摘 要:随着企业的发展财务信息系统逐渐成为企业核心管理系统,因此财务信息系统的安全成为保障企业日常运营管理的关键。本文主要从服务器安全,系统安全、网络安全、数据安全、人员培训等方面论述企业使用财务信息系统中突出存在的问题,并针对这些问题提出相应的防范措施,以保证会计信息系统使用的安全性、可靠性、有效性和高效性。
关键词:财务信息系统;网络;安全;防范
随着企业的不断扩张逐步发展形成跨地区甚至跨国经营的企业集团,组织机构日益复杂。也因此财务信息系统必须能在网络环境下承载整个企业财务核算和管理的需要。因为涉及在企业局域网或互联网上传递财务信息,如果发生意外则会给企业带来不可估量的损失,因此我们必须分析在网络环境下财务信息系统存在的潜在风险,并给出安全防范措施。
1. 网络财务信息系统安全风险成因
1.1 财务信息系统管理模式风险
在当前的状况下,企业成长初期为了节约投资和快速建设所采取的局部的、分散管理的财务管理信息系统带来很多弊病。首先,企业内各分支机构系统管理人员水平参差不齐,任何一个系统节点出现疏漏都会对企业整体信息安全造成隐患。其次系统节点过多为财务数据安全备份带来障碍。再则分散的管理方式在管理上随意性大更容易发生在机房安全、服务器管理、网络管理上发生问题。
1.2 网络安全风险
1.2.1 外部网络安全威胁
为了适应移动办公的需要,企业财务系统大都和外网联接,利用高度发达的互联网以实现对财务信息系统的异地化高效、低成本访问。但随之带来一系列安全问题:
非授权访问:如财务人员使用的计算机安全等级不高被黑客利用,假冒身份攻击企业财务信息系统进行违法操作或获取财务机密。
信息泄露:财务人员在通过外网访问财务信息系统时,数据信息在网络传输过程中被黑客监听,截取,从而导致关键数据的泄密。
恶意代码:计算机病毒是威胁网络信息安全的祸首,病毒通过用户端机器传播到企业内部网络,可以造成财务信息系统的瘫痪,数据丢失等一系列恶果。
1.2.2 内部网络安全威胁
企业内部为了办公及数据共享需要,多通过内联网进行信息传递。内联网络及网络设备、服务器安全、用户操作都必需重点关注。
自然威胁:因为水、电、雷雨、地震,楼宇损坏等灾害造成网络瘫痪。
系统环境:因为财务系统服务器所处机房的温度、湿度、供电系统故障所造成的服务器、网络设备硬件损坏造成的安全问题。
账号权限:在财务系统中滥用超级账号或账号权限超出本身的职能范围,越权进行单据审批导致会计数据的不真实、不可靠或以此达到某种非法目的,如,转移单位资金到指定的个人账户等。
误操作:系统操作人员由于操作不熟悉,无意间删除和改变财务系统中重要财务记录造成系统记录不可靠。
1.3 系统安全风险
1.3.1 操作系统安全风险
除了操作系统本身存在的安全漏洞外,近年来在服务器端多使用虚拟化技术,很多虚拟化的工作负载没有被可靠的评估造成系统负担过重,从而导致安全隐患,而且虚拟化管理程序本身如果使用不当同样也可能对操作系统造成一定的影响。
1.3.2 财务软件安全风险
任何财务软件都有可能存在一定的程序疏漏,再加之很多财务软件为了取得更好的应用效果还可能部署了一些插件或第三方的工具软件,软件的结构越复杂,则可能存在的安全问题越多。另外财务信息系统在使用了一段时间之后都存在升级的问题,升级项目规划时如果缺乏必要的安全团队支持,没有对系统做好严格的升级测试,都可能在升级操作时产生安全风险。
2. 数据安全风险
2.1 数据库安全风险
根据财务信息系统本身的特点来看财务数据一是数据量大,出于统计分析的要求需要保存多年的数据,即便是归档的数据也有很高的访问量;二是保密度高;三是用户对数据依赖性强,任何的数据丢失都是致命的。如果企业内部没有严格的备份及恢复策略支持,或是备份介质没有被妥善保存都将在数据发生丢失或系统崩溃时带来灾难性的损失。
2.2 接口安全风险
随着财务和业务协同化的需求逐步在企业中兴起,财务信息系统多与业务系统进行接口链接,当业务数据发生时同步财务记录,当财务系统进行经营绩效分析时也能追溯到业务系统。因此需要通过系统接口并借助网络在不同的系统间进行数据传递。由此会产生的数据安全问题。
