導(dǎo)言：作為寫作愛好者，不可錯過為您精心挑選的10篇財務(wù)安全信息，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

二、財務(wù)信息安全存在的風(fēng)險

1、數(shù)據(jù)損壞風(fēng)險。數(shù)據(jù)安全風(fēng)險包括:物理損壞和惡意破壞。由于公司財務(wù)系統(tǒng)是基于網(wǎng)絡(luò)模式運行,所有重要數(shù)據(jù)都儲存在服務(wù)器中,一旦服務(wù)器出現(xiàn)問題不能正常運行,對于財務(wù)數(shù)據(jù)會帶來不可挽回的損失,而整個財務(wù)系統(tǒng)將會受到毀滅性打擊。另外,大量的數(shù)據(jù)通過網(wǎng)絡(luò)傳輸,也可能會造成財務(wù)信息的丟失、泄漏。

2、信息失真風(fēng)險。由于財務(wù)業(yè)務(wù)的特殊性,在沒有實施會計電算化時,可以通過會計人員的筆跡,以及簽章的確認(rèn)來判斷會計業(yè)務(wù)的真實性,但是實施了會計電算化后,有一部分的簽名和簽章用計算機處理了,無法判斷會計業(yè)務(wù)是由本人經(jīng)手還是他人處理。這樣就使得手工環(huán)境下的內(nèi)部控制機制受到了削弱。此外,操作人員的誤操作也是造成信息失真的重要原因之一。

3、非法入侵風(fēng)險。在網(wǎng)絡(luò)環(huán)境下,電子符號代替了會計數(shù)據(jù),磁介質(zhì)代替了紙介質(zhì),在這個環(huán)境中一切信息在理論上都是可以被訪問到的,除非它們在物理上斷開鏈接。因此,財務(wù)部門在實現(xiàn)網(wǎng)絡(luò)化管理的同時,很難避免非法侵?jǐn)_。一些人可能出于各種目的,有意或無意地?fù)p壞網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)(局域網(wǎng)、廣域網(wǎng))上對管理系統(tǒng)進行黑客程序的測試運行等活動,對系統(tǒng)造成極大破壞。黑客活動比病毒破壞更具目的性,幾乎覆蓋了所有的操作系統(tǒng),包括財務(wù)系統(tǒng)。

三、財務(wù)信息安全風(fēng)險的規(guī)避

1、要強化網(wǎng)絡(luò)安全防范的意識,使得每一個操作人員都有強烈的安全風(fēng)險意識。要針對用戶安全意識薄弱,對網(wǎng)絡(luò)安全重視不夠,安全措施不落實的現(xiàn)狀,開展多層次、多方位的信息網(wǎng)絡(luò)安全宣傳和培訓(xùn),真正提高用戶的網(wǎng)絡(luò)安全意識和防范能力。此外對于財務(wù)人員來說還應(yīng)該加強職業(yè)操守的教育,使財務(wù)人員牢固樹立保密的意識,杜絕由財務(wù)人員本身的原因,造成財務(wù)信息的泄漏。

2、優(yōu)化財務(wù)流程設(shè)計,強化財務(wù)審批流程。由于財務(wù)信息的特殊性,所以對外公示財務(wù)信息一定要統(tǒng)一口徑,對于財務(wù)業(yè)務(wù)流程應(yīng)突出審計環(huán)節(jié),對會計風(fēng)險的控制始終貫穿于會計核算的每個環(huán)節(jié)。長久以來人們已習(xí)慣于按固有本職工作內(nèi)容處理信息,在信息采集、信息共享方面未建立整體的管理規(guī)則,因此,需要企業(yè)業(yè)務(wù)從以職能劃分轉(zhuǎn)變?yōu)橐粤鞒虄?yōu)化重組,達(dá)到各部門信息共享、統(tǒng)一。

3、加強財務(wù)人員登錄管理。由于在財務(wù)系統(tǒng)中系統(tǒng)所認(rèn)的只有登錄名,所產(chǎn)生的憑證、報表、其他單據(jù)都是以登錄名為署名,一旦他人用財務(wù)人員的登錄名進入系統(tǒng)后,就取得了相應(yīng)的權(quán)限,這將帶來極大的隱患。所以財務(wù)人員要保管好自己的登錄密碼,盡量使用復(fù)雜的密碼。如果財務(wù)人員不能正常行使職能,應(yīng)該在軟件中使用權(quán)限委托的方式,而不是直接告訴自己的登錄名和密碼。這點對于行使審計職能的操作員來說更為重要。

4、從軟件的角度來說,對于憑證和報表也使用數(shù)字簽名的功能,電子簽章的功能,以避免他人使用財務(wù)人員的登錄名進入財務(wù)系統(tǒng),填制和篡改憑證和報表,從而給公司帶來損失。

目前實現(xiàn)數(shù)字簽名的方法主要有三種:一是用公開密鑰技術(shù);二是利用傳統(tǒng)密碼技術(shù);三是利用單向校驗和函數(shù)進行壓縮簽名。1991年,美國頒布了數(shù)字簽名標(biāo)準(zhǔn)DSS的安全性基礎(chǔ)是離散對數(shù)問題的困難性。數(shù)字簽名一方面可以證明這條信息確實是此發(fā)信者發(fā)出的,而且事后未經(jīng)過他人的改動,因為只有發(fā)信者才知道自己的私人鑰匙,另一方面也確保發(fā)信者對自己發(fā)出的信息負(fù)責(zé),信息一旦發(fā)出且署了名,他就無法再否認(rèn)這一事實。通過數(shù)字簽名技術(shù),有效的保障了信息真實性。

5、針對操作人員的誤操作,應(yīng)該加強財務(wù)人員的計算機水平的培訓(xùn)。杜絕由于操作失誤而帶來的會計信息失真的風(fēng)險。

6、建立完整的日志記錄制度,對所有的操作人員的所有操作都應(yīng)記錄在案。日志中至少應(yīng)該包括操作員登入系統(tǒng)的時間,操作內(nèi)容,以及下線的時間。如果特殊情況要修改已審核的記賬憑證,則盡量在軟件中保留修改的痕跡。

篇2

一、引言

隨著時代的發(fā)展，以及經(jīng)濟水平的不斷提高，人們逐漸意識到了財務(wù)外包的重要性。公司在實行財務(wù)外包后，在享受其優(yōu)越性的同時，也會面臨著一些風(fēng)險。公司在實行財務(wù)外包后可能面臨的風(fēng)險多種多樣，需要公司管理層深思熟慮。主要面臨的風(fēng)險有三種，第一種為最為常見的外包決策戰(zhàn)略失誤風(fēng)險；第二種為外包信息安全的風(fēng)險；第三種風(fēng)險為外包成本遠(yuǎn)遠(yuǎn)的超過了預(yù)期。因此財務(wù)外包策略在執(zhí)行的過程中需要考慮到財務(wù)外包信息安全的風(fēng)險以及對這些風(fēng)險因素進行針對性的甄別，從眾多影響因素中挑選出風(fēng)險因素最后再采取相應(yīng)的措施來控制這些風(fēng)險，以達(dá)到實行財務(wù)外包的公司在避免財務(wù)外包信息安全風(fēng)險的同時，享受到其獨特的優(yōu)點。

二、財務(wù)外包的信息安全風(fēng)險的相關(guān)內(nèi)涵

一般來講財務(wù)外包就是公司通過與承擔(dān)外包的公司也就是承包商簽訂詳細(xì)的合同或者協(xié)議，根據(jù)合同或者協(xié)議內(nèi)容將本公司全部或者一部分的財務(wù)工作委托給承包商，在承包商依法履約其應(yīng)有的義務(wù)后，支付其應(yīng)有的報酬。如今越來越多的公司意識到財務(wù)外包的重要性，甚至把其當(dāng)成有力的競爭手段。公司的管理層充分的意識到，如果不進行財務(wù)外包，那么公司很有可能在激烈的外部競爭中處于劣勢，以致予淘汰出局。財務(wù)外包在我國目前發(fā)展雖然有著廣闊的前景，但發(fā)展還是比較緩慢的，仍有較大的改進空間。許多公司對財務(wù)外包沒有完全放下顧慮，仍然對外包后存在的信息泄露風(fēng)險存有一定的顧慮。

財務(wù)外包的信息安全風(fēng)險也就是指，公司將財務(wù)進行外包后公司內(nèi)一些與公司核心業(yè)務(wù)有關(guān)的重要信息和數(shù)據(jù)被無意或者有意泄露以及盜用的風(fēng)險。眾所周知，一個公司的財務(wù)部門對財務(wù)部門的保密度比較高，并且在日常公司的運營過程中財務(wù)工作中會產(chǎn)生大量的內(nèi)部信息，在這些信息之中好多信息對公司來說都是商業(yè)機密，如果在財務(wù)外包后這些重要信息發(fā)生了泄露，那么這對企業(yè)造成的損失將是難以估量的，尤其是這些信息被公司的競爭對手的得到，后果就更加不可想象了。因此與財務(wù)有關(guān)的各項業(yè)務(wù)一般都會保密，除非強制性披露的要求，否則這些信息是不會向外部透漏的，哪怕是公司一般的管理層有時候也要加以保密。

三、財務(wù)外包的信息安全風(fēng)險的甄別

在實施財務(wù)外包決策的過程中，要結(jié)合公司自身的實際情況來甄別一些潛在的或者明面上存在的相關(guān)信息安全風(fēng)險，在充分分析這些風(fēng)險的來源、發(fā)生概率以及危害程度的基礎(chǔ)上，接著采取相應(yīng)的手段和方式加以有效的控制，因此在此過程中，安全風(fēng)險的甄別與控制對財務(wù)外包有著重要的影響，甚至在某種程度上可以決定著財務(wù)外包是否能夠成功。公司財務(wù)外包的信息安全風(fēng)險主要有以下幾個方面：

第一、信息泄露的風(fēng)險。信息泄露風(fēng)險是公司財務(wù)外包所面臨的發(fā)生概率最大的信息安全風(fēng)險。此風(fēng)險的發(fā)生雖然有諸多因素引起的，但最主要的因素就是客戶公司重要信息或者數(shù)據(jù)的保密程度不夠，或者承包商在采取保密過程中所采用的保密措施不夠完善。因此外包商對于客戶的資料是否依據(jù)實際情況建立了比較嚴(yán)格的保密制度，對于承包商內(nèi)部的員工是否明確了相關(guān)責(zé)任追究制度來避免信息泄露風(fēng)險的發(fā)生。這些因素都會對承包商內(nèi)部員工產(chǎn)生影響，進而會有承包商內(nèi)部員工將其所接觸到的客戶信息泄露的可能。

第二、信息被丟失的風(fēng)險。信息被丟失主要發(fā)生在信息傳遞以及信息處理時，有可能在外包過程中承包商的相關(guān)技術(shù)不夠完善或者不夠成熟，因此其相關(guān)技術(shù)在穩(wěn)定性以及安全性上仍有不足之處。承包商在面對信息丟失事故時所采取的補救措施是否得當(dāng)合理、采用補救和預(yù)防技術(shù)的時效性，這些因素處理的效率和效果都會在一定程度上對信息丟失產(chǎn)生重要的影響。

第三、信息被盜取的風(fēng)險。發(fā)生此風(fēng)險主要的原因在于外包商對于自己客戶的信息資料保護措施做得不夠好，相關(guān)保護制度不完善，以致于在保護制度或者措施上存在漏洞。因此公司進行財務(wù)外包時，承包商是否采取相應(yīng)的措施來對客戶的信息建立起有效的管理制度，以及承包商專業(yè)團隊成員的整體素質(zhì)情況等，這些因素實施的好壞，都會對企業(yè)信息被盜造成了重要的影響。另外，對信息進行承包的企業(yè)屬于服務(wù)性行業(yè)，這個行業(yè)的特點也決定了其內(nèi)部員工的流動性也比較大，因此在人才流動的過程中也在一定程度上加大了所承包企業(yè)在信息經(jīng)營過程中被盜的風(fēng)險，而且這個風(fēng)險不容易完全規(guī)避。

