網絡財務信息安全風險及防范

□文/霍宏建

（1.河北省煙草專賣局；2.中國煙草總公司河北省公司河北·石家莊）

一、網絡財務信息安全面臨的主要風險

網絡財務是信息技術在財務領域的具體應用，其信息安全風險來源于信息技術的一般風險和財務數據的特定風險，主要表現在以下幾個方面：

1、硬件系統風險。任何計算機軟件都必須通過硬件來運行，硬件是軟件的承載體。硬件系統發生故障時，將會導致網絡系統癱瘓，軟件無法運行，業務處理停滯，給網絡財務使用者造成很大損失。如果硬件中的存儲系統發生嚴重損壞，所有數據將會面臨全部丟失的風險，給財務工作帶來災難性后果。

2、軟件系統風險。網絡財務軟件的正常運行，除需要硬件系統保障外，還需要操作系統、中間件和數據庫等軟件的支撐，這些軟件系統是否存在漏洞，技術上是否成熟，運行是否穩定，直接影響財務信息安全程度和網絡財務軟件運行效率。

3、數據存儲風險。在網絡財務環境下，財務信息存儲介質發生變化，由紙質轉化為磁介質，所有財務數據以電子格式存儲于服務器端，財務數據更易容丟失、被盜和損壞。此外，隨著網絡財務軟件的應用，財務數據量不斷增多，存儲設備還面臨著容量不夠的風險。

4、信息傳遞風險。網絡財務運行過程中，財務信息需要借助計算機網絡在客戶端和服務器端之間不斷地進行數據傳遞和交換，并且這種數據傳遞和交換都是以廣播的形式進行發布。理論上，任何聯網計算機都有可能獲取網絡資源，竊聽網絡信息，這就大大增加了財務信息被截取、泄露、篡改的風險。

5、病毒破壞風險。隨著網絡迅速發展，計算機病毒的破壞能力不斷提高，破壞范圍不斷擴大，并且呈現出了傳播速度快、自我復制強、難以防范的特點，給財務信息安全造成了極大的威脅。

6、非法入侵風險。在網絡環境中，任何聯網計算機在理論上都是可以被訪問到的，除非它們在物理上斷開鏈接。一些人可能出于各種目的，利用黑客程序，破壞網絡系統，進行黑客攻擊。而且，黑客攻擊比病毒破壞更具目的性和破壞性。

7、人員責任風險。計算機管理制度不健全，管理人員技術不精或者責任心不強；防范措施不嚴格，對網絡系統未進行必要的安全配置和管理，對網絡信息缺乏嚴密的監控；財務系統用戶不注意口令保護，口令密碼設置簡單或長期不更改，致使別有用心的入侵者輕易冒充合法用戶進入系統，竊取、篡改、破壞數據。

二、網絡財務信息安全風險防范措施

網絡財務信息安全風險防范是一項系統工程，需要財務和信息部門密切配合，通力協作，采取防范措施，增強系統抵御風險的能力，確保網絡財務信息安全。

1、強化網絡安全意識。加強網絡信息安全重要性宣傳和教育，使全體員工尤其是財務和信息部門人員在思想上時刻樹立網絡安全意識，深刻認識網絡安全對于財務工作的極端重要性，自覺維護良好的網絡安全環境，抵制一切影響網絡安全的行為。

2、加強網絡安全技術防范。網絡安全技術防范是指綜合運用防火墻、數據加密、數字簽名和安全協議等專業技術對整個財務網絡系統采取全方位的安全防范措施，建立多層次的網絡安全體系，提高網絡安全防護等級，提供全面的網絡信息安全保護。加強網絡安全技術防范，要保障資金投入，確保網絡安全防范設備及時安裝到位；要注重培養網絡安全技術專業人才，不斷提高網絡安全技術人員的業務能力和工作水平。

3、加強財務數據管理。定期對財務數據進行異地備份，指定專人負責保管備份介質，未經審批不得對備份數據進行恢復操作。嚴格限定財務數據共享范圍和權限，只允許其他系統在限定的范圍內對財務數據庫進行只讀操作，不得賦予改寫權限。嚴格數據錄入審核，防止錯誤數據進入財務系統。妥善保管操作系統、數據庫和財務軟件等各類密碼，增強密碼設置安全程度，不定期進行更改，防止別人盜用密碼進行非法操作。

4、加強財務信息化安全制度建設。建立健全和有效落實財務信息化安全制度是保障財務軟件正常運行、財務數據安全完整的關鍵。這些制度包括財務系統軟硬件管理和維護制度、系統管理人員和操作人員崗位責任制度、文檔資料保管和使用制度、計算機病毒防范制度、操作權限分配規定、計算機和網絡安全事故應急預案等，通過財務信息化安全制度建設，盡可能減少由于內部人員道德風險、系統資源風險、計算機病毒風險和意外風險造成的危害，確保網絡財務系統安全運行。

5、加強對計算機病毒和黑客的防范。

通常情況下，網絡財務系統運行于單位內網之中。防范計算機病毒和黑客的最有效方法就是實行內外網嚴格分離制度，內外網之間進行物理隔離，使得外網計算機不能登錄到內網。此外，在內網中的所有計算機都要安裝殺毒軟件，定期更新病毒庫，及時查殺計算機病毒。加強網絡安全監控，及時發現網絡中的異常情況，果斷進行處理，凈化網絡環境。建立訪問列表，嚴格限定聯網計算機對財務服務器的訪問控制。

6、加強身份認證和權限控制。建立更為科學的CA數字認證體系，采用數字證書方式進行登錄，確保系統數據的完整性、保密性和行為的不可否認性，杜絕數據在傳送過程中可能出現的非法訪問、非法篡改、假冒偽造等安全問題。嚴格進行權限分配和控制，根據實際工作需要，合理確定財務人員和管理人員操作權限。嚴格授權操作管理，未經批準，不相關人員不得接觸財務軟硬件系統，確保財務系統和數據信息的安全。

[1]劉峰成.網絡財務信息安全問題.合作經濟與科技，2007.3.

[2]卞繼紅.網絡財務的安全隱患及其治理.財會研究，2011.9.

[3]袁雋媛.財務內網信息安全的策略與技術研究.中國管理信息化，2009.2.