●湖北中煙工業(yè)有限責(zé)任公司財(cái)務(wù)管理部 郭宏捷

在手工賬和單機(jī)版財(cái)務(wù)信息系統(tǒng)的時(shí)代，財(cái)務(wù)信息以紙張、磁盤(pán)和光盤(pán)為主要載體，傳統(tǒng)的檔案管理中接觸授權(quán)、設(shè)置密級(jí)等處理方式即可達(dá)到企業(yè)對(duì)財(cái)務(wù)信息安全的管理要求。今天，網(wǎng)絡(luò)技術(shù)給財(cái)務(wù)信息的處理帶來(lái)即時(shí)、準(zhǔn)確、高效、便利的優(yōu)勢(shì)，財(cái)務(wù)信息也因?yàn)榫W(wǎng)絡(luò)技術(shù)面臨著更多的安全風(fēng)險(xiǎn)。

一、風(fēng)險(xiǎn)產(chǎn)生的原因和管理目標(biāo)

財(cái)務(wù)信息貫穿企業(yè)經(jīng)營(yíng)活動(dòng)的始終，一般來(lái)說(shuō)財(cái)務(wù)信息約占企業(yè)信息量的70%，財(cái)務(wù)信息量大而且多為企業(yè)的核心數(shù)據(jù)，對(duì)保密的要求較高。財(cái)務(wù)的保密性與網(wǎng)絡(luò)的公開(kāi)性特征相互矛盾，這是網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)信息安全風(fēng)險(xiǎn)產(chǎn)生的根本原因。

在網(wǎng)絡(luò)融合之后，信息網(wǎng)絡(luò)固有的安全風(fēng)險(xiǎn)向其他網(wǎng)絡(luò)延伸，數(shù)據(jù)的匯集進(jìn)一步導(dǎo)致安全風(fēng)險(xiǎn)的集中和放大，網(wǎng)絡(luò)中財(cái)務(wù)數(shù)據(jù)的加工、儲(chǔ)存、傳輸、檢索都存在很大的安全隱患，實(shí)際上無(wú)法保證財(cái)務(wù)信息的絕對(duì)安全。對(duì)企業(yè)來(lái)說(shuō)，較為可行的風(fēng)險(xiǎn)防控目標(biāo)應(yīng)該是使財(cái)務(wù)信息安全問(wèn)題帶來(lái)的損失相較于網(wǎng)絡(luò)環(huán)境下信息使用所帶來(lái)的效益降為最小。

二、影響網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)信息安全的主要因素

（一）法律方面。我國(guó)在計(jì)算機(jī)信息安全管理特別是在網(wǎng)絡(luò)安全方面從90年代中期開(kāi)始立法，迄今為止已經(jīng)搭建了包括法律、行政法規(guī)、地方性法規(guī)和規(guī)范性文件等多層面的網(wǎng)絡(luò)安全立法體系，包括1994年發(fā)布的 《中華人民共和國(guó)計(jì)算機(jī)系統(tǒng)安全保護(hù)條例》、2000年頒布的《全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》以及同年施行的《會(huì)計(jì)法》等法律法規(guī)。這些法律規(guī)章主要從傳統(tǒng)行政的角度保障網(wǎng)絡(luò)信息安全，信息安全條款比較分散并且表述上以原則性為主，沒(méi)有制訂專(zhuān)門(mén)的網(wǎng)絡(luò)信息安全法律規(guī)范，對(duì)于處理具體網(wǎng)絡(luò)信息安全行為的針對(duì)性不強(qiáng)。并且法律法規(guī)的制定和修訂滯后于網(wǎng)絡(luò)技術(shù)的發(fā)展，對(duì)于不斷出現(xiàn)的新型網(wǎng)絡(luò)犯罪現(xiàn)象和電子證據(jù)的采信在立法上還需要繼續(xù)完善。

（二）人員意識(shí)方面。在2013年中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)上，工信部明確表示中國(guó)網(wǎng)絡(luò)安全現(xiàn)狀不容樂(lè)觀，要繼續(xù)提升全社會(huì)網(wǎng)絡(luò)安全意識(shí)。在信息化建設(shè)的過(guò)程中，大部分企業(yè)以解決管理需求的系統(tǒng)應(yīng)用為主，對(duì)網(wǎng)絡(luò)安全的關(guān)注不夠。此外，企業(yè)員工通常會(huì)認(rèn)為信息安全從制度建設(shè)到執(zhí)行整改都是信息部門(mén)的工作，很少有其他部門(mén)制定信息安全管理的行為規(guī)范。實(shí)際上內(nèi)部用戶造成的安全威脅遠(yuǎn)大于外部網(wǎng)絡(luò)，員工的人為疏漏容易形成信息的安全隱患。

