购物车(0)
财务安全信息模板(10篇)
时间:2023-06-05 15:42:51
导言:作为写作爱好者,不可错过为您精心挑选的10篇财务安全信息,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
1、数据损坏风险。数据安全风险包括:物理损坏和恶意破坏。由于公司财务系统是基于网络模式运行,所有重要数据都储存在服务器中,一旦服务器出现问题不能正常运行,对于财务数据会带来不可挽回的损失,而整个财务系统将会受到毁灭性打击。另外,大量的数据通过网络传输,也可能会造成财务信息的丢失、泄漏。
2、信息失真风险。由于财务业务的特殊性,在没有实施会计电算化时,可以通过会计人员的笔迹,以及签章的确认来判断会计业务的真实性,但是实施了会计电算化后,有一部分的签名和签章用计算机处理了,无法判断会计业务是由本人经手还是他人处理。这样就使得手工环境下的内部控制机制受到了削弱。此外,操作人员的误操作也是造成信息失真的重要原因之一。
3、非法入侵风险。在网络环境下,电子符号代替了会计数据,磁介质代替了纸介质,在这个环境中一切信息在理论上都是可以被访问到的,除非它们在物理上断开链接。因此,财务部门在实现网络化管理的同时,很难避免非法侵扰。一些人可能出于各种目的,有意或无意地损坏网络设备,网络(局域网、广域网)上对管理系统进行黑客程序的测试运行等活动,对系统造成极大破坏。黑客活动比病毒破坏更具目的性,几乎覆盖了所有的操作系统,包括财务系统。
三、财务信息安全风险的规避
1、要强化网络安全防范的意识,使得每一个操作人员都有强烈的安全风险意识。要针对用户安全意识薄弱,对网络安全重视不够,安全措施不落实的现状,开展多层次、多方位的信息网络安全宣传和培训,真正提高用户的网络安全意识和防范能力。此外对于财务人员来说还应该加强职业操守的教育,使财务人员牢固树立保密的意识,杜绝由财务人员本身的原因,造成财务信息的泄漏。
2、优化财务流程设计,强化财务审批流程。由于财务信息的特殊性,所以对外公示财务信息一定要统一口径,对于财务业务流程应突出审计环节,对会计风险的控制始终贯穿于会计核算的每个环节。长久以来人们已习惯于按固有本职工作内容处理信息,在信息采集、信息共享方面未建立整体的管理规则,因此,需要企业业务从以职能划分转变为以流程优化重组,达到各部门信息共享、统一。
3、加强财务人员登录管理。由于在财务系统中系统所认的只有登录名,所产生的凭证、报表、其他单据都是以登录名为署名,一旦他人用财务人员的登录名进入系统后,就取得了相应的权限,这将带来极大的隐患。所以财务人员要保管好自己的登录密码,尽量使用复杂的密码。如果财务人员不能正常行使职能,应该在软件中使用权限委托的方式,而不是直接告诉自己的登录名和密码。这点对于行使审计职能的操作员来说更为重要。
4、从软件的角度来说,对于凭证和报表也使用数字签名的功能,电子签章的功能,以避免他人使用财务人员的登录名进入财务系统,填制和篡改凭证和报表,从而给公司带来损失。
目前实现数字签名的方法主要有三种:一是用公开密钥技术;二是利用传统密码技术;三是利用单向校验和函数进行压缩签名。1991年,美国颁布了数字签名标准DSS的安全性基础是离散对数问题的困难性。数字签名一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动,因为只有发信者才知道自己的私人钥匙,另一方面也确保发信者对自己发出的信息负责,信息一旦发出且署了名,他就无法再否认这一事实。通过数字签名技术,有效的保障了信息真实性。
5、针对操作人员的误操作,应该加强财务人员的计算机水平的培训。杜绝由于操作失误而带来的会计信息失真的风险。
6、建立完整的日志记录制度,对所有的操作人员的所有操作都应记录在案。日志中至少应该包括操作员登入系统的时间,操作内容,以及下线的时间。如果特殊情况要修改已审核的记账凭证,则尽量在软件中保留修改的痕迹。
篇2
一、引言
随着时代的发展,以及经济水平的不断提高,人们逐渐意识到了财务外包的重要性。公司在实行财务外包后,在享受其优越性的同时,也会面临着一些风险。公司在实行财务外包后可能面临的风险多种多样,需要公司管理层深思熟虑。主要面临的风险有三种,第一种为最为常见的外包决策战略失误风险;第二种为外包信息安全的风险;第三种风险为外包成本远远的超过了预期。因此财务外包策略在执行的过程中需要考虑到财务外包信息安全的风险以及对这些风险因素进行针对性的甄别,从众多影响因素中挑选出风险因素最后再采取相应的措施来控制这些风险,以达到实行财务外包的公司在避免财务外包信息安全风险的同时,享受到其独特的优点。
二、财务外包的信息安全风险的相关内涵
一般来讲财务外包就是公司通过与承担外包的公司也就是承包商签订详细的合同或者协议,根据合同或者协议内容将本公司全部或者一部分的财务工作委托给承包商,在承包商依法履约其应有的义务后,支付其应有的报酬。如今越来越多的公司意识到财务外包的重要性,甚至把其当成有力的竞争手段。公司的管理层充分的意识到,如果不进行财务外包,那么公司很有可能在激烈的外部竞争中处于劣势,以致予淘汰出局。财务外包在我国目前发展虽然有着广阔的前景,但发展还是比较缓慢的,仍有较大的改进空间。许多公司对财务外包没有完全放下顾虑,仍然对外包后存在的信息泄露风险存有一定的顾虑。
财务外包的信息安全风险也就是指,公司将财务进行外包后公司内一些与公司核心业务有关的重要信息和数据被无意或者有意泄露以及盗用的风险。众所周知,一个公司的财务部门对财务部门的保密度比较高,并且在日常公司的运营过程中财务工作中会产生大量的内部信息,在这些信息之中好多信息对公司来说都是商业机密,如果在财务外包后这些重要信息发生了泄露,那么这对企业造成的损失将是难以估量的,尤其是这些信息被公司的竞争对手的得到,后果就更加不可想象了。因此与财务有关的各项业务一般都会保密,除非强制性披露的要求,否则这些信息是不会向外部透漏的,哪怕是公司一般的管理层有时候也要加以保密。
三、财务外包的信息安全风险的甄别
在实施财务外包决策的过程中,要结合公司自身的实际情况来甄别一些潜在的或者明面上存在的相关信息安全风险,在充分分析这些风险的来源、发生概率以及危害程度的基础上,接着采取相应的手段和方式加以有效的控制,因此在此过程中,安全风险的甄别与控制对财务外包有着重要的影响,甚至在某种程度上可以决定着财务外包是否能够成功。公司财务外包的信息安全风险主要有以下几个方面:
第一、信息泄露的风险。信息泄露风险是公司财务外包所面临的发生概率最大的信息安全风险。此风险的发生虽然有诸多因素引起的,但最主要的因素就是客户公司重要信息或者数据的保密程度不够,或者承包商在采取保密过程中所采用的保密措施不够完善。因此外包商对于客户的资料是否依据实际情况建立了比较严格的保密制度,对于承包商内部的员工是否明确了相关责任追究制度来避免信息泄露风险的发生。这些因素都会对承包商内部员工产生影响,进而会有承包商内部员工将其所接触到的客户信息泄露的可能。
第二、信息被丢失的风险。信息被丢失主要发生在信息传递以及信息处理时,有可能在外包过程中承包商的相关技术不够完善或者不够成熟,因此其相关技术在稳定性以及安全性上仍有不足之处。承包商在面对信息丢失事故时所采取的补救措施是否得当合理、采用补救和预防技术的时效性,这些因素处理的效率和效果都会在一定程度上对信息丢失产生重要的影响。
