網(wǎng)絡(luò)財(cái)務(wù)信息安全風(fēng)險(xiǎn)及防范

□文/霍宏建

（1.河北省煙草專賣局；2.中國(guó)煙草總公司河北省公司河北·石家莊）

一、網(wǎng)絡(luò)財(cái)務(wù)信息安全面臨的主要風(fēng)險(xiǎn)

網(wǎng)絡(luò)財(cái)務(wù)是信息技術(shù)在財(cái)務(wù)領(lǐng)域的具體應(yīng)用，其信息安全風(fēng)險(xiǎn)來(lái)源于信息技術(shù)的一般風(fēng)險(xiǎn)和財(cái)務(wù)數(shù)據(jù)的特定風(fēng)險(xiǎn)，主要表現(xiàn)在以下幾個(gè)方面：

1、硬件系統(tǒng)風(fēng)險(xiǎn)。任何計(jì)算機(jī)軟件都必須通過(guò)硬件來(lái)運(yùn)行，硬件是軟件的承載體。硬件系統(tǒng)發(fā)生故障時(shí)，將會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓，軟件無(wú)法運(yùn)行，業(yè)務(wù)處理停滯，給網(wǎng)絡(luò)財(cái)務(wù)使用者造成很大損失。如果硬件中的存儲(chǔ)系統(tǒng)發(fā)生嚴(yán)重?fù)p壞，所有數(shù)據(jù)將會(huì)面臨全部丟失的風(fēng)險(xiǎn)，給財(cái)務(wù)工作帶來(lái)災(zāi)難性后果。

2、軟件系統(tǒng)風(fēng)險(xiǎn)。網(wǎng)絡(luò)財(cái)務(wù)軟件的正常運(yùn)行，除需要硬件系統(tǒng)保障外，還需要操作系統(tǒng)、中間件和數(shù)據(jù)庫(kù)等軟件的支撐，這些軟件系統(tǒng)是否存在漏洞，技術(shù)上是否成熟，運(yùn)行是否穩(wěn)定，直接影響財(cái)務(wù)信息安全程度和網(wǎng)絡(luò)財(cái)務(wù)軟件運(yùn)行效率。

3、數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)。在網(wǎng)絡(luò)財(cái)務(wù)環(huán)境下，財(cái)務(wù)信息存儲(chǔ)介質(zhì)發(fā)生變化，由紙質(zhì)轉(zhuǎn)化為磁介質(zhì)，所有財(cái)務(wù)數(shù)據(jù)以電子格式存儲(chǔ)于服務(wù)器端，財(cái)務(wù)數(shù)據(jù)更易容丟失、被盜和損壞。此外，隨著網(wǎng)絡(luò)財(cái)務(wù)軟件的應(yīng)用，財(cái)務(wù)數(shù)據(jù)量不斷增多，存儲(chǔ)設(shè)備還面臨著容量不夠的風(fēng)險(xiǎn)。

4、信息傳遞風(fēng)險(xiǎn)。網(wǎng)絡(luò)財(cái)務(wù)運(yùn)行過(guò)程中，財(cái)務(wù)信息需要借助計(jì)算機(jī)網(wǎng)絡(luò)在客戶端和服務(wù)器端之間不斷地進(jìn)行數(shù)據(jù)傳遞和交換，并且這種數(shù)據(jù)傳遞和交換都是以廣播的形式進(jìn)行發(fā)布。理論上，任何聯(lián)網(wǎng)計(jì)算機(jī)都有可能獲取網(wǎng)絡(luò)資源，竊聽(tīng)網(wǎng)絡(luò)信息，這就大大增加了財(cái)務(wù)信息被截取、泄露、篡改的風(fēng)險(xiǎn)。

5、病毒破壞風(fēng)險(xiǎn)。隨著網(wǎng)絡(luò)迅速發(fā)展，計(jì)算機(jī)病毒的破壞能力不斷提高，破壞范圍不斷擴(kuò)大，并且呈現(xiàn)出了傳播速度快、自我復(fù)制強(qiáng)、難以防范的特點(diǎn)，給財(cái)務(wù)信息安全造成了極大的威脅。

