黄明东 王锦光 冯华 杨国丽
摘 要:财务共享管理平台是业务数据、财务数据、资金数据的汇聚之地,其数据安全涉及到信息安全技术和信息安全管理手段的各个层面。文章论述了财务共享数据全生命周期对各个阶段的数据安全要求,分析了来自外部行为人、内部行为人等的数据安全风险,并提出了数据安全的关键防护措施策略方案,以促进财务共享的数据安全。
关键词:财务共享;数据安全;生命周期
中图分类号: TP309.2 文献标识码:B
Abstract: The financial shared management platform is a gathering place for business data, financial data, and capital data. Its data security involves all levels of information security technology and information security management means. This article discusses the data security requirements of financial sharing data at all stages of its life cycle, analyzes the data security risks from external actors, internal actors, etc., and proposes key protection measures and strategies for data security to promote data security for financial shared service.
Key words: financial shared service; data security; life cycle
1 引言
财务共享将前端业务系统、账务系统、共享系统、银企系统完整地集成在一起,构建了全电子化流程,打破了以前的信息孤岛模式,将财务及业务信息实现互联互通,提高了工作效率。在实施财务共享以前,业务系统、账务系统、资金系统等各自管理其系统内的数据安全,在實施财务共享后,将业务流程、财务流程、资金流程一体化,共同形成财务共享流程,相关数据也通过系统无缝集成技术,将业务数据、财务数据、资金数据形成整个数据链条,使得财务共享管理平台形成一个标准数据的数据集中平台,这样可以供决策层、业务管理层、上级主管部门以及相关方共享使用,促进了管理效果的提升。财务共享管理平台具有数据高度集中、数据量巨大、数据共享的特点,其数据安全至关重要。在财务共享数据的全生命周期中,通过安全技术手段以及安全管理手段,可以防止数据泄露、篡改,损坏、丢失,以保证财务共享信息的真实性、完整性。
2 数据安全管理要求
财务共享流程涉及到企业或组织产、供、销等的方方面面,包括应收、采购应付、费用、资产、成本、HR、研发项目等。财务共享流程的实现,既要将企业或组织内部相关的业务系统、账务系统集成在一起,同时还要集成外部的银行系统等;业务部门的经办人、审批人,财务部门的账务处理人员、资金处理人员、审批人,高层的分管领导,以及IT部门的运维人员等,都是流程参与的干系人。财务共享的一大特征,就是标准数据的产生者和提供者,包括业务数据、供应商、客户、账务数据、银行数据等,并将这些标准数据共享给SRM、CRM、决策系统、运营分析系统等。所以,财务共享流程各环节的数据,是企业或组织的生命线,必须确保这些数据的生成、传输、存储、使用等环节的数据安全。
2.1 数据生成安全
财务共享数据来源多样,既有页面录入的数据,从用户客户端上载的数据,也有从内网集成的数据和外网集成的数据。数据类型复杂,包括结构化数据以及非结构化的文本、影像和日志数据,对数据的准确性、完整性有着严格的要求,因此数据的录入和上载,需要做身份鉴别和认证、病毒防护和检测;集成方式的数据生成,需要进行身份鉴别和认证、数据加密和数据签名。
2.2 数据存储安全
财务共享数据在存储过程中,需要对关键信息进行加密存储,并对关键敏感数据进行动态加密。使用前对动态加密数据进行验证,保证财务共享数据的安全性,加密过程使用的密码技术应符合相关密码技术要求,以确保数据的安全性和完整性。
2.3 数据传输安全
