淺議高校財(cái)務(wù)信息化的安全問(wèn)題

□劉 燕 楊鐵銑 王 兵

?

淺議高校財(cái)務(wù)信息化的安全問(wèn)題

□劉 燕 楊鐵銑 王 兵

[電子科技大學(xué) 成都 610054]

隨著計(jì)算機(jī)的發(fā)展和信息化的普及，各個(gè)行業(yè)都不斷地在改革和創(chuàng)新，財(cái)務(wù)行業(yè)亦是不落人后。財(cái)務(wù)信息化改變了傳統(tǒng)的會(huì)計(jì)模式，加快了效率，降低了差錯(cuò)率，提高了數(shù)據(jù)處理能力，適應(yīng)當(dāng)前經(jīng)濟(jì)社會(huì)發(fā)展的需要。但與此同時(shí)，復(fù)雜的互聯(lián)網(wǎng)環(huán)境與財(cái)務(wù)信息系統(tǒng)特有的性質(zhì)也帶來(lái)了新的隱患，直接影響賬務(wù)安全，威脅整個(gè)財(cái)務(wù)行業(yè)的發(fā)展。因此，探討軟硬件防護(hù)對(duì)安全管理的意義有助于高校計(jì)劃財(cái)務(wù)處信息化建設(shè)工作。

信息化；安全；數(shù)據(jù)

引 言

計(jì)算機(jī)技術(shù)在越來(lái)越多的領(lǐng)域得到廣泛應(yīng)用，為了適應(yīng)發(fā)展需要，財(cái)務(wù)行業(yè)也利用這一高新技術(shù)進(jìn)行了改革，會(huì)計(jì)電算化就是其中一項(xiàng)。會(huì)計(jì)電算化是指利用計(jì)算機(jī)完成記賬、算賬、報(bào)賬等工作，并進(jìn)一步完成會(huì)計(jì)信息的分析、預(yù)測(cè)和決策，實(shí)現(xiàn)會(huì)計(jì)的現(xiàn)代化、財(cái)務(wù)的信息化。同時(shí)，財(cái)務(wù)工作的特殊性質(zhì)決定了它較高的安全要求，因此，財(cái)務(wù)信息化環(huán)境下的安全管理尤為重要。

與傳統(tǒng)會(huì)計(jì)模式相比，財(cái)務(wù)信息化使會(huì)計(jì)人員從繁瑣的手工會(huì)計(jì)核算中解脫出來(lái)，并且計(jì)算機(jī)系統(tǒng)的約束減少了人工計(jì)算時(shí)由于數(shù)據(jù)量大而繁雜導(dǎo)致的差錯(cuò)，同時(shí)提高了效率和正確率。計(jì)算機(jī)網(wǎng)絡(luò)使會(huì)計(jì)信息的共享變得方便快捷，放寬了時(shí)間地點(diǎn)限制，有效地降低了相關(guān)人員的工作強(qiáng)度，促進(jìn)了財(cái)務(wù)行業(yè)的發(fā)展。

一、財(cái)務(wù)信息化的主要安全隱患

（一） 信息泄漏與失真

1．惡意竊取和篡改

自1981年“會(huì)計(jì)電算化”被提出，經(jīng)過(guò)幾十年發(fā)展，財(cái)務(wù)信息化已經(jīng)隨著電子信息的快速發(fā)展，逐漸從單機(jī)走向聯(lián)網(wǎng)。計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)了多種信息的傳遞、共享和處理，方便了用戶，卻也飽含了風(fēng)險(xiǎn)，如果財(cái)務(wù)信息系統(tǒng)受到外界惡意侵犯，更甚至系統(tǒng)內(nèi)部人員非法舞弊，則勢(shì)必會(huì)造成大量信息的泄漏和失真，帶來(lái)不可估量的損失。

