網絡環境下財務信息安全管理的探討

●湖北中煙工業有限責任公司財務管理部 郭宏捷

在手工賬和單機版財務信息系統的時代，財務信息以紙張、磁盤和光盤為主要載體，傳統的檔案管理中接觸授權、設置密級等處理方式即可達到企業對財務信息安全的管理要求。今天，網絡技術給財務信息的處理帶來即時、準確、高效、便利的優勢，財務信息也因為網絡技術面臨著更多的安全風險。

一、風險產生的原因和管理目標

財務信息貫穿企業經營活動的始終，一般來說財務信息約占企業信息量的70%，財務信息量大而且多為企業的核心數據，對保密的要求較高。財務的保密性與網絡的公開性特征相互矛盾，這是網絡環境下財務信息安全風險產生的根本原因。

在網絡融合之后，信息網絡固有的安全風險向其他網絡延伸，數據的匯集進一步導致安全風險的集中和放大，網絡中財務數據的加工、儲存、傳輸、檢索都存在很大的安全隱患，實際上無法保證財務信息的絕對安全。對企業來說，較為可行的風險防控目標應該是使財務信息安全問題帶來的損失相較于網絡環境下信息使用所帶來的效益降為最小。

二、影響網絡環境下財務信息安全的主要因素

（一）法律方面。我國在計算機信息安全管理特別是在網絡安全方面從90年代中期開始立法，迄今為止已經搭建了包括法律、行政法規、地方性法規和規范性文件等多層面的網絡安全立法體系，包括1994年發布的 《中華人民共和國計算機系統安全保護條例》、2000年頒布的《全國人大常委會關于維護互聯網安全的決定》以及同年施行的《會計法》等法律法規。這些法律規章主要從傳統行政的角度保障網絡信息安全，信息安全條款比較分散并且表述上以原則性為主，沒有制訂專門的網絡信息安全法律規范，對于處理具體網絡信息安全行為的針對性不強。并且法律法規的制定和修訂滯后于網絡技術的發展，對于不斷出現的新型網絡犯罪現象和電子證據的采信在立法上還需要繼續完善。

（二）人員意識方面。在2013年中國計算機網絡安全年會上，工信部明確表示中國網絡安全現狀不容樂觀，要繼續提升全社會網絡安全意識。在信息化建設的過程中，大部分企業以解決管理需求的系統應用為主，對網絡安全的關注不夠。此外，企業員工通常會認為信息安全從制度建設到執行整改都是信息部門的工作，很少有其他部門制定信息安全管理的行為規范。實際上內部用戶造成的安全威脅遠大于外部網絡，員工的人為疏漏容易形成信息的安全隱患。

（三）資源投入方面。我國企業在安全方面投入的資源比例偏低，根據統計，一般發達國家的企業在信息化投資中網絡安全通常會占到總投資的20%—30%，我國企業投資在網絡安全的比例還不到10%，已上網的企業超過半數沒有建立防火墻和采用入侵檢測技術，在網絡安全上資金和人員的投入明顯不足。

三、建立保障網絡環境下財務信息安全的體系

財務信息安全的管理是一項系統工程，需要政府、企業、信息和財務部門的共同努力，形成一個由面到點的防控體系。

（一）政府方面。網絡信息安全要倚靠有效的管理和先進的技術，政府在行政管理和技術規劃工作中起著至關重要的作用。

1.加強法律對信息安全的基礎保障。首先，我國應繼續完善法律體系中網絡信息安全的法律法規，加強對網絡信息安全的保護；其次，加快建立規范的網上支付系統等一系列法規；最后，在時機成熟時制定專門的網絡信息安全法，提升立法的層次和效力，針對具體的威脅網絡信息安全的犯罪行為形成制度化的預防和打擊。

2.發揮總體規劃和組織協調作用。隨著工業化和信息化兩化融合的深入開展，網絡安全已經成為各行業各單位共同關注的重大問題。政府一方面要做好信息安全風險防控建設的總體規劃，開展網絡安全環境的綜合治理，推動各單位落實網絡安全標準和各項防護的措施，幫助各單位提升責任意識，強化行業自律；另一方面要組織科研院校、專業安全廠商和相關企業間的協作，建立統一和聯動的工作機制，實現行政管理和技術支持之間的協同。

