2023年有关政府财政体系安全性研讨.docx
蜗牛文库
-高品质阅读,高比例分成-
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
2023
有关
政府
财政
体系
安全性
研讨
有关政府财政体系平安性研讨
gfmis是利用先进的信息技术.支持以预算编制、国库集中收付和宏观经济预测为核心应用的政府财政管理信息综合系统覆盖各级政府财政管理部门和财政资金使用部门全面支持部门预算管理、国库单一账户集中收付、宏观经济预测和办公自动化等方面的应用需求。
为了支撑部门预算管理和国库集中收付制度改革,按照建立我国公共财政系统框架的总体要求建设先进的政府财政管理信息系统有利于预算管理的标准化提高国库资金的使用效率提高政府财政管理决策的科学性增大财政管理的透明度有利于加强廉政建设。
gfmis的重要性使得其信息价值倍增,但它本身存在着管理和技术实现的脆弱性。因此gfmls容易受到攻击造成政府财政管理信息的泄露、篡改和删节造成政府财政管理信息需要使用时不可用等对我国的国家平安造成严重威胁。
系统概述
政府财政管理信息系统的网络结构一般都是分级分层次建设的。比方某省级政府财政管理信息系统的网络结构.它分为省、地市XX县区级三层并且省与地市级网络链接线路有备份。
系统资源分析
政府财政管理信息系统中的主要资源包括
1)物理资源
(1)计算机系统:系统硬件、群件、操作系统、软件、数据库
(2)通信系统:通信系统设备及部件、传输系统(有线、无线传输);
(3)网络系统:网络设备、网络互联设备、网络管理设备及软件、网络应用;
(4)环境设施。运行环境的建筑物、机房等。
2)信息资源
(1)数据和记录
(2)软件;
(3)其他任何形式的信息。
应用系统描述
政府财政管理信息系统(gfmis)的应用主要以数据交换和信息共享为主要业务内容网络信道采用丁c尸/lp协议集。应用系统根据具体业务平安需求,采取一定的平安技术手段进行平安设计以保护政府财政管理信息系统中各级财政信息防止外界侵入。
平安需求分析
平安需求包括用户提出的非专业以及从专业角度为系统进行的平安需求分析,在最后确定平安需求时将充分考虑用户要求。
为了更准确地确定系统的平安需求,将对系统遇到的攻击进行分析,它包括主动攻击、被动攻击、物理临近攻击、内部人员攻击以及软硬件装配和分发攻击。与此同时也要对系统的平安漏洞和平安管理进行分析。
风险分析
被动攻击威胁
1)网络和根底设施的被动攻击威胁。线路窃听局域网线路的窃听监视没被保护的通信线路破译弱保护的通信线路信息信息流量分析利用被动攻击为主动攻击创造条件以便对网络根底设施设备进行破坏;机房和处理信息的终端的电磁泄露。
2)区域边界/外部连接的被动攻击威胁。机房和处理信息终端的电磁泄露;截取末受保护的网络信息;流量分析攻击;远程接入连接。
3)计算环境的被动攻击威胁。机房和处理信息的终端的电磁泄露;获取鉴别信息和控制信息:获取明文或解密弱密文实施重放攻击。
4)支持性根底设施的被动攻击威胁。机房和处理信息终端的信息电磁泄露;获取鉴别信息和控制信息。主动攻击威胁
1)网络和根底设施的主动攻击威胁。一是可用带宽的损失攻击.如网络阻塞攻击、扩散攻击等。二是网络管理通讯混乱使网络根底设施失去控制的攻击。最严重的网络攻击是使网络根底设施运行控制失灵。三是网络管理通信的中断攻击.它是通过攻击网络底层设备控制信号来干扰网络传输的用户信息;引入病毒攻击引入恶意代码攻击。
2)区域边界连接的主动攻击威胁。试图阻断或攻破保护机制(内网或外网)偷窃或篡改信息利用‘’社会工程〞攻击欺骗合法用户伪装成合法用户对效劳器进行攻击lp地址欺骗攻击;拒绝效劳攻击;利用协议和根底设施的平安漏洞进行攻击;利用远程接入用户帐号对内网进行攻击;建立非授权的网络连接;监测远程用户链路、修改传输数据;解读末加密或弱加密的传输信息恶意代码和病毒攻击。
