新时期财务信息管理系统漏洞存在的安全问题及对策

◆袁 超 付 涛

（上海金鼎软件有限公司 上海 200003）

新时期财务信息管理系统漏洞存在的安全问题及对策

◆袁 超 付 涛

（上海金鼎软件有限公司 上海 200003）

随着信息化建设的发展和广泛应用，财务信息管理系统是新时期下企业财务管理的改革和创新，它对企业的资源有效整合和资金管理起到了至关重要的作用，一定程度上优化了企业的经营管理。但是在目前这个阶段，企业财务信息管理系统还存在一些问题，尤其是安全方面。因此，本文结合新时期财务管理信息化建设的意义，深入分析其问题，并认真探讨解决问题的对策，进而优化财务信息化管理。

财务；信息管理系统；安全；问题；对策

0 引言

随着信息化和网络化的快速发展，大量的信息化产品应用到了企业管理当中，而财务管理是企业管理的关键环节，财务信息管理系统则是企业发展的必然。但在现阶段，企业管理的信息化还存在一定的问题，如果不能合理规避，将给企业带来一定的风险。只有准确把握市场，调配各种资源，努力提升市场竞争力，才能规避风险，在机遇中寻求发展。

1 新时期企业财务信息管理系统的意义

1.1 可以将财务管理的空间拓宽

企业管理信息化，利用财务信息管理系统实现母子公司财务管理的集中处理和远程控制，能够非常方便地监控库存量，使资金集中合理调配，提高使用率。另外，企业间也能够第一时间完成上传下达的任务，各个部门间通过利用网络实施数据的集中管理，将财务管理的空间范围拓宽。

1.2 保证了资金的安全

财务人员可以利用网上银行系统完成款项划拨操作，既节约了出门所耗费的时间和精力，也降低了钱财票据丢失的风险。同时，在系统上操作，网络能够记录操作人员、时间和操作内容，便于日后的追溯，能够促进规章制度的监督和落实，这在很大程度上提高了资金操作的安全性。

1.3 加快了业务流程的时间和效率

财务信息管理系统优化了企业的财务管理，实现了业务和财务的协同发展，缩短了时间差，部门间可以通过系统相互联系，共享信息，改变以往部门之间沟通信息慢、不对称的现象，加强了其他部门与财务部门的协同。财务部门利用网络能够发布很多重要信息，使其他部门能够第一时间知悉，实现了财务管理的动态管理。

1.4 提高了企业财务的效能管理

（1）企业支付、结算实现了电子货币化

财务管理信息化的重要环节——电子货币，它最显著的特点就是能够在网络上实现资金的自动划转，代替了以往现金、汇票和支票等方式，降低了成本，加快周转周期。

（2）网页数据化

企业财务信息管理系统将所有财务相关信息转变成了网页形式的数据，能够随时随地供使用者查阅，代替了传统的纸质数据等，另外，还能够提供24小时持续提供服务，增强了时效性。

2 财务信息管理系统在应用中存在的问题

2.1 企业领导对财务信息管理系统建设不够重视

一般情况下，企业领导对财务信息管理系统的认识仅限于表面，认为财务信息管理化就是计算机软件开发编程的过程，是利用计算机代替人工，减轻财务人员的工作强度，是财务和计算机部门的事，认识不够透彻，无法理解其意义及重要性，更没有认识到一个完整的财务信息管理系统对企业发展的重要性。企业要想建立一个完善的财务信息管理系统，将是一项重大的工程，涉及到企业的管理模式、资金运转以及经营理念等。

2.2 财务信息管理系统存在一定的安全风险

在企业财务信息管理系统应用的过程中，随着利用率的提高，产生的安全问题也越来越明显，具体表现在以下几个方面：

（1）不确定性因素以及系统本身的制约性

在突发断电或者电压突发变大等情况，或者是在不可避免的自然灾害情况下，可能会破坏计算机系统，进而可能造成财务信息管理系统数据丢失，存在一定的安全风险。

有些财务信息管理系统软件兼容性差，适应性不强，抗计算机风险能力弱，计算机的安全性对财务信息系统的安全性起到了至关重要的作用。

（2）计算机网络系统存在漏洞、病毒与入侵等问题

在财务信息管理系统借助网络搜索相关信息时，难免会遇到系统漏洞、病毒的问题，这样很容易导致系统数据丢失和泄露。另外，还会存在很多黑客采用非法手段，肆意地入侵财务信息管理系统，使得信息被泄露，系统受到破坏。

（3）系统中数据的保密性和安全性差

在企业使用财务信息管理系统中存在一些安全隐患，例如：实际操作中因为规章制度不完善或者监督力度不够，有时会有玩忽职守的现象发生；人员缺乏计算机维护相关知识，缺乏保密性和安全性的防范意识；在财务信息管理系统中，如果不定期检查系统，不及时备份，数据可能会丢失，在保管中也存在一定风险，要及时打印凭证、账簿等。

2.3 缺乏专业人才

要想搞好企业信息化管理，要配备一定的专业人才。财务信息管理系统既需要财务专业知识，又需要计算机专业知识，能够结合实际适时维护系统，解决遇到的各种问题，这种综合性人才相对短缺。一般都是要么懂财务知识，要么懂计算机知识，但是二者均懂的人不多。同时财务信息化管理人才也需要一定的经验积累，仅仅懂一些书面理论知识，不足以满足财务信息化管理，这在一定程度上，阻碍了企业财务信息化管理的发展。如果企业领导不重视人才培养，实现企业信息化管理将是空谈。