第三、信息被盗取的风险。发生此风险主要的原因在于外包商对于自己客户的信息资料保护措施做得不够好,相关保护制度不完善,以致于在保护制度或者措施上存在漏洞。因此公司进行财务外包时,承包商是否采取相应的措施来对客户的信息建立起有效的管理制度,以及承包商专业团队成员的整体素质情况等,这些因素实施的好坏,都会对企业信息被盗造成了重要的影响。另外,对信息进行承包的企业属于服务性行业,这个行业的特点也决定了其内部员工的流动性也比较大,因此在人才流动的过程中也在一定程度上加大了所承包企业在信息经营过程中被盗的风险,而且这个风险不容易完全规避。
四、财务外包的信息安全风险的控制
若想进行全面而有效的控制,因此要结合公司所处的环境以及自身的特点,从外包的全过程入手,在整体全局上建立合适的控制机制,从而从全过程以及全方位的减少和防范财务外包后所带来的不确定的各种信息安全风险,进而最大限度的为公司安全运营服务,公司在进行财务外包前要建立信息安全风险的相关防范机制,可以从以下三个方面来入手:
一、引言
随着时代的发展,以及经济水平的不断提高,人们逐渐意识到了财务外包的重要性。公司在实行财务外包后,在享受其优越性的同时,也会面临着一些风险。公司在实行财务外包后可能面临的风险多种多样,需要公司管理层深思熟虑。主要面临的风险有三种,第一种为最为常见的外包决策战略失误风险;第二种为外包信息安全的风险;第三种风险为外包成本远远的超过了预期。因此财务外包策略在执行的过程中需要考虑到财务外包信息安全的风险以及对这些风险因素进行针对性的甄别,从众多影响因素中挑选出风险因素最后再采取相应的措施来控制这些风险,以达到实行财务外包的公司在避免财务外包信息安全风险的同时,享受到其独特的优点。
二、财务外包的信息安全风险的相关内涵
一般来讲财务外包就是公司通过与承担外包的公司也就是承包商签订详细的合同或者协议,根据合同或者协议内容将本公司全部或者一部分的财务工作委托给承包商,在承包商依法履约其应有的义务后,支付其应有的报酬。如今越来越多的公司意识到财务外包的重要性,甚至把其当成有力的竞争手段。公司的管理层充分的意识到,如果不进行财务外包,那么公司很有可能在激烈的外部竞争中处于劣势,以致予淘汰出局。财务外包在我国目前发展虽然有着广阔的前景,但发展还是比较缓慢的,仍有较大的改进空间。许多公司对财务外包没有完全放下顾虑,仍然对外包后存在的信息泄露风险存有一定的顾虑。
财务外包的信息安全风险也就是指,公司将财务进行外包后公司内一些与公司核心业务有关的重要信息和数据被无意或者有意泄露以及盗用的风险。众所周知,一个公司的财务部门对财务部门的保密度比较高,并且在日常公司的运营过程中财务工作中会产生大量的内部信息,在这些信息之中好多信息对公司来说都是商业机密,如果在财务外包后这些重要信息发生了泄露,那么这对企业造成的损失将是难以估量的,尤其是这些信息被公司的竞争对手的得到,后果就更加不可想象了。因此与财务有关的各项业务一般都会保密,除非强制性披露的要求,否则这些信息是不会向外部透漏的,哪怕是公司一般的管理层有时候也要加以保密。
三、财务外包的信息安全风险的甄别
在实施财务外包决策的过程中,要结合公司自身的实际情况来甄别一些潜在的或者明面上存在的相关信息安全风险,在充分分析这些风险的来源、发生概率以及危害程度的基础上,接着采取相应的手段和方式加以有效的控制,因此在此过程中,安全风险的甄别与控制对财务外包有着重要的影响,甚至在某种程度上可以决定着财务外包是否能够成功。公司财务外包的信息安全风险主要有以下几个方面:
第一、信息泄露的风险。信息泄露风险是公司财务外包所面临的发生概率最大的信息安全风险。此风险的发生虽然有诸多因素引起的,但最主要的因素就是客户公司重要信息或者数据的保密程度不够,或者承包商在采取保密过程中所采用的保密措施不够完善。因此外包商对于客户的资料是否依据实际情况建立了比较严格的保密制度,对于承包商内部的员工是否明确了相关责任追究制度来避免信息泄露风险的发生。这些因素都会对承包商内部员工产生影响,进而会有承包商内部员工将其所接触到的客户信息泄露的可能。
第二、信息被丢失的风险。信息被丢失主要发生在信息传递以及信息处理时,有可能在外包过程中承包商的相关技术不够完善或者不虺墒欤因此其相关技术在稳定性以及安全性上仍有不足之处。承包商在面对信息丢失事故时所采取的补救措施是否得当合理、采用补救和预防技术的时效性,这些因素处理的效率和效果都会在一定程度上对信息丢失产生重要的影响。
第三、信息被盗取的风险。发生此风险主要的原因在于外包商对于自己客户的信息资料保护措施做得不够好,相关保护制度不完善,以致于在保护制度或者措施上存在漏洞。因此当公司进行财务外包时,承包商是否采取相应的措施来对客户的信息建立起有效的管理制度,以及承包商专业团队成员的整体素质情况等,这些因素实施的好坏,都会对企业信息被盗造成了重要的影响。另外,对信息进行承包的企业属于服务性行业,这个行业的特点也决定了其内部员工的流动性也比较大,因此在人才流动的过程中也在一定程度上加大了所承包企业在信息经营过程中被盗的风险,而且这个风险不容易完全规避。
四、财务外包的信息安全风险的控制
若想进行全面而有效的控制,因此要结合公司所处的环境以及自身的特点,从外包的全过程入手,在整体全局上建立合适的控制机制,从而从全过程以及全方位的减少和防范财务外包后所带来的不确定的各种信息安全风险,进而最大限度的为公司安全运营服务,公司在进行财务外包前要建立信息安全风险的相关防范机制,可以从以下三个方面来入手:
第一,慎重选择承包商。唯有慎重选择外包商,才能在有效的降低财务外包的风险,这是第一步,同时这也是最关键的一步。在决定承包商之前,要详细的了解承包商的信誉度,因为信誉是经过常年累月积累起来的,因此一般情况下信誉良好的承包商,因为它们不但保密工作做得好,并且各项技术也比较齐全,这些都是保证公司财务外包信息安全的物质基础。并且要有几个备选的外包商公司,来进行综合的比较,择优录取。另外公司还需要时刻关注外包商的相关工作是否有相关合法的知识产权保护制度,这可以在法律层面保护公司的财务外包信息安全。
第二,与外包商签订相关的安全信息合同或者协议。为了保证公司财务外包信息的安全,公司应该与承包商签订详细合理的信息安全协议,并且要合法的、详细的列举公司与承包商的权利和义务,严格控制承包商所拥有的权限,禁止其有越权的行为,并且在今后实施的过程中,要求承包商依法对信息安全做出承诺。在实施过程中若因为外包商的原因造成的信息泄露或者丢失进而对委托方造成经济损失的,那么在合同或者协议中要明确规定具体相关的补偿办法和措施来对委托方进行相应的补偿。由于财务外包还属于新兴的产业仍处于发展初期,因此目前仍无完善的法律法规对其进行规范和约束,这也是财务外包发展所面临的障碍。目前我国的信誉体系仍比较脆弱,并不能完全满足其快速发展的需求,因此唯有订立严格周全的信息安全协议才能在法律层面为公司的信息安全提供最坚定的保障。
第三,合理选择财务外包的内容。公司在决定进行财务外包前,应对财务业务链上的每个环节进行检查,优先将一些非核心的业务外包出去,随着公司与外包商逐步建立起合作信任关系后,在考虑外包一些重要的、核心的业务。对于一些外包后信息安全存在较大风险的业务,公司要慎重考虑,最好不进行外包。这样公司选择的余地更大,更能充分利用外包商的核心优势,并且还可以起到分散风险的作用。
五、总结
本文在分析财务外包的信息安全风险的内涵的基础上,给出了财务外包的有关定义。并结合其定义来对财务外包的信息安全风险进行甄别:有信息泄露的风险、信息被丢失的风险以及信息被盗取的风险。针对这些风险采取了一些风险控制的措施:有慎重选择外包商、与外包商签订相关的安全信息合同或者协议以及合理选择财务外包的内容。通过这些措施可以有效地减少财务外包的信息安全风险,并未财务外包的发展做出相应的贡献。
参考文献:
[1]罗艳.财务外包风险规避的探讨[D].江西财经大学,2010.
