高等学校财务系统安全防护研究_第1页
高等学校财务系统安全防护研究_第2页
高等学校财务系统安全防护研究_第3页
高等学校财务系统安全防护研究_第4页
高等学校财务系统安全防护研究_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、    高等学校财务系统安全防护研究    摘要:高校规模的逐年扩大,财务事务的增多,信息技术被更广泛的应用。高校财务管理由传统核算向信息化、网络化发展。财务系统网络化发展带来了管理流程的优化,提升了工作效率,管理水平不断提升。在管理水平提高的同时,财务系统存在诸多安全隐患。文章针对高等学校财务系统安全防护进行深入分析,提出合理化建议。关键词:高校,财务系统,安全防护在高校财务不断发展的今天,随着网络、信息化技术的不断应用,高校财务工作开启了信息化的新时代,财务管理与核算借助信息化手段,管理质量逐步上升,信息化必要要求信息对外提供,目前多数高校都能将工资

2、、学生收费、账目信息等通过网络对外公布。部分学校将经费报销、签字审批等财务管理工作借助网络完成,形成了“云财务”。信息网络技术从来都是“双刃剑”,在提高财务信息水平的同时,面临来自信息网络安全的冲击。如何保护财务系统安全不受外部侵害,成本目前财务系统建设工作重点。一、高等学校财务系统风险隐患许多高校在网络财务系统建设中,往往重视新功能、新系统的前期使用而忽视后期管理和安全防控,面对恶略的网络环境,没有做好应对措施,存在以下安全隐患。(一)信息毁损风险会计电算化发展到现阶段,对电子信息数据的依赖越来越大。尤其是“云财务”实施以来,财务信息和数据多数存储在服务器上,财务各项业务系统通过网络连接至服

3、务器,与以往财务处数据有纸质材料备份存档不同,现有财务基础资料以电子数据形式存储在服务器上,财务信息数据安全风险加大。然而很多高校对财务信息存放不够重视,即使数据存储使用了raid镜像、双机热备等技术,但备份数据仍然存储在本地,存放地点单一,若信息存放地点本身毁损,后果非常严重。(二)数据泄露风险信息时代背景下,财务网络形成了内网、外网和内外网结合的格局。内网即局域网,传统的财务、工资、学费等软件通过局域网连接内网服务器;外网即互联网,工资信息、财务管理数据等需要通过网络向外公布,高校的财务信息网路服务,包括财务信息查询、网络报销等平台,多个节点需要连接互联网。财务部门需要向税务、财政、审计等

4、上级机构汇报数据,还要与校内各部门流通信息,对内日常办公的业务软件都在局域网内,财务人员电脑连接局域网又连接互联网的情况普遍存在。财务数据中的内部敏感信息、个人财务信息、财务数据等的重要性不言而喻,在网络传输、传递过程中,容易被截获、窃取,一旦泄露,可能会造成巨大损失。(三)数据篡改风险财务手工记账时期,所有会计资料均为纸质。会计电算化初期以纸质资料为主,电子资料为辅。目前,会计核算的原始凭证仍为纸质,但随着电子支付、网络财务的兴起,很多财务基础数据以电子存储形式为主,记账时以一定时期的总数登记账务,如校园卡的充值、校园内部网络缴费等等,这些数据一旦被人为篡改,难以察觉。在实际工作中,工资、学

5、生收费等软件直接操作数据库,没有复核和审核机制,误操作的情况在所难免。财务管理软件本身也存在缺陷,首先重要数据录入和修改没有复核机制,如工资、学生收费等软件的数据;其次,系统日志只记录系统登入、登出时间,对数据修改等重要信息不做登记,出现数据篡改时,不能通过查询历史纪录追溯排查,无法进行责任追查。二、财务系统安全风险原因分析(一)对财务信息安全不够重视对财务信息安全重视不足表现为学校人员的配备和财务部门人员调配方面。学校方面,重管理轻技术,认为财务是管理岗位的工作,谁都能做。在人员分配上仅配备会计人员,缺少专业计算机专业人才辅助。较理想的人员配置是以财务专业人员作为依靠,至少配备1-2名计算机