6、非法入侵風(fēng)險(xiǎn)。在網(wǎng)絡(luò)環(huán)境中，任何聯(lián)網(wǎng)計(jì)算機(jī)在理論上都是可以被訪問(wèn)到的，除非它們?cè)谖锢砩蠑嚅_(kāi)鏈接。一些人可能出于各種目的，利用黑客程序，破壞網(wǎng)絡(luò)系統(tǒng)，進(jìn)行黑客攻擊。而且，黑客攻擊比病毒破壞更具目的性和破壞性。

7、人員責(zé)任風(fēng)險(xiǎn)。計(jì)算機(jī)管理制度不健全，管理人員技術(shù)不精或者責(zé)任心不強(qiáng)；防范措施不嚴(yán)格，對(duì)網(wǎng)絡(luò)系統(tǒng)未進(jìn)行必要的安全配置和管理，對(duì)網(wǎng)絡(luò)信息缺乏嚴(yán)密的監(jiān)控；財(cái)務(wù)系統(tǒng)用戶不注意口令保護(hù)，口令密碼設(shè)置簡(jiǎn)單或長(zhǎng)期不更改，致使別有用心的入侵者輕易冒充合法用戶進(jìn)入系統(tǒng)，竊取、篡改、破壞數(shù)據(jù)。

二、網(wǎng)絡(luò)財(cái)務(wù)信息安全風(fēng)險(xiǎn)防范措施

網(wǎng)絡(luò)財(cái)務(wù)信息安全風(fēng)險(xiǎn)防范是一項(xiàng)系統(tǒng)工程，需要財(cái)務(wù)和信息部門(mén)密切配合，通力協(xié)作，采取防范措施，增強(qiáng)系統(tǒng)抵御風(fēng)險(xiǎn)的能力，確保網(wǎng)絡(luò)財(cái)務(wù)信息安全。

1、強(qiáng)化網(wǎng)絡(luò)安全意識(shí)。加強(qiáng)網(wǎng)絡(luò)信息安全重要性宣傳和教育，使全體員工尤其是財(cái)務(wù)和信息部門(mén)人員在思想上時(shí)刻樹(shù)立網(wǎng)絡(luò)安全意識(shí)，深刻認(rèn)識(shí)網(wǎng)絡(luò)安全對(duì)于財(cái)務(wù)工作的極端重要性，自覺(jué)維護(hù)良好的網(wǎng)絡(luò)安全環(huán)境，抵制一切影響網(wǎng)絡(luò)安全的行為。

2、加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范。網(wǎng)絡(luò)安全技術(shù)防范是指綜合運(yùn)用防火墻、數(shù)據(jù)加密、數(shù)字簽名和安全協(xié)議等專業(yè)技術(shù)對(duì)整個(gè)財(cái)務(wù)網(wǎng)絡(luò)系統(tǒng)采取全方位的安全防范措施，建立多層次的網(wǎng)絡(luò)安全體系，提高網(wǎng)絡(luò)安全防護(hù)等級(jí)，提供全面的網(wǎng)絡(luò)信息安全保護(hù)。加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范，要保障資金投入，確保網(wǎng)絡(luò)安全防范設(shè)備及時(shí)安裝到位；要注重培養(yǎng)網(wǎng)絡(luò)安全技術(shù)專業(yè)人才，不斷提高網(wǎng)絡(luò)安全技術(shù)人員的業(yè)務(wù)能力和工作水平。

3、加強(qiáng)財(cái)務(wù)數(shù)據(jù)管理。定期對(duì)財(cái)務(wù)數(shù)據(jù)進(jìn)行異地備份，指定專人負(fù)責(zé)保管備份介質(zhì)，未經(jīng)審批不得對(duì)備份數(shù)據(jù)進(jìn)行恢復(fù)操作。嚴(yán)格限定財(cái)務(wù)數(shù)據(jù)共享范圍和權(quán)限，只允許其他系統(tǒng)在限定的范圍內(nèi)對(duì)財(cái)務(wù)數(shù)據(jù)庫(kù)進(jìn)行只讀操作，不得賦予改寫(xiě)權(quán)限。嚴(yán)格數(shù)據(jù)錄入審核，防止錯(cuò)誤數(shù)據(jù)進(jìn)入財(cái)務(wù)系統(tǒng)。妥善保管操作系統(tǒng)、數(shù)據(jù)庫(kù)和財(cái)務(wù)軟件等各類密碼，增強(qiáng)密碼設(shè)置安全程度，不定期進(jìn)行更改，防止別人盜用密碼進(jìn)行非法操作。

