王文松 戴曉峰 孫耀敏 高曉虎 高東岳

（航天科工財務(wù)有限責(zé)任公司）

一、前言

在數(shù)字經(jīng)濟(jì)時代，“上云用數(shù)賦智”已成為引領(lǐng)經(jīng)濟(jì)發(fā)展的新動力?；谥悄芑夹g(shù)對財會工作進(jìn)行的模仿和創(chuàng)新，智能化財務(wù)系統(tǒng)應(yīng)運(yùn)而生。這不僅打破了會計數(shù)據(jù)信息孤島模式，還節(jié)省了財務(wù)工作成本，甚至還在一定程度上增強(qiáng)了合規(guī)能力。但是，其弊端也在逐漸暴露出來，例如財會數(shù)據(jù)泄露、篡改、非法控制等。這對財會數(shù)據(jù)信息的使用、存儲和傳輸?shù)葞砹烁鼑?yán)峻的安全風(fēng)險。因此，研究企業(yè)財會數(shù)據(jù)安全的防護(hù)措施是十分必要的?；谝陨媳尘埃谪敃?shù)據(jù)的全生命周期中，通過安全技術(shù)手段以及安全管理手段，可以防止數(shù)據(jù)泄露、篡改、損壞、丟失，以保證財務(wù)共享信息的真實性、完整性，從而提升企業(yè)智能財務(wù)系統(tǒng)的安全管理能力。

二、財會數(shù)據(jù)特點分析

（一）數(shù)據(jù)生成

在數(shù)據(jù)生成過程中，財會數(shù)據(jù)具有廣泛的數(shù)據(jù)源和數(shù)據(jù)類型輔助的特點。廣泛的數(shù)據(jù)源包括頁面錄入和基于網(wǎng)絡(luò)集成兩種模式。頁面錄入：是在用戶客戶端下載的數(shù)據(jù)；基于網(wǎng)絡(luò)集成：是指從內(nèi)網(wǎng)和外網(wǎng)集成的數(shù)據(jù)。財會數(shù)據(jù)類型包括結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)兩種類型。結(jié)構(gòu)化數(shù)據(jù)是指企業(yè)ERP、財務(wù)系統(tǒng)、醫(yī)療HIS 數(shù)據(jù)庫等這類關(guān)系型數(shù)據(jù)；非結(jié)構(gòu)化數(shù)據(jù)是指文本、日志和圖片等。為了確保數(shù)據(jù)的完整性和準(zhǔn)確性，在數(shù)據(jù)的錄入和集成過程中，身份鑒別和認(rèn)證、病毒防護(hù)和檢測、數(shù)據(jù)加密和數(shù)據(jù)簽名成為了必不可少的步驟。

（二）數(shù)據(jù)存儲

數(shù)據(jù)存儲過程中，重要的財會數(shù)據(jù)通常需要經(jīng)過加密存儲，甚至相關(guān)的關(guān)鍵敏感數(shù)據(jù)需要進(jìn)行動態(tài)加密。為了進(jìn)一步確保財務(wù)存儲數(shù)據(jù)的安全性和完整性，需要在使用財會存儲數(shù)據(jù)前對數(shù)據(jù)進(jìn)行動態(tài)加密驗證。在數(shù)據(jù)的加密過程中，加密技術(shù)需要符合相關(guān)法律和企業(yè)的加密要求，這樣才能在較大程度上規(guī)避潛在的風(fēng)險。

（三）數(shù)據(jù)傳輸

在財會數(shù)據(jù)傳輸過程中，為了有效避免黑客的惡意網(wǎng)絡(luò)攻擊，通常采用身份認(rèn)證、權(quán)限管理最小化、防火墻和多重加密技術(shù)等方法。數(shù)據(jù)加密包括對稱加密和非對稱加密兩種方式，其加密復(fù)雜度由數(shù)據(jù)傳輸效率而定。為了確保數(shù)據(jù)的真實性和不可抵賴性，在財會數(shù)據(jù)的傳輸過程中，數(shù)字簽名成為了流行的方法。在使用數(shù)字簽名過程中，必須要確保私鑰的機(jī)密性，防止黑客偽造密鑰持有者的簽名，這就要求數(shù)字簽名的密鑰必須要和加密的私鑰進(jìn)行區(qū)分。針對數(shù)據(jù)加密算法和密鑰長度的選擇問題，需要根據(jù)數(shù)據(jù)的分級和敏感性來確定。

