購物車(0)
財務安全信息模板(10篇)
時間:2023-06-05 15:42:51
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇財務安全信息,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
1、數據損壞風險。數據安全風險包括:物理損壞和惡意破壞。由于公司財務系統是基于網絡模式運行,所有重要數據都儲存在服務器中,一旦服務器出現問題不能正常運行,對于財務數據會帶來不可挽回的損失,而整個財務系統將會受到毀滅性打擊。另外,大量的數據通過網絡傳輸,也可能會造成財務信息的丟失、泄漏。
2、信息失真風險。由于財務業務的特殊性,在沒有實施會計電算化時,可以通過會計人員的筆跡,以及簽章的確認來判斷會計業務的真實性,但是實施了會計電算化后,有一部分的簽名和簽章用計算機處理了,無法判斷會計業務是由本人經手還是他人處理。這樣就使得手工環境下的內部控制機制受到了削弱。此外,操作人員的誤操作也是造成信息失真的重要原因之一。
3、非法入侵風險。在網絡環境下,電子符號代替了會計數據,磁介質代替了紙介質,在這個環境中一切信息在理論上都是可以被訪問到的,除非它們在物理上斷開鏈接。因此,財務部門在實現網絡化管理的同時,很難避免非法侵擾。一些人可能出于各種目的,有意或無意地損壞網絡設備,網絡(局域網、廣域網)上對管理系統進行黑客程序的測試運行等活動,對系統造成極大破壞。黑客活動比病毒破壞更具目的性,幾乎覆蓋了所有的操作系統,包括財務系統。
三、財務信息安全風險的規避
1、要強化網絡安全防范的意識,使得每一個操作人員都有強烈的安全風險意識。要針對用戶安全意識薄弱,對網絡安全重視不夠,安全措施不落實的現狀,開展多層次、多方位的信息網絡安全宣傳和培訓,真正提高用戶的網絡安全意識和防范能力。此外對于財務人員來說還應該加強職業操守的教育,使財務人員牢固樹立保密的意識,杜絕由財務人員本身的原因,造成財務信息的泄漏。
2、優化財務流程設計,強化財務審批流程。由于財務信息的特殊性,所以對外公示財務信息一定要統一口徑,對于財務業務流程應突出審計環節,對會計風險的控制始終貫穿于會計核算的每個環節。長久以來人們已習慣于按固有本職工作內容處理信息,在信息采集、信息共享方面未建立整體的管理規則,因此,需要企業業務從以職能劃分轉變為以流程優化重組,達到各部門信息共享、統一。
3、加強財務人員登錄管理。由于在財務系統中系統所認的只有登錄名,所產生的憑證、報表、其他單據都是以登錄名為署名,一旦他人用財務人員的登錄名進入系統后,就取得了相應的權限,這將帶來極大的隱患。所以財務人員要保管好自己的登錄密碼,盡量使用復雜的密碼。如果財務人員不能正常行使職能,應該在軟件中使用權限委托的方式,而不是直接告訴自己的登錄名和密碼。這點對于行使審計職能的操作員來說更為重要。
4、從軟件的角度來說,對于憑證和報表也使用數字簽名的功能,電子簽章的功能,以避免他人使用財務人員的登錄名進入財務系統,填制和篡改憑證和報表,從而給公司帶來損失。
目前實現數字簽名的方法主要有三種:一是用公開密鑰技術;二是利用傳統密碼技術;三是利用單向校驗和函數進行壓縮簽名。1991年,美國頒布了數字簽名標準DSS的安全性基礎是離散對數問題的困難性。數字簽名一方面可以證明這條信息確實是此發信者發出的,而且事后未經過他人的改動,因為只有發信者才知道自己的私人鑰匙,另一方面也確保發信者對自己發出的信息負責,信息一旦發出且署了名,他就無法再否認這一事實。通過數字簽名技術,有效的保障了信息真實性。
5、針對操作人員的誤操作,應該加強財務人員的計算機水平的培訓。杜絕由于操作失誤而帶來的會計信息失真的風險。
6、建立完整的日志記錄制度,對所有的操作人員的所有操作都應記錄在案。日志中至少應該包括操作員登入系統的時間,操作內容,以及下線的時間。如果特殊情況要修改已審核的記賬憑證,則盡量在軟件中保留修改的痕跡。
篇2
一、引言
隨著時代的發展,以及經濟水平的不斷提高,人們逐漸意識到了財務外包的重要性。公司在實行財務外包后,在享受其優越性的同時,也會面臨著一些風險。公司在實行財務外包后可能面臨的風險多種多樣,需要公司管理層深思熟慮。主要面臨的風險有三種,第一種為最為常見的外包決策戰略失誤風險;第二種為外包信息安全的風險;第三種風險為外包成本遠遠的超過了預期。因此財務外包策略在執行的過程中需要考慮到財務外包信息安全的風險以及對這些風險因素進行針對性的甄別,從眾多影響因素中挑選出風險因素最后再采取相應的措施來控制這些風險,以達到實行財務外包的公司在避免財務外包信息安全風險的同時,享受到其獨特的優點。
二、財務外包的信息安全風險的相關內涵
一般來講財務外包就是公司通過與承擔外包的公司也就是承包商簽訂詳細的合同或者協議,根據合同或者協議內容將本公司全部或者一部分的財務工作委托給承包商,在承包商依法履約其應有的義務后,支付其應有的報酬。如今越來越多的公司意識到財務外包的重要性,甚至把其當成有力的競爭手段。公司的管理層充分的意識到,如果不進行財務外包,那么公司很有可能在激烈的外部競爭中處于劣勢,以致予淘汰出局。財務外包在我國目前發展雖然有著廣闊的前景,但發展還是比較緩慢的,仍有較大的改進空間。許多公司對財務外包沒有完全放下顧慮,仍然對外包后存在的信息泄露風險存有一定的顧慮。
財務外包的信息安全風險也就是指,公司將財務進行外包后公司內一些與公司核心業務有關的重要信息和數據被無意或者有意泄露以及盜用的風險。眾所周知,一個公司的財務部門對財務部門的保密度比較高,并且在日常公司的運營過程中財務工作中會產生大量的內部信息,在這些信息之中好多信息對公司來說都是商業機密,如果在財務外包后這些重要信息發生了泄露,那么這對企業造成的損失將是難以估量的,尤其是這些信息被公司的競爭對手的得到,后果就更加不可想象了。因此與財務有關的各項業務一般都會保密,除非強制性披露的要求,否則這些信息是不會向外部透漏的,哪怕是公司一般的管理層有時候也要加以保密。
三、財務外包的信息安全風險的甄別
在實施財務外包決策的過程中,要結合公司自身的實際情況來甄別一些潛在的或者明面上存在的相關信息安全風險,在充分分析這些風險的來源、發生概率以及危害程度的基礎上,接著采取相應的手段和方式加以有效的控制,因此在此過程中,安全風險的甄別與控制對財務外包有著重要的影響,甚至在某種程度上可以決定著財務外包是否能夠成功。公司財務外包的信息安全風險主要有以下幾個方面:
第一、信息泄露的風險。信息泄露風險是公司財務外包所面臨的發生概率最大的信息安全風險。此風險的發生雖然有諸多因素引起的,但最主要的因素就是客戶公司重要信息或者數據的保密程度不夠,或者承包商在采取保密過程中所采用的保密措施不夠完善。因此外包商對于客戶的資料是否依據實際情況建立了比較嚴格的保密制度,對于承包商內部的員工是否明確了相關責任追究制度來避免信息泄露風險的發生。這些因素都會對承包商內部員工產生影響,進而會有承包商內部員工將其所接觸到的客戶信息泄露的可能。
第二、信息被丟失的風險。信息被丟失主要發生在信息傳遞以及信息處理時,有可能在外包過程中承包商的相關技術不夠完善或者不夠成熟,因此其相關技術在穩定性以及安全性上仍有不足之處。承包商在面對信息丟失事故時所采取的補救措施是否得當合理、采用補救和預防技術的時效性,這些因素處理的效率和效果都會在一定程度上對信息丟失產生重要的影響。