3. 针对网络财务信息系统存在的安全问题,建议企业采用以下几方面的安全防范措施。
随着网络时代的到来,集中式财务管理已逐渐成为当前企业集团普遍采用的管理模式。通过这种管理模式,企业对于财务系统及网络安全策略可以统一规划、实施、监控以及运维管理。
(1)实现集中的访问控制和数据传输加密。将财务所涉及的所有关键应用集中放置于企业数据中心,以简便管理和监控。采用专门用于保证安全性的服务器对企业整个网络系统进行监测和管理。有了这样的服务器以后,连接在这个网络的所有用户,不管它需要以什么样的方式访问企业数据中心中的关键应用,都必须通过服务器的安全性监测。由于服务器上可以运行功能很强的安全性方面的软件,可以完全满足财务系统的安全需求。同时用户无论是在内网通过路由器、或在互联网通过拨号访问财务系统,网络上服务器和安全服务器之间传送的都是经过加密的有关网络安全协议的数据流。通过这种集中式的安全控制机制,可以保证关键应用不受侵犯,也可以记录网络的操作过程,监测各种用户的访问。
(2)实现分级安全控制。一个好的安全防御体系应用主次之分,具体为:在系统与外网的接口处构建一级安全防护,也就是被广泛使用的“防火墙”,针对企业数据中心中的核心主机、核心数据库的安全构建第二层安全防护体系,并且采用不同厂商安全产品,进一步增加了黑客攻击的难度。采用这种方式后,各级网络之间采用统一接口,连接方法简单,易于管理,安全隐患小。
(3)实现网络设备物理安全。网络设备物理安全主要依赖于数据中心机房安全,机房并非一间普通的大房间,它的场地、楼层负重、温度、湿度、电力、照明、消防的建设和设施的配备必须遵循国家机房设计标准规范的要求。同时,防盗安全将是机房十分重视的一项工作任务,需按规定做好如下要求 :启动安装防盗报警装置 ,夜间应开启照明灯,采用电子全程 录像跟踪监控,同时还应装防盗栏、防盗网,严格管理机房的钥
匙,加强夜间值班,做到万无一失。
(4)服务器安全加固。服务器作为管理和信息数据的存储的核心,需要从系统审核、服务权限、用户权利分配和注册表等不同方面的设置进行服务器的安全加固,使服务器的软件系统具有一定的安全性和免疫能力。如:定期监控系统日志,分析有无异常状况;关注安装在服务器上程序层的所有代码的漏洞情况,包括驱动器、插件和第三方工具等,保持所有这些的最新更新以及补丁修复定期下载系统安全补丁,防止系统漏洞被黑客利用;定期检查服务器上开启的各类服务,将不必要的予以关闭;为用户帐号设置安全策略,并要求用户定期修改密码,同时密码要求有一定的复杂度;开启注册表防护,避免被病毒更改;随时监控服务器使用状态,包括工作负载、硬盘空间占用情况等,避免服务器因负担过重而导致的系统崩溃。
(5)建立数据安全策略。由于财务系统在企业的核心地位,需要重点做好数据及系统的备份及容灾策略。在备份策略上需要考虑保障财务生产系统的使用连续性,应考虑系统级的备份与数据级别的备份共同进行,以实现系统快速恢复功能。同时为了具有容灾性能,备份的服务器和数据存储介质最好能异地保管,且备份管理软件要有灵活良好的扩展性,能应对企业不断发展的要求。
(6)建立软件项目实施安全管理制度。为了在企业内能够顺利实施财务系统或其他与财务系统进行接口链接的业务软件,必需建立软件实施安全管理制度,以此来确保所有的财务软件及与财务系统协同工作的系统软件的实施都在企业信息安全团队的监督下进行,并且实施工作的具体设计方案、测试方案都必需遵循安全管理制度的要求。只有这样才能有效的控制软件实施给现有财务系统带来的各类风险。
(7)人为风险控制。首先针对财务系统中各项职能分工均按照会计制度相关规定进行,在设计用户账号权限时将不相融职务进行分离;开启系统的审计功能,做到系统操作行为有迹可循,在强大的审核机制的管控下,公司职员的非法行为会受到极大限度的制约;其次加强用户教育,做到持证上岗,减少因用户误操作而造成的系统记录不可靠。
4. 小结
企业信息化建设中的财务信息系统安全问题是一个涉及面很广泛的问题,本文虽然从软、硬件的角度去研究和探索,以此保证财务系统的安全,但要适应网络环境,人才是根本保证,企业必须注重人才的培养和与时俱进,以保证企业会计信息系统安全性、可靠性、有效性和高效性。