2．操作失誤

個(gè)別財(cái)務(wù)工作者在計(jì)算機(jī)技能方面較欠缺，工作中容易出現(xiàn)誤操作，一些無(wú)意的操作導(dǎo)致數(shù)據(jù)的錯(cuò)誤與丟失，影響數(shù)據(jù)的正確性和完整性。

3．缺乏安全防范意識(shí)

人是信息安全中至關(guān)重要的一環(huán)，也是信息安全最大的威脅。財(cái)務(wù)工作者一個(gè)無(wú)意識(shí)的行為如不設(shè)置密碼，不定期做備份或從不做備份，不激活屏保即離開座位以及隨意在工作電腦上插拔無(wú)關(guān)移動(dòng)設(shè)備等，往往會(huì)帶來(lái)巨大的安全危險(xiǎn)。

（二） 計(jì)算機(jī)病毒

計(jì)算機(jī)病毒傳播性強(qiáng)，破壞性大，是財(cái)務(wù)信息系統(tǒng)的又一強(qiáng)大威脅。計(jì)算機(jī)病毒常常通過(guò)光盤、磁盤、電子郵件等渠道進(jìn)行傳播，且具有隱蔽性，在不知不覺中對(duì)計(jì)算機(jī)內(nèi)部的數(shù)據(jù)進(jìn)行破壞，防不勝防，使財(cái)務(wù)信息系統(tǒng)的安全性和保密性受到威脅。

（三） 硬件的損壞

財(cái)務(wù)信息系統(tǒng)需要連續(xù)電源的支撐，突然斷電極可能導(dǎo)致未及時(shí)存盤信息的丟失，更甚至損壞硬件，遺失大量重要數(shù)據(jù)。如磁盤磁化等硬件損壞情況導(dǎo)致信息無(wú)法讀取、無(wú)法恢復(fù)。

（四） 軟件安全

1．軟件的穩(wěn)定性、保密性

財(cái)務(wù)軟件是不法人員進(jìn)行數(shù)據(jù)竊取的物質(zhì)基礎(chǔ)，如果軟件自身缺乏安全性和保密性，存在漏洞，就會(huì)加大不法人員竊取的機(jī)率。

2．軟件升級(jí)與更換的安全問(wèn)題

在升級(jí)或更新軟件時(shí)，若未做好備份工作，如果出現(xiàn)失誤、故障，則會(huì)導(dǎo)致系統(tǒng)的癱瘓和數(shù)據(jù)的丟失。

（五） 檔案管理隱患

隨著財(cái)務(wù)領(lǐng)域中引入信息和網(wǎng)絡(luò)技術(shù)，產(chǎn)生了磁性介質(zhì)的數(shù)據(jù)、文件，這些新型介質(zhì)的檔案有著不可見的特點(diǎn)，一旦計(jì)算機(jī)出現(xiàn)故障，資料無(wú)法取出，信息無(wú)法使用，存儲(chǔ)財(cái)務(wù)信息很容易丟失。

二、采取的防范措施

（一） 完善管理制度

先進(jìn)的信息技術(shù)是實(shí)現(xiàn)財(cái)務(wù)信息化必不可少的前提，而健全的管理制度則是財(cái)務(wù)信息化順利發(fā)展的必要支撐。

1．權(quán)限管理制度

會(huì)計(jì)電算化實(shí)行以后，數(shù)據(jù)存儲(chǔ)介質(zhì)的特殊性使其易于不留痕跡地被篡改，規(guī)章制度不健全會(huì)嚴(yán)重影響電算化工作的正常運(yùn)行，因此健全規(guī)章制度顯得尤為重要，財(cái)務(wù)單位應(yīng)建立完善的會(huì)計(jì)電算化管理制度，營(yíng)造良好的內(nèi)部環(huán)境。

應(yīng)建立崗位責(zé)任制，明確崗位職責(zé)，根據(jù)每個(gè)崗位的職責(zé)范圍在系統(tǒng)中設(shè)置相應(yīng)的權(quán)限，切實(shí)做到層層防范。會(huì)計(jì)電算化需對(duì)不相容職務(wù)進(jìn)行分離，建立一種相互監(jiān)督、相互制約的機(jī)制，保障會(huì)計(jì)信息的真實(shí)、可靠，避免出現(xiàn)舞弊的經(jīng)濟(jì)業(yè)務(wù)，限制違法行為。