[2]柳金叶.企业财务外包风险管理研究[D].东北石油大学,2011.
[3]雷振红.高校信息安全服务外包风险的管理与控制[D].昆明理工大学,2009.
篇3
【中图分类号】TP311【文献标识码】A【文章编号】1672-5158(2013)02-0057-02
一、单位网络信息安全现状
经过多年的信息化建设,财务结算中心已建成千兆互联到终端桌面,所使用的主要财务软件如下:
(1)中原油田财务结算系统(安装该系统仅为查询历史财务数据)。
(2)中国石化资金集中管理信息系统。
(3)中国石化会计集中管理信息系统。
(4)中原油田关联交易系统。
在网络应用方面,与日常工作密切相关的财务应用系统相继投入使用,网络信息安全系统的建设却相对薄弱。
1、网络系统安全现状
近几年,随着局域网规模的日益扩大,网络结构及设备日趋复杂,网络病毒、黑客攻击、网络欺骗、IP盗用、非法接入等现象,给中心网络的管理、维护带来了前所未有的挑战。中心网络、员工微机经常受到油田局域网以及来自大网非法连接的攻击,IP地址冲突时有发生。ARP攻击导致网络中断、甚至瘫痪;病毒、蠕虫、木马、恶意代码等则可能通过网络传递进来,造成操作系统崩溃、财务数据丢失、泄漏。而各类财务软件的日常应用,必然要进行各种外连和数据传递。如何进行安全地连接网络、传输数据,日益成为中心亟待解决的问题。
2、网络信息监控状况
对于互联网出口的外发信息无法进行记录和查询,缺乏有效的信息审计和日志保存手段,从而不能有效贯彻和满足油田以及国家关于企业网络安全管理制度的落实。
来自网络的安全威胁日益增多,很多威胁并不是以网络入侵的形式进行的,这些威胁事件多数是来自于油田局域网内部合法用户的误操作或恶意操作,仅靠系统自身的日志功能并不能满足对这些网络安全事件的审计要求,网络安全审计通常要求专门细致的协议分析技术,完整的跟踪能力和数据查询过程回放等功能实现。
3、上网行为管理能力
中心网络资源能否合理使用,带宽是否会被非工作需要的网络应用占用,日常工作所需的网络流量和稳定性能否得到保障,当网络出现拥堵,或者异常流量、异常攻击爆发时,是否能及时分析、排查流量使用情况并几时进行有效控制,这些状况主要表现为:网络用户非工作范畴(用于娱乐)的网络应用流量极大,如:各类多线程P2P软件下载、大型网络游戏、P2P类的音视频、网络电视等应用。
二、中心网络信息安全建设目标
为了确保信息资产的价值不受侵犯,保证信息资产拥有者面临最小的安全风险和获取最大的安全利益,使包含物理环境、网络通讯、操作系统、应用平台和信息数据等各个层面在内的整体网络信息系统具有抵御各种安全威胁的能力,我们制订了如下的安全目标:
1、保密性
确保各类财务数据不会泄漏给任何未经授权的个人和实体,或供其使用。
2、可用性
确保财务信息系统正常运转,并保证合法用户对财务信息的使用不会被不正当地拒绝。
3、完整性
防止财务信息被未经授权的篡改,保证真实的信息从真实的信源无失真地到达真实的信宿。
4、真实性
应能对通讯实体所宣称身份的真实性进行准确鉴别。
5、可控性
保证财务数据不被非法访问及非授权访问,并能够控制使用资源的人或实体对资源的使用方式。
6、不可抵赖性
应建立有效的责任机制,防止实体否认其行为。
7、可审查性
应能记录一个实体的全部行为,为出现的网络安全问题提供有效的调查依据和手段。
8、可管理性
应提供统一有效的安全管理机制和管理规章制度,这是确保信息系统各项安全性能有效实现的根本保障,同时合理有效的安全管理可以在一定程度上弥补技术上无法实现的安全目标。
三、中心网络信息安全建设方案
通过上述对中心网络的现状及安全需求分析,并结合油田网络安全与信息安全的具体要求,我们建议实施部署网络出口防火墙系统、网络日志审计系统、网络访问内容和行为审计系统。
1、网络出口防火墙系统
防火墙是基于网络处理器技术(NP)的硬件高速状态防火墙,不仅支持丰富的协议状态检测及地址转换功能,而且具备强大的攻击防范能力,提供静态和动态黑名单过滤等特性,可提供丰富的统计分析功能和日志。能有效实现过滤垃圾残包、拦截恶意代码,保护网络数据和资源的安全。
将防火墙透明接入到原有网络中的出口处,采用应用层透明的方式对用户对外网的访问进行应用层解析控制。在防火墙上划分两个区域:外网区域、内网区域,防火墙可以桥接入到原有的用户网络中,或者接到核心交换机上。保证所有的数据流经过防火墙以便完成应用层的过滤。
2、部署网络访问内容和行为审计系统
安全审计系统是一个安全的网络必须支持的功能特性,审计是记录用户使用计算机网络系统所访问的全部资源及访问的过程,它是提高网络安全的重要工具,对于确定是否有网络攻击的情况,确定问题和攻击源很重要。而行为审计系统通过对网络信息内容的完全监控和记录,为网络管理员或安全审计员提供对网络信息泄密事件进行有效的监控和取证;也可以完全掌握员工上网情况,比如是否在工作时间上网冲浪、网上聊天、是否访问内容不健康的网站、是否通过网络泄漏了机密信息等等,对于不符合安全策略的网上行为进行记录,并可对这些行为进行回放,进行跟踪和审计。
3、部署网络日志审计系统
日志审计系统为不同的网络设备提供了统一的日志管理分析平台,打破了企业中不同网络设备之间存在的信息鸿沟。系统提供了强大监控能力,实现了从网络到设备直至应用系统的监控。在对日志信息的集中、关联分析的基础上,有效地实现了全网的安全预警、入侵行为的实时发现、入侵事件动态响应,通过与其它安全设备的联动来真正实现动态防御。
部署日志审计系统主要功能:1)海量的数据日志:系统全面支持安全设备 (如防火墙,IDS、AV)、网络设备 (如Router、Switch)、应用系统 (如WEB、Mail、Ftp、Database)、操作系统 (如Windows、Linux、Unix) 等多种产品及系统的日志数据的采集和分析。2)安全状况的全面解析:帮助管理员对网络事件进行深度的挖掘分析,从不同角度进行网络事件的可视化分析。
四、结束语
篇4
关键词:金融机构;信息系统;软件系统;网络系统;安全性
随着金融系统信息化改革的逐步推行,计算机与网络系统已大规模的应用在金融领域。但是应该看到,信息系统为金融机构带来便捷与利益的同时,也带来了前所未有的安全问题。在这种情况下,加强对金融机构信息系统的监管及风险防范就变得十分重要。
财务公司作为非银行业金融机构,不仅每天都有大量的资金流动,还贮存着各种极其敏感的客户资料,甚至涉及很多高度的商务机密,所以财务公司的内部网络安全问题非常重要,同时由于互联网的飞速发展和黑客数量的不断增长,这个问题也变得越来越急迫。
马钢财务公司网络信息系统的结构,根据可能出现的风险,提出不同的的网络安全需求。其中按不同功能的子系统的网络划分为资金系统网、账务系统网、办公自动化网络和测试系统网中,以生产用资金系统网与账务系统网作为最高级别的安全需求,采取比较高级别的安全策略。资金系统网、账务系统网与其他网络相隔离,其内部也要实施高等级的安全策略;测试系统网虽然与生产网是相互隔离的,但测试系统网中存放着大量从资金系统与账务系统中拷贝过来的生产信息。所以,测试系统网也应采取中等级别的安全策略。
