大数据背景下审计信息化保密机制探析——基于湖南衡阳审计的实践与思考

湖南省审计厅 sjt.hunan.gov.cn 时间:2018年04月23日 【字体:
  

习近平总书记在中央网络安全和信息化领导小组第一次会议上提出“没有网络安全就没有国家安全,没有信息化就没有现代化”。网络安全和信息化已经成为事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。近年来,衡阳市审计局在进行审计信息化建设和开展大数据审计的同时,对大数据背景下的审计信息化安全保密进行有益探索和实践。

审计信息化安全保密具体做法

一是抓好审计信息化保密制度完善和执行。近年来,衡阳市审计局出台或修订了计算机审计管理办法、信息化设备管理办法、审计大数据管理办法和信息化审计保密管理办法等多项制度,对审计信息化的应用范围和目标责任进行了明确的界定。在具体执行措施方面,成立信息化保密检查领导小组,组织技术人员例行进行保密检查,并对所有信息化设备张贴标示,禁止“一机两用”和“一盘两用”;对检查不合规的人员进行通报批评,造成数据泄密者还要追究责任,取消评先评优资格;通过以查促防、以查促管、以查促改,构建信息化安全保密检查的长效机制,确保信息化保密制度落实到位。

二是强化审计现场数据保密和安全管控。审计机关的业务工作有很大部分在被审计单位,也即审计现场完成审计现场的相对独立性,成为审计信息化保密工作的一个“弱点”、“盲区”。如果管理不到位,就会成为数据泄密的“定时炸弹”。衡阳市审计局将审计专用计算机张贴标识,禁止连接互联网,且只能外接审计业务专用存储;同时通过远程监控、抽查访问、随机巡查的方式,安排专人对各审计组现场进行抽检抽查,切实强化对审计现场的安全管控。

三是提升网络信息化建设和管理水平。为夯实基础、补齐短板,把好网络安全这扇“大门”,对局中心机房的硬件设备进行了全面检测和升级,配备了最新的杀毒软件、防火墙、入侵检测系统,并采取紧急关闭措施,防止数据泄密;对内外网实行彻底物理隔离,内外网采用不同的服务器、交换机、网络接口和安全设备,确保不串网、不混网,专网专用、专网专设;加大对连接互联网行为的实时监控,按照“上网不涉密,涉密不上网”的原则,对审计业务文件和局机关公文,全部在内网传输,禁止储存审计信息资料的计算机上网。

四是开展审计信息化保密培训和安全教育。保密工作“三分在技术,七分靠管理”,管理的关键在于人的管理。审计人员的保密意识、人员素质、能力经验直接影响着保密工作的成效。为树立保密工作无小事的观念,改变“事不关己,高高挂起”的错误思想,充分利用网络平台、宣传栏、讲座、讨论会等形式,积极开展保密教育,使审计干部充分认识到保密工作的重要性以及泄密的严重危害性,提高防范意识,养成良好的保密习惯。同时加大对技术防范手段和人才的引进,通过“人才兴审”战略,积极引进计算机、信息工程等方面人才,并鼓励干部职工进行继续教育和再培训,主动学习保密技术,提高保密实践能力,对表现突出的个人进行奖励。

审计信息化安全保密对策思考

强化顶层设计完善保密制度建设。保密工作是一项非常复杂、非常费力的工作,需要自上而下的推动,更需要精密科学的组织和顶层设计,将保密工作提高到战略定位,纳入统一管理和考核,才能形成系统完整、逻辑严密的网络安全体系。各级审计机关党组要加强对审计信息化保密工作的领导,将保密工作列为重点工作,层层传导压力、分解责任,落实到人、落实到岗,做到守土有责、守土负责、守土尽责形成浓厚的保密氛围和长效机制。

加大保密工作投入。一是加大经费投入。要将保密工作经费纳入年初财政预算,将保密工作纳入年度工作规划,确保保密工作的正常运转、保密设备的及时更新、保密技术的充分掌握。二是加大对优秀人才资源投入。建立一支高素质的审计信息化保密队伍,敞开怀抱吸收人才,不吝投入锻造人才,奖罚分明留住人才,形成人才和保密之间的良性循环。

构建保密安全体系。要将审计信息化建设和网络安全保密工作统筹推进、协调互动。对审计内网系统的访问实行实名验证;对接入审计网络系统的计算机绑定IP地址访问;对数据、涉密文件的访问、传输必须经过一定授权,遵守相关规则;对审计内网、外网实行物理隔离;实时监控网络行为,阻止网络攻击,确保系统稳定安全。(衡阳市审计局   )