第三、信息被盜取的風險。發生此風險主要的原因在于外包商對于自己客戶的信息資料保護措施做得不夠好,相關保護制度不完善,以致于在保護制度或者措施上存在漏洞。因此公司進行財務外包時,承包商是否采取相應的措施來對客戶的信息建立起有效的管理制度,以及承包商專業團隊成員的整體素質情況等,這些因素實施的好壞,都會對企業信息被盜造成了重要的影響。另外,對信息進行承包的企業屬于服務性行業,這個行業的特點也決定了其內部員工的流動性也比較大,因此在人才流動的過程中也在一定程度上加大了所承包企業在信息經營過程中被盜的風險,而且這個風險不容易完全規避。
四、財務外包的信息安全風險的控制
若想進行全面而有效的控制,因此要結合公司所處的環境以及自身的特點,從外包的全過程入手,在整體全局上建立合適的控制機制,從而從全過程以及全方位的減少和防范財務外包后所帶來的不確定的各種信息安全風險,進而最大限度的為公司安全運營服務,公司在進行財務外包前要建立信息安全風險的相關防范機制,可以從以下三個方面來入手:
一、引言
隨著時代的發展,以及經濟水平的不斷提高,人們逐漸意識到了財務外包的重要性。公司在實行財務外包后,在享受其優越性的同時,也會面臨著一些風險。公司在實行財務外包后可能面臨的風險多種多樣,需要公司管理層深思熟慮。主要面臨的風險有三種,第一種為最為常見的外包決策戰略失誤風險;第二種為外包信息安全的風險;第三種風險為外包成本遠遠的超過了預期。因此財務外包策略在執行的過程中需要考慮到財務外包信息安全的風險以及對這些風險因素進行針對性的甄別,從眾多影響因素中挑選出風險因素最后再采取相應的措施來控制這些風險,以達到實行財務外包的公司在避免財務外包信息安全風險的同時,享受到其獨特的優點。
二、財務外包的信息安全風險的相關內涵
一般來講財務外包就是公司通過與承擔外包的公司也就是承包商簽訂詳細的合同或者協議,根據合同或者協議內容將本公司全部或者一部分的財務工作委托給承包商,在承包商依法履約其應有的義務后,支付其應有的報酬。如今越來越多的公司意識到財務外包的重要性,甚至把其當成有力的競爭手段。公司的管理層充分的意識到,如果不進行財務外包,那么公司很有可能在激烈的外部競爭中處于劣勢,以致予淘汰出局。財務外包在我國目前發展雖然有著廣闊的前景,但發展還是比較緩慢的,仍有較大的改進空間。許多公司對財務外包沒有完全放下顧慮,仍然對外包后存在的信息泄露風險存有一定的顧慮。
財務外包的信息安全風險也就是指,公司將財務進行外包后公司內一些與公司核心業務有關的重要信息和數據被無意或者有意泄露以及盜用的風險。眾所周知,一個公司的財務部門對財務部門的保密度比較高,并且在日常公司的運營過程中財務工作中會產生大量的內部信息,在這些信息之中好多信息對公司來說都是商業機密,如果在財務外包后這些重要信息發生了泄露,那么這對企業造成的損失將是難以估量的,尤其是這些信息被公司的競爭對手的得到,后果就更加不可想象了。因此與財務有關的各項業務一般都會保密,除非強制性披露的要求,否則這些信息是不會向外部透漏的,哪怕是公司一般的管理層有時候也要加以保密。
三、財務外包的信息安全風險的甄別
在實施財務外包決策的過程中,要結合公司自身的實際情況來甄別一些潛在的或者明面上存在的相關信息安全風險,在充分分析這些風險的來源、發生概率以及危害程度的基礎上,接著采取相應的手段和方式加以有效的控制,因此在此過程中,安全風險的甄別與控制對財務外包有著重要的影響,甚至在某種程度上可以決定著財務外包是否能夠成功。公司財務外包的信息安全風險主要有以下幾個方面:
第一、信息泄露的風險。信息泄露風險是公司財務外包所面臨的發生概率最大的信息安全風險。此風險的發生雖然有諸多因素引起的,但最主要的因素就是客戶公司重要信息或者數據的保密程度不夠,或者承包商在采取保密過程中所采用的保密措施不夠完善。因此外包商對于客戶的資料是否依據實際情況建立了比較嚴格的保密制度,對于承包商內部的員工是否明確了相關責任追究制度來避免信息泄露風險的發生。這些因素都會對承包商內部員工產生影響,進而會有承包商內部員工將其所接觸到的客戶信息泄露的可能。
第二、信息被丟失的風險。信息被丟失主要發生在信息傳遞以及信息處理時,有可能在外包過程中承包商的相關技術不夠完善或者不虺墑歟因此其相關技術在穩定性以及安全性上仍有不足之處。承包商在面對信息丟失事故時所采取的補救措施是否得當合理、采用補救和預防技術的時效性,這些因素處理的效率和效果都會在一定程度上對信息丟失產生重要的影響。
第三、信息被盜取的風險。發生此風險主要的原因在于外包商對于自己客戶的信息資料保護措施做得不夠好,相關保護制度不完善,以致于在保護制度或者措施上存在漏洞。因此當公司進行財務外包時,承包商是否采取相應的措施來對客戶的信息建立起有效的管理制度,以及承包商專業團隊成員的整體素質情況等,這些因素實施的好壞,都會對企業信息被盜造成了重要的影響。另外,對信息進行承包的企業屬于服務性行業,這個行業的特點也決定了其內部員工的流動性也比較大,因此在人才流動的過程中也在一定程度上加大了所承包企業在信息經營過程中被盜的風險,而且這個風險不容易完全規避。
四、財務外包的信息安全風險的控制
若想進行全面而有效的控制,因此要結合公司所處的環境以及自身的特點,從外包的全過程入手,在整體全局上建立合適的控制機制,從而從全過程以及全方位的減少和防范財務外包后所帶來的不確定的各種信息安全風險,進而最大限度的為公司安全運營服務,公司在進行財務外包前要建立信息安全風險的相關防范機制,可以從以下三個方面來入手:
第一,慎重選擇承包商。唯有慎重選擇外包商,才能在有效的降低財務外包的風險,這是第一步,同時這也是最關鍵的一步。在決定承包商之前,要詳細的了解承包商的信譽度,因為信譽是經過常年累月積累起來的,因此一般情況下信譽良好的承包商,因為它們不但保密工作做得好,并且各項技術也比較齊全,這些都是保證公司財務外包信息安全的物質基礎。并且要有幾個備選的外包商公司,來進行綜合的比較,擇優錄取。另外公司還需要時刻關注外包商的相關工作是否有相關合法的知識產權保護制度,這可以在法律層面保護公司的財務外包信息安全。
第二,與外包商簽訂相關的安全信息合同或者協議。為了保證公司財務外包信息的安全,公司應該與承包商簽訂詳細合理的信息安全協議,并且要合法的、詳細的列舉公司與承包商的權利和義務,嚴格控制承包商所擁有的權限,禁止其有越權的行為,并且在今后實施的過程中,要求承包商依法對信息安全做出承諾。在實施過程中若因為外包商的原因造成的信息泄露或者丟失進而對委托方造成經濟損失的,那么在合同或者協議中要明確規定具體相關的補償辦法和措施來對委托方進行相應的補償。由于財務外包還屬于新興的產業仍處于發展初期,因此目前仍無完善的法律法規對其進行規范和約束,這也是財務外包發展所面臨的障礙。目前我國的信譽體系仍比較脆弱,并不能完全滿足其快速發展的需求,因此唯有訂立嚴格周全的信息安全協議才能在法律層面為公司的信息安全提供最堅定的保障。
第三,合理選擇財務外包的內容。公司在決定進行財務外包前,應對財務業務鏈上的每個環節進行檢查,優先將一些非核心的業務外包出去,隨著公司與外包商逐步建立起合作信任關系后,在考慮外包一些重要的、核心的業務。對于一些外包后信息安全存在較大風險的業務,公司要慎重考慮,最好不進行外包。這樣公司選擇的余地更大,更能充分利用外包商的核心優勢,并且還可以起到分散風險的作用。
五、總結
本文在分析財務外包的信息安全風險的內涵的基礎上,給出了財務外包的有關定義。并結合其定義來對財務外包的信息安全風險進行甄別:有信息泄露的風險、信息被丟失的風險以及信息被盜取的風險。針對這些風險采取了一些風險控制的措施:有慎重選擇外包商、與外包商簽訂相關的安全信息合同或者協議以及合理選擇財務外包的內容。通過這些措施可以有效地減少財務外包的信息安全風險,并未財務外包的發展做出相應的貢獻。
參考文獻:
[1]羅艷.財務外包風險規避的探討[D].江西財經大學,2010.
