审计信息化建设中信息安全保密工作研究
2021-09-20
来源:爱问旅游网
审计信息化建设中信息安全保密工作研究 马英彬,徐东华 (北京电子科技学院行政管理系,北京100070) 摘要:随着审计信息化的推进,审计信息安全保密工作所面临的形势也日趋严峻。审计信息安全保密的本质是信息安全技术 与保密管理制度两者的融合,并具有技术复杂化、管理科学化的特点,针对目前保密工作存在的问题,必须切实加强领导,树 立正确的信息安全保密观念,构建安全与建设并重的保密体系,打造管理与技术同步的保密机制,培养高素质的保密人才队伍, 切实做好审计信息化背景下的安全保密工作。 关键词:审计信息化;信息安全;保密工作 Research on Management of Information Security and COnfidentiality in the Process of Audit Informatization MA Ying—bin,XU Dong-hua e珏%f暑lf£ct∞晚Science and Technology Institute,Be/jing iooo2o,Okika) Abstract:With the development of audit informatization,the situation of managing the security and confidentiality is becoming inereasingIy grim. The core of the security of audit information is a combination between information security technology and security management system,which has characteristics like technical complexity and scientific management.Glancing at the current problems in security management,we must conscientiously strengthen leadership,establish the correct viewpoint on security and confidentiality,build up a confidentiality system which emphasizes on both establishing and security,create a managerial and technologicaI mechanism and cultivate high--quality security human resources in order to ensure the manag’ement of security and confidentiality in the context of audit informatization. Key words:Audit Informatization;Information Security;Confidentiality Management 信息化是当今世界经济和社会发展的大趋势,世界正 经历以信息化为重要标志的新的产业革命,国民经济信息 化和管理信息化已经是大势所趋,审计信息化已成为审计 这一问题, 中华人民共和国审计法》第六条规定:“审计 事业发展的必然。为适应信息时代的要求,审计署作出 了建设审计信息化工程的战略决策,于1999年开始编制 审计信息化发展规划,于2001年正式启动了“金审工程”。 在审计信息化建设的新时期,审计机关办公自动化日益普 及,网络远程审计范围逐步扩大,一线审计工作环境日趋 复杂,信息传播速度很快。一旦秘密信息泄漏并通过网络 廉洁奉公,保守秘密”;第十四条规定:“审计人员对其捆 在■ 执行职务中知悉的国家秘密和被审计单位的商业秘密,负 有保密的义务。” 