网络财务的安全问题与对策

2009-05-05 07:43郑春芳
金融经济 2009年3期
关键词:财务信息系统

郑春芳

一、网络财务综述

以互联网为核心动力驱动的新经济,正在全球范围内创造着空前的发展机会,互联网将对国家,企业和个人在信息时代的竞争产生根本影响,因为它正在深刻地改变着我们的工作和生活,改变着延续了上百年的商业竞争方式。在这个激动人心的时代,我们将看到网络基础设施会变得像工业时代的高速公路,自来水,电信网络,电力系统一样重要。

同样,互联网的发展也对财务会计的发展产生了深远的影响,网络的信息共享以及信息传播的高速率等优点决定了财务会计将会朝着网络化的方向发展。由此,网络财务应运而生。我们通常所说的网络会计和网络财务总体上说是一个概念,是基于互联网技术,以财务管理为核心,业务管理与财务管理一体化,支持电子商务,能够实现各种远程操作(如远程记账,远程报表,远程查账,远程审计,远程监控等)和事中动态会计核算与在线财务管理,能够处理电子单据和进行电子货币结算的一种全新的财务管理模式,是电子商务的重要组成部分。

网络财务以先进的计算机网络技术和安全技术等信息技术为基础,以财务管理为工作中心,以实现企业电子商务为目标,它能使企业的财务会计信息在网络环境下实现共享,乃至实施远程操作,可进行事中的动态会计核算、分析、控制和监督,是一种全新的财务管理模式。与传统的财务信息系统相比较,网络财务具有会计信息披露的多元化、数据处理实时化、信息存储无纸化、企业管理信息高度集成化等特点。网络财务改变了传统会计的顺序化处理模式,减少了中间环节,减轻了财会人员的工作量,避免了环节过多造成的信息失真。

二、网络财务面临的安全问题

互联网使用的是TCP/IP协议,该协议并未考虑安全因素。因此,它从一开始就是一种松散的、无连接的、不可靠的方式,这一特点造成在网上传送的信息很容易被拦截和篡改。在加上网络技术的飞速发展导致各种黑客软件和病毒在互联网上肆虐,由此给网络财务带来了很多技术上的安全问题。

(一)由网络技术带来的安全问题

1.网络传输问题。网络财务的所有远程操作均属远程信息传输,尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象,但由于使用的是开放式的TCP/IP协议,信息的传输路线是随机的,也就是这由互联网中的路由器依据距目标地址的距离和线路的忙闲情况来决定信息的传输路线。因而财务信息在网络中传输时存在被截取、篡改、泄漏机密等安全问题。企业的财务信息对企业本身来说是至关重要的,一旦被竞争对手截获或者被恶意篡改,不但企业高层无法准确了解企业的现状,并做出正确的决策。而且在与竞争对手竞争时也会处于劣势,这对企业来说将会是致命的。

2.计算机病毒和电脑黑客。随着因特网的迅速发展, 计算机病毒也在不断表现出多样化、速度快、破坏力强、自我复制、难以防范等特点, 特别是企业的内域网与互联网连接, 使计算机系统感染病毒的几率和病毒防范的难度大大增加。可见病毒对网络财务的危害是相当大的。 同时,在庞大网络环境中, 网上黑客的攻击也时刻对网络财务信息造成极大的威胁。会计领域中电脑黑客主要是指竞争对手和专门窃取商业秘密的机构。它们通过捕获、查卡、信息轰炸、电子邮件轰炸、违反义务条款等方式非法侵入网络,窃取数据或破坏数据。

3.财务软件的身份识别。由于网络财务使企业的财务管理突破了时空的界限,企业财务管理人员可以在家、在企业里或其他的任何地方及任何时间利用网络终端进行财务管理工作,其身份的识别与企业内部网Intranet相比更加困难,如果企业财务管理人员的企业网络财务系统账号被非法窃取,那么该账号再次登陆时系统将无法有效识别其身份,那么这将会对企业财务信息的安全产生威胁。

4.网络信息的真实性。电子货币、电子单据,电子提单、信用卡等的真实性确认;验资报告、产品质量说明书、售后服务保证体系等是否真实有效。传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。由于缺乏有效的确认标识,信息接受方有理由怀疑所获取财务数据的真实性;同样,作为信息发送方,也有类似的担心,即传递的信息能否被接受方正确识别并下载。网上信息的可信度面临危机。

