财务安全信息精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇财务安全信息，期待它们能激发您的灵感。

篇1

【关键词】 财务 信息 安全

认识信息化，驾驭信息化，建设信息化财务，是时代赋予财务工作的崇高使命和艰巨任务。信息安全是信息化财务建设的生命线。财务工作必须面对和正视信息化现状，以积极的姿态建设财务信息化，确保各项财务信息安全无差错。

一、财务信息安全存在的隐患

1、计算机自身的问题

长期以来，人们设计计算机的目的主要是追求信息处理功能的提高和生产技术成本的降低，对于安全问题或没有考虑，或只是作为一项附带条件在设计时顺便考虑一下，因此计算机系统的各个组成部分、接口和界面、各个层次的相互转换，都存在着不少漏洞和薄弱环节。从全国范围来看，财务部门使用的计算机操作系统基本上还是外国生产的，它存在一定的安全缺口。此外，由于计算机系统的先天脆弱性，容易产生电磁泄露，即计算机信息系统设备工作时向外辐射电磁波的现象，一旦被侦收复原就造成信息泄露。

2、病毒入侵问题

利用计算机病毒攻击计算机，是目前不法者采用的一种最常用的方法。尽管计算机病毒种类繁多，表现形态各异，但一般存在传染性、隐蔽性、破坏性和不可预见性等特点。计算机病毒具有把自身复制到若干程序中的特性，一旦搜寻到符合传染条件的程序或存储介质，便将自身代码插入其中，达到自我复制的目的。计算机病毒能够隐藏在正常程序中，窃取到系统的控制权，轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃，影响到财务工作全局。

3、存储介质泄密问题

随着存储技术的发展，各类新型存储产品逐步出现，特别是形式多样的可移动存储介质迅速普及，渗透到工作和生活的各个方面。然而受商业因素的影响和技术发展的限制，市场上大部分电子信息存储产品并不具备良好的安全保密性能，大部分单位在可能导致泄密的关键环节，也没有严格进行限制。一旦这些移动存储介质在含有会计数据的计算机中使用时，就很容易感染木马程序，产生严重的财务数据泄密隐患。

4、网络攻击问题

随着互联网的广泛应用，不少安装了财务软件的计算机都接入了互联网，容易受到来自网络的攻击而致使软件受损，主要有逻辑炸弹和黑客攻击。逻辑炸弹指满足特定逻辑条件时按某种不同的方式运行，对目标系统实施破坏的计算机程序。该程序触发后会造成计算机数据丢失、不能从硬盘或者软盘引导，甚至会使整个网络系统瘫痪，并出现物理损坏的虚假现象。而黑客攻击的主要目的是利用获得的非法访问权，闯入计算机网络，破坏重要数据以及信息网络系统，主要分为恶作剧型、盗窃诈骗型、蓄意破坏型、控制占有型、恐吓勒索型、传播有害信息型和窃取情报型。

二、造成财务信息安全隐患的原因分析

1、主观原因分析

（1）安全意识薄弱。有些财务人员对新形势下信息安全战线的激烈斗争缺乏足够的认识，对日常工作中的秘密习以为常，思想观念放松，保密意识淡化；有些财务人员安全保密意识淡薄或是工作中主观随意性太大，对所使用的计算机及财务软件经常不设密码，或是长期重复使用一种密码不进行更换，这就容易被研究和推导出规律性，从而破译密码。

（2）安全常识缺乏。有的财务人员不注意学习，对泄密安全情况缺乏理解的掌握，涉秘载体乱插乱接，没有养成定期查杀病毒、更新病毒数据库的习惯，造成信息泄露而自己却毫不知情，给财务信息安全带来隐患。

（3）网络防范较弱。随着社会信息化程度的不断提高和社会竞争的日益加剧，竞争对手利用网络非法访问对方的内部信息，利用高超的计算机水平和十分先进的工具，有预谋地入侵对手的计算机系统，窃取、篡改、破坏信息，给财务信息化安全带来了严重的威胁和挑战。

2、客观原因分析

（1）管理机制不健全。由于财务信息化管理起步较晚，对于技术上的安全问题也不太了解，因此思想上没有高度重视信息化管理工作中的安全保密问题。另外，由于部分单位的领导对网络安全方面的问题知之甚少，采取了一种听之任之的态度，形成监督不力、行政管理不严的局面。

（2）基础设施不配套。由于一些单位和部门对财务信息安全管理不够重视，所以基本上没有设立单独的财务专用微机房，不能进行有效的物理隔离。也没有相应的技术条件来实施安全保密，这就形成了一个“瓶颈”，束缚了财务信息化的发展，甚至会产生严重的泄密后果。

（3）相关法律法规不完善。迄今为止，财务系统还没有建立比较系统、完善的信息安全管理的法律法规体系，因而就不能从制度上保障信息安全，从而形成无法可依、执法不严的局面，这就给财务部门的安全管理带来了许多不确定的因素，可能造成管理的混乱和泄露机密的后果。

