何中国
摘要:在信息技术迅速发展的过程中,计算机网络信息技术的应用也越来越广泛。地方财政工作涉及的方面较多,包含的信息量较多,计算机网络在地方财政工作的应用也十分广泛。然而,在地方财政计算机网络信息运行过程中,信息安全现状不容乐观,对地方财政工作造成很大的影响。本文首先对地方财政计算机网络信息安全现状进行分析,然后提出加强地方财政计算机网络安全信息的有效对策,供有关人员参考。
关键词:地方财政;计算机网络;信息安全;防范
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2015)05-0032-02
财政信息化迅速发展是我国信息化发展的缩影,也加速了地方财政信息化建设的进程,这就更显得计算机网络安全问题的重要性,同时计算机网络具有开放性、共享性、复杂性,加上网络信息系统本身具有极其脆弱的性质,人为因素、网络通信协议缺陷、系统漏洞等都会给地方财政计算机网路信息带来安全威胁。所以,加强计算机网络信息安全防范对地方财政信息化工作具有重要的意义。
1 地方财政计算机网络信息存在的安全问题
地方财政计算机网络信息安全的影响因素有很多,包括网络漏洞、操作失误等等,归纳来说主要是人为因素以及非人为因素。
1.1 地方财政计算机网络信息安全的人为威胁
根据对地方财政计算机网络调查分析可以看出,可以将地方财政计算机网络信息安全人为威胁主要包括以下几个方面:第一,财政内部人员造成的安全威胁。地方财政内部人员对于财政计算机网络信息系统都具有合法的访问权,而内部安全人员造成的安全威胁也包括非恶意性质的以及恶意性质的威胁。其中非恶意安全威胁主要指的是内部人员无意中给网络系统造成安全威胁,包括工作人员经验不足、操作失误、对员工的培训不足等等;恶意性质主要是一些内部人员带有目的的对计算机网络系统进行攻击,或恶意的更改地方财政计算机网络系统中的数据等;第二、随着国家对财政科学化精细化管理的要求,地方财政建设了一体化的“大平台”系统,庞大的信息系统通过政府购买外包服务的方式,有大量的外包人员驻场维护,他们了解财政的软、硬件,他的失误及恶意操作将会对网络系统造成灾难,并带来资金安全。第三,主动攻击。主动攻击主要指的是攻击者主动的对地方财政计算机网络信息系统进行攻击,包括引入恶意的代码、恶意避开安全保护、破坏系统的完整性。第四,临近攻击。所谓的临近攻击,主要指的是攻击者采用各种各样的手段,试图接近想要被攻击的网络系统,然后对系统进行破坏。同时临近攻击就是靠近地方财政计算机网络系统最容易受到攻击的地方,更加有利于破坏实施者的行为。目前,临近攻击主要包括窃取屏幕信息、收集系统生成的打印纸等等;第五,分发攻击。所谓的分发攻击,一般发生在硬件与软件开发、生产以及运行安装阶段中,攻击者利用各种手段对软硬件设计参数以及配置等行为进行恶意修改。地方财政是地方政务中关键的工作,其计算机网络系统选用的软件与硬件都必须具有合法性,严格通过政府采购从正规的硬件厂商进货,同时具有相关资质的集成商提供必要的外包服务。如若不然,在地方财政信息系统硬件与软件设备的采购过程中,包括在信息系统建设阶段,都会受到安全威胁。包括一些软件厂商对软件的参数进行修改、植入病毒等等。
1.2 地方财政计算机网络信息安全的非人为威胁
非人为的安全威胁大致分为两大类。一方面是来自于自然灾害,存在很大的不可预见性和不可抵抗性;另一方面主要是信息技术局限性的直接造成的威胁,此类还包括了电磁干扰、电磁辐射、运行环境等造成的威胁。自然灾害(火灾、地震、水灾等)对地方财政信息系统的破坏是毁灭性的。同时,不管是哪种技术都存在局限性,计算机网络技术也并不是完美的,也会存在缺陷与漏洞,及时技术当时与系统十分吻合,但是由于地方财政工作改革与发展、信息技术发展等,都会使原本的信息系统受到安全威胁,主要安全威胁体现在新技术对旧技术带来的漏洞攻击等。
2 加强地方财政计算机网络信息安全防范的对策
针对现阶段地方财政计算机网络信息安全现状,想要保证计算机网络信息技术在地方财政工作中的优势,必须加强地方财政计算机网络信息安全管理,做好安全防范工作,提高信息安全性,为地方财政工作打下坚实的基础。具体来说,做好地方财政计算机网络信息安全防范工作,需要从以下几个方面入手:
2.1 采用有效的技术措施
大部分地方财政计算机网络信息系统安全体系建设都是采用ISSE体系设计的,同时利用一定的安全防范策略开展动态的安全保护。这种财政系统的安全模式下,在访问其内部的网络信息,通过下一代防火墙,根据防护系统预设的规则,发出访问请求,只有与访问规则相吻合才能进行访问,否则访问请求就会被阻挡。对于符合防火墙设置规则的信息就会进入到内部网中,然后就会由入侵检测系统对这些信息进行侦测,这些检测软件运行并不会占用网络宽带,通过和防火墙的联动将具有攻击行为的信息阻塞,然后利用防火墙中的新规则,对后续攻击起到阻断。利用防毒墙对全网存在的病毒进行查杀,通过漏扫软件定期对整个网络系统进行扫描,并对发现的漏洞进行修补。财政信息部门的网关人员需要根据安全产品日志,对防火墙的规则进行及时的维护与调整,确保其能够对财政计算机网络信息系统起到良好的动态性安全防护。建立独立、客观的第三方运维审计监管系统,有效侦测、记录和警示任何针对业务数据和软件程序、硬件配置的修改。
