网络财务信息安全问题的探讨.doc

网络财务信息安全问题的探讨 王子晗110543135 (中国民航大学 经济与管理学院 天津 300300) 摘要：网络财务在财务数字化、信息化过程中发挥着越来越重要的作用, 但随着网络规模的不断扩大, 网络安全问题日益突出。本文先介绍了网络财务的相关信息的，又在分析目前网络所存在安全问题的基础上, 提出了一些针对网络财务信息安全的解决方案。 关键词：网络财务；信息安全；威胁 Discussion on Network Security of Financial Information Wang Zihan 110,543,135 (Civil Aviation University of China's School of Economics and management of Tianjin 300,300) Abstract: networks financial financial digitalization, information is playing an increasingly important role in the process, but as the network continues to expand the scale, network security issues have become increasingly prominent. This article describes the network finance-related information, and analyze the current network security problems on the basis of, come up with a number of financial network information security solutions. Key words: networks financial information security threats 引言：全球经济化形成一个开放的世界，各种文化、经济、意识形态等通过媒体和网络表现出来，网络逐渐介入社会、生活、政治的各个方面。随着计算机网络与信息技术的飞速发展，互联网络在改变人们的生活和消费方式的同时也给我们传统的会计学科带来了一场革命——网络财务。网络财务是一种全新的财务管理模式,它基于网络技术，以财务管理为核心，业务管理和财务管理一体化，代表了21世纪财务管理的方式。 1．互联网具有许多新特点 互联网是无中心网, 再生能力很强；互联网可实现移动通信、多媒体通信等多种服务，互联网提供电子邮件、文件传输、全球浏览,以及多媒体、移动通信等服务, 正在实现一次通信(信息)革命, 在社会生活中起着非常重要的作用，受到各国政府的高度重视, 发展异常迅猛，互联网一般分为外部网和内部网，从安全保密的角度来看, 互联网的安全主要指内部网的安全, 因此其安全保密系统要靠内部网的安全保密技术来实现, 并在内部网与外部网的联接处用防火墙技术隔离, 以确保内部网的安全；互联网的用户主体是个人，个人化通信是通信技术发展的方向, 推动着信息高速公路的发展。但从我国目前的情况看, 在今后相当长的时间里, 计算机网和互联网会并存发展, 在保留大量终端间通信计算机网的特点的同时, 会不断加大个人化通信的互联网的特点。 2.网络财务 文献[1]网络财务是基于Internet/Intranet技术，以财务管理为核心，业务管理与财务管理一体化，支持电子商务，能够实现各种远程操作（如远程记账/远程报表/远程查账/远程审计/远程监控等）和事中动态会计核算与在线财务管理，能够处理电子单据和进行电子货币结算的一种全新的财务管理模式，是电子商务的重要组成部分。 网络财务的产生使得财务工作突破传统的时空限制，与现代信息技术高度融合、与企业业务管理系统协同化运作，建立动态的核算系统，大大降低了企业信息采集成本，节约了交易成本，实现了个性化服务。财务管理系统的网络以局域网为主，辅之以必要的远程网，用以连接较远的工作站点．财务管理系统是核算一个单位经营业绩的重要信息管理系统，它的安全性显得十分重要． 文献[2]网络环境下的财务管理, 能在传统财务的基础上通过资料的及时传递,实现远程数据的处理、报表、查询、审计等操作, 大大提高了财务工作的效率,实现了财务管理中的动态核算和控制,使财务资料更具有决策意义。基于动态的财务信息, 企业主管和财务主管可以迅速做出反应, 调整经营活动和财务措施。 3. 