四、財務(wù)外包的信息安全風(fēng)險的控制

若想進行全面而有效的控制，因此要結(jié)合公司所處的環(huán)境以及自身的特點，從外包的全過程入手，在整體全局上建立合適的控制機制，從而從全過程以及全方位的減少和防范財務(wù)外包后所帶來的不確定的各種信息安全風(fēng)險，進而最大限度的為公司安全運營服務(wù)，公司在進行財務(wù)外包前要建立信息安全風(fēng)險的相關(guān)防范機制，可以從以下三個方面來入手：

一、引言

隨著時代的發(fā)展，以及經(jīng)濟水平的不斷提高，人們逐漸意識到了財務(wù)外包的重要性。公司在實行財務(wù)外包后，在享受其優(yōu)越性的同時，也會面臨著一些風(fēng)險。公司在實行財務(wù)外包后可能面臨的風(fēng)險多種多樣，需要公司管理層深思熟慮。主要面臨的風(fēng)險有三種，第一種為最為常見的外包決策戰(zhàn)略失誤風(fēng)險；第二種為外包信息安全的風(fēng)險；第三種風(fēng)險為外包成本遠(yuǎn)遠(yuǎn)的超過了預(yù)期。因此財務(wù)外包策略在執(zhí)行的過程中需要考慮到財務(wù)外包信息安全的風(fēng)險以及對這些風(fēng)險因素進行針對性的甄別，從眾多影響因素中挑選出風(fēng)險因素最后再采取相應(yīng)的措施來控制這些風(fēng)險，以達(dá)到實行財務(wù)外包的公司在避免財務(wù)外包信息安全風(fēng)險的同時，享受到其獨特的優(yōu)點。

二、財務(wù)外包的信息安全風(fēng)險的相關(guān)內(nèi)涵

一般來講財務(wù)外包就是公司通過與承擔(dān)外包的公司也就是承包商簽訂詳細(xì)的合同或者協(xié)議，根據(jù)合同或者協(xié)議內(nèi)容將本公司全部或者一部分的財務(wù)工作委托給承包商，在承包商依法履約其應(yīng)有的義務(wù)后，支付其應(yīng)有的報酬。如今越來越多的公司意識到財務(wù)外包的重要性，甚至把其當(dāng)成有力的競爭手段。公司的管理層充分的意識到，如果不進行財務(wù)外包，那么公司很有可能在激烈的外部競爭中處于劣勢，以致予淘汰出局。財務(wù)外包在我國目前發(fā)展雖然有著廣闊的前景，但發(fā)展還是比較緩慢的，仍有較大的改進空間。許多公司對財務(wù)外包沒有完全放下顧慮，仍然對外包后存在的信息泄露風(fēng)險存有一定的顧慮。

財務(wù)外包的信息安全風(fēng)險也就是指，公司將財務(wù)進行外包后公司內(nèi)一些與公司核心業(yè)務(wù)有關(guān)的重要信息和數(shù)據(jù)被無意或者有意泄露以及盜用的風(fēng)險。眾所周知，一個公司的財務(wù)部門對財務(wù)部門的保密度比較高，并且在日常公司的運營過程中財務(wù)工作中會產(chǎn)生大量的內(nèi)部信息，在這些信息之中好多信息對公司來說都是商業(yè)機密，如果在財務(wù)外包后這些重要信息發(fā)生了泄露，那么這對企業(yè)造成的損失將是難以估量的，尤其是這些信息被公司的競爭對手的得到，后果就更加不可想象了。因此與財務(wù)有關(guān)的各項業(yè)務(wù)一般都會保密，除非強制性披露的要求，否則這些信息是不會向外部透漏的，哪怕是公司一般的管理層有時候也要加以保密。

三、財務(wù)外包的信息安全風(fēng)險的甄別

在實施財務(wù)外包決策的過程中，要結(jié)合公司自身的實際情況來甄別一些潛在的或者明面上存在的相關(guān)信息安全風(fēng)險，在充分分析這些風(fēng)險的來源、發(fā)生概率以及危害程度的基礎(chǔ)上，接著采取相應(yīng)的手段和方式加以有效的控制，因此在此過程中，安全風(fēng)險的甄別與控制對財務(wù)外包有著重要的影響，甚至在某種程度上可以決定著財務(wù)外包是否能夠成功。公司財務(wù)外包的信息安全風(fēng)險主要有以下幾個方面：

第一、信息泄露的風(fēng)險。信息泄露風(fēng)險是公司財務(wù)外包所面臨的發(fā)生概率最大的信息安全風(fēng)險。此風(fēng)險的發(fā)生雖然有諸多因素引起的，但最主要的因素就是客戶公司重要信息或者數(shù)據(jù)的保密程度不夠，或者承包商在采取保密過程中所采用的保密措施不夠完善。因此外包商對于客戶的資料是否依據(jù)實際情況建立了比較嚴(yán)格的保密制度，對于承包商內(nèi)部的員工是否明確了相關(guān)責(zé)任追究制度來避免信息泄露風(fēng)險的發(fā)生。這些因素都會對承包商內(nèi)部員工產(chǎn)生影響，進而會有承包商內(nèi)部員工將其所接觸到的客戶信息泄露的可能。

第二、信息被丟失的風(fēng)險。信息被丟失主要發(fā)生在信息傳遞以及信息處理時，有可能在外包過程中承包商的相關(guān)技術(shù)不夠完善或者不虺墑歟因此其相關(guān)技術(shù)在穩(wěn)定性以及安全性上仍有不足之處。承包商在面對信息丟失事故時所采取的補救措施是否得當(dāng)合理、采用補救和預(yù)防技術(shù)的時效性，這些因素處理的效率和效果都會在一定程度上對信息丟失產(chǎn)生重要的影響。

第三、信息被盜取的風(fēng)險。發(fā)生此風(fēng)險主要的原因在于外包商對于自己客戶的信息資料保護措施做得不夠好，相關(guān)保護制度不完善，以致于在保護制度或者措施上存在漏洞。因此當(dāng)公司進行財務(wù)外包時，承包商是否采取相應(yīng)的措施來對客戶的信息建立起有效的管理制度，以及承包商專業(yè)團隊成員的整體素質(zhì)情況等，這些因素實施的好壞，都會對企業(yè)信息被盜造成了重要的影響。另外，對信息進行承包的企業(yè)屬于服務(wù)性行業(yè)，這個行業(yè)的特點也決定了其內(nèi)部員工的流動性也比較大，因此在人才流動的過程中也在一定程度上加大了所承包企業(yè)在信息經(jīng)營過程中被盜的風(fēng)險，而且這個風(fēng)險不容易完全規(guī)避。

四、財務(wù)外包的信息安全風(fēng)險的控制

若想進行全面而有效的控制，因此要結(jié)合公司所處的環(huán)境以及自身的特點，從外包的全過程入手，在整體全局上建立合適的控制機制，從而從全過程以及全方位的減少和防范財務(wù)外包后所帶來的不確定的各種信息安全風(fēng)險，進而最大限度的為公司安全運營服務(wù)，公司在進行財務(wù)外包前要建立信息安全風(fēng)險的相關(guān)防范機制，可以從以下三個方面來入手：

第一，慎重選擇承包商。唯有慎重選擇外包商，才能在有效的降低財務(wù)外包的風(fēng)險，這是第一步，同時這也是最關(guān)鍵的一步。在決定承包商之前，要詳細(xì)的了解承包商的信譽度，因為信譽是經(jīng)過常年累月積累起來的，因此一般情況下信譽良好的承包商，因為它們不但保密工作做得好，并且各項技術(shù)也比較齊全，這些都是保證公司財務(wù)外包信息安全的物質(zhì)基礎(chǔ)。并且要有幾個備選的外包商公司，來進行綜合的比較，擇優(yōu)錄取。另外公司還需要時刻關(guān)注外包商的相關(guān)工作是否有相關(guān)合法的知識產(chǎn)權(quán)保護制度，這可以在法律層面保護公司的財務(wù)外包信息安全。

第二，與外包商簽訂相關(guān)的安全信息合同或者協(xié)議。為了保證公司財務(wù)外包信息的安全，公司應(yīng)該與承包商簽訂詳細(xì)合理的信息安全協(xié)議，并且要合法的、詳細(xì)的列舉公司與承包商的權(quán)利和義務(wù)，嚴(yán)格控制承包商所擁有的權(quán)限，禁止其有越權(quán)的行為，并且在今后實施的過程中，要求承包商依法對信息安全做出承諾。在實施過程中若因為外包商的原因造成的信息泄露或者丟失進而對委托方造成經(jīng)濟損失的，那么在合同或者協(xié)議中要明確規(guī)定具體相關(guān)的補償辦法和措施來對委托方進行相應(yīng)的補償。由于財務(wù)外包還屬于新興的產(chǎn)業(yè)仍處于發(fā)展初期，因此目前仍無完善的法律法規(guī)對其進行規(guī)范和約束，這也是財務(wù)外包發(fā)展所面臨的障礙。目前我國的信譽體系仍比較脆弱，并不能完全滿足其快速發(fā)展的需求，因此唯有訂立嚴(yán)格周全的信息安全協(xié)議才能在法律層面為公司的信息安全提供最堅定的保障。

第三，合理選擇財務(wù)外包的內(nèi)容。公司在決定進行財務(wù)外包前，應(yīng)對財務(wù)業(yè)務(wù)鏈上的每個環(huán)節(jié)進行檢查，優(yōu)先將一些非核心的業(yè)務(wù)外包出去，隨著公司與外包商逐步建立起合作信任關(guān)系后，在考慮外包一些重要的、核心的業(yè)務(wù)。對于一些外包后信息安全存在較大風(fēng)險的業(yè)務(wù)，公司要慎重考慮，最好不進行外包。這樣公司選擇的余地更大，更能充分利用外包商的核心優(yōu)勢，并且還可以起到分散風(fēng)險的作用。

五、總結(jié)

本文在分析財務(wù)外包的信息安全風(fēng)險的內(nèi)涵的基礎(chǔ)上，給出了財務(wù)外包的有關(guān)定義。并結(jié)合其定義來對財務(wù)外包的信息安全風(fēng)險進行甄別：有信息泄露的風(fēng)險、信息被丟失的風(fēng)險以及信息被盜取的風(fēng)險。針對這些風(fēng)險采取了一些風(fēng)險控制的措施：有慎重選擇外包商、與外包商簽訂相關(guān)的安全信息合同或者協(xié)議以及合理選擇財務(wù)外包的內(nèi)容。通過這些措施可以有效地減少財務(wù)外包的信息安全風(fēng)險，并未財務(wù)外包的發(fā)展做出相應(yīng)的貢獻。

參考文獻：

[1]羅艷.財務(wù)外包風(fēng)險規(guī)避的探討[D].江西財經(jīng)大學(xué)，2010.

[2]柳金葉.企業(yè)財務(wù)外包風(fēng)險管理研究[D].東北石油大學(xué)，2011.

[3]雷振紅.高校信息安全服務(wù)外包風(fēng)險的管理與控制[D].昆明理工大學(xué)，2009.