（四）數(shù)據(jù)備份及恢復(fù)

為了降低人為因素和自然災(zāi)害等造成的損失，財會數(shù)據(jù)備份操作成為了其必不可少的解決方法。在智能財務(wù)系統(tǒng)受到破壞時，可以迅速恢復(fù)數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)內(nèi)容。同時還需要根據(jù)相應(yīng)的備份和恢復(fù)方案，對財會數(shù)據(jù)進(jìn)行定期的備份。為了防止重要財會數(shù)據(jù)、敏感財會數(shù)據(jù)丟失，可以采用集群技術(shù)進(jìn)行系統(tǒng)整體冗余和容錯。

三、財會數(shù)據(jù)安全存在的問題分析

（一）財會從業(yè)人員安全意識薄弱

目前，在財會數(shù)據(jù)安全建設(shè)體系過程中，大多數(shù)企業(yè)仍然處于起步階段。隨著信息化技術(shù)的創(chuàng)新發(fā)展，財會應(yīng)用軟件種類繁多。然而，大部分企業(yè)只關(guān)注軟件功能的實現(xiàn)，忽視了軟件本身的安全性。所以，企業(yè)在安全風(fēng)險體系建設(shè)過程中，企業(yè)管理者只局限于軟件和硬件設(shè)備的使用方面，往往忽略了應(yīng)用軟件開發(fā)層面問題。在安全風(fēng)險體系建設(shè)中，通常需要投入大量的成本。因此，許多企業(yè)管理者難免有抵觸和僥幸心理，使得企業(yè)財會數(shù)據(jù)安全體系建設(shè)工作未能得到充分支持，從而導(dǎo)致無法跟進(jìn)新時代發(fā)展需要，致使企業(yè)難以預(yù)見潛在的安全風(fēng)險。與此同時，許多企業(yè)管理者缺乏安全管理經(jīng)驗。盡管企業(yè)領(lǐng)導(dǎo)或者是安全部門負(fù)責(zé)人制定了相應(yīng)的安全管理制度和條例，但安全策略和管理制度覆蓋面不全或者落實不到位。例如，缺乏明確的條文來對用戶使用權(quán)限、用戶口令設(shè)置復(fù)雜度等進(jìn)行約束、未能對軟件系統(tǒng)進(jìn)行日常維護(hù)檢查出系統(tǒng)老化問題、缺乏明確制度規(guī)范來進(jìn)行追責(zé)工作等。然而，財會部門員工素質(zhì)水平參差不齊，部分員工可能會惡意盜取財會數(shù)據(jù)、非法篡改財會數(shù)據(jù)等。這不僅無法保證財會數(shù)據(jù)信息的完整性和準(zhǔn)確性，還會給企業(yè)帶來無法預(yù)估的安全風(fēng)險。

（二）數(shù)據(jù)安全問題

在大數(shù)據(jù)時代，企業(yè)財會工作緊跟新時代的趨勢，積極向云轉(zhuǎn)型。因此，在財會數(shù)據(jù)信息管理過程中，對云平臺運(yùn)行效果的要求相對較高。為了保證財會數(shù)據(jù)的機(jī)密性，數(shù)據(jù)信息安全管理工作成為了企業(yè)安全體系建設(shè)工作中必不可少的一部分。就目前企業(yè)現(xiàn)狀而言，企業(yè)面臨的財會數(shù)據(jù)安全問題主要分為以下三類。

1.網(wǎng)絡(luò)攻擊。在新時代，數(shù)據(jù)就是時代的溝通語言。所以，信息量大內(nèi)容豐富的數(shù)據(jù)往往具有較高的價值。由于企業(yè)財會數(shù)據(jù)包含的信息種類多和信息量大，因此，不法分子為了謀取利益，經(jīng)常會對企業(yè)的財會數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)攻擊。目前，網(wǎng)絡(luò)攻擊的方法包括黑客攻擊、嗅探攻擊、暴力攻擊、病毒攻擊和其他入侵攻擊。