2．系統(tǒng)維護(hù)制度

建立財(cái)務(wù)相關(guān)軟件的維護(hù)制度，制定完整的財(cái)務(wù)信息系統(tǒng)的操作規(guī)程，明確操作流程和注意事項(xiàng)。凡上機(jī)操作人員必須經(jīng)過(guò)授權(quán)；熟悉計(jì)算機(jī)的無(wú)關(guān)人員不允許任意進(jìn)入機(jī)房；系統(tǒng)應(yīng)有拒絕錯(cuò)誤操作的功能；系統(tǒng)還應(yīng)有上機(jī)登記和運(yùn)行日志，便于維護(hù)人員定期核查；最后，還應(yīng)定期維護(hù)、備份、查殺病毒，減少、避免財(cái)務(wù)數(shù)據(jù)丟失。

對(duì)使用財(cái)務(wù)軟件中所出現(xiàn)的安全威脅進(jìn)行定期的匯總，為系統(tǒng)的升級(jí)、修復(fù)、完善等提供可靠、有效的數(shù)據(jù)資料。及時(shí)改善財(cái)務(wù)軟件中的系統(tǒng)漏洞，確保財(cái)務(wù)軟件使用的安全性、時(shí)效性、適應(yīng)性。

3．保密制度

財(cái)務(wù)信息具有敏感性，保守財(cái)務(wù)秘密關(guān)系到學(xué)校的安全和利益。應(yīng)建立財(cái)務(wù)信息保密制度，增強(qiáng)工作人員安全意識(shí)，不該說(shuō)的秘密絕對(duì)不說(shuō)，不該看的秘密絕對(duì)不看，積極防范，保證安全。

4．檔案管理制度

建立檔案管理制度，規(guī)范檔案管理。會(huì)計(jì)檔案管理作為會(huì)計(jì)工作的重要組成部分，直接影響財(cái)務(wù)管理水平和質(zhì)量，其重要性不言而喻。財(cái)務(wù)信息化后，會(huì)計(jì)檔案不再只是單一的紙介質(zhì)檔案，還包括了存儲(chǔ)在磁性介質(zhì)如計(jì)算機(jī)硬盤或光盤中的財(cái)務(wù)數(shù)據(jù)，因此會(huì)計(jì)檔案的管理制度也需做相應(yīng)調(diào)整。除了為預(yù)防不確定災(zāi)害做備份和異處保管等措施外，還應(yīng)對(duì)磁性介質(zhì)檔案進(jìn)行定期檢查、復(fù)制、防止由于磁性介質(zhì)的損壞而造成無(wú)法挽救的損失。

建立健全電算化檔案的管理制度，保存好財(cái)務(wù)數(shù)據(jù)的備份文件，一旦系統(tǒng)出現(xiàn)故障，要在最短的時(shí)間內(nèi)，最小的損失下利用備份及時(shí)恢復(fù)數(shù)據(jù)。

加強(qiáng)會(huì)計(jì)檔案管理水平，保證財(cái)務(wù)信息系統(tǒng)內(nèi)數(shù)據(jù)安全完整，才能保證財(cái)務(wù)工作正常運(yùn)行，更好的為高校的教學(xué)科研建設(shè)服務(wù)。

（二） 加強(qiáng)軟硬件防護(hù)功能

軟硬件是財(cái)務(wù)信息化的必要組成部分，也是加強(qiáng)安全防護(hù)的主要路徑。

1．改善設(shè)備，保證運(yùn)行環(huán)境

選擇高品質(zhì)的硬件設(shè)備，增加設(shè)備穩(wěn)定性，減少硬件故障概率，并對(duì)硬件設(shè)備進(jìn)行重點(diǎn)保護(hù)，防火、防水、防鼠、防盜、防高溫，還要防止電磁輻射和干擾，保證硬件有良好的運(yùn)行環(huán)境。