3)计算环境的主动攻击威胁。引入病毒攻击;引入恶意代码攻击;冒充超级用户或其他合法用户;拒绝效劳和数据的篡改;伪装成合法用户和效劳器进行攻击;利用配置漏洞进行攻击利用系统脆弱性(操作系统平安脆弱性、数据库平安脆弱性)实施攻击;利用效劳器的平安脆弱性进行攻击利用应用系统平安脆弱性进行攻击。
4)对根底设施的主动攻击威胁。对未加密或弱加密通信线路的搭线窃听:用获取包含错误信息的证书进行伪装攻击;拒绝效劳攻击攻击曰n获取对用户私钥的访问、在支持性根底设施的组件中引入恶意代码攻击、在密钥分发期间对密钥实施攻击、对尸kl私钥实施密码攻击、对密钥恢复后的密钥进行末授权访问、在用户认证期间使用户不能生成失效信息;利用备份信息进行攻击。
内音阵攻击
1)网络和根底设施的内部人员攻击威胁。网管中,合内部人员恶意攻击(他们有能力向网络提供错误的信息实现不容易觉察的攻击)远程操作人员的恶意攻击(他们是网络专家,可以和内部人员一样对网络实施攻击):内部人员误操作攻击。
2)区域边界连接的内部人员攻击威胁。远程内部操作人员的恶意攻击;内部人员的错误操作、恶意攻击。
3)支持性根底设施的内部人员攻击威胁。内部人员的错误操作;内部人员的恶意攻击。
4)软硬件装配和分发攻击。系统集成商、设备供应商、软件供应商为了维护或其他一些恶意目的留有后门。
自然灾害威胁。严重的自然灾害如水灾、火灾、地震、雷电等。
平安建设目标
网络和根底设施平安
采取物理措施将政府财政管理信息系统与因特网进行物理隔离。骨干网采用sv尸n技术保证网络传输信息的机密性、完整性。内部局域网传输应加密防止重要信息泄漏也防止外部的各种攻击。与网络供应商签订通信线路质量保证协议确保优先级、访问控制、传输质量等。因特网(包括对公众效劳网站)要与内部网进行物理隔离以防止内网信息的泄露和来自外网的攻击。加强网络管理中心的保护,运用技术和物理措施限制对网络管理中心的访问。网络管理中心必须对网络管理员进行认证。所有拨号入网的用户在进入网络之前须进行注册和强制身份认证,并且保护它们之间的平安通讯。
边界平安
采用sv尸n技术解决骨干网的边界保护。建立防火墙体系.设置合理的平安策略实现网络访问控制;建立系统远程访问平安系统以保卫系统边界访问的平安;建立网络级入侵检测系统防止入侵者的攻击:建立网络防病毒系统:建立系统漏洞扫描系统改进系统的配置和功能设置;通过vlan技术,逻辑上将内部网隔离成各主管领导网段,并采用相应的平安措施保证各网段之间的隔离以防止互相影响和内部恶意人员的跨网段攻击;拨号入网的用户在进入网络之前须进行注册和强制身份认证,并且保护它们之间的平安通讯。
计算环境平安
建立政府财政管理信息系统的用户终端、数据库、效劳器、应用程序保护机制防止拒绝效劳、数据未授权的泄露和数据的修改。操作系统在重要的应用场合要采用可信的b1级操作系统。对数据库访问要进行细粒度访问控制、关键数据用加密效劳器、确保物理平安、重要效劳器要用单独网段进行隔离、强制身份鉴别、备份、恢复应急措施、平安审计、审计失败的保护、关键数据库底层操作系统要到达日1级。保证每个部门预算的真实性和不可否认性在支付政府财政资金前必须具有政府财政管理部门审查批准的电子签名。政府财政资金的账户要得到很好的保护并要登记注册。每一笔收入和支出应具备自动可跟踪性尽量减少人工干预,建立基于主机的入侵检测体系和基于主机的病毒防范体系。同时要建立政府财政管理信息系统的平安审计体系。
预算与国库系统平安
