新時(shí)代企業(yè)財(cái)會(huì)數(shù)據(jù)安全防護(hù)對(duì)策分析

王文松 戴曉峰 孫耀敏 高曉虎 高東岳

（航天科工財(cái)務(wù)有限責(zé)任公司）

一、前言

在數(shù)字經(jīng)濟(jì)時(shí)代，“上云用數(shù)賦智”已成為引領(lǐng)經(jīng)濟(jì)發(fā)展的新動(dòng)力。基于智能化技術(shù)對(duì)財(cái)會(huì)工作進(jìn)行的模仿和創(chuàng)新，智能化財(cái)務(wù)系統(tǒng)應(yīng)運(yùn)而生。這不僅打破了會(huì)計(jì)數(shù)據(jù)信息孤島模式，還節(jié)省了財(cái)務(wù)工作成本，甚至還在一定程度上增強(qiáng)了合規(guī)能力。但是，其弊端也在逐漸暴露出來(lái)，例如財(cái)會(huì)數(shù)據(jù)泄露、篡改、非法控制等。這對(duì)財(cái)會(huì)數(shù)據(jù)信息的使用、存儲(chǔ)和傳輸?shù)葞?lái)了更嚴(yán)峻的安全風(fēng)險(xiǎn)。因此，研究企業(yè)財(cái)會(huì)數(shù)據(jù)安全的防護(hù)措施是十分必要的。基于以上背景，在財(cái)會(huì)數(shù)據(jù)的全生命周期中，通過(guò)安全技術(shù)手段以及安全管理手段，可以防止數(shù)據(jù)泄露、篡改、損壞、丟失，以保證財(cái)務(wù)共享信息的真實(shí)性、完整性，從而提升企業(yè)智能財(cái)務(wù)系統(tǒng)的安全管理能力。

二、財(cái)會(huì)數(shù)據(jù)特點(diǎn)分析

（一）數(shù)據(jù)生成

在數(shù)據(jù)生成過(guò)程中，財(cái)會(huì)數(shù)據(jù)具有廣泛的數(shù)據(jù)源和數(shù)據(jù)類型輔助的特點(diǎn)。廣泛的數(shù)據(jù)源包括頁(yè)面錄入和基于網(wǎng)絡(luò)集成兩種模式。頁(yè)面錄入：是在用戶客戶端下載的數(shù)據(jù)；基于網(wǎng)絡(luò)集成：是指從內(nèi)網(wǎng)和外網(wǎng)集成的數(shù)據(jù)。財(cái)會(huì)數(shù)據(jù)類型包括結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)兩種類型。結(jié)構(gòu)化數(shù)據(jù)是指企業(yè)ERP、財(cái)務(wù)系統(tǒng)、醫(yī)療HIS 數(shù)據(jù)庫(kù)等這類關(guān)系型數(shù)據(jù)；非結(jié)構(gòu)化數(shù)據(jù)是指文本、日志和圖片等。為了確保數(shù)據(jù)的完整性和準(zhǔn)確性，在數(shù)據(jù)的錄入和集成過(guò)程中，身份鑒別和認(rèn)證、病毒防護(hù)和檢測(cè)、數(shù)據(jù)加密和數(shù)據(jù)簽名成為了必不可少的步驟。

（二）數(shù)據(jù)存儲(chǔ)

數(shù)據(jù)存儲(chǔ)過(guò)程中，重要的財(cái)會(huì)數(shù)據(jù)通常需要經(jīng)過(guò)加密存儲(chǔ)，甚至相關(guān)的關(guān)鍵敏感數(shù)據(jù)需要進(jìn)行動(dòng)態(tài)加密。為了進(jìn)一步確保財(cái)務(wù)存儲(chǔ)數(shù)據(jù)的安全性和完整性，需要在使用財(cái)會(huì)存儲(chǔ)數(shù)據(jù)前對(duì)數(shù)據(jù)進(jìn)行動(dòng)態(tài)加密驗(yàn)證。在數(shù)據(jù)的加密過(guò)程中，加密技術(shù)需要符合相關(guān)法律和企業(yè)的加密要求，這樣才能在較大程度上規(guī)避潛在的風(fēng)險(xiǎn)。

