互聯(lián)網(wǎng)條件下財(cái)務(wù)信息化安全策略的研究方向

張紅梅 泰安市衛(wèi)生健康監(jiān)督執(zhí)法局

信息化發(fā)展過程中，計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)應(yīng)用也得到了迅速發(fā)展，各種信息管理系統(tǒng)被廣泛應(yīng)用，大量信息數(shù)據(jù)充斥在計(jì)算機(jī)中，而計(jì)算機(jī)和互聯(lián)網(wǎng)本身比較脆弱，容易出現(xiàn)安全危險，例如計(jì)算機(jī)病毒、黑客入侵等，信息系統(tǒng)面臨十分嚴(yán)峻的危險。隨著財(cái)務(wù)信息網(wǎng)絡(luò)化發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)盡管拓展了用戶通信范圍以及資源共享程度，但是也導(dǎo)致網(wǎng)絡(luò)更加復(fù)雜、脆弱，導(dǎo)致網(wǎng)絡(luò)被攻擊。由于數(shù)據(jù)安全性問題越發(fā)突出，財(cái)務(wù)信息化安全策略研究成為重點(diǎn)。

一、互聯(lián)網(wǎng)下財(cái)務(wù)信息化安全現(xiàn)狀分析

在互聯(lián)網(wǎng)條件下，財(cái)務(wù)信息化系統(tǒng)呈現(xiàn)開放性、實(shí)時性和共享性等特征，傳統(tǒng)財(cái)務(wù)信息系統(tǒng)比較封閉，不僅面臨著傳統(tǒng)系統(tǒng)風(fēng)險，同時還受到外部攻擊。當(dāng)前，我國財(cái)務(wù)信息化安全建設(shè)比較落后，不能適應(yīng)時代發(fā)展的潮流，了解財(cái)務(wù)信息安全建設(shè)現(xiàn)狀有利于發(fā)現(xiàn)其中面臨的安全隱患，具體表現(xiàn)在以下幾方面：

1．信息孤島。企業(yè)建設(shè)財(cái)務(wù)信息化系統(tǒng)時缺乏總體規(guī)劃，對于網(wǎng)絡(luò)技術(shù)的應(yīng)用不夠重視，各部門各司其職，分散開發(fā)各自的信息系統(tǒng)，企業(yè)內(nèi)部形成了信息孤島，不利于匯集財(cái)務(wù)數(shù)據(jù)信息[1]。

2．安全防范意識。大部分企業(yè)的安全防范意識較差，只是簡單采用了保密通信、防火墻等基本的安全防護(hù)措施，且并沒有進(jìn)行安全檢測。即時已經(jīng)進(jìn)行了安全檢測，按時也缺乏已知漏洞、已知攻擊等，并未普及安全檢測。

3．安全級別。我國信息系統(tǒng)安全級別一般是C2級及其以下，所用的軟硬件產(chǎn)品中，國產(chǎn)產(chǎn)品安全比例較低。

4．安全建設(shè)和設(shè)計(jì)缺乏統(tǒng)一指導(dǎo)。國家在建設(shè)和設(shè)計(jì)信息系統(tǒng)上缺乏統(tǒng)一指導(dǎo)意見，國家標(biāo)準(zhǔn)的制定比較滯后，法律不健全。企業(yè)缺乏安全規(guī)劃和建設(shè)指導(dǎo)，單簽大部分企業(yè)缺乏安全防范意識，企業(yè)安全建設(shè)過程中缺乏安全策略和思想方面的指導(dǎo)。計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)不同層次缺乏安全防護(hù)漏洞，企業(yè)信息系統(tǒng)所用的防病毒產(chǎn)品少，網(wǎng)絡(luò)安全級別比較低，很多信息網(wǎng)絡(luò)層并沒有設(shè)置必要的安全防護(hù)[2]。

5．安全管理。企業(yè)并未設(shè)置專門的信息安全監(jiān)督機(jī)制，各部門的信息安全職責(zé)和彼此關(guān)系并未形成系統(tǒng)和，有些企業(yè)盡管建立了計(jì)算機(jī)安全管理部門，但是落實(shí)不到位，缺乏專業(yè)人員。

