導(dǎo)言：作為寫作愛好者，不可錯(cuò)過為您精心挑選的10篇財(cái)務(wù)安全信息，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

二、財(cái)務(wù)信息安全存在的風(fēng)險(xiǎn)

1、數(shù)據(jù)損壞風(fēng)險(xiǎn)。數(shù)據(jù)安全風(fēng)險(xiǎn)包括:物理損壞和惡意破壞。由于公司財(cái)務(wù)系統(tǒng)是基于網(wǎng)絡(luò)模式運(yùn)行,所有重要數(shù)據(jù)都儲(chǔ)存在服務(wù)器中,一旦服務(wù)器出現(xiàn)問題不能正常運(yùn)行,對于財(cái)務(wù)數(shù)據(jù)會(huì)帶來不可挽回的損失,而整個(gè)財(cái)務(wù)系統(tǒng)將會(huì)受到毀滅性打擊。另外,大量的數(shù)據(jù)通過網(wǎng)絡(luò)傳輸,也可能會(huì)造成財(cái)務(wù)信息的丟失、泄漏。

2、信息失真風(fēng)險(xiǎn)。由于財(cái)務(wù)業(yè)務(wù)的特殊性,在沒有實(shí)施會(huì)計(jì)電算化時(shí),可以通過會(huì)計(jì)人員的筆跡,以及簽章的確認(rèn)來判斷會(huì)計(jì)業(yè)務(wù)的真實(shí)性,但是實(shí)施了會(huì)計(jì)電算化后,有一部分的簽名和簽章用計(jì)算機(jī)處理了,無法判斷會(huì)計(jì)業(yè)務(wù)是由本人經(jīng)手還是他人處理。這樣就使得手工環(huán)境下的內(nèi)部控制機(jī)制受到了削弱。此外,操作人員的誤操作也是造成信息失真的重要原因之一。

3、非法入侵風(fēng)險(xiǎn)。在網(wǎng)絡(luò)環(huán)境下,電子符號代替了會(huì)計(jì)數(shù)據(jù),磁介質(zhì)代替了紙介質(zhì),在這個(gè)環(huán)境中一切信息在理論上都是可以被訪問到的,除非它們在物理上斷開鏈接。因此,財(cái)務(wù)部門在實(shí)現(xiàn)網(wǎng)絡(luò)化管理的同時(shí),很難避免非法侵?jǐn)_。一些人可能出于各種目的,有意或無意地?fù)p壞網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)(局域網(wǎng)、廣域網(wǎng))上對管理系統(tǒng)進(jìn)行黑客程序的測試運(yùn)行等活動(dòng),對系統(tǒng)造成極大破壞。黑客活動(dòng)比病毒破壞更具目的性,幾乎覆蓋了所有的操作系統(tǒng),包括財(cái)務(wù)系統(tǒng)。

三、財(cái)務(wù)信息安全風(fēng)險(xiǎn)的規(guī)避

1、要強(qiáng)化網(wǎng)絡(luò)安全防范的意識,使得每一個(gè)操作人員都有強(qiáng)烈的安全風(fēng)險(xiǎn)意識。要針對用戶安全意識薄弱,對網(wǎng)絡(luò)安全重視不夠,安全措施不落實(shí)的現(xiàn)狀,開展多層次、多方位的信息網(wǎng)絡(luò)安全宣傳和培訓(xùn),真正提高用戶的網(wǎng)絡(luò)安全意識和防范能力。此外對于財(cái)務(wù)人員來說還應(yīng)該加強(qiáng)職業(yè)操守的教育,使財(cái)務(wù)人員牢固樹立保密的意識,杜絕由財(cái)務(wù)人員本身的原因,造成財(cái)務(wù)信息的泄漏。

2、優(yōu)化財(cái)務(wù)流程設(shè)計(jì),強(qiáng)化財(cái)務(wù)審批流程。由于財(cái)務(wù)信息的特殊性,所以對外公示財(cái)務(wù)信息一定要統(tǒng)一口徑,對于財(cái)務(wù)業(yè)務(wù)流程應(yīng)突出審計(jì)環(huán)節(jié),對會(huì)計(jì)風(fēng)險(xiǎn)的控制始終貫穿于會(huì)計(jì)核算的每個(gè)環(huán)節(jié)。長久以來人們已習(xí)慣于按固有本職工作內(nèi)容處理信息,在信息采集、信息共享方面未建立整體的管理規(guī)則,因此,需要企業(yè)業(yè)務(wù)從以職能劃分轉(zhuǎn)變?yōu)橐粤鞒虄?yōu)化重組,達(dá)到各部門信息共享、統(tǒng)一。

3、加強(qiáng)財(cái)務(wù)人員登錄管理。由于在財(cái)務(wù)系統(tǒng)中系統(tǒng)所認(rèn)的只有登錄名,所產(chǎn)生的憑證、報(bào)表、其他單據(jù)都是以登錄名為署名,一旦他人用財(cái)務(wù)人員的登錄名進(jìn)入系統(tǒng)后,就取得了相應(yīng)的權(quán)限,這將帶來極大的隱患。所以財(cái)務(wù)人員要保管好自己的登錄密碼,盡量使用復(fù)雜的密碼。如果財(cái)務(wù)人員不能正常行使職能,應(yīng)該在軟件中使用權(quán)限委托的方式,而不是直接告訴自己的登錄名和密碼。這點(diǎn)對于行使審計(jì)職能的操作員來說更為重要。

4、從軟件的角度來說,對于憑證和報(bào)表也使用數(shù)字簽名的功能,電子簽章的功能,以避免他人使用財(cái)務(wù)人員的登錄名進(jìn)入財(cái)務(wù)系統(tǒng),填制和篡改憑證和報(bào)表,從而給公司帶來損失。

目前實(shí)現(xiàn)數(shù)字簽名的方法主要有三種:一是用公開密鑰技術(shù);二是利用傳統(tǒng)密碼技術(shù);三是利用單向校驗(yàn)和函數(shù)進(jìn)行壓縮簽名。1991年,美國頒布了數(shù)字簽名標(biāo)準(zhǔn)DSS的安全性基礎(chǔ)是離散對數(shù)問題的困難性。數(shù)字簽名一方面可以證明這條信息確實(shí)是此發(fā)信者發(fā)出的,而且事后未經(jīng)過他人的改動(dòng),因?yàn)橹挥邪l(fā)信者才知道自己的私人鑰匙,另一方面也確保發(fā)信者對自己發(fā)出的信息負(fù)責(zé),信息一旦發(fā)出且署了名,他就無法再否認(rèn)這一事實(shí)。通過數(shù)字簽名技術(shù),有效的保障了信息真實(shí)性。

5、針對操作人員的誤操作,應(yīng)該加強(qiáng)財(cái)務(wù)人員的計(jì)算機(jī)水平的培訓(xùn)。杜絕由于操作失誤而帶來的會(huì)計(jì)信息失真的風(fēng)險(xiǎn)。

6、建立完整的日志記錄制度,對所有的操作人員的所有操作都應(yīng)記錄在案。日志中至少應(yīng)該包括操作員登入系統(tǒng)的時(shí)間,操作內(nèi)容,以及下線的時(shí)間。如果特殊情況要修改已審核的記賬憑證,則盡量在軟件中保留修改的痕跡。

篇2

一、引言

隨著時(shí)代的發(fā)展，以及經(jīng)濟(jì)水平的不斷提高，人們逐漸意識到了財(cái)務(wù)外包的重要性。公司在實(shí)行財(cái)務(wù)外包后，在享受其優(yōu)越性的同時(shí)，也會(huì)面臨著一些風(fēng)險(xiǎn)。公司在實(shí)行財(cái)務(wù)外包后可能面臨的風(fēng)險(xiǎn)多種多樣，需要公司管理層深思熟慮。主要面臨的風(fēng)險(xiǎn)有三種，第一種為最為常見的外包決策戰(zhàn)略失誤風(fēng)險(xiǎn)；第二種為外包信息安全的風(fēng)險(xiǎn)；第三種風(fēng)險(xiǎn)為外包成本遠(yuǎn)遠(yuǎn)的超過了預(yù)期。因此財(cái)務(wù)外包策略在執(zhí)行的過程中需要考慮到財(cái)務(wù)外包信息安全的風(fēng)險(xiǎn)以及對這些風(fēng)險(xiǎn)因素進(jìn)行針對性的甄別，從眾多影響因素中挑選出風(fēng)險(xiǎn)因素最后再采取相應(yīng)的措施來控制這些風(fēng)險(xiǎn)，以達(dá)到實(shí)行財(cái)務(wù)外包的公司在避免財(cái)務(wù)外包信息安全風(fēng)險(xiǎn)的同時(shí)，享受到其獨(dú)特的優(yōu)點(diǎn)。

二、財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)的相關(guān)內(nèi)涵

一般來講財(cái)務(wù)外包就是公司通過與承擔(dān)外包的公司也就是承包商簽訂詳細(xì)的合同或者協(xié)議，根據(jù)合同或者協(xié)議內(nèi)容將本公司全部或者一部分的財(cái)務(wù)工作委托給承包商，在承包商依法履約其應(yīng)有的義務(wù)后，支付其應(yīng)有的報(bào)酬。如今越來越多的公司意識到財(cái)務(wù)外包的重要性，甚至把其當(dāng)成有力的競爭手段。公司的管理層充分的意識到，如果不進(jìn)行財(cái)務(wù)外包，那么公司很有可能在激烈的外部競爭中處于劣勢，以致予淘汰出局。財(cái)務(wù)外包在我國目前發(fā)展雖然有著廣闊的前景，但發(fā)展還是比較緩慢的，仍有較大的改進(jìn)空間。許多公司對財(cái)務(wù)外包沒有完全放下顧慮，仍然對外包后存在的信息泄露風(fēng)險(xiǎn)存有一定的顧慮。

財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)也就是指，公司將財(cái)務(wù)進(jìn)行外包后公司內(nèi)一些與公司核心業(yè)務(wù)有關(guān)的重要信息和數(shù)據(jù)被無意或者有意泄露以及盜用的風(fēng)險(xiǎn)。眾所周知，一個(gè)公司的財(cái)務(wù)部門對財(cái)務(wù)部門的保密度比較高，并且在日常公司的運(yùn)營過程中財(cái)務(wù)工作中會(huì)產(chǎn)生大量的內(nèi)部信息，在這些信息之中好多信息對公司來說都是商業(yè)機(jī)密，如果在財(cái)務(wù)外包后這些重要信息發(fā)生了泄露，那么這對企業(yè)造成的損失將是難以估量的，尤其是這些信息被公司的競爭對手的得到，后果就更加不可想象了。因此與財(cái)務(wù)有關(guān)的各項(xiàng)業(yè)務(wù)一般都會(huì)保密，除非強(qiáng)制性披露的要求，否則這些信息是不會(huì)向外部透漏的，哪怕是公司一般的管理層有時(shí)候也要加以保密。

三、財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)的甄別

在實(shí)施財(cái)務(wù)外包決策的過程中，要結(jié)合公司自身的實(shí)際情況來甄別一些潛在的或者明面上存在的相關(guān)信息安全風(fēng)險(xiǎn)，在充分分析這些風(fēng)險(xiǎn)的來源、發(fā)生概率以及危害程度的基礎(chǔ)上，接著采取相應(yīng)的手段和方式加以有效的控制，因此在此過程中，安全風(fēng)險(xiǎn)的甄別與控制對財(cái)務(wù)外包有著重要的影響，甚至在某種程度上可以決定著財(cái)務(wù)外包是否能夠成功。公司財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)主要有以下幾個(gè)方面：

第一、信息泄露的風(fēng)險(xiǎn)。信息泄露風(fēng)險(xiǎn)是公司財(cái)務(wù)外包所面臨的發(fā)生概率最大的信息安全風(fēng)險(xiǎn)。此風(fēng)險(xiǎn)的發(fā)生雖然有諸多因素引起的，但最主要的因素就是客戶公司重要信息或者數(shù)據(jù)的保密程度不夠，或者承包商在采取保密過程中所采用的保密措施不夠完善。因此外包商對于客戶的資料是否依據(jù)實(shí)際情況建立了比較嚴(yán)格的保密制度，對于承包商內(nèi)部的員工是否明確了相關(guān)責(zé)任追究制度來避免信息泄露風(fēng)險(xiǎn)的發(fā)生。這些因素都會(huì)對承包商內(nèi)部員工產(chǎn)生影響，進(jìn)而會(huì)有承包商內(nèi)部員工將其所接觸到的客戶信息泄露的可能。

第二、信息被丟失的風(fēng)險(xiǎn)。信息被丟失主要發(fā)生在信息傳遞以及信息處理時(shí)，有可能在外包過程中承包商的相關(guān)技術(shù)不夠完善或者不夠成熟，因此其相關(guān)技術(shù)在穩(wěn)定性以及安全性上仍有不足之處。承包商在面對信息丟失事故時(shí)所采取的補(bǔ)救措施是否得當(dāng)合理、采用補(bǔ)救和預(yù)防技術(shù)的時(shí)效性，這些因素處理的效率和效果都會(huì)在一定程度上對信息丟失產(chǎn)生重要的影響。