2．加強(qiáng)軟件防護(hù)

選擇高品質(zhì)的軟件，在技術(shù)上進(jìn)行限制，減少盜竊行為，做到有效防護(hù)。

加強(qiáng)軟件設(shè)計(jì)的監(jiān)督機(jī)制，督促軟件在開發(fā)過(guò)程中的安全設(shè)計(jì)，如數(shù)據(jù)的業(yè)務(wù)邏輯約束、對(duì)數(shù)據(jù)寫盤異常保護(hù)、功能權(quán)限的劃分、對(duì)崗位暫離的屏幕保護(hù)、口令控制等，增加軟件的安全性和穩(wěn)定性。

在財(cái)務(wù)軟件中增加權(quán)限設(shè)置、自動(dòng)校驗(yàn)、提示功能、自動(dòng)備份和保護(hù)功能等安全功能，減少因操作失誤造成的數(shù)據(jù)丟失或數(shù)據(jù)錯(cuò)誤，并在系統(tǒng)中建立日志，記錄填寫、修改和刪除的痕跡，規(guī)范操作，降低風(fēng)險(xiǎn)。

3．研究電算化審計(jì)工作

建立財(cái)務(wù)信息系統(tǒng)的審計(jì)端口，便于及時(shí)有效的對(duì)財(cái)務(wù)軟件的使用異常進(jìn)行監(jiān)督，減少安全隱患，增加財(cái)務(wù)信息的安全保障。

4．防病毒

為了防止病毒的侵襲，應(yīng)該采取防、查、殺相結(jié)合的方式，對(duì)外來(lái)移動(dòng)存儲(chǔ)設(shè)備要先進(jìn)行病毒檢測(cè)再使用；堅(jiān)持使用正版軟件，不使用盜版和來(lái)歷不明的軟件；計(jì)算機(jī)出現(xiàn)異?，F(xiàn)象時(shí)及時(shí)查看是否因?yàn)楦腥静《径?；安裝、升級(jí)防病毒軟件，定期查殺；定期備份數(shù)據(jù)，做到事前防范及事后及時(shí)排除問(wèn)題。

5．網(wǎng)絡(luò)防護(hù)

會(huì)計(jì)電算化使整個(gè)財(cái)務(wù)信息系統(tǒng)置身于互聯(lián)網(wǎng)中，因此可以利用網(wǎng)絡(luò)的防護(hù)功能增加系統(tǒng)的安全性。首先對(duì)網(wǎng)絡(luò)進(jìn)行分級(jí)管理，拒絕非法用戶的訪問(wèn)；其次，利用加密技術(shù)確保數(shù)據(jù)的安全；最后，還可以利用防火墻和入侵檢測(cè)系統(tǒng)，完善電腦報(bào)警設(shè)置，保證內(nèi)部網(wǎng)絡(luò)的安全。

（三） 以案例分析軟硬件防護(hù)功能的重要性

1．基于防火墻的安全通信

某大學(xué)成立新校區(qū)以后，為了便于統(tǒng)一管理，需將新老校區(qū)的網(wǎng)絡(luò)進(jìn)行互聯(lián)，形成資源共享、有機(jī)結(jié)合的整體。同時(shí)為保證局域網(wǎng)數(shù)據(jù)安全，采用了在兩校區(qū)之間建立虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）的方式。VPN是通過(guò)在兩個(gè)遠(yuǎn)距離局域網(wǎng)之間建立特殊通道來(lái)保證數(shù)據(jù)安全，按所使用的設(shè)備可將之分為三種類型：路由式VPN、交換機(jī)式VPN、防火墻式VPN。

該大學(xué)利用防火墻式VPN實(shí)現(xiàn)兩校區(qū)的互聯(lián)，達(dá)到Internet承載下兩校區(qū)服務(wù)器之間的安全訪問(wèn)，網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。

