网络财务的安全问题与对策,本文主要内容关键词为:安全问题论文,对策论文,财务论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
财务数据反映的是企业的资金情况和经营情况,是企业的机密信息,财务信息一旦被窃取或泄露,就会给企业带来重大损失甚至破产。在网络财务中,信息的载体已从纸介质转变为比特流,其安全问题是最核心和最关键的问题。首先,网络财务所依托的Internet/Intranet体系使用的是开放式的TCP/IP协议,它以广播的形式进行传播,存在着搭截侦听、口令字试探和窃取、身份假冒、篡改和伪造信息、抵赖及恶意破坏等安全隐患。其次,网络财务全面支持电子商务,电子商务涉及到许多电子单据的传送、电子货币的转移等,也是很容易受到不法攻击的地方。再次,网络财务的分布式操作使得网络攻击可以从多个地方进行;而对于企业内部使用者来讲,如果使用权限划分不当、内部控制不严,也容易造成信息滥用和向外流失。另外,推行网络财务后,财务管理和业务管理实现了一体化,企业的经营管理活动几乎完全依赖于网络系统,如果企业对网络的管理和维护水平不高或疏于管理监控,一旦网络系统瘫痪将严重影响企业的整体运作。网络财务所面临的外部和内部侵害,使得我们必须采取切实可行的安全对策,以确保系统具有信息保密性、身份的确定性、不可否认性和不可篡改性。网络财务系统的安全对策应该考虑综合的因素,主要应从组织管理、制度保障和技术防范三个方面去创建网络财务的安全机制。
一、建立网络财务信息系统的组织管理体系
信息系统建设有自己的特点,有人将其比喻为“三分技术,七分管理”,也有人说是“三分技术,七分协调”,更有人说是“三分技术,七分实施”。不论哪一种提法,都说明了信息系统建设中必须有一个合理的管理运行机制,这是比人、技术更为重要的因素。因此,加强组织建设,建立计算机管理安全工作体系,建立网络财务安全管理机制,是企业信息系统安全、可靠运行的基本条件。
1.完善组织建设,建立安全制约机制
实践证明,组织落实是计算机安全工作有力的保证。经验和教训无不告诉我们,抓企业信息系统安全、抓防范计算机犯罪,必须要有一个专职管理和相应专业技术结合的工作体系,集中精力,专心致志地努力工作,才能把工作做好。要落实组织,就要建立单位负责人领导的、专职管理和专门从事技术的计算机安全队伍,落实“谁主管,谁负责”原则,建立、健全安全制约机制。
这些年,企业信息化发展很快,各个业务部门广泛应用计算机,促进了企业信息管理的发展。同时,犯罪分子也在研究如何利用计算机进行破坏活动。安全防范的管理与技术并不完全等同于正常计算机应用,它具有独特的工作规律,甚至与正常的计算机应用还可能存在某种制约的关系。因此,我们要不断增强前瞻性防范的技术实力,要保证走在犯罪分子的前面,就必须积极吸收和培养德才兼备的计算机安全技术人才,逐步形成专门的管理和技术力量。实践证明,没有专人负责计算机安全管理,单靠兼管、代管,往往是兼而不管、代而不管。加强人员安全管理,明确人员的岗位职责;加强运行安全管理,坚持实行分权制约、有限授权的原则,切实保证运行操作的有限性、可控性、可监督性以及可审计性;建立安全事件应急反应中心,加强对突发事件的处理;建立网络安全监控中心,加强网络的监控与安全管理;建立病毒防范中心,加强对计算机病毒的检测与清除,加强风险管理,重点对计算机信息系统进行风险分析、风险评估、安全审计,做好防范措施的设计、认证和应急计划的制定工作,使得计算机信息系统受到的危害或损失降到最低程度。
2.建立检查指标系统,量化计算机安全管理
建立科学的检查指标系统是量化计算机安全管理的基础。因此要分析网络财务系统的各个因素,完成指标工程化工作,建立以人员管理、设备安全、技术保障、网络监控、病毒防范为核心的指标系统,根据确定的指标,制定对应的检查工作流程,对计算机安全实行量化管理。