第三、信息被盜取的風(fēng)險(xiǎn)。發(fā)生此風(fēng)險(xiǎn)主要的原因在于外包商對于自己客戶的信息資料保護(hù)措施做得不夠好，相關(guān)保護(hù)制度不完善，以致于在保護(hù)制度或者措施上存在漏洞。因此公司進(jìn)行財(cái)務(wù)外包時(shí)，承包商是否采取相應(yīng)的措施來對客戶的信息建立起有效的管理制度，以及承包商專業(yè)團(tuán)隊(duì)成員的整體素質(zhì)情況等，這些因素實(shí)施的好壞，都會(huì)對企業(yè)信息被盜造成了重要的影響。另外，對信息進(jìn)行承包的企業(yè)屬于服務(wù)性行業(yè)，這個(gè)行業(yè)的特點(diǎn)也決定了其內(nèi)部員工的流動(dòng)性也比較大，因此在人才流動(dòng)的過程中也在一定程度上加大了所承包企業(yè)在信息經(jīng)營過程中被盜的風(fēng)險(xiǎn)，而且這個(gè)風(fēng)險(xiǎn)不容易完全規(guī)避。

四、財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)的控制

若想進(jìn)行全面而有效的控制，因此要結(jié)合公司所處的環(huán)境以及自身的特點(diǎn)，從外包的全過程入手，在整體全局上建立合適的控制機(jī)制，從而從全過程以及全方位的減少和防范財(cái)務(wù)外包后所帶來的不確定的各種信息安全風(fēng)險(xiǎn)，進(jìn)而最大限度的為公司安全運(yùn)營服務(wù)，公司在進(jìn)行財(cái)務(wù)外包前要建立信息安全風(fēng)險(xiǎn)的相關(guān)防范機(jī)制，可以從以下三個(gè)方面來入手：

一、引言

隨著時(shí)代的發(fā)展，以及經(jīng)濟(jì)水平的不斷提高，人們逐漸意識到了財(cái)務(wù)外包的重要性。公司在實(shí)行財(cái)務(wù)外包后，在享受其優(yōu)越性的同時(shí)，也會(huì)面臨著一些風(fēng)險(xiǎn)。公司在實(shí)行財(cái)務(wù)外包后可能面臨的風(fēng)險(xiǎn)多種多樣，需要公司管理層深思熟慮。主要面臨的風(fēng)險(xiǎn)有三種，第一種為最為常見的外包決策戰(zhàn)略失誤風(fēng)險(xiǎn)；第二種為外包信息安全的風(fēng)險(xiǎn)；第三種風(fēng)險(xiǎn)為外包成本遠(yuǎn)遠(yuǎn)的超過了預(yù)期。因此財(cái)務(wù)外包策略在執(zhí)行的過程中需要考慮到財(cái)務(wù)外包信息安全的風(fēng)險(xiǎn)以及對這些風(fēng)險(xiǎn)因素進(jìn)行針對性的甄別，從眾多影響因素中挑選出風(fēng)險(xiǎn)因素最后再采取相應(yīng)的措施來控制這些風(fēng)險(xiǎn)，以達(dá)到實(shí)行財(cái)務(wù)外包的公司在避免財(cái)務(wù)外包信息安全風(fēng)險(xiǎn)的同時(shí)，享受到其獨(dú)特的優(yōu)點(diǎn)。

二、財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)的相關(guān)內(nèi)涵

一般來講財(cái)務(wù)外包就是公司通過與承擔(dān)外包的公司也就是承包商簽訂詳細(xì)的合同或者協(xié)議，根據(jù)合同或者協(xié)議內(nèi)容將本公司全部或者一部分的財(cái)務(wù)工作委托給承包商，在承包商依法履約其應(yīng)有的義務(wù)后，支付其應(yīng)有的報(bào)酬。如今越來越多的公司意識到財(cái)務(wù)外包的重要性，甚至把其當(dāng)成有力的競爭手段。公司的管理層充分的意識到，如果不進(jìn)行財(cái)務(wù)外包，那么公司很有可能在激烈的外部競爭中處于劣勢，以致予淘汰出局。財(cái)務(wù)外包在我國目前發(fā)展雖然有著廣闊的前景，但發(fā)展還是比較緩慢的，仍有較大的改進(jìn)空間。許多公司對財(cái)務(wù)外包沒有完全放下顧慮，仍然對外包后存在的信息泄露風(fēng)險(xiǎn)存有一定的顧慮。

財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)也就是指，公司將財(cái)務(wù)進(jìn)行外包后公司內(nèi)一些與公司核心業(yè)務(wù)有關(guān)的重要信息和數(shù)據(jù)被無意或者有意泄露以及盜用的風(fēng)險(xiǎn)。眾所周知，一個(gè)公司的財(cái)務(wù)部門對財(cái)務(wù)部門的保密度比較高，并且在日常公司的運(yùn)營過程中財(cái)務(wù)工作中會(huì)產(chǎn)生大量的內(nèi)部信息，在這些信息之中好多信息對公司來說都是商業(yè)機(jī)密，如果在財(cái)務(wù)外包后這些重要信息發(fā)生了泄露，那么這對企業(yè)造成的損失將是難以估量的，尤其是這些信息被公司的競爭對手的得到，后果就更加不可想象了。因此與財(cái)務(wù)有關(guān)的各項(xiàng)業(yè)務(wù)一般都會(huì)保密，除非強(qiáng)制性披露的要求，否則這些信息是不會(huì)向外部透漏的，哪怕是公司一般的管理層有時(shí)候也要加以保密。

三、財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)的甄別

在實(shí)施財(cái)務(wù)外包決策的過程中，要結(jié)合公司自身的實(shí)際情況來甄別一些潛在的或者明面上存在的相關(guān)信息安全風(fēng)險(xiǎn)，在充分分析這些風(fēng)險(xiǎn)的來源、發(fā)生概率以及危害程度的基礎(chǔ)上，接著采取相應(yīng)的手段和方式加以有效的控制，因此在此過程中，安全風(fēng)險(xiǎn)的甄別與控制對財(cái)務(wù)外包有著重要的影響，甚至在某種程度上可以決定著財(cái)務(wù)外包是否能夠成功。公司財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)主要有以下幾個(gè)方面：

第一、信息泄露的風(fēng)險(xiǎn)。信息泄露風(fēng)險(xiǎn)是公司財(cái)務(wù)外包所面臨的發(fā)生概率最大的信息安全風(fēng)險(xiǎn)。此風(fēng)險(xiǎn)的發(fā)生雖然有諸多因素引起的，但最主要的因素就是客戶公司重要信息或者數(shù)據(jù)的保密程度不夠，或者承包商在采取保密過程中所采用的保密措施不夠完善。因此外包商對于客戶的資料是否依據(jù)實(shí)際情況建立了比較嚴(yán)格的保密制度，對于承包商內(nèi)部的員工是否明確了相關(guān)責(zé)任追究制度來避免信息泄露風(fēng)險(xiǎn)的發(fā)生。這些因素都會(huì)對承包商內(nèi)部員工產(chǎn)生影響，進(jìn)而會(huì)有承包商內(nèi)部員工將其所接觸到的客戶信息泄露的可能。

第二、信息被丟失的風(fēng)險(xiǎn)。信息被丟失主要發(fā)生在信息傳遞以及信息處理時(shí)，有可能在外包過程中承包商的相關(guān)技術(shù)不夠完善或者不虺墑歟因此其相關(guān)技術(shù)在穩(wěn)定性以及安全性上仍有不足之處。承包商在面對信息丟失事故時(shí)所采取的補(bǔ)救措施是否得當(dāng)合理、采用補(bǔ)救和預(yù)防技術(shù)的時(shí)效性，這些因素處理的效率和效果都會(huì)在一定程度上對信息丟失產(chǎn)生重要的影響。

第三、信息被盜取的風(fēng)險(xiǎn)。發(fā)生此風(fēng)險(xiǎn)主要的原因在于外包商對于自己客戶的信息資料保護(hù)措施做得不夠好，相關(guān)保護(hù)制度不完善，以致于在保護(hù)制度或者措施上存在漏洞。因此當(dāng)公司進(jìn)行財(cái)務(wù)外包時(shí)，承包商是否采取相應(yīng)的措施來對客戶的信息建立起有效的管理制度，以及承包商專業(yè)團(tuán)隊(duì)成員的整體素質(zhì)情況等，這些因素實(shí)施的好壞，都會(huì)對企業(yè)信息被盜造成了重要的影響。另外，對信息進(jìn)行承包的企業(yè)屬于服務(wù)性行業(yè)，這個(gè)行業(yè)的特點(diǎn)也決定了其內(nèi)部員工的流動(dòng)性也比較大，因此在人才流動(dòng)的過程中也在一定程度上加大了所承包企業(yè)在信息經(jīng)營過程中被盜的風(fēng)險(xiǎn)，而且這個(gè)風(fēng)險(xiǎn)不容易完全規(guī)避。

四、財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)的控制

若想進(jìn)行全面而有效的控制，因此要結(jié)合公司所處的環(huán)境以及自身的特點(diǎn)，從外包的全過程入手，在整體全局上建立合適的控制機(jī)制，從而從全過程以及全方位的減少和防范財(cái)務(wù)外包后所帶來的不確定的各種信息安全風(fēng)險(xiǎn)，進(jìn)而最大限度的為公司安全運(yùn)營服務(wù)，公司在進(jìn)行財(cái)務(wù)外包前要建立信息安全風(fēng)險(xiǎn)的相關(guān)防范機(jī)制，可以從以下三個(gè)方面來入手：

第一，慎重選擇承包商。唯有慎重選擇外包商，才能在有效的降低財(cái)務(wù)外包的風(fēng)險(xiǎn)，這是第一步，同時(shí)這也是最關(guān)鍵的一步。在決定承包商之前，要詳細(xì)的了解承包商的信譽(yù)度，因?yàn)樾抛u(yù)是經(jīng)過常年累月積累起來的，因此一般情況下信譽(yù)良好的承包商，因?yàn)樗鼈儾坏Ｃ芄ぷ髯龅煤?，并且各?xiàng)技術(shù)也比較齊全，這些都是保證公司財(cái)務(wù)外包信息安全的物質(zhì)基礎(chǔ)。并且要有幾個(gè)備選的外包商公司，來進(jìn)行綜合的比較，擇優(yōu)錄取。另外公司還需要時(shí)刻關(guān)注外包商的相關(guān)工作是否有相關(guān)合法的知識產(chǎn)權(quán)保護(hù)制度，這可以在法律層面保護(hù)公司的財(cái)務(wù)外包信息安全。

第二，與外包商簽訂相關(guān)的安全信息合同或者協(xié)議。為了保證公司財(cái)務(wù)外包信息的安全，公司應(yīng)該與承包商簽訂詳細(xì)合理的信息安全協(xié)議，并且要合法的、詳細(xì)的列舉公司與承包商的權(quán)利和義務(wù)，嚴(yán)格控制承包商所擁有的權(quán)限，禁止其有越權(quán)的行為，并且在今后實(shí)施的過程中，要求承包商依法對信息安全做出承諾。在實(shí)施過程中若因?yàn)橥獍痰脑蛟斐傻男畔⑿孤痘蛘邅G失進(jìn)而對委托方造成經(jīng)濟(jì)損失的，那么在合同或者協(xié)議中要明確規(guī)定具體相關(guān)的補(bǔ)償辦法和措施來對委托方進(jìn)行相應(yīng)的補(bǔ)償。由于財(cái)務(wù)外包還屬于新興的產(chǎn)業(yè)仍處于發(fā)展初期，因此目前仍無完善的法律法規(guī)對其進(jìn)行規(guī)范和約束，這也是財(cái)務(wù)外包發(fā)展所面臨的障礙。目前我國的信譽(yù)體系仍比較脆弱，并不能完全滿足其快速發(fā)展的需求，因此唯有訂立嚴(yán)格周全的信息安全協(xié)議才能在法律層面為公司的信息安全提供最堅(jiān)定的保障。

第三，合理選擇財(cái)務(wù)外包的內(nèi)容。公司在決定進(jìn)行財(cái)務(wù)外包前，應(yīng)對財(cái)務(wù)業(yè)務(wù)鏈上的每個(gè)環(huán)節(jié)進(jìn)行檢查，優(yōu)先將一些非核心的業(yè)務(wù)外包出去，隨著公司與外包商逐步建立起合作信任關(guān)系后，在考慮外包一些重要的、核心的業(yè)務(wù)。對于一些外包后信息安全存在較大風(fēng)險(xiǎn)的業(yè)務(wù)，公司要慎重考慮，最好不進(jìn)行外包。這樣公司選擇的余地更大，更能充分利用外包商的核心優(yōu)勢，并且還可以起到分散風(fēng)險(xiǎn)的作用。

五、總結(jié)

本文在分析財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)的內(nèi)涵的基礎(chǔ)上，給出了財(cái)務(wù)外包的有關(guān)定義。并結(jié)合其定義來對財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)進(jìn)行甄別：有信息泄露的風(fēng)險(xiǎn)、信息被丟失的風(fēng)險(xiǎn)以及信息被盜取的風(fēng)險(xiǎn)。針對這些風(fēng)險(xiǎn)采取了一些風(fēng)險(xiǎn)控制的措施：有慎重選擇外包商、與外包商簽訂相關(guān)的安全信息合同或者協(xié)議以及合理選擇財(cái)務(wù)外包的內(nèi)容。通過這些措施可以有效地減少財(cái)務(wù)外包的信息安全風(fēng)險(xiǎn)，并未財(cái)務(wù)外包的發(fā)展做出相應(yīng)的貢獻(xiàn)。

參考文獻(xiàn)：

[1]羅艷.財(cái)務(wù)外包風(fēng)險(xiǎn)規(guī)避的探討[D].江西財(cái)經(jīng)大學(xué)，2010.

[2]柳金葉.企業(yè)財(cái)務(wù)外包風(fēng)險(xiǎn)管理研究[D].東北石油大學(xué)，2011.

[3]雷振紅.高校信息安全服務(wù)外包風(fēng)險(xiǎn)的管理與控制[D].昆明理工大學(xué)，2009.