2.數(shù)據(jù)信息泄露。隨著社會的不斷發(fā)展和進(jìn)步，互聯(lián)網(wǎng)的使用不僅拓寬了信息獲取渠道，還在某種程度上加快了信息的傳播速度。通常，為了挖掘出更深層次的語義信息，企業(yè)會階段性地對所有財會數(shù)據(jù)進(jìn)行統(tǒng)一的自動化存儲。如果相關(guān)的安全管理工作不完善，將會使信息泄露的風(fēng)險加大。

3.數(shù)據(jù)信息流動量大。由于技術(shù)的變革和業(yè)務(wù)的驅(qū)動，大部分信息化系統(tǒng)向云轉(zhuǎn)型。因此，云平臺成為了企業(yè)財會存儲數(shù)據(jù)的熱門媒介。所以，許多企業(yè)熱衷于采用云端的方式存儲和傳輸數(shù)據(jù)信息。在數(shù)據(jù)安全的整個生命周期中，都會出現(xiàn)數(shù)據(jù)流動的現(xiàn)象。特別是在數(shù)據(jù)傳輸和存儲的過程中，存在大量的數(shù)據(jù)流動現(xiàn)象。如果企業(yè)內(nèi)部網(wǎng)絡(luò)不暢通和不安全，就可能出現(xiàn)數(shù)據(jù)傳輸延遲或者網(wǎng)絡(luò)堵塞的現(xiàn)象。這將會造成數(shù)據(jù)被截留、篡改或者竊取的嚴(yán)重后果。

（三）缺少復(fù)合型人才

隨著財會數(shù)據(jù)信息化的普及，國家和企業(yè)對財會從業(yè)人員的綜合素質(zhì)要求也相應(yīng)地提高。為了應(yīng)對各種財會數(shù)據(jù)信息化過程中的問題，財會從業(yè)人員不僅需要掌握會計專業(yè)知識，還需要對數(shù)據(jù)安全風(fēng)險防護(hù)和計算機(jī)使用方面的知識有一定的了解。但就實際情況而言，大部分財會從業(yè)者仍然局限于對會計專業(yè)知識較為熟悉，對計算機(jī)使用和數(shù)據(jù)安全風(fēng)險防護(hù)方法的知識了解較少。這樣不僅會使財會數(shù)據(jù)信息化體系落地實施難，還會阻礙相關(guān)的數(shù)據(jù)安全問題的及時解決，甚至?xí)┞洞罅康呢敃?shù)據(jù)信息。

四、數(shù)據(jù)安全防護(hù)措施

（一）健全財會數(shù)據(jù)信息化管理制度和規(guī)范

為了有效規(guī)避財會數(shù)據(jù)安全風(fēng)險，建立一套標(biāo)準(zhǔn)化的數(shù)據(jù)安全管理制度和規(guī)范是十分必要的。一套標(biāo)準(zhǔn)化的安全管理制度和規(guī)范主要包括團(tuán)隊建設(shè)、管理制度、管理方法。團(tuán)隊建設(shè)方面主要內(nèi)容包括財會數(shù)據(jù)安全組織架構(gòu)建立，職責(zé)分配、動態(tài)協(xié)作等；管理制度方面的主要內(nèi)容包括明確數(shù)據(jù)安全的方針和總綱、建立數(shù)據(jù)安全管理規(guī)范、數(shù)據(jù)安全操作指南、數(shù)據(jù)分類分級標(biāo)準(zhǔn)、數(shù)據(jù)安全編碼指南等；管理方法方面主要包括定期考核激發(fā)員工積極性、行為日志記錄問責(zé)違規(guī)人員、實行職責(zé)分離實現(xiàn)訪問控制最小化等。這不僅將巨大的財會數(shù)據(jù)業(yè)務(wù)劃分為不同階段和場景，也有助于滿足合規(guī)的要求，從而多角度、全方位地對財會數(shù)據(jù)進(jìn)行分級防護(hù)。