2.4 不能融合共享信息资源

新时期下，企业管理的根本是信息化管理。一般企业日常主要包括生产和销售等经济活动，主要体现在信息、物流与资金三者的有效统一，这就需要多个部门共同协作，利用财务信息管理系统实现资源共享，单靠某一个部门是远远不可能实现的。但是，在大多数企业中，存在部门间的协作不够畅通，出现信息不对称，数据不透明，口径不统一的现象，难以实现有效控制。另外，每个部门都是单独的个体，都以各自利益为前提，存在一定的人为性，加之利用的软件不统一，使得信息整合度和利用率不高，这些都会影响企业整体的快速运转，影响企业第一时间做出决策。

3 应对策略

3.1 做好企业信息化建设的宣贯，让领导重视

采用多种方式对企业信息化建设进行宣贯，加大宣传力度，提高公司领导对财务信息管理系统的认识水平，能够对此有正确的认知、正确的决策。为了企业的长远发展，公司领导能够从此重视企业信息化管理，避免因人员认识片面等问题而影响了企业的发展。宣贯可以在公司例会、年会等关键会议上，利用会前分享的方式，对公司关键岗位和骨干员工进行信息化方面的培训，从认知上进行提高，做好基础宣贯，逐步加深培训内容，从而培养信息化复合型人才。

3.2 重视财务信息管理系统的安全防护，降低存在的风险

（1）加强对计算机的有效管理

财务信息管理系统的运行依托于计算机，所以要对计算机进行定期维护和保养，有问题及时解决，确保正常运转，避免因计算机问题造成系统数据的丢失和毁坏。

（2）加强对系统的安全管理

财务信息管理系统的运行需要在网络环境下进行，容易遭到破坏，因此，要加强对财务信息管理系统的安全防范，建立有效的权限设置和访问控制等，可以安装防火墙和杀毒软件，防止黑客非法入侵和病毒入侵。

（3）建立完善的规章制度，规范管理

在企业使用财务信息管理系统时，要建立相关的规章制度，包括操作人员及系统方面。其中要求对财务信息管理系统的数据及时进行备份，形成财务档案，并且标注时间和内容，避免因人员疏忽而丢失，造成无法挽救的损失。另外，为提高网络环境下财务信息管理系统的安全防御能力，企业内部要实施内部控制，分级授权管理，实名责任制，强化审计线索。

3.3 培养和储备复合型人才

人才是企业发展的关键。企业要重视人才机制，既要善于引进人才，也要重视内部培养和储备。在信息化建设上，要建立相匹配的用人机制，鼓励部分人员发挥专长，成功转型。对于财务信息管理系统来说，企业要培养既懂计算机知识又懂财务的复合型人才，便于对系统进行财务参数设置，同时进行计算机系统维护。根据企业实际，组织各种培训，逐步提高知识水平，提高效率。

3.4 结合企业实际，开发贴切度高的软件系统

软件系统开发依托于企业，发展方向就是企业的需求。所以，软件公司会主动加强与企业的联系，根据实际，开发出适合企业实际发展的财务信息管理系统，不断优化其功能，实现数据共享，推进企业信息化建设，提高企业的管理水平。

4 结语

企业只有不断推进信息化建设，才能不断提高其管理水平。财务信息管理系统的应用需要不断总结经验、推广，不断优化网络功能，及时解决计算机系统存在的问题，规避系统存在的安全风险，加强宣贯，加强公司领导重视，才能使财务信息管理系统最大程度地发挥其作用，给企业带来更大的成功和希望。

[1]李昌远.试论如何实现企业财务管理计算机信息化[J].青春岁月，2012.

[2]张东丽.我国中小企业财务信息化管理研究[J].中国商贸，2011.

[3]孟祥武.论企业财务管理信息化[J].现代经济信息，2010.

[4]姚劲梅.关于企业财务管理信息化的思考[J].行政事业资产与财务，2011.

图5 用户菜单访问情况统计

（5）用户数据修改情况统计

对用户修改数据情况的统计，将新增、修改、删除分别统计，纵轴为修改次数，横轴为用户账户，不同颜色表示修改的数据表名，如图6所示。实际应用中重点关注图中展示的用户名称及其图示的变化情况。

图6 用户数据修改情况统计

3 结束语

通过对营销系统原始日志进行清理，形成适合数据挖掘的日志格式，并提取了主要安全行为特征，通过一系列挖掘语句和统计聚合函数的应用，形成了可视化的数据挖掘分析图形，对于直观地展示系统安全状态起到了较好的效果，也可以根据安全模型生成安全警报，帮助安全管理人员快速发现隐患并进行处理。

后续可以利用时间序列的数据挖掘方法，对单个用户的行为稳定程度进行分析，设计合理的告警门限，当用户行为发生较大变化时进行提示，便于开展调查，将隐患消除在起始阶段。

参考文献：

[1]Malek Ben Salem，Shlomo Hershkop，A Survey of Insider Attack Detection Research [J].Insider Attack and Cyber Security，vol.39，pp.69-90（2008）.

[2]Ted E.Senator，Henry G.Goldberg，Alex Memory，etc.Detecting insider threats in a real corporate database of computer usage activity[M].KDD '13 Proceedings of the 19th ACM SIGKDD international conference on Knowledge discovery and data mining，ACM New York，NY，USA 2013.

[3]H Eldardiry，E Bart，J Liu，J Hanley，Multi-Domain Information Fusion for Insider Threat Detection [J].Security and Privacy Workshops IEEE，May 2013.

[4]Pallabi Parveen，Evolving insider threat detection using stream analytics and big data [D].Dallas:The University of Texas，Dec 2013.