安全管理网

网络财务的安全风险与防范对策研究

  
评论: 更新日期:2017年05月04日

   【摘 要】 随着互联网及电子商务的日益普及,企业的商业模式也将发生巨大的变化。网上交易和网上服务将越来越成为企业重要的营销手段。由于会计信息处在企业信息的核心地位,因此,解决会计信息的安全问题是建设“网络财务”系统的前提。“网络财务”与封闭式的企业会计电算化系统相比它面临着诸多新的风险。针对网络财务的这些风险,应采取相应对策以解决信息的安全问题。
          【关键词】 网络财务,风险,策略
           1、网络财务的概念
        所谓“网络财务”是基于Internet几ntranet技术,以财务管理为核心业务管理与财务管理一体化,支持电子商务,能够实现各种远程操作和事中动态会计核算与在线财务管理,能够处理电子单据和进行电子货币结算的一种全新的财务管理模式,是电子商务的重要组成部分,其显著的特点是实时报告(Real一timeRePorting)和企业在线管理。它以计算机硬件系统和软件系统为基础,引进Inter-net技术,使企业的局域网Intranet与互联网Inter-net连接,企业的Intranet与Internet上的任何用户(包括系统内的上、下级的子系统、工商税务、银行、商家和企业自己的异地网站等)进行信息通讯。
           2、网络财务的特征
           2.1无纸化、网络化
           数据传输方式主要表现在: 数据传输的无纸化、网络化; 传输过程无纸化、网络化; 财务信息输出的无纸化、网络化。
           2.2远程处理
           因特网的发展使企业与企业,企业与客户之间的距离由物理距离变为鼠标距离,只要轻轻一点,企业财务管理的触角就能够延伸到全球的任何一个节点。企业信息化最主要的任务是财务网络化,高效快捷的远程报账、远程报表、远程查询、远程审计等,不但保证了财务信息的客观、实时,而且极大地提高了企业管理的效率。
        2.3高效集中式管理
        因特网的出现,使网络财务的产生成为可能,通过集中式管理,可以加强对下属机构的财务监控,有效整合整个企业的财务资源,降低企业产品成本,提高企业
        经营管理效率,从而提高企业的竞争力。
            2.4高度动态管理
        网络财务管理模式借助于计算机和网络技术,变传统的事后静态核算为高度实时化的动态核算,从而更加有利于企业管理。
        3、影响网络财务安全的风险因素
        3.1财务信息的不安全因素。
        在网络环境下,大量的财务数据置身于开放的网络环境中,使财务信息随时存在被截取、篡改、泄密等风险,同时,网络环境的开放性使财务信息失真的风险加剧,比如,“网络财务”使企业的财务管理突破了时空的界限,企业财务管理人员可以在家、在企业里或其它任何地方及任何时间,都可利用网络终端进行财务管理工作,其身份的识别与企业内部网Intranet相比更加困难,财务信息的安全面临严峻挑战。
        3.2会计数据的不安全因素。
        有权用户和无权用户的非法操作,计算机系统的操作人员对硬件设备的不正确操作都可以引起系统的损坏,从而危害系统的安全,比如,不按正确要求操作,可能毁坏计算机磁盘,造成数据丢失等。另外,人为的有意破坏也是影响网络财务安全的一个因素,有意破坏系统硬件设备的可能是系统内部操作人员,也可能是系统外部人员。他们可能出于谋取不法利益的目的,破坏计算机硬件系统,使系统运行中断或毁坏;另外,Telnet远程登录,允许使用基于文本界面的命令联机并控制其它计算机,使那些蓄意破坏的人对系统侵害成为可能。比如,窃取或篡改商业秘密、非法转移电子资金和数据泄密等。
        3.3信息传输的不安全因素。
        网络财务将企业的财务系统置于Intemet上,通过Web登录进行账务处理、查询等工作,由于它依附于Inter-net,使用的是开放式的TCP八P协议,以广播的方式进行传播,便于拦截侦听、口令试探、窃取、身份假冒以及其它内部难以控制的问题。同时,由于电子符号代替了会计数据,磁介质代替了纸介质,财务数据流动过程中的签字盖章等传统确认手段不再存在,会计信息的真实性与完整性就难以保证。
        3.4计算机病毒的破坏因素。
        企业的局域网与互联网连接,计算机系统感染病毒的几率和病毒防范的难度大大加大。不论是在互联网上进行浏览、下载文件、收发E-mail,还是利用BBS进行信息发布,都有可能使企业的计算机系统感染计算机病毒。
        4、网络财务的风险形式
        4.1财务信息失真
        在网络环境下, 会计信息在传递过程中,电子符号代替了会计数据, 会计介质电子化替代了传统的纸介质。由于缺乏有效的确认标识, 会计信息的真实性就失去了可靠的保障。一旦会计信息系统的安全受到侵害, 最直接的影响就是会计数据错误、数据丢失或被篡改使会计信息失真, 从而不同程序地影响会计信息的使用者进行有关决策。
        4.2企业资产损失
        利用非法手段侵吞企业资财是会计信息系统安全风险的主要形式之一。其手段主要有:未经许可非法侵入他人计算机设施、通过网络散布病毒等有害程序、非法转移电子资金及盗窃银行存款等。随着犯罪技术的日趋多样化、复杂化, 信息系统犯罪更加隐蔽, 更加难以发现, 涉及的金额从最初的几千元发展到几万元, 甚至上亿元, 安全风险越来越大, 后果越来越严重。
        4.3信息泄露与被篡改
        企业重要信息泄露。即商业机密的泄露,主要包括交易双方进行交易的内容被第三方窃取, 交易一方提供给另一方使用的文件被第三方非法使用等情况。利用高技术手段窃取企业机密是计算机犯罪的主要目的之一, 也是构成系统安全风险的重要形式。
