毕业论文——论网络财务的安全风险及防范

1、论网络财务的安全风险及防范摘 要：互联网及电子商务的日益普及,企业的商业模式也将发生巨大的变化。网上交易和网上服务将越来越成为企业重要的营销手段。由于会计信息处在企业信息的核心地位,因此,解决会计信息的安全问题是建设“网络财务”系统的前提。“网络财务”与封闭式的企业会计电算化系统相比它面临着诸多新的风险。本文对网络财务面临的风险,提出采取相应对策以解决信息的安全问题。关键词:网络财务；风险；策略在网络经济条件下，网络财务步入了企业财务活动的殿堂，以其崭新的特点和功能运用于企业单位，取代了传统桌面式的财务活动。但任何一个信息系统无论其安全控制功能多么完善，运行环境多么安全，都存在着安全风险。所以

2、，如何提高系统的安全程度，降低安全风险成了系统设计者和系统用户都关心和考虑的问题。一、 网络财务安全风险的出现（一）形成条件 我国加入世贸组织后，国际资本和商品的进入必将进一步加剧企业的市场竞争，谁能迅速地获取更多有价值的信息并作出及时正确的决策，谁就能在竞争中抢得主动权，信息流便成为了企业的生命线。这就要求企业加快信息管理的现代化进程，建设一条能迅速感知其所处的环境、察觉竞争者的挑战和客户的需求，并作出及时反应的“数字神经系统”，而这个系统的核心应是财务系统。据统计，企业管理信息的70%与会计信息有关。我国著名的财务软件开发公司如“用友”、“金蝶”等把握时代脉搏适时推出了“网络财务”战略，为

3、企业构建自己的“数字神经系统”提供了契机。所谓“网络财务”是基于网络技术，以财务管理为核心，业务管理与财务管理一体化，支持电子商务，能够实现各种远程操作和事中动态会计核算与在线财务管理，能够处理电子单据和进行电子货币结算的一种全新的财务管理模式，是电子商务的重要组成部分。目前企业大都具有会计电算化系统，这是建立“网络财务”的物资基础。“网络财务”是以企业大都具有会计电算化系统(硬件、系统软件及应用软件)为基础，引进intemet技术，使企业的局域网intrallet与互联网intemet连接。企业的intrallet能与intemet上的任何用户(包括系统内的上下级子系统、工商、税务、银行、商

4、家和企业自己的异地网站等)进行信息通讯。从而使企业财务管理能实现远程记账、报表、查账、对账、催款、审计和监控，并能进行电子单据的处理和电子货币的结算，同时也为企业的采购、销售和广告宣传提供了更为广阔的空间。世界上的任何人，只要他具备上述的基本条件都有可能成为intemet的公民(用户)，可以在网上做他想做的任何事情，而且没有任何的限制和保护。因此，有人把intemet称为由用户自己进行管理的“自治网络”。使用intemet的用户必须了解一点。那就是在intemet的环境下数据的安全性应该由数据的拥有者自己负责。开放性是imemet的最大优点，而在信息通信的安全性要求较高的情况下这一优点也是它的

5、致命弱点。（二）主要形式会计信息系统的安全是指系统保持正常稳定运行状态的能力。会计信息系统的安全风险是指由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱，从而造成系统的信息失真、失窃，企业资金财产损失，系统硬件、软件无法正常运行等结果发生的可能性。保护系统的安全就是保护系统免遭破坏或遭到损害后系统能够较容易再生。会计信息系统的安全风险主要表现在几方面： 会计信息失真。会计信息的真实、完整、准确是对会计信息处理的基本要求，由于会计信息是企业生产经营活动的综合、全面的反映，企业的各个职能部门几乎都不同程度的需要、利用会计信息，因此，会计信息的质量不仅仅关系到会计信息系统，还影响企业管理的

6、其他子系统乃至企业的整个管理决策。一旦会计信息系统的安全受到侵害，最直接的影响就是会计数据错误、 数据丢失或被篡改使会计信息失真，从而不同程序地影响会计信息的使用者进行有关决策。 企业资产损失。利用非法手段侵吞企业资产是会计信息系统安全风险的主要形式之一。其手段主要有：未经许可非法侵入他人计算机设施、通过网络散布病毒等有害程序、非法转移电子资金及盗窃银行存款等。比如，深圳一家证券公司的经理利用工作之便，通过电脑盗走了某证券部门的200多万元保证金；广东省某市中国银行在一宗信用卡犯罪案件中损失了近千亿元等等，造成了极大的资产损失。随着犯罪技术的日趋多样化、复杂化，信息系统犯罪更加隐蔽，更加难以发