另外,计算机网络信息安全技术如何设计方面并不是一个一劳永逸的做法,也不可能存在一劳永逸的做法,任何技术也都具有一定的生命周期,这就必须采用动态的安全防护技术,构建动态的计算机网络信息安全管理体系,对地方财政信息安全提供安全保障。
2.2 做好管理措施
做好地方财政计算机网络信息安全防范工作,单靠先进的科学技术是不行的,先进的科学技术弥补不了人为威胁对信息系统带来的危害。技术属于信息安全防范体系中的一分子,是信息安全防范的一种技术,也是一种辅助性的手段。如果没有对信息系统的使用人员进行专业的培训,也没有进行相应的指导,信息安全防护技术就是一纸空谈。信息系统的使用者,是最直接接触到网络系统的人员,也是网络系统安全中最不稳定的因素所在。根据不完全统计的结果显示,每年地方财政计算机网络信息安全事故,绝大多数事故原因都是由于使用人员操作失误或由于对系统不够了解造成的,而黑客等外部因素造成的安全事故仅仅占10%左右。因此,可以说明内部人为威胁是地方财政信息系统安全的主要威胁因素。
这就需要加强信息安全管理工作,将人为因素控制作为安全管理工作的核心,坚持以人为本的管理理念,为地方财政计算机网络信息系统提供最安全的防线。同时,加强安全管理,制定完善的安全管理措施,还能保证安全技术以及安全设备发挥其应有的作用,弥补程序性的安全措施存在的不足,降低地方财政信息泄露的几率,确保地方财政信息安全。同时,在信息安全系统安全防护工作中,地方财政部门需要建立与完善相关的安全规章制度,加强对内部人员的技术培训,让每一位内部人员都能够对信息系统有足够的认识,同时加强思想政治教育,提高每一位员工的责任心,使其能在操作中严格按照相关的安全操作规范进行,降低人为事故发生的几率。此外,必须加强信息安全管理,将地方财政信息分为涉密信息和非涉密信息,严格按照国家规定对涉密信息进行安全管理。同时对于相关的数据信息采用专业的加密技术,在整个数据传输与使用的过程中,都采用与机密程度相适应的安全防范措施,避免信息泄露,对地方财政工作造成影响。
配合第三方运维审计系统,建立信息系统运行维护操作制度,制定标准的系统安全运行流程。配备专职系统安全管理员,定期对业务办理、电子凭证管理、日志记录等进行检查,确保对相关系统操作人员、管理人员、开发商等有合理的授权控制,强化运维管理、规范运维人员操作流程、防控事故隐患,实现财政信息系统规范、高效、安全地运行。
2.3 完善计算机网络信息系统物理安全措施
物理安全管理主要包括对地方财务计算机网络系统计算环境设备、网络设施、支持性设备等安全的管理,属于系统安全管理中重要的组成部分。通过物理安全措施,能够有效地避免没有被授权的人员登录访问地方财政信息系统,避免恶意攻击者非法接近地方财政信息系统的相关设施,排除采用物理手段对地方财政信息造成的威胁,有效地避免地方财政信息数据设备,包括硬盘、优盘或一些应用软件被窃取,防治攻击者直接获得相关数据。
采用物理安全管理,需要采取以下几点措施:第一,合理的划分信息安全区。对于员工工作区域进行合理划分,划分为系统保护区域、系统测试区域、办公区域,同时对于每一个区域都限定出入的制度,对于信息机房应该采用门禁系统,只有出示相关的身份证明,才能出入计算机机房,同时还需要登记出入的原因以及进入的时间等;第二,增设机房设备管理人员,专门对机房中各种设备的安全负责,加强日常巡检。列出机房设备清单,并对每一台设备进行标注,并记录设备的配置与接线情况,及时地对设备运行状态进行检查;第三,增设涉密信息数据载体安全管理员岗位,对于光盘、优盘、电脑硬盘等数据载体进行专门的管理,负责对这些载体的清理、销毁以及保存。同时制定完善的保密制度以及责任制度,实行一对一的物理保护,切实提高地方财政信息安全。
3 总结
通过上述分析可知,地方财政信息安全十分重要,特别是应用计算机网络信息系统后,为了保证信息数据的安全性,不仅需要做好安全技术措施,同时加强对财政网络系统的管理,并通过物理安全控制,切实保护地方财政信息安全,提高地方财政信息的安全性。
参考文献:
[1] 黄伟波.计算机网络信息安全技术探讨[J].现代计算机,2012,25(8):124-125.
[2] 李欣.计算机网络信息安全及防护策略研究[J].中国科技投资,2014,25(2):99-100.
[3] 李伟.计算机网络信息安全的防范对策探讨[J].网络安全技术与应用,2015,32(12):65-66.
[4] 张晓燕.关于计算机网络信息安全及防护策略的探讨[J].电子技术与软件工程,2013,27(8):355-356.
[5] 李晓蕾.石油企业计算机网络信息安全及防范措施探讨[J].信息系统工程,2015,23(3):47-48.
[6] 跃增.计算机网络信息安全与防范工作研究[J].信息与电脑,2012,12(3):21-22.