篇3

【中圖分類號】TP311【文獻標(biāo)識碼】A【文章編號】1672-5158（2013）02-0057-02

一、單位網(wǎng)絡(luò)信息安全現(xiàn)狀

經(jīng)過多年的信息化建設(shè)，財務(wù)結(jié)算中心已建成千兆互聯(lián)到終端桌面，所使用的主要財務(wù)軟件如下：

（1）中原油田財務(wù)結(jié)算系統(tǒng)（安裝該系統(tǒng)僅為查詢歷史財務(wù)數(shù)據(jù)）。

（2）中國石化資金集中管理信息系統(tǒng)。

（3）中國石化會計集中管理信息系統(tǒng)。

（4）中原油田關(guān)聯(lián)交易系統(tǒng)。

在網(wǎng)絡(luò)應(yīng)用方面，與日常工作密切相關(guān)的財務(wù)應(yīng)用系統(tǒng)相繼投入使用，網(wǎng)絡(luò)信息安全系統(tǒng)的建設(shè)卻相對薄弱。

1、網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀

近幾年，隨著局域網(wǎng)規(guī)模的日益擴大，網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備日趨復(fù)雜，網(wǎng)絡(luò)病毒、黑客攻擊、網(wǎng)絡(luò)欺騙、IP盜用、非法接入等現(xiàn)象，給中心網(wǎng)絡(luò)的管理、維護帶來了前所未有的挑戰(zhàn)。中心網(wǎng)絡(luò)、員工微機經(jīng)常受到油田局域網(wǎng)以及來自大網(wǎng)非法連接的攻擊，IP地址沖突時有發(fā)生。ARP攻擊導(dǎo)致網(wǎng)絡(luò)中斷、甚至癱瘓；病毒、蠕蟲、木馬、惡意代碼等則可能通過網(wǎng)絡(luò)傳遞進來，造成操作系統(tǒng)崩潰、財務(wù)數(shù)據(jù)丟失、泄漏。而各類財務(wù)軟件的日常應(yīng)用，必然要進行各種外連和數(shù)據(jù)傳遞。如何進行安全地連接網(wǎng)絡(luò)、傳輸數(shù)據(jù)，日益成為中心亟待解決的問題。

2、網(wǎng)絡(luò)信息監(jiān)控狀況

對于互聯(lián)網(wǎng)出口的外發(fā)信息無法進行記錄和查詢，缺乏有效的信息審計和日志保存手段，從而不能有效貫徹和滿足油田以及國家關(guān)于企業(yè)網(wǎng)絡(luò)安全管理制度的落實。

來自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進行的，這些威脅事件多數(shù)是來自于油田局域網(wǎng)內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些網(wǎng)絡(luò)安全事件的審計要求，網(wǎng)絡(luò)安全審計通常要求專門細(xì)致的協(xié)議分析技術(shù)，完整的跟蹤能力和數(shù)據(jù)查詢過程回放等功能實現(xiàn)。

3、上網(wǎng)行為管理能力

中心網(wǎng)絡(luò)資源能否合理使用，帶寬是否會被非工作需要的網(wǎng)絡(luò)應(yīng)用占用，日常工作所需的網(wǎng)絡(luò)流量和穩(wěn)定性能否得到保障，當(dāng)網(wǎng)絡(luò)出現(xiàn)擁堵，或者異常流量、異常攻擊爆發(fā)時，是否能及時分析、排查流量使用情況并幾時進行有效控制，這些狀況主要表現(xiàn)為：網(wǎng)絡(luò)用戶非工作范疇（用于娛樂）的網(wǎng)絡(luò)應(yīng)用流量極大，如：各類多線程P2P軟件下載、大型網(wǎng)絡(luò)游戲、P2P類的音視頻、網(wǎng)絡(luò)電視等應(yīng)用。

二、中心網(wǎng)絡(luò)信息安全建設(shè)目標(biāo)

為了確保信息資產(chǎn)的價值不受侵犯，保證信息資產(chǎn)擁有者面臨最小的安全風(fēng)險和獲取最大的安全利益，使包含物理環(huán)境、網(wǎng)絡(luò)通訊、操作系統(tǒng)、應(yīng)用平臺和信息數(shù)據(jù)等各個層面在內(nèi)的整體網(wǎng)絡(luò)信息系統(tǒng)具有抵御各種安全威脅的能力，我們制訂了如下的安全目標(biāo)：

1、保密性

確保各類財務(wù)數(shù)據(jù)不會泄漏給任何未經(jīng)授權(quán)的個人和實體，或供其使用。

2、可用性

確保財務(wù)信息系統(tǒng)正常運轉(zhuǎn)，并保證合法用戶對財務(wù)信息的使用不會被不正當(dāng)?shù)鼐芙^。

3、完整性

防止財務(wù)信息被未經(jīng)授權(quán)的篡改，保證真實的信息從真實的信源無失真地到達(dá)真實的信宿。

4、真實性

應(yīng)能對通訊實體所宣稱身份的真實性進行準(zhǔn)確鑒別。

5、可控性

保證財務(wù)數(shù)據(jù)不被非法訪問及非授權(quán)訪問，并能夠控制使用資源的人或?qū)嶓w對資源的使用方式。

6、不可抵賴性

應(yīng)建立有效的責(zé)任機制，防止實體否認(rèn)其行為。

7、可審查性

應(yīng)能記錄一個實體的全部行為，為出現(xiàn)的網(wǎng)絡(luò)安全問題提供有效的調(diào)查依據(jù)和手段。

8、可管理性

應(yīng)提供統(tǒng)一有效的安全管理機制和管理規(guī)章制度，這是確保信息系統(tǒng)各項安全性能有效實現(xiàn)的根本保障，同時合理有效的安全管理可以在一定程度上彌補技術(shù)上無法實現(xiàn)的安全目標(biāo)。

三、中心網(wǎng)絡(luò)信息安全建設(shè)方案

通過上述對中心網(wǎng)絡(luò)的現(xiàn)狀及安全需求分析，并結(jié)合油田網(wǎng)絡(luò)安全與信息安全的具體要求，我們建議實施部署網(wǎng)絡(luò)出口防火墻系統(tǒng)、網(wǎng)絡(luò)日志審計系統(tǒng)、網(wǎng)絡(luò)訪問內(nèi)容和行為審計系統(tǒng)。

1、網(wǎng)絡(luò)出口防火墻系統(tǒng)

防火墻是基于網(wǎng)絡(luò)處理器技術(shù)（NP）的硬件高速狀態(tài)防火墻，不僅支持豐富的協(xié)議狀態(tài)檢測及地址轉(zhuǎn)換功能，而且具備強大的攻擊防范能力，提供靜態(tài)和動態(tài)黑名單過濾等特性，可提供豐富的統(tǒng)計分析功能和日志。能有效實現(xiàn)過濾垃圾殘包、攔截惡意代碼，保護網(wǎng)絡(luò)數(shù)據(jù)和資源的安全。

將防火墻透明接入到原有網(wǎng)絡(luò)中的出口處，采用應(yīng)用層透明的方式對用戶對外網(wǎng)的訪問進行應(yīng)用層解析控制。在防火墻上劃分兩個區(qū)域：外網(wǎng)區(qū)域、內(nèi)網(wǎng)區(qū)域，防火墻可以橋接入到原有的用戶網(wǎng)絡(luò)中，或者接到核心交換機上。保證所有的數(shù)據(jù)流經(jīng)過防火墻以便完成應(yīng)用層的過濾。

2、部署網(wǎng)絡(luò)訪問內(nèi)容和行為審計系統(tǒng)

安全審計系統(tǒng)是一個安全的網(wǎng)絡(luò)必須支持的功能特性，審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)所訪問的全部資源及訪問的過程，它是提高網(wǎng)絡(luò)安全的重要工具，對于確定是否有網(wǎng)絡(luò)攻擊的情況，確定問題和攻擊源很重要。而行為審計系統(tǒng)通過對網(wǎng)絡(luò)信息內(nèi)容的完全監(jiān)控和記錄，為網(wǎng)絡(luò)管理員或安全審計員提供對網(wǎng)絡(luò)信息泄密事件進行有效的監(jiān)控和取證；也可以完全掌握員工上網(wǎng)情況，比如是否在工作時間上網(wǎng)沖浪、網(wǎng)上聊天、是否訪問內(nèi)容不健康的網(wǎng)站、是否通過網(wǎng)絡(luò)泄漏了機密信息等等，對于不符合安全策略的網(wǎng)上行為進行記錄，并可對這些行為進行回放，進行跟蹤和審計。

3、部署網(wǎng)絡(luò)日志審計系統(tǒng)

日志審計系統(tǒng)為不同的網(wǎng)絡(luò)設(shè)備提供了統(tǒng)一的日志管理分析平臺，打破了企業(yè)中不同網(wǎng)絡(luò)設(shè)備之間存在的信息鴻溝。系統(tǒng)提供了強大監(jiān)控能力，實現(xiàn)了從網(wǎng)絡(luò)到設(shè)備直至應(yīng)用系統(tǒng)的監(jiān)控。在對日志信息的集中、關(guān)聯(lián)分析的基礎(chǔ)上，有效地實現(xiàn)了全網(wǎng)的安全預(yù)警、入侵行為的實時發(fā)現(xiàn)、入侵事件動態(tài)響應(yīng)，通過與其它安全設(shè)備的聯(lián)動來真正實現(xiàn)動態(tài)防御。

部署日志審計系統(tǒng)主要功能：1）海量的數(shù)據(jù)日志：系統(tǒng)全面支持安全設(shè)備 （如防火墻，IDS、AV）、網(wǎng)絡(luò)設(shè)備 （如Router、Switch）、應(yīng)用系統(tǒng) （如WEB、Mail、Ftp、Database）、操作系統(tǒng) （如Windows、Linux、Unix） 等多種產(chǎn)品及系統(tǒng)的日志數(shù)據(jù)的采集和分析。2）安全狀況的全面解析：幫助管理員對網(wǎng)絡(luò)事件進行深度的挖掘分析，從不同角度進行網(wǎng)絡(luò)事件的可視化分析。

四、結(jié)束語

篇4

關(guān)鍵詞：金融機構(gòu)；信息系統(tǒng)；軟件系統(tǒng)；網(wǎng)絡(luò)系統(tǒng)；安全性

隨著金融系統(tǒng)信息化改革的逐步推行，計算機與網(wǎng)絡(luò)系統(tǒng)已大規(guī)模的應(yīng)用在金融領(lǐng)域。但是應(yīng)該看到，信息系統(tǒng)為金融機構(gòu)帶來便捷與利益的同時，也帶來了前所未有的安全問題。在這種情況下，加強對金融機構(gòu)信息系統(tǒng)的監(jiān)管及風(fēng)險防范就變得十分重要。

財務(wù)公司作為非銀行業(yè)金融機構(gòu)，不僅每天都有大量的資金流動，還貯存著各種極其敏感的客戶資料，甚至涉及很多高度的商務(wù)機密，所以財務(wù)公司的內(nèi)部網(wǎng)絡(luò)安全問題非常重要，同時由于互聯(lián)網(wǎng)的飛速發(fā)展和黑客數(shù)量的不斷增長，這個問題也變得越來越急迫。

馬鋼財務(wù)公司網(wǎng)絡(luò)信息系統(tǒng)的結(jié)構(gòu)，根據(jù)可能出現(xiàn)的風(fēng)險，提出不同的的網(wǎng)絡(luò)安全需求。其中按不同功能的子系統(tǒng)的網(wǎng)絡(luò)劃分為資金系統(tǒng)網(wǎng)、賬務(wù)系統(tǒng)網(wǎng)、辦公自動化網(wǎng)絡(luò)和測試系統(tǒng)網(wǎng)中，以生產(chǎn)用資金系統(tǒng)網(wǎng)與賬務(wù)系統(tǒng)網(wǎng)作為最高級別的安全需求，采取比較高級別的安全策略。資金系統(tǒng)網(wǎng)、賬務(wù)系統(tǒng)網(wǎng)與其他網(wǎng)絡(luò)相隔離，其內(nèi)部也要實施高等級的安全策略；測試系統(tǒng)網(wǎng)雖然與生產(chǎn)網(wǎng)是相互隔離的，但測試系統(tǒng)網(wǎng)中存放著大量從資金系統(tǒng)與賬務(wù)系統(tǒng)中拷貝過來的生產(chǎn)信息。所以，測試系統(tǒng)網(wǎng)也應(yīng)采取中等級別的安全策略。