7、现，涉及的金额也从最初的几千元发展到几万元，甚至上亿元 ，安全风险损失越来越大，后果越来越严重。 企业重要信息泄露。信息技术高速发展的今天，信息在企业的经营管理中变得尤为重要，成为企业的一项重要资本 ，甚至决定了企业在激烈的市场竞争中的成败。因此利用高技术手段窃取企业机密是当今计算机犯罪的主要目的之一，也是构成系统安全风险的重要形式。比如：窃取企业重要的会计信息并泄露给竞争对手以达到某种非法目的等，常常会对企业造成无法估量的损失。 系统无法正常运行。无论是无法避免的自然灾害，还是出于非法目的而输入破坏性程序、操作者有意、无意的操作造成硬件设施的损害、计算机病毒的破坏等都有可能使会计信息系统的软

8、件、硬件无法正常工作，甚至系统瘫痪，造成巨大损失。二、影响网络财务系统安全的因素 影响网络化会计信息系统安全风险的因素可以从硬件系统、软件系统、会计数据三个方面考虑： （一）硬件系统的不安全的因素 不正确的操作。计算机系统的操作人员对硬件设备的不正确操作可以引起系统的损坏，从而危害系统的安全。不正确的操作主要是指操作人员不按规定的程序使用硬件设备，例如不按顺序开机、关机，有可能烧毁计算机的硬盘，从而造成数据的全部丢失。 人为的有意破坏。有意破坏系统硬件设备者可能是系统内部操作人员，也可能是系统外部人员。破坏者出于某种目的（如发泄私愤或谋取不法利益）而破坏计算机硬件，致使系统运行中断或毁灭。这种

9、破坏行为可能是以暴力的方式破坏计算机设备，也可能通过盗窃等手段破坏计算机系统，例如窃走存有数据的磁带或磁盘；或者计算机病毒的发作造成硬件损坏等。 不可预测的灾害。不可预测的灾害虽然发生的概率非常小、但对信息系统的破坏性极大，所以必须引起足够的重视，例如火灾或元件的突然损坏，可能造成整个系统的毁灭。 （二）软件系统的不安全因素 操作人员的有意破坏。计算机系统的操作人员可以通过对程序作非法改动来篡改程序文件，或者利用非法操作即操作员或其他人不按操作规程或不经允许上机操作，改变计算机的运行路径等手段修改系统软件，从而破坏软件系统安全。 计算机病毒。计算机病毒实际上是一段小程序，它具有自我复制功能，常

10、驻留于内存、磁盘的引导扇区或磁盘文件，在计算机系统之间传播，常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。 网络黑客。黑客是指非授权侵入网络的用户或程序。黑客最常用的诡计有以下几种：第一，捕获，许多程序能够使破坏者捕获到个人信息，尤其是口令。第二，查卡，这种程序是“捕获”程序的一部分，它主要捕获信用卡密码。第三，即时消息轰炸，利用即时消息功能，黑客可以采用多种程序，以极快的速度用无数的消息“轰炸”某个特定用户。第四，电子邮件轰炸，用数百条消息、填塞某人的email信箱，是一种确实可靠的在线袭扰的方法。第五，违反业务条款，这种手段相当于在网上陷害某人，有些程序可使这种欺骗活动看起来就好像

11、是某个用户向黑客发送了一条攻击性的 email 消息。第六，病毒和“特洛伊木马”，这些程序看起来像一种合法的程序，但是它静静地记录着用户输入的每个口令，然后把它们发送给黑客的internet 信箱，从而通过盗窃系统合法用户的口令，然后以此口令合法登陆系统实现非法目的。（三）财务数据的不安全因素 操作人员篡改程序和数据文件。通过对程序作非法改动，导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的，如：转移单位资金到指定的个人账户等。 有权和无权用户的非法操作。主要是操作员或其他人员不按操作规程或非法操作系统，改变计算机系统的执行路径从而破坏数据的安全。窃取或篡改商业秘密、非法转移电子资金

12、和数据泄密等。对会计数据的泄密主要是指系统的用户或数据保管人员把本企业会计信息通过磁盘、磁带、光盘或网络等介质透露给竞争对手；窃取或篡改商业秘密是系统非法转移用户利用不正常手段获取企业重要机密的行为。借助高技术设备和系统的通讯设施非法转移资金对会计数据的安全保护构成很大威胁。 另外，操作人员通过非法修改、销毁输出信息等损坏计算机系统的方式达到掩盖舞弊行为和获取私人利益的目的，也是构成系统安全风险的一个因素。三、网络财务安全风险的防范策略（一）在软件功能上施加必要的控制措施来保护财务数据的安全 增加必要的提示功能。如：软件执行备份时，存储介质上无存储空间、备份介质未正确插入和安装；执行打印时未连

