●湖北中煙工業(yè)有限責(zé)任公司財務(wù)管理部 郭宏捷

在手工賬和單機版財務(wù)信息系統(tǒng)的時代，財務(wù)信息以紙張、磁盤和光盤為主要載體，傳統(tǒng)的檔案管理中接觸授權(quán)、設(shè)置密級等處理方式即可達(dá)到企業(yè)對財務(wù)信息安全的管理要求。今天，網(wǎng)絡(luò)技術(shù)給財務(wù)信息的處理帶來即時、準(zhǔn)確、高效、便利的優(yōu)勢，財務(wù)信息也因為網(wǎng)絡(luò)技術(shù)面臨著更多的安全風(fēng)險。

一、風(fēng)險產(chǎn)生的原因和管理目標(biāo)

財務(wù)信息貫穿企業(yè)經(jīng)營活動的始終，一般來說財務(wù)信息約占企業(yè)信息量的70%，財務(wù)信息量大而且多為企業(yè)的核心數(shù)據(jù)，對保密的要求較高。財務(wù)的保密性與網(wǎng)絡(luò)的公開性特征相互矛盾，這是網(wǎng)絡(luò)環(huán)境下財務(wù)信息安全風(fēng)險產(chǎn)生的根本原因。

在網(wǎng)絡(luò)融合之后，信息網(wǎng)絡(luò)固有的安全風(fēng)險向其他網(wǎng)絡(luò)延伸，數(shù)據(jù)的匯集進(jìn)一步導(dǎo)致安全風(fēng)險的集中和放大，網(wǎng)絡(luò)中財務(wù)數(shù)據(jù)的加工、儲存、傳輸、檢索都存在很大的安全隱患，實際上無法保證財務(wù)信息的絕對安全。對企業(yè)來說，較為可行的風(fēng)險防控目標(biāo)應(yīng)該是使財務(wù)信息安全問題帶來的損失相較于網(wǎng)絡(luò)環(huán)境下信息使用所帶來的效益降為最小。

二、影響網(wǎng)絡(luò)環(huán)境下財務(wù)信息安全的主要因素

（一）法律方面。我國在計算機信息安全管理特別是在網(wǎng)絡(luò)安全方面從90年代中期開始立法，迄今為止已經(jīng)搭建了包括法律、行政法規(guī)、地方性法規(guī)和規(guī)范性文件等多層面的網(wǎng)絡(luò)安全立法體系，包括1994年發(fā)布的 《中華人民共和國計算機系統(tǒng)安全保護條例》、2000年頒布的《全國人大常委會關(guān)于維護互聯(lián)網(wǎng)安全的決定》以及同年施行的《會計法》等法律法規(guī)。這些法律規(guī)章主要從傳統(tǒng)行政的角度保障網(wǎng)絡(luò)信息安全，信息安全條款比較分散并且表述上以原則性為主，沒有制訂專門的網(wǎng)絡(luò)信息安全法律規(guī)范，對于處理具體網(wǎng)絡(luò)信息安全行為的針對性不強。并且法律法規(guī)的制定和修訂滯后于網(wǎng)絡(luò)技術(shù)的發(fā)展，對于不斷出現(xiàn)的新型網(wǎng)絡(luò)犯罪現(xiàn)象和電子證據(jù)的采信在立法上還需要繼續(xù)完善。

（二）人員意識方面。在2013年中國計算機網(wǎng)絡(luò)安全年會上，工信部明確表示中國網(wǎng)絡(luò)安全現(xiàn)狀不容樂觀，要繼續(xù)提升全社會網(wǎng)絡(luò)安全意識。在信息化建設(shè)的過程中，大部分企業(yè)以解決管理需求的系統(tǒng)應(yīng)用為主，對網(wǎng)絡(luò)安全的關(guān)注不夠。此外，企業(yè)員工通常會認(rèn)為信息安全從制度建設(shè)到執(zhí)行整改都是信息部門的工作，很少有其他部門制定信息安全管理的行為規(guī)范。實際上內(nèi)部用戶造成的安全威脅遠(yuǎn)大于外部網(wǎng)絡(luò)，員工的人為疏漏容易形成信息的安全隱患。