网络财务的安全威胁 财务信息系统的安全是指系统保持正常稳定运行状态的能力。财务信息系统的安全风险是指由于人为的或非人为的因素使得财务信息系统保护安全的能力减弱，从而造成系统的信息失真、失窃，企业资金财产损失，系统硬件、软件无法正常运行等结果发生的可能性。保护系统的安全就是保护系统免遭破坏或遭到损害后系统能够较容易再生。 3.1网络开放 越来越多的安全隐患，网络与信息系统在变成”金库”,当然就会吸引大批合法或非法的”掏金者”,所以网络信息的安全与保密问题显得越来越重要。现在，几乎每天都有各种各样的“黑客”故事。 网络财务所依托的网络体系使用的是开放式的TCP/IP协议，它以广播的形式进行传播，有利于搭截侦听、口令字试探和窃取、身份假冒，这是技术上容易引起安全问题的重大特点。 3.2网络威胁 3.2.1非授权访问 没有经过预先同意，就使用网络或计算机资源被看作非授权访问。信息在企业的经营管理中变得尤为重要，成为企业的一项重要资本，甚至决定了企业激烈的市场竞争中的成败。因此利用高技术手段窃取企业机密是当今计算机犯罪的主要目的之一，也是构成系统安全风险的重要形式。 3.2.2信息泄露与丢失 文献[3]敏感数据在有意或无意中泄露出去或丢失。财务信息的真实、完整、准确是对财务信息处理的基本要求，由于财务信息是企业生产经营活动的综合、全面的反映，企业的各个职能部门几乎都不同程度地需要、利用财务信息，因此，财务信息的质量不仅仅关系到财务信息系统，还影响企业管理的其他子系统乃至企业的整个管理决策。一旦财务信息系统的安全受到侵害，最直接的影响就是财务数据错误、数据丢失或被篡改使财务信息失真，从而不同程度地影响财务信息的使用者进行有关决策。 3.2.3破坏数据完整性 以非法手段窃得对数据的使用权，删除、修改、插入或重复发某些重要信息，以取得有益于攻击者的响应，恶意添加、修改数据，以干扰用户的正常使用。不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序是系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 3.2.4利用网络传播病毒 文献[4]计算机病毒是网络安全最大的威胁因素, 有着巨大的破坏性。其中之一是通过计算机网络传播的病毒, 其传播速度、影响面、清除难度、破坏力等都不是单机病毒所能比拟的。近年来的“CIH 病毒”、“爱虫病毒”、“震荡波”等网络病毒对全球计算机网络造成了极大的破坏和严重的经济损失。 4.网络财务的安全措施 4.1完善安全机制 文献[5]建立能够使计算机网络安全、健康发展的法律制度。通过法律给会计信息化提供健康、良好、宽松的发展环境。对企业而言，应建立网络财务信息的风险预警系统和相应的防范预案。强化网络信息的安全意识，建立日常的系统安全报告制度。在宏观和微观上营造一个有利于网络会计发展的良好环境。 4.2 防火墙的使用 防火墙的技术实现通常是基于所谓“包过滤”技术，而进行包过滤的标准通常是根据安全策略制定的。包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向、数据包协议以及服务请求的类型等。 除了基于硬件的包过滤技术，还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用，现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能 。 目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。 4.3加密技术的应用 文献[6]对于财务信息的加密一般是从软件系统的加密开始的．要保证应用系统不被非法用户使用的处理比较简单，可以通过在系统程序中设置口令的方式来实现，如果非法用户回答不出正确的口令则系统不能工作．另外，对系统中的各种功能处理可以按照不同的保密级别设置专人口令，以使不同权限的合法用户能使用权限内的系统功能．为了防止非法用户使用系统或合法用户越权使用系统，应用系统中应在各功能处理入口进行特定人员口令识别，并通过判别口令的正确与否来决定系统是否拒绝来访者的使用，例如，在会计账务处理系统中的账务查询、修改及输入功能，应绝对禁止对所有的使用者开放．还有一个保险的方法是将财务信息数据的保存目录进行加密，这样的双重加密可使数据更加安全。 4.4访问控制 4.4.1强制访问控制 系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。