篇3

【中圖分類號】TP311【文獻(xiàn)標(biāo)識碼】A【文章編號】1672-5158（2013）02-0057-02

一、單位網(wǎng)絡(luò)信息安全現(xiàn)狀

經(jīng)過多年的信息化建設(shè)，財(cái)務(wù)結(jié)算中心已建成千兆互聯(lián)到終端桌面，所使用的主要財(cái)務(wù)軟件如下：

（1）中原油田財(cái)務(wù)結(jié)算系統(tǒng)（安裝該系統(tǒng)僅為查詢歷史財(cái)務(wù)數(shù)據(jù)）。

（2）中國石化資金集中管理信息系統(tǒng)。

（3）中國石化會(huì)計(jì)集中管理信息系統(tǒng)。

（4）中原油田關(guān)聯(lián)交易系統(tǒng)。

在網(wǎng)絡(luò)應(yīng)用方面，與日常工作密切相關(guān)的財(cái)務(wù)應(yīng)用系統(tǒng)相繼投入使用，網(wǎng)絡(luò)信息安全系統(tǒng)的建設(shè)卻相對薄弱。

1、網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀

近幾年，隨著局域網(wǎng)規(guī)模的日益擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備日趨復(fù)雜，網(wǎng)絡(luò)病毒、黑客攻擊、網(wǎng)絡(luò)欺騙、IP盜用、非法接入等現(xiàn)象，給中心網(wǎng)絡(luò)的管理、維護(hù)帶來了前所未有的挑戰(zhàn)。中心網(wǎng)絡(luò)、員工微機(jī)經(jīng)常受到油田局域網(wǎng)以及來自大網(wǎng)非法連接的攻擊，IP地址沖突時(shí)有發(fā)生。ARP攻擊導(dǎo)致網(wǎng)絡(luò)中斷、甚至癱瘓；病毒、蠕蟲、木馬、惡意代碼等則可能通過網(wǎng)絡(luò)傳遞進(jìn)來，造成操作系統(tǒng)崩潰、財(cái)務(wù)數(shù)據(jù)丟失、泄漏。而各類財(cái)務(wù)軟件的日常應(yīng)用，必然要進(jìn)行各種外連和數(shù)據(jù)傳遞。如何進(jìn)行安全地連接網(wǎng)絡(luò)、傳輸數(shù)據(jù)，日益成為中心亟待解決的問題。

2、網(wǎng)絡(luò)信息監(jiān)控狀況

對于互聯(lián)網(wǎng)出口的外發(fā)信息無法進(jìn)行記錄和查詢，缺乏有效的信息審計(jì)和日志保存手段，從而不能有效貫徹和滿足油田以及國家關(guān)于企業(yè)網(wǎng)絡(luò)安全管理制度的落實(shí)。

來自網(wǎng)絡(luò)的安全威脅日益增多，很多威脅并不是以網(wǎng)絡(luò)入侵的形式進(jìn)行的，這些威脅事件多數(shù)是來自于油田局域網(wǎng)內(nèi)部合法用戶的誤操作或惡意操作，僅靠系統(tǒng)自身的日志功能并不能滿足對這些網(wǎng)絡(luò)安全事件的審計(jì)要求，網(wǎng)絡(luò)安全審計(jì)通常要求專門細(xì)致的協(xié)議分析技術(shù)，完整的跟蹤能力和數(shù)據(jù)查詢過程回放等功能實(shí)現(xiàn)。

3、上網(wǎng)行為管理能力

中心網(wǎng)絡(luò)資源能否合理使用，帶寬是否會(huì)被非工作需要的網(wǎng)絡(luò)應(yīng)用占用，日常工作所需的網(wǎng)絡(luò)流量和穩(wěn)定性能否得到保障，當(dāng)網(wǎng)絡(luò)出現(xiàn)擁堵，或者異常流量、異常攻擊爆發(fā)時(shí)，是否能及時(shí)分析、排查流量使用情況并幾時(shí)進(jìn)行有效控制，這些狀況主要表現(xiàn)為：網(wǎng)絡(luò)用戶非工作范疇（用于娛樂）的網(wǎng)絡(luò)應(yīng)用流量極大，如：各類多線程P2P軟件下載、大型網(wǎng)絡(luò)游戲、P2P類的音視頻、網(wǎng)絡(luò)電視等應(yīng)用。

二、中心網(wǎng)絡(luò)信息安全建設(shè)目標(biāo)

為了確保信息資產(chǎn)的價(jià)值不受侵犯，保證信息資產(chǎn)擁有者面臨最小的安全風(fēng)險(xiǎn)和獲取最大的安全利益，使包含物理環(huán)境、網(wǎng)絡(luò)通訊、操作系統(tǒng)、應(yīng)用平臺(tái)和信息數(shù)據(jù)等各個(gè)層面在內(nèi)的整體網(wǎng)絡(luò)信息系統(tǒng)具有抵御各種安全威脅的能力，我們制訂了如下的安全目標(biāo)：

1、保密性

確保各類財(cái)務(wù)數(shù)據(jù)不會(huì)泄漏給任何未經(jīng)授權(quán)的個(gè)人和實(shí)體，或供其使用。

2、可用性

確保財(cái)務(wù)信息系統(tǒng)正常運(yùn)轉(zhuǎn)，并保證合法用戶對財(cái)務(wù)信息的使用不會(huì)被不正當(dāng)?shù)鼐芙^。

3、完整性

防止財(cái)務(wù)信息被未經(jīng)授權(quán)的篡改，保證真實(shí)的信息從真實(shí)的信源無失真地到達(dá)真實(shí)的信宿。

4、真實(shí)性

應(yīng)能對通訊實(shí)體所宣稱身份的真實(shí)性進(jìn)行準(zhǔn)確鑒別。

5、可控性

保證財(cái)務(wù)數(shù)據(jù)不被非法訪問及非授權(quán)訪問，并能夠控制使用資源的人或?qū)嶓w對資源的使用方式。

6、不可抵賴性

應(yīng)建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為。

7、可審查性

應(yīng)能記錄一個(gè)實(shí)體的全部行為，為出現(xiàn)的網(wǎng)絡(luò)安全問題提供有效的調(diào)查依據(jù)和手段。

8、可管理性

應(yīng)提供統(tǒng)一有效的安全管理機(jī)制和管理規(guī)章制度，這是確保信息系統(tǒng)各項(xiàng)安全性能有效實(shí)現(xiàn)的根本保障，同時(shí)合理有效的安全管理可以在一定程度上彌補(bǔ)技術(shù)上無法實(shí)現(xiàn)的安全目標(biāo)。

三、中心網(wǎng)絡(luò)信息安全建設(shè)方案

通過上述對中心網(wǎng)絡(luò)的現(xiàn)狀及安全需求分析，并結(jié)合油田網(wǎng)絡(luò)安全與信息安全的具體要求，我們建議實(shí)施部署網(wǎng)絡(luò)出口防火墻系統(tǒng)、網(wǎng)絡(luò)日志審計(jì)系統(tǒng)、網(wǎng)絡(luò)訪問內(nèi)容和行為審計(jì)系統(tǒng)。

1、網(wǎng)絡(luò)出口防火墻系統(tǒng)

防火墻是基于網(wǎng)絡(luò)處理器技術(shù)（NP）的硬件高速狀態(tài)防火墻，不僅支持豐富的協(xié)議狀態(tài)檢測及地址轉(zhuǎn)換功能，而且具備強(qiáng)大的攻擊防范能力，提供靜態(tài)和動(dòng)態(tài)黑名單過濾等特性，可提供豐富的統(tǒng)計(jì)分析功能和日志。能有效實(shí)現(xiàn)過濾垃圾殘包、攔截惡意代碼，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)和資源的安全。

將防火墻透明接入到原有網(wǎng)絡(luò)中的出口處，采用應(yīng)用層透明的方式對用戶對外網(wǎng)的訪問進(jìn)行應(yīng)用層解析控制。在防火墻上劃分兩個(gè)區(qū)域：外網(wǎng)區(qū)域、內(nèi)網(wǎng)區(qū)域，防火墻可以橋接入到原有的用戶網(wǎng)絡(luò)中，或者接到核心交換機(jī)上。保證所有的數(shù)據(jù)流經(jīng)過防火墻以便完成應(yīng)用層的過濾。

2、部署網(wǎng)絡(luò)訪問內(nèi)容和行為審計(jì)系統(tǒng)

安全審計(jì)系統(tǒng)是一個(gè)安全的網(wǎng)絡(luò)必須支持的功能特性，審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所訪問的全部資源及訪問的過程，它是提高網(wǎng)絡(luò)安全的重要工具，對于確定是否有網(wǎng)絡(luò)攻擊的情況，確定問題和攻擊源很重要。而行為審計(jì)系統(tǒng)通過對網(wǎng)絡(luò)信息內(nèi)容的完全監(jiān)控和記錄，為網(wǎng)絡(luò)管理員或安全審計(jì)員提供對網(wǎng)絡(luò)信息泄密事件進(jìn)行有效的監(jiān)控和取證；也可以完全掌握員工上網(wǎng)情況，比如是否在工作時(shí)間上網(wǎng)沖浪、網(wǎng)上聊天、是否訪問內(nèi)容不健康的網(wǎng)站、是否通過網(wǎng)絡(luò)泄漏了機(jī)密信息等等，對于不符合安全策略的網(wǎng)上行為進(jìn)行記錄，并可對這些行為進(jìn)行回放，進(jìn)行跟蹤和審計(jì)。

3、部署網(wǎng)絡(luò)日志審計(jì)系統(tǒng)

日志審計(jì)系統(tǒng)為不同的網(wǎng)絡(luò)設(shè)備提供了統(tǒng)一的日志管理分析平臺(tái)，打破了企業(yè)中不同網(wǎng)絡(luò)設(shè)備之間存在的信息鴻溝。系統(tǒng)提供了強(qiáng)大監(jiān)控能力，實(shí)現(xiàn)了從網(wǎng)絡(luò)到設(shè)備直至應(yīng)用系統(tǒng)的監(jiān)控。在對日志信息的集中、關(guān)聯(lián)分析的基礎(chǔ)上，有效地實(shí)現(xiàn)了全網(wǎng)的安全預(yù)警、入侵行為的實(shí)時(shí)發(fā)現(xiàn)、入侵事件動(dòng)態(tài)響應(yīng)，通過與其它安全設(shè)備的聯(lián)動(dòng)來真正實(shí)現(xiàn)動(dòng)態(tài)防御。

部署日志審計(jì)系統(tǒng)主要功能：1）海量的數(shù)據(jù)日志：系統(tǒng)全面支持安全設(shè)備 （如防火墻，IDS、AV）、網(wǎng)絡(luò)設(shè)備 （如Router、Switch）、應(yīng)用系統(tǒng) （如WEB、Mail、Ftp、Database）、操作系統(tǒng) （如Windows、Linux、Unix） 等多種產(chǎn)品及系統(tǒng)的日志數(shù)據(jù)的采集和分析。2）安全狀況的全面解析：幫助管理員對網(wǎng)絡(luò)事件進(jìn)行深度的挖掘分析，從不同角度進(jìn)行網(wǎng)絡(luò)事件的可視化分析。

四、結(jié)束語

篇4

關(guān)鍵詞：金融機(jī)構(gòu)；信息系統(tǒng)；軟件系統(tǒng)；網(wǎng)絡(luò)系統(tǒng)；安全性

隨著金融系統(tǒng)信息化改革的逐步推行，計(jì)算機(jī)與網(wǎng)絡(luò)系統(tǒng)已大規(guī)模的應(yīng)用在金融領(lǐng)域。但是應(yīng)該看到，信息系統(tǒng)為金融機(jī)構(gòu)帶來便捷與利益的同時(shí)，也帶來了前所未有的安全問題。在這種情況下，加強(qiáng)對金融機(jī)構(gòu)信息系統(tǒng)的監(jiān)管及風(fēng)險(xiǎn)防范就變得十分重要。

財(cái)務(wù)公司作為非銀行業(yè)金融機(jī)構(gòu)，不僅每天都有大量的資金流動(dòng)，還貯存著各種極其敏感的客戶資料，甚至涉及很多高度的商務(wù)機(jī)密，所以財(cái)務(wù)公司的內(nèi)部網(wǎng)絡(luò)安全問題非常重要，同時(shí)由于互聯(lián)網(wǎng)的飛速發(fā)展和黑客數(shù)量的不斷增長，這個(gè)問題也變得越來越急迫。

馬鋼財(cái)務(wù)公司網(wǎng)絡(luò)信息系統(tǒng)的結(jié)構(gòu)，根據(jù)可能出現(xiàn)的風(fēng)險(xiǎn)，提出不同的的網(wǎng)絡(luò)安全需求。其中按不同功能的子系統(tǒng)的網(wǎng)絡(luò)劃分為資金系統(tǒng)網(wǎng)、賬務(wù)系統(tǒng)網(wǎng)、辦公自動(dòng)化網(wǎng)絡(luò)和測試系統(tǒng)網(wǎng)中，以生產(chǎn)用資金系統(tǒng)網(wǎng)與賬務(wù)系統(tǒng)網(wǎng)作為最高級別的安全需求，采取比較高級別的安全策略。資金系統(tǒng)網(wǎng)、賬務(wù)系統(tǒng)網(wǎng)與其他網(wǎng)絡(luò)相隔離，其內(nèi)部也要實(shí)施高等級的安全策略；測試系統(tǒng)網(wǎng)雖然與生產(chǎn)網(wǎng)是相互隔離的，但測試系統(tǒng)網(wǎng)中存放著大量從資金系統(tǒng)與賬務(wù)系統(tǒng)中拷貝過來的生產(chǎn)信息。所以，測試系統(tǒng)網(wǎng)也應(yīng)采取中等級別的安全策略。

