晋中财政网络和信息安全建设情况

晋中市财政局围绕财政网络和信息安全建设，全力打造财政软硬件支撑平台，2017年至2019年三年期间，市局累计投入信息化建设资金3175.3万元，全部用于网络、系统维保及基础环境软硬件建设。

一、基本情况

（一）网络和信息安全管理。体系建设情况安全管理制度建设层面上，市局不断加快网络和系统安全制度建设步伐，多次组织召开专题会议，研究部署安全制度建设工作，先后出台了《互联网上网管理规定》、《电脑及办公网络使用管理办法》、《晋中市财政局计算机系统安全与磁介质保密管理规定》、《晋中市财政局信息系统管理风险内部控制办法》和《晋中市财政局信息中心内控操作规程》等多项制度规范，补齐了网安制度建设的短板。网络和信息安全领导机构层面上，市局领导高度重视网络和门户网站等信息系统安全防护工作，成立了专门的网络安全工作领导小组。领导小组下设办公室（简称“局信安办”）。领导组及其下属办公室工作职责明确，责任落实到位。（二）等级保护与风险评估。情况2016年以来，市局按照上级部门的要求和局领导的安排，围绕网安等保工作精准发力，结合业务调整现实情况，共计定级、备案4个三级系统（国库集中支付、非税收入、部门预算、大平台）和3个二级系统（OA及档案系统、内网网站），委托第三方安全测评公司累计测评3次，发现并整改问题241项，四年来共计投入等保经费78万元。今年上半年共计投入等保经费26.7万，分别对国库集中支付系统、大平台、部门预算三个系统组织了等保测评。（三）财政专网管理及信息。安全防护情况一是各网络分别架构于不同的路由器、交换机和布线通道，连接互联网PC还进行了MAC/IP捆绑，严格实行了不同网络间的物理隔离，业务网络终端不能上互联网，只能在业务专网环境下运行使用；二是强化杀毒软件部署。按省财政厅要求，2017年对内网全部PC机安装了趋势杀毒软件，共计部署完成122台内网PC端，淘汰了市局之前使用的瑞星杀毒。市局外网PC机安装了360和瑞星等杀毒软件。另外，通过应用管理引擎，限制工作用计算机对不良网站的访问。对移动存储设备及时杀毒；三是部署终端管理软件。在2011年市局就部署了莱恩塞克终端管理系统，2017年对连接城域网的200多家预算单位进行了扩容升级。通过管理平台既可以实时监测内网、城域网上的PC机非法外联情况，又可以通过平台对违规外联的终端及时断开与内网的连接，消除网络安全隐患；四是加强运维巡检。在日常运维过程中，通过登录日志审计系统、安全管理平台查看、分析日志，排查安全隐患。

二、主要存在问题

（一）网络安全意识不强，。管理制度落实不到位一是U盘等移动存储介质管理缺位，不按规定事先杀毒，在内网机上随意插拔滥用，增加了内网机感染病毒风险；二是个别县局单位网络、安全设备弱口令问题突出，长期不更新，设备密码泄露风险大；三是市局尤其是县级单位管理制度不完善、落实不到位问题突出，尚未形成完备的制度管理体系。（二）技术力量薄弱，应急能力不足。一是市县两级信息化管理人才短缺严重。全市现有信息中心工作人员20名，专职人员占比仅为1/3，其余全部为兼职；二是现有技术人员基础能力较差，人员配备参差不齐，难以满足财政信息化建设能力需要；三是县级财政信息化管理体制尚不完善，2/3的县局单位缺少专业的信息化管理机构；四是市局尤其是各县专业技术人员编制少、水平低，不少县级财政信息中心存在一人多岗的情况，缺少一支专业可靠的应急技术队伍。面临网络安全事件应急能力不足、经验缺乏、应急预案缺失，学习培训工作有待进一步加强。（三）网安建设经费不足，安全保障水平不高。信息化建设经费投入不足、安全建设经费占比低已成为制约县级财政网络安全建设的重要瓶颈，主要体现在以下几方面：一是各县等保工作普遍“缺位”。按照公安部门和省厅3号文件要求，各县应全面实施落实等保制度，保证等保工作落地实施。目前，全市仅市局和介休2家单位组织了等保测评，其余各县均未推广等保工作。二是网络边界防护能力不足。全市仅市局、介休、昔阳3家单位按省厅指导意见在横向城域网上部署了防火墙、入侵防御系统、防毒墙，其余单位城域网边界仅部署有防火墙，种类比较单一，不具备多层次安全防护能力。此外，仅市局、介休2家单位符合信息安全等保中设备冗余部署要求。

三、工作建议

（一）围绕信息安全等保工作持续发力。开展等保工作既是网络安全纵深发展的现实需求，更是落实国家等保制度的必由之路。针对各县等保工作普遍“缺位”问题，市局要加强对各县等保工作的牵引和指导，保证工作上下联动、压力层层传导，坚持以等保工作为抓手，不断梳理全市财政系统的安全现状和防护漏洞，保证工作有的放矢、落地见效，全方位提高财政网络、信息系统的安全保护水平。（二）努力保障建设经费，切实提高保障水平。在现行财政体制下，我市财政较为困难，信息化投资力不从心。但是，各县一定要提高网络安全思想认识，努力克服县级财力不足等客观困难，进一步加强财政网安经费落实力度，切实保障足额建设经费，市县共同编织好网络安全这张“网”。（三）着力打造专职网安运维力量。现今，全省财政网络安全形势严峻，一方面，市财政尤其是县级单位面临着技术力量薄弱、应急能力不足、依赖第三方运维公司的“短板”；另一方面，机构和人员编制问题一直以来是县级财政存在的“陈疴顽疾”。此外，从市局运维体系来看，内部缺少一支专业的安全运维力量为全市财政安全保驾护航。从长计议，可考虑以服务外包形式为局财政量身打造一支安全运维力量常驻服务，同时为各县提供安全建设规划指导；县局单位也要克服现实困难，全力做好人员统筹调配，配备至少一名网络安全专岗人员负责工作。（四）抓好培训关键点，提升队伍战斗力。在推进全市网络信息安全建设进程中，局财政应将培训作为一项长期性、基础性工作摆到突出位置，充分利用视频会议技术优势，不断优化培训形式，坚持“引进来、走出去”相结合，积极组织、把握机会，调用有限资源为各县争取培训机会，努力建设一直业务强、作风硬的信息化建设队伍。

作者:张进波 王俊杰 单位:晋中市财政局