数据安全是财政高质量发展的核心基石。财政系统作为承载纳税人隐私信息、企业核心经营数据及国家财政安全的关键领域，既是地方经济运行的 “神经中枢”，也是连接政府与市场、民生的重要数据枢纽。其信息系统中存储的预算编制数据关乎公共资源精准配置，资金拨付数据关联万亿级财政资金流转，政府采购数据涉及市场公平与公共利益，民生补贴数据直接对接千万群众的 “钱袋子”，这些海量敏感数据的安全与否，直接事关财政资金安全底线的筑牢、群众切身利益生命线的守护，更与国家财政安全基石的稳固息息相关。

财政厅积极探索双重使命下的平衡难题。近年来，该省级财政厅深入推进“六型”财政建设，强化财政资源和预算统筹，不断提升财政资金使用效益和政策效能。其中，预算管理一体化、财政运行统计监测等核心系统已实现财政部门与预算单位各级次、全流程业务贯通，省、市、县三级全覆盖，涉及千万级企业与群众的财政服务数据。随着《密码法》《数据安全法》《个人信息保护法》《预算法实施条例》及政务领域密码应用专项政策的深入实施，财政部门作为关键信息基础设施运营者，肩负着确保政策合规落地与保障业务安全运行的双重核心任务。一方面，需通过密码应用安全性评估，实现业务系统国密算法全面适配；另一方面，其业务具有 “异构平台复杂、新旧系统并存、数据高频交互、业务连续性强、多级协同紧密”等特点，传统加密改造常引发系统性能损耗、业务流程中断等风险，如何在 安全防护与 业务高效间构建动态平衡，已成为财政数字化转型的关键挑战。

由于历史信息化建设采用多元技术架构、多类型数据库及混合部署环境，某省财政厅重要网络与信息系统密改项目面临多重挑战：

一是业务连续性与安全加固的平衡性问题。作为支撑全省财政业务的核心枢纽，其预算管理、资金拨付等核心系统需保障每秒高频业务处理、万亿级资金流转的连续性，关联千万企业经营与群众民生服务。传统加密改造易引发系统性能损耗，甚至可能导致业务中断，而财政业务对“零故障容灾”与“毫秒级延迟”的刚性要求，使得安全加固与业务连续性的平衡成为首要难题。

二是异构系统环境下的统一防护壁垒。财政信息系统涵盖传统集中式平台、分布式政务云、国产化软硬件等多元架构，涉及预算、国库、采购等众多核心业务系统，数据库类型复杂，敏感字段分散。跨系统数据流转需适配多样协议，且不同系统的安全策略难统一，导致 “各自为战” 的防护瓶颈，难以实现全链路安全管控。

三是多级财政架构的协同防护挑战。基于 “省 - 市 - 县 - 乡” 四级财政管理架构，需支撑省市县乡财政数据的实时交互与业务协同，敏感数据在多级节点间高频流转，涵盖预算指标逐级下达、资金拨付跨级审核、民生补贴分级发放等核心场景。然而，上级制定的统一安全策略受限于下级系统异构环境、业务差异等因素，存在落地执行 “最后一公里” 梗阻；同时，各级财政节点的防护标准、技术选型与运维能力不均衡，易形成 “防护孤岛”，难以构建 “一盘棋” 的安全防护体系。

四是合规监管与实战防护的双重压力。除应对外部攻击、内部越权、第三方泄露等实战威胁，构建覆盖数据全生命周期的动态防护体系，财政部门还需满足密评、等保，以及政务行业数据安全等要求。

炼石围绕某省财政厅重要网络与信息系统业务应用，提供基于免改造的密码与数据安全保护建设，通过打造免改造技术引擎平台，将安全能力系统融入财政厅业务系统和应用服务内部。针对财政数据在不同处理环节的免改造控制面，施加防绕过动态保护，实现横向覆盖客户信息管理、账户管理、交易结算、风险管理等广泛应用，纵向叠加识别、加密、脱敏、访问控制、审计追溯等多阶安全能力，面向运维侧防范内部DBA、外包、黑客拖库攻击，面向用户侧防范业务人员越权访问及风险操作，并实现集中式管控、分布式保护、分阶段上线，增强财政厅安全保障能力。