（三）資源投入方面。我國(guó)企業(yè)在安全方面投入的資源比例偏低，根據(jù)統(tǒng)計(jì)，一般發(fā)達(dá)國(guó)家的企業(yè)在信息化投資中網(wǎng)絡(luò)安全通常會(huì)占到總投資的20%—30%，我國(guó)企業(yè)投資在網(wǎng)絡(luò)安全的比例還不到10%，已上網(wǎng)的企業(yè)超過(guò)半數(shù)沒(méi)有建立防火墻和采用入侵檢測(cè)技術(shù)，在網(wǎng)絡(luò)安全上資金和人員的投入明顯不足。

三、建立保障網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)信息安全的體系

財(cái)務(wù)信息安全的管理是一項(xiàng)系統(tǒng)工程，需要政府、企業(yè)、信息和財(cái)務(wù)部門(mén)的共同努力，形成一個(gè)由面到點(diǎn)的防控體系。

（一）政府方面。網(wǎng)絡(luò)信息安全要倚靠有效的管理和先進(jìn)的技術(shù)，政府在行政管理和技術(shù)規(guī)劃工作中起著至關(guān)重要的作用。

1.加強(qiáng)法律對(duì)信息安全的基礎(chǔ)保障。首先，我國(guó)應(yīng)繼續(xù)完善法律體系中網(wǎng)絡(luò)信息安全的法律法規(guī)，加強(qiáng)對(duì)網(wǎng)絡(luò)信息安全的保護(hù)；其次，加快建立規(guī)范的網(wǎng)上支付系統(tǒng)等一系列法規(guī)；最后，在時(shí)機(jī)成熟時(shí)制定專(zhuān)門(mén)的網(wǎng)絡(luò)信息安全法，提升立法的層次和效力，針對(duì)具體的威脅網(wǎng)絡(luò)信息安全的犯罪行為形成制度化的預(yù)防和打擊。

2.發(fā)揮總體規(guī)劃和組織協(xié)調(diào)作用。隨著工業(yè)化和信息化兩化融合的深入開(kāi)展，網(wǎng)絡(luò)安全已經(jīng)成為各行業(yè)各單位共同關(guān)注的重大問(wèn)題。政府一方面要做好信息安全風(fēng)險(xiǎn)防控建設(shè)的總體規(guī)劃，開(kāi)展網(wǎng)絡(luò)安全環(huán)境的綜合治理，推動(dòng)各單位落實(shí)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和各項(xiàng)防護(hù)的措施，幫助各單位提升責(zé)任意識(shí)，強(qiáng)化行業(yè)自律；另一方面要組織科研院校、專(zhuān)業(yè)安全廠商和相關(guān)企業(yè)間的協(xié)作，建立統(tǒng)一和聯(lián)動(dòng)的工作機(jī)制，實(shí)現(xiàn)行政管理和技術(shù)支持之間的協(xié)同。

3.加強(qiáng)網(wǎng)絡(luò)安全的投入。我國(guó)網(wǎng)絡(luò)領(lǐng)域的核心技術(shù)對(duì)外依存度較高，與網(wǎng)絡(luò)相關(guān)的存儲(chǔ)設(shè)備和數(shù)據(jù)庫(kù)等基本都從國(guó)外采購(gòu)，“棱鏡”項(xiàng)目的曝光揭示了中國(guó)與發(fā)達(dá)國(guó)家在網(wǎng)絡(luò)技術(shù)上的差距，加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的研究和投入勢(shì)在必行。我國(guó)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全防御體系的研究，提高對(duì)網(wǎng)絡(luò)全局的整體掌控能力，提高對(duì)網(wǎng)絡(luò)信息風(fēng)險(xiǎn)的監(jiān)測(cè)和預(yù)警能力。同時(shí)，根據(jù)網(wǎng)絡(luò)技術(shù)不斷發(fā)展引發(fā)的新風(fēng)險(xiǎn)，引導(dǎo)信息安全企業(yè)加大科研投入，鼓勵(lì)和扶持安全產(chǎn)品的研制和開(kāi)發(fā)，提高及時(shí)應(yīng)對(duì)能力，進(jìn)而提升國(guó)家網(wǎng)絡(luò)安全的整體技術(shù)保障能力。

4.加強(qiáng)國(guó)際間協(xié)作。網(wǎng)絡(luò)具有跨越地理區(qū)域的傳播特點(diǎn)，我國(guó)應(yīng)積極加入到國(guó)際網(wǎng)絡(luò)空間的國(guó)際合作體系中，深化國(guó)際間網(wǎng)絡(luò)技術(shù)的協(xié)作，與各國(guó)共同制定網(wǎng)絡(luò)高端技術(shù)標(biāo)準(zhǔn)，參與對(duì)國(guó)際網(wǎng)絡(luò)安全的法律法規(guī)的制定進(jìn)程中，共同懲治跨國(guó)的計(jì)算機(jī)犯罪行為。