（三）資源投入方面。我國企業(yè)在安全方面投入的資源比例偏低，根據(jù)統(tǒng)計，一般發(fā)達(dá)國家的企業(yè)在信息化投資中網(wǎng)絡(luò)安全通常會占到總投資的20%—30%，我國企業(yè)投資在網(wǎng)絡(luò)安全的比例還不到10%，已上網(wǎng)的企業(yè)超過半數(shù)沒有建立防火墻和采用入侵檢測技術(shù)，在網(wǎng)絡(luò)安全上資金和人員的投入明顯不足。

三、建立保障網(wǎng)絡(luò)環(huán)境下財務(wù)信息安全的體系

財務(wù)信息安全的管理是一項系統(tǒng)工程，需要政府、企業(yè)、信息和財務(wù)部門的共同努力，形成一個由面到點的防控體系。

（一）政府方面。網(wǎng)絡(luò)信息安全要倚靠有效的管理和先進(jìn)的技術(shù)，政府在行政管理和技術(shù)規(guī)劃工作中起著至關(guān)重要的作用。

1.加強法律對信息安全的基礎(chǔ)保障。首先，我國應(yīng)繼續(xù)完善法律體系中網(wǎng)絡(luò)信息安全的法律法規(guī)，加強對網(wǎng)絡(luò)信息安全的保護；其次，加快建立規(guī)范的網(wǎng)上支付系統(tǒng)等一系列法規(guī)；最后，在時機成熟時制定專門的網(wǎng)絡(luò)信息安全法，提升立法的層次和效力，針對具體的威脅網(wǎng)絡(luò)信息安全的犯罪行為形成制度化的預(yù)防和打擊。

2.發(fā)揮總體規(guī)劃和組織協(xié)調(diào)作用。隨著工業(yè)化和信息化兩化融合的深入開展，網(wǎng)絡(luò)安全已經(jīng)成為各行業(yè)各單位共同關(guān)注的重大問題。政府一方面要做好信息安全風(fēng)險防控建設(shè)的總體規(guī)劃，開展網(wǎng)絡(luò)安全環(huán)境的綜合治理，推動各單位落實網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和各項防護的措施，幫助各單位提升責(zé)任意識，強化行業(yè)自律；另一方面要組織科研院校、專業(yè)安全廠商和相關(guān)企業(yè)間的協(xié)作，建立統(tǒng)一和聯(lián)動的工作機制，實現(xiàn)行政管理和技術(shù)支持之間的協(xié)同。

3.加強網(wǎng)絡(luò)安全的投入。我國網(wǎng)絡(luò)領(lǐng)域的核心技術(shù)對外依存度較高，與網(wǎng)絡(luò)相關(guān)的存儲設(shè)備和數(shù)據(jù)庫等基本都從國外采購，“棱鏡”項目的曝光揭示了中國與發(fā)達(dá)國家在網(wǎng)絡(luò)技術(shù)上的差距，加強網(wǎng)絡(luò)安全技術(shù)的研究和投入勢在必行。我國應(yīng)加強網(wǎng)絡(luò)安全防御體系的研究，提高對網(wǎng)絡(luò)全局的整體掌控能力，提高對網(wǎng)絡(luò)信息風(fēng)險的監(jiān)測和預(yù)警能力。同時，根據(jù)網(wǎng)絡(luò)技術(shù)不斷發(fā)展引發(fā)的新風(fēng)險，引導(dǎo)信息安全企業(yè)加大科研投入，鼓勵和扶持安全產(chǎn)品的研制和開發(fā)，提高及時應(yīng)對能力，進(jìn)而提升國家網(wǎng)絡(luò)安全的整體技術(shù)保障能力。

4.加強國際間協(xié)作。網(wǎng)絡(luò)具有跨越地理區(qū)域的傳播特點，我國應(yīng)積極加入到國際網(wǎng)絡(luò)空間的國際合作體系中，深化國際間網(wǎng)絡(luò)技術(shù)的協(xié)作，與各國共同制定網(wǎng)絡(luò)高端技術(shù)標(biāo)準(zhǔn)，參與對國際網(wǎng)絡(luò)安全的法律法規(guī)的制定進(jìn)程中，共同懲治跨國的計算機犯罪行為。

