翟刚：加强信息安全管理 为国库改革提供 支撑 ——在部分省市财政国库信息安全管 理工作座谈会上的讲话（节选） 2011年8月24日 在今年4月份召开的全国财政国库管理制度改革座谈会 上，部领导重点强调了财政资金安全管理工作。加强信息 安全管理则是在新时期、新形势下，保障财政资金安全 ，推动国库改革深化的一项基础性、战略性工作。 一、充分认识加强财政国库信息安全管理的重要性和 紧迫性 国库改革从一开始就与信息化密不可分，可以说，没 有信息化，国库改革就无从谈起。十年来，按照建立现代 国库管理制度的改革要求，各级财政国库部门大力推进国 库信息化建设，国库管理信息系统对国库改革的支撑和促 进作用不断增强，为完善现代财政国库管理体系提供了坚 实基础。然而，迅猛发展的信息技术在服务国库改革的同 时，也带来了信息安全风险，像一把“双刃剑”立在我们面前 。如果国库信息安全问题处理不好，将很可能诱发财政资 金运行风险，不但会损害财政国库部门的形象，还可能威 胁到国家的核心利益。加强国库信息安全管理，既是确保 国库管理制度改革各项政策目标有效落实的重要保障，也 是提高财政国库科学化、精细化管理的有力抓手，应当从 战略的高度来理解和认识这项工作。 （一）加强信息安全管理是应对当前信息安全形势的 需要 进入新世纪以来，信息技术发展迅速，国民经济和社 会信息化不断深化，信息安全面临新的挑战。网络空间中 的渗透与反渗透、控制与反控制、窃密与反窃密斗争日趋 激烈。近年来，境内外各种敌对势力想尽一切办法，利用 信息安全漏洞窃取我国经济、社会各领域的重要情报，其 手段之新、技术之高可能是我们无法想象的。我们要高度 重视经济和社会信息化发展的这些新情况、新形势，尤其 要将其与财政国库工作结合起来。财政收支数据，直接反 映我国的政策导向、经济态势和财政运行情况，成为境内 外各种敌对势力觊觎的热点对象。财政收支数据中，包含 大量关系国计民生的敏感信息，如果被不法分子利用，不 仅会造成经济损失，还有可能威胁社会稳定。而这些数据 大都集中于国库部门管理的系统中，我们责任重大，绝不 能掉以轻心。加强信息安全管理，已到了刻不容缓的地步 ，广大国库干部一定要认清形势，增强忧患意识，积极行 动起来，全面推进这项工作。 （二）加强信息安全管理是保障财政资金安全的需要 财政资金安全管理是财政国库部门的一条重要生命线 ，近年来，各级财政国库部门一直高度重视，狠抓落实 ，通过强化管理基础、创新制度机制，不断提高财政资金 安全管理工作水平。今年7月，国库司组织12个工作组，分 赴全国36个省（自治区、直辖市、计划单列市）对地方清 理整顿财政专户情况进行了重点抽查，工作力度之大在近 几年是比较罕见的，足见我们对财政资金安全管理工作的 重视程度。在检查中，我们看到，一些地方财政国库部门 正在通过信息化手段，建立“全资金覆盖、全流程控制、全 账户监管”的管理框架，即将所有性质的财政资金以及资金 管理的各个环节全部纳入信息系统中，将国库管理制度的 各项规范性要求固化在系统的控制规则里。可以肯定，信 息化应用水平的提高是对财政资金安全管理的一大进步。 但是，所有资金安全问题也因此集中在信息系统上。在这 种情况下，加强信息安全管理，保证信息的“真实性、可靠 性、完整性”，已经成为保障财政资金安全的关键所在。 （三）加强信息安全管理是深化财政国库改革的需要 经过反复研究论证和广泛征求意见，“十二五”时期，财 政国库改革与发展的基本思路和主要措施已基本确定，要 强化和健全现代国库管理制度“四项功能”、建设和完善现代 国库管理制度“五大体系”，对国库信息化建设也提出了更高 的要求。“十二五”时期，要建设并完善财政现金管理、债务 管理和政府采购管理系统，并与国库收付管理系统衔接 ，形成完整统一的财政国库管理一体化信息系统。与此同 时，还要逐步建立预算执行数据中心，实现从生产系统中 动态提取数据，并在此基础上同步开展国库信息资源开发 、利用、共享工作。可以展望，以上工作目标的实现，必 将使财政国库改革上升到一个崭新的高度。但我们必须清 醒的认识到，国库改革越是深化，国库系统运行的环境越 是开放、复杂，数据越是精细、庞大，信息安全管理的基 础性保障作用越是明显。俗话说，“基础不牢，地动山摇 ”，因此，要确保财政国库改革目标顺利实现，加快建立完 善的现代国库管理制度体系，就必须切实加强国库信息安 全管理这项基础性工作。 国库改革前期，我也曾参与其中，那时，我就非常关 注安全问题。国库部门通过信息系统每天要支付成千上万 笔财政资金，与金融等行业相比，国库数据更综合、更全 面，如果国库管理信息系统藏有“后门”，后果将不堪设想。 而纵观我们的信息安全管理现状，既缺乏科学合理的制度 约束，也缺乏权威专业的技术指导，很不乐观。我们现在 正处于“安全”与“不安全”的边缘，大家一定要重视起来，切 实加强国库信息安全管理，不断提高信息安全保障水平。 二、转变传统观念，深入理解财政国库信息安全管理 有关问题 提到信息安全管理，可能大家的第一反应认为这是个 技术问题，是技术部门的事。事实上，在众多威胁信息安 全的因素中，管理缺失占了相当大的比重。近年来财政部 门发生的多起重大信息安全事件，究其原因，主要是由于 我们的干部安全意识淡薄、安全知识缺乏、未认真执行有 关管理制度造成的。但总体来说，信息安全管理是一个比 较专业的领域，需要向专业机构和相关专家学习。这也是 我们为什么要请安全专家授课的主要原因。下面，我先结 合我们的实际情况讲几点看法： （一）正确认识管理与技术在安全管理中的关系 国库管理工作对信息系统和网络的依赖程度不断加深 ，系统与业务紧密结合、相互影响、相互促进。安全问题 主要表现在两个方面：一是业务管理中人为因素造成的管 理风险，如关键业务岗位没有落实“不兼容岗位分设”和“岗 位牵制”等内控原则，或是没有严格执行有关管理规定，最 近国库资金管理中暴露出的一些问题基本上都是这个因素 造成的；二是由于网络安全设施不健全，计算机软、硬件 产品本身技术漏洞造成的安全问题。因此，我们研究财政 资金安全管理问题，要从管理和技术两个层面入手，而且 还要把管理问题放在首位。安全专家经常讲“三分技术、七 分管理”，如果管理措施不到位，技术手段再强、再严密也 发挥不出实际作用。 （二）合理把握信息安全管理有关原则 信息安全管理，涉及技术手段、管理方法、业务要求 、资源制约等诸多因素，只有正确处理好各种要素的关系 ，才能形成合力，具体说来，有以下几个原则要遵守：一 是要遵循系统性原则，信息安全管理是一个庞大的系统工 程，任何环节上的管理缺失都会对整个系统构成威胁，要 综合考虑安全管理中各个层面、各个环节、各种手段的协 调统一，避免出现受短板制约的“木桶效应”；二是要遵循动 态性