具體來說，財(cái)務(wù)公司的信息系統(tǒng)安全需求與針對需求采取有效措施主要有以下幾個(gè)方面：

1 合理的網(wǎng)絡(luò)結(jié)構(gòu)與安全措施

合理地規(guī)劃網(wǎng)絡(luò)邊界和功能，合理地設(shè)置網(wǎng)絡(luò)接口，對各功能子網(wǎng)特別是生產(chǎn)網(wǎng)進(jìn)行詳細(xì)的VLAN劃分，以便于隔離問題，使結(jié)構(gòu)可管理，接口可控制。在網(wǎng)絡(luò)邊界處部署防火墻與入侵預(yù)防系統(tǒng)ips。見圖1-1馬鋼財(cái)務(wù)公司網(wǎng)絡(luò)實(shí)施方案。整個(gè)網(wǎng)絡(luò)組建在馬鋼集團(tuán)網(wǎng)環(huán)境內(nèi)。物理通過2個(gè)防火墻組成一個(gè)相對獨(dú)立的網(wǎng)絡(luò)環(huán)境。并對不同的功能區(qū)域設(shè)置不同的Vlan，形成了不同功能區(qū)域之間的網(wǎng)絡(luò)隔離。

2 用戶身份鑒別

在資金系統(tǒng)與賬務(wù)系統(tǒng)中通過服務(wù)器電子證書（CFCA）與用戶名、密碼雙重認(rèn)證，對終端和用戶的合法性進(jìn)行鑒別認(rèn)證，防范非法用戶假冒合法用戶進(jìn)入系統(tǒng)。

3 數(shù)據(jù)通信加密

所有使用公共網(wǎng)絡(luò)的成員單位與馬鋼財(cái)務(wù)公司間通信必須使用虛擬專用網(wǎng)vpn，以防止數(shù)據(jù)泄密，同時(shí)防止遭受來自通信線路上的非法截獲、分析、篡改、重放等。財(cái)務(wù)公司與銀行間通信使用專線，徹底避免了數(shù)據(jù)泄密。

4 病毒防范

建立網(wǎng)絡(luò)病毒防范體系，采用先進(jìn)的網(wǎng)絡(luò)防病毒技術(shù)，通過趨勢科技?xì)⒍拒浖θ到y(tǒng)實(shí)施網(wǎng)絡(luò)防范病毒策略，在全網(wǎng)絡(luò)范圍內(nèi)對病毒進(jìn)行有效的預(yù)防、隔離，并在保證數(shù)據(jù)完整性的前提下清除病毒。對病毒庫與安全策略進(jìn)行定期更新，保證殺毒軟件可以防范最新的病毒與惡意攻擊手段。

5 數(shù)據(jù)備份

當(dāng)系統(tǒng)出現(xiàn)不可逆的災(zāi)難性故障時(shí)數(shù)據(jù)備份就顯得極其重要。建立備份和恢復(fù)機(jī)制，對重要的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)和數(shù)據(jù)進(jìn)行備份，在遭受攻擊時(shí)，能夠盡快地恢復(fù)網(wǎng)絡(luò)系統(tǒng)服務(wù)和數(shù)據(jù)環(huán)境，將損失降到最低程度。馬鋼財(cái)務(wù)公司采用了Symantec BackupExec和NetBackup產(chǎn)品系列作為信息系統(tǒng)數(shù)據(jù)集中備份解決方案。設(shè)備上使用了一臺(tái)IBM 3650M3作為備份服務(wù)器，負(fù)責(zé)整個(gè)備份系統(tǒng)的管理，包括備份策略的制訂、備份工作的調(diào)度、備份數(shù)據(jù)庫的保存、數(shù)據(jù)恢復(fù)等。備份服務(wù)器通過光纖連接磁帶庫，并通過備份軟件NBU進(jìn)行磁帶庫中機(jī)械手和磁帶驅(qū)動(dòng)器的控制。其他有備份需求的服務(wù)器上安裝備份軟件的客戶端軟件，根據(jù)備份策略中定義的備份時(shí)間，自動(dòng)將數(shù)據(jù)通過網(wǎng)絡(luò)備份到磁盤和磁帶庫，無須人工干預(yù)。在需要時(shí)可以自己恢復(fù)或者通過備份服務(wù)器由管理員進(jìn)行恢復(fù)。除了安裝備份軟件的客戶端軟件外，根據(jù)數(shù)據(jù)庫服務(wù)器需要安裝了備份軟件的數(shù)據(jù)庫（Oracle）軟件，可以實(shí)現(xiàn)在線數(shù)據(jù)庫備份。

為保障業(yè)務(wù)的持續(xù)性和信息系統(tǒng)數(shù)據(jù)安全，除了將數(shù)據(jù)備份存儲(chǔ)在本機(jī)介質(zhì)中外，還建立了一套異地?cái)?shù)據(jù)備份機(jī)制將數(shù)據(jù)備份到異地容災(zāi)中心。

通過一系列的成熟的措施，馬鋼財(cái)務(wù)公司構(gòu)建一個(gè)相對安全的系統(tǒng)環(huán)境，最大限度的保證了資金與信息的安全。但隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)病毒與網(wǎng)絡(luò)攻擊手段也在不斷變異更新。預(yù)防措施的更新都是在系統(tǒng)安全受到威脅而發(fā)生的，要想做到系統(tǒng)長期的穩(wěn)定，必須實(shí)時(shí)的關(guān)注系統(tǒng)防護(hù)的最新趨勢，不斷引入系統(tǒng)防護(hù)新措施，調(diào)整系統(tǒng)的安全策略。

參考文獻(xiàn)

篇5

1財(cái)務(wù)信息安全的重要性

在現(xiàn)代經(jīng)濟(jì)結(jié)構(gòu)中，企業(yè)是帶動(dòng)經(jīng)濟(jì)發(fā)展的重要部分，網(wǎng)絡(luò)時(shí)代更是讓這一點(diǎn)更加明顯，它打破了企業(yè)傳統(tǒng)的管理模式和財(cái)務(wù)模式，實(shí)現(xiàn)了企業(yè)的信息化，在這樣的大環(huán)境下，財(cái)務(wù)信息化代替了傳統(tǒng)手工記賬，大大便利了財(cái)務(wù)信息的處理。財(cái)務(wù)信息化系統(tǒng)是在不改變財(cái)務(wù)本質(zhì)的基礎(chǔ)上，將計(jì)算機(jī)運(yùn)用到會(huì)計(jì)領(lǐng)域，是一種按照現(xiàn)代企業(yè)管理的思想設(shè)計(jì)的基于計(jì)算機(jī)技術(shù)的現(xiàn)代企業(yè)財(cái)務(wù)信息系統(tǒng)。通過這樣的信息化系統(tǒng)能夠?qū)崿F(xiàn)財(cái)務(wù)數(shù)據(jù)的多元化管理，大大減輕了財(cái)務(wù)人員的工作量，運(yùn)用計(jì)算機(jī)程序軟件，避免了手工記賬容易出現(xiàn)的數(shù)據(jù)運(yùn)算錯(cuò)誤，為財(cái)務(wù)信息使用者實(shí)施經(jīng)濟(jì)管理與決策提供及時(shí)、準(zhǔn)確、系統(tǒng)的信息。但財(cái)務(wù)信息化在提高工作效率的同時(shí)，由于處于網(wǎng)絡(luò)環(huán)境下，也增加了財(cái)務(wù)數(shù)據(jù)泄露的風(fēng)險(xiǎn)。只有解決了能導(dǎo)致財(cái)務(wù)信息安全問題的因素，才能真正意義上地實(shí)現(xiàn)財(cái)務(wù)信息化的目的，促進(jìn)企業(yè)又好又快的發(fā)展。近年來，企業(yè)由于信息泄露引起損失的事件層出不窮，這些都在警示我們信息安全的重要。一個(gè)企業(yè)經(jīng)濟(jì)的核心部分就是財(cái)務(wù)數(shù)據(jù)。通過財(cái)務(wù)信息可以反映企業(yè)的財(cái)務(wù)問題，企業(yè)的運(yùn)營狀況以及未來的發(fā)展方向，特別在當(dāng)今經(jīng)濟(jì)全球化的環(huán)境下，隨著企業(yè)規(guī)模和涉及行業(yè)的擴(kuò)大，財(cái)務(wù)信息更是起到越來越重要的作用，部門負(fù)責(zé)人可以清楚地獲悉自己所管理的部分的完整、全面、細(xì)致的記錄，財(cái)務(wù)人員將財(cái)務(wù)信息最后編制成資產(chǎn)負(fù)債表、利潤表、現(xiàn)金流量表等供企業(yè)管理者和其他使用人員查閱，管理者通過對財(cái)務(wù)信息評估及時(shí)發(fā)現(xiàn)管理上存在的問題，根據(jù)企業(yè)的資金運(yùn)行，更好地策劃企業(yè)的經(jīng)濟(jì)業(yè)務(wù)活動(dòng)，投資者通過財(cái)務(wù)信息獲取企業(yè)的財(cái)務(wù)狀況和經(jīng)營成果，以便進(jìn)行合理投資決策。

2影響財(cái)務(wù)信息安全的因素分析

21互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)

首先，外面互聯(lián)網(wǎng)安全隱患。為了滿足在多個(gè)地區(qū)處理事情的需求，公司財(cái)務(wù)軟件大部分與外部網(wǎng)絡(luò)連接，運(yùn)用非常先進(jìn)的互聯(lián)網(wǎng)來達(dá)成對財(cái)務(wù)信息軟件的不同區(qū)域的低花費(fèi)、高效率地查詢和利用?？墒且搽S之產(chǎn)生很多安全隱憂：①不具有權(quán)限的訪問：比如財(cái)務(wù)工作者運(yùn)用的電腦安全級別太低，被黑客運(yùn)用，冒充身份攻破公司財(cái)務(wù)信息軟件實(shí)施不當(dāng)操作或者謀取秘密材料。例如，從美國國防部網(wǎng)站被改頭換面到我國163網(wǎng)站的崩潰，從微軟公司的開發(fā)藍(lán)圖被竊取到美國總統(tǒng)克林頓的信用卡信息被盜，這些都可以看出黑客對于互聯(lián)網(wǎng)系統(tǒng)的危害。②信息安全性無法保證：財(cái)務(wù)工作者在利用外部互聯(lián)網(wǎng)登錄財(cái)務(wù)信息軟件時(shí)，信息在互聯(lián)網(wǎng)傳送過程中被違法分子截留，進(jìn)而造成重要信息的泄露。例如，工作人員在對企業(yè)的信用卡賬號進(jìn)行網(wǎng)上輸入時(shí)，信用卡信息則可能會(huì)被不法分子從網(wǎng)上將其攔截，了解了該信用卡信息之后，他便可以利用此號碼在網(wǎng)上進(jìn)行各類支付以及違法交易。③惡意代碼：電腦病毒是造成互聯(lián)網(wǎng)數(shù)據(jù)存在安全隱患的關(guān)鍵要素，病毒利用客戶段計(jì)算機(jī)傳遞到公司局域網(wǎng)，可導(dǎo)致財(cái)務(wù)信息軟件的無法正常使用、信息丟失等諸多不良結(jié)果。

22企業(yè)運(yùn)用的財(cái)務(wù)軟件存在的問題

企業(yè)財(cái)務(wù)軟件是財(cái)務(wù)信息化運(yùn)作的基礎(chǔ)，不同的財(cái)務(wù)軟件有不同的操作方法，有些操作的功能相同，但操作過程卻有區(qū)別。一個(gè)設(shè)計(jì)合理、功能優(yōu)越的財(cái)務(wù)軟件可以從功能和內(nèi)容讓使用人員相互牽制、互相監(jiān)督，這樣有利于加強(qiáng)人員管理，起到最基礎(chǔ)的堵塞漏洞的作用。在應(yīng)用軟件的研制過程中，對容易出現(xiàn)問題的軟件功能、細(xì)節(jié)等地方，全靠研究人員的多方面思量，如果考慮不周就有可能使得實(shí)際工作中出現(xiàn)與預(yù)想不同的結(jié)果，進(jìn)一步導(dǎo)致整個(gè)結(jié)果有差錯(cuò)。如果有這種問題存在的話，在實(shí)際處理中，當(dāng)輸入原始資料，在軟件程序的控制下就會(huì)出現(xiàn)多個(gè)結(jié)果，這樣的問題直接影響到數(shù)據(jù)的真實(shí)、安全。在財(cái)務(wù)信息化深入企業(yè)之后，財(cái)務(wù)軟件成為了財(cái)務(wù)信息化的運(yùn)行平臺(tái)，我國常用的財(cái)務(wù)軟件就是用友軟件和金蝶軟件。在這兩個(gè)軟件中也有不足之處。比如，用友軟件中，在填制采購及銷售訂單時(shí)，系統(tǒng)不要求輸入采購或銷售人員等相關(guān)經(jīng)手人員。這樣的問題對多數(shù)要求按業(yè)務(wù)員進(jìn)行訂單匯總的企業(yè)來說，不輸入采購或銷售人員信息，不便于匯總管理，而且如果日后出現(xiàn)問題，也對落實(shí)責(zé)任非常不利。而在金蝶軟件中，相比用友軟件的能夠增加、刪除、修改等功能，金蝶K3中只有查詢權(quán)和管理權(quán)，對用戶的職能設(shè)置不夠完美，安全性不高。

