新時期財務信息管理系統漏洞存在的安全問題及對策

◆袁 超 付 濤

（上海金鼎軟件有限公司 上海 200003）

新時期財務信息管理系統漏洞存在的安全問題及對策

◆袁 超 付 濤

（上海金鼎軟件有限公司 上海 200003）

隨著信息化建設的發展和廣泛應用，財務信息管理系統是新時期下企業財務管理的改革和創新，它對企業的資源有效整合和資金管理起到了至關重要的作用，一定程度上優化了企業的經營管理。但是在目前這個階段，企業財務信息管理系統還存在一些問題，尤其是安全方面。因此，本文結合新時期財務管理信息化建設的意義，深入分析其問題，并認真探討解決問題的對策，進而優化財務信息化管理。

財務；信息管理系統；安全；問題；對策

0 引言

隨著信息化和網絡化的快速發展，大量的信息化產品應用到了企業管理當中，而財務管理是企業管理的關鍵環節，財務信息管理系統則是企業發展的必然。但在現階段，企業管理的信息化還存在一定的問題，如果不能合理規避，將給企業帶來一定的風險。只有準確把握市場，調配各種資源，努力提升市場競爭力，才能規避風險，在機遇中尋求發展。

1 新時期企業財務信息管理系統的意義

1.1 可以將財務管理的空間拓寬

企業管理信息化，利用財務信息管理系統實現母子公司財務管理的集中處理和遠程控制，能夠非常方便地監控庫存量，使資金集中合理調配，提高使用率。另外，企業間也能夠第一時間完成上傳下達的任務，各個部門間通過利用網絡實施數據的集中管理，將財務管理的空間范圍拓寬。

1.2 保證了資金的安全

財務人員可以利用網上銀行系統完成款項劃撥操作，既節約了出門所耗費的時間和精力，也降低了錢財票據丟失的風險。同時，在系統上操作，網絡能夠記錄操作人員、時間和操作內容，便于日后的追溯，能夠促進規章制度的監督和落實，這在很大程度上提高了資金操作的安全性。

1.3 加快了業務流程的時間和效率

財務信息管理系統優化了企業的財務管理，實現了業務和財務的協同發展，縮短了時間差，部門間可以通過系統相互聯系，共享信息，改變以往部門之間溝通信息慢、不對稱的現象，加強了其他部門與財務部門的協同。財務部門利用網絡能夠發布很多重要信息，使其他部門能夠第一時間知悉，實現了財務管理的動態管理。

1.4 提高了企業財務的效能管理

（1）企業支付、結算實現了電子貨幣化

財務管理信息化的重要環節——電子貨幣，它最顯著的特點就是能夠在網絡上實現資金的自動劃轉，代替了以往現金、匯票和支票等方式，降低了成本，加快周轉周期。

（2）網頁數據化

企業財務信息管理系統將所有財務相關信息轉變成了網頁形式的數據，能夠隨時隨地供使用者查閱，代替了傳統的紙質數據等，另外，還能夠提供24小時持續提供服務，增強了時效性。

2 財務信息管理系統在應用中存在的問題

2.1 企業領導對財務信息管理系統建設不夠重視

一般情況下，企業領導對財務信息管理系統的認識僅限于表面，認為財務信息管理化就是計算機軟件開發編程的過程，是利用計算機代替人工，減輕財務人員的工作強度，是財務和計算機部門的事，認識不夠透徹，無法理解其意義及重要性，更沒有認識到一個完整的財務信息管理系統對企業發展的重要性。企業要想建立一個完善的財務信息管理系統，將是一項重大的工程，涉及到企業的管理模式、資金運轉以及經營理念等。

2.2 財務信息管理系統存在一定的安全風險

在企業財務信息管理系統應用的過程中，隨著利用率的提高，產生的安全問題也越來越明顯，具體表現在以下幾個方面：

（1）不確定性因素以及系統本身的制約性

在突發斷電或者電壓突發變大等情況，或者是在不可避免的自然災害情況下，可能會破壞計算機系統，進而可能造成財務信息管理系統數據丟失，存在一定的安全風險。

有些財務信息管理系統軟件兼容性差，適應性不強，抗計算機風險能力弱，計算機的安全性對財務信息系統的安全性起到了至關重要的作用。

（2）計算機網絡系統存在漏洞、病毒與入侵等問題

在財務信息管理系統借助網絡搜索相關信息時，難免會遇到系統漏洞、病毒的問題，這樣很容易導致系統數據丟失和泄露。另外，還會存在很多黑客采用非法手段，肆意地入侵財務信息管理系統，使得信息被泄露，系統受到破壞。

（3）系統中數據的保密性和安全性差

在企業使用財務信息管理系統中存在一些安全隱患，例如：實際操作中因為規章制度不完善或者監督力度不夠，有時會有玩忽職守的現象發生；人員缺乏計算機維護相關知識，缺乏保密性和安全性的防范意識；在財務信息管理系統中，如果不定期檢查系統，不及時備份，數據可能會丟失，在保管中也存在一定風險，要及時打印憑證、賬簿等。

2.3 缺乏專業人才

要想搞好企業信息化管理，要配備一定的專業人才。財務信息管理系統既需要財務專業知識，又需要計算機專業知識，能夠結合實際適時維護系統，解決遇到的各種問題，這種綜合性人才相對短缺。一般都是要么懂財務知識，要么懂計算機知識，但是二者均懂的人不多。同時財務信息化管理人才也需要一定的經驗積累，僅僅懂一些書面理論知識，不足以滿足財務信息化管理，這在一定程度上，阻礙了企業財務信息化管理的發展。如果企業領導不重視人才培養，實現企業信息化管理將是空談。