圖1 基于防火墻VPN的網(wǎng)絡(luò)結(jié)構(gòu)

2．基于中轉(zhuǎn)站的安全通信

在內(nèi)網(wǎng)與外網(wǎng)之間加設(shè)數(shù)據(jù)交換的中轉(zhuǎn)站，保證內(nèi)網(wǎng)安全，常見的如前置機(jī)方式。前置機(jī)是一種放在局域網(wǎng)外的服務(wù)器，主要目的是分離內(nèi)外網(wǎng)。當(dāng)用戶從外網(wǎng)訪問(wèn)內(nèi)網(wǎng)數(shù)據(jù)時(shí)，用戶實(shí)際訪問(wèn)前置機(jī)數(shù)據(jù)，以此隔離外網(wǎng)訪問(wèn)與內(nèi)網(wǎng)服務(wù)器，從而達(dá)到隔離外網(wǎng)用戶對(duì)后臺(tái)核心數(shù)據(jù)直接訪問(wèn)或修改的目的，網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

如圖2所示，外網(wǎng)用戶要訪問(wèn)財(cái)務(wù)服務(wù)器的數(shù)據(jù)進(jìn)行查詢或繳費(fèi)，必須通過(guò)前置機(jī)，而不允許直接訪問(wèn)。首先外網(wǎng)用戶的訪問(wèn)請(qǐng)求進(jìn)入前置機(jī)，前置機(jī)收到請(qǐng)求指令，分析后依次通過(guò)防火墻和交換機(jī)，再?gòu)膬?nèi)網(wǎng)服務(wù)器提取相應(yīng)的數(shù)據(jù)，完成指令。在防火墻階段，會(huì)過(guò)濾網(wǎng)絡(luò)訪問(wèn)，只允許符合安全策略的訪問(wèn)通過(guò)防火墻，保護(hù)網(wǎng)絡(luò)安全。

圖2 基于前置機(jī)的網(wǎng)絡(luò)結(jié)構(gòu)

另一種情況是經(jīng)允許和授權(quán)的指定專網(wǎng)用戶如銀行等，與內(nèi)網(wǎng)的交互。這種情況下通常采用銀行前置機(jī)，指定用戶和服務(wù)器都可對(duì)前置機(jī)的數(shù)據(jù)進(jìn)行讀寫操作，從而進(jìn)行交互。

（四） 構(gòu)建高素質(zhì)的專業(yè)化會(huì)計(jì)隊(duì)伍

在財(cái)務(wù)信息化中，人仍然作為主要因素，單位要加強(qiáng)培訓(xùn)，個(gè)人本身要時(shí)刻保持安全意識(shí)和良好的職業(yè)道德，遵守各種操作制度，提升業(yè)務(wù)素質(zhì)，減少失誤，提高工作質(zhì)量。

1．提高財(cái)會(huì)工作者道德素質(zhì)

財(cái)會(huì)工作者身兼高校經(jīng)濟(jì)活動(dòng)的服務(wù)者和管理監(jiān)督者雙重身份，每天面對(duì)多種數(shù)據(jù)，而這些數(shù)據(jù)的安全則需要相關(guān)工作者既有過(guò)硬的專業(yè)知識(shí)，又必須要有非常充足的法律修養(yǎng)，才能確保信息的安全性和穩(wěn)定性，促進(jìn)高校經(jīng)濟(jì)活動(dòng)的健康發(fā)展。

2．提高財(cái)會(huì)工作者計(jì)算機(jī)意識(shí)

隨著計(jì)算機(jī)科技的高速發(fā)展，財(cái)務(wù)信息化要求財(cái)會(huì)工作者在擁有專業(yè)知識(shí)的同時(shí)還必須掌握計(jì)算機(jī)技術(shù)。因此，財(cái)會(huì)工作者應(yīng)該革新思想，重視將知識(shí)結(jié)構(gòu)從傳統(tǒng)會(huì)計(jì)到電算化會(huì)計(jì)進(jìn)行轉(zhuǎn)變，成為復(fù)合型人才，適應(yīng)社會(huì)的發(fā)展需求。