[2]柳金葉.企業財務外包風險管理研究[D].東北石油大學,2011.
[3]雷振紅.高校信息安全服務外包風險的管理與控制[D].昆明理工大學,2009.
篇3
【中圖分類號】TP311【文獻標識碼】A【文章編號】1672-5158(2013)02-0057-02
一、單位網絡信息安全現狀
經過多年的信息化建設,財務結算中心已建成千兆互聯到終端桌面,所使用的主要財務軟件如下:
(1)中原油田財務結算系統(安裝該系統僅為查詢歷史財務數據)。
(2)中國石化資金集中管理信息系統。
(3)中國石化會計集中管理信息系統。
(4)中原油田關聯交易系統。
在網絡應用方面,與日常工作密切相關的財務應用系統相繼投入使用,網絡信息安全系統的建設卻相對薄弱。
1、網絡系統安全現狀
近幾年,隨著局域網規模的日益擴大,網絡結構及設備日趨復雜,網絡病毒、黑客攻擊、網絡欺騙、IP盜用、非法接入等現象,給中心網絡的管理、維護帶來了前所未有的挑戰。中心網絡、員工微機經常受到油田局域網以及來自大網非法連接的攻擊,IP地址沖突時有發生。ARP攻擊導致網絡中斷、甚至癱瘓;病毒、蠕蟲、木馬、惡意代碼等則可能通過網絡傳遞進來,造成操作系統崩潰、財務數據丟失、泄漏。而各類財務軟件的日常應用,必然要進行各種外連和數據傳遞。如何進行安全地連接網絡、傳輸數據,日益成為中心亟待解決的問題。
2、網絡信息監控狀況
對于互聯網出口的外發信息無法進行記錄和查詢,缺乏有效的信息審計和日志保存手段,從而不能有效貫徹和滿足油田以及國家關于企業網絡安全管理制度的落實。
來自網絡的安全威脅日益增多,很多威脅并不是以網絡入侵的形式進行的,這些威脅事件多數是來自于油田局域網內部合法用戶的誤操作或惡意操作,僅靠系統自身的日志功能并不能滿足對這些網絡安全事件的審計要求,網絡安全審計通常要求專門細致的協議分析技術,完整的跟蹤能力和數據查詢過程回放等功能實現。
3、上網行為管理能力
中心網絡資源能否合理使用,帶寬是否會被非工作需要的網絡應用占用,日常工作所需的網絡流量和穩定性能否得到保障,當網絡出現擁堵,或者異常流量、異常攻擊爆發時,是否能及時分析、排查流量使用情況并幾時進行有效控制,這些狀況主要表現為:網絡用戶非工作范疇(用于娛樂)的網絡應用流量極大,如:各類多線程P2P軟件下載、大型網絡游戲、P2P類的音視頻、網絡電視等應用。
二、中心網絡信息安全建設目標
為了確保信息資產的價值不受侵犯,保證信息資產擁有者面臨最小的安全風險和獲取最大的安全利益,使包含物理環境、網絡通訊、操作系統、應用平臺和信息數據等各個層面在內的整體網絡信息系統具有抵御各種安全威脅的能力,我們制訂了如下的安全目標:
1、保密性
確保各類財務數據不會泄漏給任何未經授權的個人和實體,或供其使用。
2、可用性
確保財務信息系統正常運轉,并保證合法用戶對財務信息的使用不會被不正當地拒絕。
3、完整性
防止財務信息被未經授權的篡改,保證真實的信息從真實的信源無失真地到達真實的信宿。
4、真實性
應能對通訊實體所宣稱身份的真實性進行準確鑒別。
5、可控性
保證財務數據不被非法訪問及非授權訪問,并能夠控制使用資源的人或實體對資源的使用方式。
6、不可抵賴性
應建立有效的責任機制,防止實體否認其行為。
7、可審查性
應能記錄一個實體的全部行為,為出現的網絡安全問題提供有效的調查依據和手段。
8、可管理性
應提供統一有效的安全管理機制和管理規章制度,這是確保信息系統各項安全性能有效實現的根本保障,同時合理有效的安全管理可以在一定程度上彌補技術上無法實現的安全目標。
三、中心網絡信息安全建設方案
通過上述對中心網絡的現狀及安全需求分析,并結合油田網絡安全與信息安全的具體要求,我們建議實施部署網絡出口防火墻系統、網絡日志審計系統、網絡訪問內容和行為審計系統。
1、網絡出口防火墻系統
防火墻是基于網絡處理器技術(NP)的硬件高速狀態防火墻,不僅支持豐富的協議狀態檢測及地址轉換功能,而且具備強大的攻擊防范能力,提供靜態和動態黑名單過濾等特性,可提供豐富的統計分析功能和日志。能有效實現過濾垃圾殘包、攔截惡意代碼,保護網絡數據和資源的安全。
將防火墻透明接入到原有網絡中的出口處,采用應用層透明的方式對用戶對外網的訪問進行應用層解析控制。在防火墻上劃分兩個區域:外網區域、內網區域,防火墻可以橋接入到原有的用戶網絡中,或者接到核心交換機上。保證所有的數據流經過防火墻以便完成應用層的過濾。
2、部署網絡訪問內容和行為審計系統
安全審計系統是一個安全的網絡必須支持的功能特性,審計是記錄用戶使用計算機網絡系統所訪問的全部資源及訪問的過程,它是提高網絡安全的重要工具,對于確定是否有網絡攻擊的情況,確定問題和攻擊源很重要。而行為審計系統通過對網絡信息內容的完全監控和記錄,為網絡管理員或安全審計員提供對網絡信息泄密事件進行有效的監控和取證;也可以完全掌握員工上網情況,比如是否在工作時間上網沖浪、網上聊天、是否訪問內容不健康的網站、是否通過網絡泄漏了機密信息等等,對于不符合安全策略的網上行為進行記錄,并可對這些行為進行回放,進行跟蹤和審計。
3、部署網絡日志審計系統
日志審計系統為不同的網絡設備提供了統一的日志管理分析平臺,打破了企業中不同網絡設備之間存在的信息鴻溝。系統提供了強大監控能力,實現了從網絡到設備直至應用系統的監控。在對日志信息的集中、關聯分析的基礎上,有效地實現了全網的安全預警、入侵行為的實時發現、入侵事件動態響應,通過與其它安全設備的聯動來真正實現動態防御。
部署日志審計系統主要功能:1)海量的數據日志:系統全面支持安全設備 (如防火墻,IDS、AV)、網絡設備 (如Router、Switch)、應用系統 (如WEB、Mail、Ftp、Database)、操作系統 (如Windows、Linux、Unix) 等多種產品及系統的日志數據的采集和分析。2)安全狀況的全面解析:幫助管理員對網絡事件進行深度的挖掘分析,從不同角度進行網絡事件的可視化分析。
四、結束語
篇4
關鍵詞:金融機構;信息系統;軟件系統;網絡系統;安全性
隨著金融系統信息化改革的逐步推行,計算機與網絡系統已大規模的應用在金融領域。但是應該看到,信息系統為金融機構帶來便捷與利益的同時,也帶來了前所未有的安全問題。在這種情況下,加強對金融機構信息系統的監管及風險防范就變得十分重要。
財務公司作為非銀行業金融機構,不僅每天都有大量的資金流動,還貯存著各種極其敏感的客戶資料,甚至涉及很多高度的商務機密,所以財務公司的內部網絡安全問題非常重要,同時由于互聯網的飛速發展和黑客數量的不斷增長,這個問題也變得越來越急迫。
馬鋼財務公司網絡信息系統的結構,根據可能出現的風險,提出不同的的網絡安全需求。其中按不同功能的子系統的網絡劃分為資金系統網、賬務系統網、辦公自動化網絡和測試系統網中,以生產用資金系統網與賬務系統網作為最高級別的安全需求,采取比較高級別的安全策略。資金系統網、賬務系統網與其他網絡相隔離,其內部也要實施高等級的安全策略;測試系統網雖然與生產網是相互隔離的,但測試系統網中存放著大量從資金系統與賬務系統中拷貝過來的生產信息。所以,測試系統網也應采取中等級別的安全策略。