13、接打印机或未打开打印机电源；用户输入数据时输入了与系统当前数据项不符的数据或未按要求输入等等，此时系统应给予必要的提示，并自动中断程序的执行。 增加必要的保护功能在突然断电、程序运行中用户的突然干扰等偶发事故。如软件执行结帐时用户干预等发生时，能自动保护好原有的数据文件，防止数据破坏或丢失，同时对重要数据系统可增加退出系统时的强行备份功能，用户再次进入系统时自动把备份数据与机内数据比较对照，及时发现数据文件的改变。 必要的检验功能。设计适应电算化帐务处理的核算组织程序。任何由原始凭证人工编制的记帐凭证都应进行严格的审核、复核。在网络环境系统中，输入的工作量由多人共同分担，凭证数据的输入可以采用

14、一组人员输入，换人复核；或者采用两组人员两次输入，输入的数据分别存放在两个暂存文件中，然后由计算机对两个数据文件中的记录逐条进行比较。对于存在差异的记录进行对照显示或打印，便于找出错误，进行修改。只有完全相同，系统才把录入的数据作为正式的凭证数据存贮。未经校验的数据系统应作上标记,不允许进入记帐凭证文件。对输入系统的数据、代码等都要进行检验。如：输入记帐凭证时、每张凭证都要经过日期合法性、会计科目合法性、凭证类合法性、对应科目的合法性、金额借、贷、平等校验。对于不符合要求的数据系统不予通过。根据会计核算的要求和网络系统的特点、系统对输入的同类记帐凭证、原始凭证自动按日或月分类顺序编号，并且对多

15、个用户同时访问同一个数据文件时各用户操作的记录进行锁定，拒绝其它用户的访问。这样可以避免多个用户同时操作易引起的凭证断号、重号和串号，而且便于分清责任， 达到会计控制的目的。（二）建立必要的管理制度实行用户权限分级授权管理，建立起网络化环境下会计信息系统的岗位责任制按照网络化会计系统业务的需求设定各会计上机操作岗位，明确岗位职责和权限，并通过为每个用户进行系统功能的授权落实其责任和权限。结合密码管理措施，使各个用户进入系统时必须输入自己的用户号和口令，进入系统之后也只能执行自己权限范围内的功能，防止非法操作。同时做到不相容职务的分离；比如：系统的维护人员和系统管理员不得上机处理日常会计业务；会

16、计业务处理人员不能进行系统维护，会计软件保管人员不能由上述人员兼任等等。 对系统的所有岗位要职责范围清楚，同时做到不相容职务的分离，各岗位之间要有一定的内部牵制作保障。如：软件维护后，必须经过维护人员、内审人员和用户的共同测试和签章才能正式投入使用；系统数据输入人员不能兼做审核；系统的维护人员和系统管理员不得上机处理日常会计业务，系统进行备份，数据恢复时，必须由具体操作员和主管共同批准等。 建立健全设备管理制度，确保硬件设备的运行环境、电源、温度、湿度、静电、尘土、电磁干扰、辐射等，例如计算机系统要求配置稳压电源不间断电源（ups），有时还需要配置备份电源，以便在长时间断电的情况下启用备份电源

17、来保证设备的正常运行。 其次，各系统操作人员应分清责任，各自管理和使用自己职责范围内的硬件设备，不得越权使用、禁止非计算机操作人员使用计算机系统，以免不当的操作损坏硬件设备。多个用户使用同一台设备的，要进行严格的登记，并记录运行情况。 最后，制定硬件的损害补救措施。比如采用双磁盘工作可以在一块硬盘失效时，由另一块硬盘替换工作；双机热备份可以在一台计算机（服务器）失效时，由备用的计算机接替继续工作。四、结束语通过对网络财务的安全风险及防范措施，让我们知道网络财务安全的重要性。对于它的安全风险可以做出预防措施并解决，本文清楚地讲述了网络财务的安全风险的预防方法和基本诊断思路。随着科技的不断发展，使用网络的人越来越多，各种网络财务欺诈手段的相继出现，单单靠经验是不能完全解决问题的。总之，网络财务的诞生是社会信息化的大趋势，人们在看到它给企业带来低成本高效益的同