（二）企業(yè)方面

1.建立信息安全管理機制。完善的管理流程和制度設(shè)計可以減少由于人為原因、系統(tǒng)資源風(fēng)險和計算機病毒造成的危害，因而建立和執(zhí)行有效的安全管理制度是企業(yè)防控信息安全風(fēng)險的重要手段。信息安全管理制度主要涵蓋以下方面：加強網(wǎng)絡(luò)系統(tǒng)的安全控制，包括硬件和軟件安全控制、日常操作安全控制，系統(tǒng)維護安全控制；加強對數(shù)據(jù)管理安全控制，包括加強對數(shù)據(jù)輸入、處理、輸出、保密及備份的控制；

明確企業(yè)各部門的安全管理職責(zé)和權(quán)限。在管理手段上，

企業(yè)內(nèi)部應(yīng)定期開展內(nèi)控審計、安全性測試等加強防查力度，及時發(fā)現(xiàn)問題；對接觸財務(wù)系統(tǒng)的外部協(xié)作單位要簽署保密協(xié)議，明確信息安全責(zé)任。

2.應(yīng)用安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)置和網(wǎng)絡(luò)技術(shù)。信息安全技術(shù)包括系統(tǒng)安全和信息安全等方面。系統(tǒng)安全保障網(wǎng)絡(luò)通信基礎(chǔ)設(shè)置、網(wǎng)絡(luò)上的各種系統(tǒng)及應(yīng)用軟件的正常運行；信息安全主要通過鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密和抗抵賴等安全服務(wù)，保障網(wǎng)絡(luò)環(huán)境下信息保持其保密性、完整性和可用性，通常采用防火墻、入侵檢測技術(shù)、信息加密、數(shù)字簽名等多種技術(shù)手段。對于網(wǎng)絡(luò)的新技術(shù)包括云服務(wù)和移動終端的應(yīng)用，應(yīng)在確認(rèn)其技術(shù)安全可靠之后才在企業(yè)內(nèi)推廣使用。

3.加大宣傳和培訓(xùn)的力度。企業(yè)財務(wù)信息安全的管理是一項長期性、全員參與的工作，僅靠技術(shù)部門和技術(shù)手段無法杜絕安全問題。企業(yè)有必要讓全體員工充分認(rèn)識到網(wǎng)絡(luò)環(huán)境下信息安全的必要性和重要性，將日常業(yè)務(wù)與信息安全管理結(jié)合起來，規(guī)范員工的日常操作習(xí)慣，提高員工的安全防范意識。

（三）財務(wù)人員方面。財務(wù)人員應(yīng)該遵循法律法規(guī)和企業(yè)信息安全管理的要求，同時在財務(wù)信息處理的各個環(huán)節(jié)都恪守正確的操作方式。

1.財務(wù)信息的保管環(huán)節(jié)。財務(wù)人員對儲存有財務(wù)信息的計算機，需及時修補操作系統(tǒng)漏洞，安裝正版殺毒軟件，不下載和安裝可疑軟件。財務(wù)電子文檔可以考慮采用文件加密的方式進(jìn)行保存，重要的財務(wù)系統(tǒng)和信息管理網(wǎng)站還需要定期更換登錄密碼。

2.財務(wù)信息的傳輸環(huán)節(jié)。財務(wù)人員之間在企業(yè)內(nèi)部傳輸文件時，應(yīng)使用內(nèi)部郵箱和通訊軟件傳輸文件。避免使用外部服務(wù)器和郵箱，包括使用在線傳輸、離線文件。因技術(shù)手段限制必須使用外部服務(wù)器和郵箱的，需對文件進(jìn)行加密，同時采用電話、短信等其他方式告知接收方密碼信息。

1.祁玉峽.2007.網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)的安全問題及管理措施[J].河南科技，2。

2.任妍.2011.我國網(wǎng)絡(luò)信息立法的現(xiàn)狀和對策建議[J].中國發(fā)展觀察，11。

3.霍宏建.2012.網(wǎng)絡(luò)財務(wù)信息安全風(fēng)險及防范[J].合作經(jīng)濟與科技，2。