        4.4计算机病毒及黑客的破坏
        随着因特网的迅速发展, 计算机病毒也在不断表现出多样化、速度快、破坏力强、自我复制、难以防范等特点, 特别是企业的内域网与互联网连接, 使计算机系统感染病毒的机率和病毒防范的难度大大增加。同时, 在庞大网络环境中, 企业在进行交易时, 处于非法操作、网上黑客攻击等极大的风险之中。目前, 世界上“约有 20多万个黑客网站”, 这给财务信息造成极大的威胁。
        4.5网络财务软件的脆弱性
        网络财务软件在运行过程中, 其正确性和有效性通常受到技术故障的威胁: 一是计算机系统故障, 一旦计算机软硬件出现了故障, 将很可能导致整个网络系统瘫痪,无法正常运行, 数据丢失等, 给企业造成极大的损失; 二是网络财务软件一旦出台后, 一般在很短的时间内不会进行修改、升级, 而财务政策却在不断创新, 致使网络财务软件很难适应这些变化。
        5、网络会计系统风险的防范策略
        5.1建立必要的管理制度
        5.1.1.建立必要的上机操作控制制度和系统运行记录控制制度。
        建立严格的硬件操作规程; 制定操作员访问系统的标准操作规程、明确规定各个操作人员进入系统后执行程序的顺序、各硬件设备的使用要求、数据文件和
        程序文件的使用要求; 加强对网络硬件的管理和损害补救措施, 在使用网络硬件时,应进行严格的检查, 确定其合格、合规。
        5.1.2建立严格的文档管理制度。
        系统投入使用后, 原系统的所有程序文件, 软、硬件技术资料应作为档案进行保管, 并由专人负责; 在档案调用时必须经过系统主管和程序保管共同批准, 并进行详细登记, 以便日后核查。
        5.1.3建立网络环境下会计信息系统的岗位责任制。
        设置网络管理中心, 明确规划各用户的责任和权限。用户进入系统时必须输入自己的用户名和口令, 进入系统后也只能执行自己权限范围内的功能, 防止非法操作。做到不相容职务的分离, 防止单用户系统中利用数据库管理系统篡改数据文件。同时, 制定有关会计数据输入、处理的操作制度和规程。
        5.2建立网络系统安全控制措施
        通常网络系统安全保障可以分为两大类。即建立在数据加密、用户授权确认机制上的开放型和以防火墙技术为代表的被动防卫型网络安全保障系统。
        5.2.1会计信息安全控制。
        会计信息安全的基础是密码学。这类技术的特征是利用现代数据加密技术保护整个网络中的所有数据流。如通信线路上的数据流加密, 数据库中的数据文件加密, 访问者的身份认证, 数字签名等。除密码学之外, 模式识别的方法也在网络信息安全方面得到应用。
        5.2.2系统入侵防范控制。
        实施尽可能的适度防护,加强信息系统安全检测, 有效提高网络财务系统自身安全漏洞和内外部攻击行为的检测、管理、监控和适时处理能力, 实现合理评估信息系统安全事件、有效适时阻断非法和违规网络活动的目标。
        5.3建立安全的网络财务软件平台。
        目前, 我国大多数财务软件是以数据库管理系统为基础经过二次开发完成的, 其系统中存在的各类数据、文件还缺乏相应的保护机制, 这为网络黑客犯罪留下了空间。因此, 在应用平台开发的技术选择上也要考虑数据安全性问题, 可在独立核算的数据采集部门应用界面灵活、功能强大、适合大量单据录入处理的结构。而对于决策支持、远程查询、远程上报采用 Web 的应用, 这样就可以大大提高财务数据的安全性。
        5.4提高企业领导及使用人员的安全风险认识。
        提高企业领导对信息系统安全风险的认识和使用人员的业务素质及思想修养, 使其能够自觉遵守各种规章制度和操作规程, 减轻实际工作中的差错、提高系统安全意识和保护系统安全的自觉性, 培养网络系统管理人员, 使他们不仅精通网络系统技术, 还能够站在更高层次上观察问题、思考问题, 及时发现系统的安全风险隐患并及时排除, 这对减少系统安全风险至关重要。
        另外,要加强对网络财务软件的管理,定期完善、升级并严格评审。国家、行业和企业自身都应设置网管中心,加强网络的日志管理。要加强操作人员的职业道德教育和防范技能的培养,提高操作人员的全面素质。对网络协议的漏洞,目前无有效的防范手段,但要提高网络人员的防范意识。
           6、结束语
        网络财务的无纸化信息带来了会计信息沟通与财务分析上的方便,但也使企业面临各种各样的风险,企业必须在技术和组织上进行有效的规划和设计,同时,必须在管理和控制等多个方面与层次上,制定和实施相应的配合与协调机制,为网络财务建立一个安全稳定的运行环境,使网络财务风险减小到最低。
           参考文献
        [1]唐永军,时薛原.网络环境下的会计信息内部控制研究[J].财会通讯,2008,(10).
        [2]尚杰,王永库.网络财务的安全构想[J].中国会计电算化,2007,(5).
        [3] 杨平波. 网络会计信息系统的内部控制 [J]. 财会通讯,2009,(5).
        [4]刘雪晶.会计网络化计算机舞弊与舞弊控制[J].财会通讯, 2007,(10).
        [5].余锋.论会计电算化发展的新趋势---网络财务[J].财务与会计,2008(1)
        [6]陆正飞,朱凯.每日财务报告:有益的尝试[J].会计研究,2004(1)
 

网友评论 more
创想安科网站简介会员服务广告服务业务合作提交需求会员中心在线投稿版权声明友情链接联系我们