赵永旺:加强信息系统安全建设 做好国库
支付电子化管理 ——在地方国库支付电子
化管理业务需求研讨会上的讲话(节选)
2011年3月23日
这次研讨会主要内容是围绕“十二五”期间财政国库信息
化工作面临的新形势和新任务,重点研究分析国库支付电
子化管理有关问题,明确思路、统一认识,做好国库改革
的技术支撑。
一、国库支付电子化管理的有关问题
据我们了解,一些地方财政部门已经推进了国库支付
电子化管理,主要是财库业务的电子化。很多地方则对这
个新生事物很感兴趣,或向我们询问情况,或提出工作建
议,希望能从中央层面在全国推进此事。根据财政部与人
民银行国库业务电子化管理的经验,和我们了解的地方情
况看,这项工作比较复杂、难度也比较大,其中要重点把
握好以下几个问题:
(一)正确认识管理与技术在安全问题中的关系。国
库管理工作对信息系统和网络的依赖程度不断加深,系统
与业务紧密结合、相互影响、相互促进,安全问题主要表
现在“两个两方面”。首先,信息安全有两方面含义:一是保
密问题,涉及国家安全,是“高压线”,坚决不能碰;二是数
据篡改、流失问题造成的业务影响,对国库来说“信息就是
钱”,也要高度重视。这两方面问题都很重要,解决起来也
有两方面工作:一是业务管理中人为因素造成的管理风险
,如关键业务岗位没有落实“不兼容岗位分设”和“岗位牵制
”等内控原则,最近国库资金管理中暴露出的一些问题基本
上都是这个因素造成的;二是由于计算机软、硬件产品本
身技术漏洞造成的安全问题。因此,我们研究财政资金安
全管理问题,要从管理和技术两个层面入手。安全专家经
常讲“三分技术、七分管理”,如果管理措施不到位,技术手
段再强、再严密也发挥不出实际作用,也会存在漏洞。
(二)正确认识电子化管理与安全的关系。财政部从
2009年开始进行国库支付业务电子化管理试点,目前已经
实现了与人民银行的完全无纸化和与代理银行的部分无纸
化(主要是授权支付额度)。在此过程中,我们最关心的
就是安全问题。经过深入论证后,我们认为,在传统管理
方式下,资金安全的控制集中反映在纸质拨款单及印鉴管
理上,实际上是一种单环节的管理。电子化管理,把原来
这种单个环节的管理扩展为依靠流程设置、规则校验及相
关电子安全产品共同作用的立体“防护网”,是一项非常复杂
的系统工程,不能简单地理解为取消纸单,就是提高效率
。电子化管理首先要考虑的就是建立安全支撑体系。实事
求是地讲,一些地方在这方面做得还不是很到位。
(三)推进电子化管理要坚持的几条原则。电子化管
理是国库业务观念更新、管理进步、技术提升的重要标志
,涉及法律、管理与技术多方面的问题,具体工作中要注
意坚持以下几条原则:一是法律能允许。要以《电子签名
法》为依据,和相关部门签订工作协议,规定双方的职责
义务、业务范围、安全机制等,做到有法可依,有据可查
。部里实施财库电子化试点工作,首先就是与人民银行签
订相关协议,目前执行效果还不错。二是安全有保证。要
加强内部制度建设,特别是要建立并完善电子支付指令发
送、确认、差错处理和应急处理等新的电子支付管理流程
。要充分利用先进信息技术,从技术上保证“进不来、拿不
走、看不到、改不了、赖不掉”。目前,我们还不敢说完全
做