網(wǎng)絡環(huán)境下財務信息安全管理的探討

●湖北中煙工業(yè)有限責任公司財務管理部 郭宏捷

在手工賬和單機版財務信息系統(tǒng)的時代，財務信息以紙張、磁盤和光盤為主要載體，傳統(tǒng)的檔案管理中接觸授權(quán)、設置密級等處理方式即可達到企業(yè)對財務信息安全的管理要求。今天，網(wǎng)絡技術(shù)給財務信息的處理帶來即時、準確、高效、便利的優(yōu)勢，財務信息也因為網(wǎng)絡技術(shù)面臨著更多的安全風險。

一、風險產(chǎn)生的原因和管理目標

財務信息貫穿企業(yè)經(jīng)營活動的始終，一般來說財務信息約占企業(yè)信息量的70%，財務信息量大而且多為企業(yè)的核心數(shù)據(jù)，對保密的要求較高。財務的保密性與網(wǎng)絡的公開性特征相互矛盾，這是網(wǎng)絡環(huán)境下財務信息安全風險產(chǎn)生的根本原因。

在網(wǎng)絡融合之后，信息網(wǎng)絡固有的安全風險向其他網(wǎng)絡延伸，數(shù)據(jù)的匯集進一步導致安全風險的集中和放大，網(wǎng)絡中財務數(shù)據(jù)的加工、儲存、傳輸、檢索都存在很大的安全隱患，實際上無法保證財務信息的絕對安全。對企業(yè)來說，較為可行的風險防控目標應該是使財務信息安全問題帶來的損失相較于網(wǎng)絡環(huán)境下信息使用所帶來的效益降為最小。

二、影響網(wǎng)絡環(huán)境下財務信息安全的主要因素

（一）法律方面。我國在計算機信息安全管理特別是在網(wǎng)絡安全方面從90年代中期開始立法，迄今為止已經(jīng)搭建了包括法律、行政法規(guī)、地方性法規(guī)和規(guī)范性文件等多層面的網(wǎng)絡安全立法體系，包括1994年發(fā)布的 《中華人民共和國計算機系統(tǒng)安全保護條例》、2000年頒布的《全國人大常委會關(guān)于維護互聯(lián)網(wǎng)安全的決定》以及同年施行的《會計法》等法律法規(guī)。這些法律規(guī)章主要從傳統(tǒng)行政的角度保障網(wǎng)絡信息安全，信息安全條款比較分散并且表述上以原則性為主，沒有制訂專門的網(wǎng)絡信息安全法律規(guī)范，對于處理具體網(wǎng)絡信息安全行為的針對性不強。并且法律法規(guī)的制定和修訂滯后于網(wǎng)絡技術(shù)的發(fā)展，對于不斷出現(xiàn)的新型網(wǎng)絡犯罪現(xiàn)象和電子證據(jù)的采信在立法上還需要繼續(xù)完善。

（二）人員意識方面。在2013年中國計算機網(wǎng)絡安全年會上，工信部明確表示中國網(wǎng)絡安全現(xiàn)狀不容樂觀，要繼續(xù)提升全社會網(wǎng)絡安全意識。在信息化建設的過程中，大部分企業(yè)以解決管理需求的系統(tǒng)應用為主，對網(wǎng)絡安全的關(guān)注不夠。此外，企業(yè)員工通常會認為信息安全從制度建設到執(zhí)行整改都是信息部門的工作，很少有其他部門制定信息安全管理的行為規(guī)范。實際上內(nèi)部用戶造成的安全威脅遠大于外部網(wǎng)絡，員工的人為疏漏容易形成信息的安全隱患。

（三）資源投入方面。我國企業(yè)在安全方面投入的資源比例偏低，根據(jù)統(tǒng)計，一般發(fā)達國家的企業(yè)在信息化投資中網(wǎng)絡安全通常會占到總投資的20%—30%，我國企業(yè)投資在網(wǎng)絡安全的比例還不到10%，已上網(wǎng)的企業(yè)超過半數(shù)沒有建立防火墻和采用入侵檢測技術(shù)，在網(wǎng)絡安全上資金和人員的投入明顯不足。

三、建立保障網(wǎng)絡環(huán)境下財務信息安全的體系

財務信息安全的管理是一項系統(tǒng)工程，需要政府、企業(yè)、信息和財務部門的共同努力，形成一個由面到點的防控體系。

（一）政府方面。網(wǎng)絡信息安全要倚靠有效的管理和先進的技術(shù)，政府在行政管理和技術(shù)規(guī)劃工作中起著至關(guān)重要的作用。

1.加強法律對信息安全的基礎保障。首先，我國應繼續(xù)完善法律體系中網(wǎng)絡信息安全的法律法規(guī)，加強對網(wǎng)絡信息安全的保護；其次，加快建立規(guī)范的網(wǎng)上支付系統(tǒng)等一系列法規(guī)；最后，在時機成熟時制定專門的網(wǎng)絡信息安全法，提升立法的層次和效力，針對具體的威脅網(wǎng)絡信息安全的犯罪行為形成制度化的預防和打擊。