具體來說，財務(wù)公司的信息系統(tǒng)安全需求與針對需求采取有效措施主要有以下幾個方面：

1 合理的網(wǎng)絡(luò)結(jié)構(gòu)與安全措施

合理地規(guī)劃網(wǎng)絡(luò)邊界和功能，合理地設(shè)置網(wǎng)絡(luò)接口，對各功能子網(wǎng)特別是生產(chǎn)網(wǎng)進行詳細(xì)的VLAN劃分，以便于隔離問題，使結(jié)構(gòu)可管理，接口可控制。在網(wǎng)絡(luò)邊界處部署防火墻與入侵預(yù)防系統(tǒng)ips。見圖1-1馬鋼財務(wù)公司網(wǎng)絡(luò)實施方案。整個網(wǎng)絡(luò)組建在馬鋼集團網(wǎng)環(huán)境內(nèi)。物理通過2個防火墻組成一個相對獨立的網(wǎng)絡(luò)環(huán)境。并對不同的功能區(qū)域設(shè)置不同的Vlan，形成了不同功能區(qū)域之間的網(wǎng)絡(luò)隔離。

2 用戶身份鑒別

在資金系統(tǒng)與賬務(wù)系統(tǒng)中通過服務(wù)器電子證書（CFCA）與用戶名、密碼雙重認(rèn)證，對終端和用戶的合法性進行鑒別認(rèn)證，防范非法用戶假冒合法用戶進入系統(tǒng)。

3 數(shù)據(jù)通信加密

所有使用公共網(wǎng)絡(luò)的成員單位與馬鋼財務(wù)公司間通信必須使用虛擬專用網(wǎng)vpn，以防止數(shù)據(jù)泄密，同時防止遭受來自通信線路上的非法截獲、分析、篡改、重放等。財務(wù)公司與銀行間通信使用專線，徹底避免了數(shù)據(jù)泄密。

4 病毒防范

建立網(wǎng)絡(luò)病毒防范體系，采用先進的網(wǎng)絡(luò)防病毒技術(shù)，通過趨勢科技?xì)⒍拒浖θ到y(tǒng)實施網(wǎng)絡(luò)防范病毒策略，在全網(wǎng)絡(luò)范圍內(nèi)對病毒進行有效的預(yù)防、隔離，并在保證數(shù)據(jù)完整性的前提下清除病毒。對病毒庫與安全策略進行定期更新，保證殺毒軟件可以防范最新的病毒與惡意攻擊手段。

5 數(shù)據(jù)備份

當(dāng)系統(tǒng)出現(xiàn)不可逆的災(zāi)難性故障時數(shù)據(jù)備份就顯得極其重要。建立備份和恢復(fù)機制，對重要的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)和數(shù)據(jù)進行備份，在遭受攻擊時，能夠盡快地恢復(fù)網(wǎng)絡(luò)系統(tǒng)服務(wù)和數(shù)據(jù)環(huán)境，將損失降到最低程度。馬鋼財務(wù)公司采用了Symantec BackupExec和NetBackup產(chǎn)品系列作為信息系統(tǒng)數(shù)據(jù)集中備份解決方案。設(shè)備上使用了一臺IBM 3650M3作為備份服務(wù)器，負(fù)責(zé)整個備份系統(tǒng)的管理，包括備份策略的制訂、備份工作的調(diào)度、備份數(shù)據(jù)庫的保存、數(shù)據(jù)恢復(fù)等。備份服務(wù)器通過光纖連接磁帶庫，并通過備份軟件NBU進行磁帶庫中機械手和磁帶驅(qū)動器的控制。其他有備份需求的服務(wù)器上安裝備份軟件的客戶端軟件，根據(jù)備份策略中定義的備份時間，自動將數(shù)據(jù)通過網(wǎng)絡(luò)備份到磁盤和磁帶庫，無須人工干預(yù)。在需要時可以自己恢復(fù)或者通過備份服務(wù)器由管理員進行恢復(fù)。除了安裝備份軟件的客戶端軟件外，根據(jù)數(shù)據(jù)庫服務(wù)器需要安裝了備份軟件的數(shù)據(jù)庫（Oracle）軟件，可以實現(xiàn)在線數(shù)據(jù)庫備份。

為保障業(yè)務(wù)的持續(xù)性和信息系統(tǒng)數(shù)據(jù)安全，除了將數(shù)據(jù)備份存儲在本機介質(zhì)中外，還建立了一套異地數(shù)據(jù)備份機制將數(shù)據(jù)備份到異地容災(zāi)中心。

通過一系列的成熟的措施，馬鋼財務(wù)公司構(gòu)建一個相對安全的系統(tǒng)環(huán)境，最大限度的保證了資金與信息的安全。但隨著信息技術(shù)的發(fā)展，計算機病毒與網(wǎng)絡(luò)攻擊手段也在不斷變異更新。預(yù)防措施的更新都是在系統(tǒng)安全受到威脅而發(fā)生的，要想做到系統(tǒng)長期的穩(wěn)定，必須實時的關(guān)注系統(tǒng)防護的最新趨勢，不斷引入系統(tǒng)防護新措施，調(diào)整系統(tǒng)的安全策略。

參考文獻

篇5

1財務(wù)信息安全的重要性

在現(xiàn)代經(jīng)濟結(jié)構(gòu)中，企業(yè)是帶動經(jīng)濟發(fā)展的重要部分，網(wǎng)絡(luò)時代更是讓這一點更加明顯，它打破了企業(yè)傳統(tǒng)的管理模式和財務(wù)模式，實現(xiàn)了企業(yè)的信息化，在這樣的大環(huán)境下，財務(wù)信息化代替了傳統(tǒng)手工記賬，大大便利了財務(wù)信息的處理。財務(wù)信息化系統(tǒng)是在不改變財務(wù)本質(zhì)的基礎(chǔ)上，將計算機運用到會計領(lǐng)域，是一種按照現(xiàn)代企業(yè)管理的思想設(shè)計的基于計算機技術(shù)的現(xiàn)代企業(yè)財務(wù)信息系統(tǒng)。通過這樣的信息化系統(tǒng)能夠?qū)崿F(xiàn)財務(wù)數(shù)據(jù)的多元化管理，大大減輕了財務(wù)人員的工作量，運用計算機程序軟件，避免了手工記賬容易出現(xiàn)的數(shù)據(jù)運算錯誤，為財務(wù)信息使用者實施經(jīng)濟管理與決策提供及時、準(zhǔn)確、系統(tǒng)的信息。但財務(wù)信息化在提高工作效率的同時，由于處于網(wǎng)絡(luò)環(huán)境下，也增加了財務(wù)數(shù)據(jù)泄露的風(fēng)險。只有解決了能導(dǎo)致財務(wù)信息安全問題的因素，才能真正意義上地實現(xiàn)財務(wù)信息化的目的，促進企業(yè)又好又快的發(fā)展。近年來，企業(yè)由于信息泄露引起損失的事件層出不窮，這些都在警示我們信息安全的重要。一個企業(yè)經(jīng)濟的核心部分就是財務(wù)數(shù)據(jù)。通過財務(wù)信息可以反映企業(yè)的財務(wù)問題，企業(yè)的運營狀況以及未來的發(fā)展方向，特別在當(dāng)今經(jīng)濟全球化的環(huán)境下，隨著企業(yè)規(guī)模和涉及行業(yè)的擴大，財務(wù)信息更是起到越來越重要的作用，部門負(fù)責(zé)人可以清楚地獲悉自己所管理的部分的完整、全面、細(xì)致的記錄，財務(wù)人員將財務(wù)信息最后編制成資產(chǎn)負(fù)債表、利潤表、現(xiàn)金流量表等供企業(yè)管理者和其他使用人員查閱，管理者通過對財務(wù)信息評估及時發(fā)現(xiàn)管理上存在的問題，根據(jù)企業(yè)的資金運行，更好地策劃企業(yè)的經(jīng)濟業(yè)務(wù)活動，投資者通過財務(wù)信息獲取企業(yè)的財務(wù)狀況和經(jīng)營成果，以便進行合理投資決策。

2影響財務(wù)信息安全的因素分析

21互聯(lián)網(wǎng)安全風(fēng)險

首先，外面互聯(lián)網(wǎng)安全隱患。為了滿足在多個地區(qū)處理事情的需求，公司財務(wù)軟件大部分與外部網(wǎng)絡(luò)連接，運用非常先進的互聯(lián)網(wǎng)來達(dá)成對財務(wù)信息軟件的不同區(qū)域的低花費、高效率地查詢和利用。可是也隨之產(chǎn)生很多安全隱憂：①不具有權(quán)限的訪問：比如財務(wù)工作者運用的電腦安全級別太低，被黑客運用，冒充身份攻破公司財務(wù)信息軟件實施不當(dāng)操作或者謀取秘密材料。例如，從美國國防部網(wǎng)站被改頭換面到我國163網(wǎng)站的崩潰，從微軟公司的開發(fā)藍(lán)圖被竊取到美國總統(tǒng)克林頓的信用卡信息被盜，這些都可以看出黑客對于互聯(lián)網(wǎng)系統(tǒng)的危害。②信息安全性無法保證：財務(wù)工作者在利用外部互聯(lián)網(wǎng)登錄財務(wù)信息軟件時，信息在互聯(lián)網(wǎng)傳送過程中被違法分子截留，進而造成重要信息的泄露。例如，工作人員在對企業(yè)的信用卡賬號進行網(wǎng)上輸入時，信用卡信息則可能會被不法分子從網(wǎng)上將其攔截，了解了該信用卡信息之后，他便可以利用此號碼在網(wǎng)上進行各類支付以及違法交易。③惡意代碼：電腦病毒是造成互聯(lián)網(wǎng)數(shù)據(jù)存在安全隱患的關(guān)鍵要素，病毒利用客戶段計算機傳遞到公司局域網(wǎng)，可導(dǎo)致財務(wù)信息軟件的無法正常使用、信息丟失等諸多不良結(jié)果。

22企業(yè)運用的財務(wù)軟件存在的問題

企業(yè)財務(wù)軟件是財務(wù)信息化運作的基礎(chǔ)，不同的財務(wù)軟件有不同的操作方法，有些操作的功能相同，但操作過程卻有區(qū)別。一個設(shè)計合理、功能優(yōu)越的財務(wù)軟件可以從功能和內(nèi)容讓使用人員相互牽制、互相監(jiān)督，這樣有利于加強人員管理，起到最基礎(chǔ)的堵塞漏洞的作用。在應(yīng)用軟件的研制過程中，對容易出現(xiàn)問題的軟件功能、細(xì)節(jié)等地方，全靠研究人員的多方面思量，如果考慮不周就有可能使得實際工作中出現(xiàn)與預(yù)想不同的結(jié)果，進一步導(dǎo)致整個結(jié)果有差錯。如果有這種問題存在的話，在實際處理中，當(dāng)輸入原始資料，在軟件程序的控制下就會出現(xiàn)多個結(jié)果，這樣的問題直接影響到數(shù)據(jù)的真實、安全。在財務(wù)信息化深入企業(yè)之后，財務(wù)軟件成為了財務(wù)信息化的運行平臺，我國常用的財務(wù)軟件就是用友軟件和金蝶軟件。在這兩個軟件中也有不足之處。比如，用友軟件中，在填制采購及銷售訂單時，系統(tǒng)不要求輸入采購或銷售人員等相關(guān)經(jīng)手人員。這樣的問題對多數(shù)要求按業(yè)務(wù)員進行訂單匯總的企業(yè)來說，不輸入采購或銷售人員信息，不便于匯總管理，而且如果日后出現(xiàn)問題，也對落實責(zé)任非常不利。而在金蝶軟件中，相比用友軟件的能夠增加、刪除、修改等功能，金蝶K3中只有查詢權(quán)和管理權(quán)，對用戶的職能設(shè)置不夠完美，安全性不高。