23企業(yè)內(nèi)部控制存在失效的可能性

在企業(yè)中，財(cái)務(wù)的目標(biāo)、技術(shù)手段、財(cái)務(wù)的職能、功能范圍以及系統(tǒng)層次等都會(huì)由于財(cái)務(wù)信息系統(tǒng)的特征而發(fā)生較大的改變，企業(yè)的內(nèi)部控制也在逐漸的與財(cái)務(wù)信息系統(tǒng)的變化相適應(yīng)，但是，其適應(yīng)的過程是一個(gè)不斷完善的過程，目前的企業(yè)內(nèi)部控制并不健全，內(nèi)部控制存在失效的可能性。例如，企業(yè)財(cái)務(wù)人員在對數(shù)字字段進(jìn)行錄入的過程中由于疏忽大意輸錯(cuò)了字段，利用鍵盤輸入時(shí)按錯(cuò)了鍵盤，對數(shù)據(jù)進(jìn)行了顛倒，使用無序的代碼或者是從錯(cuò)誤的憑單上轉(zhuǎn)錄數(shù)據(jù)等，這些問題實(shí)質(zhì)的發(fā)生了卻無人察覺，從而使得財(cái)務(wù)信息系統(tǒng)的數(shù)據(jù)出現(xiàn)失真的問題。

3預(yù)防及解決財(cái)務(wù)信息安全問題的方法

31完善企業(yè)財(cái)務(wù)軟件的開發(fā)，做好系統(tǒng)維護(hù)工作

財(cái)務(wù)軟件是財(cái)務(wù)人員實(shí)際工作中自己操作的，也是財(cái)務(wù)信息錄入后處理的重要部分，軟件的好壞、是否適合本企業(yè)的財(cái)務(wù)操作，功能是否完善都會(huì)影響到財(cái)務(wù)信息的安全。因此，完善企業(yè)財(cái)務(wù)軟件的開發(fā)要在日常做好軟件的升級、更新、系統(tǒng)維護(hù)等，配備功能完善的財(cái)務(wù)電算化軟件，請專門的軟件研發(fā)人員定期對系統(tǒng)進(jìn)行檢查，以確保財(cái)務(wù)軟件處于正常、良好的運(yùn)行狀態(tài)。

32提高安全管理意識和能力

不斷加強(qiáng)對財(cái)務(wù)信息系統(tǒng)控制管理人員的安全管理教育，提高財(cái)務(wù)信息系統(tǒng)操作過程中的安全意識。向工作人員介紹現(xiàn)代網(wǎng)絡(luò)環(huán)境對財(cái)務(wù)信息網(wǎng)絡(luò)造成的重要安全威脅，加深系統(tǒng)操作管理人員對加強(qiáng)安全管理的認(rèn)識，提高工作人員對系統(tǒng)內(nèi)部控制的風(fēng)險(xiǎn)防范意識。注意培養(yǎng)財(cái)會(huì)人員和管理人員的綜合業(yè)務(wù)素質(zhì)，聘請專業(yè)財(cái)會(huì)管理人員對企業(yè)財(cái)務(wù)部門的工作人員進(jìn)行指導(dǎo)培訓(xùn)，加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)知識的教育，提高工作人員計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)理論水平和操作實(shí)踐水平，保證財(cái)務(wù)信息系統(tǒng)操作管理人員能夠熟練掌握計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)，不斷適應(yīng)廣闊多變的外部網(wǎng)絡(luò)環(huán)境。另外，相關(guān)財(cái)務(wù)從業(yè)人員在進(jìn)行財(cái)務(wù)信息系統(tǒng)相關(guān)活動(dòng)中存在道德風(fēng)險(xiǎn)，開放的網(wǎng)絡(luò)需要更為嚴(yán)格、嚴(yán)謹(jǐn)?shù)陌踩煞ㄒ?guī)，因此網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)需要有特別針對性的安全控制制度，這需要在將來的探索實(shí)踐中逐步實(shí)現(xiàn)。

33加強(qiáng)對財(cái)務(wù)信息系統(tǒng)控制管理的監(jiān)督

篇6

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）34-0024-01

傳統(tǒng)的財(cái)務(wù)信息數(shù)據(jù)管理傳輸方式往往在時(shí)間性、效率上較差，導(dǎo)致管理成本高，信息不準(zhǔn)確[1]，嚴(yán)重影響了財(cái)務(wù)管理工作的正常運(yùn)行。隨著高校辦學(xué)規(guī)模的不斷擴(kuò)大及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，網(wǎng)絡(luò)財(cái)務(wù)得到了廣泛的發(fā)展。財(cái)務(wù)信息被存儲(chǔ)在數(shù)據(jù)庫中，用戶在自己的權(quán)限范圍內(nèi)可以不受地點(diǎn)時(shí)間的限制通過網(wǎng)絡(luò)訪問相關(guān)財(cái)務(wù)數(shù)據(jù)，高效性、及時(shí)性、共享性成為網(wǎng)絡(luò)財(cái)務(wù)的主要特點(diǎn)。雖然網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)信息管理系統(tǒng)，為高校財(cái)務(wù)工作各方面提供了信息綜合平臺(tái)，提高了財(cái)務(wù)工作效率，保證了數(shù)據(jù)傳輸?shù)募皶r(shí)性和準(zhǔn)確性，但在網(wǎng)絡(luò)的環(huán)境背景下，財(cái)務(wù)信息系統(tǒng)也必然要面臨網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。如何做好在網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)信息數(shù)據(jù)安全風(fēng)險(xiǎn)的防范工作，成為高校財(cái)務(wù)信息管理者所要面對和解決的重要問題之一。

1 網(wǎng)絡(luò)環(huán)境下高校財(cái)務(wù)信息的主要安全風(fēng)險(xiǎn)因素

網(wǎng)絡(luò)財(cái)務(wù)是計(jì)算機(jī)與網(wǎng)絡(luò)信息技術(shù)在財(cái)務(wù)信息管理領(lǐng)域的具體應(yīng)用，其信息安全風(fēng)險(xiǎn)除來源于網(wǎng)絡(luò)信息技術(shù)的一般風(fēng)險(xiǎn)外還有財(cái)務(wù)數(shù)據(jù)的特定風(fēng)險(xiǎn)[2]，主要有以下幾個(gè)風(fēng)險(xiǎn)：

1）計(jì)算機(jī)軟硬件系統(tǒng)風(fēng)險(xiǎn)。計(jì)算機(jī)軟硬件是保證財(cái)務(wù)信息數(shù)據(jù)安全的基礎(chǔ)，也是財(cái)務(wù)系統(tǒng)運(yùn)行的基本條件，但其對財(cái)務(wù)數(shù)據(jù)安全的影響卻未引起財(cái)務(wù)管理者足夠的重視。計(jì)算機(jī)硬件長期不進(jìn)行更新維護(hù)，缺乏日常保潔，增加了硬件發(fā)生故障的風(fēng)險(xiǎn)。一旦硬件設(shè)備系統(tǒng)發(fā)生故障，就會(huì)導(dǎo)致財(cái)務(wù)網(wǎng)絡(luò)系統(tǒng)及財(cái)務(wù)軟件無法正常運(yùn)行，造成財(cái)務(wù)信息數(shù)據(jù)丟失的風(fēng)險(xiǎn)，給財(cái)務(wù)工作帶來災(zāi)難性的后果。同樣，軟件系統(tǒng)對財(cái)務(wù)信息的安全也很重要。軟件系統(tǒng)不夠成熟，運(yùn)行不穩(wěn)定，升級更新緩慢，相關(guān)漏洞未及時(shí)彌補(bǔ)，安全性和保密性不夠，用戶權(quán)限設(shè)置不合理，這些都可能直接影響網(wǎng)絡(luò)財(cái)務(wù)的運(yùn)行效率，給財(cái)務(wù)信息安全造成隱患。

2）計(jì)算機(jī)病毒風(fēng)險(xiǎn)。在網(wǎng)絡(luò)技術(shù)的快速發(fā)展的今天，計(jì)算機(jī)病毒的破壞能力也在不斷提高，成為網(wǎng)絡(luò)安全最大的威脅因素之一。計(jì)算機(jī)病毒具有隱蔽性高、傳播速度快、自我復(fù)制強(qiáng)、難以防范等特點(diǎn)。高校財(cái)務(wù)信息數(shù)據(jù)通過網(wǎng)絡(luò)在客戶端與服務(wù)器端進(jìn)行數(shù)據(jù)的相互交換和傳遞，極大增加了財(cái)務(wù)系統(tǒng)感染計(jì)算機(jī)病毒的風(fēng)險(xiǎn)，而一旦財(cái)務(wù)系統(tǒng)感染病毒勢必會(huì)威脅到整個(gè)財(cái)務(wù)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)安全。

3）非授權(quán)訪問風(fēng)險(xiǎn)。在網(wǎng)絡(luò)環(huán)境背景下，一些人可能會(huì)出于各種目的，避開計(jì)算機(jī)系統(tǒng)訪問控制機(jī)制，對財(cái)務(wù)網(wǎng)絡(luò)設(shè)備及數(shù)據(jù)資源進(jìn)行非正常使用，擴(kuò)大或改變權(quán)限訪問財(cái)務(wù)數(shù)據(jù)信息，在網(wǎng)絡(luò)上對財(cái)務(wù)數(shù)據(jù)進(jìn)行修改，以及通過網(wǎng)絡(luò)對財(cái)務(wù)系統(tǒng)進(jìn)行攻擊，這些將會(huì)對財(cái)務(wù)網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)造成嚴(yán)重破壞。

4）內(nèi)部控制風(fēng)險(xiǎn)[3]。任何數(shù)據(jù)和系統(tǒng)都需要有效的管理機(jī)制，財(cái)務(wù)信息管理不斷網(wǎng)絡(luò)化，但針對其相應(yīng)的內(nèi)控管理制度卻還不夠健全。各種人為破壞及失職行為，比如偽造、竊取、刪除等，都不能得到有效的控制與責(zé)任追究。

5）數(shù)據(jù)存儲(chǔ)及傳輸風(fēng)險(xiǎn)。財(cái)務(wù)信息化后，電子數(shù)據(jù)成為財(cái)務(wù)信息管理的主要對象。對數(shù)據(jù)備份不夠重視，沒有形成定期備份的制度，會(huì)導(dǎo)致數(shù)據(jù)丟失后無法還原。或者，對數(shù)據(jù)存儲(chǔ)介質(zhì)管理不當(dāng)，造成消磁或損壞，數(shù)據(jù)丟失。另外，電子數(shù)據(jù)除存儲(chǔ)備份外還要在客戶端和服務(wù)器之間相互傳輸，大大增加財(cái)務(wù)數(shù)據(jù)被截取、x改的可能，導(dǎo)致數(shù)據(jù)不準(zhǔn)確或丟失。

2網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)信息化安全對策及防范

計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)財(cái)務(wù)信息安全成為重要的問題。為了確保網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)信息數(shù)據(jù)的安全，在實(shí)際工作中需注意以下幾點(diǎn)：

1）提高運(yùn)用網(wǎng)絡(luò)安全技術(shù)，確保網(wǎng)絡(luò)運(yùn)行安全。除了運(yùn)用法律和管理手段外，管理者還需依靠網(wǎng)絡(luò)技術(shù)方法來實(shí)現(xiàn)保護(hù)網(wǎng)絡(luò)背景下財(cái)務(wù)信息的安全可靠。目前，網(wǎng)絡(luò)安全控制技術(shù)主要有：防火墻技術(shù)、訪問控制技術(shù)、用戶識別技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)、網(wǎng)絡(luò)反病毒技術(shù)、入侵檢測技術(shù)等[4]。

2）加強(qiáng)對計(jì)算機(jī)病毒及人為破壞防范。建立合理有效的計(jì)算機(jī)病毒與人為破壞防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒入侵情況后，采取有效的手段阻止計(jì)算機(jī)病毒的進(jìn)一步傳播和對系統(tǒng)的破壞；同時(shí)提高工作人員防范意識，遵守相關(guān)防范措施，制定具體的、切實(shí)可行的管理措施，防止人為因素的破壞。在安全防范體系中，每個(gè)責(zé)任主體都必須遵守安全行為規(guī)則，防范體系才可能運(yùn)行好，才可能達(dá)到預(yù)期的防范效果。

3）完善財(cái)務(wù)信息內(nèi)部控制制度。建立健全財(cái)務(wù)信息內(nèi)部控制管理制度，明確內(nèi)部崗位分工，利用崗位之間相互聯(lián)系相互制約關(guān)系，確保財(cái)務(wù)信息數(shù)據(jù)安全可靠，防止對數(shù)據(jù)和軟件的破壞性修改。加強(qiáng)計(jì)算機(jī)軟硬件管理與維護(hù)制度，涉及財(cái)務(wù)信息數(shù)據(jù)的計(jì)算機(jī)做到專機(jī)專用，未經(jīng)允許不得使用財(cái)務(wù)專用計(jì)算機(jī)。針對財(cái)務(wù)信息數(shù)據(jù)的操作須經(jīng)主管批準(zhǔn)，不得擅自進(jìn)行。定期檢查計(jì)算機(jī)軟硬件系統(tǒng)，做好檢查記錄，對易損、易耗件經(jīng)常更換，保證系統(tǒng)正常運(yùn)行。故障發(fā)生時(shí)，及時(shí)解決問題，做好財(cái)務(wù)信息系統(tǒng)維護(hù)工作。

4）加強(qiáng)財(cái)務(wù)數(shù)據(jù)管理，做好數(shù)據(jù)備份。完善財(cái)務(wù)數(shù)據(jù)管理制度的制定，規(guī)范財(cái)務(wù)信息管理內(nèi)部控制，明確各崗位職責(zé)，確保高校財(cái)務(wù)信息數(shù)據(jù)的安全可靠性。定期對財(cái)務(wù)信息數(shù)據(jù)進(jìn)行備份，提高數(shù)據(jù)的完整性，避免由于硬件的故障而導(dǎo)致數(shù)據(jù)的丟失。對財(cái)務(wù)備份數(shù)據(jù)安排專人負(fù)責(zé)保管，未經(jīng)領(lǐng)導(dǎo)批準(zhǔn)不得對備份數(shù)據(jù)進(jìn)行任何的操作。同時(shí)對存儲(chǔ)備份數(shù)據(jù)的光盤、硬盤、磁盤等存儲(chǔ)介質(zhì)，按照相關(guān)規(guī)定的管理辦法進(jìn)行歸檔存放，并做好防火、防潮、防磁等工作，謹(jǐn)防外部因素造成對財(cái)務(wù)數(shù)據(jù)的破壞。

參考文獻(xiàn)：

[1] 孫瑾.談高校網(wǎng)上財(cái)務(wù)信息的安全與對策[J].科技信息，2010（18）：474-475.

