今年6月召开的全国财政信息化工作会议,强调要以统一核心要素为重心,以统建统管为手段,形成横向一体化、纵向集中化、全国系统化的财政信息化发展格局。这既是财政信息化建设模式的根本性转变,也对财政信息安全管理提出了新的更高要求。为了确保统建统管建设模式下的财政信息安全,会议特别将第三方电子审计纳入统一的安全体系,强调“要稳步推进审计系统建设,重要应用系统应尽快引入第三方电子审计,为流程跟踪、事件追查和责任认定提供有效支持”。这凸显了在统建统管建设模式下,第三方电子审计对于财政信息化的重大意义。
加强第三方电子审计正当其时
信息安全是信息化工作的核心与灵魂。财政作为国家治理的基础和重要支柱,每一项工作、每一个数据都承载着大量国家关键信息,一直是信息安全攻防对抗的重要部位,面临着严峻的安全形势。
近年来,各级财政部门通过加强基础安全设施和认证授权系统建设与应用,构筑了比较完善的安全防护措施。然而,这些安全措施更多地局限于防范外部攻击,对来自内部的人为安全隐患关注不足。
随着业务管理信息化全覆盖,财政信息安全的形式与特征也悄然发生变化,内部人员利用工作之便操控系统、篡改信息、窃取数据的安全风险越来越高。尤其是全国财政信息化统建统管后,业务集中开展、数据集中存储、系统集中部署、运维集中实施,如何有效管控业务操作人员和内外部运维技术人员,防范操作行为带来的安全风险,是统建统管模式下财政信息安全面临的最大考验。那种依靠装几个安全设备和软件就想永保安全的做法,已经无法满足现在的要求,必须在加强基础安全防护的同时,更加注重从“管人、管流程”的角度,加强第三方电子审计的建设与应用。
第三方审计原义是指具备资质的专业机构站在中立角度,对企业年报进行审查,提出公正、客观的企业运行情况报告,目的是防范企业运行风险,保障投资者资金安全。由此可见,第三方审计本质上是一种安全管理机制。经过不断发展完善,尤其是近几年信息技术被引入到这种机制后,应运而生的第三方电子审计的效用日益突出,越来越受到各个行业、各个单位的高度重视,日渐成为信息安全建设领域的首要内容。
第三方电子审计既不需要修改业务软件,也不需要在数据库、服务器中额外安装任何其他软件,因此不会对现有业务系统造成任何影响。
第三方电子审计助力安全风险防控
第三方电子审计立足于传统安全管理手段无法有效防范人为安全风险这一问题,以独立软件为主要手段,从旁观者的视角监控着所有与业务操作、数据管理和系统运维有关的行为,通过预警或阻断违规操作实现安全风险防控的目标。同时,通过全过程记录监控到的一切行为和由这些行为引起的一切变化,为安全事故的责任追究提供线索和证据。
首先,管控人的业务操作行为。第三方电子审计全程跟踪记录业务执行人的每一次操作,通过预设的分析模型和控制机制,自动发现并预警非常规操作,甚至中断业务,同步向管理者发送提醒信息,通过强制性再次审核确认,确保执行人的操作合规性。
其次,管控人的数据管理行为。一方面,第三方电子审计产品能够完全监控每一笔数据的变动情况和触发变动的原因,并同步发出预警信息,及时防范恶意篡改;另一方面,当被改动的数据回到业务过程时,自动进行上下岗比对、权限比对来维持核心数据的一致性、准确性,一旦发现异常会立即被识别并予以预警,避免风险发生。
最后,管理人的系统运维行为。第三方电子审计产品采用运维终端虚拟云技术,将运维所用的计算机虚拟化,实现运维者和被运维者的隔离,通过“隔空喊话”方式完成运维工作。此外,将所有的运维账号、权限、流程统一纳入审计系统管理,实现运维管理权和执行权的分离。