审计信息安全保密工作是传统审计保密工作在审计信 息化建设中的深化与新的表现形式。“信息安全保密”是 指秘密信息在产生、传输、处理和存储过程中不被泄露或 破坏,确保信息的可用性、保密性、完整性和不可否认性, 并保证信息系统的可靠性和可控性 。因此,审计信息安 重点加强网络系统和应用系统的安全,采取有效的安全防 散布出去,将会给工作造成极大的被动,影响难以预计, 轻则会影响和制约审计机关自身信息化发展,重则会危及 国家的安全和利益。由于目前审计机关信息化建设过程中 普遍存在“重建设、轻安全”的现象,给审计信息化建设 损失很难挽回,一旦审计机关的信息系统遭受攻击而瘫痪, 全保密工作就是审计机关以审计信息的安全保密为核心, 护措施(技术手段与管理措施),保证审计信息的可用性、 保密性、完整性和不可否认性,确保系统安全、稳定、可 靠运行。其实质就是不仅要保证传统意义上的审计信息不 带来极大的风险和隐患,因此信息安全保密工作必须引起 我们的高度重视。 被窃取和泄露,还要保证审计系统及信息网络中的信息资 源免遭各种类型的破坏。 1审计信息安全保密工作的内涵与保护目标 1.1审计信息安全保密工作的内涵 审计部门是国家的经济监督部门,审计能洞悉一个国 家的政治、经济、军事、科技、文化情况,涉及方方面面 的商业秘密、工作秘密和国家秘密,审计信息具有很强的 政治敏感性与经济秘密性。因此,审计也需要保密工作, 审计保密是国家保密工作的一部分 。关于保守国家秘密 1.2审计信息安全保密工作的保护目标 审计信息安全保密工作的保护目标是在确保审计信息 系统和审计网络安全前提下,加强对秘密信息的管理。具 体包括两个方面: 一是审计信息系统与审计网络。审计信息系统 (Government Audit Information System,简称GAIS) 是审计机关利用计算机信息系统开展审计工作的平台。主 要包括审计管理系统、现场审计实施系统、联网审计实施 系统,以及全国审计机关网络中心、数据中心等。二是涉 密的审计信息。根据国家保密和国家电子政务安全规划的 要求,结合审计系统实际,审计信息可以简单地划分为三 技术含量很高,相应的保密方式与手段的高技术性特征越 来越明显,对于人员的技能要求也越来越高。 2。2.3保密管理的规范性提高 在信息安全保密工作领域有“三分技术、七分管理” 的说法,形象地说明了管理的重要性。为适应信息技术的 大类:一类是公共信息,即可以共享的,在审计机关门户 在审计专网上传输运行;还有一类是涉密信息,具有一定 的知晓范围和保密期限的要求,只能在审计内网等政务内 网站和公共网上传输的信息;第二类是审计工作内部信息, 迅猛发展和信息网络基础设施迅速完善的需要,信息安全 保密管理的规范性与科学性要求越来越高,如涉密计算机 上网和电子政务网络所需的统一密码和密钥管理体系、网 络信任体系和安全管理体系建设,必须基于对技术要求非 常了解、对技术流程非常清楚的基础上建立健全管理制度 网上传输。涉密的审计信息主要是指后两类审计信息,尤 其是涉及国家秘密的部分信息,这些信息才是信息安全保 密的重点。 2影响审计信息安全保密的因素与审计信息 安全保密工作的特点 2.1影响审计信息安全保密的因素 概括来说,技术与管理是影响审计信息安全保密的两 大因素。一方面,由于计算机在处理信息方面有着无可比 拟的优势,信息化形势下审计信息的处理、储存和传输形 式发生了深刻变化,涉密信息泄露的渠道和环节更加隐蔽 和多样化,计算机信息泄密和网络泄密事件越来越频繁, 计算机与网络已经成为泄密的重要渠道,我们一些国家要 害部门和重要涉密单位在涉密计算机与涉密信息系统的技 术防范存在着严重不足与缺陷。 另一方面,随着信息处理的电子化与传输的网络化, 一 这些部门和单位对于涉密信息及计算机、信息系统和网络 进行管理的规章制度不健全,执行不严格,在管理上存在 明显的隐患和漏洞,一些涉密人员由于保密意识薄弱或违 反规定造成泄密。