篇7

中圖分類號：F23 文獻(xiàn)標(biāo)識碼：A

收錄日期：2011年12月21日

一、網(wǎng)絡(luò)財(cái)務(wù)信息安全面臨的主要風(fēng)險(xiǎn)

網(wǎng)絡(luò)財(cái)務(wù)是信息技術(shù)在財(cái)務(wù)領(lǐng)域的具體應(yīng)用，其信息安全風(fēng)險(xiǎn)來源于信息技術(shù)的一般風(fēng)險(xiǎn)和財(cái)務(wù)數(shù)據(jù)的特定風(fēng)險(xiǎn)，主要表現(xiàn)在以下幾個(gè)方面：

1、硬件系統(tǒng)風(fēng)險(xiǎn)。任何計(jì)算機(jī)軟件都必須通過硬件來運(yùn)行，硬件是軟件的承載體。硬件系統(tǒng)發(fā)生故障時(shí)，將會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓，軟件無法運(yùn)行，業(yè)務(wù)處理停滯，給網(wǎng)絡(luò)財(cái)務(wù)使用者造成很大損失。如果硬件中的存儲(chǔ)系統(tǒng)發(fā)生嚴(yán)重?fù)p壞，所有數(shù)據(jù)將會(huì)面臨全部丟失的風(fēng)險(xiǎn)，給財(cái)務(wù)工作帶來災(zāi)難性后果。

2、軟件系統(tǒng)風(fēng)險(xiǎn)。網(wǎng)絡(luò)財(cái)務(wù)軟件的正常運(yùn)行，除需要硬件系統(tǒng)保障外，還需要操作系統(tǒng)、中間件和數(shù)據(jù)庫等軟件的支撐，這些軟件系統(tǒng)是否存在漏洞，技術(shù)上是否成熟，運(yùn)行是否穩(wěn)定，直接影響財(cái)務(wù)信息安全程度和網(wǎng)絡(luò)財(cái)務(wù)軟件運(yùn)行效率。

3、數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)。在網(wǎng)絡(luò)財(cái)務(wù)環(huán)境下，財(cái)務(wù)信息存儲(chǔ)介質(zhì)發(fā)生變化，由紙質(zhì)轉(zhuǎn)化為磁介質(zhì)，所有財(cái)務(wù)數(shù)據(jù)以電子格式存儲(chǔ)于服務(wù)器端，財(cái)務(wù)數(shù)據(jù)更易容丟失、被盜和損壞。此外，隨著網(wǎng)絡(luò)財(cái)務(wù)軟件的應(yīng)用，財(cái)務(wù)數(shù)據(jù)量不斷增多，存儲(chǔ)設(shè)備還面臨著容量不夠的風(fēng)險(xiǎn)。

4、信息傳遞風(fēng)險(xiǎn)。網(wǎng)絡(luò)財(cái)務(wù)運(yùn)行過程中，財(cái)務(wù)信息需要借助計(jì)算機(jī)網(wǎng)絡(luò)在客戶端和服務(wù)器端之間不斷地進(jìn)行數(shù)據(jù)傳遞和交換，并且這種數(shù)據(jù)傳遞和交換都是以廣播的形式進(jìn)行。理論上，任何聯(lián)網(wǎng)計(jì)算機(jī)都有可能獲取網(wǎng)絡(luò)資源，竊聽網(wǎng)絡(luò)信息，這就大大增加了財(cái)務(wù)信息被截取、泄露、篡改的風(fēng)險(xiǎn)。

5、病毒破壞風(fēng)險(xiǎn)。隨著網(wǎng)絡(luò)迅速發(fā)展，計(jì)算機(jī)病毒的破壞能力不斷提高，破壞范圍不斷擴(kuò)大，并且呈現(xiàn)出了傳播速度快、自我復(fù)制強(qiáng)、難以防范的特點(diǎn)，給財(cái)務(wù)信息安全造成了極大的威脅。

6、非法入侵風(fēng)險(xiǎn)。在網(wǎng)絡(luò)環(huán)境中，任何聯(lián)網(wǎng)計(jì)算機(jī)在理論上都是可以被訪問到的，除非它們在物理上斷開鏈接。一些人可能出于各種目的，利用黑客程序，破壞網(wǎng)絡(luò)系統(tǒng)，進(jìn)行黑客攻擊。而且，黑客攻擊比病毒破壞更具目的性和破壞性。

7、人員責(zé)任風(fēng)險(xiǎn)。計(jì)算機(jī)管理制度不健全，管理人員技術(shù)不精或者責(zé)任心不強(qiáng)；防范措施不嚴(yán)格，對網(wǎng)絡(luò)系統(tǒng)未進(jìn)行必要的安全配置和管理，對網(wǎng)絡(luò)信息缺乏嚴(yán)密的監(jiān)控；財(cái)務(wù)系統(tǒng)用戶不注意口令保護(hù)，口令密碼設(shè)置簡單或長期不更改，致使別有用心的入侵者輕易冒充合法用戶進(jìn)入系統(tǒng)，竊取、篡改、破壞數(shù)據(jù)。

二、網(wǎng)絡(luò)財(cái)務(wù)信息安全風(fēng)險(xiǎn)防范措施

網(wǎng)絡(luò)財(cái)務(wù)信息安全風(fēng)險(xiǎn)防范是一項(xiàng)系統(tǒng)工程，需要財(cái)務(wù)和信息部門密切配合，通力協(xié)作，采取防范措施，增強(qiáng)系統(tǒng)抵御風(fēng)險(xiǎn)的能力，確保網(wǎng)絡(luò)財(cái)務(wù)信息安全。

1、強(qiáng)化網(wǎng)絡(luò)安全意識。加強(qiáng)網(wǎng)絡(luò)信息安全重要性宣傳和教育，使全體員工尤其是財(cái)務(wù)和信息部門人員在思想上時(shí)刻樹立網(wǎng)絡(luò)安全意識，深刻認(rèn)識網(wǎng)絡(luò)安全對于財(cái)務(wù)工作的極端重要性，自覺維護(hù)良好的網(wǎng)絡(luò)安全環(huán)境，抵制一切影響網(wǎng)絡(luò)安全的行為。

2、加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范。網(wǎng)絡(luò)安全技術(shù)防范是指綜合運(yùn)用防火墻、數(shù)據(jù)加密、數(shù)字簽名和安全協(xié)議等專業(yè)技術(shù)對整個(gè)財(cái)務(wù)網(wǎng)絡(luò)系統(tǒng)采取全方位的安全防范措施，建立多層次的網(wǎng)絡(luò)安全體系，提高網(wǎng)絡(luò)安全防護(hù)等級，提供全面的網(wǎng)絡(luò)信息安全保護(hù)。加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范，要保障資金投入，確保網(wǎng)絡(luò)安全防范設(shè)備及時(shí)安裝到位；要注重培養(yǎng)網(wǎng)絡(luò)安全技術(shù)專業(yè)人才，不斷提高網(wǎng)絡(luò)安全技術(shù)人員的業(yè)務(wù)能力和工作水平。

3、加強(qiáng)財(cái)務(wù)數(shù)據(jù)管理。定期對財(cái)務(wù)數(shù)據(jù)進(jìn)行異地備份，指定專人負(fù)責(zé)保管備份介質(zhì)，未經(jīng)審批不得對備份數(shù)據(jù)進(jìn)行恢復(fù)操作。嚴(yán)格限定財(cái)務(wù)數(shù)據(jù)共享范圍和權(quán)限，只允許其他系統(tǒng)在限定的范圍內(nèi)對財(cái)務(wù)數(shù)據(jù)庫進(jìn)行只讀操作，不得賦予改寫權(quán)限。嚴(yán)格數(shù)據(jù)錄入審核，防止錯(cuò)誤數(shù)據(jù)進(jìn)入財(cái)務(wù)系統(tǒng)。妥善保管操作系統(tǒng)、數(shù)據(jù)庫和財(cái)務(wù)軟件等各類密碼，增強(qiáng)密碼設(shè)置安全程度，不定期進(jìn)行更改，防止別人盜用密碼進(jìn)行非法操作。

4、加強(qiáng)財(cái)務(wù)信息化安全制度建設(shè)。建立健全和有效落實(shí)財(cái)務(wù)信息化安全制度是保障財(cái)務(wù)軟件正常運(yùn)行、財(cái)務(wù)數(shù)據(jù)安全完整的關(guān)鍵。這些制度包括財(cái)務(wù)系統(tǒng)軟硬件管理和維護(hù)制度、系統(tǒng)管理人員和操作人員崗位責(zé)任制度、文檔資料保管和使用制度、計(jì)算機(jī)病毒防范制度、操作權(quán)限分配規(guī)定、計(jì)算機(jī)和網(wǎng)絡(luò)安全事故應(yīng)急預(yù)案等，通過財(cái)務(wù)信息化安全制度建設(shè)，盡可能減少由于內(nèi)部人員道德風(fēng)險(xiǎn)、系統(tǒng)資源風(fēng)險(xiǎn)、計(jì)算機(jī)病毒風(fēng)險(xiǎn)和意外風(fēng)險(xiǎn)造成的危害，確保網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)安全運(yùn)行。

5、加強(qiáng)對計(jì)算機(jī)病毒和黑客的防范。通常情況下，網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)運(yùn)行于單位內(nèi)網(wǎng)之中。防范計(jì)算機(jī)病毒和黑客的最有效方法就是實(shí)行內(nèi)外網(wǎng)嚴(yán)格分離制度，內(nèi)外網(wǎng)之間進(jìn)行物理隔離，使得外網(wǎng)計(jì)算機(jī)不能登錄到內(nèi)網(wǎng)。此外，在內(nèi)網(wǎng)中的所有計(jì)算機(jī)都要安裝殺毒軟件，定期更新病毒庫，及時(shí)查殺計(jì)算機(jī)病毒。加強(qiáng)網(wǎng)絡(luò)安全監(jiān)控，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，果斷進(jìn)行處理，凈化網(wǎng)絡(luò)環(huán)境。建立訪問列表，嚴(yán)格限定聯(lián)網(wǎng)計(jì)算機(jī)對財(cái)務(wù)服務(wù)器的訪問控制。

6、加強(qiáng)身份認(rèn)證和權(quán)限控制。建立更為科學(xué)的CA數(shù)字認(rèn)證體系，采用數(shù)字證書方式進(jìn)行登錄，確保系統(tǒng)數(shù)據(jù)的完整性、保密性和行為的不可否認(rèn)性，杜絕數(shù)據(jù)在傳送過程中可能出現(xiàn)的非法訪問、非法篡改、假冒偽造等安全問題。嚴(yán)格進(jìn)行權(quán)限分配和控制，根據(jù)實(shí)際工作需要，合理確定財(cái)務(wù)人員和管理人員操作權(quán)限。嚴(yán)格授權(quán)操作管理，未經(jīng)批準(zhǔn)，不相關(guān)人員不得接觸財(cái)務(wù)軟硬件系統(tǒng)，確保財(cái)務(wù)系統(tǒng)和數(shù)據(jù)信息的安全。

主要參考文獻(xiàn)：

篇8

中圖分類號：F232 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-291X（2015）25-0103-02

近年來，隨著我國高等教育事業(yè)的發(fā)展，高校信息化建設(shè)取得了長足進(jìn)步。高校財(cái)務(wù)信息化為高校的管理和決策提供了有力的支撐，已成為高校提升財(cái)務(wù)工作效率和財(cái)務(wù)服務(wù)水平的重要推手。財(cái)務(wù)信息化建設(shè)的目標(biāo)已由提高財(cái)務(wù)核算工作效率向提升財(cái)務(wù)管理和服務(wù)水平轉(zhuǎn)變，各高校普遍建成了面向全校師生的網(wǎng)上報(bào)賬、信息查詢、跨部門業(yè)務(wù)辦理等財(cái)務(wù)綜合服務(wù)體系。然而，隨著財(cái)務(wù)信息化建設(shè)的迅猛發(fā)展和財(cái)務(wù)綜合服務(wù)體系的推廣應(yīng)用，財(cái)務(wù)信息系統(tǒng)存在的安全風(fēng)險(xiǎn)開始凸顯。

一、高校財(cái)務(wù)信息系統(tǒng)存在的安全風(fēng)險(xiǎn)

1.硬件設(shè)備的風(fēng)險(xiǎn)。財(cái)務(wù)信息系統(tǒng)的硬件設(shè)備主要指服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備等。硬件設(shè)備是財(cái)務(wù)信息系統(tǒng)的物理載體，是財(cái)務(wù)信息系統(tǒng)穩(wěn)定運(yùn)行的先決條件，硬件設(shè)備的損壞會(huì)給整個(gè)系統(tǒng)造成嚴(yán)重?fù)p失。但在日常工作中，硬件設(shè)備的配置和運(yùn)行環(huán)境經(jīng)常得不到財(cái)務(wù)部門的重視。