23企業(yè)內(nèi)部控制存在失效的可能性

在企業(yè)中，財務(wù)的目標(biāo)、技術(shù)手段、財務(wù)的職能、功能范圍以及系統(tǒng)層次等都會由于財務(wù)信息系統(tǒng)的特征而發(fā)生較大的改變，企業(yè)的內(nèi)部控制也在逐漸的與財務(wù)信息系統(tǒng)的變化相適應(yīng)，但是，其適應(yīng)的過程是一個不斷完善的過程，目前的企業(yè)內(nèi)部控制并不健全，內(nèi)部控制存在失效的可能性。例如，企業(yè)財務(wù)人員在對數(shù)字字段進行錄入的過程中由于疏忽大意輸錯了字段，利用鍵盤輸入時按錯了鍵盤，對數(shù)據(jù)進行了顛倒，使用無序的代碼或者是從錯誤的憑單上轉(zhuǎn)錄數(shù)據(jù)等，這些問題實質(zhì)的發(fā)生了卻無人察覺，從而使得財務(wù)信息系統(tǒng)的數(shù)據(jù)出現(xiàn)失真的問題。

3預(yù)防及解決財務(wù)信息安全問題的方法

31完善企業(yè)財務(wù)軟件的開發(fā)，做好系統(tǒng)維護工作

財務(wù)軟件是財務(wù)人員實際工作中自己操作的，也是財務(wù)信息錄入后處理的重要部分，軟件的好壞、是否適合本企業(yè)的財務(wù)操作，功能是否完善都會影響到財務(wù)信息的安全。因此，完善企業(yè)財務(wù)軟件的開發(fā)要在日常做好軟件的升級、更新、系統(tǒng)維護等，配備功能完善的財務(wù)電算化軟件，請專門的軟件研發(fā)人員定期對系統(tǒng)進行檢查，以確保財務(wù)軟件處于正常、良好的運行狀態(tài)。

32提高安全管理意識和能力

不斷加強對財務(wù)信息系統(tǒng)控制管理人員的安全管理教育，提高財務(wù)信息系統(tǒng)操作過程中的安全意識。向工作人員介紹現(xiàn)代網(wǎng)絡(luò)環(huán)境對財務(wù)信息網(wǎng)絡(luò)造成的重要安全威脅，加深系統(tǒng)操作管理人員對加強安全管理的認(rèn)識，提高工作人員對系統(tǒng)內(nèi)部控制的風(fēng)險防范意識。注意培養(yǎng)財會人員和管理人員的綜合業(yè)務(wù)素質(zhì)，聘請專業(yè)財會管理人員對企業(yè)財務(wù)部門的工作人員進行指導(dǎo)培訓(xùn)，加強計算機信息網(wǎng)絡(luò)知識的教育，提高工作人員計算機網(wǎng)絡(luò)技術(shù)理論水平和操作實踐水平，保證財務(wù)信息系統(tǒng)操作管理人員能夠熟練掌握計算機網(wǎng)絡(luò)信息技術(shù)，不斷適應(yīng)廣闊多變的外部網(wǎng)絡(luò)環(huán)境。另外，相關(guān)財務(wù)從業(yè)人員在進行財務(wù)信息系統(tǒng)相關(guān)活動中存在道德風(fēng)險，開放的網(wǎng)絡(luò)需要更為嚴(yán)格、嚴(yán)謹(jǐn)?shù)陌踩煞ㄒ?guī)，因此網(wǎng)絡(luò)財務(wù)信息系統(tǒng)需要有特別針對性的安全控制制度，這需要在將來的探索實踐中逐步實現(xiàn)。

33加強對財務(wù)信息系統(tǒng)控制管理的監(jiān)督

篇6

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2015）34-0024-01

傳統(tǒng)的財務(wù)信息數(shù)據(jù)管理傳輸方式往往在時間性、效率上較差，導(dǎo)致管理成本高，信息不準(zhǔn)確[1]，嚴(yán)重影響了財務(wù)管理工作的正常運行。隨著高校辦學(xué)規(guī)模的不斷擴大及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，網(wǎng)絡(luò)財務(wù)得到了廣泛的發(fā)展。財務(wù)信息被存儲在數(shù)據(jù)庫中，用戶在自己的權(quán)限范圍內(nèi)可以不受地點時間的限制通過網(wǎng)絡(luò)訪問相關(guān)財務(wù)數(shù)據(jù)，高效性、及時性、共享性成為網(wǎng)絡(luò)財務(wù)的主要特點。雖然網(wǎng)絡(luò)環(huán)境下財務(wù)信息管理系統(tǒng)，為高校財務(wù)工作各方面提供了信息綜合平臺，提高了財務(wù)工作效率，保證了數(shù)據(jù)傳輸?shù)募皶r性和準(zhǔn)確性，但在網(wǎng)絡(luò)的環(huán)境背景下，財務(wù)信息系統(tǒng)也必然要面臨網(wǎng)絡(luò)安全風(fēng)險。如何做好在網(wǎng)絡(luò)環(huán)境下財務(wù)信息數(shù)據(jù)安全風(fēng)險的防范工作，成為高校財務(wù)信息管理者所要面對和解決的重要問題之一。

1 網(wǎng)絡(luò)環(huán)境下高校財務(wù)信息的主要安全風(fēng)險因素

網(wǎng)絡(luò)財務(wù)是計算機與網(wǎng)絡(luò)信息技術(shù)在財務(wù)信息管理領(lǐng)域的具體應(yīng)用，其信息安全風(fēng)險除來源于網(wǎng)絡(luò)信息技術(shù)的一般風(fēng)險外還有財務(wù)數(shù)據(jù)的特定風(fēng)險[2]，主要有以下幾個風(fēng)險：

1）計算機軟硬件系統(tǒng)風(fēng)險。計算機軟硬件是保證財務(wù)信息數(shù)據(jù)安全的基礎(chǔ)，也是財務(wù)系統(tǒng)運行的基本條件，但其對財務(wù)數(shù)據(jù)安全的影響卻未引起財務(wù)管理者足夠的重視。計算機硬件長期不進行更新維護，缺乏日常保潔，增加了硬件發(fā)生故障的風(fēng)險。一旦硬件設(shè)備系統(tǒng)發(fā)生故障，就會導(dǎo)致財務(wù)網(wǎng)絡(luò)系統(tǒng)及財務(wù)軟件無法正常運行，造成財務(wù)信息數(shù)據(jù)丟失的風(fēng)險，給財務(wù)工作帶來災(zāi)難性的后果。同樣，軟件系統(tǒng)對財務(wù)信息的安全也很重要。軟件系統(tǒng)不夠成熟，運行不穩(wěn)定，升級更新緩慢，相關(guān)漏洞未及時彌補，安全性和保密性不夠，用戶權(quán)限設(shè)置不合理，這些都可能直接影響網(wǎng)絡(luò)財務(wù)的運行效率，給財務(wù)信息安全造成隱患。

2）計算機病毒風(fēng)險。在網(wǎng)絡(luò)技術(shù)的快速發(fā)展的今天，計算機病毒的破壞能力也在不斷提高，成為網(wǎng)絡(luò)安全最大的威脅因素之一。計算機病毒具有隱蔽性高、傳播速度快、自我復(fù)制強、難以防范等特點。高校財務(wù)信息數(shù)據(jù)通過網(wǎng)絡(luò)在客戶端與服務(wù)器端進行數(shù)據(jù)的相互交換和傳遞，極大增加了財務(wù)系統(tǒng)感染計算機病毒的風(fēng)險，而一旦財務(wù)系統(tǒng)感染病毒勢必會威脅到整個財務(wù)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)安全。

3）非授權(quán)訪問風(fēng)險。在網(wǎng)絡(luò)環(huán)境背景下，一些人可能會出于各種目的，避開計算機系統(tǒng)訪問控制機制，對財務(wù)網(wǎng)絡(luò)設(shè)備及數(shù)據(jù)資源進行非正常使用，擴大或改變權(quán)限訪問財務(wù)數(shù)據(jù)信息，在網(wǎng)絡(luò)上對財務(wù)數(shù)據(jù)進行修改，以及通過網(wǎng)絡(luò)對財務(wù)系統(tǒng)進行攻擊，這些將會對財務(wù)網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)造成嚴(yán)重破壞。

4）內(nèi)部控制風(fēng)險[3]。任何數(shù)據(jù)和系統(tǒng)都需要有效的管理機制，財務(wù)信息管理不斷網(wǎng)絡(luò)化，但針對其相應(yīng)的內(nèi)控管理制度卻還不夠健全。各種人為破壞及失職行為，比如偽造、竊取、刪除等，都不能得到有效的控制與責(zé)任追究。

5）數(shù)據(jù)存儲及傳輸風(fēng)險。財務(wù)信息化后，電子數(shù)據(jù)成為財務(wù)信息管理的主要對象。對數(shù)據(jù)備份不夠重視，沒有形成定期備份的制度，會導(dǎo)致數(shù)據(jù)丟失后無法還原?；蛘?，對數(shù)據(jù)存儲介質(zhì)管理不當(dāng)，造成消磁或損壞，數(shù)據(jù)丟失。另外，電子數(shù)據(jù)除存儲備份外還要在客戶端和服務(wù)器之間相互傳輸，大大增加財務(wù)數(shù)據(jù)被截取、x改的可能，導(dǎo)致數(shù)據(jù)不準(zhǔn)確或丟失。

2網(wǎng)絡(luò)環(huán)境下財務(wù)信息化安全對策及防范

計算機網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)財務(wù)信息安全成為重要的問題。為了確保網(wǎng)絡(luò)環(huán)境下財務(wù)信息數(shù)據(jù)的安全，在實際工作中需注意以下幾點：

1）提高運用網(wǎng)絡(luò)安全技術(shù)，確保網(wǎng)絡(luò)運行安全。除了運用法律和管理手段外，管理者還需依靠網(wǎng)絡(luò)技術(shù)方法來實現(xiàn)保護網(wǎng)絡(luò)背景下財務(wù)信息的安全可靠。目前，網(wǎng)絡(luò)安全控制技術(shù)主要有：防火墻技術(shù)、訪問控制技術(shù)、用戶識別技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)、網(wǎng)絡(luò)反病毒技術(shù)、入侵檢測技術(shù)等[4]。

2）加強對計算機病毒及人為破壞防范。建立合理有效的計算機病毒與人為破壞防范體系和制度，及時發(fā)現(xiàn)計算機病毒入侵情況后，采取有效的手段阻止計算機病毒的進一步傳播和對系統(tǒng)的破壞；同時提高工作人員防范意識，遵守相關(guān)防范措施，制定具體的、切實可行的管理措施，防止人為因素的破壞。在安全防范體系中，每個責(zé)任主體都必須遵守安全行為規(guī)則，防范體系才可能運行好，才可能達(dá)到預(yù)期的防范效果。

3）完善財務(wù)信息內(nèi)部控制制度。建立健全財務(wù)信息內(nèi)部控制管理制度，明確內(nèi)部崗位分工，利用崗位之間相互聯(lián)系相互制約關(guān)系，確保財務(wù)信息數(shù)據(jù)安全可靠，防止對數(shù)據(jù)和軟件的破壞性修改。加強計算機軟硬件管理與維護制度，涉及財務(wù)信息數(shù)據(jù)的計算機做到專機專用，未經(jīng)允許不得使用財務(wù)專用計算機。針對財務(wù)信息數(shù)據(jù)的操作須經(jīng)主管批準(zhǔn)，不得擅自進行。定期檢查計算機軟硬件系統(tǒng)，做好檢查記錄，對易損、易耗件經(jīng)常更換，保證系統(tǒng)正常運行。故障發(fā)生時，及時解決問題，做好財務(wù)信息系統(tǒng)維護工作。

4）加強財務(wù)數(shù)據(jù)管理，做好數(shù)據(jù)備份。完善財務(wù)數(shù)據(jù)管理制度的制定，規(guī)范財務(wù)信息管理內(nèi)部控制，明確各崗位職責(zé)，確保高校財務(wù)信息數(shù)據(jù)的安全可靠性。定期對財務(wù)信息數(shù)據(jù)進行備份，提高數(shù)據(jù)的完整性，避免由于硬件的故障而導(dǎo)致數(shù)據(jù)的丟失。對財務(wù)備份數(shù)據(jù)安排專人負(fù)責(zé)保管，未經(jīng)領(lǐng)導(dǎo)批準(zhǔn)不得對備份數(shù)據(jù)進行任何的操作。同時對存儲備份數(shù)據(jù)的光盤、硬盤、磁盤等存儲介質(zhì)，按照相關(guān)規(guī)定的管理辦法進行歸檔存放，并做好防火、防潮、防磁等工作，謹(jǐn)防外部因素造成對財務(wù)數(shù)據(jù)的破壞。

參考文獻：

[1] 孫瑾.談高校網(wǎng)上財務(wù)信息的安全與對策[J].科技信息，2010（18）：474-475.

