網(wǎng)絡財務信息安全風險及防范

□文/霍宏建

（1.河北省煙草專賣局；2.中國煙草總公司河北省公司河北·石家莊）

一、網(wǎng)絡財務信息安全面臨的主要風險

網(wǎng)絡財務是信息技術(shù)在財務領域的具體應用，其信息安全風險來源于信息技術(shù)的一般風險和財務數(shù)據(jù)的特定風險，主要表現(xiàn)在以下幾個方面：

1、硬件系統(tǒng)風險。任何計算機軟件都必須通過硬件來運行，硬件是軟件的承載體。硬件系統(tǒng)發(fā)生故障時，將會導致網(wǎng)絡系統(tǒng)癱瘓，軟件無法運行，業(yè)務處理停滯，給網(wǎng)絡財務使用者造成很大損失。如果硬件中的存儲系統(tǒng)發(fā)生嚴重損壞，所有數(shù)據(jù)將會面臨全部丟失的風險，給財務工作帶來災難性后果。

2、軟件系統(tǒng)風險。網(wǎng)絡財務軟件的正常運行，除需要硬件系統(tǒng)保障外，還需要操作系統(tǒng)、中間件和數(shù)據(jù)庫等軟件的支撐，這些軟件系統(tǒng)是否存在漏洞，技術(shù)上是否成熟，運行是否穩(wěn)定，直接影響財務信息安全程度和網(wǎng)絡財務軟件運行效率。

3、數(shù)據(jù)存儲風險。在網(wǎng)絡財務環(huán)境下，財務信息存儲介質(zhì)發(fā)生變化，由紙質(zhì)轉(zhuǎn)化為磁介質(zhì)，所有財務數(shù)據(jù)以電子格式存儲于服務器端，財務數(shù)據(jù)更易容丟失、被盜和損壞。此外，隨著網(wǎng)絡財務軟件的應用，財務數(shù)據(jù)量不斷增多，存儲設備還面臨著容量不夠的風險。

4、信息傳遞風險。網(wǎng)絡財務運行過程中，財務信息需要借助計算機網(wǎng)絡在客戶端和服務器端之間不斷地進行數(shù)據(jù)傳遞和交換，并且這種數(shù)據(jù)傳遞和交換都是以廣播的形式進行發(fā)布。理論上，任何聯(lián)網(wǎng)計算機都有可能獲取網(wǎng)絡資源，竊聽網(wǎng)絡信息，這就大大增加了財務信息被截取、泄露、篡改的風險。

5、病毒破壞風險。隨著網(wǎng)絡迅速發(fā)展，計算機病毒的破壞能力不斷提高，破壞范圍不斷擴大，并且呈現(xiàn)出了傳播速度快、自我復制強、難以防范的特點，給財務信息安全造成了極大的威脅。

6、非法入侵風險。在網(wǎng)絡環(huán)境中，任何聯(lián)網(wǎng)計算機在理論上都是可以被訪問到的，除非它們在物理上斷開鏈接。一些人可能出于各種目的，利用黑客程序，破壞網(wǎng)絡系統(tǒng)，進行黑客攻擊。而且，黑客攻擊比病毒破壞更具目的性和破壞性。

7、人員責任風險。計算機管理制度不健全，管理人員技術(shù)不精或者責任心不強；防范措施不嚴格，對網(wǎng)絡系統(tǒng)未進行必要的安全配置和管理，對網(wǎng)絡信息缺乏嚴密的監(jiān)控；財務系統(tǒng)用戶不注意口令保護，口令密碼設置簡單或長期不更改，致使別有用心的入侵者輕易冒充合法用戶進入系統(tǒng)，竊取、篡改、破壞數(shù)據(jù)。

二、網(wǎng)絡財務信息安全風險防范措施

網(wǎng)絡財務信息安全風險防范是一項系統(tǒng)工程，需要財務和信息部門密切配合，通力協(xié)作，采取防范措施，增強系統(tǒng)抵御風險的能力，確保網(wǎng)絡財務信息安全。

1、強化網(wǎng)絡安全意識。加強網(wǎng)絡信息安全重要性宣傳和教育，使全體員工尤其是財務和信息部門人員在思想上時刻樹立網(wǎng)絡安全意識，深刻認識網(wǎng)絡安全對于財務工作的極端重要性，自覺維護良好的網(wǎng)絡安全環(huán)境，抵制一切影響網(wǎng)絡安全的行為。