二、互聯(lián)網(wǎng)下財(cái)務(wù)信息化安全隱患的影響因素

(一)內(nèi)部存在隱患

互聯(lián)網(wǎng)環(huán)境下，企業(yè)管理人員對財(cái)務(wù)信息化系統(tǒng)更加看重系統(tǒng)運(yùn)行的便捷性，對于系統(tǒng)中存在的安全隱患有所忽視，這時由于管理人員對于信息安全認(rèn)識和投入無法滿足信息安全防范要求，對信息化系統(tǒng)缺乏監(jiān)管，具體表現(xiàn)在：

1．內(nèi)控制度不完善。當(dāng)前，很多企業(yè)的內(nèi)控制度并不完善，有些甚至形同虛設(shè)。作為企業(yè)信息化管理系統(tǒng)重要組成部分，財(cái)務(wù)信息系統(tǒng)在企業(yè)內(nèi)控制度落實(shí)不到位的情況下，其推進(jìn)會受到阻礙[3]。同時，有些企業(yè)的財(cái)務(wù)基礎(chǔ)工作開展混亂，各種表格、賬目、內(nèi)容不夠規(guī)范，導(dǎo)致財(cái)務(wù)信息系統(tǒng)總體規(guī)劃不到位，對信息數(shù)據(jù)的交換、共享產(chǎn)生影響，使財(cái)務(wù)信息化基礎(chǔ)管理工作不到位。同時，財(cái)務(wù)信息化在實(shí)施過程中，管理人員只注重財(cái)務(wù)部門工作需要，并未從企業(yè)整體處罰，導(dǎo)致編碼類型多，彼此不相容，出現(xiàn)信息孤島。

2．財(cái)務(wù)信息化理解不到位。有些企業(yè)對于財(cái)務(wù)信息化的認(rèn)識主要在于財(cái)務(wù)軟件憑證、賬表處理上，財(cái)務(wù)人員的網(wǎng)絡(luò)應(yīng)用能力和系統(tǒng)管理能力不足，未建立全面的財(cái)務(wù)信息系統(tǒng)體系，導(dǎo)致軟件利用率低，無法為企業(yè)的管理決策工作提供有效參考，也導(dǎo)致信息無法共享，信息處理冗余，形成信息孤島。

(二)設(shè)備不夠安全

互聯(lián)網(wǎng)下，資源共享是其最明顯優(yōu)勢，但是其也導(dǎo)致財(cái)務(wù)信息處理、傳輸和應(yīng)用受到安全威脅。

1．軟件漏洞。操作系統(tǒng)容易出現(xiàn)漏洞，導(dǎo)致蠕蟲病毒感染，因此企業(yè)需要保證內(nèi)部計(jì)算機(jī)安全。應(yīng)用軟件中的后門程序是為了方便軟件修改設(shè)計(jì)的，但是這一設(shè)計(jì)被有心人利用會變成安全隱患，容易被黑客攻擊，導(dǎo)致信息系統(tǒng)出現(xiàn)安全風(fēng)險[4]。

2．惡意攻擊。財(cái)務(wù)信息系統(tǒng)中，惡意攻擊是十分常見的隱患，其分為主動和被動兩種。主動攻擊是采用各種手段有意破壞信息，被動攻擊是在網(wǎng)絡(luò)運(yùn)行正常情況下對重要信息進(jìn)行截留、破譯，這兩種攻擊都會導(dǎo)致網(wǎng)絡(luò)信息受到直接損害，使企業(yè)機(jī)密數(shù)據(jù)出現(xiàn)泄露、損毀現(xiàn)象，對于企業(yè)而言是巨大損失。

3．垃圾信息。網(wǎng)絡(luò)中的垃圾信息一般是指病毒、垃圾郵件、惡意插件、間諜軟件等，其會通過系統(tǒng)安全漏洞進(jìn)入到系統(tǒng)中，威脅信息安全，導(dǎo)致經(jīng)濟(jì)損失。

