近期召开的全国财政信息化工作会议提出了今后一个时期财政信息化工作总体思路，强调要以统一核心要素为重心，以统建统管为手段，形成横向一体化、纵向集中化、全国系统化的财政信息化发展格局。为了确保统建统管建设模式下的财政信息安全，会议指出“要稳步推进审计系统建设，重要应用系统应尽快引入第三方电子审计，为流程跟踪、事件追查和责任认定提供有效支持”，充分凸显了在统建统管建设模式下，第三方电子审计对于财政信息化的重大意义。

近些年来，各级财政部门通过加强信息基础安全设施和认证授权系统建设与应用，构筑起了比较完善的信息安全防护措施。然而，这些安全措施更多地局限于防范外部攻击，对来自内部的人为安全隐患还关注不足。随着业务管理的信息化全覆盖，财政信息安全的形式与特征也悄然发生了变化，内部人员利用工作之便操控系统、篡改信息、窃取数据的安全风险越来越高。尤其是全国财政信息化统建统管后，业务集中开展、数据集中存储、系统集中部署、运维集中实施，如何有效管控业务操作人员和内外部运维技术人员，防范操作行为带来的安全风险，是统建统管模式下财政信息安全面临的最大考验。第三方电子审计正是立足于此，以独立软件为主要手段，从旁观者的视角监控着所有与业务操作、数据管理和系统运维有关的行为，通过预警或阻断违规操作实现安全风险防控的目标。同时，通过全过程记录监控到的一切行为和由这些行为引起的一切变化，为安全事故的责任追究提供线索和证据。

首先，管控人的业务操作行为。在成熟的制度设计中，业务管理流程是确定的、规范的，通过信息化固化后，能够在很大程度上防范操作风险，却无法判断业务管理内容——数据的合法性，也无法防范违规操作的发生。第三方电子审计全程跟踪记录业务执行人的每一次操作，通过预设的分析模型和控制机制，自动发现并预警非常规操作，甚至中断业务，同步向管理者发送提醒信息，通过强制性再次审核确认，确保执行人的操作合规性。

其次，管控人的数据管理行为。数据是财政业务管理的核心，些许的变动都有可能造成很严重的后果。当前，财政数据管理控制还不是很严格，谁都可以“按需”去动数据，存在很大的安全隐患，数据安全管理日前已被财政部内控委列为高风险业务之一。第三方电子审计产品一方面能够完全监控每一笔数据的变动情况和触发变动的原因，并同步发出预警信息，及时防范恶意篡改；另一方面当被改动的数据回到业务过程时，自动进行上下岗比对、权限比对来维持核心数据的一致性、准确性，一旦发现异常会立即被识别并予以预警，提醒进行审核确认，避免风险发生。

再次，管理人的系统运维行为。统建统管信息化建设模式下，系统的运维保障工作更加突出。在财政部门现有人员配置条件下，运维工作将在很长时期内仍然以外部力量承担为主，势必带来财政信息安全的外部风险。第三方电子审计产品采用运维终端虚拟云技术，将运维所用的计算机虚拟化，实现了运维者和被运维者的隔离，通过“隔空喊话”方式完成运维工作。此外，将所有的运维账号、权限、流程统一纳入审计系统管理，实现运维管理权和执行权的分离，运维所用计算机只发挥键盘和显示作用，承担传递运维人员指令的功能，但这种指令的传达和被运维者按指令发生的变化也被全程记录。

第三方电子审计既不需要修改业务软件，也不需要在数据库、服务器中额外安装任何其他软件，因此不会对现有业务系统造成任何影响。同时，从管“物”转变为管“人”、从硬件防护转变为软件防控、从设备的同价购置转变为产品的低价复用，不仅顺应了五大发展理念要求，而且契合了习近平总书记提出的当今网络信息安全“整体、动态、开放、相对、共同”五大特征要求，既是解决信息化统建统管模式下信息安全的必要手段，也是未来信息化安全建设的必然趋势。

责任编辑 刘慧娴