2、加強網(wǎng)絡安全技術(shù)防范。網(wǎng)絡安全技術(shù)防范是指綜合運用防火墻、數(shù)據(jù)加密、數(shù)字簽名和安全協(xié)議等專業(yè)技術(shù)對整個財務網(wǎng)絡系統(tǒng)采取全方位的安全防范措施，建立多層次的網(wǎng)絡安全體系，提高網(wǎng)絡安全防護等級，提供全面的網(wǎng)絡信息安全保護。加強網(wǎng)絡安全技術(shù)防范，要保障資金投入，確保網(wǎng)絡安全防范設備及時安裝到位；要注重培養(yǎng)網(wǎng)絡安全技術(shù)專業(yè)人才，不斷提高網(wǎng)絡安全技術(shù)人員的業(yè)務能力和工作水平。

3、加強財務數(shù)據(jù)管理。定期對財務數(shù)據(jù)進行異地備份，指定專人負責保管備份介質(zhì)，未經(jīng)審批不得對備份數(shù)據(jù)進行恢復操作。嚴格限定財務數(shù)據(jù)共享范圍和權(quán)限，只允許其他系統(tǒng)在限定的范圍內(nèi)對財務數(shù)據(jù)庫進行只讀操作，不得賦予改寫權(quán)限。嚴格數(shù)據(jù)錄入審核，防止錯誤數(shù)據(jù)進入財務系統(tǒng)。妥善保管操作系統(tǒng)、數(shù)據(jù)庫和財務軟件等各類密碼，增強密碼設置安全程度，不定期進行更改，防止別人盜用密碼進行非法操作。

4、加強財務信息化安全制度建設。建立健全和有效落實財務信息化安全制度是保障財務軟件正常運行、財務數(shù)據(jù)安全完整的關鍵。這些制度包括財務系統(tǒng)軟硬件管理和維護制度、系統(tǒng)管理人員和操作人員崗位責任制度、文檔資料保管和使用制度、計算機病毒防范制度、操作權(quán)限分配規(guī)定、計算機和網(wǎng)絡安全事故應急預案等，通過財務信息化安全制度建設，盡可能減少由于內(nèi)部人員道德風險、系統(tǒng)資源風險、計算機病毒風險和意外風險造成的危害，確保網(wǎng)絡財務系統(tǒng)安全運行。

5、加強對計算機病毒和黑客的防范。

通常情況下，網(wǎng)絡財務系統(tǒng)運行于單位內(nèi)網(wǎng)之中。防范計算機病毒和黑客的最有效方法就是實行內(nèi)外網(wǎng)嚴格分離制度，內(nèi)外網(wǎng)之間進行物理隔離，使得外網(wǎng)計算機不能登錄到內(nèi)網(wǎng)。此外，在內(nèi)網(wǎng)中的所有計算機都要安裝殺毒軟件，定期更新病毒庫，及時查殺計算機病毒。加強網(wǎng)絡安全監(jiān)控，及時發(fā)現(xiàn)網(wǎng)絡中的異常情況，果斷進行處理，凈化網(wǎng)絡環(huán)境。建立訪問列表，嚴格限定聯(lián)網(wǎng)計算機對財務服務器的訪問控制。

6、加強身份認證和權(quán)限控制。建立更為科學的CA數(shù)字認證體系，采用數(shù)字證書方式進行登錄，確保系統(tǒng)數(shù)據(jù)的完整性、保密性和行為的不可否認性，杜絕數(shù)據(jù)在傳送過程中可能出現(xiàn)的非法訪問、非法篡改、假冒偽造等安全問題。嚴格進行權(quán)限分配和控制，根據(jù)實際工作需要，合理確定財務人員和管理人員操作權(quán)限。嚴格授權(quán)操作管理，未經(jīng)批準，不相關人員不得接觸財務軟硬件系統(tǒng)，確保財務系統(tǒng)和數(shù)據(jù)信息的安全。

[1]劉峰成.網(wǎng)絡財務信息安全問題.合作經(jīng)濟與科技，2007.3.

[2]卞繼紅.網(wǎng)絡財務的安全隱患及其治理.財會研究，2011.9.

[3]袁雋媛.財務內(nèi)網(wǎng)信息安全的策略與技術(shù)研究.中國管理信息化，2009.2.