篇7

中圖分類號：F23 文獻標(biāo)識碼：A

收錄日期：2011年12月21日

一、網(wǎng)絡(luò)財務(wù)信息安全面臨的主要風(fēng)險

網(wǎng)絡(luò)財務(wù)是信息技術(shù)在財務(wù)領(lǐng)域的具體應(yīng)用，其信息安全風(fēng)險來源于信息技術(shù)的一般風(fēng)險和財務(wù)數(shù)據(jù)的特定風(fēng)險，主要表現(xiàn)在以下幾個方面：

1、硬件系統(tǒng)風(fēng)險。任何計算機軟件都必須通過硬件來運行，硬件是軟件的承載體。硬件系統(tǒng)發(fā)生故障時，將會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓，軟件無法運行，業(yè)務(wù)處理停滯，給網(wǎng)絡(luò)財務(wù)使用者造成很大損失。如果硬件中的存儲系統(tǒng)發(fā)生嚴(yán)重?fù)p壞，所有數(shù)據(jù)將會面臨全部丟失的風(fēng)險，給財務(wù)工作帶來災(zāi)難性后果。

2、軟件系統(tǒng)風(fēng)險。網(wǎng)絡(luò)財務(wù)軟件的正常運行，除需要硬件系統(tǒng)保障外，還需要操作系統(tǒng)、中間件和數(shù)據(jù)庫等軟件的支撐，這些軟件系統(tǒng)是否存在漏洞，技術(shù)上是否成熟，運行是否穩(wěn)定，直接影響財務(wù)信息安全程度和網(wǎng)絡(luò)財務(wù)軟件運行效率。

3、數(shù)據(jù)存儲風(fēng)險。在網(wǎng)絡(luò)財務(wù)環(huán)境下，財務(wù)信息存儲介質(zhì)發(fā)生變化，由紙質(zhì)轉(zhuǎn)化為磁介質(zhì)，所有財務(wù)數(shù)據(jù)以電子格式存儲于服務(wù)器端，財務(wù)數(shù)據(jù)更易容丟失、被盜和損壞。此外，隨著網(wǎng)絡(luò)財務(wù)軟件的應(yīng)用，財務(wù)數(shù)據(jù)量不斷增多，存儲設(shè)備還面臨著容量不夠的風(fēng)險。

4、信息傳遞風(fēng)險。網(wǎng)絡(luò)財務(wù)運行過程中，財務(wù)信息需要借助計算機網(wǎng)絡(luò)在客戶端和服務(wù)器端之間不斷地進行數(shù)據(jù)傳遞和交換，并且這種數(shù)據(jù)傳遞和交換都是以廣播的形式進行。理論上，任何聯(lián)網(wǎng)計算機都有可能獲取網(wǎng)絡(luò)資源，竊聽網(wǎng)絡(luò)信息，這就大大增加了財務(wù)信息被截取、泄露、篡改的風(fēng)險。

5、病毒破壞風(fēng)險。隨著網(wǎng)絡(luò)迅速發(fā)展，計算機病毒的破壞能力不斷提高，破壞范圍不斷擴大，并且呈現(xiàn)出了傳播速度快、自我復(fù)制強、難以防范的特點，給財務(wù)信息安全造成了極大的威脅。

6、非法入侵風(fēng)險。在網(wǎng)絡(luò)環(huán)境中，任何聯(lián)網(wǎng)計算機在理論上都是可以被訪問到的，除非它們在物理上斷開鏈接。一些人可能出于各種目的，利用黑客程序，破壞網(wǎng)絡(luò)系統(tǒng)，進行黑客攻擊。而且，黑客攻擊比病毒破壞更具目的性和破壞性。

7、人員責(zé)任風(fēng)險。計算機管理制度不健全，管理人員技術(shù)不精或者責(zé)任心不強；防范措施不嚴(yán)格，對網(wǎng)絡(luò)系統(tǒng)未進行必要的安全配置和管理，對網(wǎng)絡(luò)信息缺乏嚴(yán)密的監(jiān)控；財務(wù)系統(tǒng)用戶不注意口令保護，口令密碼設(shè)置簡單或長期不更改，致使別有用心的入侵者輕易冒充合法用戶進入系統(tǒng)，竊取、篡改、破壞數(shù)據(jù)。

二、網(wǎng)絡(luò)財務(wù)信息安全風(fēng)險防范措施

網(wǎng)絡(luò)財務(wù)信息安全風(fēng)險防范是一項系統(tǒng)工程，需要財務(wù)和信息部門密切配合，通力協(xié)作，采取防范措施，增強系統(tǒng)抵御風(fēng)險的能力，確保網(wǎng)絡(luò)財務(wù)信息安全。

1、強化網(wǎng)絡(luò)安全意識。加強網(wǎng)絡(luò)信息安全重要性宣傳和教育，使全體員工尤其是財務(wù)和信息部門人員在思想上時刻樹立網(wǎng)絡(luò)安全意識，深刻認(rèn)識網(wǎng)絡(luò)安全對于財務(wù)工作的極端重要性，自覺維護良好的網(wǎng)絡(luò)安全環(huán)境，抵制一切影響網(wǎng)絡(luò)安全的行為。

2、加強網(wǎng)絡(luò)安全技術(shù)防范。網(wǎng)絡(luò)安全技術(shù)防范是指綜合運用防火墻、數(shù)據(jù)加密、數(shù)字簽名和安全協(xié)議等專業(yè)技術(shù)對整個財務(wù)網(wǎng)絡(luò)系統(tǒng)采取全方位的安全防范措施，建立多層次的網(wǎng)絡(luò)安全體系，提高網(wǎng)絡(luò)安全防護等級，提供全面的網(wǎng)絡(luò)信息安全保護。加強網(wǎng)絡(luò)安全技術(shù)防范，要保障資金投入，確保網(wǎng)絡(luò)安全防范設(shè)備及時安裝到位；要注重培養(yǎng)網(wǎng)絡(luò)安全技術(shù)專業(yè)人才，不斷提高網(wǎng)絡(luò)安全技術(shù)人員的業(yè)務(wù)能力和工作水平。

3、加強財務(wù)數(shù)據(jù)管理。定期對財務(wù)數(shù)據(jù)進行異地備份，指定專人負(fù)責(zé)保管備份介質(zhì)，未經(jīng)審批不得對備份數(shù)據(jù)進行恢復(fù)操作。嚴(yán)格限定財務(wù)數(shù)據(jù)共享范圍和權(quán)限，只允許其他系統(tǒng)在限定的范圍內(nèi)對財務(wù)數(shù)據(jù)庫進行只讀操作，不得賦予改寫權(quán)限。嚴(yán)格數(shù)據(jù)錄入審核，防止錯誤數(shù)據(jù)進入財務(wù)系統(tǒng)。妥善保管操作系統(tǒng)、數(shù)據(jù)庫和財務(wù)軟件等各類密碼，增強密碼設(shè)置安全程度，不定期進行更改，防止別人盜用密碼進行非法操作。

4、加強財務(wù)信息化安全制度建設(shè)。建立健全和有效落實財務(wù)信息化安全制度是保障財務(wù)軟件正常運行、財務(wù)數(shù)據(jù)安全完整的關(guān)鍵。這些制度包括財務(wù)系統(tǒng)軟硬件管理和維護制度、系統(tǒng)管理人員和操作人員崗位責(zé)任制度、文檔資料保管和使用制度、計算機病毒防范制度、操作權(quán)限分配規(guī)定、計算機和網(wǎng)絡(luò)安全事故應(yīng)急預(yù)案等，通過財務(wù)信息化安全制度建設(shè)，盡可能減少由于內(nèi)部人員道德風(fēng)險、系統(tǒng)資源風(fēng)險、計算機病毒風(fēng)險和意外風(fēng)險造成的危害，確保網(wǎng)絡(luò)財務(wù)系統(tǒng)安全運行。

5、加強對計算機病毒和黑客的防范。通常情況下，網(wǎng)絡(luò)財務(wù)系統(tǒng)運行于單位內(nèi)網(wǎng)之中。防范計算機病毒和黑客的最有效方法就是實行內(nèi)外網(wǎng)嚴(yán)格分離制度，內(nèi)外網(wǎng)之間進行物理隔離，使得外網(wǎng)計算機不能登錄到內(nèi)網(wǎng)。此外，在內(nèi)網(wǎng)中的所有計算機都要安裝殺毒軟件，定期更新病毒庫，及時查殺計算機病毒。加強網(wǎng)絡(luò)安全監(jiān)控，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，果斷進行處理，凈化網(wǎng)絡(luò)環(huán)境。建立訪問列表，嚴(yán)格限定聯(lián)網(wǎng)計算機對財務(wù)服務(wù)器的訪問控制。

6、加強身份認(rèn)證和權(quán)限控制。建立更為科學(xué)的CA數(shù)字認(rèn)證體系，采用數(shù)字證書方式進行登錄，確保系統(tǒng)數(shù)據(jù)的完整性、保密性和行為的不可否認(rèn)性，杜絕數(shù)據(jù)在傳送過程中可能出現(xiàn)的非法訪問、非法篡改、假冒偽造等安全問題。嚴(yán)格進行權(quán)限分配和控制，根據(jù)實際工作需要，合理確定財務(wù)人員和管理人員操作權(quán)限。嚴(yán)格授權(quán)操作管理，未經(jīng)批準(zhǔn)，不相關(guān)人員不得接觸財務(wù)軟硬件系統(tǒng)，確保財務(wù)系統(tǒng)和數(shù)據(jù)信息的安全。

主要參考文獻：

篇8

中圖分類號：F232 文獻標(biāo)志碼：A 文章編號：1673-291X（2015）25-0103-02

近年來，隨著我國高等教育事業(yè)的發(fā)展，高校信息化建設(shè)取得了長足進步。高校財務(wù)信息化為高校的管理和決策提供了有力的支撐，已成為高校提升財務(wù)工作效率和財務(wù)服務(wù)水平的重要推手。財務(wù)信息化建設(shè)的目標(biāo)已由提高財務(wù)核算工作效率向提升財務(wù)管理和服務(wù)水平轉(zhuǎn)變，各高校普遍建成了面向全校師生的網(wǎng)上報賬、信息查詢、跨部門業(yè)務(wù)辦理等財務(wù)綜合服務(wù)體系。然而，隨著財務(wù)信息化建設(shè)的迅猛發(fā)展和財務(wù)綜合服務(wù)體系的推廣應(yīng)用，財務(wù)信息系統(tǒng)存在的安全風(fēng)險開始凸顯。

一、高校財務(wù)信息系統(tǒng)存在的安全風(fēng)險

1.硬件設(shè)備的風(fēng)險。財務(wù)信息系統(tǒng)的硬件設(shè)備主要指服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備等。硬件設(shè)備是財務(wù)信息系統(tǒng)的物理載體，是財務(wù)信息系統(tǒng)穩(wěn)定運行的先決條件，硬件設(shè)備的損壞會給整個系統(tǒng)造成嚴(yán)重?fù)p失。但在日常工作中，硬件設(shè)備的配置和運行環(huán)境經(jīng)常得不到財務(wù)部門的重視。