具體來說,財務公司的信息系統安全需求與針對需求采取有效措施主要有以下幾個方面:
1 合理的網絡結構與安全措施
合理地規劃網絡邊界和功能,合理地設置網絡接口,對各功能子網特別是生產網進行詳細的VLAN劃分,以便于隔離問題,使結構可管理,接口可控制。在網絡邊界處部署防火墻與入侵預防系統ips。見圖1-1馬鋼財務公司網絡實施方案。整個網絡組建在馬鋼集團網環境內。物理通過2個防火墻組成一個相對獨立的網絡環境。并對不同的功能區域設置不同的Vlan,形成了不同功能區域之間的網絡隔離。
2 用戶身份鑒別
在資金系統與賬務系統中通過服務器電子證書(CFCA)與用戶名、密碼雙重認證,對終端和用戶的合法性進行鑒別認證,防范非法用戶假冒合法用戶進入系統。
3 數據通信加密
所有使用公共網絡的成員單位與馬鋼財務公司間通信必須使用虛擬專用網vpn,以防止數據泄密,同時防止遭受來自通信線路上的非法截獲、分析、篡改、重放等。財務公司與銀行間通信使用專線,徹底避免了數據泄密。
4 病毒防范
建立網絡病毒防范體系,采用先進的網絡防病毒技術,通過趨勢科技殺毒軟件對全系統實施網絡防范病毒策略,在全網絡范圍內對病毒進行有效的預防、隔離,并在保證數據完整性的前提下清除病毒。對病毒庫與安全策略進行定期更新,保證殺毒軟件可以防范最新的病毒與惡意攻擊手段。
5 數據備份
當系統出現不可逆的災難性故障時數據備份就顯得極其重要。建立備份和恢復機制,對重要的網絡設備、業務系統和數據進行備份,在遭受攻擊時,能夠盡快地恢復網絡系統服務和數據環境,將損失降到最低程度。馬鋼財務公司采用了Symantec BackupExec和NetBackup產品系列作為信息系統數據集中備份解決方案。設備上使用了一臺IBM 3650M3作為備份服務器,負責整個備份系統的管理,包括備份策略的制訂、備份工作的調度、備份數據庫的保存、數據恢復等。備份服務器通過光纖連接磁帶庫,并通過備份軟件NBU進行磁帶庫中機械手和磁帶驅動器的控制。其他有備份需求的服務器上安裝備份軟件的客戶端軟件,根據備份策略中定義的備份時間,自動將數據通過網絡備份到磁盤和磁帶庫,無須人工干預。在需要時可以自己恢復或者通過備份服務器由管理員進行恢復。除了安裝備份軟件的客戶端軟件外,根據數據庫服務器需要安裝了備份軟件的數據庫(Oracle)軟件,可以實現在線數據庫備份。
為保障業務的持續性和信息系統數據安全,除了將數據備份存儲在本機介質中外,還建立了一套異地數據備份機制將數據備份到異地容災中心。
通過一系列的成熟的措施,馬鋼財務公司構建一個相對安全的系統環境,最大限度的保證了資金與信息的安全。但隨著信息技術的發展,計算機病毒與網絡攻擊手段也在不斷變異更新。預防措施的更新都是在系統安全受到威脅而發生的,要想做到系統長期的穩定,必須實時的關注系統防護的最新趨勢,不斷引入系統防護新措施,調整系統的安全策略。
參考文獻
篇5
1財務信息安全的重要性
在現代經濟結構中,企業是帶動經濟發展的重要部分,網絡時代更是讓這一點更加明顯,它打破了企業傳統的管理模式和財務模式,實現了企業的信息化,在這樣的大環境下,財務信息化代替了傳統手工記賬,大大便利了財務信息的處理。財務信息化系統是在不改變財務本質的基礎上,將計算機運用到會計領域,是一種按照現代企業管理的思想設計的基于計算機技術的現代企業財務信息系統。通過這樣的信息化系統能夠實現財務數據的多元化管理,大大減輕了財務人員的工作量,運用計算機程序軟件,避免了手工記賬容易出現的數據運算錯誤,為財務信息使用者實施經濟管理與決策提供及時、準確、系統的信息。但財務信息化在提高工作效率的同時,由于處于網絡環境下,也增加了財務數據泄露的風險。只有解決了能導致財務信息安全問題的因素,才能真正意義上地實現財務信息化的目的,促進企業又好又快的發展。近年來,企業由于信息泄露引起損失的事件層出不窮,這些都在警示我們信息安全的重要。一個企業經濟的核心部分就是財務數據。通過財務信息可以反映企業的財務問題,企業的運營狀況以及未來的發展方向,特別在當今經濟全球化的環境下,隨著企業規模和涉及行業的擴大,財務信息更是起到越來越重要的作用,部門負責人可以清楚地獲悉自己所管理的部分的完整、全面、細致的記錄,財務人員將財務信息最后編制成資產負債表、利潤表、現金流量表等供企業管理者和其他使用人員查閱,管理者通過對財務信息評估及時發現管理上存在的問題,根據企業的資金運行,更好地策劃企業的經濟業務活動,投資者通過財務信息獲取企業的財務狀況和經營成果,以便進行合理投資決策。
2影響財務信息安全的因素分析
21互聯網安全風險
首先,外面互聯網安全隱患。為了滿足在多個地區處理事情的需求,公司財務軟件大部分與外部網絡連接,運用非常先進的互聯網來達成對財務信息軟件的不同區域的低花費、高效率地查詢和利用。可是也隨之產生很多安全隱憂:①不具有權限的訪問:比如財務工作者運用的電腦安全級別太低,被黑客運用,冒充身份攻破公司財務信息軟件實施不當操作或者謀取秘密材料。例如,從美國國防部網站被改頭換面到我國163網站的崩潰,從微軟公司的開發藍圖被竊取到美國總統克林頓的信用卡信息被盜,這些都可以看出黑客對于互聯網系統的危害。②信息安全性無法保證:財務工作者在利用外部互聯網登錄財務信息軟件時,信息在互聯網傳送過程中被違法分子截留,進而造成重要信息的泄露。例如,工作人員在對企業的信用卡賬號進行網上輸入時,信用卡信息則可能會被不法分子從網上將其攔截,了解了該信用卡信息之后,他便可以利用此號碼在網上進行各類支付以及違法交易。③惡意代碼:電腦病毒是造成互聯網數據存在安全隱患的關鍵要素,病毒利用客戶段計算機傳遞到公司局域網,可導致財務信息軟件的無法正常使用、信息丟失等諸多不良結果。
22企業運用的財務軟件存在的問題
企業財務軟件是財務信息化運作的基礎,不同的財務軟件有不同的操作方法,有些操作的功能相同,但操作過程卻有區別。一個設計合理、功能優越的財務軟件可以從功能和內容讓使用人員相互牽制、互相監督,這樣有利于加強人員管理,起到最基礎的堵塞漏洞的作用。在應用軟件的研制過程中,對容易出現問題的軟件功能、細節等地方,全靠研究人員的多方面思量,如果考慮不周就有可能使得實際工作中出現與預想不同的結果,進一步導致整個結果有差錯。如果有這種問題存在的話,在實際處理中,當輸入原始資料,在軟件程序的控制下就會出現多個結果,這樣的問題直接影響到數據的真實、安全。在財務信息化深入企業之后,財務軟件成為了財務信息化的運行平臺,我國常用的財務軟件就是用友軟件和金蝶軟件。在這兩個軟件中也有不足之處。比如,用友軟件中,在填制采購及銷售訂單時,系統不要求輸入采購或銷售人員等相關經手人員。這樣的問題對多數要求按業務員進行訂單匯總的企業來說,不輸入采購或銷售人員信息,不便于匯總管理,而且如果日后出現問題,也對落實責任非常不利。而在金蝶軟件中,相比用友軟件的能夠增加、刪除、修改等功能,金蝶K3中只有查詢權和管理權,對用戶的職能設置不夠完美,安全性不高。
23企業內部控制存在失效的可能性