（三）數(shù)據(jù)傳輸

在財(cái)會(huì)數(shù)據(jù)傳輸過(guò)程中，為了有效避免黑客的惡意網(wǎng)絡(luò)攻擊，通常采用身份認(rèn)證、權(quán)限管理最小化、防火墻和多重加密技術(shù)等方法。數(shù)據(jù)加密包括對(duì)稱加密和非對(duì)稱加密兩種方式，其加密復(fù)雜度由數(shù)據(jù)傳輸效率而定。為了確保數(shù)據(jù)的真實(shí)性和不可抵賴性，在財(cái)會(huì)數(shù)據(jù)的傳輸過(guò)程中，數(shù)字簽名成為了流行的方法。在使用數(shù)字簽名過(guò)程中，必須要確保私鑰的機(jī)密性，防止黑客偽造密鑰持有者的簽名，這就要求數(shù)字簽名的密鑰必須要和加密的私鑰進(jìn)行區(qū)分。針對(duì)數(shù)據(jù)加密算法和密鑰長(zhǎng)度的選擇問(wèn)題，需要根據(jù)數(shù)據(jù)的分級(jí)和敏感性來(lái)確定。

（四）數(shù)據(jù)備份及恢復(fù)

為了降低人為因素和自然災(zāi)害等造成的損失，財(cái)會(huì)數(shù)據(jù)備份操作成為了其必不可少的解決方法。在智能財(cái)務(wù)系統(tǒng)受到破壞時(shí)，可以迅速恢復(fù)數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)內(nèi)容。同時(shí)還需要根據(jù)相應(yīng)的備份和恢復(fù)方案，對(duì)財(cái)會(huì)數(shù)據(jù)進(jìn)行定期的備份。為了防止重要財(cái)會(huì)數(shù)據(jù)、敏感財(cái)會(huì)數(shù)據(jù)丟失，可以采用集群技術(shù)進(jìn)行系統(tǒng)整體冗余和容錯(cuò)。

三、財(cái)會(huì)數(shù)據(jù)安全存在的問(wèn)題分析

（一）財(cái)會(huì)從業(yè)人員安全意識(shí)薄弱

目前，在財(cái)會(huì)數(shù)據(jù)安全建設(shè)體系過(guò)程中，大多數(shù)企業(yè)仍然處于起步階段。隨著信息化技術(shù)的創(chuàng)新發(fā)展，財(cái)會(huì)應(yīng)用軟件種類繁多。然而，大部分企業(yè)只關(guān)注軟件功能的實(shí)現(xiàn)，忽視了軟件本身的安全性。所以，企業(yè)在安全風(fēng)險(xiǎn)體系建設(shè)過(guò)程中，企業(yè)管理者只局限于軟件和硬件設(shè)備的使用方面，往往忽略了應(yīng)用軟件開(kāi)發(fā)層面問(wèn)題。在安全風(fēng)險(xiǎn)體系建設(shè)中，通常需要投入大量的成本。因此，許多企業(yè)管理者難免有抵觸和僥幸心理，使得企業(yè)財(cái)會(huì)數(shù)據(jù)安全體系建設(shè)工作未能得到充分支持，從而導(dǎo)致無(wú)法跟進(jìn)新時(shí)代發(fā)展需要，致使企業(yè)難以預(yù)見(jiàn)潛在的安全風(fēng)險(xiǎn)。與此同時(shí)，許多企業(yè)管理者缺乏安全管理經(jīng)驗(yàn)。盡管企業(yè)領(lǐng)導(dǎo)或者是安全部門負(fù)責(zé)人制定了相應(yīng)的安全管理制度和條例，但安全策略和管理制度覆蓋面不全或者落實(shí)不到位。例如，缺乏明確的條文來(lái)對(duì)用戶使用權(quán)限、用戶口令設(shè)置復(fù)雜度等進(jìn)行約束、未能對(duì)軟件系統(tǒng)進(jìn)行日常維護(hù)檢查出系統(tǒng)老化問(wèn)題、缺乏明確制度規(guī)范來(lái)進(jìn)行追責(zé)工作等。然而，財(cái)會(huì)部門員工素質(zhì)水平參差不齊，部分員工可能會(huì)惡意盜取財(cái)會(huì)數(shù)據(jù)、非法篡改財(cái)會(huì)數(shù)據(jù)等。這不僅無(wú)法保證財(cái)會(huì)數(shù)據(jù)信息的完整性和準(zhǔn)確性，還會(huì)給企業(yè)帶來(lái)無(wú)法預(yù)估的安全風(fēng)險(xiǎn)。