这种访问控制规则通常对数据或用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分，所以经常用于军事用途。 4.4.2自主访问控制 自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性，自主访问机制经常被用于商业系统。 4.5防毒软件 防毒软件是人们最熟悉的安全工具，可以检测、清除各种文件型病毒、宏病毒和邮件病毒等。在应对黑客入侵方面，它可以查杀特洛依木马和蠕虫等病毒，但对于网络攻击行为（如扫描、针对漏洞的攻击）却无能为力。 4.6认证 安全认证技术是保证网络财务活动中用户身份及其所用文件真实性的必要手段。安全认证技术主要有可以防止文件被篡改的数字摘要, 防止文件被非法打开的数字信封, 防止假冒身份和事后抵赖的数字签名, 防止合同或文件的时间被篡改的数字时间戳, 证明用户身份的数字凭证等。 在使用各种认证技术时, 来自企内部认证文件的真实性容易保证, 而来自企业外部的认证文件的真实性, 需要由银行等具有权威性和公正性的第三方认证机构来认证,。因此, 在网络环境下实施务管理时, 需要国家电子认证机构的建立、建全来提供保障。 5.结论 基于互联网的网络财务使企业从传统的桌面财务管走向了网络财务, 企业的财务管理模式和工作方式实现了全新的改变, 随着不同网络的互连互通, 网络财务涉及面会更广, 分布在网络中的脆弱点会更多, 因此, 网络环境下财务管理的安全性问题的研究也将会面临更大的挑战。我们只有在应用网络财务的过程中，逐步解决其存在的实际问题，才能使其更加健康快速地发展。 参考文献： [1] 雷玲.网络财务中信息安全问题研究. 湖北财经高等专科学校学报，2003. [2] 刘俭辉. 网络环境下财务管理的安全性研究. 申计理抢与实践，2003. [3] 张永毅. 网络财务系统的信息安全及对策.线代电视技术, 2012. [4] 李化江. 高校财务管理信息系统网络安全解决方案.会计之友，2008. [5] 陈正，张扬帆，冯芸. 网络会计系统信息安全及对策. 商场现代化，2010. [6] 张永江. 财务管理系统网络安全问题的探讨. 天中学刊，2004.合同管理制度 1 范围 本标准规定了龙腾公司合同管理工作的管理机构、职责、合同的授权委托、洽谈、承办、会签、订阅、履行和变更、终止及争议处理和合同管理的处罚、奖励； 本标准适用于龙腾公司项目建设期间的各类合同管理工作，厂内各类合同的管理，厂内所属各具法人资格的部门，参照本标准执行。 2 规范性引用 《中华人民共和国合同法》 《龙腾公司合同管理办法》 3 定义、符号、缩略语 无 4 职责 4.1 总经理：龙腾公司经营管理的法定代表人。负责对厂内各类合同管理工作实行统一领导。以法人代表名义或授权委托他人签订各类合法合同，并对电厂负责。 4.2 工程部：是发电厂建设施工安装等工程合同签订管理部门；负责签订管理基建、安装、人工技术的工程合同。 4.3 经营部：是合同签订管理部门，负责管理设备、材料、物资的订购合同。 4.5 合同管理部门履行以下职责： 4.5.1 建立健全合同管理办法并逐步完善规范； 4.5.2 参与合同的洽谈、起草、审查、签约、变更、解除以及合同的签证、公证、调解、诉讼等活动，全程跟踪和检查合同的履行质量； 4.5.3 审查、登记合同对方单位代表资格及单位资质，包括营业执照、经营范围、技术装备、信誉、越区域经营许可等证件及履约能力（必要时要求对方提供担保），检查合同的履行情况； 4.5.4 保管法人代表授权委托书、合同专用章，并按编号归口使用； 4.5.5 建立合同管理台帐，对合同文本资料进行编号统计管理； 4.5.6 组织对法规、制度的学习和贯彻执行，定期向有关领导和部门报告工作； 4.5.7 在总经理领导下，做好合同管理的其他工作， 4.6 工程技术部：专职合同管理员及材料、燃料供应部兼职合同管理员履行以下职责： 4.6.1 在主任领导下，做好本部门负责的各项合同的管理工作，负责保管“法人授权委托书”； 4.6.2 签订合同时，检查对方的有关证件，对合同文本内容依照法规进行检查，检查合同标的数量、金额、日期、地点、质量要求、安全责任、违约责任是否明确，并提出补充及修改意见。重大问题应及时向有关领导报告，提出解决方案； 4.6.3 对专业对口的合同统一编号、登记、建立台帐，分类整理归档。对合同承办部门提供相关法规咨询和日常协作服务工作； 4.6.4 工程技术部专职合同管理员负责收集整理各类合同，建立合同统计台帐，并负责