在企業中,財務的目標、技術手段、財務的職能、功能范圍以及系統層次等都會由于財務信息系統的特征而發生較大的改變,企業的內部控制也在逐漸的與財務信息系統的變化相適應,但是,其適應的過程是一個不斷完善的過程,目前的企業內部控制并不健全,內部控制存在失效的可能性。例如,企業財務人員在對數字字段進行錄入的過程中由于疏忽大意輸錯了字段,利用鍵盤輸入時按錯了鍵盤,對數據進行了顛倒,使用無序的代碼或者是從錯誤的憑單上轉錄數據等,這些問題實質的發生了卻無人察覺,從而使得財務信息系統的數據出現失真的問題。
3預防及解決財務信息安全問題的方法
31完善企業財務軟件的開發,做好系統維護工作
財務軟件是財務人員實際工作中自己操作的,也是財務信息錄入后處理的重要部分,軟件的好壞、是否適合本企業的財務操作,功能是否完善都會影響到財務信息的安全。因此,完善企業財務軟件的開發要在日常做好軟件的升級、更新、系統維護等,配備功能完善的財務電算化軟件,請專門的軟件研發人員定期對系統進行檢查,以確保財務軟件處于正常、良好的運行狀態。
32提高安全管理意識和能力
不斷加強對財務信息系統控制管理人員的安全管理教育,提高財務信息系統操作過程中的安全意識。向工作人員介紹現代網絡環境對財務信息網絡造成的重要安全威脅,加深系統操作管理人員對加強安全管理的認識,提高工作人員對系統內部控制的風險防范意識。注意培養財會人員和管理人員的綜合業務素質,聘請專業財會管理人員對企業財務部門的工作人員進行指導培訓,加強計算機信息網絡知識的教育,提高工作人員計算機網絡技術理論水平和操作實踐水平,保證財務信息系統操作管理人員能夠熟練掌握計算機網絡信息技術,不斷適應廣闊多變的外部網絡環境。另外,相關財務從業人員在進行財務信息系統相關活動中存在道德風險,開放的網絡需要更為嚴格、嚴謹的安全法律法規,因此網絡財務信息系統需要有特別針對性的安全控制制度,這需要在將來的探索實踐中逐步實現。
33加強對財務信息系統控制管理的監督
篇6
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)34-0024-01
傳統的財務信息數據管理傳輸方式往往在時間性、效率上較差,導致管理成本高,信息不準確[1],嚴重影響了財務管理工作的正常運行。隨著高校辦學規模的不斷擴大及網絡技術的普遍應用,網絡財務得到了廣泛的發展。財務信息被存儲在數據庫中,用戶在自己的權限范圍內可以不受地點時間的限制通過網絡訪問相關財務數據,高效性、及時性、共享性成為網絡財務的主要特點。雖然網絡環境下財務信息管理系統,為高校財務工作各方面提供了信息綜合平臺,提高了財務工作效率,保證了數據傳輸的及時性和準確性,但在網絡的環境背景下,財務信息系統也必然要面臨網絡安全風險。如何做好在網絡環境下財務信息數據安全風險的防范工作,成為高校財務信息管理者所要面對和解決的重要問題之一。
1 網絡環境下高校財務信息的主要安全風險因素
網絡財務是計算機與網絡信息技術在財務信息管理領域的具體應用,其信息安全風險除來源于網絡信息技術的一般風險外還有財務數據的特定風險[2],主要有以下幾個風險:
1)計算機軟硬件系統風險。計算機軟硬件是保證財務信息數據安全的基礎,也是財務系統運行的基本條件,但其對財務數據安全的影響卻未引起財務管理者足夠的重視。計算機硬件長期不進行更新維護,缺乏日常保潔,增加了硬件發生故障的風險。一旦硬件設備系統發生故障,就會導致財務網絡系統及財務軟件無法正常運行,造成財務信息數據丟失的風險,給財務工作帶來災難性的后果。同樣,軟件系統對財務信息的安全也很重要。軟件系統不夠成熟,運行不穩定,升級更新緩慢,相關漏洞未及時彌補,安全性和保密性不夠,用戶權限設置不合理,這些都可能直接影響網絡財務的運行效率,給財務信息安全造成隱患。
2)計算機病毒風險。在網絡技術的快速發展的今天,計算機病毒的破壞能力也在不斷提高,成為網絡安全最大的威脅因素之一。計算機病毒具有隱蔽性高、傳播速度快、自我復制強、難以防范等特點。高校財務信息數據通過網絡在客戶端與服務器端進行數據的相互交換和傳遞,極大增加了財務系統感染計算機病毒的風險,而一旦財務系統感染病毒勢必會威脅到整個財務網絡系統和數據安全。
3)非授權訪問風險。在網絡環境背景下,一些人可能會出于各種目的,避開計算機系統訪問控制機制,對財務網絡設備及數據資源進行非正常使用,擴大或改變權限訪問財務數據信息,在網絡上對財務數據進行修改,以及通過網絡對財務系統進行攻擊,這些將會對財務網絡系統及數據造成嚴重破壞。
4)內部控制風險[3]。任何數據和系統都需要有效的管理機制,財務信息管理不斷網絡化,但針對其相應的內控管理制度卻還不夠健全。各種人為破壞及失職行為,比如偽造、竊取、刪除等,都不能得到有效的控制與責任追究。
5)數據存儲及傳輸風險。財務信息化后,電子數據成為財務信息管理的主要對象。對數據備份不夠重視,沒有形成定期備份的制度,會導致數據丟失后無法還原。或者,對數據存儲介質管理不當,造成消磁或損壞,數據丟失。另外,電子數據除存儲備份外還要在客戶端和服務器之間相互傳輸,大大增加財務數據被截取、x改的可能,導致數據不準確或丟失。
2網絡環境下財務信息化安全對策及防范
計算機網絡的迅猛發展,網絡財務信息安全成為重要的問題。為了確保網絡環境下財務信息數據的安全,在實際工作中需注意以下幾點:
1)提高運用網絡安全技術,確保網絡運行安全。除了運用法律和管理手段外,管理者還需依靠網絡技術方法來實現保護網絡背景下財務信息的安全可靠。目前,網絡安全控制技術主要有:防火墻技術、訪問控制技術、用戶識別技術、網絡安全漏洞掃描技術、網絡反病毒技術、入侵檢測技術等[4]。
2)加強對計算機病毒及人為破壞防范。建立合理有效的計算機病毒與人為破壞防范體系和制度,及時發現計算機病毒入侵情況后,采取有效的手段阻止計算機病毒的進一步傳播和對系統的破壞;同時提高工作人員防范意識,遵守相關防范措施,制定具體的、切實可行的管理措施,防止人為因素的破壞。在安全防范體系中,每個責任主體都必須遵守安全行為規則,防范體系才可能運行好,才可能達到預期的防范效果。
3)完善財務信息內部控制制度。建立健全財務信息內部控制管理制度,明確內部崗位分工,利用崗位之間相互聯系相互制約關系,確保財務信息數據安全可靠,防止對數據和軟件的破壞性修改。加強計算機軟硬件管理與維護制度,涉及財務信息數據的計算機做到專機專用,未經允許不得使用財務專用計算機。針對財務信息數據的操作須經主管批準,不得擅自進行。定期檢查計算機軟硬件系統,做好檢查記錄,對易損、易耗件經常更換,保證系統正常運行。故障發生時,及時解決問題,做好財務信息系統維護工作。
4)加強財務數據管理,做好數據備份。完善財務數據管理制度的制定,規范財務信息管理內部控制,明確各崗位職責,確保高校財務信息數據的安全可靠性。定期對財務信息數據進行備份,提高數據的完整性,避免由于硬件的故障而導致數據的丟失。對財務備份數據安排專人負責保管,未經領導批準不得對備份數據進行任何的操作。同時對存儲備份數據的光盤、硬盤、磁盤等存儲介質,按照相關規定的管理辦法進行歸檔存放,并做好防火、防潮、防磁等工作,謹防外部因素造成對財務數據的破壞。
參考文獻:
[1] 孫瑾.談高校網上財務信息的安全與對策[J].科技信息,2010(18):474-475.