具体来说,财务公司的信息系统安全需求与针对需求采取有效措施主要有以下几个方面:
1 合理的网络结构与安全措施
合理地规划网络边界和功能,合理地设置网络接口,对各功能子网特别是生产网进行详细的VLAN划分,以便于隔离问题,使结构可管理,接口可控制。在网络边界处部署防火墙与入侵预防系统ips。见图1-1马钢财务公司网络实施方案。整个网络组建在马钢集团网环境内。物理通过2个防火墙组成一个相对独立的网络环境。并对不同的功能区域设置不同的Vlan,形成了不同功能区域之间的网络隔离。
2 用户身份鉴别
在资金系统与账务系统中通过服务器电子证书(CFCA)与用户名、密码双重认证,对终端和用户的合法性进行鉴别认证,防范非法用户假冒合法用户进入系统。
3 数据通信加密
所有使用公共网络的成员单位与马钢财务公司间通信必须使用虚拟专用网vpn,以防止数据泄密,同时防止遭受来自通信线路上的非法截获、分析、篡改、重放等。财务公司与银行间通信使用专线,彻底避免了数据泄密。
4 病毒防范
建立网络病毒防范体系,采用先进的网络防病毒技术,通过趋势科技杀毒软件对全系统实施网络防范病毒策略,在全网络范围内对病毒进行有效的预防、隔离,并在保证数据完整性的前提下清除病毒。对病毒库与安全策略进行定期更新,保证杀毒软件可以防范最新的病毒与恶意攻击手段。
5 数据备份
当系统出现不可逆的灾难性故障时数据备份就显得极其重要。建立备份和恢复机制,对重要的网络设备、业务系统和数据进行备份,在遭受攻击时,能够尽快地恢复网络系统服务和数据环境,将损失降到最低程度。马钢财务公司采用了Symantec BackupExec和NetBackup产品系列作为信息系统数据集中备份解决方案。设备上使用了一台IBM 3650M3作为备份服务器,负责整个备份系统的管理,包括备份策略的制订、备份工作的调度、备份数据库的保存、数据恢复等。备份服务器通过光纤连接磁带库,并通过备份软件NBU进行磁带库中机械手和磁带驱动器的控制。其他有备份需求的服务器上安装备份软件的客户端软件,根据备份策略中定义的备份时间,自动将数据通过网络备份到磁盘和磁带库,无须人工干预。在需要时可以自己恢复或者通过备份服务器由管理员进行恢复。除了安装备份软件的客户端软件外,根据数据库服务器需要安装了备份软件的数据库(Oracle)软件,可以实现在线数据库备份。
为保障业务的持续性和信息系统数据安全,除了将数据备份存储在本机介质中外,还建立了一套异地数据备份机制将数据备份到异地容灾中心。
通过一系列的成熟的措施,马钢财务公司构建一个相对安全的系统环境,最大限度的保证了资金与信息的安全。但随着信息技术的发展,计算机病毒与网络攻击手段也在不断变异更新。预防措施的更新都是在系统安全受到威胁而发生的,要想做到系统长期的稳定,必须实时的关注系统防护的最新趋势,不断引入系统防护新措施,调整系统的安全策略。
参考文献
篇5
1财务信息安全的重要性
在现代经济结构中,企业是带动经济发展的重要部分,网络时代更是让这一点更加明显,它打破了企业传统的管理模式和财务模式,实现了企业的信息化,在这样的大环境下,财务信息化代替了传统手工记账,大大便利了财务信息的处理。财务信息化系统是在不改变财务本质的基础上,将计算机运用到会计领域,是一种按照现代企业管理的思想设计的基于计算机技术的现代企业财务信息系统。通过这样的信息化系统能够实现财务数据的多元化管理,大大减轻了财务人员的工作量,运用计算机程序软件,避免了手工记账容易出现的数据运算错误,为财务信息使用者实施经济管理与决策提供及时、准确、系统的信息。但财务信息化在提高工作效率的同时,由于处于网络环境下,也增加了财务数据泄露的风险。只有解决了能导致财务信息安全问题的因素,才能真正意义上地实现财务信息化的目的,促进企业又好又快的发展。近年来,企业由于信息泄露引起损失的事件层出不穷,这些都在警示我们信息安全的重要。一个企业经济的核心部分就是财务数据。通过财务信息可以反映企业的财务问题,企业的运营状况以及未来的发展方向,特别在当今经济全球化的环境下,随着企业规模和涉及行业的扩大,财务信息更是起到越来越重要的作用,部门负责人可以清楚地获悉自己所管理的部分的完整、全面、细致的记录,财务人员将财务信息最后编制成资产负债表、利润表、现金流量表等供企业管理者和其他使用人员查阅,管理者通过对财务信息评估及时发现管理上存在的问题,根据企业的资金运行,更好地策划企业的经济业务活动,投资者通过财务信息获取企业的财务状况和经营成果,以便进行合理投资决策。
2影响财务信息安全的因素分析
21互联网安全风险
首先,外面互联网安全隐患。为了满足在多个地区处理事情的需求,公司财务软件大部分与外部网络连接,运用非常先进的互联网来达成对财务信息软件的不同区域的低花费、高效率地查询和利用。可是也随之产生很多安全隐忧:①不具有权限的访问:比如财务工作者运用的电脑安全级别太低,被黑客运用,冒充身份攻破公司财务信息软件实施不当操作或者谋取秘密材料。例如,从美国国防部网站被改头换面到我国163网站的崩溃,从微软公司的开发蓝图被窃取到美国总统克林顿的信用卡信息被盗,这些都可以看出黑客对于互联网系统的危害。②信息安全性无法保证:财务工作者在利用外部互联网登录财务信息软件时,信息在互联网传送过程中被违法分子截留,进而造成重要信息的泄露。例如,工作人员在对企业的信用卡账号进行网上输入时,信用卡信息则可能会被不法分子从网上将其拦截,了解了该信用卡信息之后,他便可以利用此号码在网上进行各类支付以及违法交易。③恶意代码:电脑病毒是造成互联网数据存在安全隐患的关键要素,病毒利用客户段计算机传递到公司局域网,可导致财务信息软件的无法正常使用、信息丢失等诸多不良结果。
22企业运用的财务软件存在的问题
企业财务软件是财务信息化运作的基础,不同的财务软件有不同的操作方法,有些操作的功能相同,但操作过程却有区别。一个设计合理、功能优越的财务软件可以从功能和内容让使用人员相互牵制、互相监督,这样有利于加强人员管理,起到最基础的堵塞漏洞的作用。在应用软件的研制过程中,对容易出现问题的软件功能、细节等地方,全靠研究人员的多方面思量,如果考虑不周就有可能使得实际工作中出现与预想不同的结果,进一步导致整个结果有差错。如果有这种问题存在的话,在实际处理中,当输入原始资料,在软件程序的控制下就会出现多个结果,这样的问题直接影响到数据的真实、安全。在财务信息化深入企业之后,财务软件成为了财务信息化的运行平台,我国常用的财务软件就是用友软件和金蝶软件。在这两个软件中也有不足之处。比如,用友软件中,在填制采购及销售订单时,系统不要求输入采购或销售人员等相关经手人员。这样的问题对多数要求按业务员进行订单汇总的企业来说,不输入采购或销售人员信息,不便于汇总管理,而且如果日后出现问题,也对落实责任非常不利。而在金蝶软件中,相比用友软件的能够增加、删除、修改等功能,金蝶K3中只有查询权和管理权,对用户的职能设置不够完美,安全性不高。
23企业内部控制存在失效的可能性