硬件設(shè)備常見的配置問題包括：計算、內(nèi)存、網(wǎng)絡(luò)設(shè)備帶寬等與業(yè)務(wù)需求不匹配，形成瓶頸導(dǎo)致系統(tǒng)運行效率低下。服務(wù)器運行環(huán)境無法滿足要求，如運行存放場所的供電、降溫、除塵、防磁等配套設(shè)施不完善，極易引起硬件設(shè)備損壞。

2.網(wǎng)絡(luò)攻擊和感染病毒的風(fēng)險。隨著財務(wù)信息化服務(wù)體系的建立，財務(wù)信息系統(tǒng)需要面向全校師生員工提供各類財務(wù)服務(wù)，隨之而來的，以非法取得或篡改數(shù)據(jù)為目的的入侵行為難以避免。由于通用操作系統(tǒng)本身存在的漏洞和信息系統(tǒng)管理制度的不完善，財務(wù)信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊和感染病毒的風(fēng)險一直存在。

3.數(shù)據(jù)損失風(fēng)險。在財務(wù)信息化系統(tǒng)中，數(shù)據(jù)是系統(tǒng)的核心，財務(wù)管理的過程就是對數(shù)據(jù)的生成、分類、分析和利用的過程。各種不可控因素造成的數(shù)據(jù)損失，將會對財務(wù)信息系統(tǒng)造成致命的損失。高校財務(wù)數(shù)據(jù)存在的問題包括：缺乏科學(xué)合理的備份機制，缺乏財務(wù)電子數(shù)據(jù)的管理制度，電子數(shù)據(jù)的存儲條件損壞等。

4.財務(wù)人員錯誤操作的風(fēng)險。高校財務(wù)人員知識結(jié)構(gòu)和業(yè)務(wù)能力存在差異，部分財務(wù)人員對信息系統(tǒng)的安全風(fēng)險認(rèn)識不足。個別財務(wù)人員對財務(wù)信息系統(tǒng)無意或有意地錯誤操作，將會引起財務(wù)信息失真或造成財務(wù)數(shù)據(jù)的重大損失。

二、財務(wù)信息系統(tǒng)安全防護體系建設(shè)

1.加強硬件平臺運行維護管理。硬件平臺是財務(wù)信息系統(tǒng)的基礎(chǔ)，高校應(yīng)對硬件平臺的管理給予足夠的重視。在搭建信息系統(tǒng)硬件平臺之前，應(yīng)根據(jù)預(yù)先規(guī)劃的業(yè)務(wù)種類和業(yè)務(wù)規(guī)模對硬件設(shè)備的架構(gòu)和配置做科學(xué)設(shè)計，硬件平臺要充分考慮財務(wù)信息系統(tǒng)在計算、運行、存儲、網(wǎng)絡(luò)等方面的需求，避免因為某一環(huán)節(jié)出現(xiàn)瓶頸，降低整個系統(tǒng)的運行效率。硬件平臺的設(shè)計方案可由財務(wù)部門提出業(yè)務(wù)需求，請信息化領(lǐng)域的專家進行充分論證，避免盲目建設(shè)造成損失。硬件平臺的運行環(huán)境應(yīng)滿足持續(xù)供電、恒溫恒濕、防磁微塵等方面的要求，在日常生產(chǎn)中，還應(yīng)實時監(jiān)控硬件平臺的運行狀態(tài)，對運維系統(tǒng)給出的提示和報警信息及時給予分析解決，規(guī)避可能出現(xiàn)的硬件故障風(fēng)險。

2.科學(xué)規(guī)劃財務(wù)信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)。建立科學(xué)合理的網(wǎng)絡(luò)架構(gòu)對財務(wù)信息系統(tǒng)安全防護具有重要意義，往往可以起到事半功倍的效果。規(guī)劃財務(wù)信息系統(tǒng)應(yīng)考慮的問題包括：（1）確保財務(wù)核心數(shù)據(jù)的安全，最好做到專網(wǎng)運行，與因特網(wǎng)物理隔離；（2）財務(wù)核心數(shù)據(jù)應(yīng)與財務(wù)網(wǎng)上服務(wù)數(shù)據(jù)實現(xiàn)互通，保障財務(wù)查詢、網(wǎng)上報賬等業(yè)務(wù)數(shù)據(jù)的雙向傳輸；（3）對校園網(wǎng)訪問財務(wù)網(wǎng)上服務(wù)應(yīng)用進行必要的監(jiān)控。

下面提出一種財務(wù)信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計方案（見下圖）。

3.完善財務(wù)數(shù)據(jù)保護策略。制定財務(wù)數(shù)據(jù)保護策略，建立財務(wù)信息系統(tǒng)災(zāi)后快速恢復(fù)能力。應(yīng)包括：（1）應(yīng)用虛擬機高可用（HA）解決方案。建立虛擬服務(wù)器快速恢復(fù)能力，當(dāng)一個集群中的某一臺物理主機出現(xiàn)故障，虛擬機可以自主偵測并遷移到另外的物理主機上，實現(xiàn)業(yè)務(wù)不中斷。（2）完善數(shù)據(jù)備份策略。備份范圍應(yīng)包括：文件系統(tǒng)備份，數(shù)據(jù)備份，日志備份。備份方式應(yīng)包含：在線備份、離線備份、完全備份、增量備份等。同時根據(jù)各應(yīng)用系統(tǒng)的工作特點和安全防護級別合理選擇備份方式和操作頻率。（3）建立熱備與容災(zāi)系統(tǒng)。隨著高校財務(wù)管理和服務(wù)水平的提高，高校財務(wù)部門希望具備在遭受突發(fā)災(zāi)難后財務(wù)應(yīng)用不間斷服務(wù)的能力，可建立財務(wù)數(shù)據(jù)熱備與容災(zāi)系統(tǒng)。建立一個異地的數(shù)據(jù)系統(tǒng)，該系統(tǒng)是本地主系統(tǒng)關(guān)鍵數(shù)據(jù)的一個可用鏡像，異地數(shù)據(jù)系統(tǒng)通過同步或準(zhǔn)同步的方式與本地主數(shù)據(jù)系統(tǒng)保持一致，當(dāng)主系統(tǒng)遭遇意外損失，應(yīng)用系統(tǒng)可以迅速切換到異地?zé)醾淙轂?zāi)服務(wù)器，保證財務(wù)應(yīng)用不間斷。

4.建立健全財務(wù)信息系統(tǒng)內(nèi)部控制制度。建立健全財務(wù)信息系統(tǒng)內(nèi)部控制制度可以有效規(guī)避系統(tǒng)安全風(fēng)險，提高財務(wù)信息系統(tǒng)的可靠性。

（1）財務(wù)信息系統(tǒng)權(quán)限管理制度。為規(guī)避財務(wù)人員操作失誤引入的風(fēng)險，防范內(nèi)部人員舞弊行為，應(yīng)建立和完善財務(wù)信息系統(tǒng)權(quán)限管理制度。根據(jù)各崗位的職責(zé)，設(shè)置相應(yīng)的系統(tǒng)使用權(quán)限，從系統(tǒng)上做到不相容崗位隔離，建立關(guān)鍵業(yè)務(wù)環(huán)節(jié)多級審核機制，保障會計信息真實、可靠。（2）財務(wù)信息系統(tǒng)運行維護制度。建立財務(wù)信息系統(tǒng)硬件和軟件的運行維護制度，規(guī)范系統(tǒng)操作和管理，及時發(fā)現(xiàn)和規(guī)避硬件故障和非法訪問引入的風(fēng)險。定期檢查并記錄服務(wù)器、存儲、交換機、防火墻以及隔離網(wǎng)閘等硬件設(shè)備的運行狀態(tài)；定期檢查硬件設(shè)備、數(shù)據(jù)庫的日志，排查系統(tǒng)隱患；梳理財務(wù)應(yīng)用系統(tǒng)操作流程，編制應(yīng)用系統(tǒng)使用指南和注意事項。（3）財務(wù)電子檔案管理制度。建立與財務(wù)信息化發(fā)展水平相適應(yīng)的財務(wù)電子檔案管理機制，規(guī)范財務(wù)電子檔案的采集、歸檔、存儲等流程。根據(jù)電子檔案的特殊性質(zhì)，還應(yīng)定期對財務(wù)電子檔案做完整性和一致性驗證。

5.加強財務(wù)人員綜合能力培養(yǎng)。財務(wù)人員的職業(yè)操守和業(yè)務(wù)能力對財務(wù)信息系統(tǒng)安全防護水平的提升至關(guān)重要，高校應(yīng)注重對財務(wù)人員道德素質(zhì)和信息化工作能力的培養(yǎng)。加強財務(wù)人員對財務(wù)信息化相關(guān)知識的學(xué)習(xí)，了解財務(wù)信息系統(tǒng)的基本架構(gòu)和工作原理，具備財務(wù)信息系統(tǒng)安全防護的意識，掌握財務(wù)信息系統(tǒng)安全防護的基本技術(shù)，有效地提升財務(wù)信息系統(tǒng)的安全防護水平。

參考文獻：

[1] 王婷婷.我國高校信息化機制建設(shè)研究[D].長沙：湖南大學(xué)碩士學(xué)位論文，2006.

篇9

一、引言

隨著醫(yī)院的不斷發(fā)展和國家醫(yī)療衛(wèi)生管理要求的不斷提高，對計算機信息網(wǎng)絡(luò)系統(tǒng)的依賴性也表現(xiàn)得越來越強，但是計算機信息網(wǎng)絡(luò)系統(tǒng)所表現(xiàn)出來的先進性，以及所帶來的勞動效率提高和生產(chǎn)成本降低，并不能掩飾其存在的種種安全隱患。特別是醫(yī)院的財務(wù)信息網(wǎng)絡(luò)系統(tǒng)中運載著大量重要的數(shù)據(jù)和信息，無論是硬件、軟件、環(huán)境、人為方面的影響都可能導(dǎo)致這些數(shù)據(jù)遭受破壞，將給醫(yī)院帶來無法挽回的損失。因此保護醫(yī)院財務(wù)信息系統(tǒng)的數(shù)據(jù)安全，構(gòu)建信息系統(tǒng)安全平臺成為了醫(yī)院信息化建設(shè)的當(dāng)務(wù)之急。

二、醫(yī)院財務(wù)信息系統(tǒng)的安全問題

1. 財務(wù)信息系統(tǒng)安全內(nèi)容

從醫(yī)院財務(wù)信息系統(tǒng)的層次結(jié)構(gòu)及系統(tǒng)資源組成來分析，完整的財務(wù)信息系統(tǒng)安全的主要內(nèi)容包括如下四個方面：(1)實體安全，即系統(tǒng)設(shè)備及相關(guān)設(shè)施(具體包括環(huán)境、建筑、設(shè)備、電磁輻射、數(shù)據(jù)介質(zhì)、災(zāi)害報警等)運行正常，系統(tǒng)服務(wù)適時。(2)軟件安全，即操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件等軟件及相關(guān)資料(包括軟件開發(fā)規(guī)程、軟件安全測試、軟件的修改與復(fù)制等)具有完整性。(3)數(shù)據(jù)安全，即醫(yī)院信息系統(tǒng)擁有的和產(chǎn)生的數(shù)據(jù)或信息完整、有效，使用合法，不被破壞或泄漏。具體方法包括用戶識別、存取控制、加密、審計與追蹤、備份與恢復(fù)。(4)運行安全，即醫(yī)院信息系統(tǒng)資源和信息資源(包括電源、環(huán)境氣氛、人事、機房管理出入控制、數(shù)據(jù)與介質(zhì)管理、運行管理和維護)使用合法。