篇7
中圖分類號:F23 文獻標識碼:A
收錄日期:2011年12月21日
一、網絡財務信息安全面臨的主要風險
網絡財務是信息技術在財務領域的具體應用,其信息安全風險來源于信息技術的一般風險和財務數據的特定風險,主要表現在以下幾個方面:
1、硬件系統風險。任何計算機軟件都必須通過硬件來運行,硬件是軟件的承載體。硬件系統發生故障時,將會導致網絡系統癱瘓,軟件無法運行,業務處理停滯,給網絡財務使用者造成很大損失。如果硬件中的存儲系統發生嚴重損壞,所有數據將會面臨全部丟失的風險,給財務工作帶來災難性后果。
2、軟件系統風險。網絡財務軟件的正常運行,除需要硬件系統保障外,還需要操作系統、中間件和數據庫等軟件的支撐,這些軟件系統是否存在漏洞,技術上是否成熟,運行是否穩定,直接影響財務信息安全程度和網絡財務軟件運行效率。
3、數據存儲風險。在網絡財務環境下,財務信息存儲介質發生變化,由紙質轉化為磁介質,所有財務數據以電子格式存儲于服務器端,財務數據更易容丟失、被盜和損壞。此外,隨著網絡財務軟件的應用,財務數據量不斷增多,存儲設備還面臨著容量不夠的風險。
4、信息傳遞風險。網絡財務運行過程中,財務信息需要借助計算機網絡在客戶端和服務器端之間不斷地進行數據傳遞和交換,并且這種數據傳遞和交換都是以廣播的形式進行。理論上,任何聯網計算機都有可能獲取網絡資源,竊聽網絡信息,這就大大增加了財務信息被截取、泄露、篡改的風險。
5、病毒破壞風險。隨著網絡迅速發展,計算機病毒的破壞能力不斷提高,破壞范圍不斷擴大,并且呈現出了傳播速度快、自我復制強、難以防范的特點,給財務信息安全造成了極大的威脅。
6、非法入侵風險。在網絡環境中,任何聯網計算機在理論上都是可以被訪問到的,除非它們在物理上斷開鏈接。一些人可能出于各種目的,利用黑客程序,破壞網絡系統,進行黑客攻擊。而且,黑客攻擊比病毒破壞更具目的性和破壞性。
7、人員責任風險。計算機管理制度不健全,管理人員技術不精或者責任心不強;防范措施不嚴格,對網絡系統未進行必要的安全配置和管理,對網絡信息缺乏嚴密的監控;財務系統用戶不注意口令保護,口令密碼設置簡單或長期不更改,致使別有用心的入侵者輕易冒充合法用戶進入系統,竊取、篡改、破壞數據。
二、網絡財務信息安全風險防范措施
網絡財務信息安全風險防范是一項系統工程,需要財務和信息部門密切配合,通力協作,采取防范措施,增強系統抵御風險的能力,確保網絡財務信息安全。
1、強化網絡安全意識。加強網絡信息安全重要性宣傳和教育,使全體員工尤其是財務和信息部門人員在思想上時刻樹立網絡安全意識,深刻認識網絡安全對于財務工作的極端重要性,自覺維護良好的網絡安全環境,抵制一切影響網絡安全的行為。
2、加強網絡安全技術防范。網絡安全技術防范是指綜合運用防火墻、數據加密、數字簽名和安全協議等專業技術對整個財務網絡系統采取全方位的安全防范措施,建立多層次的網絡安全體系,提高網絡安全防護等級,提供全面的網絡信息安全保護。加強網絡安全技術防范,要保障資金投入,確保網絡安全防范設備及時安裝到位;要注重培養網絡安全技術專業人才,不斷提高網絡安全技術人員的業務能力和工作水平。
3、加強財務數據管理。定期對財務數據進行異地備份,指定專人負責保管備份介質,未經審批不得對備份數據進行恢復操作。嚴格限定財務數據共享范圍和權限,只允許其他系統在限定的范圍內對財務數據庫進行只讀操作,不得賦予改寫權限。嚴格數據錄入審核,防止錯誤數據進入財務系統。妥善保管操作系統、數據庫和財務軟件等各類密碼,增強密碼設置安全程度,不定期進行更改,防止別人盜用密碼進行非法操作。
4、加強財務信息化安全制度建設。建立健全和有效落實財務信息化安全制度是保障財務軟件正常運行、財務數據安全完整的關鍵。這些制度包括財務系統軟硬件管理和維護制度、系統管理人員和操作人員崗位責任制度、文檔資料保管和使用制度、計算機病毒防范制度、操作權限分配規定、計算機和網絡安全事故應急預案等,通過財務信息化安全制度建設,盡可能減少由于內部人員道德風險、系統資源風險、計算機病毒風險和意外風險造成的危害,確保網絡財務系統安全運行。
5、加強對計算機病毒和黑客的防范。通常情況下,網絡財務系統運行于單位內網之中。防范計算機病毒和黑客的最有效方法就是實行內外網嚴格分離制度,內外網之間進行物理隔離,使得外網計算機不能登錄到內網。此外,在內網中的所有計算機都要安裝殺毒軟件,定期更新病毒庫,及時查殺計算機病毒。加強網絡安全監控,及時發現網絡中的異常情況,果斷進行處理,凈化網絡環境。建立訪問列表,嚴格限定聯網計算機對財務服務器的訪問控制。
6、加強身份認證和權限控制。建立更為科學的CA數字認證體系,采用數字證書方式進行登錄,確保系統數據的完整性、保密性和行為的不可否認性,杜絕數據在傳送過程中可能出現的非法訪問、非法篡改、假冒偽造等安全問題。嚴格進行權限分配和控制,根據實際工作需要,合理確定財務人員和管理人員操作權限。嚴格授權操作管理,未經批準,不相關人員不得接觸財務軟硬件系統,確保財務系統和數據信息的安全。
主要參考文獻:
篇8
中圖分類號:F232 文獻標志碼:A 文章編號:1673-291X(2015)25-0103-02
近年來,隨著我國高等教育事業的發展,高校信息化建設取得了長足進步。高校財務信息化為高校的管理和決策提供了有力的支撐,已成為高校提升財務工作效率和財務服務水平的重要推手。財務信息化建設的目標已由提高財務核算工作效率向提升財務管理和服務水平轉變,各高校普遍建成了面向全校師生的網上報賬、信息查詢、跨部門業務辦理等財務綜合服務體系。然而,隨著財務信息化建設的迅猛發展和財務綜合服務體系的推廣應用,財務信息系統存在的安全風險開始凸顯。
