網絡財務的安全問題與對策

鄭春芳

一、網絡財務綜述

以互聯網為核心動力驅動的新經濟，正在全球范圍內創造著空前的發展機會，互聯網將對國家，企業和個人在信息時代的競爭產生根本影響，因為它正在深刻地改變著我們的工作和生活，改變著延續了上百年的商業競爭方式。在這個激動人心的時代，我們將看到網絡基礎設施會變得像工業時代的高速公路，自來水，電信網絡，電力系統一樣重要。

同樣，互聯網的發展也對財務會計的發展產生了深遠的影響，網絡的信息共享以及信息傳播的高速率等優點決定了財務會計將會朝著網絡化的方向發展。由此，網絡財務應運而生。我們通常所說的網絡會計和網絡財務總體上說是一個概念，是基于互聯網技術，以財務管理為核心，業務管理與財務管理一體化，支持電子商務，能夠實現各種遠程操作（如遠程記賬，遠程報表，遠程查賬，遠程審計，遠程監控等）和事中動態會計核算與在線財務管理，能夠處理電子單據和進行電子貨幣結算的一種全新的財務管理模式，是電子商務的重要組成部分。

網絡財務以先進的計算機網絡技術和安全技術等信息技術為基礎，以財務管理為工作中心，以實現企業電子商務為目標，它能使企業的財務會計信息在網絡環境下實現共享，乃至實施遠程操作，可進行事中的動態會計核算、分析、控制和監督，是一種全新的財務管理模式。與傳統的財務信息系統相比較，網絡財務具有會計信息披露的多元化、數據處理實時化、信息存儲無紙化、企業管理信息高度集成化等特點。網絡財務改變了傳統會計的順序化處理模式，減少了中間環節，減輕了財會人員的工作量，避免了環節過多造成的信息失真。

二、網絡財務面臨的安全問題

互聯網使用的是TCP/IP協議，該協議并未考慮安全因素。因此，它從一開始就是一種松散的、無連接的、不可靠的方式，這一特點造成在網上傳送的信息很容易被攔截和篡改。在加上網絡技術的飛速發展導致各種黑客軟件和病毒在互聯網上肆虐，由此給網絡財務帶來了很多技術上的安全問題。

（一）由網絡技術帶來的安全問題

1.網絡傳輸問題。網絡財務的所有遠程操作均屬遠程信息傳輸，盡管信息傳遞的無紙化可以有效避免一些由于人為原因而導致會計失真的現象，但由于使用的是開放式的TCP/IP協議，信息的傳輸路線是隨機的，也就是這由互聯網中的路由器依據距目標地址的距離和線路的忙閑情況來決定信息的傳輸路線。因而財務信息在網絡中傳輸時存在被截取、篡改、泄漏機密等安全問題。企業的財務信息對企業本身來說是至關重要的，一旦被競爭對手截獲或者被惡意篡改，不但企業高層無法準確了解企業的現狀，并做出正確的決策。而且在與競爭對手競爭時也會處于劣勢，這對企業來說將會是致命的。

2.計算機病毒和電腦黑客。隨著因特網的迅速發展, 計算機病毒也在不斷表現出多樣化、速度快、破壞力強、自我復制、難以防范等特點, 特別是企業的內域網與互聯網連接, 使計算機系統感染病毒的幾率和病毒防范的難度大大增加。可見病毒對網絡財務的危害是相當大的。 同時,在龐大網絡環境中, 網上黑客的攻擊也時刻對網絡財務信息造成極大的威脅。會計領域中電腦黑客主要是指競爭對手和專門竊取商業秘密的機構。它們通過捕獲、查卡、信息轟炸、電子郵件轟炸、違反義務條款等方式非法侵入網絡，竊取數據或破壞數據。

3.財務軟件的身份識別。由于網絡財務使企業的財務管理突破了時空的界限，企業財務管理人員可以在家、在企業里或其他的任何地方及任何時間利用網絡終端進行財務管理工作，其身份的識別與企業內部網Intranet相比更加困難，如果企業財務管理人員的企業網絡財務系統賬號被非法竊取，那么該賬號再次登陸時系統將無法有效識別其身份，那么這將會對企業財務信息的安全產生威脅。

4.網絡信息的真實性。電子貨幣、電子單據，電子提單、信用卡等的真實性確認;驗資報告、產品質量說明書、售后服務保證體系等是否真實有效。傳統的依靠鑒章確保憑證有效性和明確經濟責任的手段不復存在。由于缺乏有效的確認標識，信息接受方有理由懷疑所獲取財務數據的真實性；同樣，作為信息發送方，也有類似的擔心，即傳遞的信息能否被接受方正確識別并下載。網上信息的可信度面臨危機。