(三)專業(yè)人才缺乏

企業(yè)在應(yīng)用財(cái)務(wù)軟件后，對于財(cái)務(wù)人員專業(yè)性也提出了更多要求。當(dāng)前，有些企業(yè)的財(cái)務(wù)管理仍然受制于傳統(tǒng)會計(jì)報(bào)銷、報(bào)稅等方面，人才隊(duì)伍建設(shè)不夠合理，有些以往從事傳統(tǒng)會計(jì)作業(yè)人員的金融知識、會計(jì)知識比較全面，但是對于計(jì)算機(jī)知識不夠了解，新的技術(shù)人員盡管了解計(jì)算機(jī)知識，但是財(cái)務(wù)管理經(jīng)驗(yàn)不足，財(cái)務(wù)管理呈現(xiàn)形式化，效果不佳[5]。同時，有些企業(yè)財(cái)務(wù)人員對于繼續(xù)教育不夠重視，缺乏新的財(cái)務(wù)知識，財(cái)務(wù)軟件應(yīng)用不徹底，導(dǎo)致其對現(xiàn)代會計(jì)業(yè)務(wù)相關(guān)工具的使用也不夠透徹，現(xiàn)有財(cái)務(wù)人員知識重點(diǎn)在于經(jīng)濟(jì)行業(yè)或是通用軟件使用上，對于互聯(lián)網(wǎng)的信息處理并不了解。實(shí)際工作時，由于技術(shù)算計(jì)故障或是網(wǎng)絡(luò)問題導(dǎo)致財(cái)務(wù)核算工作開展受到制約。

三、互聯(lián)網(wǎng)下財(cái)務(wù)信息化安全策略

(一)強(qiáng)化信息系統(tǒng)安全控制

1．加強(qiáng)數(shù)據(jù)安全。首先，需要建立健全內(nèi)部管理機(jī)制。參考我國關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)、信息系統(tǒng)安全、獨(dú)立審計(jì)等方面的規(guī)定對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)信息安全作出嚴(yán)格規(guī)范，進(jìn)而制定內(nèi)部控制機(jī)制，從法律、道德等方面對企業(yè)財(cái)務(wù)工作人員進(jìn)行嚴(yán)格約束，避免內(nèi)部人員出現(xiàn)舞弊、犯罪等現(xiàn)象。

2．加強(qiáng)監(jiān)控審計(jì)。互聯(lián)網(wǎng)下，財(cái)務(wù)信息系統(tǒng)是有多個部門的信息聯(lián)網(wǎng)構(gòu)成的，為了保證其運(yùn)行高效、安全，需要加強(qiáng)系統(tǒng)監(jiān)控，在系統(tǒng)出現(xiàn)錯誤時能夠盡快報(bào)告錯誤，及時發(fā)現(xiàn)問題、解決問題，并按照各部門或是分公司用戶操作情況，根據(jù)系統(tǒng)記錄的信息對用戶合法性進(jìn)行判斷，并及時采取有效措施，確保系統(tǒng)能夠安全運(yùn)行[6]。同時，還需要加強(qiáng)財(cái)務(wù)數(shù)據(jù)的審計(jì)，監(jiān)督財(cái)務(wù)數(shù)據(jù)操作，動態(tài)跟蹤訪問財(cái)務(wù)數(shù)據(jù)，記錄刪改操作。

3．加強(qiáng)數(shù)據(jù)備份。互聯(lián)網(wǎng)下，財(cái)務(wù)信息系統(tǒng)中有很多子系統(tǒng)，其中含有很多財(cái)務(wù)信息。為了避免出現(xiàn)該現(xiàn)象，需要及時備份財(cái)務(wù)數(shù)據(jù)，方便在系統(tǒng)出現(xiàn)問題時能夠迅速恢復(fù)這些數(shù)據(jù)，一般是每天都需要備份文件，保存時間為3天。

(二)優(yōu)化信息系統(tǒng)設(shè)備安全

1．控制系統(tǒng)結(jié)構(gòu)和硬件設(shè)備。選擇好網(wǎng)絡(luò)硬件，為了能夠使財(cái)務(wù)數(shù)據(jù)安全，需要選擇合適的通信渠道、解調(diào)器、中繼器、路由器等服務(wù)器、工作站，根據(jù)網(wǎng)絡(luò)系統(tǒng)要求和用戶特點(diǎn)確定工作站，并按照財(cái)務(wù)信息系統(tǒng)和軟件運(yùn)行要求選擇優(yōu)質(zhì)計(jì)算機(jī)。