（二）數(shù)據(jù)安全問(wèn)題

在大數(shù)據(jù)時(shí)代，企業(yè)財(cái)會(huì)工作緊跟新時(shí)代的趨勢(shì)，積極向云轉(zhuǎn)型。因此，在財(cái)會(huì)數(shù)據(jù)信息管理過(guò)程中，對(duì)云平臺(tái)運(yùn)行效果的要求相對(duì)較高。為了保證財(cái)會(huì)數(shù)據(jù)的機(jī)密性，數(shù)據(jù)信息安全管理工作成為了企業(yè)安全體系建設(shè)工作中必不可少的一部分。就目前企業(yè)現(xiàn)狀而言，企業(yè)面臨的財(cái)會(huì)數(shù)據(jù)安全問(wèn)題主要分為以下三類。

1.網(wǎng)絡(luò)攻擊。在新時(shí)代，數(shù)據(jù)就是時(shí)代的溝通語(yǔ)言。所以，信息量大內(nèi)容豐富的數(shù)據(jù)往往具有較高的價(jià)值。由于企業(yè)財(cái)會(huì)數(shù)據(jù)包含的信息種類多和信息量大，因此，不法分子為了謀取利益，經(jīng)常會(huì)對(duì)企業(yè)的財(cái)會(huì)數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)攻擊。目前，網(wǎng)絡(luò)攻擊的方法包括黑客攻擊、嗅探攻擊、暴力攻擊、病毒攻擊和其他入侵攻擊。

2.數(shù)據(jù)信息泄露。隨著社會(huì)的不斷發(fā)展和進(jìn)步，互聯(lián)網(wǎng)的使用不僅拓寬了信息獲取渠道，還在某種程度上加快了信息的傳播速度。通常，為了挖掘出更深層次的語(yǔ)義信息，企業(yè)會(huì)階段性地對(duì)所有財(cái)會(huì)數(shù)據(jù)進(jìn)行統(tǒng)一的自動(dòng)化存儲(chǔ)。如果相關(guān)的安全管理工作不完善，將會(huì)使信息泄露的風(fēng)險(xiǎn)加大。

3.數(shù)據(jù)信息流動(dòng)量大。由于技術(shù)的變革和業(yè)務(wù)的驅(qū)動(dòng)，大部分信息化系統(tǒng)向云轉(zhuǎn)型。因此，云平臺(tái)成為了企業(yè)財(cái)會(huì)存儲(chǔ)數(shù)據(jù)的熱門媒介。所以，許多企業(yè)熱衷于采用云端的方式存儲(chǔ)和傳輸數(shù)據(jù)信息。在數(shù)據(jù)安全的整個(gè)生命周期中，都會(huì)出現(xiàn)數(shù)據(jù)流動(dòng)的現(xiàn)象。特別是在數(shù)據(jù)傳輸和存儲(chǔ)的過(guò)程中，存在大量的數(shù)據(jù)流動(dòng)現(xiàn)象。如果企業(yè)內(nèi)部網(wǎng)絡(luò)不暢通和不安全，就可能出現(xiàn)數(shù)據(jù)傳輸延遲或者網(wǎng)絡(luò)堵塞的現(xiàn)象。這將會(huì)造成數(shù)據(jù)被截留、篡改或者竊取的嚴(yán)重后果。