6、从事信息系统维护和网络安全的专业技术人员。然而,很多高校的系统管理员由财务人员兼任,他们对计算机能力的掌握无法满足要求。财务部门方面,财务信息化工作不仅仅是将财务信息对外公布,还包含财务流程再造、财务资源整合等内容,涉及整个财务部门的业务,需要具备各方面专业知识,尤其是计算机网络、系统安全等内容。在信息安全方面,财务部门往往只重视结果,要求系统管理人员来保障网络信息安全,这种做法忽视了一个重要问题,信息化涉及整个财务流程,不是一个系统维护员能够完成的,要求系统管理人员独立完成网络信息方案的规划和落实是不实际的。(二)缺乏专业队伍和专业技术能力高校财务信息系统传递的全过程都涉及安全管控,高校应该

7、重视财务队伍的建设,培养一支复合型知识武装的信息管理队伍。既要重视硬件建设,也要重视软实力的培育。实际情况是,有些高校配备了计算机专业人才作为财务系统管理员,购买了网闸、防火墙等网络设备,使用了前置机、中转服务器等设备。而网络安全设备不是自动发挥作用的,需要通过设置和调试才能工作。设备在调试中又必须与财务软件的设置和使用相结合。设备买来了,往往工作就结束了,不能真正发挥设备的作用。网络安全设备在调试中,需要对财务各系统也有一定熟悉程度。所以,财务信息安全管理者需要学习大量的专业知识,才能真正保障财务信息系统安全。(三)信息安全管控制度不完善高校近年来围绕财务管理制定了完善的规章制度,规范各项经

8、济业务。但在信息安全管理方面,相关制度不够完善。一方面是应变时间段,信息技术相对财务核算来说还是新兴事物,更新速度快,某项针对具体业务的操作规定还没有出台,可能技术形式已经发生变化,而财务管理制度和规定是一个循序渐进的过程,经过数年积累。另一方面是重视程度不足,信息技术普及以来,很对财务业务流程、风险控制点都放生了变化,相关制度没有围绕信息技术进行更新完善。信息安全管理制度不是一个独立的财务制度,它渗透在财务信息涉及的各方面。财务信息安全管理制度缺失,安全管理人员无章可循,系统管理员往往权限较大,任意连接系统,随意操作数据。普通财务人员使用财务网络没有规范,财务信息安全无从保障。尤其是行政事业

9、单位内部控制规范(试行)发布以来,财务信息安全管理应围绕内控规范完善财务信息安全管理制度。三、高校财务系统安全防护措施(一)提高认识,加大资金投入首先,高校必须重视财务信息安全管理。高校应成立处长主抓,副处长主管,科级落实的财务信息安全管理办公室,定期例会通报安全管理进展。不能简单用布置任务的形式落实信息安全管理工作,应着眼于顶层设计,规划信息安全方案。高校应加强信息化安全管理资金投入。财务信息管理是一个系统工程,需要设备购置、软件开发,人员培训等软件、硬件的投入。高校首先要聘请安全评级机构对本单位网络状况进行评级,并据此提出安全解决方案和规划。网络设备应购买具备行为管理的交换机,服务器方面应

10、将各网络、各应用程序服务器分离,避免多个应用放置一台服务器现象,还要购置网闸、防火墙等设备网络防护。信息安全设备需要设置和调试才能真正发挥作用,因此还要积极组织人员培训,及时掌握相关软件的更新换代情况。(二)加强人才培养,组建专业队伍高校财务管理信息建设,人才培养至关重要。高校应大力支持财务信息安全工作,为财务部门配备网络信息安全专业人才。财务信息安全管理建设、使用、管理和维护,需要掌握财务管理、计算机网络、信息安全相关知识的综合型人才。人才建设需要团队发挥更大力量,分工协作,各行其责,培养一批信息安全管理骨干力量。当然,财务工作也不能忽视会计职业化道德,财务数据就是经济数据,就是金钱,思想觉