财务共享管理平台与内网系统间的数据传输需要进行身份认证、权限管理,并进行IP、端口和MAC的限定,采用多重加密技术,禁止进行明文传输,以规避来自内部网络的恶意攻击。与外部的银行系统,采用专门的数据传输通道,开启相应的防火墙,屏蔽非法访问和黑客攻击,可以有效地防止数据泄密和篡改。
(1)数据加密:财务共享数据传输的数据流需要采用加密技术,以确保数据在传输过程中不被泄漏和篡改,其加密采用的机制,可以是对称加密或非对称加密,其加密技术的复杂度,需要考虑数据的传输效率。
(2)数据签名:财务共享数据在传输过程中使用数字签名,以确保真实性、完整性和不可抵赖性。数字签名必须保护私钥的机密性,防止窃取者伪造密钥持有人的签名,根据数据的分级和敏感性,确定加密算法和密钥长度,数字签名的密钥必须和加密的密钥区别开来。
2.4 数据管理安全
需要建立财务共享数据的全生命周期管理制度和规范,以及相应的运维管理要求,对数据的生成、存储、传输、使用、归档 、销毁等全生命周期进行管理,确保财务共享数据的安全。应制定健全、具有操作性的安全管理制度,明确安全目标、明确责权。对操作人员进行权限管理,对数据进行分类分级管理,实施严格的访问授权管控,严禁超级管理员在后台修改数据,完整保留操作日志记录供数据安全审计,传输实施严格的管理流程,并进行数据加密、敏感数据脱敏等,对重要的关键数据进行数据存储安全加固防护、定期备份、避免敏感数据丢失、外泄。从组织架构、业务流程、管理制度、数据安全、密码技术、日常操作等多维度入手,紧紧围绕数据的全生命周期,使得数据管理安全和有效。
2.5 数据备份及恢复安全
数据备份是数据保护和恢复的最后屏障,确保出现人为错误、自然灾害、不可抗力等因素导致的事故,在财务共享管理平台造成毁灭性的破坏时,可以迅速恢复系统功能和数据,完整地保护财务共享管理平台功能的正常和数据完好。通过有效、可行的备份和恢复安全管理方案,构建本地备份系统、异地进行数据灾备,对财务共享管理平台的数据定期进行备份,并对结构化数据库、非结构化数据库采用集群技术,进行系统的整体冗余和容错,提高系统的可用性和容灾性,防止重要数据、敏感数据被破坏或丢失。
3 数据安全的风险分析
财务共享管理平台的数据安全风险,主要来自于外部行为人、内部行为人、网络和软硬件功能缺失和安全漏洞、制度不完善、自然灾害等五方面,导致数据被泄露、篡改、窃取、滥用、损坏和丢失。
(1)外部行为人:外部行为人通过黑客技术、嗅探技术、暴力攻击、病毒等入侵攻击,窃取、篡改、泄露财务共享数据,造成财务共享管理平台的数据安全风险。
(2)内部行为人:内部行为人由于安全管理制度不完善,没有对数据进行分类分级,没有对授权访问实施严格的分级管控,运维安全管理制度未落实和有缺失,终端管理访问内网不受控和安装杀毒软件,关键数据未作脱敏处理,或者利益的驱使,导致内部行为人窃取、篡改、损坏、滥用财务共享管理平台的数据。
(3)网络和软硬件:网络设备的防护等级较低,身份鉴别的唯一性、口令的复杂度、会话管理、非法登录次数限制、连接超时控制等不完善,服务器防火墙设置、IP白名单、端口限制、安全基线加固不符合安全管理要求,操作系统、中间件、应用软件、数据库软件等的安全功能和手段缺失,数据备份和恢复失效,使得财务共享数据被泄露、篡改、窃取、滥用、损坏和丢失。
(4)管理制度:安全策略未覆盖全或落实不到位,在财务共享的业务流程、财务流程、资金流程等个别流程节点出现数据安全隐患,存在明显的安全漏洞。对机房安全管理、办公环境安全管理、网络和系统安全管理、备份和恢复管理、软件开发管理,以及网络安全设备、主机操作系统、数据库管理系统等都制定了安全管理制度和规范,但是制度没有很好的执行,或操作性不强,造成外部行为人、内部行为人以及网络和软硬件的数据安全风险,财务共享数据被泄露、篡改、窃取、滥用、损坏和丢失。
(5)自然灾害:由于自然灾害或不可抗力,导致财务共享数据损坏和丢失。
4 数据安全防护措施
财务共享数据安全不能靠几个简单控制点,或一次性的安全测评就可以一劳永逸,而是需要一个体系化、长期化的安全防护过程。首先,财务共享管理平台要处于一个经过等保评估的安全环境中,从物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面,提供了基本的安全防护,确保其数据安全。随着黑客技术、嗅探技术、病毒和暴力攻击的肆虐,以及管理制度和操作流程的漏洞和缺陷,给外部行为人、内部行为人危害财务共享数据安全提供了途径。除定期进行安全等级测評外,还要研究和应用涉及数据安全的敏感数据控制技术、数据泄露防护技术、数据库安全技术、同态加密技术,并强化一些安全防护措施。