（二）企業(yè)方面

1.建立信息安全管理機(jī)制。完善的管理流程和制度設(shè)計(jì)可以減少由于人為原因、系統(tǒng)資源風(fēng)險(xiǎn)和計(jì)算機(jī)病毒造成的危害，因而建立和執(zhí)行有效的安全管理制度是企業(yè)防控信息安全風(fēng)險(xiǎn)的重要手段。信息安全管理制度主要涵蓋以下方面：加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全控制，包括硬件和軟件安全控制、日常操作安全控制，系統(tǒng)維護(hù)安全控制；加強(qiáng)對(duì)數(shù)據(jù)管理安全控制，包括加強(qiáng)對(duì)數(shù)據(jù)輸入、處理、輸出、保密及備份的控制；

明確企業(yè)各部門(mén)的安全管理職責(zé)和權(quán)限。在管理手段上，

企業(yè)內(nèi)部應(yīng)定期開(kāi)展內(nèi)控審計(jì)、安全性測(cè)試等加強(qiáng)防查力度，及時(shí)發(fā)現(xiàn)問(wèn)題；對(duì)接觸財(cái)務(wù)系統(tǒng)的外部協(xié)作單位要簽署保密協(xié)議，明確信息安全責(zé)任。

2.應(yīng)用安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)置和網(wǎng)絡(luò)技術(shù)。信息安全技術(shù)包括系統(tǒng)安全和信息安全等方面。系統(tǒng)安全保障網(wǎng)絡(luò)通信基礎(chǔ)設(shè)置、網(wǎng)絡(luò)上的各種系統(tǒng)及應(yīng)用軟件的正常運(yùn)行；信息安全主要通過(guò)鑒別、訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)保密和抗抵賴(lài)等安全服務(wù)，保障網(wǎng)絡(luò)環(huán)境下信息保持其保密性、完整性和可用性，通常采用防火墻、入侵檢測(cè)技術(shù)、信息加密、數(shù)字簽名等多種技術(shù)手段。對(duì)于網(wǎng)絡(luò)的新技術(shù)包括云服務(wù)和移動(dòng)終端的應(yīng)用，應(yīng)在確認(rèn)其技術(shù)安全可靠之后才在企業(yè)內(nèi)推廣使用。

3.加大宣傳和培訓(xùn)的力度。企業(yè)財(cái)務(wù)信息安全的管理是一項(xiàng)長(zhǎng)期性、全員參與的工作，僅靠技術(shù)部門(mén)和技術(shù)手段無(wú)法杜絕安全問(wèn)題。企業(yè)有必要讓全體員工充分認(rèn)識(shí)到網(wǎng)絡(luò)環(huán)境下信息安全的必要性和重要性，將日常業(yè)務(wù)與信息安全管理結(jié)合起來(lái)，規(guī)范員工的日常操作習(xí)慣，提高員工的安全防范意識(shí)。

（三）財(cái)務(wù)人員方面。財(cái)務(wù)人員應(yīng)該遵循法律法規(guī)和企業(yè)信息安全管理的要求，同時(shí)在財(cái)務(wù)信息處理的各個(gè)環(huán)節(jié)都恪守正確的操作方式。

1.財(cái)務(wù)信息的保管環(huán)節(jié)。財(cái)務(wù)人員對(duì)儲(chǔ)存有財(cái)務(wù)信息的計(jì)算機(jī)，需及時(shí)修補(bǔ)操作系統(tǒng)漏洞，安裝正版殺毒軟件，不下載和安裝可疑軟件。財(cái)務(wù)電子文檔可以考慮采用文件加密的方式進(jìn)行保存，重要的財(cái)務(wù)系統(tǒng)和信息管理網(wǎng)站還需要定期更換登錄密碼。

2.財(cái)務(wù)信息的傳輸環(huán)節(jié)。財(cái)務(wù)人員之間在企業(yè)內(nèi)部傳輸文件時(shí)，應(yīng)使用內(nèi)部郵箱和通訊軟件傳輸文件。避免使用外部服務(wù)器和郵箱，包括使用在線傳輸、離線文件。因技術(shù)手段限制必須使用外部服務(wù)器和郵箱的，需對(duì)文件進(jìn)行加密，同時(shí)采用電話、短信等其他方式告知接收方密碼信息。

1.祁玉峽.2007.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題及管理措施[J].河南科技，2。

2.任妍.2011.我國(guó)網(wǎng)絡(luò)信息立法的現(xiàn)狀和對(duì)策建議[J].中國(guó)發(fā)展觀察，11。

3.霍宏建.2012.網(wǎng)絡(luò)財(cái)務(wù)信息安全風(fēng)險(xiǎn)及防范[J].合作經(jīng)濟(jì)與科技，2。