(二)企业内部管理存在的安全问题

1.企业内部控制问题

以前的会计非常强调对业务活动的使用授权批准和职责性、正确性、合法性,但是在网络财务软件中, 会计信息的处理和存储比较集中,使传统会计系统中某些职权分工、相互牵制的控制失效。由此导致的问题主要有:1.职责分离不恰当,内控失灵。企业内部合法人员在网络环境下如果没有恰当的岗位分离,可能会越权非法访问会计数据,甚至非法修改和删除会计数据且不留篡改痕迹,更甚者非法拷贝会计数据送给竞争对手招致企业的破产。2.缺乏对企业软硬件资源的管理和维护制度,致使信息丢失。丢失原因主要有三种:一是运行间断电和死机等故障;二是计算机病毒破坏;三是人为对会计数据疏于保管或人为毁坏。企业如果使用权限划分不当,容易造成信息滥用和向外流失。如果对网络管理和维护水平不高或疏于监控,一旦网络系统瘫痪将给企业带来巨大损失。

2.网络管理制度不健全

在网络财务中,会计流程发生了很大的变化。大量的数据直接 从企业内部或企业外部其他系统获得。会计信息的传送方式由附层型转为水平型,企业采购、销售等各个部门在将信息存储在中央数据库的同时,也可以随时随地获取授权信息,获得授权的企业外部人员也可以获取相应的会计信息。随着信息来源的复杂化、接触信息的部门和人员增多,传统的内部控制制度已经不能符合要求,相关的制度和管理体系需要作出调整。同时,管理层对软件开发的管理、相关技术方案的选择、各种信息使用权限的划分,客观上成为财务信息失真的风险成因。此外,网络管理制度不健全,缺少日常维修、数据备份、操作日志、防毒措施等管理制度,对计算机网络会计系统构成严重的威胁。

3.会计档案无纸化带来风险

在手工财务系统中,企业的经济业务发生均记录于纸张之上,增、删、修改了的会计凭证或会计账册都可以从各自的笔迹和印章上分清责任。实行网络财务后,会计凭证转变为以文件、记录形式储存在磁性介质上,使会计核算无纸化,修改数据不留痕迹。电磁介质也易受损坏,且有丢失或毁损的危险。所以网络财务对会计档案管理形式提出了更高的要求。不仅要保存纸介质会计核算资料,而且要保存、保管好以磁性介质方式存储的各种会计数据和计算机程序,以及系统开发运行中编制的各种文档和其他会计资料。

(三)相关的法律法规尚不健全

目前,我国还没有专门的网络财务犯罪的惩罚性法律。1986年以来,我国相继制定并颁布了《中华人民共和国信息系统安全保护条例》、《计算机系统安全规范》、《计算机病毒控制条例》等系列相关安全方面的制度,我国国务院于2000年12月出台的“关于网上信息发布的真实性管理规定”,今年国家又出台了《财务微机操作与网络财务安全保障技术规范及强制性国家标准》,有力的打击了利用计算机进行的犯罪,保护了计算机信息的安全。对于“网络财务”健康发展起到了积极的推动作用。但是只靠目前的这些法律规范还不能够有效控制对网络财务的犯罪,如果不制定对网络财务系统犯罪行为的界定及相关惩罚性措施,那么就不能有效控制犯罪和保护网络财务系统。

(四)高素质网络财务人员的缺乏

人作为企业的一项资源,在现代企业经营管理中不应被忽略。在企业引进网络化管理的同时,更应注重对人素质的培训,特别是培训领导管理层熟练应用网络。财务是企业经营管理的一项重要内容,网络技术运用于企业财务涉及到整个企业经营管理模式的变革,相应财务人员素质的要求和职能也就有了不同。目前我国会计从业行业从业人员有1200多万人,其中中专以上学历者占47%,高层次会计人才只占20%,适应新形势的复合型网络财务人才十分缺乏,参加国际职业认证并取得国际证书的人员在跨国公司、上市公司、大型企业集团的人员比例较大,而在中小企业所占比例较小。