（二）企業內部管理存在的安全問題

1.企業內部控制問題

以前的會計非常強調對業務活動的使用授權批準和職責性、正確性、合法性,但是在網絡財務軟件中, 會計信息的處理和存儲比較集中，使傳統會計系統中某些職權分工、相互牽制的控制失效。由此導致的問題主要有：1.職責分離不恰當，內控失靈。企業內部合法人員在網絡環境下如果沒有恰當的崗位分離，可能會越權非法訪問會計數據，甚至非法修改和刪除會計數據且不留篡改痕跡，更甚者非法拷貝會計數據送給競爭對手招致企業的破產。2.缺乏對企業軟硬件資源的管理和維護制度，致使信息丟失。丟失原因主要有三種:一是運行間斷電和死機等故障；二是計算機病毒破壞；三是人為對會計數據疏于保管或人為毀壞。企業如果使用權限劃分不當，容易造成信息濫用和向外流失。如果對網絡管理和維護水平不高或疏于監控，一旦網絡系統癱瘓將給企業帶來巨大損失。

2.網絡管理制度不健全

在網絡財務中，會計流程發生了很大的變化。大量的數據直接 從企業內部或企業外部其他系統獲得。會計信息的傳送方式由附層型轉為水平型，企業采購、銷售等各個部門在將信息存儲在中央數據庫的同時，也可以隨時隨地獲取授權信息，獲得授權的企業外部人員也可以獲取相應的會計信息。隨著信息來源的復雜化、接觸信息的部門和人員增多，傳統的內部控制制度已經不能符合要求，相關的制度和管理體系需要作出調整。同時，管理層對軟件開發的管理、相關技術方案的選擇、各種信息使用權限的劃分，客觀上成為財務信息失真的風險成因。此外，網絡管理制度不健全，缺少日常維修、數據備份、操作日志、防毒措施等管理制度，對計算機網絡會計系統構成嚴重的威脅。

3.會計檔案無紙化帶來風險

在手工財務系統中，企業的經濟業務發生均記錄于紙張之上，增、刪、修改了的會計憑證或會計賬冊都可以從各自的筆跡和印章上分清責任。實行網絡財務后，會計憑證轉變為以文件、記錄形式儲存在磁性介質上，使會計核算無紙化，修改數據不留痕跡。電磁介質也易受損壞，且有丟失或毀損的危險。所以網絡財務對會計檔案管理形式提出了更高的要求。不僅要保存紙介質會計核算資料，而且要保存、保管好以磁性介質方式存儲的各種會計數據和計算機程序，以及系統開發運行中編制的各種文檔和其他會計資料。

（三）相關的法律法規尚不健全

目前，我國還沒有專門的網絡財務犯罪的懲罰性法律。1986年以來，我國相繼制定并頒布了《中華人民共和國信息系統安全保護條例》、《計算機系統安全規范》、《計算機病毒控制條例》等系列相關安全方面的制度，我國國務院于2000年12月出臺的“關于網上信息發布的真實性管理規定”，今年國家又出臺了《財務微機操作與網絡財務安全保障技術規范及強制性國家標準》，有力的打擊了利用計算機進行的犯罪，保護了計算機信息的安全。對于“網絡財務”健康發展起到了積極的推動作用。但是只靠目前的這些法律規范還不能夠有效控制對網絡財務的犯罪，如果不制定對網絡財務系統犯罪行為的界定及相關懲罰性措施，那么就不能有效控制犯罪和保護網絡財務系統。

（四）高素質網絡財務人員的缺乏

人作為企業的一項資源，在現代企業經營管理中不應被忽略。在企業引進網絡化管理的同時，更應注重對人素質的培訓，特別是培訓領導管理層熟練應用網絡。財務是企業經營管理的一項重要內容，網絡技術運用于企業財務涉及到整個企業經營管理模式的變革，相應財務人員素質的要求和職能也就有了不同。目前我國會計從業行業從業人員有1200多萬人，其中中專以上學歷者占47%，高層次會計人才只占20%，適應新形勢的復合型網絡財務人才十分缺乏，參加國際職業認證并取得國際證書的人員在跨國公司、上市公司、大型企業集團的人員比例較大，而在中小企業所占比例較小。