如在审计现场或涉密场所未采取保密措 施、无保密保障造成泄密,或者由于定密不准、审批不严 将涉密信息公开造成泄密等。 2.2审计信息安全保密工作的特点 2.2.1保密工作的地位日益重要 在网络时代,信息传递速度很快,秘密一旦泄漏,通 过网络散布出去,很难挽回损失,将会给工作造成极大被 动,影响难以预计。因此,随着审计机关“人、法、技” 建设的加强,信息化程度的提高,审计机关的信息安全保 密工作日益重要,在推进信息化建设的同时,必须把信息 安全保密工作放在突出的位置予以重视和落实。 2.2.2保密方式与手段对技术的依赖性加强 信息化条件下的审计信息安全保密工作的对象和领域、 内容和范围、形式和手段、环境和条件都发生了深刻变化。 信息安全与保密工作难度越来越大,技术含量越来越高。 审计信息安全保密工作方式必须适应信息化的要求。网络 信息的保密性,防窃取、防篡改等涉及到计算机技术、网 络技术、通信技术、密码技术等等多学科,专业性非常强, 和规范,才能达到明确责任、严格操作、强化监管的管理 目标。必须把信息技术和管理科学有机结合起来,而决不 能不服从技术规律“乱弹琴、瞎指挥”。 3目前审计信息安全保密工作存在的问题及 成因 近年来,审计机关的信息化建设取得长足进步,但是 信息安全保密工作并没有受到应有的重视,实际工作中依 然存在很多不足。主要表现在: 3.1保密人员素质不高 很多审计机关及其工作人员还没有树立正确的安全保 密观,不能正确处理传统保密和信息安全保密的关系,出 现了一些模糊甚至错误的认识。一是保密观念落后,思想 仍停留在常规安全保密的旧观念上,认为保密仅仅是“守 好大门、锁紧柜子、封住嘴巴、管好文件”。二是保密意 识不强,对新技术条件下的保密工作所面临的严峻形势缺 乏足够的重视。三是保密思想僵化片面,部分审计机关领 导及工作人员错误地认为,信息安全保密不是中心工作, 有的同志把保密工作视为“软任务”、“橡皮筋”,“说起 来重要,忙起来不要”;还有的认为安全保密是领导的事, 是保密部门和专业人员的事,“事不关己,高高挂起”。四 是保密专业技能欠缺,保密法规和信息安全技术知识匮乏, 信息安全技术水平有限,掌握不够,应对信息化挑战能力 不足。 3.2保密投入不足 现在科学技术发展很快,窃密手段很先进,仅靠人工 手段和制度管理,不能完全发现泄密漏洞,不能保护国家 秘密安全,需要增加技术手段,才能发现泄密漏洞和做好 保密工作。然而目前很多审计机关由于认识不到位,认为 购置信息安全保密设备是一种浪费,是花钱买麻烦;或是 经费有限,对安全保密技术和设备的投入不足,很多设备 已经陈旧落后,现代化设备不齐全,难以对计算机网络的 安全保密进行有效的防护。 3.3保密制度建设滞后 一是法规制度建设永远落后于审计信息化发展的速度, 纳入规范化管理的领域狭窄、对象有限,很多方面表现为 “无法可依、制度缺失”。如针对网络管理行为存在欠缺, 很多网站或系统都疏于这方面的管理,没有制定严格的管 理制度。又如内部审计资料的密级应该如何界定,哪种类 型、哪种等级的内部审计资料是必须通过密邮发送,对于 4.3打造坚固的信息安全保密机制 切实加强科学管理,完善各种管理制度和措施。建立 信息安全保密网络,成立信息安全保密的领导机构,严格 按照 保密法 和((审计保密范围 等有关规定,及时调 整本单位的信息安全管理策略,完善信息安全管理系统. 制定和细化适合本单位业务特点、内部审计机构和内部审 不需要通过密邮发送的,又该采用何种审批程序和发送方 式等等,都缺乏明确的规定…。二是既有的一些规章制度 也过于原则或笼统,缺乏可操作性,如内网访问权限设置 随意,导致网络对内部人员完全开放的,无限制扩大了知 计工作具体要求的内部审计信息安全管理制度,从制度上 确保内部审计信息系统的安全性 。在制定具体安全保密 规定的同时,还要严格管理,加强监督,经常检查制度的 落实、执行情况,定期开展保密检查,有的放矢,解决问 密范围;三是制度执行不严格,管理不到位。