硬件設(shè)備常見的配置問題包括：計(jì)算、內(nèi)存、網(wǎng)絡(luò)設(shè)備帶寬等與業(yè)務(wù)需求不匹配，形成瓶頸導(dǎo)致系統(tǒng)運(yùn)行效率低下。服務(wù)器運(yùn)行環(huán)境無法滿足要求，如運(yùn)行存放場所的供電、降溫、除塵、防磁等配套設(shè)施不完善，極易引起硬件設(shè)備損壞。

2.網(wǎng)絡(luò)攻擊和感染病毒的風(fēng)險(xiǎn)。隨著財(cái)務(wù)信息化服務(wù)體系的建立，財(cái)務(wù)信息系統(tǒng)需要面向全校師生員工提供各類財(cái)務(wù)服務(wù)，隨之而來的，以非法取得或篡改數(shù)據(jù)為目的的入侵行為難以避免。由于通用操作系統(tǒng)本身存在的漏洞和信息系統(tǒng)管理制度的不完善，財(cái)務(wù)信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊和感染病毒的風(fēng)險(xiǎn)一直存在。

3.數(shù)據(jù)損失風(fēng)險(xiǎn)。在財(cái)務(wù)信息化系統(tǒng)中，數(shù)據(jù)是系統(tǒng)的核心，財(cái)務(wù)管理的過程就是對數(shù)據(jù)的生成、分類、分析和利用的過程。各種不可控因素造成的數(shù)據(jù)損失，將會(huì)對財(cái)務(wù)信息系統(tǒng)造成致命的損失。高校財(cái)務(wù)數(shù)據(jù)存在的問題包括：缺乏科學(xué)合理的備份機(jī)制，缺乏財(cái)務(wù)電子數(shù)據(jù)的管理制度，電子數(shù)據(jù)的存儲(chǔ)條件損壞等。

4.財(cái)務(wù)人員錯(cuò)誤操作的風(fēng)險(xiǎn)。高校財(cái)務(wù)人員知識結(jié)構(gòu)和業(yè)務(wù)能力存在差異，部分財(cái)務(wù)人員對信息系統(tǒng)的安全風(fēng)險(xiǎn)認(rèn)識不足。個(gè)別財(cái)務(wù)人員對財(cái)務(wù)信息系統(tǒng)無意或有意地錯(cuò)誤操作，將會(huì)引起財(cái)務(wù)信息失真或造成財(cái)務(wù)數(shù)據(jù)的重大損失。

二、財(cái)務(wù)信息系統(tǒng)安全防護(hù)體系建設(shè)

1.加強(qiáng)硬件平臺(tái)運(yùn)行維護(hù)管理。硬件平臺(tái)是財(cái)務(wù)信息系統(tǒng)的基礎(chǔ)，高校應(yīng)對硬件平臺(tái)的管理給予足夠的重視。在搭建信息系統(tǒng)硬件平臺(tái)之前，應(yīng)根據(jù)預(yù)先規(guī)劃的業(yè)務(wù)種類和業(yè)務(wù)規(guī)模對硬件設(shè)備的架構(gòu)和配置做科學(xué)設(shè)計(jì)，硬件平臺(tái)要充分考慮財(cái)務(wù)信息系統(tǒng)在計(jì)算、運(yùn)行、存儲(chǔ)、網(wǎng)絡(luò)等方面的需求，避免因?yàn)槟骋画h(huán)節(jié)出現(xiàn)瓶頸，降低整個(gè)系統(tǒng)的運(yùn)行效率。硬件平臺(tái)的設(shè)計(jì)方案可由財(cái)務(wù)部門提出業(yè)務(wù)需求，請信息化領(lǐng)域的專家進(jìn)行充分論證，避免盲目建設(shè)造成損失。硬件平臺(tái)的運(yùn)行環(huán)境應(yīng)滿足持續(xù)供電、恒溫恒濕、防磁微塵等方面的要求，在日常生產(chǎn)中，還應(yīng)實(shí)時(shí)監(jiān)控硬件平臺(tái)的運(yùn)行狀態(tài)，對運(yùn)維系統(tǒng)給出的提示和報(bào)警信息及時(shí)給予分析解決，規(guī)避可能出現(xiàn)的硬件故障風(fēng)險(xiǎn)。

2.科學(xué)規(guī)劃財(cái)務(wù)信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)。建立科學(xué)合理的網(wǎng)絡(luò)架構(gòu)對財(cái)務(wù)信息系統(tǒng)安全防護(hù)具有重要意義，往往可以起到事半功倍的效果。規(guī)劃財(cái)務(wù)信息系統(tǒng)應(yīng)考慮的問題包括：（1）確保財(cái)務(wù)核心數(shù)據(jù)的安全，最好做到專網(wǎng)運(yùn)行，與因特網(wǎng)物理隔離；（2）財(cái)務(wù)核心數(shù)據(jù)應(yīng)與財(cái)務(wù)網(wǎng)上服務(wù)數(shù)據(jù)實(shí)現(xiàn)互通，保障財(cái)務(wù)查詢、網(wǎng)上報(bào)賬等業(yè)務(wù)數(shù)據(jù)的雙向傳輸；（3）對校園網(wǎng)訪問財(cái)務(wù)網(wǎng)上服務(wù)應(yīng)用進(jìn)行必要的監(jiān)控。

下面提出一種財(cái)務(wù)信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)方案（見下圖）。

3.完善財(cái)務(wù)數(shù)據(jù)保護(hù)策略。制定財(cái)務(wù)數(shù)據(jù)保護(hù)策略，建立財(cái)務(wù)信息系統(tǒng)災(zāi)后快速恢復(fù)能力。應(yīng)包括：（1）應(yīng)用虛擬機(jī)高可用（HA）解決方案。建立虛擬服務(wù)器快速恢復(fù)能力，當(dāng)一個(gè)集群中的某一臺(tái)物理主機(jī)出現(xiàn)故障，虛擬機(jī)可以自主偵測并遷移到另外的物理主機(jī)上，實(shí)現(xiàn)業(yè)務(wù)不中斷。（2）完善數(shù)據(jù)備份策略。備份范圍應(yīng)包括：文件系統(tǒng)備份，數(shù)據(jù)備份，日志備份。備份方式應(yīng)包含：在線備份、離線備份、完全備份、增量備份等。同時(shí)根據(jù)各應(yīng)用系統(tǒng)的工作特點(diǎn)和安全防護(hù)級別合理選擇備份方式和操作頻率。（3）建立熱備與容災(zāi)系統(tǒng)。隨著高校財(cái)務(wù)管理和服務(wù)水平的提高，高校財(cái)務(wù)部門希望具備在遭受突發(fā)災(zāi)難后財(cái)務(wù)應(yīng)用不間斷服務(wù)的能力，可建立財(cái)務(wù)數(shù)據(jù)熱備與容災(zāi)系統(tǒng)。建立一個(gè)異地的數(shù)據(jù)系統(tǒng)，該系統(tǒng)是本地主系統(tǒng)關(guān)鍵數(shù)據(jù)的一個(gè)可用鏡像，異地?cái)?shù)據(jù)系統(tǒng)通過同步或準(zhǔn)同步的方式與本地主數(shù)據(jù)系統(tǒng)保持一致，當(dāng)主系統(tǒng)遭遇意外損失，應(yīng)用系統(tǒng)可以迅速切換到異地?zé)醾淙轂?zāi)服務(wù)器，保證財(cái)務(wù)應(yīng)用不間斷。

4.建立健全財(cái)務(wù)信息系統(tǒng)內(nèi)部控制制度。建立健全財(cái)務(wù)信息系統(tǒng)內(nèi)部控制制度可以有效規(guī)避系統(tǒng)安全風(fēng)險(xiǎn)，提高財(cái)務(wù)信息系統(tǒng)的可靠性。

（1）財(cái)務(wù)信息系統(tǒng)權(quán)限管理制度。為規(guī)避財(cái)務(wù)人員操作失誤引入的風(fēng)險(xiǎn)，防范內(nèi)部人員舞弊行為，應(yīng)建立和完善財(cái)務(wù)信息系統(tǒng)權(quán)限管理制度。根據(jù)各崗位的職責(zé)，設(shè)置相應(yīng)的系統(tǒng)使用權(quán)限，從系統(tǒng)上做到不相容崗位隔離，建立關(guān)鍵業(yè)務(wù)環(huán)節(jié)多級審核機(jī)制，保障會(huì)計(jì)信息真實(shí)、可靠。（2）財(cái)務(wù)信息系統(tǒng)運(yùn)行維護(hù)制度。建立財(cái)務(wù)信息系統(tǒng)硬件和軟件的運(yùn)行維護(hù)制度，規(guī)范系統(tǒng)操作和管理，及時(shí)發(fā)現(xiàn)和規(guī)避硬件故障和非法訪問引入的風(fēng)險(xiǎn)。定期檢查并記錄服務(wù)器、存儲(chǔ)、交換機(jī)、防火墻以及隔離網(wǎng)閘等硬件設(shè)備的運(yùn)行狀態(tài)；定期檢查硬件設(shè)備、數(shù)據(jù)庫的日志，排查系統(tǒng)隱患；梳理財(cái)務(wù)應(yīng)用系統(tǒng)操作流程，編制應(yīng)用系統(tǒng)使用指南和注意事項(xiàng)。（3）財(cái)務(wù)電子檔案管理制度。建立與財(cái)務(wù)信息化發(fā)展水平相適應(yīng)的財(cái)務(wù)電子檔案管理機(jī)制，規(guī)范財(cái)務(wù)電子檔案的采集、歸檔、存儲(chǔ)等流程。根據(jù)電子檔案的特殊性質(zhì)，還應(yīng)定期對財(cái)務(wù)電子檔案做完整性和一致性驗(yàn)證。

5.加強(qiáng)財(cái)務(wù)人員綜合能力培養(yǎng)。財(cái)務(wù)人員的職業(yè)操守和業(yè)務(wù)能力對財(cái)務(wù)信息系統(tǒng)安全防護(hù)水平的提升至關(guān)重要，高校應(yīng)注重對財(cái)務(wù)人員道德素質(zhì)和信息化工作能力的培養(yǎng)。加強(qiáng)財(cái)務(wù)人員對財(cái)務(wù)信息化相關(guān)知識的學(xué)習(xí)，了解財(cái)務(wù)信息系統(tǒng)的基本架構(gòu)和工作原理，具備財(cái)務(wù)信息系統(tǒng)安全防護(hù)的意識，掌握財(cái)務(wù)信息系統(tǒng)安全防護(hù)的基本技術(shù)，有效地提升財(cái)務(wù)信息系統(tǒng)的安全防護(hù)水平。

參考文獻(xiàn)：

[1] 王婷婷.我國高校信息化機(jī)制建設(shè)研究[D].長沙：湖南大學(xué)碩士學(xué)位論文，2006.

篇9

一、引言

隨著醫(yī)院的不斷發(fā)展和國家醫(yī)療衛(wèi)生管理要求的不斷提高，對計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的依賴性也表現(xiàn)得越來越強(qiáng)，但是計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)所表現(xiàn)出來的先進(jìn)性，以及所帶來的勞動(dòng)效率提高和生產(chǎn)成本降低，并不能掩飾其存在的種種安全隱患。特別是醫(yī)院的財(cái)務(wù)信息網(wǎng)絡(luò)系統(tǒng)中運(yùn)載著大量重要的數(shù)據(jù)和信息，無論是硬件、軟件、環(huán)境、人為方面的影響都可能導(dǎo)致這些數(shù)據(jù)遭受破壞，將給醫(yī)院帶來無法挽回的損失。因此保護(hù)醫(yī)院財(cái)務(wù)信息系統(tǒng)的數(shù)據(jù)安全，構(gòu)建信息系統(tǒng)安全平臺(tái)成為了醫(yī)院信息化建設(shè)的當(dāng)務(wù)之急。

二、醫(yī)院財(cái)務(wù)信息系統(tǒng)的安全問題

1. 財(cái)務(wù)信息系統(tǒng)安全內(nèi)容

從醫(yī)院財(cái)務(wù)信息系統(tǒng)的層次結(jié)構(gòu)及系統(tǒng)資源組成來分析，完整的財(cái)務(wù)信息系統(tǒng)安全的主要內(nèi)容包括如下四個(gè)方面：(1)實(shí)體安全，即系統(tǒng)設(shè)備及相關(guān)設(shè)施(具體包括環(huán)境、建筑、設(shè)備、電磁輻射、數(shù)據(jù)介質(zhì)、災(zāi)害報(bào)警等)運(yùn)行正常，系統(tǒng)服務(wù)適時(shí)。(2)軟件安全，即操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件等軟件及相關(guān)資料(包括軟件開發(fā)規(guī)程、軟件安全測試、軟件的修改與復(fù)制等)具有完整性。(3)數(shù)據(jù)安全，即醫(yī)院信息系統(tǒng)擁有的和產(chǎn)生的數(shù)據(jù)或信息完整、有效，使用合法，不被破壞或泄漏。具體方法包括用戶識別、存取控制、加密、審計(jì)與追蹤、備份與恢復(fù)。(4)運(yùn)行安全，即醫(yī)院信息系統(tǒng)資源和信息資源(包括電源、環(huán)境氣氛、人事、機(jī)房管理出入控制、數(shù)據(jù)與介質(zhì)管理、運(yùn)行管理和維護(hù))使用合法。

