网络环境下财务信息安全管理的探讨

●湖北中烟工业有限责任公司财务管理部 郭宏捷

在手工账和单机版财务信息系统的时代，财务信息以纸张、磁盘和光盘为主要载体，传统的档案管理中接触授权、设置密级等处理方式即可达到企业对财务信息安全的管理要求。今天，网络技术给财务信息的处理带来即时、准确、高效、便利的优势，财务信息也因为网络技术面临着更多的安全风险。

一、风险产生的原因和管理目标

财务信息贯穿企业经营活动的始终，一般来说财务信息约占企业信息量的70%，财务信息量大而且多为企业的核心数据，对保密的要求较高。财务的保密性与网络的公开性特征相互矛盾，这是网络环境下财务信息安全风险产生的根本原因。

在网络融合之后，信息网络固有的安全风险向其他网络延伸，数据的汇集进一步导致安全风险的集中和放大，网络中财务数据的加工、储存、传输、检索都存在很大的安全隐患，实际上无法保证财务信息的绝对安全。对企业来说，较为可行的风险防控目标应该是使财务信息安全问题带来的损失相较于网络环境下信息使用所带来的效益降为最小。

二、影响网络环境下财务信息安全的主要因素

（一）法律方面。我国在计算机信息安全管理特别是在网络安全方面从90年代中期开始立法，迄今为止已经搭建了包括法律、行政法规、地方性法规和规范性文件等多层面的网络安全立法体系，包括1994年发布的 《中华人民共和国计算机系统安全保护条例》、2000年颁布的《全国人大常委会关于维护互联网安全的决定》以及同年施行的《会计法》等法律法规。这些法律规章主要从传统行政的角度保障网络信息安全，信息安全条款比较分散并且表述上以原则性为主，没有制订专门的网络信息安全法律规范，对于处理具体网络信息安全行为的针对性不强。并且法律法规的制定和修订滞后于网络技术的发展，对于不断出现的新型网络犯罪现象和电子证据的采信在立法上还需要继续完善。

（二）人员意识方面。在2013年中国计算机网络安全年会上，工信部明确表示中国网络安全现状不容乐观，要继续提升全社会网络安全意识。在信息化建设的过程中，大部分企业以解决管理需求的系统应用为主，对网络安全的关注不够。此外，企业员工通常会认为信息安全从制度建设到执行整改都是信息部门的工作，很少有其他部门制定信息安全管理的行为规范。实际上内部用户造成的安全威胁远大于外部网络，员工的人为疏漏容易形成信息的安全隐患。

（三）资源投入方面。我国企业在安全方面投入的资源比例偏低，根据统计，一般发达国家的企业在信息化投资中网络安全通常会占到总投资的20%—30%，我国企业投资在网络安全的比例还不到10%，已上网的企业超过半数没有建立防火墙和采用入侵检测技术，在网络安全上资金和人员的投入明显不足。

三、建立保障网络环境下财务信息安全的体系

财务信息安全的管理是一项系统工程，需要政府、企业、信息和财务部门的共同努力，形成一个由面到点的防控体系。

（一）政府方面。网络信息安全要倚靠有效的管理和先进的技术，政府在行政管理和技术规划工作中起着至关重要的作用。

1.加强法律对信息安全的基础保障。首先，我国应继续完善法律体系中网络信息安全的法律法规，加强对网络信息安全的保护；其次，加快建立规范的网上支付系统等一系列法规；最后，在时机成熟时制定专门的网络信息安全法，提升立法的层次和效力，针对具体的威胁网络信息安全的犯罪行为形成制度化的预防和打击。

2.发挥总体规划和组织协调作用。随着工业化和信息化两化融合的深入开展，网络安全已经成为各行业各单位共同关注的重大问题。政府一方面要做好信息安全风险防控建设的总体规划，开展网络安全环境的综合治理，推动各单位落实网络安全标准和各项防护的措施，帮助各单位提升责任意识，强化行业自律；另一方面要组织科研院校、专业安全厂商和相关企业间的协作，建立统一和联动的工作机制，实现行政管理和技术支持之间的协同。

3.加强网络安全的投入。我国网络领域的核心技术对外依存度较高，与网络相关的存储设备和数据库等基本都从国外采购，“棱镜”项目的曝光揭示了中国与发达国家在网络技术上的差距，加强网络安全技术的研究和投入势在必行。我国应加强网络安全防御体系的研究，提高对网络全局的整体掌控能力，提高对网络信息风险的监测和预警能力。同时，根据网络技术不断发展引发的新风险，引导信息安全企业加大科研投入，鼓励和扶持安全产品的研制和开发，提高及时应对能力，进而提升国家网络安全的整体技术保障能力。

4.加强国际间协作。网络具有跨越地理区域的传播特点，我国应积极加入到国际网络空间的国际合作体系中，深化国际间网络技术的协作，与各国共同制定网络高端技术标准，参与对国际网络安全的法律法规的制定进程中，共同惩治跨国的计算机犯罪行为。

（二）企业方面

1.建立信息安全管理机制。完善的管理流程和制度设计可以减少由于人为原因、系统资源风险和计算机病毒造成的危害，因而建立和执行有效的安全管理制度是企业防控信息安全风险的重要手段。信息安全管理制度主要涵盖以下方面：加强网络系统的安全控制，包括硬件和软件安全控制、日常操作安全控制，系统维护安全控制；加强对数据管理安全控制，包括加强对数据输入、处理、输出、保密及备份的控制；

明确企业各部门的安全管理职责和权限。在管理手段上，

企业内部应定期开展内控审计、安全性测试等加强防查力度，及时发现问题；对接触财务系统的外部协作单位要签署保密协议，明确信息安全责任。

2.应用安全的网络基础设置和网络技术。信息安全技术包括系统安全和信息安全等方面。系统安全保障网络通信基础设置、网络上的各种系统及应用软件的正常运行；信息安全主要通过鉴别、访问控制、数据完整性、数据保密和抗抵赖等安全服务，保障网络环境下信息保持其保密性、完整性和可用性，通常采用防火墙、入侵检测技术、信息加密、数字签名等多种技术手段。对于网络的新技术包括云服务和移动终端的应用，应在确认其技术安全可靠之后才在企业内推广使用。

3.加大宣传和培训的力度。企业财务信息安全的管理是一项长期性、全员参与的工作，仅靠技术部门和技术手段无法杜绝安全问题。企业有必要让全体员工充分认识到网络环境下信息安全的必要性和重要性，将日常业务与信息安全管理结合起来，规范员工的日常操作习惯，提高员工的安全防范意识。

（三）财务人员方面。财务人员应该遵循法律法规和企业信息安全管理的要求，同时在财务信息处理的各个环节都恪守正确的操作方式。

1.财务信息的保管环节。财务人员对储存有财务信息的计算机，需及时修补操作系统漏洞，安装正版杀毒软件，不下载和安装可疑软件。财务电子文档可以考虑采用文件加密的方式进行保存，重要的财务系统和信息管理网站还需要定期更换登录密码。

2.财务信息的传输环节。财务人员之间在企业内部传输文件时，应使用内部邮箱和通讯软件传输文件。避免使用外部服务器和邮箱，包括使用在线传输、离线文件。因技术手段限制必须使用外部服务器和邮箱的，需对文件进行加密，同时采用电话、短信等其他方式告知接收方密码信息。

1.祁玉峡.2007.网络环境下会计信息系统的安全问题及管理措施[J].河南科技，2。

2.任妍.2011.我国网络信息立法的现状和对策建议[J].中国发展观察，11。

3.霍宏建.2012.网络财务信息安全风险及防范[J].合作经济与科技，2。