3．加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)

當(dāng)今時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)被大量應(yīng)用于各個(gè)行業(yè)，財(cái)務(wù)行業(yè)也日趨網(wǎng)絡(luò)化。這樣的條件下，財(cái)會(huì)工作者作為非常關(guān)鍵的信息使用者，需在思想上引起重視，應(yīng)懂得計(jì)算機(jī)網(wǎng)絡(luò)會(huì)計(jì)的分析設(shè)計(jì)技術(shù)和網(wǎng)絡(luò)安全防范技術(shù)，便于更好的把握信息的精準(zhǔn)性，穩(wěn)定性。只有每個(gè)工作人員的安全意識(shí)提高了，才能更有效的保證財(cái)務(wù)信息安全。

三、結(jié)束語(yǔ)

本文剖析了財(cái)務(wù)信息化環(huán)境下存在的幾類安全隱患，并針對(duì)這些隱患提出了相應(yīng)的防范措施。希望本文的研究能夠?yàn)樘岣哓?cái)務(wù)信息化的安全性提供有益參考，更希望有越來(lái)越多的學(xué)者參與這方面的研究，加強(qiáng)完善財(cái)務(wù)信息化系統(tǒng)服務(wù)財(cái)務(wù)的宗旨。

[1] 王繼紅. 淺議會(huì)計(jì)電算化與會(huì)計(jì)人員素質(zhì)的提高[J]. 科技創(chuàng)新與應(yīng)用, 2014(3): 240.

[2] 黃健軍. 會(huì)計(jì)電算化的舞弊與對(duì)策[J]. 現(xiàn)代經(jīng)濟(jì)信息, 2013(22): 220.

[3] 于玲. 淺談電算化會(huì)計(jì)對(duì)傳統(tǒng)會(huì)計(jì)職能的影響[J]. 經(jīng)理管理者, 2014(1): 241.

[4] 梁紅俊. 關(guān)于我國(guó)企業(yè)會(huì)計(jì)電算化發(fā)展趨勢(shì)的探究[J]. 時(shí)代金融, 2013(12): 8.

[5] 王海紅. 會(huì)計(jì)電算化對(duì)會(huì)計(jì)工作方法的影響[J]. 中外企業(yè)家, 2013(12): 171-172.

[6] 文武. 會(huì)計(jì)電算化系統(tǒng)的兼容性及可操作性問(wèn)題研究[J]. 新經(jīng)濟(jì), 2013(29): 85-86.

Study on Security of Financial Information in University

LIU Yan YANG Tie-xian WANG Bing

(University of Electronic Science and Technology of China Chengdu 610054 China)

With the prevalence and development of computer and information technology, financial industry continues to reform and innovate itself as other industries do. In order to be adapted to the needs of social and economic development, information technology changes its traditional accounting mode, making itself more effective and more accurate. But meanwhile, the complex internet environment and the special characteristics of the financial information pose new threat to the financial security, which is likely to impact the financial safety and therefore hinder the development of the whole industry. This paper focuses on the significance of the maintenance of software and hardware with regard to the security management, illustrated by the example of finance department in a key university.

information technology; security; data

2014-05-08

中央高?；究蒲袠I(yè)務(wù)費(fèi)項(xiàng)目“加強(qiáng)財(cái)務(wù)管理適應(yīng)國(guó)庫(kù)集中支付制度”(ZYGX2011J138).

劉燕（1987-）女，電子科技大學(xué)計(jì)劃財(cái)務(wù)處工作人員；楊鐵銑（1972-）男，電子科技大學(xué)計(jì)劃財(cái)務(wù)處工作人員；王兵（1972-）男，電子科技大學(xué)計(jì)劃財(cái)務(wù)處工作人員.

G64; F233

A

10.14071/j.1008-8105(2014)06-0109-04

編輯 張 莉