一、高校財務信息系統存在的安全風險
1.硬件設備的風險。財務信息系統的硬件設備主要指服務器、網絡設備、存儲設備等。硬件設備是財務信息系統的物理載體,是財務信息系統穩定運行的先決條件,硬件設備的損壞會給整個系統造成嚴重損失。但在日常工作中,硬件設備的配置和運行環境經常得不到財務部門的重視。
硬件設備常見的配置問題包括:計算、內存、網絡設備帶寬等與業務需求不匹配,形成瓶頸導致系統運行效率低下。服務器運行環境無法滿足要求,如運行存放場所的供電、降溫、除塵、防磁等配套設施不完善,極易引起硬件設備損壞。
2.網絡攻擊和感染病毒的風險。隨著財務信息化服務體系的建立,財務信息系統需要面向全校師生員工提供各類財務服務,隨之而來的,以非法取得或篡改數據為目的的入侵行為難以避免。由于通用操作系統本身存在的漏洞和信息系統管理制度的不完善,財務信息系統遭受網絡攻擊和感染病毒的風險一直存在。
3.數據損失風險。在財務信息化系統中,數據是系統的核心,財務管理的過程就是對數據的生成、分類、分析和利用的過程。各種不可控因素造成的數據損失,將會對財務信息系統造成致命的損失。高校財務數據存在的問題包括:缺乏科學合理的備份機制,缺乏財務電子數據的管理制度,電子數據的存儲條件損壞等。
4.財務人員錯誤操作的風險。高校財務人員知識結構和業務能力存在差異,部分財務人員對信息系統的安全風險認識不足。個別財務人員對財務信息系統無意或有意地錯誤操作,將會引起財務信息失真或造成財務數據的重大損失。
二、財務信息系統安全防護體系建設
1.加強硬件平臺運行維護管理。硬件平臺是財務信息系統的基礎,高校應對硬件平臺的管理給予足夠的重視。在搭建信息系統硬件平臺之前,應根據預先規劃的業務種類和業務規模對硬件設備的架構和配置做科學設計,硬件平臺要充分考慮財務信息系統在計算、運行、存儲、網絡等方面的需求,避免因為某一環節出現瓶頸,降低整個系統的運行效率。硬件平臺的設計方案可由財務部門提出業務需求,請信息化領域的專家進行充分論證,避免盲目建設造成損失。硬件平臺的運行環境應滿足持續供電、恒溫恒濕、防磁微塵等方面的要求,在日常生產中,還應實時監控硬件平臺的運行狀態,對運維系統給出的提示和報警信息及時給予分析解決,規避可能出現的硬件故障風險。
2.科學規劃財務信息系統網絡架構。建立科學合理的網絡架構對財務信息系統安全防護具有重要意義,往往可以起到事半功倍的效果。規劃財務信息系統應考慮的問題包括:(1)確保財務核心數據的安全,最好做到專網運行,與因特網物理隔離;(2)財務核心數據應與財務網上服務數據實現互通,保障財務查詢、網上報賬等業務數據的雙向傳輸;(3)對校園網訪問財務網上服務應用進行必要的監控。
下面提出一種財務信息系統網絡架構設計方案(見下圖)。
3.完善財務數據保護策略。制定財務數據保護策略,建立財務信息系統災后快速恢復能力。應包括:(1)應用虛擬機高可用(HA)解決方案。建立虛擬服務器快速恢復能力,當一個集群中的某一臺物理主機出現故障,虛擬機可以自主偵測并遷移到另外的物理主機上,實現業務不中斷。(2)完善數據備份策略。備份范圍應包括:文件系統備份,數據備份,日志備份。備份方式應包含:在線備份、離線備份、完全備份、增量備份等。同時根據各應用系統的工作特點和安全防護級別合理選擇備份方式和操作頻率。(3)建立熱備與容災系統。隨著高校財務管理和服務水平的提高,高校財務部門希望具備在遭受突發災難后財務應用不間斷服務的能力,可建立財務數據熱備與容災系統。建立一個異地的數據系統,該系統是本地主系統關鍵數據的一個可用鏡像,異地數據系統通過同步或準同步的方式與本地主數據系統保持一致,當主系統遭遇意外損失,應用系統可以迅速切換到異地熱備容災服務器,保證財務應用不間斷。
4.建立健全財務信息系統內部控制制度。建立健全財務信息系統內部控制制度可以有效規避系統安全風險,提高財務信息系統的可靠性。
(1)財務信息系統權限管理制度。為規避財務人員操作失誤引入的風險,防范內部人員舞弊行為,應建立和完善財務信息系統權限管理制度。根據各崗位的職責,設置相應的系統使用權限,從系統上做到不相容崗位隔離,建立關鍵業務環節多級審核機制,保障會計信息真實、可靠。(2)財務信息系統運行維護制度。建立財務信息系統硬件和軟件的運行維護制度,規范系統操作和管理,及時發現和規避硬件故障和非法訪問引入的風險。定期檢查并記錄服務器、存儲、交換機、防火墻以及隔離網閘等硬件設備的運行狀態;定期檢查硬件設備、數據庫的日志,排查系統隱患;梳理財務應用系統操作流程,編制應用系統使用指南和注意事項。(3)財務電子檔案管理制度。建立與財務信息化發展水平相適應的財務電子檔案管理機制,規范財務電子檔案的采集、歸檔、存儲等流程。根據電子檔案的特殊性質,還應定期對財務電子檔案做完整性和一致性驗證。
5.加強財務人員綜合能力培養。財務人員的職業操守和業務能力對財務信息系統安全防護水平的提升至關重要,高校應注重對財務人員道德素質和信息化工作能力的培養。加強財務人員對財務信息化相關知識的學習,了解財務信息系統的基本架構和工作原理,具備財務信息系統安全防護的意識,掌握財務信息系統安全防護的基本技術,有效地提升財務信息系統的安全防護水平。
參考文獻:
[1] 王婷婷.我國高校信息化機制建設研究[D].長沙:湖南大學碩士學位論文,2006.