如审计机关 普遍存在移动存储介质控管不严的现象,有些审计业务部 门单纯为提高工作效率,经常使用移动存储介质复制和保 存文件资料,其中也包括涉密材料,而这些涉密移动硬盘 和优盘并没有统一集中保管,一旦在连接互联网的计算机 上使用就极易留下泄密的隐患。 4做好审计信息安全保密工作的主要措施 4.1更新观念 加强领导 .各级审计机关需要采取强有力的措施,投入一定的人 力、物力和财力来学习和宣传审计信息安全保密工作,使 每位审计人员真正认识到“审计信息安全保密工作是信 息化建设的根本保障”,“保密工作只能加强,不能削弱”, 主动适应保密形势发展的需要。要树立起以信息安全保密 工作促进审计信息化建设的新观念,把信息安全保密作为 提高审计工作质量和效率的重要举措,切实增强做好审计 保密工作责任感和紧迫感 。 同时要采取有效措施切实加强对保密工作的领导。一 要强化组织机构,真正选择政治素质高、责任心强的领导 同志具体抓保密工作,把保密工作摆上重要议事日程,定 期召开保密工作会议,切实担负起领导本机关、本系统保 密工作的责任。二要明确职责,按照“对口管理,逐级负 责”的原则,业务工作管理到哪一级,保密工作也要管理 到哪一级,各职能部门负责人是保密工作的第一责任人。 三要发挥职能,加强督促检查力度,要定期了解和掌握审 计工作中的保密情况,及时研究解决保密工作中存在的问 题,重点检查保密工作领导责任制的落实情况,并将其作 为干部考核的重要内容。 4.2构建可靠的信息安全保密体系 目前,我们迫切需要根据国情,从审计机关安全体系 整体着手,把安全保密要求落实到最初的网络建设中去。 在信息系统建设的同时,统一规划、同步实施,构建一个 可信任、可管理的信息网络安全体系。以“事前控制、事 中监视、事后审计”为安全设计理念,包括身份认证、授 权管理、数据保密和监控审计等方面,从而将信息安全保 密工作贯穿于审计信息化建设、应用的全过程。上级审计 机关应着力加强和完善三级保密网络体系规划和制定,着 力构建比较完善的保密规章制度体系、宣传教育体系、监 督检查体系、技术防范体系,促进审计系统整体保密工作 的科学发展。 题。 有效利用先进技术,积极推广应用先进的保密技术和 产品。突出抓好涉密信息系统及设施保密管理,推进涉密 信息系统分级保护工作,提高涉密信息系统的整体防护能 力,不断增强对网络泄密的发现能力和应急处置能力,促 进保密技术检查和防护能力的提高。只有坚持管理与技术 并重,多管齐下,才能最大限度地实现信息的安全和保密。 4.4培养合格的信息安全保密队伍 加强保密宣传教育,强化涉密人员培训机制。可以通 过开展形式多样的保密宣传、培训、警示教育,宣传 保 密法 ,普及保密知识,使广大审计人员了解新形势,适 应新变化。对保密要害部门和人员进行重点教育和培训, 提高审计人员保密素质和技能,提升保密工作主动性。要 加强对保密人员的业务培训,要多创造条件,采取多种方 . 式,提高保密工作人员的知识水平,特别是计算机网络安■ 全保密知识水平,构建以计算机、信息技术为根基,保密一 专业知识为主干,相关知识为补充的知识结构,使保密工 作人员向复合型人才转化。进一步加强信息安全保密专业 人才队伍建设,培养一支既懂审计业务,又懂信息安全保 密技术,有事业心,责任感强的专业队伍,保障审计信息 化建设的顺利推进。 参考文献: [1】杨玉玲.浅析审计保密工作的特点及对策.广西审计, 2005年第6期. [2】孙厚钊.军队信息安全保密浅探.安徽电子信息职业技 术学院学报,2004第5期. [3]罗玲.加强审计信息安全管理.现代审计,2008年第1期. [4】李良军,罗建方.审计保密工作的难点与对策.现代审 计,2009年第2期. 作者简介:马英彬(1 974一),男,北京交通大学计算机学院 2009级博士生,北京电子科技学院讲师,主要研究方向为 信息安全政策、保密法;徐东华(1 972一),男,中国人民大 学公共管理学院2009级博士生,北京电子科技学院讲师, 主要研究方向为公共组织人力资源管理、信息安全管理。 收稿日期:201 0-05-04