（三）缺少?gòu)?fù)合型人才

隨著財(cái)會(huì)數(shù)據(jù)信息化的普及，國(guó)家和企業(yè)對(duì)財(cái)會(huì)從業(yè)人員的綜合素質(zhì)要求也相應(yīng)地提高。為了應(yīng)對(duì)各種財(cái)會(huì)數(shù)據(jù)信息化過(guò)程中的問(wèn)題，財(cái)會(huì)從業(yè)人員不僅需要掌握會(huì)計(jì)專業(yè)知識(shí)，還需要對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)防護(hù)和計(jì)算機(jī)使用方面的知識(shí)有一定的了解。但就實(shí)際情況而言，大部分財(cái)會(huì)從業(yè)者仍然局限于對(duì)會(huì)計(jì)專業(yè)知識(shí)較為熟悉，對(duì)計(jì)算機(jī)使用和數(shù)據(jù)安全風(fēng)險(xiǎn)防護(hù)方法的知識(shí)了解較少。這樣不僅會(huì)使財(cái)會(huì)數(shù)據(jù)信息化體系落地實(shí)施難，還會(huì)阻礙相關(guān)的數(shù)據(jù)安全問(wèn)題的及時(shí)解決，甚至?xí)┞洞罅康呢?cái)會(huì)數(shù)據(jù)信息。

四、數(shù)據(jù)安全防護(hù)措施

（一）健全財(cái)會(huì)數(shù)據(jù)信息化管理制度和規(guī)范

為了有效規(guī)避財(cái)會(huì)數(shù)據(jù)安全風(fēng)險(xiǎn)，建立一套標(biāo)準(zhǔn)化的數(shù)據(jù)安全管理制度和規(guī)范是十分必要的。一套標(biāo)準(zhǔn)化的安全管理制度和規(guī)范主要包括團(tuán)隊(duì)建設(shè)、管理制度、管理方法。團(tuán)隊(duì)建設(shè)方面主要內(nèi)容包括財(cái)會(huì)數(shù)據(jù)安全組織架構(gòu)建立，職責(zé)分配、動(dòng)態(tài)協(xié)作等；管理制度方面的主要內(nèi)容包括明確數(shù)據(jù)安全的方針和總綱、建立數(shù)據(jù)安全管理規(guī)范、數(shù)據(jù)安全操作指南、數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)、數(shù)據(jù)安全編碼指南等；管理方法方面主要包括定期考核激發(fā)員工積極性、行為日志記錄問(wèn)責(zé)違規(guī)人員、實(shí)行職責(zé)分離實(shí)現(xiàn)訪問(wèn)控制最小化等。這不僅將巨大的財(cái)會(huì)數(shù)據(jù)業(yè)務(wù)劃分為不同階段和場(chǎng)景，也有助于滿足合規(guī)的要求，從而多角度、全方位地對(duì)財(cái)會(huì)數(shù)據(jù)進(jìn)行分級(jí)防護(hù)。

（二）加強(qiáng)網(wǎng)絡(luò)安全防御機(jī)制

新時(shí)期，大數(shù)據(jù)技術(shù)的應(yīng)用加速了財(cái)會(huì)工作的轉(zhuǎn)型和創(chuàng)新，但財(cái)會(huì)數(shù)據(jù)的采集、傳輸和應(yīng)用仍然離不開(kāi)互聯(lián)網(wǎng)的支撐。為了避免企業(yè)財(cái)務(wù)數(shù)據(jù)的丟失和損壞，構(gòu)建財(cái)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)防護(hù)工作勢(shì)在必行。提高網(wǎng)絡(luò)安全防御機(jī)制的性能，基于分級(jí)分類的保護(hù)方法是十分必要的。在網(wǎng)絡(luò)入侵防御方面，需要定期組織大規(guī)模的系統(tǒng)安全檢測(cè)和軟件更新、病毒查殺，以及增設(shè)隔離區(qū)防火墻等；在身份認(rèn)證方面，之前的單因子認(rèn)證的方式已經(jīng)不在絕對(duì)安全，如虹膜輔助登錄、指紋識(shí)別、原始密碼輸入、人臉識(shí)別等，現(xiàn)階段需要建立雙因子認(rèn)證機(jī)制；在加密機(jī)制建設(shè)方面，需要借助先進(jìn)的加密技術(shù)來(lái)對(duì)財(cái)會(huì)數(shù)據(jù)進(jìn)行多重加密或者加密無(wú)漏項(xiàng)。