所谓量化管理就是对企业信息系统安全管理制定量化指标,通过实行计算机信息系统安全量化考核,将计算机信息系统安全保护的各项内容分解落实,量化到岗,责任到人,使计算机信息系统安全保护工作更加具体化、科学化和规范化,从而进一步提高企业信息系统安全管理的整体水平,增强安全防范意识,杜绝安全隐患,确保计算机信息系统安全、稳定、有效运行。
计算机信息系统安全量化考核内容(指标)主要包括系统运行安全、系统数据安全、系统环境(实体)安全、系统保密管理和系统要害岗位人员管理等5个方面的内容,重点考核对计算机信息系统安全管理制度的落实执行情况和要害岗位人员执行计算机安全制度及操作规程情况。
3.加强企业信息系统安全工作的监管
要加强对企业信息系统安全工作的监管,加强运行环境安全性监管,加强安全防范管理的监管,加强规范操作的监管,建立计算机安全检查机制,定期对网络财务系统进行安全检查,检查计算机安全组织管理体系的建立与运行、运行环境安全保障的落实、计算机硬、软件的管理、计算机数据、信息的安全保障,计算机网络安全管理,应用系统人员的岗位职责等内容。
4.加强文档管理
准备和维护网络财务系统的文档也是一项重要的任务,它可在诊断网络问题时提供方便。随时更新的文档可以提供关于网络财务系统应当如何运行,出现问题时应到哪里去寻找答案等信息。用于维护和诊断的文档内容应包括:
·网络财务系统的拓扑结构,硬件的位置和布线的细节等;
·服务器信息,包括每个服务器上的数据、备份计划和备份存放的地点;
·软件信息,如许可证和支持信息等;
·关键的电话号码,包括销售商、供应商、合同商及别的有用的联系人;
·所有服务协议的副本,包括联系姓名和电话号码;
·记录所有问题和它们的症状、解决方法、日期、联系方法、过程及结果的一个列表。
二、建立计算机安全管理制度保障体系
抓制度建设,实现严格有效的内部管理,是防止和杜绝计算机犯罪、防范和化解财务风险的重要手段和有效途径。由于信息技术的迅速发展和普及应用,在计算机安全管理中,制度建设滞后是一个普遍性的问题。在计算机安全工作中,要强调严格执行规章制度,严格管理,同时,要有明确的要求,要求每一项新技术的开展应用都要有相应的安全保卫制度同时配套出台,做到技术开展和制度建设并举,技术应用和制度保障同步。网络财务信息系统安全工作制度体系的重点,要放在规范内部人员行为和健全内部制约机制方面。要建立健全要害岗位人员管理制度、电子化项目管理制度、计算机安全运行管理制度、计算机安全事件应急等制度。根据不断变化的情况,及时对制度进行补充和完善,逐步形成完整、科学的计算机安全制度保障体系。
应该根据计算机发展的形势,不断调整和完善管理制度,一是做到业务发展与制度建设并举,制度建设为业务发展保驾护航;二是制度建设与业务创新相适宜,在业务创新和发展中不断补充和完善计算机安全管理制度,使制度更科学化、规范化;三是不断完善计算机安全检查办法,使制度建设与操作管理更贴近,制度落实更具有可操作性和实用性。
企业必须建立科学严格的网络财务内部控制制度,从软件开发和维护控制、硬件管理和维护控制、组织机构和人员的管理和控制、系统操作的管理和控制、文档资料的管理和控制、系统环境管理和控制、计算机病毒的预防与消除等各个方面建立一整套行之有效的制度,从制度上保证网络财务系统的安全运行。
三、建立技术防范体系
互联网环境下的信息安全防护应主要包括两方面的内容:信息的静态安全和信息的动态安全。前者指防止存放在服务器、磁盘阵列等设备上的数据被盗取、修改、破坏,后者指数据在传输过程中的安全性——防止被截取和窃取。保证系统安全至少需要三方面的技术:其一是系统的防护技术,新的技术趋势是将安全与系统管理结合起来;其二中系统的保护技术,如数据的备份、异地存储和远程控制等技术;其三是加密、解密和认证技术。用高技术手段防范计算机犯罪,是和犯罪分子比智力、比水平、比能力的较量。防范计算机犯罪,必须充分运用高新技术,特别是最先进的“防”的技术。我们要以实现前瞻性防范为目标,大力加强网络财务系统安全技术防范的研究。