2．控制存取。企業(yè)內(nèi)外部網(wǎng)聯(lián)系設(shè)立了防護(hù)墻控制，該技術(shù)是在網(wǎng)絡(luò)企業(yè)內(nèi)網(wǎng)和外網(wǎng)間設(shè)置的一種隔離軟件，進(jìn)而為企業(yè)內(nèi)部網(wǎng)絡(luò)提供可以抵御外部侵?jǐn)_的能力，使財(cái)務(wù)信息系統(tǒng)能夠安全[7]。此外，還需要使用識別設(shè)備等控制技術(shù)，用來存取財(cái)務(wù)信息。

3．控制網(wǎng)絡(luò)端口。財(cái)務(wù)信息系統(tǒng)網(wǎng)絡(luò)端口控制中，單端控制在主機(jī)端控制中的應(yīng)用最多，其是通過各種端口保護(hù)設(shè)備來控制主機(jī)端的，主要是對終端撥號訪問實(shí)現(xiàn)控制的，該設(shè)備的安裝能夠有效保護(hù)主機(jī)安全。雙端控制不僅需要控制主機(jī)端，還需要控制用戶端，二者配合驗(yàn)證。用戶驗(yàn)證時，需要接入用戶個人，一般采用便攜驗(yàn)證設(shè)備進(jìn)行驗(yàn)證。互聯(lián)網(wǎng)下財(cái)務(wù)信息系統(tǒng)網(wǎng)絡(luò)端口控制一般采用的是雙端控制。

4．控制病毒。為了有效防范計(jì)算機(jī)病毒，需要盡量使用無盤工作站，實(shí)時監(jiān)控、追蹤網(wǎng)絡(luò)中的病毒，所使用防病毒卡扥供應(yīng)艦，財(cái)務(wù)軟件中包連接第三方反病毒軟件，提高軟件防控能力，外來數(shù)據(jù)需要通過病毒檢查后才能夠使用，并建立內(nèi)網(wǎng)保障。

(三)培養(yǎng)綜合型財(cái)務(wù)人才

企業(yè)需要提高財(cái)務(wù)人員信息安全認(rèn)識，這就需要對財(cái)務(wù)工作人員加強(qiáng)培訓(xùn)教育，通過培訓(xùn)教育豐富專業(yè)知識，提高安全意識，消除對財(cái)務(wù)信息化的模糊理解，使財(cái)務(wù)人人員工作時不僅注重會計(jì)信息整理，還注重會計(jì)信息安全，工作過程中重視自身操作和行為不會存在漏洞，出現(xiàn)安全威脅，該工作方式會不斷改進(jìn)會計(jì)信息安全風(fēng)險管理水平。對此，企業(yè)可以通過內(nèi)部組織培訓(xùn)或是外包培訓(xùn)，邀請專業(yè)的信息安全專家、信息安全管理專業(yè)人員為企業(yè)進(jìn)行培訓(xùn)教育，定期對財(cái)務(wù)人員進(jìn)行繼續(xù)教育，新入職員工可以實(shí)行老帶新，提供崗前培訓(xùn)，提高財(cái)務(wù)人員的安全意識、信息技術(shù)、會計(jì)核算和財(cái)務(wù)信息處理的高標(biāo)準(zhǔn)等方面的知識，培養(yǎng)綜合型的財(cái)務(wù)工作人才[8]。

四、結(jié)語

綜上所述，當(dāng)今社會，財(cái)務(wù)信息化建設(shè)十分必要，在互聯(lián)網(wǎng)經(jīng)濟(jì)的支持下，財(cái)務(wù)信息系統(tǒng)的建設(shè)、應(yīng)用和發(fā)展為企業(yè)的管理、決策提供全面有效的信息，因此，需要保障互聯(lián)網(wǎng)下財(cái)務(wù)信息安全，可以從內(nèi)部控制、軟硬件設(shè)備和人才這三方面進(jìn)行研究。■