论文部分内容阅读
随着计算机的广泛应用及网络技术的日益完善,各计算机用户可以通过互联网快捷地传送或取得各种信息。为了更好地利用网络带来的优势,网络财务应运而生,这大大弥补了财务电算化的不足,成为财务发展的新领域。
网络财务是基于网络技术,以节约整个企业内部的财务资源为出发点,以充分实现整个企业内部的、全面及时的管理为目标,通过对企业提供网络环境下的财务管理模式、财会工作方式,而使企业实现管理信息化的财务管理软件。但网络尤其是互联网的开放式结构和不受约束的访问,在给企业财会系统带来质的变革的同时,也增加了对某些敏感或有价值的数据被滥用的风险。尤其是企业的财务数据属重大商业机密,如遭破坏或泄密,将造成不可估量的损失,因而,如何保证网上财务信息安全可靠成为关注的焦点。构建基于网络的财会系统面临的最突出问题就是网络安全问题。
一、网络财务中存在的安全问题
1. 财务信息的真实性、可靠性。在网络财务环境下,仍然存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因导致财务失真的现象,但仍不能排除电子凭证、电子帐簿可能被随意修改而不留痕迹的行为。
2. 财务机密的保密性。企业的财务数据属重大商业机密,在网络传递过程中,有可能被竞争对手非法截取,导致造成不可估量的损失。因此,保证财务数据的安全亦不容忽视。
3. 财务信息是否被篡改。财务信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,同时,病毒也会影响信息的安全性和真实性,这些都是亟待解决的问题。
4. 计算机硬件的安全性。网络财务主要依靠自动数据处理功能,而这种功能又很集中,自然或人为的差错和干扰,都会造成严重后果。
5. 网络系统的安全性。网络使企业在寻找潜在贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。这些风险来自于:
(1)泄密。未授权人员非法侵入企业信息系统窃取企业机密,从而侵吞企业财产或出卖商业机密。
(2)恶意攻击。网络黑客的蓄意破坏或病毒感染,可能使系统陷于瘫痪。
二、构建网络财务的安全体系策略
(一)技术控制策略
1. 防火墙:建立在企业内部网和外部网络接口处的访问控制系统,它对跨越网络边界的信息进行过滤,防范来自外部的非法访问,为企业设了一道电子屏障。
2. 加密技术(密钥技术):数据加密技术对网络服务及开放性影响较小,是保护信息通过公共网络传输和防止电子窃听的首选方法。现代加密技术分为对称加密(专用密钥,private key)和非对称加密(公开密钥,public key)两大类。目前在网络信息传输中,往往组合使用专用密钥法和公开密钥法,以充分利用各种方法的优点。
3. 数字签名:在Internet环境下,财务数据流动过程中的签字盖章等传统手段将完全改变,为验证对方身份、保证数据完整性,在计算机通信中采用数字签名这一安全控制手段。
4. 安全协议:目前国际上通行的安全协议主要有:安全套接口字层协议(SSL)、安全超文本传输协议(S-HTTP)、安全电子交易规范(SET)等。
(二)内部控制策略
1. 系统开发控制。系统开发控制是为保证网络财务系统开发过程中各项活动的合法性和有效性而设计的控制措施,它应贯穿于系统规划、系统分析、系统设计、系统实施和系统运行测试与维护的各个阶段。其主要内容包括如下:
(1) 明确开发目标,制定项目管理计划,进行项目的可行性研究与分析;控制开发进度,监督开发质量,检查各功能模块设置的合理性及程序设计的可靠性,提高系统的可审性。
(2) 利用网络在线测试的功能,检验整个系统的完整性,并应对非法数据的容错能力、系统抗干扰能力和发生突发事件的应变能力以及系统遭遇破坏后的恢复能力进行重点测试;做好人员和设备等资源的整合配置以及初始数据的安全导入,保证新旧系统的转换有序进行。
(3) 一旦发现网络系统各类软件可能存在安全漏洞,应立即进行在线修补与升级,并将所有与软件修改有关的记录报告及时存储归档。
2. 组织与管理控制。
(1) 适当的职责分离。设置网络管理中心,确保各工作站、终端和人员之间适当的职责分离。
(2) 优化配置人力资源。良好的人力资源管理政策对于企业内部控制的顺利实施起着关键性的作用。因此要制定措施,确保人力资源的合理利用。
(3) 发挥内部审计的作用。通过内部审计部门对网络财务系统信息进行独立和公正地监督与评价,有利于系统内部自我约束、自我激励机制的建立与健全。
3. 日常操作系统管理控制。
(1) 加强系统人员的操作管理。
(2) 建立计算机资源访问授权和身份认证制度。
(3) 建立安全稽核机制。对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监控和记录,进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。
(4) 设置安全检测预警系统。即实时寻找具有网络攻击特征和违反网络安全策略的数据流,实时响应和报警,阻断非法的网络连接,对事件涉及的主机实施进一步跟踪,创造一种漏洞检测与实时监控相结合的可持续改进的安全模式。
4. 应用控制。是指在网络财务系统的数据输入、通讯、处理和输出环节所采用的控制程序和措施。
(1) 输入控制。重点在于建立适当的授权和审批机制,并对输入数据的准确性进行校验。
(2)通讯控制。重点在于批量控制,业务时序控制、数据编码控制与发放和接收的标识控制等。
(3) 处理控制。重点在于处理过程的现场控制、数据有效性检测、预留审计线索控制和错误纠正控制等。
(4) 数据输出控制。重点在于数据稽核控制,授权输出控制和打印程序控制等。
总之,构建“网络财务”并不是一件容易的事,也不是所有的企业都适合采用。企业要想成功地实施网络财务,必须在技术控制和内部控制上对整个财务网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)都采取安全防范措施和规则,这样才能构建起综合的多层次的安全结构体系。