2. 計算機病毒

不管是良性病毒，還是惡性病毒，都有破壞或干擾計算機系統(tǒng)正常運行的危害。

（1）破壞醫(yī)院財務(wù)信息系統(tǒng)資源大部分病毒在發(fā)作時直接破壞計算機系統(tǒng)的資源，如改寫主板BIOS中的數(shù)據(jù)、改寫文件分配表和目錄區(qū)、格式化磁盤、刪除義件等，導(dǎo)致程序或數(shù)據(jù)丟失，甚至于整個計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的癱瘓。（2）占用醫(yī)院信息系統(tǒng)資源。有的病毒雖然沒有直接的破壞作用，而通過自身的復(fù)制與用大量的存儲宅間，甚至于占滿存儲設(shè)備的剩余窄間，以此影響正常程序及相應(yīng)數(shù)據(jù)的運行和存儲。計算機病毒的運行要搶占內(nèi)存空間、接口設(shè)備和CPU運行時間等系統(tǒng)資源，即使沒有嚴(yán)重的破壞行為，也會影響正常程序的運行速度。

三、醫(yī)院財務(wù)信息系統(tǒng)的安全防范措施――以住院處為例

隨著醫(yī)院住院處各項業(yè)務(wù)不斷地整合到醫(yī)院信息系統(tǒng)內(nèi)，使得數(shù)據(jù)量急劇膨脹，數(shù)據(jù)的多樣化以及數(shù)據(jù)安全性、實時性的要求越來越高，這些都要求醫(yī)院住院處財務(wù)信息系統(tǒng)必須具有高可用性和可靠性。

1. 樹立正確的住院處財務(wù)信息系統(tǒng)安全指導(dǎo)思想

要想建立好計算機信息系統(tǒng)的安全體系，首先要有明確的指導(dǎo)思想。要把信息系統(tǒng)安全作為一個涉及國家、醫(yī)院重大利益的產(chǎn)業(yè)來看待，在選擇醫(yī)院財務(wù)信息安全產(chǎn)品時要立足于國產(chǎn)化產(chǎn)品，不能把國家、醫(yī)院信息化的安全依托到國外產(chǎn)品的保障上。

建立一套科學(xué)的管理制度是從制度上避免環(huán)境和人為因素造成計算機故障的有力保證，也是計算機系統(tǒng)安全之必需。（1）建立和健全各項管理制度，保證計算機有良好的運行環(huán)境，避免非常事件對系統(tǒng)的侵害。（2）嚴(yán)格按照各種操作規(guī)程處理業(yè)務(wù)，對財務(wù)信息系統(tǒng)數(shù)據(jù)文件的屬性進行控制。文件是存儲醫(yī)院信息系統(tǒng)數(shù)據(jù)的形式，為了保證醫(yī)院財務(wù)信息數(shù)據(jù)信息的安全，一些重要的數(shù)據(jù)文件可定義為專用文件、只讀文件或?qū)ξ募牟僮鳈?quán)限及用戶加以限制。（3）密碼權(quán)限管理要真正分開，操作員密碼要定期或不定期加以更換，以防泄密或被他人盜用。

2. 完善網(wǎng)絡(luò)通信設(shè)備。

（1）中心機房中的核心交換機選用高性能交換機，采用冗余方案，兩臺核心交換機之間運用多條千兆光纖捆綁互連，運用防止網(wǎng)絡(luò)中路由器或L3交換機故障的HSRP協(xié)議，實現(xiàn)熱備份。當(dāng)其中任何一臺出現(xiàn)故障而不能工作時，另一臺正常工作的交換機可以平滑地把業(yè)務(wù)流量全部接管過來，從而保證關(guān)鍵應(yīng)用的持續(xù)運行。（2）分布在各樓層的接人交換機與中心交換機之間通過互為冗余的兩條千兆光纖鏈路互連形成骨干連接。（3）中心機房的核心交換機在管理上運用VLAN技術(shù)。將服務(wù)器規(guī)劃到一個專用網(wǎng)段，工作站也要根據(jù)地理位置或部門屬性規(guī)劃到另外的網(wǎng)段，配置交換機相應(yīng)的網(wǎng)絡(luò)管理軟件，對IT資源、流量、數(shù)據(jù)包進行有效地監(jiān)控。

3. 計算機病毒的查殺

最好采用將醫(yī)院的HIS、RIS、LIS、PACS局域系統(tǒng)與Internet網(wǎng)絡(luò)從物理上完全割斷的分布方案，這樣可以有效地規(guī)避風(fēng)險。采用將醫(yī)院的HIS、RIS、LIS、PACS系統(tǒng)與Internet網(wǎng)絡(luò)融為一體的方案，必須增加必要的防范外部黑客、病毒的攻擊手段，比如：網(wǎng)絡(luò)版殺毒軟件、硬件防火墻、入侵檢測、桌面管理軟件。

就目前的實際情況來看，嚴(yán)格的預(yù)防措施只能盡可能減少計算機病毒傳染的可能，還不能完全避免病毒的感染。感染病毒后，有效的檢查和殺除手段就是安裝合適的正版殺毒軟件并經(jīng)常及時升級。殺病毒軟件具有檢查是否感染上某種或某類病毒的功能，有的殺毒軟件能查出幾百種甚至幾千種病毒，并且大部分殺病毒軟件可同時殺除檢查出來的病毒。殺病毒軟件在清除計算機病毒時，一般不會破壞系統(tǒng)中的正常數(shù)據(jù)。國內(nèi)用戶常用的殺毒軟件有瑞星殺毒軟件、江民殺毒軟件、金山毒霸、卡巴斯基殺毒軟件、諾頓殺毒軟件、360安全衛(wèi)士等。

“魔高一尺，道高一丈”查殺病毒技術(shù)和編制病毒的技術(shù)在相互較量中提高。一種新的病毒出現(xiàn)后，相應(yīng)的殺毒技術(shù)和殺毒軟件就會出現(xiàn)。綜合采取預(yù)防與查殺措施，就能保護計算機及網(wǎng)絡(luò)財務(wù)信息系統(tǒng)安全運行。

參考文獻：

篇10

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2012)21-5077-02

Research of Security Issues and Measures on College Financial Management Information Systems

ZHANG Hong, LIU Xiao-qun

（City College of Dongguan University of Technology, Dongguan 523106, China）

Abstract: The development of network technology brings new insecurity for college financial management information system. To ensure the integrity, the confidentiality and the availability, financial system securities were studied. Then some protection and relevant measures were proposed to give some reference experiences for the construction and maintenance of college financial management information sys tem.

Key words: financial management; system; security

高校財務(wù)管理工作是高校經(jīng)濟運轉(zhuǎn)的核心，是其它一切管理工作的源動力，如果沒有準(zhǔn)確、及時落實各項經(jīng)費開支，就無法保證財務(wù)管理工作的日常運轉(zhuǎn)，也很可能直接影響到其它管理工作。

高校財務(wù)管理工作涉及到的內(nèi)容之多，種類之繁瑣，各種類別又多有各自的報銷規(guī)則和審批流程等，加上越積越多，最終很難快速的查找出歷史報賬的情況，也很難快速了解財務(wù)的整體情況。

隨著網(wǎng)絡(luò)的飛速發(fā)展，高校也面臨著建設(shè)數(shù)字化校園的重任，將辦公、教學(xué)、生活等管理與計算機網(wǎng)絡(luò)技術(shù)結(jié)合，給全校教職工和學(xué)生帶來極大的便利。高校財務(wù)信息化是高校數(shù)字化校園、信息化的重要組成部分[1]?；诰W(wǎng)絡(luò)的高校財務(wù)管理信息系統(tǒng)相對于傳統(tǒng)會計信息系統(tǒng),主要有開放性、電子化、實時性、集成化、遠(yuǎn)程化等特點,能夠?qū)崿F(xiàn)財務(wù)與業(yè)務(wù)的同步處理[2]。高校財務(wù)信息系統(tǒng)使學(xué)生收費透明化，使教職工工資條目清晰化，使學(xué)校資產(chǎn)管理簡單化，并且資金的預(yù)算為學(xué)校提供了合理的資金使用方案。然而網(wǎng)絡(luò)環(huán)境下的財務(wù)管理面臨著新的風(fēng)險，網(wǎng)絡(luò)中散播的病毒蠕蟲的感染，用戶非法越限的訪問，黑客惡意的攻擊破壞等等問題都給高校財務(wù)管理系統(tǒng)的安全帶來威脅。隨著高校財務(wù)管理信息系統(tǒng)建設(shè)規(guī)模的不斷擴大，教職工及學(xué)生訪問量不斷增加，財務(wù)管理面臨的安全問題日益突出。該文對當(dāng)前財務(wù)管理信息系統(tǒng)中存在的安全問題進行了分析，并據(jù)此提出相應(yīng)的解決方案。

1安全問題

財務(wù)數(shù)據(jù)關(guān)乎到高校建設(shè)的各層面，財務(wù)系統(tǒng)安全可靠的運行是高校建設(shè)與管理的重要前提。財務(wù)管理信息系統(tǒng)的安全性表現(xiàn)在完整性、保密性和可用性，只要有一項不能滿足都會給整個系統(tǒng)的安全造成威脅。

1.1環(huán)境級安全問題

高校財務(wù)管理信息系統(tǒng)環(huán)境級安全性包括硬件環(huán)境和軟件環(huán)境。硬件環(huán)境安全問題指財務(wù)管理信息系統(tǒng)依托的服務(wù)器、網(wǎng)絡(luò)設(shè)備、用電設(shè)備等硬件設(shè)備因突發(fā)災(zāi)害或意外事故而造成數(shù)據(jù)信息丟失以及硬件配備性能滿足不了當(dāng)前系統(tǒng)數(shù)據(jù)及時處理而造成的系統(tǒng)不可用。軟件環(huán)境安全問題指財務(wù)管理信息數(shù)據(jù)庫的軟件本身不夠完善或未及時升級而引起財務(wù)數(shù)據(jù)庫難以操作，造成系統(tǒng)不可用。

1.2網(wǎng)絡(luò)級安全問題

高校財務(wù)管理系統(tǒng)的信息化是基于網(wǎng)絡(luò)的建設(shè)，為實現(xiàn)全校教職工人員的使用，財務(wù)管理信息必然要連接到外網(wǎng)，這就導(dǎo)致了財務(wù)管理信息會曝于財務(wù)部門以外。網(wǎng)絡(luò)的不安全性表現(xiàn)為病毒的感染使系統(tǒng)無法運行，端口掃描使信息泄露，黑客利用操作系統(tǒng)的漏洞進行攻擊造成系統(tǒng)崩潰和信息篡改，外來人員的惡意入侵造成財務(wù)數(shù)據(jù)的泄露。隨著網(wǎng)絡(luò)技術(shù)的深入發(fā)展，攻擊的手段日趨自動化，復(fù)雜化，要保護高校信息不被泄露，保障財務(wù)系統(tǒng)安全可靠，網(wǎng)絡(luò)級的安全防護任重道遠(yuǎn)。

1.3人員級安全問題

財務(wù)管理人員是財務(wù)管理信息系統(tǒng)的操作主體,其職業(yè)操守極大影響了系統(tǒng)的安全。由于在當(dāng)下的財務(wù)系統(tǒng)中，財務(wù)人員對財務(wù)信息系統(tǒng)的操作（添加、修改、刪除等）不會留有痕跡，若他們?yōu)榱艘患核嚼?，利用工作之便，對財?wù)數(shù)據(jù)進行改動和處理，將成為財務(wù)管理信息系統(tǒng)的一大隱患。另一方面，財務(wù)管理人員的網(wǎng)絡(luò)安全防護意識及計算機能力較弱對高校財務(wù)信息系統(tǒng)也帶來了安全問題。會計人員由于計算機運用能力不夠而導(dǎo)致的錯誤操作會導(dǎo)致財務(wù)信息錯漏，而相關(guān)的財務(wù)系統(tǒng)管理人員對操作系統(tǒng)、軟硬件及網(wǎng)絡(luò)環(huán)境維護不到位會給整個財務(wù)系統(tǒng)帶來巨大的威脅。