1.建立行之有效的计算机病毒防范系统
就网络的安全而言,病毒是其最大的隐患之一。在网络高度发展的今天,病毒入侵引起的已不只是局部的损失,可能导致整个网络的瘫痪,甚至危害整个社会的稳定。同时,在网络社会时代,病毒的制造可能变成一种国家行为,作为信息战的一种手段。目前,企业的计算机病毒防范还基本上处于单机防护监控阶段,尚未普遍采用网络防病毒技术,对电子邮件也没有相应的防病毒方案,不少业务用机不同程度地遭受过病毒的侵袭。所以,应尽快实施完整的网络防病毒解决方案,建立基于网络的全方位、跨平台、多层次的病毒立体防护和快速反馈系统。
2.建立网络漏洞监测与攻击防范系统
伴随着计算机网络应用的发展,近年来黑客攻击技术广为流传,非法侵入的破坏案例惊人的增长。建立网络漏洞监测与攻击防范系统就是要实施尽可能的适度防护,加强信息系统安全检测,有效提高网络财务系统自身安全漏洞和内外部攻击行为的检测、管理、监控和实时处理能力,实现合理评估信息系统安全事件、有效实时阻断非法和违规网络活动的目标。
3.建立信息加密系统
加密是保障数据秘密和真实性的重要措施,是保护数据安全的有效方法。使用标准安全算法及硬件保密核心构造网络财务系统的数据安全基础,对重要数据进行加密。信息加密系统一方面采用不同强度的软件加密或硬件加密机制,确保数据传送、存储的机密性;另一方面要能够根据安全需求为各种应用提供统一的、多层次的加密服务,对存储和传递中的数据进行加密处理,以保证重要数据安全保护的广度、深度和力度。
信息加密系统应综合采用链路层加密、软件加密或硬件加密等技术,系统采用的商用密码核心设备及应用管理应严格执行国家《商用密码管理条例》。
对重要计算机信息系统的数据加密应严格执行保密管理的有关规定。应根据业务性质明确规定系统中各类数据的密级,采取相应强度的加密措施进行加密,防止数据被泄漏和窃取。
4.确立计算机安全事件应急机制
确立计算机安全事件应急反应机制是有效降低计算机信息系统风险的重要措施。要通过建立计算机安全事件应急反应系统及其运行规范,最终确立计算机安全事件应急机制,形成计算机安全事件的快速反应能力,最大限度地降低计算机系统的风险。
制定保证财务管理和会计(动态)核算不间断运行的应急方案,设立一整套完善的灾难恢复机制是实施网络财务的先决条件。
5.建立安全的网络财务软件平台
对于网络财务系统必须从技术上对整个系统的各个层次(通信平台、网络平台、系统平台、应用平台)采取安全防范措施和规则,建立综合的多层次的安全体系、在应用平台开发的技术选样上也要考虑数据安全性问题,比如基于Web的财务软件虽然界面简单、易于使用,但鉴于Internet发展的现状,其财务数据安全性差,应充分利用客户服务器结构Web应用的优点才是安全可行之道,因此可自独立核算实体内部的数据采集部门采用二层结构应用,其界面灵活,功能强大,适合大量单据录入处理,而另一方面,对于决策支持、远程查询、报表远程上报则采用Web的应用,这样就可以大大提高财务数据安全性。
当前,无论是用户还是系统提供商,在考虑计算机信息系统的安全问题时总是从技术的角度出发,过度的把计算机系统的安全性、可靠性寄托在计算机及网络硬件产品和技术上,而忽视了管理制度、管理体制的建设,更缺乏系统,深入的研究。实际上,计算机系统安全与否,主要取决于使用和接近计算机的人,管理比技术更重要。网络财务系统安全管理的重点应立足于研究计算机安全管理机制建设与制度创新,为网络财务的发展和安全管理提供理论和方法上的指导。