三、针对网络财务安全问题提出的对策

(一)强化技术安全

1.广泛采用新技术

在技术上对整个网络财务系统的各个层次(通信平台、网络平台、应用平台)都要采取安全防范措施和规则,建立综合的多层次的安全体系。目前常用的网络安全技术一般有安全网关(放火墙)技术、访问控制技术、数据加密技术、身份认证技术、隧道技术(VPN)等。防火墙技术和访问控制技术可以在相当程度上解决非法操作问题; 运用隧道技术能够解决网络财务中会计信息传输的安全间题。VPN即虚拟专用网,也称隧道技术。是指通过综合利用网络技术、访问控制技术和加密技术,并通过一定的用户管理机制,在公共网络中建立起安全的“专用”网络,保证数据在“加密隧道”中进行安全传输的技术。通过VPN,企业的网络财务系统可以在公用互联网络上将企业总部、远程分支办事机构、数量不等的业务合作伙伴及出差在外的远程移动用户连接起来,实现个人、远程分支机构、合作伙伴(客户、供应商)与企业总部间点对点或端到端的“虚拟专用”联接。也可以说“,虚拟专用隧道”如同在茫茫的广域网上为企业拉出了一条专线。而对于只要求证明信息是可靠的情况(能证明信息的出处,传输过程中未被改动),则可采用数字信封技术(数字指纹和数字证书)来解决。

2.建立必要的网上机构

建立必要的网上机构是身份认证和信息安全传输的重要保证,如“认证中心”、“网上公证”、“网上仲裁”等。目前,CA安全认证中心系统广泛应用于电信、金融、邮政、证券和电力行业,针对不同类型的用户,如企事业单位、服务提供商、服务器、个人等发放不同安全级别、不同用途的数字证书,满足网上各类业务(包括支付类和非支付类),例如安全电子邮件服务、电子报税、电子证券、电子银行、电子商场、代缴代付、银证转账、银企对帐、网上防伪打假等众多业务的安全需求,并且可以用于政府上网工程中的安全政务系统,以保证网上公文传送的安全性。

3.建立半开放式网络结构

企业的内域网Intranet与互联网Internet的连接,由于防火墙只允许符合过滤条件的信息通过和对已知密码的授权用户按所设置的服务类提供服务,而对信息内容则无法识别和控制,因此,窃取合法用户密码的人便可通过防火墙对内域网进行攻击。解决的办法是在Intranet与防火墙之间建立“门户网站”并安装监测软件。它起到“中转站”的作用。无论是从Intranet一方还是从Internet一方访问对方时,均需在“中转站”上登录。“中转站”是受控网站,当有登录请求时可报警,由Intranet的“值班”人员进行身份认证和服务内容审批,批准后(附加审批密码)方能通过“中转站”,这样可大大提高系统的安全性。

(二)建立完善的企业网络财务内部控制制度

1. 制定网络财务环境下的岗位责任制度

加强员工之间的互相牵制,使不兼容职务相互分离控制,明确岗位责任制,要求按照不兼容职务相分离的原则,合理设置会计及相关工作岗位,形成相互制约机制。在网络财务系统下,尽管会计系统运作的主要原则没有改,但在实现了网络财务后,应对原有的组织机构进行适当的调整,以适应计算机系统的要求。企业可以按会计数据的不同形态,划分为数据收集输入组、数据处理组和会计信息分析组;也可按会计岗位和工作职责划分为计算机会计主管、软件操作、审核记账、电算维护、电算审查、数据分析等岗位。内部人员的恶意行为及无意行为都可能造成财务信息的不安全。据统计,有超过50%的安全威胁是来自企业内部心怀不满的员工,其次是黑客。内部用户如果权限划分不当,控制不严,容易造成信息滥用和泄露。可以通过员工培训,一方面提高员工的安全防范意识,减少错误的操作,增强网络的安全;另一方面增强员工爱岗敬业精神,消除对企业的误解和矛盾,减少来自内部的恶意攻击。

日常操作系统管理控制。第一,制定上机操作规程。主要包括软硬件操作规程、作业运行规程和用机时间记录规程等。第二,加强系统人员的操作管理。人员操作管理的重点是权限控制,系统管理员被赋予超级用户管理权限,主要负责系统硬、软件的管理维护和网络资源分配,操作人员应按照被授予的权限严格作业,不得越权,系统程序员不得进行业务操作,以避免人为因素或操作不当给操作系统带来不必要的损失和风险。第三,建立计算机资源访问授权和身份认证制度。通过建立计算机网络财务的资源访问授权和身份认证制度,明确每个用户的安全级别和身份标识,并分别定义其可以访问的信息资源对象。企业可以按照网络化财务系统的需求,设定各财务人员上机操作岗位,明确岗位职责和权限,并通过为每个用户进行系统功能的授权落实其责任和权限。结合密码管理措施,使各个用户进人系统时必须输入自己的用户名和口令,进人系统之后也只能执行自己权限范围内的功能,防止非法操作。

