□文/霍宏建

（1.河北省烟草专卖局；2.中国烟草总公司河北省公司河北·石家庄）

一、网络财务信息安全面临的主要风险

网络财务是信息技术在财务领域的具体应用，其信息安全风险来源于信息技术的一般风险和财务数据的特定风险，主要表现在以下几个方面：

1、硬件系统风险。任何计算机软件都必须通过硬件来运行，硬件是软件的承载体。硬件系统发生故障时，将会导致网络系统瘫痪，软件无法运行，业务处理停滞，给网络财务使用者造成很大损失。如果硬件中的存储系统发生严重损坏，所有数据将会面临全部丢失的风险，给财务工作带来灾难性后果。

2、软件系统风险。网络财务软件的正常运行，除需要硬件系统保障外，还需要操作系统、中间件和数据库等软件的支撑，这些软件系统是否存在漏洞，技术上是否成熟，运行是否稳定，直接影响财务信息安全程度和网络财务软件运行效率。

3、数据存储风险。在网络财务环境下，财务信息存储介质发生变化，由纸质转化为磁介质，所有财务数据以电子格式存储于服务器端，财务数据更易容丢失、被盗和损坏。此外，随着网络财务软件的应用，财务数据量不断增多，存储设备还面临着容量不够的风险。

4、信息传递风险。网络财务运行过程中，财务信息需要借助计算机网络在客户端和服务器端之间不断地进行数据传递和交换，并且这种数据传递和交换都是以广播的形式进行发布。理论上，任何联网计算机都有可能获取网络资源，窃听网络信息，这就大大增加了财务信息被截取、泄露、篡改的风险。

5、病毒破坏风险。随着网络迅速发展，计算机病毒的破坏能力不断提高，破坏范围不断扩大，并且呈现出了传播速度快、自我复制强、难以防范的特点，给财务信息安全造成了极大的威胁。

6、非法入侵风险。在网络环境中，任何联网计算机在理论上都是可以被访问到的，除非它们在物理上断开链接。一些人可能出于各种目的，利用黑客程序，破坏网络系统，进行黑客攻击。而且，黑客攻击比病毒破坏更具目的性和破坏性。

7、人员责任风险。计算机管理制度不健全，管理人员技术不精或者责任心不强；防范措施不严格，对网络系统未进行必要的安全配置和管理，对网络信息缺乏严密的监控；财务系统用户不注意口令保护，口令密码设置简单或长期不更改，致使别有用心的入侵者轻易冒充合法用户进入系统，窃取、篡改、破坏数据。

二、网络财务信息安全风险防范措施

网络财务信息安全风险防范是一项系统工程，需要财务和信息部门密切配合，通力协作，采取防范措施，增强系统抵御风险的能力，确保网络财务信息安全。

1、强化网络安全意识。加强网络信息安全重要性宣传和教育，使全体员工尤其是财务和信息部门人员在思想上时刻树立网络安全意识，深刻认识网络安全对于财务工作的极端重要性，自觉维护良好的网络安全环境，抵制一切影响网络安全的行为。

2、加强网络安全技术防范。网络安全技术防范是指综合运用防火墙、数据加密、数字签名和安全协议等专业技术对整个财务网络系统采取全方位的安全防范措施，建立多层次的网络安全体系，提高网络安全防护等级，提供全面的网络信息安全保护。加强网络安全技术防范，要保障资金投入，确保网络安全防范设备及时安装到位；要注重培养网络安全技术专业人才，不断提高网络安全技术人员的业务能力和工作水平。

3、加强财务数据管理。定期对财务数据进行异地备份，指定专人负责保管备份介质，未经审批不得对备份数据进行恢复操作。严格限定财务数据共享范围和权限，只允许其他系统在限定的范围内对财务数据库进行只读操作，不得赋予改写权限。严格数据录入审核，防止错误数据进入财务系统。妥善保管操作系统、数据库和财务软件等各类密码，增强密码设置安全程度，不定期进行更改，防止别人盗用密码进行非法操作。

4、加强财务信息化安全制度建设。建立健全和有效落实财务信息化安全制度是保障财务软件正常运行、财务数据安全完整的关键。这些制度包括财务系统软硬件管理和维护制度、系统管理人员和操作人员岗位责任制度、文档资料保管和使用制度、计算机病毒防范制度、操作权限分配规定、计算机和网络安全事故应急预案等，通过财务信息化安全制度建设，尽可能减少由于内部人员道德风险、系统资源风险、计算机病毒风险和意外风险造成的危害，确保网络财务系统安全运行。

5、加强对计算机病毒和黑客的防范。

通常情况下，网络财务系统运行于单位内网之中。防范计算机病毒和黑客的最有效方法就是实行内外网严格分离制度，内外网之间进行物理隔离，使得外网计算机不能登录到内网。此外，在内网中的所有计算机都要安装杀毒软件，定期更新病毒库，及时查杀计算机病毒。加强网络安全监控，及时发现网络中的异常情况，果断进行处理，净化网络环境。建立访问列表，严格限定联网计算机对财务服务器的访问控制。

6、加强身份认证和权限控制。建立更为科学的CA数字认证体系，采用数字证书方式进行登录，确保系统数据的完整性、保密性和行为的不可否认性，杜绝数据在传送过程中可能出现的非法访问、非法篡改、假冒伪造等安全问题。严格进行权限分配和控制，根据实际工作需要，合理确定财务人员和管理人员操作权限。严格授权操作管理，未经批准，不相关人员不得接触财务软硬件系统，确保财务系统和数据信息的安全。

[1]刘峰成.网络财务信息安全问题.合作经济与科技，2007.3.

[2]卞继红.网络财务的安全隐患及其治理.财会研究，2011.9.

[3]袁隽媛.财务内网信息安全的策略与技术研究.中国管理信息化，2009.2.