《财务信息管理系统的安全风险及防范.doc》由会员分享,可在线阅读,更多相关《财务信息管理系统的安全风险及防范.doc(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、财务信息管理系统的安全风险及防范 ,Economicamp;TradeUpdateMidjournalsSum。No136June。2009 :。 财务信息管理系统的安全风险及防范 庄永军 (淮北矿业集团资金管理结算中心,235000) 【摘要】信息管理技术是现代企业在市场竞争中取胜的法宝,财务信息管理系统是信息管理的主要内容之一,它在给企业带来机遇 的同时也带来了风险,本文首先阐述了财务信息系统的概念及其重要作用,其次分析了影响财务信息系统安全的各种因素,最后提出 了防范风险的具体措施. 【关键词】财务信息;风险;安全;防范 在信息时代,信息管理技术是企业在市场竞争中取胜的法 宝,目前发达国
2、家多数大企业都走上了这条信息管理之路.财 务信息管理系统是信息管理的主要内容之一,它在给企业带来 机遇的同时也带来了风险,影响财务信息系统安全的因素存在 于系统运行的每一个环节,如何解决财务信息系统安全问题成 为企业需要解决的新课题。 一 ,集团公司财务信息管理系统概述 财务信息管理是国家综合经济管理部门和企业经营者为提 高决策水平和管理效率,运用现代信息技术和管理手段,以财 对企业财务信息进行收集,整理,分 务管理模型为基本方法,析,预测和监督的活动。企业运用先进的信息技术手段,可以 改造企业固有的,落后的业务流程和财务运作模式,充分利用 和挖掘自身优势,及时转变财务信息管理理念和管理手段,
3、建 立灵敏的财务信息反馈机制,提高企业核心竞争力,使企业在 市场竞争中立于不败之地。 目前各界对财务信息管理重要性的认识普遍提高,在2006 年12月颁布的企业财务通则中将”财务信息管理”列为财 务管理的六大要素之一,由此可见财务信息管理的重要性.财 务信息管理是企业财务管理的要素与基础,具有涉及面广,综 合性强等特点,它贯穿企业财务管理的全过程.实施信息化财 务管理,企业可以利用网络实现财务监控和远程会计处理,借 助财务管理软件开展基础性财务管理工作,可以减少人为因 素,逐步实现财务管理标准化,制度化,规范化.信息化财务 管理是现代企业财务管理的发展方向,其内涵远远大于会计电 算化. 信息作
4、企业的一项重要资本,决定企业在市场竞争中的 成败,信息安全自然不容忽视.财务信息系统的安全风险是指 由于人为的或非人为的因素使得财务信息系统保持正常稳定运 行状态的能力减弱,主要表现为信息失真,泄露,系统无法正 常运行等。真实”,”完整,”准确”是财务信息的基本 要求,关系到财务报告质量,影响着企业管理决策。企业在追 求效益最大化的同时应加强对财务信息风险的防范,通过加强 财务信息管理,建立风险监控机制和预警机制,可以有效规避 和化解企业财务风险。 二,影响财务信息管理系统的因素 1,财务信息系统固有风险 固有风险主要表现在信息存储,处理,传递过程中的不确 定性.非法使用者通过不正当的渠道取得
5、口令后进入系统,非 法读取信息或恶意修改,删除,破坏等。财务信息存储介质由 原来的纸张介质转变为光,电,磁介质后,这些介质所承载的 信息能不留痕迹地被修改和删除,在保存中容易受到温度,湿 度,磁场,震动等影响,且易于复制,容易造成信息资料的失 真和丢失. 2,不可抗力风险 不可抗力因素一般不会出现,但它的破坏性很强,一旦发 生可能对系统产生毁灭性打击,给企业造成巨大的经济损失. 如地震,火灾等会导致整个系统的损毁。 3,人为损坏 计算机系统的操作人员对硬件设备的不正确操作能引起系 统的损坏.例如在没有退出操作系统的情况下直接关闭电源, 造成数据丢失,文件损坏等.别有用心的人出于某种目的毁坏 硬
6、件设施,扰乱系统运行,传播病毒,木马等,影响系统的正 常运行。 4,财务信息泄露 系统用户或数据保管人员把本企业财务信息泄露给竞争 对手;非法用户利用不正常手段窃取或篡改企业重要机密的行 为;操作人员通过非法修改,删除信息等损坏计算机系统的方 式达到掩盖舞弊行为和获取私人利益的目的,也是构成系统安 全风险的一个因素. 5,财务信息的非真实,完整性风险 信息系统中的电子数据没有传统会计下的字体鉴别,签字 盖章等鉴别手段,电子数据在存储及网络传递过程中被修改, 窃取,伪造,删除等可以不留痕迹,传统的确认手段在网络环 境下失去作用.网络系统的开放性和动态性加大了审计取证难 度,加剧了财务信息失真的风
7、险,操作人员出于特定目的故意 篡改程序或者信息文件,或者不按操作规程或非法操作系统, 会直接致使财务信息不真实,不可靠. 6,会计从业人员的技术性风险 网络环境下对信息的要求较传统会计有了很大的提高, 甚至要求财务报表即时生成,正因为数据处理具有即时性的特 点,错误一旦发生就会在短时间内迅速蔓延,使得账簿,报表 及分析报告失真.计算机系统对不符合逻辑,不合情理的事项 缺乏判断能力,在信息处理过程中,直接按照录入的数据输出 结果。会计人员计算机应用水平也是影响系统安全的因素. 7,病毒破坏 ? 156? 病毒具有破坏力强,传播速度快等特点,常在某个特定的 ; ;时代经贸2009。6月中旬刊总弟,