创新免改造技术投送多重安全能力。方案基于切面安全的免改造技术，不改变已有云服务或物理部署架构，面向应用系统以配置方式部署，可对上百个应用服务节点中的数十个字段进行策略设置，实现敏感数据以密文形式存储于数据库或文件系统，完成字段级、文件级细粒度加密，保护结构化和非结构化数据安全。适应大多数应用架构，如Java、C、C++等主流开发语言，兼容主流的关系型和非关系型数据库，满足信息系统多、环境复杂的财政数据安全需求，这种模式对业务系统连续运行无影响，也不会因实施加密而带来业务风险，解决传统外挂式密码产品改造应用成本高、落地难等痛点。针对不同处理环节的免改造控制面，施加防绕过动态保护，实现横向覆盖广泛应用，纵向叠加数据识别、加密脱敏、检测响应、审计追溯多阶安全能力，易部署易扩展，实现安全与业务有机融合。

一站式密改方案支撑财政合规升级。面向财政密评合规要求，炼石推出“一站式密改敏捷交付方案”，实现应用系统免改造接入即可实现合规升级。密改方案包括国密VPN网关、密码认证网关、应用加密网关和服务器密码机等产品。其中，国密VPN网关产品主要解决网络和通信安全测评项；密码认证网关产品主要解决应用和数据安全测评项；应用加密网关产品主要解决应用和数据安全测评项、设备和计算安全测评项；服务器密码机主要提供基础加解密算力与密管能力，支撑重要网络与信息系统“三同步、一评估”建设。

高性能国密保障数据传输存储安全。方案支持SM系列商用密码算法，针对手机号、证件号、邮箱等字段实现保留格式加密，可灵活运用SM4的多种算法模式。凭借具有PCT国际专利保护的高性能国密技术，在单CPU上SM4加解密速度突破140Gbps，确保对用户使用体验无影响。同时，方案支持多并发、多线程数据加密，适用于单表数亿条级别的数据加密以及历史数据全量加密分批操作，实现系统影响最小化。基于高性能国密及信源加密技术，可将安全能力投送到收集、传输、存储、使用等真实的数据处理流程中，支持从应用侧将数据加密后以密文形式存储，以及数据从用户侧、应用服务到数据库之间以密文形式安全流转，安全性高、合规性好，保障重要数据存储和传输的机密性和完整性。

引入“集中式管控、分布式保护”体系。方案通过财政管理用户本级统一配置安全策略，在各分支多个应用节点分别部署数据加解密平台，实现敏感数据的分布式加解密和脱敏，支撑省市县乡财政部门多级联动协同。方案全面覆盖服务器、云端、桌面端、移动端、物联网端等多种场景，支持“两地三中心”高可靠性部署。此外，在元数据管理系统中，支持系统管理员、策略管理员和运维管理员之间的权力和责任分离机制，“三权分立”减少滥用权限或疏漏导致的潜在风险。

本项目将采用免改造技术，实现财政系统安全可控、高效兼容、成本集约的国密改造升级，一次部署即满足多重合规要求，全面适配财政厅复杂应用场景。项目将覆盖数十个应用系统、数百个节点及数十亿条数据，构建了事前、事中、事后全流程安全防控体系，显著提升网络、平台与数据的联动防御能力。通过对财政核心业务系统全面应用国密算法，建立了覆盖数据全生命周期的安全防护机制，有效防范内部越权、外部攻击及第三方泄露等风险。项目完全符合 GB/T 39786-2021 第三级密码应用标准，为财政数据安全和合规建设提供了强有力的支撑。

▌本文来源：炼石网络CipherGateway微信公众号（ID:CipherGateway)