11、悟不高很容易犯错误。加强思想觉悟的同时也不能忽视制度建设,从财务业务设计流程的角度,配备填充专业人才,组建专业人才队伍,避免出现因人员操作带来的财务安全问题。(三)完善内部控制、加强日志管理高校应按照行政事业单位内部控制规范(试行)相关规范要求,围绕财务信息涉及的各项内容,进行风险评估,运用“不相容岗位分离”、“逐级授权审批”等手段,完善财务信息安全管理相关制度,贯穿财务信息传递的整个过程。另外,高校财务软件缺乏统一标准,在内控关键环节技术控制不足,由于软件定制开发的特点,各行业财务软件差别较大,高校可以参照其他行业或事业的财务信息化成功经验,定制符合自身需求的财务信息系统。梳理业务流程,根据

12、业务需要详细划分岗位信息权限,确保财务人员在各自权限范围内修改财务信息。同时完善数据操作日志,系统日志详细记录操作员的登陆时间和数据操作,所有数据修改有据可查,确保数据修改责任可追溯。系统日志的查询报关权限应分配给系统管理员、业务操作员以外的第三人,类似内控中的内部审计监督。数据日志应参照财务数据进行备份、存档等管理。(四)强化数据备份、保证信息安全财务信息电子化程度不断提高,传统会计凭证需要保存十五年,而很多高校对电子档案信息数据的保存重视程度不足,财务信息系统发展的高级状态是纸质材料越来越少,对电子数据依赖性逐渐提高。高校应重视数据备份,建立双机时时热备、raid镜像、远程备份、多介质全方

13、位备份体系。服务器备份,包括服务器“冷备”和“热备”,“冷备”指备用服务器平时关机待用,主服务器故障时需要恢复数据等操作才能工作。“热备”指随时备份,时时待命,两台服务器在系统和数据方面无差异,主服务器故障备用服务器立即启用。双机热备能保证主服务器故障系统运行无影响。“raid”,即磁盘阵列(redundant arrays of independent disks),是数据备份的一种磁盘技术,广泛应用于数据备份。使用这种技术,某一块硬盘故障发生时,系统运行不受影响。财务数据备份应根据业务需要和财务期间,除时时备份外,财务月末结账、年终结转等重要业务处理前,重要系统数据操作前后要单独备份,做好

14、防备,若出现数据错误、操作失误等情况,系统数据随时可以恢复到重要操作前的正确形态。还要重视多介质备份、远程备份,通过远程技术将数据备份在服务器放置地以外的另一地点,防止意外灾害等原因造成的服务器存放地整体毁损,定期将数据备份在移动存储、光盘等多种介质上,备份的数据应由专人保管,定期送学校档案部门保存。还应对上述多种备份做复原测试,检查备份数据能否有效恢复。总之,有效利用各种技术,多地点、多期间、多媒介保护财务数据的安全。(五)加强制度建设、强化安全意识高校应建立一套财务信息管理制度,规范财务人员和系统管理员行为,提高全体财务人员安全防范意识。财务人员作为信息系统的直接操作者,若对计算机基础缺乏,信息安全意识薄弱,工作中易出现安全隐患。比如财务人员计算机密码简单,登陆业务系统不设密码或将密码随意告知他人,保存财务信息的存储随意放置,这些都可能导致财务信息泄露。因此需要对财务信息系统的操作者及相关人员进行信息安全的定期培训,提高财务人员,尤其是财务管理人员的信息安全防范意识。在此基础上,结合行政事业单位内部控制规范,将本单位涉及财务信息的工作进行分解,将安全规范制定到具体岗位。对普通财务人员提出要求的同时,也需要约束财务系统管理员的行为,在高校财务系统管理员普遍拥有较高权限,对其开放数据维护、设置等权限的“后台”同时,解除其“前台”登记数据等财务人员的权限,严格控制系统维护员不得兼

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论