2.4 不能融合共享信息資源

新時期下，企業管理的根本是信息化管理。一般企業日常主要包括生產和銷售等經濟活動，主要體現在信息、物流與資金三者的有效統一，這就需要多個部門共同協作，利用財務信息管理系統實現資源共享，單靠某一個部門是遠遠不可能實現的。但是，在大多數企業中，存在部門間的協作不夠暢通，出現信息不對稱，數據不透明，口徑不統一的現象，難以實現有效控制。另外，每個部門都是單獨的個體，都以各自利益為前提，存在一定的人為性，加之利用的軟件不統一，使得信息整合度和利用率不高，這些都會影響企業整體的快速運轉，影響企業第一時間做出決策。

3 應對策略

3.1 做好企業信息化建設的宣貫，讓領導重視

采用多種方式對企業信息化建設進行宣貫，加大宣傳力度，提高公司領導對財務信息管理系統的認識水平，能夠對此有正確的認知、正確的決策。為了企業的長遠發展，公司領導能夠從此重視企業信息化管理，避免因人員認識片面等問題而影響了企業的發展。宣貫可以在公司例會、年會等關鍵會議上，利用會前分享的方式，對公司關鍵崗位和骨干員工進行信息化方面的培訓，從認知上進行提高，做好基礎宣貫，逐步加深培訓內容，從而培養信息化復合型人才。

3.2 重視財務信息管理系統的安全防護，降低存在的風險

（1）加強對計算機的有效管理

財務信息管理系統的運行依托于計算機，所以要對計算機進行定期維護和保養，有問題及時解決，確保正常運轉，避免因計算機問題造成系統數據的丟失和毀壞。

（2）加強對系統的安全管理

財務信息管理系統的運行需要在網絡環境下進行，容易遭到破壞，因此，要加強對財務信息管理系統的安全防范，建立有效的權限設置和訪問控制等，可以安裝防火墻和殺毒軟件，防止黑客非法入侵和病毒入侵。

（3）建立完善的規章制度，規范管理

在企業使用財務信息管理系統時，要建立相關的規章制度，包括操作人員及系統方面。其中要求對財務信息管理系統的數據及時進行備份，形成財務檔案，并且標注時間和內容，避免因人員疏忽而丟失，造成無法挽救的損失。另外，為提高網絡環境下財務信息管理系統的安全防御能力，企業內部要實施內部控制，分級授權管理，實名責任制，強化審計線索。

3.3 培養和儲備復合型人才

人才是企業發展的關鍵。企業要重視人才機制，既要善于引進人才，也要重視內部培養和儲備。在信息化建設上，要建立相匹配的用人機制，鼓勵部分人員發揮專長，成功轉型。對于財務信息管理系統來說，企業要培養既懂計算機知識又懂財務的復合型人才，便于對系統進行財務參數設置，同時進行計算機系統維護。根據企業實際，組織各種培訓，逐步提高知識水平，提高效率。

3.4 結合企業實際，開發貼切度高的軟件系統

軟件系統開發依托于企業，發展方向就是企業的需求。所以，軟件公司會主動加強與企業的聯系，根據實際，開發出適合企業實際發展的財務信息管理系統，不斷優化其功能，實現數據共享，推進企業信息化建設，提高企業的管理水平。

4 結語

企業只有不斷推進信息化建設，才能不斷提高其管理水平。財務信息管理系統的應用需要不斷總結經驗、推廣，不斷優化網絡功能，及時解決計算機系統存在的問題，規避系統存在的安全風險，加強宣貫，加強公司領導重視，才能使財務信息管理系統最大程度地發揮其作用，給企業帶來更大的成功和希望。

[1]李昌遠.試論如何實現企業財務管理計算機信息化[J].青春歲月，2012.

[2]張東麗.我國中小企業財務信息化管理研究[J].中國商貿，2011.

[3]孟祥武.論企業財務管理信息化[J].現代經濟信息，2010.

[4]姚勁梅.關于企業財務管理信息化的思考[J].行政事業資產與財務，2011.

圖5 用戶菜單訪問情況統計

（5）用戶數據修改情況統計

對用戶修改數據情況的統計，將新增、修改、刪除分別統計，縱軸為修改次數，橫軸為用戶賬戶，不同顏色表示修改的數據表名，如圖6所示。實際應用中重點關注圖中展示的用戶名稱及其圖示的變化情況。

圖6 用戶數據修改情況統計

3 結束語

通過對營銷系統原始日志進行清理，形成適合數據挖掘的日志格式，并提取了主要安全行為特征，通過一系列挖掘語句和統計聚合函數的應用，形成了可視化的數據挖掘分析圖形，對于直觀地展示系統安全狀態起到了較好的效果，也可以根據安全模型生成安全警報，幫助安全管理人員快速發現隱患并進行處理。

后續可以利用時間序列的數據挖掘方法，對單個用戶的行為穩定程度進行分析，設計合理的告警門限，當用戶行為發生較大變化時進行提示，便于開展調查，將隱患消除在起始階段。

參考文獻：

[1]Malek Ben Salem，Shlomo Hershkop，A Survey of Insider Attack Detection Research [J].Insider Attack and Cyber Security，vol.39，pp.69-90（2008）.

[2]Ted E.Senator，Henry G.Goldberg，Alex Memory，etc.Detecting insider threats in a real corporate database of computer usage activity[M].KDD '13 Proceedings of the 19th ACM SIGKDD international conference on Knowledge discovery and data mining，ACM New York，NY，USA 2013.

[3]H Eldardiry，E Bart，J Liu，J Hanley，Multi-Domain Information Fusion for Insider Threat Detection [J].Security and Privacy Workshops IEEE，May 2013.

[4]Pallabi Parveen，Evolving insider threat detection using stream analytics and big data [D].Dallas:The University of Texas，Dec 2013.