安全策略的安全管理制度,包括安全保密制度、审计制度、机房管理、操作规程管理、系统维护管理等等。