三、針對網絡財務安全問題提出的對策

（一）強化技術安全

1.廣泛采用新技術

在技術上對整個網絡財務系統的各個層次(通信平臺、網絡平臺、應用平臺)都要采取安全防范措施和規則，建立綜合的多層次的安全體系。目前常用的網絡安全技術一般有安全網關(放火墻)技術、訪問控制技術、數據加密技術、身份認證技術、隧道技術(VPN)等。防火墻技術和訪問控制技術可以在相當程度上解決非法操作問題; 運用隧道技術能夠解決網絡財務中會計信息傳輸的安全間題。VPN即虛擬專用網，也稱隧道技術。是指通過綜合利用網絡技術、訪問控制技術和加密技術，并通過一定的用戶管理機制，在公共網絡中建立起安全的“專用”網絡，保證數據在“加密隧道”中進行安全傳輸的技術。通過VPN，企業的網絡財務系統可以在公用互聯網絡上將企業總部、遠程分支辦事機構、數量不等的業務合作伙伴及出差在外的遠程移動用戶連接起來，實現個人、遠程分支機構、合作伙伴（客戶、供應商）與企業總部間點對點或端到端的“虛擬專用”聯接。也可以說“，虛擬專用隧道”如同在茫茫的廣域網上為企業拉出了一條專線。而對于只要求證明信息是可靠的情況(能證明信息的出處，傳輸過程中未被改動)，則可采用數字信封技術(數字指紋和數字證書)來解決。

2.建立必要的網上機構

建立必要的網上機構是身份認證和信息安全傳輸的重要保證，如“認證中心”、“網上公證”、“網上仲裁”等。目前，CA安全認證中心系統廣泛應用于電信、金融、郵政、證券和電力行業，針對不同類型的用戶,如企事業單位、服務提供商、服務器、個人等發放不同安全級別、不同用途的數字證書,滿足網上各類業務(包括支付類和非支付類),例如安全電子郵件服務、電子報稅、電子證券、電子銀行、電子商場、代繳代付、銀證轉賬、銀企對帳、網上防偽打假等眾多業務的安全需求,并且可以用于政府上網工程中的安全政務系統,以保證網上公文傳送的安全性。

3.建立半開放式網絡結構

企業的內域網Intranet與互聯網Internet的連接，由于防火墻只允許符合過濾條件的信息通過和對已知密碼的授權用戶按所設置的服務類提供服務，而對信息內容則無法識別和控制，因此，竊取合法用戶密碼的人便可通過防火墻對內域網進行攻擊。解決的辦法是在Intranet與防火墻之間建立“門戶網站”并安裝監測軟件。它起到“中轉站”的作用。無論是從Intranet一方還是從Internet一方訪問對方時，均需在“中轉站”上登錄。“中轉站”是受控網站，當有登錄請求時可報警，由Intranet的“值班”人員進行身份認證和服務內容審批，批準后(附加審批密碼)方能通過“中轉站”，這樣可大大提高系統的安全性。

（二）建立完善的企業網絡財務內部控制制度

1. 制定網絡財務環境下的崗位責任制度

加強員工之間的互相牽制,使不兼容職務相互分離控制,明確崗位責任制,要求按照不兼容職務相分離的原則,合理設置會計及相關工作崗位,形成相互制約機制。在網絡財務系統下，盡管會計系統運作的主要原則沒有改，但在實現了網絡財務后，應對原有的組織機構進行適當的調整，以適應計算機系統的要求。企業可以按會計數據的不同形態，劃分為數據收集輸入組、數據處理組和會計信息分析組；也可按會計崗位和工作職責劃分為計算機會計主管、軟件操作、審核記賬、電算維護、電算審查、數據分析等崗位。內部人員的惡意行為及無意行為都可能造成財務信息的不安全。據統計,有超過50%的安全威脅是來自企業內部心懷不滿的員工,其次是黑客。內部用戶如果權限劃分不當,控制不嚴,容易造成信息濫用和泄露。可以通過員工培訓,一方面提高員工的安全防范意識,減少錯誤的操作,增強網絡的安全;另一方面增強員工愛崗敬業精神,消除對企業的誤解和矛盾,減少來自內部的惡意攻擊。

日常操作系統管理控制。第一，制定上機操作規程。主要包括軟硬件操作規程、作業運行規程和用機時間記錄規程等。第二，加強系統人員的操作管理。人員操作管理的重點是權限控制，系統管理員被賦予超級用戶管理權限，主要負責系統硬、軟件的管理維護和網絡資源分配，操作人員應按照被授予的權限嚴格作業，不得越權，系統程序員不得進行業務操作，以避免人為因素或操作不當給操作系統帶來不必要的損失和風險。第三，建立計算機資源訪問授權和身份認證制度。通過建立計算機網絡財務的資源訪問授權和身份認證制度，明確每個用戶的安全級別和身份標識，并分別定義其可以訪問的信息資源對象。企業可以按照網絡化財務系統的需求，設定各財務人員上機操作崗位，明確崗位職責和權限，并通過為每個用戶進行系統功能的授權落實其責任和權限。結合密碼管理措施，使各個用戶進人系統時必須輸入自己的用戶名和口令，進人系統之后也只能執行自己權限范圍內的功能，防止非法操作。

