当前，我国网络安全形势随着整个国际形势的变化显得更加严峻。一些发达国家在网络空间中的顶层设计、发展战略和相应部署措施，使我们看到了新的战略威胁。网络信息战已进入实质性威胁，其交战规则的确立已经改变了过去对网络空间、网络信息战的传统认识：即对军事目标的攻击不再是网络战要解决的问题，网络信息战把攻防目标定位在所要保护的国家重要基础设施，目的是通过网络攻击使社会所有的基础设施瘫痪。目前，国际上通常将关键基础设施定义为：那些一旦被破坏或摧毁，会对一个国家的公民健康、国家安全或经济安全以及政府的有效运转造成严重影响的物质和信息技术资产、网络、服务和设施。如今大部分的关键基础设施已由信息化来支撑运转，关键信息基础设施保护就成为我国当前信息安全领域重之又重的任务。

正在实行的信息安全等级保护制度是我国在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。等级保护制度针对我国信息系统安全管理特点，借鉴国际信息安全风险管理理论和方法，创造性地提出了实施我国关键信息基础设施安全保护的整个流程，如图1。信息安全等级保护制度的精髓在于根据信息、信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。按不同重要程度等级实施保护和监管是等级保护工作的核心。为了保证不同级别的系统通过安全保护具有不同的安全保护能力，《信息系统安全等级保护基本要求》给出了安全保护能力的定义。即：一级安全保护能力，应具有能够对抗来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短、系统局部范围等）以及其他相当危害程度威胁的能力，并在威胁发生后，能够恢复部分功能。二级安全保护能力，应具有能够对抗来自小型组织的（如自发的三两人组成的黑客组织）拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）以及其他相当危害程度（无意失误、设备故障等）威胁的能力，并在威胁发生后，能够在一段时间内恢复部分功能。三级安全保护能力，应具有能够对抗来自大型的、有组织的团体（如一个或多个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。四级安全保护能力，应具有能够对抗来自敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广（多地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的严重故障等）威胁的能力，并在威胁发生后，能够迅速恢复所有功能。上述安全保护能力从正面，即能够对抗的威胁、具有的恢复和响应能力描述了信息系统的安全保护能力。

国库集中收付制度是我国公共财政管理体制的基石，是我国关键基础设施的有机组成部分，直接关系到我国社会秩序运转和政府部门职能发挥。因此，财政集中支付电子化管理推进过程中的信息安全问题不容忽视，必须按照我国信息安全等级保护制度指明的方向，同步建设信息安全保障体系，确保安全、高效。这是应对当前严峻形势的需要，是保障财政资金安全的需要，是深化财政国库改革的需要。

推进财政国库集中支付电子化管理必须明确：国库集中支付电子化是国家重要的关键信息基础设施的组成部分，应在同一策略下保证财政国库支付体系的整体安全性，电子化相关等级保护工作应统一要求、分步、分地实施。根据《信息系统信息安全定级指南》，财政部统一要求省级财政相关系统定为三级，应至少达到第三级信息系统的安全防护要求；省级以下财政相关系统定为二级，应至少达到第二级信息系统的安全防护要求。

国库集中支付电子化管理的安全保障体系建设可以参照《信息安全等级保护建设整改工作指南》给出的流程，如图2。国库集中支付电子化安全管理体系建设具体做法，如图3。需要关注的重点：一是明确管理责任和落实责任部门。财政国库部门应负哪些责任、财政信息技术部门应负哪些责任，如何建立协同机制。依据责任设立岗位和建立人员管理制度，根据职责分工，明确每个岗位的职责与任务，落实安全管理责任制。建立安全教育和培训制度，对集中支付系统运行维护人员、管理人员、使用人员等定期进行培训和考核，提高相关人员的安全意识和操作水平。二是安全管理现状分析。通过开展安全管理现状分析，找出安全管理建设或整改需要解决的问题，明确安全管理建设整改的需求。三是制定安全管理制度。根据安全管理需求，确定安全管理目标和安全策略，制定有针对性的、可操作的人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等，形成安全管理体系。

国库集中支付电子化安全技术体系建设具体做法，如图4。需要关注的重点：一是在实施国库集中支付电子化管理前，一定要通过开展信息系统安全保护技术现状分析或评估，查找信息系统安全保护技术建设或整改需要解决的问题，明确信息安全保护技术体系建设整改的需求；二是安全技术体系设计和实现一定要涵盖物理安全、通信网络安全、区域边界安全、主机系统安全、应用系统安全和备份与恢复等方面；三是安全管理体系和安全技术体系建设或整改完成后一定要进行等级测评来检验其安全防护能力的有效性。

国库集中支付电子化管理试点工作就是按照上述思路，通过安全现状测评，找出安全防护的差距。经过建设整改，完善安全基础环境，既满足了国家等级保护管理要求，达到相应的安全防护能力，又能使支付电子化系统安全可靠运行。财

责任编辑 王静君