在企业中,财务的目标、技术手段、财务的职能、功能范围以及系统层次等都会由于财务信息系统的特征而发生较大的改变,企业的内部控制也在逐渐的与财务信息系统的变化相适应,但是,其适应的过程是一个不断完善的过程,目前的企业内部控制并不健全,内部控制存在失效的可能性。例如,企业财务人员在对数字字段进行录入的过程中由于疏忽大意输错了字段,利用键盘输入时按错了键盘,对数据进行了颠倒,使用无序的代码或者是从错误的凭单上转录数据等,这些问题实质的发生了却无人察觉,从而使得财务信息系统的数据出现失真的问题。
3预防及解决财务信息安全问题的方法
31完善企业财务软件的开发,做好系统维护工作
财务软件是财务人员实际工作中自己操作的,也是财务信息录入后处理的重要部分,软件的好坏、是否适合本企业的财务操作,功能是否完善都会影响到财务信息的安全。因此,完善企业财务软件的开发要在日常做好软件的升级、更新、系统维护等,配备功能完善的财务电算化软件,请专门的软件研发人员定期对系统进行检查,以确保财务软件处于正常、良好的运行状态。
32提高安全管理意识和能力
不断加强对财务信息系统控制管理人员的安全管理教育,提高财务信息系统操作过程中的安全意识。向工作人员介绍现代网络环境对财务信息网络造成的重要安全威胁,加深系统操作管理人员对加强安全管理的认识,提高工作人员对系统内部控制的风险防范意识。注意培养财会人员和管理人员的综合业务素质,聘请专业财会管理人员对企业财务部门的工作人员进行指导培训,加强计算机信息网络知识的教育,提高工作人员计算机网络技术理论水平和操作实践水平,保证财务信息系统操作管理人员能够熟练掌握计算机网络信息技术,不断适应广阔多变的外部网络环境。另外,相关财务从业人员在进行财务信息系统相关活动中存在道德风险,开放的网络需要更为严格、严谨的安全法律法规,因此网络财务信息系统需要有特别针对性的安全控制制度,这需要在将来的探索实践中逐步实现。
33加强对财务信息系统控制管理的监督
篇6
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)34-0024-01
传统的财务信息数据管理传输方式往往在时间性、效率上较差,导致管理成本高,信息不准确[1],严重影响了财务管理工作的正常运行。随着高校办学规模的不断扩大及网络技术的普遍应用,网络财务得到了广泛的发展。财务信息被存储在数据库中,用户在自己的权限范围内可以不受地点时间的限制通过网络访问相关财务数据,高效性、及时性、共享性成为网络财务的主要特点。虽然网络环境下财务信息管理系统,为高校财务工作各方面提供了信息综合平台,提高了财务工作效率,保证了数据传输的及时性和准确性,但在网络的环境背景下,财务信息系统也必然要面临网络安全风险。如何做好在网络环境下财务信息数据安全风险的防范工作,成为高校财务信息管理者所要面对和解决的重要问题之一。
1 网络环境下高校财务信息的主要安全风险因素
网络财务是计算机与网络信息技术在财务信息管理领域的具体应用,其信息安全风险除来源于网络信息技术的一般风险外还有财务数据的特定风险[2],主要有以下几个风险:
1)计算机软硬件系统风险。计算机软硬件是保证财务信息数据安全的基础,也是财务系统运行的基本条件,但其对财务数据安全的影响却未引起财务管理者足够的重视。计算机硬件长期不进行更新维护,缺乏日常保洁,增加了硬件发生故障的风险。一旦硬件设备系统发生故障,就会导致财务网络系统及财务软件无法正常运行,造成财务信息数据丢失的风险,给财务工作带来灾难性的后果。同样,软件系统对财务信息的安全也很重要。软件系统不够成熟,运行不稳定,升级更新缓慢,相关漏洞未及时弥补,安全性和保密性不够,用户权限设置不合理,这些都可能直接影响网络财务的运行效率,给财务信息安全造成隐患。
2)计算机病毒风险。在网络技术的快速发展的今天,计算机病毒的破坏能力也在不断提高,成为网络安全最大的威胁因素之一。计算机病毒具有隐蔽性高、传播速度快、自我复制强、难以防范等特点。高校财务信息数据通过网络在客户端与服务器端进行数据的相互交换和传递,极大增加了财务系统感染计算机病毒的风险,而一旦财务系统感染病毒势必会威胁到整个财务网络系统和数据安全。
3)非授权访问风险。在网络环境背景下,一些人可能会出于各种目的,避开计算机系统访问控制机制,对财务网络设备及数据资源进行非正常使用,扩大或改变权限访问财务数据信息,在网络上对财务数据进行修改,以及通过网络对财务系统进行攻击,这些将会对财务网络系统及数据造成严重破坏。
4)内部控制风险[3]。任何数据和系统都需要有效的管理机制,财务信息管理不断网络化,但针对其相应的内控管理制度却还不够健全。各种人为破坏及失职行为,比如伪造、窃取、删除等,都不能得到有效的控制与责任追究。
5)数据存储及传输风险。财务信息化后,电子数据成为财务信息管理的主要对象。对数据备份不够重视,没有形成定期备份的制度,会导致数据丢失后无法还原。或者,对数据存储介质管理不当,造成消磁或损坏,数据丢失。另外,电子数据除存储备份外还要在客户端和服务器之间相互传输,大大增加财务数据被截取、x改的可能,导致数据不准确或丢失。
2网络环境下财务信息化安全对策及防范
计算机网络的迅猛发展,网络财务信息安全成为重要的问题。为了确保网络环境下财务信息数据的安全,在实际工作中需注意以下几点:
1)提高运用网络安全技术,确保网络运行安全。除了运用法律和管理手段外,管理者还需依靠网络技术方法来实现保护网络背景下财务信息的安全可靠。目前,网络安全控制技术主要有:防火墙技术、访问控制技术、用户识别技术、网络安全漏洞扫描技术、网络反病毒技术、入侵检测技术等[4]。
2)加强对计算机病毒及人为破坏防范。建立合理有效的计算机病毒与人为破坏防范体系和制度,及时发现计算机病毒入侵情况后,采取有效的手段阻止计算机病毒的进一步传播和对系统的破坏;同时提高工作人员防范意识,遵守相关防范措施,制定具体的、切实可行的管理措施,防止人为因素的破坏。在安全防范体系中,每个责任主体都必须遵守安全行为规则,防范体系才可能运行好,才可能达到预期的防范效果。
3)完善财务信息内部控制制度。建立健全财务信息内部控制管理制度,明确内部岗位分工,利用岗位之间相互联系相互制约关系,确保财务信息数据安全可靠,防止对数据和软件的破坏性修改。加强计算机软硬件管理与维护制度,涉及财务信息数据的计算机做到专机专用,未经允许不得使用财务专用计算机。针对财务信息数据的操作须经主管批准,不得擅自进行。定期检查计算机软硬件系统,做好检查记录,对易损、易耗件经常更换,保证系统正常运行。故障发生时,及时解决问题,做好财务信息系统维护工作。
4)加强财务数据管理,做好数据备份。完善财务数据管理制度的制定,规范财务信息管理内部控制,明确各岗位职责,确保高校财务信息数据的安全可靠性。定期对财务信息数据进行备份,提高数据的完整性,避免由于硬件的故障而导致数据的丢失。对财务备份数据安排专人负责保管,未经领导批准不得对备份数据进行任何的操作。同时对存储备份数据的光盘、硬盘、磁盘等存储介质,按照相关规定的管理办法进行归档存放,并做好防火、防潮、防磁等工作,谨防外部因素造成对财务数据的破坏。
参考文献:
[1] 孙瑾.谈高校网上财务信息的安全与对策[J].科技信息,2010(18):474-475.