（二）加強(qiáng)網(wǎng)絡(luò)安全防御機(jī)制

新時期，大數(shù)據(jù)技術(shù)的應(yīng)用加速了財會工作的轉(zhuǎn)型和創(chuàng)新，但財會數(shù)據(jù)的采集、傳輸和應(yīng)用仍然離不開互聯(lián)網(wǎng)的支撐。為了避免企業(yè)財務(wù)數(shù)據(jù)的丟失和損壞，構(gòu)建財務(wù)數(shù)據(jù)安全風(fēng)險防護(hù)工作勢在必行。提高網(wǎng)絡(luò)安全防御機(jī)制的性能，基于分級分類的保護(hù)方法是十分必要的。在網(wǎng)絡(luò)入侵防御方面，需要定期組織大規(guī)模的系統(tǒng)安全檢測和軟件更新、病毒查殺，以及增設(shè)隔離區(qū)防火墻等；在身份認(rèn)證方面，之前的單因子認(rèn)證的方式已經(jīng)不在絕對安全，如虹膜輔助登錄、指紋識別、原始密碼輸入、人臉識別等，現(xiàn)階段需要建立雙因子認(rèn)證機(jī)制；在加密機(jī)制建設(shè)方面，需要借助先進(jìn)的加密技術(shù)來對財會數(shù)據(jù)進(jìn)行多重加密或者加密無漏項。

（三）培養(yǎng)復(fù)合型人才

在企業(yè)內(nèi)部財會信息化系統(tǒng)建設(shè)過程中，“人”和信息系統(tǒng)成為了其重要組成部分。與信息系統(tǒng)相比較而言，“人”是主觀可控的因素。因此，“人”成為了財會數(shù)據(jù)安全體系建設(shè)的基石。所以，培養(yǎng)復(fù)合型人才是大勢所趨。為了有效地解決信息化體系建設(shè)過程中的各種問題，企業(yè)不僅需要提高財會人員專業(yè)知識水平，還需要根據(jù)財會數(shù)據(jù)安全防護(hù)風(fēng)險和信息系統(tǒng)操作的需求對相關(guān)人員進(jìn)行定期的專業(yè)技能培訓(xùn)。企業(yè)可以聘請相關(guān)的安全專家、大數(shù)據(jù)專家和技術(shù)專家擔(dān)任講師，為財會從業(yè)人員講解安全管理經(jīng)驗和技巧、普及各類應(yīng)用軟件的操作方法、傳播先進(jìn)的安全防護(hù)理念等；還可以從外部引進(jìn)兼具財會理論知識和安全防護(hù)技術(shù)的人才。這不僅可以豐富人才隊伍建設(shè)工作，還有助于營造良好的安全文化氛圍，從而潛移默化的提高整體財會從業(yè)人員素養(yǎng)和調(diào)動員工積極性。隨著業(yè)務(wù)升級和技術(shù)的革新，信息系統(tǒng)管理人員的綜合技術(shù)水平也愈發(fā)重要。為了創(chuàng)新和優(yōu)化企業(yè)安全信息化管理體系，企業(yè)不僅需要對信息系統(tǒng)管理人員培訓(xùn)專業(yè)知識，還需要將其財會業(yè)務(wù)知識進(jìn)行補(bǔ)齊。只有這樣，企業(yè)才能夠充分發(fā)揮復(fù)合型人才的作用。通過轉(zhuǎn)變員工工作觀念，充分發(fā)揮大數(shù)據(jù)可視化優(yōu)勢來實現(xiàn)管理模式的創(chuàng)新，以及指導(dǎo)企業(yè)其他業(yè)務(wù)的開展。

五、結(jié)語

信息時代，無論從技術(shù)革新還是業(yè)務(wù)驅(qū)動的角度，財會工作的改革和創(chuàng)新成為了企業(yè)發(fā)展的必由之路。盡管互聯(lián)網(wǎng)技術(shù)的使用為財會從業(yè)人員提供了便利，但相關(guān)的財會數(shù)據(jù)安全風(fēng)險和挑戰(zhàn)也隨之而來，如黑客攻擊、數(shù)據(jù)泄露等。為了確保財會數(shù)據(jù)的安全，財會企業(yè)應(yīng)增強(qiáng)安全防護(hù)意識，積極響應(yīng)相關(guān)政策和法律，盡快完善健全相應(yīng)的數(shù)據(jù)安全防護(hù)機(jī)制。同時，還應(yīng)該注重營造良好的安全文化氛圍，培養(yǎng)適應(yīng)新時代發(fā)展的復(fù)合型人才。只有這樣，企業(yè)才能夠及時識別財會數(shù)據(jù)安全風(fēng)險，做好及時規(guī)避和解決工作。