4.1 入侵防御
对于来自外部的安全威胁,首先要与外部进行数据交换的银企前置机和银行系统间采用专线连接,与公网进行隔离,银行前置机部署在DMZ区,且均设置两张网卡,分别连接银行专网及企业内部网络,进行内网和外网隔离。内网服务器之间均进行IP、端口的控制,只开放业务必须使用的端口,各个系统间的集成需进行身份鉴别和权限管理,并做数据有效性检验,同时还配以企业级防火墙,防止网络入侵。
4.2 身份认证和鉴别
财务共享管理平台提供双因子认证机制,必须通过双因子身份认证,才能访问财务共享管理平台。构建统一的身份认证和鉴别机制和访问控制策略,并辅以安全审计,实现对数据访问的细粒度管控,实现身份认证和访问控制安全。
4.3 加密策略
要达到数据安全,防止数据被泄露、篡改、窃取、滥用、损坏,就要将加密作为数据安全防御的重要手段。对于财务共享的敏感数据,可以采取多重加密或加密无漏项的策略或措施,将其应用于身份鉴别、访问控制、数据脱敏、数据加密、数据防泄漏、数据备份等多种数据安全防护手段,尤其是数据被共享时,要对共享数据实施分类和分级管理,并要执行“加密一切”的措施,确保共享数据的安全。
4.4 管理流程和操作规范标准化
管理流程和操作规范的标准化是数据安全的制度和管理保障,可以有效防止和改进流程中存在的风险点,使得财务共享安全和高效。在审查和评估管理流程和操作规范时,要改进现有流程的风险点和安全漏洞,其次要和实际操作人员详细沟通,识别安全风险,并优化流程和规范。建立日常检查和维护机制,定期对网络和安全设备、服务器、数据库、中间件、应用系统等进行安全事件监控和病毒检测工作,并收集安全日志,对数据安全情况进行统计和分析,进行安全事件审计。
实施数据安全治理、降低数据安全风险,满足合规性要求、抵御内外部攻击威胁、保障数据安全。对财务共享数据生命周期全过程进行安全监管,及时发现数据风险、安全威胁和安全漏洞等问题,并通过技术手段、管理手段进行加固和完善,保证财务共享数据的机密性、完整性和可用性。
5 结束语
通过采用可靠的系统技术安全方案防护措施,使财务共享管理平台处于安全的环境之中,有效保护系统安全和数据安全,抵御外部、内部非授权的访问和入侵行为,保障数据传输的链路和数据存储环境的安全,防止数据被窃取、篡改而导致的财务共享管理平台信息泄漏。构建和执行可靠的、合理的安全管理制度和规范,对财务共享管理平台业务安全工作中的运营管理、授权管理、安全策略管理、用户登录管理、密码管理等统一进行管理,进一步提高财务共享管理平台业务安全环境,将数据安全能力渗透到财务共享数据的全生命周期中。
参考文献
[1] Andrew Kris, Martin Fahy. Shared Service Centres: Delivering value from more effective finance and business processes[M]. Prentice Hall,2003.
[2] Robert W. Gunn, David P. Carberry, Robert Frigo, Stephen Behrens(1993), shared services: Major Companies are re-engineering their accounting functions[J]. Management Accounting, Vol. 75, Iss. 5, P22-28.
[3] 孙波.企业信息系统数据安全性研究与探讨[J].安徽冶金科技职业学院学报,2010,(02):83 - 85.
[4] 孔丹.网络环境下会计信息系统风险防范研究[J].现代商贸工业,2009,(20):288- 289.
作者简介:
黄明东(1963-),男,汉族,陕西汉中人,重庆大学,硕士,四川虹信软件股份有限公司,工程师;主要研究方向和关注领域:财务共享信息化安全、企业信息化规划和建设。
王锦光(1972-),男,汉族,四川成都人,电子科技大学,本科,四川虹信软件股份有限公司,工程师;主要研究方向和关注领域:信息系统安全架构设计、财务信息化规划和架构设计。
冯华(1989-),男,汉族,重庆忠县人,中国矿业大学,本科,四川虹信软件股份有限公司,助理工程师;主要研究方向和关注领域:信息安全技术、财务信息化设计。
杨国丽(1987-),女,汉族,云南昆明人,四川大学,本科,四川虹信软件股份有限公司,助理工程师;主要研究方向和关注领域:信息系统安全技术、财务信息化设计。