篇7
中图分类号:F23 文献标识码:A
收录日期:2011年12月21日
一、网络财务信息安全面临的主要风险
网络财务是信息技术在财务领域的具体应用,其信息安全风险来源于信息技术的一般风险和财务数据的特定风险,主要表现在以下几个方面:
1、硬件系统风险。任何计算机软件都必须通过硬件来运行,硬件是软件的承载体。硬件系统发生故障时,将会导致网络系统瘫痪,软件无法运行,业务处理停滞,给网络财务使用者造成很大损失。如果硬件中的存储系统发生严重损坏,所有数据将会面临全部丢失的风险,给财务工作带来灾难性后果。
2、软件系统风险。网络财务软件的正常运行,除需要硬件系统保障外,还需要操作系统、中间件和数据库等软件的支撑,这些软件系统是否存在漏洞,技术上是否成熟,运行是否稳定,直接影响财务信息安全程度和网络财务软件运行效率。
3、数据存储风险。在网络财务环境下,财务信息存储介质发生变化,由纸质转化为磁介质,所有财务数据以电子格式存储于服务器端,财务数据更易容丢失、被盗和损坏。此外,随着网络财务软件的应用,财务数据量不断增多,存储设备还面临着容量不够的风险。
4、信息传递风险。网络财务运行过程中,财务信息需要借助计算机网络在客户端和服务器端之间不断地进行数据传递和交换,并且这种数据传递和交换都是以广播的形式进行。理论上,任何联网计算机都有可能获取网络资源,窃听网络信息,这就大大增加了财务信息被截取、泄露、篡改的风险。
5、病毒破坏风险。随着网络迅速发展,计算机病毒的破坏能力不断提高,破坏范围不断扩大,并且呈现出了传播速度快、自我复制强、难以防范的特点,给财务信息安全造成了极大的威胁。
6、非法入侵风险。在网络环境中,任何联网计算机在理论上都是可以被访问到的,除非它们在物理上断开链接。一些人可能出于各种目的,利用黑客程序,破坏网络系统,进行黑客攻击。而且,黑客攻击比病毒破坏更具目的性和破坏性。
7、人员责任风险。计算机管理制度不健全,管理人员技术不精或者责任心不强;防范措施不严格,对网络系统未进行必要的安全配置和管理,对网络信息缺乏严密的监控;财务系统用户不注意口令保护,口令密码设置简单或长期不更改,致使别有用心的入侵者轻易冒充合法用户进入系统,窃取、篡改、破坏数据。
二、网络财务信息安全风险防范措施
网络财务信息安全风险防范是一项系统工程,需要财务和信息部门密切配合,通力协作,采取防范措施,增强系统抵御风险的能力,确保网络财务信息安全。
1、强化网络安全意识。加强网络信息安全重要性宣传和教育,使全体员工尤其是财务和信息部门人员在思想上时刻树立网络安全意识,深刻认识网络安全对于财务工作的极端重要性,自觉维护良好的网络安全环境,抵制一切影响网络安全的行为。
2、加强网络安全技术防范。网络安全技术防范是指综合运用防火墙、数据加密、数字签名和安全协议等专业技术对整个财务网络系统采取全方位的安全防范措施,建立多层次的网络安全体系,提高网络安全防护等级,提供全面的网络信息安全保护。加强网络安全技术防范,要保障资金投入,确保网络安全防范设备及时安装到位;要注重培养网络安全技术专业人才,不断提高网络安全技术人员的业务能力和工作水平。
3、加强财务数据管理。定期对财务数据进行异地备份,指定专人负责保管备份介质,未经审批不得对备份数据进行恢复操作。严格限定财务数据共享范围和权限,只允许其他系统在限定的范围内对财务数据库进行只读操作,不得赋予改写权限。严格数据录入审核,防止错误数据进入财务系统。妥善保管操作系统、数据库和财务软件等各类密码,增强密码设置安全程度,不定期进行更改,防止别人盗用密码进行非法操作。
4、加强财务信息化安全制度建设。建立健全和有效落实财务信息化安全制度是保障财务软件正常运行、财务数据安全完整的关键。这些制度包括财务系统软硬件管理和维护制度、系统管理人员和操作人员岗位责任制度、文档资料保管和使用制度、计算机病毒防范制度、操作权限分配规定、计算机和网络安全事故应急预案等,通过财务信息化安全制度建设,尽可能减少由于内部人员道德风险、系统资源风险、计算机病毒风险和意外风险造成的危害,确保网络财务系统安全运行。
5、加强对计算机病毒和黑客的防范。通常情况下,网络财务系统运行于单位内网之中。防范计算机病毒和黑客的最有效方法就是实行内外网严格分离制度,内外网之间进行物理隔离,使得外网计算机不能登录到内网。此外,在内网中的所有计算机都要安装杀毒软件,定期更新病毒库,及时查杀计算机病毒。加强网络安全监控,及时发现网络中的异常情况,果断进行处理,净化网络环境。建立访问列表,严格限定联网计算机对财务服务器的访问控制。
6、加强身份认证和权限控制。建立更为科学的CA数字认证体系,采用数字证书方式进行登录,确保系统数据的完整性、保密性和行为的不可否认性,杜绝数据在传送过程中可能出现的非法访问、非法篡改、假冒伪造等安全问题。严格进行权限分配和控制,根据实际工作需要,合理确定财务人员和管理人员操作权限。严格授权操作管理,未经批准,不相关人员不得接触财务软硬件系统,确保财务系统和数据信息的安全。
主要参考文献:
篇8
中图分类号:F232 文献标志码:A 文章编号:1673-291X(2015)25-0103-02
近年来,随着我国高等教育事业的发展,高校信息化建设取得了长足进步。高校财务信息化为高校的管理和决策提供了有力的支撑,已成为高校提升财务工作效率和财务服务水平的重要推手。财务信息化建设的目标已由提高财务核算工作效率向提升财务管理和服务水平转变,各高校普遍建成了面向全校师生的网上报账、信息查询、跨部门业务办理等财务综合服务体系。然而,随着财务信息化建设的迅猛发展和财务综合服务体系的推广应用,财务信息系统存在的安全风险开始凸显。