保证记录每一次预算调整文档资料的真实性和责任’。生。保证预算的真实性、责任性和可追踪性。包括:初始预算、追加和追减调整的预算。采取平安技术措施保证预算编制过程科目的对应关系控制政府财政国库支付过程在没有验证预算科目的真实性前不得支付以保证与预算过程的一致性。建立可用款方案控制。保证已批准授权的各种预算单位上报的预算资金方案得到验证,政府财政国库支付单位才可审核、批复可用资金方案数同时审计记录在案以便到达可追踪性和负责性的目的。保证承诺、待付、支付控制。在申请进行政府采购时,将从预算授权书把申请金额自动减掉时应保证前后资金额的真实性即保证预算授权余额与待付承诺数额的真实性。施待验证采购合同有效性后把承诺金额转为待付金额到货验收后验证审核单据的合法性后才可支付,核对承诺数、待付数和支付数的一致性,保证政府采购全过程得到有效控制。采取平安技术措施保证授权的冻结、恢复和回收控制(有待于访问控制的细化)。保证建立国库支票的流转控制.系统签发的支票均以支票号码为依据进行跟踪核对要保证支票号码的完整性。建立与银行回单信息核对控制机制。
支持性根底设施平安
建立基于尸ki技术的ca身份认证系统,支撑整个财政系统的平安身份认证确认系统设备的安个性_
平安管理
平安管理在gfmis中起着非常重要的作用一方面可以保证平安产品真正发挥作用,另一方面适宜的程序性平安机制可以弥补平安产品的缺乏所谓“三分技术七分管理“。平安管理制度的实现需政府财政系统各级领导提供指导方向和人力物力支持来建立完备的平安管理体系。建立政府财政管理信息系统的平安管理体系结构,保护信息资产。设立政府财政管理信息系统的平安管理机构。平安管理应与系统管理分开.平安功能管理应与平安审计管理分开。系统应设立平安管理员平安管理员与平安审计管理员应分开,当对他们识别与鉴别时应使用基于身份的识别与鉴别机制。
物理平安
根据信息系统设备的平安等级不同执行以下国家标准:
(1)计算机场地通用标准(gb/t2887:2022);
(2)计算机场地平安要求(gb9361:1988);
(3)计算机机房用活动地板技术条件(gb665o一1986):
(4)电子计算机机房设计标准(cb50174一1993)
(5)计算机信息系统防雷保安器(ga173一98)。电磁兼容。低压电气及电子设备发出的谐波电流限值(设备每相输入电流(16a)(gb17625.1一1998)。电磁兼容限值是对额定电流不大于16a的设备在低压供电系统中产生的电压波动和闪烁的限制(gb176252一1999)。
电磁干扰
(1)信息技术设备的无线电骚扰极限值和测量方法(gb9254一1998);
(2)信息技术设备抗扰度限值和测量方法(gb17618一1998)。
建立系统物理访问管理制度。建立对系统的各种设施和设备的物理访备也是物理平安的一个重要措施。gfmls信息保障体系中最核心的是保卫预算编制业务、国库集中统一支付业务和宏观预算业务的信息‘要使得所有这些信息免受非授权泄漏、篡改、伪造和删节即保证这些信息的机密性、可用性、完整性、可控性和不可否认性。由信息系统的需要决定网络配置与网络结构,也决定了一切保卫都是围绕着保卫信息这一核心的工作重点。
gfmls信息保障体系中的关键因素是人。只有政府财政部门从最高领导层到全体工作人员提高平安意识,建立完整的平安管理组织明确平安目标、平安策略和平安职责每一个经手预算编制业务、国库集中统一支付业务和宏观经济预测业务的人员都对自己处理的信息负责,才能建立起完整配套的平安管理系统,才能从技术上提高平安管理人员和平安维护人员的技术水平,建立一个完善的政府财政信息平安保障体系。
输质量等。因特网(包括对公众效劳网站)要与内部网进行物理隔离以防止内网信息的泄露和来自外网的攻击。加强网络管理中心的保护,运用技术和物理措施限制对网络管理中心的访问。网络管理中心必须对网络管理员进行认证。所有拨号入