2. 建立企业内部网络安全技术控制制度

静态预防。有些安全威胁通常是已知的,而且这些威胁不会变化,如已知的系统漏洞、病毒等。针对这些已知的威胁,可以采用一些网络安全产品、工具和技术保护网络系统、数据和用户(包括数据加密技术、数字签字、访问控制技术,防火墙等)。这些技术可以在一定程度上防范恶意攻击,起到保护作用。另外,光纤不会产生电磁辐射,造成信息泄漏,因此,通信线路最好选用光纤。

动态保护。网络安全技术在发展的同时,黑客技术也在不断的发展。因此,网络安全不是一成不变的,同时也是开放的。也许今天对你来说是安全的,明天可能就会变得不安全,如用户可以利用“网络监听”来窃取网络中传输的机密信息。而监控和审计就是满足动态安全需求的一种安全策略。它能通过找出并解决网络上的安全问题,如定位网络故障点、控制网络访问范围,以及包括对网络资源的使用、网络故障、系统记账等方面的记录和分析,以达到安全控制的目的。

数据恢复。当入侵发生后,对系统造成了一定的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制(系统备份等)来及时恢复系统正常工作,让系统以最快的速度运行起来才是最重要的。否则,损失会更加惨重。

(三)建立健全网络财务的相关法律、制度

法律是经济运行的护卫者,是惩罚违规者的根据和有力手段。没有完善的法律制度与监督机制,就不能保证参与者的公平竞争。“网络财务”立法是“网络财务”健康发展的前提,是保证各项财会信息的真实、口径统一以及安全有效的措施。目前,由于法规的不健全使针对网络财务系统的犯罪的控制非常困难。例如,对未经许可接触电算化会计信息系统或有关数据文件的行为,在法律上未规定为偷窃行为,因此就无法对下载重要机密数据的行为治罪。必须看到,对网络财务系统的开发和管理,不能仅靠现有的一些法规,如《会计法》、《企业会计准则》等。因为计算机犯罪毕竟是高科技、新技术下的一种新型犯罪,为此制定专门的法规对此加以有效控制就很有必要。为网络财务的发展营造良好的大环境,加快防止网络财务犯罪的法制化进程,可从两个方面入手:(1)建立惩治利用网络财务犯罪活动的法律,明确规定哪些行为属于犯罪行为及惩处方法;(2)建立网络财务系统的保护法律,明确网络财务系统中哪些东西或哪些方面受法律保护及受何种保护。网络财务安全立法应坚持立足于我国国情的原则,并参照国际有关法律、法规,制定出一套规范的、符合我国国情的网络财务方面的法律法规。

随着科技的进步,网络财务犯罪的手段也会不断发生变化,因此我们必须根据犯罪的发展对现有法律法规进行修订,以保证能够应对各种新式犯罪,以遏制新式犯罪的发展势头。保证网络财务的健康发展。

(四)加强网络财务人员的培养和教育

网络财务作为信息现代化与商贸有机结合的产物,高素质的专业财务人员是保证网络财务信息、数据真实和安全的关键。因此,培养适应网络财务发展需要的高素质财会人才已迫在眉睫。许多财务人员由于历史、机制等方面的原因,计算机、外语、财务专业等综合素质较低、视野较窄。虽然有专业毕业生走向社会,但他们大部分都流向了金融证券等行业,在基层一线的较少,这样造成专业人才缺乏。高级财会人才的相对短缺日益成为网络财务发展的突出问题。所以应积极培养既掌握现代化信息技术,又掌握现代财务知识和管理理论与实务的复合型人才。培养人才可采用以下几种方法:一是通过高校相关专业培训,使财务人员尽快掌握网络财务的有关技能,如计算机操作基本知识、通用财务软件的操作规则等。二是从高等院校相关专业毕业生和社会其他单位招聘计算机或网络财务人才。三是注重复合型人才的合理使用,调动其积极性与创造性。四是抓好在岗财务人员的知识培训、上岗考核、职称管理以及奖惩制度等项工作,并下大力气搞好专业人员的在职教育和继续教育,建立一支业务素质高、严格恪守职业道德和职业规范的现代化的专业队伍。

(作者单位:中瑞岳华会计师事务所有限公司河南分所)

猜你喜欢
财务信息系统
党建与财务工作深融合双提升的思考
WJ-700无人机系统
论事业单位财务内部控制的实现
基于PowerPC+FPGA显示系统
欲望不控制,财务不自由
连通与提升系统的最后一块拼图 Audiolab 傲立 M-DAC mini
水利财务
健康信息
健康信息(九则)