4、加強(qiáng)財(cái)務(wù)信息化安全制度建設(shè)。建立健全和有效落實(shí)財(cái)務(wù)信息化安全制度是保障財(cái)務(wù)軟件正常運(yùn)行、財(cái)務(wù)數(shù)據(jù)安全完整的關(guān)鍵。這些制度包括財(cái)務(wù)系統(tǒng)軟硬件管理和維護(hù)制度、系統(tǒng)管理人員和操作人員崗位責(zé)任制度、文檔資料保管和使用制度、計(jì)算機(jī)病毒防范制度、操作權(quán)限分配規(guī)定、計(jì)算機(jī)和網(wǎng)絡(luò)安全事故應(yīng)急預(yù)案等，通過(guò)財(cái)務(wù)信息化安全制度建設(shè)，盡可能減少由于內(nèi)部人員道德風(fēng)險(xiǎn)、系統(tǒng)資源風(fēng)險(xiǎn)、計(jì)算機(jī)病毒風(fēng)險(xiǎn)和意外風(fēng)險(xiǎn)造成的危害，確保網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)安全運(yùn)行。

5、加強(qiáng)對(duì)計(jì)算機(jī)病毒和黑客的防范。

通常情況下，網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)運(yùn)行于單位內(nèi)網(wǎng)之中。防范計(jì)算機(jī)病毒和黑客的最有效方法就是實(shí)行內(nèi)外網(wǎng)嚴(yán)格分離制度，內(nèi)外網(wǎng)之間進(jìn)行物理隔離，使得外網(wǎng)計(jì)算機(jī)不能登錄到內(nèi)網(wǎng)。此外，在內(nèi)網(wǎng)中的所有計(jì)算機(jī)都要安裝殺毒軟件，定期更新病毒庫(kù)，及時(shí)查殺計(jì)算機(jī)病毒。加強(qiáng)網(wǎng)絡(luò)安全監(jiān)控，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，果斷進(jìn)行處理，凈化網(wǎng)絡(luò)環(huán)境。建立訪問(wèn)列表，嚴(yán)格限定聯(lián)網(wǎng)計(jì)算機(jī)對(duì)財(cái)務(wù)服務(wù)器的訪問(wèn)控制。

6、加強(qiáng)身份認(rèn)證和權(quán)限控制。建立更為科學(xué)的CA數(shù)字認(rèn)證體系，采用數(shù)字證書(shū)方式進(jìn)行登錄，確保系統(tǒng)數(shù)據(jù)的完整性、保密性和行為的不可否認(rèn)性，杜絕數(shù)據(jù)在傳送過(guò)程中可能出現(xiàn)的非法訪問(wèn)、非法篡改、假冒偽造等安全問(wèn)題。嚴(yán)格進(jìn)行權(quán)限分配和控制，根據(jù)實(shí)際工作需要，合理確定財(cái)務(wù)人員和管理人員操作權(quán)限。嚴(yán)格授權(quán)操作管理，未經(jīng)批準(zhǔn)，不相關(guān)人員不得接觸財(cái)務(wù)軟硬件系統(tǒng)，確保財(cái)務(wù)系統(tǒng)和數(shù)據(jù)信息的安全。

[1]劉峰成.網(wǎng)絡(luò)財(cái)務(wù)信息安全問(wèn)題.合作經(jīng)濟(jì)與科技，2007.3.

[2]卞繼紅.網(wǎng)絡(luò)財(cái)務(wù)的安全隱患及其治理.財(cái)會(huì)研究，2011.9.

[3]袁雋媛.財(cái)務(wù)內(nèi)網(wǎng)信息安全的策略與技術(shù)研究.中國(guó)管理信息化，2009.2.