2. 建立企業內部網絡安全技術控制制度

靜態預防。有些安全威脅通常是已知的,而且這些威脅不會變化,如已知的系統漏洞、病毒等。針對這些已知的威脅,可以采用一些網絡安全產品、工具和技術保護網絡系統、數據和用戶(包括數據加密技術、數字簽字、訪問控制技術,防火墻等)。這些技術可以在一定程度上防范惡意攻擊,起到保護作用。另外,光纖不會產生電磁輻射,造成信息泄漏,因此,通信線路最好選用光纖。

動態保護。網絡安全技術在發展的同時,黑客技術也在不斷的發展。因此,網絡安全不是一成不變的,同時也是開放的。也許今天對你來說是安全的,明天可能就會變得不安全,如用戶可以利用“網絡監聽”來竊取網絡中傳輸的機密信息。而監控和審計就是滿足動態安全需求的一種安全策略。它能通過找出并解決網絡上的安全問題,如定位網絡故障點、控制網絡訪問范圍,以及包括對網絡資源的使用、網絡故障、系統記賬等方面的記錄和分析,以達到安全控制的目的。

數據恢復。當入侵發生后，對系統造成了一定的破壞，如網絡不能正常工作、系統數據被破壞等，這時，必須有一套機制（系統備份等）來及時恢復系統正常工作，讓系統以最快的速度運行起來才是最重要的。否則，損失會更加慘重。

（三）建立健全網絡財務的相關法律、制度

法律是經濟運行的護衛者，是懲罰違規者的根據和有力手段。沒有完善的法律制度與監督機制，就不能保證參與者的公平競爭。“網絡財務”立法是“網絡財務”健康發展的前提，是保證各項財會信息的真實、口徑統一以及安全有效的措施。目前，由于法規的不健全使針對網絡財務系統的犯罪的控制非常困難。例如，對未經許可接觸電算化會計信息系統或有關數據文件的行為，在法律上未規定為偷竊行為，因此就無法對下載重要機密數據的行為治罪。必須看到，對網絡財務系統的開發和管理，不能僅靠現有的一些法規，如《會計法》、《企業會計準則》等。因為計算機犯罪畢竟是高科技、新技術下的一種新型犯罪，為此制定專門的法規對此加以有效控制就很有必要。為網絡財務的發展營造良好的大環境，加快防止網絡財務犯罪的法制化進程，可從兩個方面入手：（1）建立懲治利用網絡財務犯罪活動的法律，明確規定哪些行為屬于犯罪行為及懲處方法；（2）建立網絡財務系統的保護法律，明確網絡財務系統中哪些東西或哪些方面受法律保護及受何種保護。網絡財務安全立法應堅持立足于我國國情的原則，并參照國際有關法律、法規，制定出一套規范的、符合我國國情的網絡財務方面的法律法規。

隨著科技的進步，網絡財務犯罪的手段也會不斷發生變化，因此我們必須根據犯罪的發展對現有法律法規進行修訂，以保證能夠應對各種新式犯罪，以遏制新式犯罪的發展勢頭。保證網絡財務的健康發展。

（四）加強網絡財務人員的培養和教育

網絡財務作為信息現代化與商貿有機結合的產物，高素質的專業財務人員是保證網絡財務信息、數據真實和安全的關鍵。因此，培養適應網絡財務發展需要的高素質財會人才已迫在眉睫。許多財務人員由于歷史、機制等方面的原因，計算機、外語、財務專業等綜合素質較低、視野較窄。雖然有專業畢業生走向社會，但他們大部分都流向了金融證券等行業，在基層一線的較少，這樣造成專業人才缺乏。高級財會人才的相對短缺日益成為網絡財務發展的突出問題。所以應積極培養既掌握現代化信息技術，又掌握現代財務知識和管理理論與實務的復合型人才。培養人才可采用以下幾種方法：一是通過高校相關專業培訓，使財務人員盡快掌握網絡財務的有關技能，如計算機操作基本知識、通用財務軟件的操作規則等。二是從高等院校相關專業畢業生和社會其他單位招聘計算機或網絡財務人才。三是注重復合型人才的合理使用，調動其積極性與創造性。四是抓好在崗財務人員的知識培訓、上崗考核、職稱管理以及獎懲制度等項工作，并下大力氣搞好專業人員的在職教育和繼續教育，建立一支業務素質高、嚴格恪守職業道德和職業規范的現代化的專業隊伍。

（作者單位：中瑞岳華會計師事務所有限公司河南分所）