8、6期?_?-??-? ?-?? 条件下破坏计算机系统,是危害计算机系统最为重要的因素. 病毒不仅能破坏,窃取数据信息,而且可以对硬件系统产生破 坏.如病毒通过超频,加电压破坏CPU,显卡,内存等;病毒 改动显频”使显卡因超负荷工作而烧坏;病毒还能对主板, 显示器及其他硬件造成破坏。 8,黑客攻击 黑客使用非法捕获个人信息,尤其是口令,系统设置等, 而后窃密或对系统进行破坏.即时消息功能,电了邮件和木马 程序也是黑客常用的手段,一些木马程序能骗开杀毒软件,在 后台记录用户操作,窃取用户信息。 三,风险防范 1,增强风险防范意识 财务信息风险存在于财务管理工作的每一个环节上,必须 将风险防范贯穿于
9、财务管理工作的始终,风险管理需要全员参 与,只有全体员工都能重视风险防范才能把风险控制在最小的 限度内。企业领导应重视对信息系统安全的管理,提高员工的 综合素质,使其能够自觉遵守各种规章制度和操作规程,减少 差错,提高系统安全意识和风险防范的自觉性,培养知识结构 全面的网络系统管理人员,及时发现并解决系统的安全隐患. 2,加强硬件防护 严格检查进入机房人员的身份是否合法,杜绝无关人员接 触各种设备。为计算机系统配置不间断电源,关键设备应配置 备份电源,增强计算机防磁,抗干扰的能力,配备温度,湿度 调控系统.服务器应采用双磁盘工作,以保证一块硬盘发生意 外时由另一块硬盘接替工作。不得带电拔插各种
10、外部设备;对 于支持热插拔的设备应确定其停止工作时插拔. 3,建立健全各项制度 健全的制度是系统安全运行的基本保障,明确系统中各 岗位的职责范围,做到不相容职务分开设置,各岗位之间有一 定的牵制作用.系统的维护人员和系统管理员无权处理日常业 务,会计业务处理人员不能进行系统维护。制定操作员访问系 统的标准,操作规程;明确规定各个操作员进入系统后执行程 序的顺序,数据文件的使用要求,以及处理系统偶发事故的操 作要求:制定数据文件的处置标准,对数据文件保存,复制, 删除等做出规定;记录各用户的操作活动,定期交主管人员审 查,及时了解各用户使用系统的情况. 4,限制功能设置 实行用户权限分级授权管理
11、,按照网络化财务系统业务的 需求设定各操作岗位,明确岗位职责和权限,并通过为每个用 户进行系统功能的授权落实其责任和权限,限制各操作员的权 限,对部分高权限只能授予主管人员和系统操作员,登录系统 时先要进行身份识别.接收外部传来数据,要验明数据来源, 检查数据的合法性和正确性.对录入的数据进行合法性检查及 平衡校验,未经审核的数据或审核不符合要求的数据系统不予 通过。 5,有防毒,防黑措施 坚持使用正版软件,不用盗版或来历不明的软件;不要打 开和阅读来历不明的电子邮件;安装杀毒软件,及时升级,定 时对系统进行杀毒;服务器及各终端均要设置防火墙,关闭不 使用的端口。使用防火墙及入侵检测技术,检测
12、非法入侵者, 并拒之门外。系统管理员不仅要注重对特权用户的管理,且要 注匝对普通用户的管理,在设置用户时,按规定设置权限,组 别等。对重要资料(如系统用户名,IP地址等)都应采取保密 措施,防止泄露。加强对重要网络设备的管理,通过网关设置 限制外部用户访问内网,网内用户有条件地访问外网. 6,加强档案管理 对于所有的财务信息资料,都要建立严格的档案管理制 度。借阅档案须经财务主管审核批准,详细登记档案名称,使 用人,使用时间,目的及归还时间等,并由当事人签字确认, 以便日后核查,重要档案要采用两人或两个以上人员共同保 管.所有会计数据文件应做档案保管,并严格限制无权用户, 有权用户非正常时间等
13、的不正常接触。会计档案要采用两种或 两种以上的介质存储。对重要的数据,每种数据介质都要双备 份,并异地存放。电子档案要注意防磁,防火,防潮,防尘, 防复制等. 7,容灾,容错及应急机制 应用容灾技术,使财务信息系统在遭遇意外灾难时,仍能 保证系统数据的完整性,可用性,系统能从灾害的破坏中迅速 恢复正常运行,从而保证企业关键业务的连续性.系统中增设 额外的硬件,软件,电源作为系统的后援,系统中增加自检, 诊断功能,在系统硬件发生故障时,自动切换至备用硬件。任 何安全防护技术均不能阻止所有的安全威胁,网络安全是个动 态的过程,将防护,检测和响应组成整体,才是完整的安全策 略.信息系统中应安装入侵检
14、测系统,及时发现入侵事件和潜 在的威胁,一旦检测到入侵事件,立即启动应急机制,应急机 制应明确规定应对非法入侵的程序和措施,如断开网络连接, 报警,记录事件,恢复系统等. 8,提高会计人员综合素质 由于会计人员技术性风险的存在,网络环境下的会计从业 人员除了具备会计知识以外,还应当具备一定的计算机和网络 信息技术,能熟悉地操作财务软件及解决常见的故障.企业应 有计划地组织会计人员开展继续教育和培训工作,改善会计人 员的知识结构,不断进行知识更新,除了提高财务业务素质以 外,还要提高会计人员的计算机及网络应用能力,培养既懂财 务又懂计算机的复合型会计人员。 出版。 l57? 参考文献: ,财政部企业司企业财务通则解读,中国财政经济出版社,Z007年 2,安徽省财政厅会计电算化教程,安徽大学出版社,2007年出版。