2.發(fā)揮總體規(guī)劃和組織協(xié)調(diào)作用。隨著工業(yè)化和信息化兩化融合的深入開展，網(wǎng)絡安全已經(jīng)成為各行業(yè)各單位共同關(guān)注的重大問題。政府一方面要做好信息安全風險防控建設的總體規(guī)劃，開展網(wǎng)絡安全環(huán)境的綜合治理，推動各單位落實網(wǎng)絡安全標準和各項防護的措施，幫助各單位提升責任意識，強化行業(yè)自律；另一方面要組織科研院校、專業(yè)安全廠商和相關(guān)企業(yè)間的協(xié)作，建立統(tǒng)一和聯(lián)動的工作機制，實現(xiàn)行政管理和技術(shù)支持之間的協(xié)同。

3.加強網(wǎng)絡安全的投入。我國網(wǎng)絡領域的核心技術(shù)對外依存度較高，與網(wǎng)絡相關(guān)的存儲設備和數(shù)據(jù)庫等基本都從國外采購，“棱鏡”項目的曝光揭示了中國與發(fā)達國家在網(wǎng)絡技術(shù)上的差距，加強網(wǎng)絡安全技術(shù)的研究和投入勢在必行。我國應加強網(wǎng)絡安全防御體系的研究，提高對網(wǎng)絡全局的整體掌控能力，提高對網(wǎng)絡信息風險的監(jiān)測和預警能力。同時，根據(jù)網(wǎng)絡技術(shù)不斷發(fā)展引發(fā)的新風險，引導信息安全企業(yè)加大科研投入，鼓勵和扶持安全產(chǎn)品的研制和開發(fā)，提高及時應對能力，進而提升國家網(wǎng)絡安全的整體技術(shù)保障能力。

4.加強國際間協(xié)作。網(wǎng)絡具有跨越地理區(qū)域的傳播特點，我國應積極加入到國際網(wǎng)絡空間的國際合作體系中，深化國際間網(wǎng)絡技術(shù)的協(xié)作，與各國共同制定網(wǎng)絡高端技術(shù)標準，參與對國際網(wǎng)絡安全的法律法規(guī)的制定進程中，共同懲治跨國的計算機犯罪行為。

（二）企業(yè)方面

1.建立信息安全管理機制。完善的管理流程和制度設計可以減少由于人為原因、系統(tǒng)資源風險和計算機病毒造成的危害，因而建立和執(zhí)行有效的安全管理制度是企業(yè)防控信息安全風險的重要手段。信息安全管理制度主要涵蓋以下方面：加強網(wǎng)絡系統(tǒng)的安全控制，包括硬件和軟件安全控制、日常操作安全控制，系統(tǒng)維護安全控制；加強對數(shù)據(jù)管理安全控制，包括加強對數(shù)據(jù)輸入、處理、輸出、保密及備份的控制；

明確企業(yè)各部門的安全管理職責和權(quán)限。在管理手段上，

企業(yè)內(nèi)部應定期開展內(nèi)控審計、安全性測試等加強防查力度，及時發(fā)現(xiàn)問題；對接觸財務系統(tǒng)的外部協(xié)作單位要簽署保密協(xié)議，明確信息安全責任。

2.應用安全的網(wǎng)絡基礎設置和網(wǎng)絡技術(shù)。信息安全技術(shù)包括系統(tǒng)安全和信息安全等方面。系統(tǒng)安全保障網(wǎng)絡通信基礎設置、網(wǎng)絡上的各種系統(tǒng)及應用軟件的正常運行；信息安全主要通過鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密和抗抵賴等安全服務，保障網(wǎng)絡環(huán)境下信息保持其保密性、完整性和可用性，通常采用防火墻、入侵檢測技術(shù)、信息加密、數(shù)字簽名等多種技術(shù)手段。對于網(wǎng)絡的新技術(shù)包括云服務和移動終端的應用，應在確認其技術(shù)安全可靠之后才在企業(yè)內(nèi)推廣使用。

3.加大宣傳和培訓的力度。企業(yè)財務信息安全的管理是一項長期性、全員參與的工作，僅靠技術(shù)部門和技術(shù)手段無法杜絕安全問題。企業(yè)有必要讓全體員工充分認識到網(wǎng)絡環(huán)境下信息安全的必要性和重要性，將日常業(yè)務與信息安全管理結(jié)合起來，規(guī)范員工的日常操作習慣，提高員工的安全防范意識。

（三）財務人員方面。財務人員應該遵循法律法規(guī)和企業(yè)信息安全管理的要求，同時在財務信息處理的各個環(huán)節(jié)都恪守正確的操作方式。

1.財務信息的保管環(huán)節(jié)。財務人員對儲存有財務信息的計算機，需及時修補操作系統(tǒng)漏洞，安裝正版殺毒軟件，不下載和安裝可疑軟件。財務電子文檔可以考慮采用文件加密的方式進行保存，重要的財務系統(tǒng)和信息管理網(wǎng)站還需要定期更換登錄密碼。

2.財務信息的傳輸環(huán)節(jié)。財務人員之間在企業(yè)內(nèi)部傳輸文件時，應使用內(nèi)部郵箱和通訊軟件傳輸文件。避免使用外部服務器和郵箱，包括使用在線傳輸、離線文件。因技術(shù)手段限制必須使用外部服務器和郵箱的，需對文件進行加密，同時采用電話、短信等其他方式告知接收方密碼信息。

1.祁玉峽.2007.網(wǎng)絡環(huán)境下會計信息系統(tǒng)的安全問題及管理措施[J].河南科技，2。

2.任妍.2011.我國網(wǎng)絡信息立法的現(xiàn)狀和對策建議[J].中國發(fā)展觀察，11。

3.霍宏建.2012.網(wǎng)絡財務信息安全風險及防范[J].合作經(jīng)濟與科技，2。