一、高校财务信息系统存在的安全风险
1.硬件设备的风险。财务信息系统的硬件设备主要指服务器、网络设备、存储设备等。硬件设备是财务信息系统的物理载体,是财务信息系统稳定运行的先决条件,硬件设备的损坏会给整个系统造成严重损失。但在日常工作中,硬件设备的配置和运行环境经常得不到财务部门的重视。
硬件设备常见的配置问题包括:计算、内存、网络设备带宽等与业务需求不匹配,形成瓶颈导致系统运行效率低下。服务器运行环境无法满足要求,如运行存放场所的供电、降温、除尘、防磁等配套设施不完善,极易引起硬件设备损坏。
2.网络攻击和感染病毒的风险。随着财务信息化服务体系的建立,财务信息系统需要面向全校师生员工提供各类财务服务,随之而来的,以非法取得或篡改数据为目的的入侵行为难以避免。由于通用操作系统本身存在的漏洞和信息系统管理制度的不完善,财务信息系统遭受网络攻击和感染病毒的风险一直存在。
3.数据损失风险。在财务信息化系统中,数据是系统的核心,财务管理的过程就是对数据的生成、分类、分析和利用的过程。各种不可控因素造成的数据损失,将会对财务信息系统造成致命的损失。高校财务数据存在的问题包括:缺乏科学合理的备份机制,缺乏财务电子数据的管理制度,电子数据的存储条件损坏等。
4.财务人员错误操作的风险。高校财务人员知识结构和业务能力存在差异,部分财务人员对信息系统的安全风险认识不足。个别财务人员对财务信息系统无意或有意地错误操作,将会引起财务信息失真或造成财务数据的重大损失。
二、财务信息系统安全防护体系建设
1.加强硬件平台运行维护管理。硬件平台是财务信息系统的基础,高校应对硬件平台的管理给予足够的重视。在搭建信息系统硬件平台之前,应根据预先规划的业务种类和业务规模对硬件设备的架构和配置做科学设计,硬件平台要充分考虑财务信息系统在计算、运行、存储、网络等方面的需求,避免因为某一环节出现瓶颈,降低整个系统的运行效率。硬件平台的设计方案可由财务部门提出业务需求,请信息化领域的专家进行充分论证,避免盲目建设造成损失。硬件平台的运行环境应满足持续供电、恒温恒湿、防磁微尘等方面的要求,在日常生产中,还应实时监控硬件平台的运行状态,对运维系统给出的提示和报警信息及时给予分析解决,规避可能出现的硬件故障风险。
2.科学规划财务信息系统网络架构。建立科学合理的网络架构对财务信息系统安全防护具有重要意义,往往可以起到事半功倍的效果。规划财务信息系统应考虑的问题包括:(1)确保财务核心数据的安全,最好做到专网运行,与因特网物理隔离;(2)财务核心数据应与财务网上服务数据实现互通,保障财务查询、网上报账等业务数据的双向传输;(3)对校园网访问财务网上服务应用进行必要的监控。
下面提出一种财务信息系统网络架构设计方案(见下图)。
3.完善财务数据保护策略。制定财务数据保护策略,建立财务信息系统灾后快速恢复能力。应包括:(1)应用虚拟机高可用(HA)解决方案。建立虚拟服务器快速恢复能力,当一个集群中的某一台物理主机出现故障,虚拟机可以自主侦测并迁移到另外的物理主机上,实现业务不中断。(2)完善数据备份策略。备份范围应包括:文件系统备份,数据备份,日志备份。备份方式应包含:在线备份、离线备份、完全备份、增量备份等。同时根据各应用系统的工作特点和安全防护级别合理选择备份方式和操作频率。(3)建立热备与容灾系统。随着高校财务管理和服务水平的提高,高校财务部门希望具备在遭受突发灾难后财务应用不间断服务的能力,可建立财务数据热备与容灾系统。建立一个异地的数据系统,该系统是本地主系统关键数据的一个可用镜像,异地数据系统通过同步或准同步的方式与本地主数据系统保持一致,当主系统遭遇意外损失,应用系统可以迅速切换到异地热备容灾服务器,保证财务应用不间断。
4.建立健全财务信息系统内部控制制度。建立健全财务信息系统内部控制制度可以有效规避系统安全风险,提高财务信息系统的可靠性。
(1)财务信息系统权限管理制度。为规避财务人员操作失误引入的风险,防范内部人员舞弊行为,应建立和完善财务信息系统权限管理制度。根据各岗位的职责,设置相应的系统使用权限,从系统上做到不相容岗位隔离,建立关键业务环节多级审核机制,保障会计信息真实、可靠。(2)财务信息系统运行维护制度。建立财务信息系统硬件和软件的运行维护制度,规范系统操作和管理,及时发现和规避硬件故障和非法访问引入的风险。定期检查并记录服务器、存储、交换机、防火墙以及隔离网闸等硬件设备的运行状态;定期检查硬件设备、数据库的日志,排查系统隐患;梳理财务应用系统操作流程,编制应用系统使用指南和注意事项。(3)财务电子档案管理制度。建立与财务信息化发展水平相适应的财务电子档案管理机制,规范财务电子档案的采集、归档、存储等流程。根据电子档案的特殊性质,还应定期对财务电子档案做完整性和一致性验证。
5.加强财务人员综合能力培养。财务人员的职业操守和业务能力对财务信息系统安全防护水平的提升至关重要,高校应注重对财务人员道德素质和信息化工作能力的培养。加强财务人员对财务信息化相关知识的学习,了解财务信息系统的基本架构和工作原理,具备财务信息系统安全防护的意识,掌握财务信息系统安全防护的基本技术,有效地提升财务信息系统的安全防护水平。
参考文献:
[1] 王婷婷.我国高校信息化机制建设研究[D].长沙:湖南大学硕士学位论文,2006.