网络财务是基于网络技术,以节约整个企业内部的财务资源为出发点,以充分实现整个企业内部的、全面及时的管理为目标,通过对企业提供网络环境下的财务管理模式、财会工作方式,而使企业实现管理信息化的财务管理软件。但网络尤其是互联网的开放式结构和不受约束的访问,在给企业财会系统带来质的变革的同时,也增加了对某些敏感或有价值的数据被滥用的风险。尤其是企业的财务数据属重大商业机密,如遭破坏或泄密,将造成不可估量的损失,因而,如何保证网上财务信息安全可靠成为关注的焦点。构建基于网络的财会系统面临的最突出问题就是网络安全问题。
一、网络财务中存在的安全问题
1. 财务信息的真实性、可靠性。在网络财务环境下,仍然存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因导致财务失真的现象,但仍不能排除电子凭证、电子帐簿可能被随意修改而不留痕迹的行为。
2. 财务机密的保密性。企业的财务数据属重大商业机密,在网络传递过程中,有可能被竞争对手非法截取,导致造成不可估量的损失。因此,保证财务数据的安全亦不容忽视。
3. 财务信息是否被篡改。财务信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,同时,病毒也会影响信息的安全性和真实性,这些都是亟待解决的问题。
4. 计算机硬件的安全性。网络财务主要依靠自动数据处理功能,而这种功能又很集中,自然或人为的差错和干扰,都会造成严重后果。
5. 网络系统的安全性。网络使企业在寻找潜在贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。这些风险来自于:
(1)泄密。未授权人员非法侵入企业信息系统窃取企业机密,从而侵吞企业财产或出卖商业机密。
(2)恶意攻击。网络黑客的蓄意破坏或病毒感染,可能使系统陷于瘫痪。
二、构建网络财务的安全体系策略
(一)技术控制策略
1. 防火墙:建立在企业内部网和外部网络接口处的访问控制系统,它对跨越网络边界的信息进行过滤,防范来自外部的非法访问,为企业设了一道电子屏障。
2. 加密技术(密钥技术):数据加密技术对网络服务及开放性影响较小,是保护信息通过公共网络传输和防止电子窃听的首选方法。现代加密技术分为对称加密(专用密钥,private key)和非对称加密(公开密钥,public key)两大类。目前在网络信息传输中,往往组合使用专用密钥法和公开密钥法,以充分利用各种方法的优点。
3. 数字签名:在Internet环境下,财务数据流动过程中的签字盖章等传统手段将完全改变,为验证对方身份、保证数据完整性,在计算机通信中采用数字签名这一安全控制手段。
4. 安全协议:目前国际上通行的安全协议主要有:安全套接口字层协议(SSL)、安全超文本传输协议(S-HTTP)、安全电子交易规范(SET)等。
(二)内部控制策略
1. 系统开发控制。系统开发控制是为保证网络财务系统开发过程中各项活动的合法性和有效性而设计的控制措施,它应贯穿于系统规划、系统分析、系统设计、系统实施和系统运行测试与维护的各个阶段。其主要内容包括如下:
(1) 明确开发目标,制定项目管理计划,进行项目的可行性研究与分析;控制开发进度,监督开发质量,检查各功能模块设置的合理性及程序设计的可靠性,提高系统的可审性。
(2) 利用网络在线测试的功能,检验整个系统的完整性,并应对非法数据的容错能力、系统抗干扰能力和发生突发事件的应变能力以及系统遭遇破坏后的恢复能力进行重点测试;做好人员和设备等资源的整合配置以及初始数据的安全导入,保证新旧系统的转换有序进行。
(3) 一旦发现网络系统各类软件可能存在安全漏洞,应立即进行在线修补与升级,并将所有与软件修改有关的记录报告及时存储归档。
2. 组织与管理控制。
(1) 适当的职责分离。设置网络管理中心,确保各工作站、终端和人员之间适当的职责分离。
(2) 优化配置人力资源。良好的人力资源管理政策对于企业内部控制的顺利实施起着关键性的作用。因此要制定措施,确保人力资源的合理利用。
(3) 发挥内部审计的作用。通过内部审计部门对网络财务系统信息进行独立和公正地监督与评价,有利于系统内部自我约束、自我激励机制的建立与健全。
3. 日常操作系统管理控制。
(1) 加强系统人员的操作管理。
(2) 建立计算机资源访问授权和身份认证制度。
(3) 建立安全稽核机制。对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监控和记录,进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。
(4) 设置安全检测预警系统。即实时寻找具有网络攻击特征和违反网络安全策略的数据流,实时响应和报警,阻断非法的网络连接,对事件涉及的主机实施进一步跟踪,创造一种漏洞检测与实时监控相结合的可持续改进的安全模式。
4. 应用控制。是指在网络财务系统的数据输入、通讯、处理和输出环节所采用的控制程序和措施。
(1) 输入控制。重点在于建立适当的授权和审批机制,并对输入数据的准确性进行校验。
(2)通讯控制。重点在于批量控制,业务时序控制、数据编码控制与发放和接收的标识控制等。
(3) 处理控制。重点在于处理过程的现场控制、数据有效性检测、预留审计线索控制和错误纠正控制等。
(4) 数据输出控制。重点在于数据稽核控制,授权输出控制和打印程序控制等。
总之,构建“网络财务”并不是一件容易的事,也不是所有的企业都适合采用。企业要想成功地实施网络财务,必须在技术控制和内部控制上对整个财务网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)都采取安全防范措施和规则,这样才能构建起综合的多层次的安全结构体系。