篇9
一、引言
隨著醫院的不斷發展和國家醫療衛生管理要求的不斷提高,對計算機信息網絡系統的依賴性也表現得越來越強,但是計算機信息網絡系統所表現出來的先進性,以及所帶來的勞動效率提高和生產成本降低,并不能掩飾其存在的種種安全隱患。特別是醫院的財務信息網絡系統中運載著大量重要的數據和信息,無論是硬件、軟件、環境、人為方面的影響都可能導致這些數據遭受破壞,將給醫院帶來無法挽回的損失。因此保護醫院財務信息系統的數據安全,構建信息系統安全平臺成為了醫院信息化建設的當務之急。
二、醫院財務信息系統的安全問題
1. 財務信息系統安全內容
從醫院財務信息系統的層次結構及系統資源組成來分析,完整的財務信息系統安全的主要內容包括如下四個方面:(1)實體安全,即系統設備及相關設施(具體包括環境、建筑、設備、電磁輻射、數據介質、災害報警等)運行正常,系統服務適時。(2)軟件安全,即操作系統、數據庫管理系統、網絡軟件、應用軟件等軟件及相關資料(包括軟件開發規程、軟件安全測試、軟件的修改與復制等)具有完整性。(3)數據安全,即醫院信息系統擁有的和產生的數據或信息完整、有效,使用合法,不被破壞或泄漏。具體方法包括用戶識別、存取控制、加密、審計與追蹤、備份與恢復。(4)運行安全,即醫院信息系統資源和信息資源(包括電源、環境氣氛、人事、機房管理出入控制、數據與介質管理、運行管理和維護)使用合法。
2. 計算機病毒
不管是良性病毒,還是惡性病毒,都有破壞或干擾計算機系統正常運行的危害。
(1)破壞醫院財務信息系統資源大部分病毒在發作時直接破壞計算機系統的資源,如改寫主板BIOS中的數據、改寫文件分配表和目錄區、格式化磁盤、刪除義件等,導致程序或數據丟失,甚至于整個計算機系統和網絡系統的癱瘓。(2)占用醫院信息系統資源。有的病毒雖然沒有直接的破壞作用,而通過自身的復制與用大量的存儲宅間,甚至于占滿存儲設備的剩余窄間,以此影響正常程序及相應數據的運行和存儲。計算機病毒的運行要搶占內存空間、接口設備和CPU運行時間等系統資源,即使沒有嚴重的破壞行為,也會影響正常程序的運行速度。
三、醫院財務信息系統的安全防范措施――以住院處為例
隨著醫院住院處各項業務不斷地整合到醫院信息系統內,使得數據量急劇膨脹,數據的多樣化以及數據安全性、實時性的要求越來越高,這些都要求醫院住院處財務信息系統必須具有高可用性和可靠性。
1. 樹立正確的住院處財務信息系統安全指導思想
要想建立好計算機信息系統的安全體系,首先要有明確的指導思想。要把信息系統安全作為一個涉及國家、醫院重大利益的產業來看待,在選擇醫院財務信息安全產品時要立足于國產化產品,不能把國家、醫院信息化的安全依托到國外產品的保障上。
建立一套科學的管理制度是從制度上避免環境和人為因素造成計算機故障的有力保證,也是計算機系統安全之必需。(1)建立和健全各項管理制度,保證計算機有良好的運行環境,避免非常事件對系統的侵害。(2)嚴格按照各種操作規程處理業務,對財務信息系統數據文件的屬性進行控制。文件是存儲醫院信息系統數據的形式,為了保證醫院財務信息數據信息的安全,一些重要的數據文件可定義為專用文件、只讀文件或對文件的操作權限及用戶加以限制。(3)密碼權限管理要真正分開,操作員密碼要定期或不定期加以更換,以防泄密或被他人盜用。
2. 完善網絡通信設備。
(1)中心機房中的核心交換機選用高性能交換機,采用冗余方案,兩臺核心交換機之間運用多條千兆光纖捆綁互連,運用防止網絡中路由器或L3交換機故障的HSRP協議,實現熱備份。當其中任何一臺出現故障而不能工作時,另一臺正常工作的交換機可以平滑地把業務流量全部接管過來,從而保證關鍵應用的持續運行。(2)分布在各樓層的接人交換機與中心交換機之間通過互為冗余的兩條千兆光纖鏈路互連形成骨干連接。(3)中心機房的核心交換機在管理上運用VLAN技術。將服務器規劃到一個專用網段,工作站也要根據地理位置或部門屬性規劃到另外的網段,配置交換機相應的網絡管理軟件,對IT資源、流量、數據包進行有效地監控。
3. 計算機病毒的查殺
最好采用將醫院的HIS、RIS、LIS、PACS局域系統與Internet網絡從物理上完全割斷的分布方案,這樣可以有效地規避風險。采用將醫院的HIS、RIS、LIS、PACS系統與Internet網絡融為一體的方案,必須增加必要的防范外部黑客、病毒的攻擊手段,比如:網絡版殺毒軟件、硬件防火墻、入侵檢測、桌面管理軟件。
就目前的實際情況來看,嚴格的預防措施只能盡可能減少計算機病毒傳染的可能,還不能完全避免病毒的感染。感染病毒后,有效的檢查和殺除手段就是安裝合適的正版殺毒軟件并經常及時升級。殺病毒軟件具有檢查是否感染上某種或某類病毒的功能,有的殺毒軟件能查出幾百種甚至幾千種病毒,并且大部分殺病毒軟件可同時殺除檢查出來的病毒。殺病毒軟件在清除計算機病毒時,一般不會破壞系統中的正常數據。國內用戶常用的殺毒軟件有瑞星殺毒軟件、江民殺毒軟件、金山毒霸、卡巴斯基殺毒軟件、諾頓殺毒軟件、360安全衛士等。
“魔高一尺,道高一丈”查殺病毒技術和編制病毒的技術在相互較量中提高。一種新的病毒出現后,相應的殺毒技術和殺毒軟件就會出現。綜合采取預防與查殺措施,就能保護計算機及網絡財務信息系統安全運行。
參考文獻:
篇10
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)21-5077-02
Research of Security Issues and Measures on College Financial Management Information Systems
ZHANG Hong, LIU Xiao-qun
(City College of Dongguan University of Technology, Dongguan 523106, China)
Abstract: The development of network technology brings new insecurity for college financial management information system. To ensure the integrity, the confidentiality and the availability, financial system securities were studied. Then some protection and relevant measures were proposed to give some reference experiences for the construction and maintenance of college financial management information sys tem.
Key words: financial management; system; security
高校財務管理工作是高校經濟運轉的核心,是其它一切管理工作的源動力,如果沒有準確、及時落實各項經費開支,就無法保證財務管理工作的日常運轉,也很可能直接影響到其它管理工作。
高校財務管理工作涉及到的內容之多,種類之繁瑣,各種類別又多有各自的報銷規則和審批流程等,加上越積越多,最終很難快速的查找出歷史報賬的情況,也很難快速了解財務的整體情況。
隨著網絡的飛速發展,高校也面臨著建設數字化校園的重任,將辦公、教學、生活等管理與計算機網絡技術結合,給全校教職工和學生帶來極大的便利。高校財務信息化是高校數字化校園、信息化的重要組成部分[1]。基于網絡的高校財務管理信息系統相對于傳統會計信息系統,主要有開放性、電子化、實時性、集成化、遠程化等特點,能夠實現財務與業務的同步處理[2]。高校財務信息系統使學生收費透明化,使教職工工資條目清晰化,使學校資產管理簡單化,并且資金的預算為學校提供了合理的資金使用方案。然而網絡環境下的財務管理面臨著新的風險,網絡中散播的病毒蠕蟲的感染,用戶非法越限的訪問,黑客惡意的攻擊破壞等等問題都給高校財務管理系統的安全帶來威脅。隨著高校財務管理信息系統建設規模的不斷擴大,教職工及學生訪問量不斷增加,財務管理面臨的安全問題日益突出。該文對當前財務管理信息系統中存在的安全問題進行了分析,并據此提出相應的解決方案。
1安全問題
財務數據關乎到高校建設的各層面,財務系統安全可靠的運行是高校建設與管理的重要前提。財務管理信息系統的安全性表現在完整性、保密性和可用性,只要有一項不能滿足都會給整個系統的安全造成威脅。
1.1環境級安全問題
高校財務管理信息系統環境級安全性包括硬件環境和軟件環境。硬件環境安全問題指財務管理信息系統依托的服務器、網絡設備、用電設備等硬件設備因突發災害或意外事故而造成數據信息丟失以及硬件配備性能滿足不了當前系統數據及時處理而造成的系統不可用。軟件環境安全問題指財務管理信息數據庫的軟件本身不夠完善或未及時升級而引起財務數據庫難以操作,造成系統不可用。
1.2網絡級安全問題
高校財務管理系統的信息化是基于網絡的建設,為實現全校教職工人員的使用,財務管理信息必然要連接到外網,這就導致了財務管理信息會曝于財務部門以外。網絡的不安全性表現為病毒的感染使系統無法運行,端口掃描使信息泄露,黑客利用操作系統的漏洞進行攻擊造成系統崩潰和信息篡改,外來人員的惡意入侵造成財務數據的泄露。隨著網絡技術的深入發展,攻擊的手段日趨自動化,復雜化,要保護高校信息不被泄露,保障財務系統安全可靠,網絡級的安全防護任重道遠。
1.3人員級安全問題
財務管理人員是財務管理信息系統的操作主體,其職業操守極大影響了系統的安全。由于在當下的財務系統中,財務人員對財務信息系統的操作(添加、修改、刪除等)不會留有痕跡,若他們為了一己私利,利用工作之便,對財務數據進行改動和處理,將成為財務管理信息系統的一大隱患。另一方面,財務管理人員的網絡安全防護意識及計算機能力較弱對高校財務信息系統也帶來了安全問題。會計人員由于計算機運用能力不夠而導致的錯誤操作會導致財務信息錯漏,而相關的財務系統管理人員對操作系統、軟硬件及網絡環境維護不到位會給整個財務系統帶來巨大的威脅。