篇9
一、引言
随着医院的不断发展和国家医疗卫生管理要求的不断提高,对计算机信息网络系统的依赖性也表现得越来越强,但是计算机信息网络系统所表现出来的先进性,以及所带来的劳动效率提高和生产成本降低,并不能掩饰其存在的种种安全隐患。特别是医院的财务信息网络系统中运载着大量重要的数据和信息,无论是硬件、软件、环境、人为方面的影响都可能导致这些数据遭受破坏,将给医院带来无法挽回的损失。因此保护医院财务信息系统的数据安全,构建信息系统安全平台成为了医院信息化建设的当务之急。
二、医院财务信息系统的安全问题
1. 财务信息系统安全内容
从医院财务信息系统的层次结构及系统资源组成来分析,完整的财务信息系统安全的主要内容包括如下四个方面:(1)实体安全,即系统设备及相关设施(具体包括环境、建筑、设备、电磁辐射、数据介质、灾害报警等)运行正常,系统服务适时。(2)软件安全,即操作系统、数据库管理系统、网络软件、应用软件等软件及相关资料(包括软件开发规程、软件安全测试、软件的修改与复制等)具有完整性。(3)数据安全,即医院信息系统拥有的和产生的数据或信息完整、有效,使用合法,不被破坏或泄漏。具体方法包括用户识别、存取控制、加密、审计与追踪、备份与恢复。(4)运行安全,即医院信息系统资源和信息资源(包括电源、环境气氛、人事、机房管理出入控制、数据与介质管理、运行管理和维护)使用合法。
2. 计算机病毒
不管是良性病毒,还是恶性病毒,都有破坏或干扰计算机系统正常运行的危害。
(1)破坏医院财务信息系统资源大部分病毒在发作时直接破坏计算机系统的资源,如改写主板BIOS中的数据、改写文件分配表和目录区、格式化磁盘、删除义件等,导致程序或数据丢失,甚至于整个计算机系统和网络系统的瘫痪。(2)占用医院信息系统资源。有的病毒虽然没有直接的破坏作用,而通过自身的复制与用大量的存储宅间,甚至于占满存储设备的剩余窄间,以此影响正常程序及相应数据的运行和存储。计算机病毒的运行要抢占内存空间、接口设备和CPU运行时间等系统资源,即使没有严重的破坏行为,也会影响正常程序的运行速度。
三、医院财务信息系统的安全防范措施――以住院处为例
随着医院住院处各项业务不断地整合到医院信息系统内,使得数据量急剧膨胀,数据的多样化以及数据安全性、实时性的要求越来越高,这些都要求医院住院处财务信息系统必须具有高可用性和可靠性。
1. 树立正确的住院处财务信息系统安全指导思想
要想建立好计算机信息系统的安全体系,首先要有明确的指导思想。要把信息系统安全作为一个涉及国家、医院重大利益的产业来看待,在选择医院财务信息安全产品时要立足于国产化产品,不能把国家、医院信息化的安全依托到国外产品的保障上。
建立一套科学的管理制度是从制度上避免环境和人为因素造成计算机故障的有力保证,也是计算机系统安全之必需。(1)建立和健全各项管理制度,保证计算机有良好的运行环境,避免非常事件对系统的侵害。(2)严格按照各种操作规程处理业务,对财务信息系统数据文件的属性进行控制。文件是存储医院信息系统数据的形式,为了保证医院财务信息数据信息的安全,一些重要的数据文件可定义为专用文件、只读文件或对文件的操作权限及用户加以限制。(3)密码权限管理要真正分开,操作员密码要定期或不定期加以更换,以防泄密或被他人盗用。
2. 完善网络通信设备。
(1)中心机房中的核心交换机选用高性能交换机,采用冗余方案,两台核心交换机之间运用多条千兆光纤捆绑互连,运用防止网络中路由器或L3交换机故障的HSRP协议,实现热备份。当其中任何一台出现故障而不能工作时,另一台正常工作的交换机可以平滑地把业务流量全部接管过来,从而保证关键应用的持续运行。(2)分布在各楼层的接人交换机与中心交换机之间通过互为冗余的两条千兆光纤链路互连形成骨干连接。(3)中心机房的核心交换机在管理上运用VLAN技术。将服务器规划到一个专用网段,工作站也要根据地理位置或部门属性规划到另外的网段,配置交换机相应的网络管理软件,对IT资源、流量、数据包进行有效地监控。
3. 计算机病毒的查杀
最好采用将医院的HIS、RIS、LIS、PACS局域系统与Internet网络从物理上完全割断的分布方案,这样可以有效地规避风险。采用将医院的HIS、RIS、LIS、PACS系统与Internet网络融为一体的方案,必须增加必要的防范外部黑客、病毒的攻击手段,比如:网络版杀毒软件、硬件防火墙、入侵检测、桌面管理软件。
就目前的实际情况来看,严格的预防措施只能尽可能减少计算机病毒传染的可能,还不能完全避免病毒的感染。感染病毒后,有效的检查和杀除手段就是安装合适的正版杀毒软件并经常及时升级。杀病毒软件具有检查是否感染上某种或某类病毒的功能,有的杀毒软件能查出几百种甚至几千种病毒,并且大部分杀病毒软件可同时杀除检查出来的病毒。杀病毒软件在清除计算机病毒时,一般不会破坏系统中的正常数据。国内用户常用的杀毒软件有瑞星杀毒软件、江民杀毒软件、金山毒霸、卡巴斯基杀毒软件、诺顿杀毒软件、360安全卫士等。
“魔高一尺,道高一丈”查杀病毒技术和编制病毒的技术在相互较量中提高。一种新的病毒出现后,相应的杀毒技术和杀毒软件就会出现。综合采取预防与查杀措施,就能保护计算机及网络财务信息系统安全运行。
参考文献:
篇10
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)21-5077-02
Research of Security Issues and Measures on College Financial Management Information Systems
ZHANG Hong, LIU Xiao-qun
(City College of Dongguan University of Technology, Dongguan 523106, China)
Abstract: The development of network technology brings new insecurity for college financial management information system. To ensure the integrity, the confidentiality and the availability, financial system securities were studied. Then some protection and relevant measures were proposed to give some reference experiences for the construction and maintenance of college financial management information sys tem.
Key words: financial management; system; security
高校财务管理工作是高校经济运转的核心,是其它一切管理工作的源动力,如果没有准确、及时落实各项经费开支,就无法保证财务管理工作的日常运转,也很可能直接影响到其它管理工作。
高校财务管理工作涉及到的内容之多,种类之繁琐,各种类别又多有各自的报销规则和审批流程等,加上越积越多,最终很难快速的查找出历史报账的情况,也很难快速了解财务的整体情况。
随着网络的飞速发展,高校也面临着建设数字化校园的重任,将办公、教学、生活等管理与计算机网络技术结合,给全校教职工和学生带来极大的便利。高校财务信息化是高校数字化校园、信息化的重要组成部分[1]。基于网络的高校财务管理信息系统相对于传统会计信息系统,主要有开放性、电子化、实时性、集成化、远程化等特点,能够实现财务与业务的同步处理[2]。高校财务信息系统使学生收费透明化,使教职工工资条目清晰化,使学校资产管理简单化,并且资金的预算为学校提供了合理的资金使用方案。然而网络环境下的财务管理面临着新的风险,网络中散播的病毒蠕虫的感染,用户非法越限的访问,黑客恶意的攻击破坏等等问题都给高校财务管理系统的安全带来威胁。随着高校财务管理信息系统建设规模的不断扩大,教职工及学生访问量不断增加,财务管理面临的安全问题日益突出。该文对当前财务管理信息系统中存在的安全问题进行了分析,并据此提出相应的解决方案。
1安全问题
财务数据关乎到高校建设的各层面,财务系统安全可靠的运行是高校建设与管理的重要前提。财务管理信息系统的安全性表现在完整性、保密性和可用性,只要有一项不能满足都会给整个系统的安全造成威胁。
1.1环境级安全问题
高校财务管理信息系统环境级安全性包括硬件环境和软件环境。硬件环境安全问题指财务管理信息系统依托的服务器、网络设备、用电设备等硬件设备因突发灾害或意外事故而造成数据信息丢失以及硬件配备性能满足不了当前系统数据及时处理而造成的系统不可用。软件环境安全问题指财务管理信息数据库的软件本身不够完善或未及时升级而引起财务数据库难以操作,造成系统不可用。
1.2网络级安全问题
高校财务管理系统的信息化是基于网络的建设,为实现全校教职工人员的使用,财务管理信息必然要连接到外网,这就导致了财务管理信息会曝于财务部门以外。网络的不安全性表现为病毒的感染使系统无法运行,端口扫描使信息泄露,黑客利用操作系统的漏洞进行攻击造成系统崩溃和信息篡改,外来人员的恶意入侵造成财务数据的泄露。随着网络技术的深入发展,攻击的手段日趋自动化,复杂化,要保护高校信息不被泄露,保障财务系统安全可靠,网络级的安全防护任重道远。
1.3人员级安全问题
财务管理人员是财务管理信息系统的操作主体,其职业操守极大影响了系统的安全。由于在当下的财务系统中,财务人员对财务信息系统的操作(添加、修改、删除等)不会留有痕迹,若他们为了一己私利,利用工作之便,对财务数据进行改动和处理,将成为财务管理信息系统的一大隐患。另一方面,财务管理人员的网络安全防护意识及计算机能力较弱对高校财务信息系统也带来了安全问题。会计人员由于计算机运用能力不够而导致的错误操作会导致财务信息错漏,而相关的财务系统管理人员对操作系统、软硬件及网络环境维护不到位会给整个财务系统带来巨大的威胁。