2. 計(jì)算機(jī)病毒

不管是良性病毒，還是惡性病毒，都有破壞或干擾計(jì)算機(jī)系統(tǒng)正常運(yùn)行的危害。

（1）破壞醫(yī)院財(cái)務(wù)信息系統(tǒng)資源大部分病毒在發(fā)作時(shí)直接破壞計(jì)算機(jī)系統(tǒng)的資源，如改寫主板BIOS中的數(shù)據(jù)、改寫文件分配表和目錄區(qū)、格式化磁盤、刪除義件等，導(dǎo)致程序或數(shù)據(jù)丟失，甚至于整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的癱瘓。（2）占用醫(yī)院信息系統(tǒng)資源。有的病毒雖然沒有直接的破壞作用，而通過自身的復(fù)制與用大量的存儲(chǔ)宅間，甚至于占滿存儲(chǔ)設(shè)備的剩余窄間，以此影響正常程序及相應(yīng)數(shù)據(jù)的運(yùn)行和存儲(chǔ)。計(jì)算機(jī)病毒的運(yùn)行要搶占內(nèi)存空間、接口設(shè)備和CPU運(yùn)行時(shí)間等系統(tǒng)資源，即使沒有嚴(yán)重的破壞行為，也會(huì)影響正常程序的運(yùn)行速度。

三、醫(yī)院財(cái)務(wù)信息系統(tǒng)的安全防范措施――以住院處為例

隨著醫(yī)院住院處各項(xiàng)業(yè)務(wù)不斷地整合到醫(yī)院信息系統(tǒng)內(nèi)，使得數(shù)據(jù)量急劇膨脹，數(shù)據(jù)的多樣化以及數(shù)據(jù)安全性、實(shí)時(shí)性的要求越來越高，這些都要求醫(yī)院住院處財(cái)務(wù)信息系統(tǒng)必須具有高可用性和可靠性。

1. 樹立正確的住院處財(cái)務(wù)信息系統(tǒng)安全指導(dǎo)思想

要想建立好計(jì)算機(jī)信息系統(tǒng)的安全體系，首先要有明確的指導(dǎo)思想。要把信息系統(tǒng)安全作為一個(gè)涉及國家、醫(yī)院重大利益的產(chǎn)業(yè)來看待，在選擇醫(yī)院財(cái)務(wù)信息安全產(chǎn)品時(shí)要立足于國產(chǎn)化產(chǎn)品，不能把國家、醫(yī)院信息化的安全依托到國外產(chǎn)品的保障上。

建立一套科學(xué)的管理制度是從制度上避免環(huán)境和人為因素造成計(jì)算機(jī)故障的有力保證，也是計(jì)算機(jī)系統(tǒng)安全之必需。（1）建立和健全各項(xiàng)管理制度，保證計(jì)算機(jī)有良好的運(yùn)行環(huán)境，避免非常事件對系統(tǒng)的侵害。（2）嚴(yán)格按照各種操作規(guī)程處理業(yè)務(wù)，對財(cái)務(wù)信息系統(tǒng)數(shù)據(jù)文件的屬性進(jìn)行控制。文件是存儲(chǔ)醫(yī)院信息系統(tǒng)數(shù)據(jù)的形式，為了保證醫(yī)院財(cái)務(wù)信息數(shù)據(jù)信息的安全，一些重要的數(shù)據(jù)文件可定義為專用文件、只讀文件或?qū)ξ募牟僮鳈?quán)限及用戶加以限制。（3）密碼權(quán)限管理要真正分開，操作員密碼要定期或不定期加以更換，以防泄密或被他人盜用。

2. 完善網(wǎng)絡(luò)通信設(shè)備。

（1）中心機(jī)房中的核心交換機(jī)選用高性能交換機(jī)，采用冗余方案，兩臺(tái)核心交換機(jī)之間運(yùn)用多條千兆光纖捆綁互連，運(yùn)用防止網(wǎng)絡(luò)中路由器或L3交換機(jī)故障的HSRP協(xié)議，實(shí)現(xiàn)熱備份。當(dāng)其中任何一臺(tái)出現(xiàn)故障而不能工作時(shí)，另一臺(tái)正常工作的交換機(jī)可以平滑地把業(yè)務(wù)流量全部接管過來，從而保證關(guān)鍵應(yīng)用的持續(xù)運(yùn)行。（2）分布在各樓層的接人交換機(jī)與中心交換機(jī)之間通過互為冗余的兩條千兆光纖鏈路互連形成骨干連接。（3）中心機(jī)房的核心交換機(jī)在管理上運(yùn)用VLAN技術(shù)。將服務(wù)器規(guī)劃到一個(gè)專用網(wǎng)段，工作站也要根據(jù)地理位置或部門屬性規(guī)劃到另外的網(wǎng)段，配置交換機(jī)相應(yīng)的網(wǎng)絡(luò)管理軟件，對IT資源、流量、數(shù)據(jù)包進(jìn)行有效地監(jiān)控。

3. 計(jì)算機(jī)病毒的查殺

最好采用將醫(yī)院的HIS、RIS、LIS、PACS局域系統(tǒng)與Internet網(wǎng)絡(luò)從物理上完全割斷的分布方案，這樣可以有效地規(guī)避風(fēng)險(xiǎn)。采用將醫(yī)院的HIS、RIS、LIS、PACS系統(tǒng)與Internet網(wǎng)絡(luò)融為一體的方案，必須增加必要的防范外部黑客、病毒的攻擊手段，比如：網(wǎng)絡(luò)版殺毒軟件、硬件防火墻、入侵檢測、桌面管理軟件。

就目前的實(shí)際情況來看，嚴(yán)格的預(yù)防措施只能盡可能減少計(jì)算機(jī)病毒傳染的可能，還不能完全避免病毒的感染。感染病毒后，有效的檢查和殺除手段就是安裝合適的正版殺毒軟件并經(jīng)常及時(shí)升級。殺病毒軟件具有檢查是否感染上某種或某類病毒的功能，有的殺毒軟件能查出幾百種甚至幾千種病毒，并且大部分殺病毒軟件可同時(shí)殺除檢查出來的病毒。殺病毒軟件在清除計(jì)算機(jī)病毒時(shí)，一般不會(huì)破壞系統(tǒng)中的正常數(shù)據(jù)。國內(nèi)用戶常用的殺毒軟件有瑞星殺毒軟件、江民殺毒軟件、金山毒霸、卡巴斯基殺毒軟件、諾頓殺毒軟件、360安全衛(wèi)士等。

“魔高一尺，道高一丈”查殺病毒技術(shù)和編制病毒的技術(shù)在相互較量中提高。一種新的病毒出現(xiàn)后，相應(yīng)的殺毒技術(shù)和殺毒軟件就會(huì)出現(xiàn)。綜合采取預(yù)防與查殺措施，就能保護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)安全運(yùn)行。

參考文獻(xiàn)：

篇10

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)21-5077-02

Research of Security Issues and Measures on College Financial Management Information Systems

ZHANG Hong, LIU Xiao-qun

（City College of Dongguan University of Technology, Dongguan 523106, China）

Abstract: The development of network technology brings new insecurity for college financial management information system. To ensure the integrity, the confidentiality and the availability, financial system securities were studied. Then some protection and relevant measures were proposed to give some reference experiences for the construction and maintenance of college financial management information sys tem.

Key words: financial management; system; security

高校財(cái)務(wù)管理工作是高校經(jīng)濟(jì)運(yùn)轉(zhuǎn)的核心，是其它一切管理工作的源動(dòng)力，如果沒有準(zhǔn)確、及時(shí)落實(shí)各項(xiàng)經(jīng)費(fèi)開支，就無法保證財(cái)務(wù)管理工作的日常運(yùn)轉(zhuǎn)，也很可能直接影響到其它管理工作。

高校財(cái)務(wù)管理工作涉及到的內(nèi)容之多，種類之繁瑣，各種類別又多有各自的報(bào)銷規(guī)則和審批流程等，加上越積越多，最終很難快速的查找出歷史報(bào)賬的情況，也很難快速了解財(cái)務(wù)的整體情況。

隨著網(wǎng)絡(luò)的飛速發(fā)展，高校也面臨著建設(shè)數(shù)字化校園的重任，將辦公、教學(xué)、生活等管理與計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)結(jié)合，給全校教職工和學(xué)生帶來極大的便利。高校財(cái)務(wù)信息化是高校數(shù)字化校園、信息化的重要組成部分[1]?；诰W(wǎng)絡(luò)的高校財(cái)務(wù)管理信息系統(tǒng)相對于傳統(tǒng)會(huì)計(jì)信息系統(tǒng),主要有開放性、電子化、實(shí)時(shí)性、集成化、遠(yuǎn)程化等特點(diǎn),能夠?qū)崿F(xiàn)財(cái)務(wù)與業(yè)務(wù)的同步處理[2]。高校財(cái)務(wù)信息系統(tǒng)使學(xué)生收費(fèi)透明化，使教職工工資條目清晰化，使學(xué)校資產(chǎn)管理簡單化，并且資金的預(yù)算為學(xué)校提供了合理的資金使用方案。然而網(wǎng)絡(luò)環(huán)境下的財(cái)務(wù)管理面臨著新的風(fēng)險(xiǎn)，網(wǎng)絡(luò)中散播的病毒蠕蟲的感染，用戶非法越限的訪問，黑客惡意的攻擊破壞等等問題都給高校財(cái)務(wù)管理系統(tǒng)的安全帶來威脅。隨著高校財(cái)務(wù)管理信息系統(tǒng)建設(shè)規(guī)模的不斷擴(kuò)大，教職工及學(xué)生訪問量不斷增加，財(cái)務(wù)管理面臨的安全問題日益突出。該文對當(dāng)前財(cái)務(wù)管理信息系統(tǒng)中存在的安全問題進(jìn)行了分析，并據(jù)此提出相應(yīng)的解決方案。

1安全問題

財(cái)務(wù)數(shù)據(jù)關(guān)乎到高校建設(shè)的各層面，財(cái)務(wù)系統(tǒng)安全可靠的運(yùn)行是高校建設(shè)與管理的重要前提。財(cái)務(wù)管理信息系統(tǒng)的安全性表現(xiàn)在完整性、保密性和可用性，只要有一項(xiàng)不能滿足都會(huì)給整個(gè)系統(tǒng)的安全造成威脅。

1.1環(huán)境級安全問題

高校財(cái)務(wù)管理信息系統(tǒng)環(huán)境級安全性包括硬件環(huán)境和軟件環(huán)境。硬件環(huán)境安全問題指財(cái)務(wù)管理信息系統(tǒng)依托的服務(wù)器、網(wǎng)絡(luò)設(shè)備、用電設(shè)備等硬件設(shè)備因突發(fā)災(zāi)害或意外事故而造成數(shù)據(jù)信息丟失以及硬件配備性能滿足不了當(dāng)前系統(tǒng)數(shù)據(jù)及時(shí)處理而造成的系統(tǒng)不可用。軟件環(huán)境安全問題指財(cái)務(wù)管理信息數(shù)據(jù)庫的軟件本身不夠完善或未及時(shí)升級而引起財(cái)務(wù)數(shù)據(jù)庫難以操作，造成系統(tǒng)不可用。

1.2網(wǎng)絡(luò)級安全問題

高校財(cái)務(wù)管理系統(tǒng)的信息化是基于網(wǎng)絡(luò)的建設(shè)，為實(shí)現(xiàn)全校教職工人員的使用，財(cái)務(wù)管理信息必然要連接到外網(wǎng)，這就導(dǎo)致了財(cái)務(wù)管理信息會(huì)曝于財(cái)務(wù)部門以外。網(wǎng)絡(luò)的不安全性表現(xiàn)為病毒的感染使系統(tǒng)無法運(yùn)行，端口掃描使信息泄露，黑客利用操作系統(tǒng)的漏洞進(jìn)行攻擊造成系統(tǒng)崩潰和信息篡改，外來人員的惡意入侵造成財(cái)務(wù)數(shù)據(jù)的泄露。隨著網(wǎng)絡(luò)技術(shù)的深入發(fā)展，攻擊的手段日趨自動(dòng)化，復(fù)雜化，要保護(hù)高校信息不被泄露，保障財(cái)務(wù)系統(tǒng)安全可靠，網(wǎng)絡(luò)級的安全防護(hù)任重道遠(yuǎn)。

1.3人員級安全問題

財(cái)務(wù)管理人員是財(cái)務(wù)管理信息系統(tǒng)的操作主體,其職業(yè)操守極大影響了系統(tǒng)的安全。由于在當(dāng)下的財(cái)務(wù)系統(tǒng)中，財(cái)務(wù)人員對財(cái)務(wù)信息系統(tǒng)的操作（添加、修改、刪除等）不會(huì)留有痕跡，若他們?yōu)榱艘患核嚼?，利用工作之便，對?cái)務(wù)數(shù)據(jù)進(jìn)行改動(dòng)和處理，將成為財(cái)務(wù)管理信息系統(tǒng)的一大隱患。另一方面，財(cái)務(wù)管理人員的網(wǎng)絡(luò)安全防護(hù)意識及計(jì)算機(jī)能力較弱對高校財(cái)務(wù)信息系統(tǒng)也帶來了安全問題。會(huì)計(jì)人員由于計(jì)算機(jī)運(yùn)用能力不夠而導(dǎo)致的錯(cuò)誤操作會(huì)導(dǎo)致財(cái)務(wù)信息錯(cuò)漏，而相關(guān)的財(cái)務(wù)系統(tǒng)管理人員對操作系統(tǒng)、軟硬件及網(wǎng)絡(luò)環(huán)境維護(hù)不到位會(huì)給整個(gè)財(cái)務(wù)系統(tǒng)帶來巨大的威脅。