3.加強網絡安全的投入。我國網絡領域的核心技術對外依存度較高，與網絡相關的存儲設備和數據庫等基本都從國外采購，“棱鏡”項目的曝光揭示了中國與發達國家在網絡技術上的差距，加強網絡安全技術的研究和投入勢在必行。我國應加強網絡安全防御體系的研究，提高對網絡全局的整體掌控能力，提高對網絡信息風險的監測和預警能力。同時，根據網絡技術不斷發展引發的新風險，引導信息安全企業加大科研投入，鼓勵和扶持安全產品的研制和開發，提高及時應對能力，進而提升國家網絡安全的整體技術保障能力。

4.加強國際間協作。網絡具有跨越地理區域的傳播特點，我國應積極加入到國際網絡空間的國際合作體系中，深化國際間網絡技術的協作，與各國共同制定網絡高端技術標準，參與對國際網絡安全的法律法規的制定進程中，共同懲治跨國的計算機犯罪行為。

（二）企業方面

1.建立信息安全管理機制。完善的管理流程和制度設計可以減少由于人為原因、系統資源風險和計算機病毒造成的危害，因而建立和執行有效的安全管理制度是企業防控信息安全風險的重要手段。信息安全管理制度主要涵蓋以下方面：加強網絡系統的安全控制，包括硬件和軟件安全控制、日常操作安全控制，系統維護安全控制；加強對數據管理安全控制，包括加強對數據輸入、處理、輸出、保密及備份的控制；

明確企業各部門的安全管理職責和權限。在管理手段上，

企業內部應定期開展內控審計、安全性測試等加強防查力度，及時發現問題；對接觸財務系統的外部協作單位要簽署保密協議，明確信息安全責任。

2.應用安全的網絡基礎設置和網絡技術。信息安全技術包括系統安全和信息安全等方面。系統安全保障網絡通信基礎設置、網絡上的各種系統及應用軟件的正常運行；信息安全主要通過鑒別、訪問控制、數據完整性、數據保密和抗抵賴等安全服務，保障網絡環境下信息保持其保密性、完整性和可用性，通常采用防火墻、入侵檢測技術、信息加密、數字簽名等多種技術手段。對于網絡的新技術包括云服務和移動終端的應用，應在確認其技術安全可靠之后才在企業內推廣使用。

3.加大宣傳和培訓的力度。企業財務信息安全的管理是一項長期性、全員參與的工作，僅靠技術部門和技術手段無法杜絕安全問題。企業有必要讓全體員工充分認識到網絡環境下信息安全的必要性和重要性，將日常業務與信息安全管理結合起來，規范員工的日常操作習慣，提高員工的安全防范意識。

（三）財務人員方面。財務人員應該遵循法律法規和企業信息安全管理的要求，同時在財務信息處理的各個環節都恪守正確的操作方式。

1.財務信息的保管環節。財務人員對儲存有財務信息的計算機，需及時修補操作系統漏洞，安裝正版殺毒軟件，不下載和安裝可疑軟件。財務電子文檔可以考慮采用文件加密的方式進行保存，重要的財務系統和信息管理網站還需要定期更換登錄密碼。

2.財務信息的傳輸環節。財務人員之間在企業內部傳輸文件時，應使用內部郵箱和通訊軟件傳輸文件。避免使用外部服務器和郵箱，包括使用在線傳輸、離線文件。因技術手段限制必須使用外部服務器和郵箱的，需對文件進行加密，同時采用電話、短信等其他方式告知接收方密碼信息。

1.祁玉峽.2007.網絡環境下會計信息系統的安全問題及管理措施[J].河南科技，2。

2.任妍.2011.我國網絡信息立法的現狀和對策建議[J].中國發展觀察，11。

3.霍宏建.2012.網絡財務信息安全風險及防范[J].合作經濟與科技，2。