（三）培養(yǎng)復(fù)合型人才

在企業(yè)內(nèi)部財(cái)會(huì)信息化系統(tǒng)建設(shè)過(guò)程中，“人”和信息系統(tǒng)成為了其重要組成部分。與信息系統(tǒng)相比較而言，“人”是主觀可控的因素。因此，“人”成為了財(cái)會(huì)數(shù)據(jù)安全體系建設(shè)的基石。所以，培養(yǎng)復(fù)合型人才是大勢(shì)所趨。為了有效地解決信息化體系建設(shè)過(guò)程中的各種問(wèn)題，企業(yè)不僅需要提高財(cái)會(huì)人員專業(yè)知識(shí)水平，還需要根據(jù)財(cái)會(huì)數(shù)據(jù)安全防護(hù)風(fēng)險(xiǎn)和信息系統(tǒng)操作的需求對(duì)相關(guān)人員進(jìn)行定期的專業(yè)技能培訓(xùn)。企業(yè)可以聘請(qǐng)相關(guān)的安全專家、大數(shù)據(jù)專家和技術(shù)專家擔(dān)任講師，為財(cái)會(huì)從業(yè)人員講解安全管理經(jīng)驗(yàn)和技巧、普及各類應(yīng)用軟件的操作方法、傳播先進(jìn)的安全防護(hù)理念等；還可以從外部引進(jìn)兼具財(cái)會(huì)理論知識(shí)和安全防護(hù)技術(shù)的人才。這不僅可以豐富人才隊(duì)伍建設(shè)工作，還有助于營(yíng)造良好的安全文化氛圍，從而潛移默化的提高整體財(cái)會(huì)從業(yè)人員素養(yǎng)和調(diào)動(dòng)員工積極性。隨著業(yè)務(wù)升級(jí)和技術(shù)的革新，信息系統(tǒng)管理人員的綜合技術(shù)水平也愈發(fā)重要。為了創(chuàng)新和優(yōu)化企業(yè)安全信息化管理體系，企業(yè)不僅需要對(duì)信息系統(tǒng)管理人員培訓(xùn)專業(yè)知識(shí)，還需要將其財(cái)會(huì)業(yè)務(wù)知識(shí)進(jìn)行補(bǔ)齊。只有這樣，企業(yè)才能夠充分發(fā)揮復(fù)合型人才的作用。通過(guò)轉(zhuǎn)變員工工作觀念，充分發(fā)揮大數(shù)據(jù)可視化優(yōu)勢(shì)來(lái)實(shí)現(xiàn)管理模式的創(chuàng)新，以及指導(dǎo)企業(yè)其他業(yè)務(wù)的開(kāi)展。

五、結(jié)語(yǔ)

信息時(shí)代，無(wú)論從技術(shù)革新還是業(yè)務(wù)驅(qū)動(dòng)的角度，財(cái)會(huì)工作的改革和創(chuàng)新成為了企業(yè)發(fā)展的必由之路。盡管互聯(lián)網(wǎng)技術(shù)的使用為財(cái)會(huì)從業(yè)人員提供了便利，但相關(guān)的財(cái)會(huì)數(shù)據(jù)安全風(fēng)險(xiǎn)和挑戰(zhàn)也隨之而來(lái)，如黑客攻擊、數(shù)據(jù)泄露等。為了確保財(cái)會(huì)數(shù)據(jù)的安全，財(cái)會(huì)企業(yè)應(yīng)增強(qiáng)安全防護(hù)意識(shí)，積極響應(yīng)相關(guān)政策和法律，盡快完善健全相應(yīng)的數(shù)據(jù)安全防護(hù)機(jī)制。同時(shí)，還應(yīng)該注重營(yíng)造良好的安全文化氛圍，培養(yǎng)適應(yīng)新時(shí)代發(fā)展的復(fù)合型人才。只有這樣，企業(yè)才能夠及時(shí)識(shí)別財(cái)會(huì)數(shù)據(jù)安全風(fēng)險(xiǎn)，做好及時(shí)規(guī)避和解決工作。