三、加强财务信息安全的对策

1、建立健全信息安全管理体制，杜绝安全隐患

一是要制定上机操作规程，主要包括软硬件操作规程、作业运行规程和用机时间记录规程等。二是要加快基础设施建设。要调动财务部门的积极性，主动进行财务信息安全建设基础设施的完善和优化，注重财务专用机房的建设，加大物理隔离的力度。选用金属材料，形成屏蔽网，以达到阻隔信息的目的；添设干扰机等设备，以增加信息被破译的难度。三是要完善法律法规体系。建立健全财务信息安全管理的相关法律法规，依法实施财务信息安全管理。这些法规主要包括计算机安全法规、财务安全法规、财务信息资源管理法规、网络安全法规等。目的是用法律机制规范、调节和引导财务部门对信息技术及信息保密技术的研究、开发和应用，建立规范的财务信息安全法律体系。

2、建立完善信息安全防护体系，加强全面监督

一是对财务业务发生的控制，即程序检查。在财务活动发生时，通过计算机的控制程序，对业务发生的合法性、可行性、完整性进行检查和控制。二是财务数据输入的控制。加强凭证控制，做好对平整的审核、自制、输入、传递、保管五个环节全面控制，保证凭证的合法、真实、正确、完整。三是对财务信息的控制，包括对财务信息传递、分析处理、使用、检索等的控制。确保传输的安全，及时更新维护系统，确保财务信息化系统产生数据和信息的安全存储，对各种磁介质材料做好标记、归档、保管，对于内部数据做好备份，保证数据方便快捷地被调用、检索。

3、充分使用信息安全技术手段，突破关键环节

一是信息加密，即通过对信息的变换或编码，将机密的第三信息变换成非法用户难以读懂的乱码，从而有效屏蔽真实信息。主要包括文件加密、数据库加密、存储介质加密和传输数据加密。二是网络隔离，即保证内部网与外部公共网相分离的技术方法，主要包括物理隔离和逻辑隔绝两种。三是入侵检查，即通过在网络中主动寻找入侵信号，来及时发现未授权或者异常行为，并发出预警的动态安全防护技术。四是病毒防护，即利用预防的检测的技术，主动发现并清除计算机病毒，以有效地阻止计算机病毒的危害。五是容灾备份，即通过在异地建立和维护一个备份存储系统，利用地理上的分离来保证财务数据和信息系统对灾难性事件的抵御能力。

4、提高财务人员安全管理意识，减少人为事故

财务信息安全管理是财务管理信息化、网络化的发展需求，需要精通财务知识，掌握计算机的复合型人才。一方面由院校直接培养既懂计算机又懂财务的复合型人才；另一方面各单位定期选拔一批干部集训，综合学习计算机信息安全管理知识。集训要注意改革集训方法和集训手段，使财务人员变被动学习为主动学习，同时加快计算机辅助教学软件的研制推广应用，加速实现集训方法和手段的现代化。还要邀请院校有关专业的专家、教授组成安全委员会，加强对财务信息安全管理的指导。此外，要加强对财务人员关于财务信息安全的教育工作，使他们充分认识到信息化网络潜在的危险，规范日常工作操作，确保财务工作的安全。

篇2

随着会计电算化和信息化的推广，目前高等学校都实现了会计电算化。会计电算化在带来高效的工作效率的同时，也为财务信息安全带来了新的挑战。文中分析了会计电算化下高校财务信息面临的安全问题，系统研究了产生的原因及应对策略。

关键词：

高等学校；会计电算化；财务信息；信息安全

1高校财务信息安全面临的问题

在会计电算化下，高等学校的会计核算、会计信息的查询、会计数据的决策支持等基本都以电子数据为基础，都要以会计核算系统的正常运行为前提。而在实际的工作中，往往因为人为操作失误、病毒感染、硬件设备故障等造成电子财务数据的部分丢失或错误，严重情况下会造成电子财务数据的完全破坏和丢失。这一方面影响高校正常财务工作的开展；另一方面需要根据纸质的会计档案修正电子财务数据，特别是在电子财务数据的完全破坏和丢失的情况下，需要根据纸质会计档案重新建立电子数据库，在个别严重的情况下无法完全重建电子数据库，造成财务信息的不完整。

2造成高校财务信息安全问题的原因

2.1相关会计电算化规章制度难以落实

规章制度用于规范职工的操作，为业务办理提供规范性的指南与约束。部分高校虽然已采用了会计电算化，也制定了相关的会计电算化规章制度，但并不注重相关制度的落实。首先，部分高等学校只是重视会计电算化制度中规定的会计电算化业务规范，严格要求会计人员按照规定的规范进行会计核算业务，但很少注重会计电算化制度中禁律、维护手段和频率等内容。其次，大部分高等学校都没有切实安排人员监督会计电算化制度的落实，完全取决于会计人员对会计电算化制度的了解和认识以及对自身的约束性。最后，部分高等学校虽然安排了监督会计电算化制度实施的工作人员，但是往往是一名普通的工作人员，在发现同事甚至个别领导存在违反会计电算化制度的情况时，也不方便监督与更正。由于会计电算化制度不能切实实施，给高等学校的财务信息安全带来极大的隐患。

2.2重视力度不够

会计工作是一个高校的基础和保障工作，基本上所有高校的所有者和管理者都很重视会计工作，但是往往重视的是高校的筹资活动、投资活动、收入和成本管理、会计核算的真实完整、会计报表的准确真实等会计业务，往往忽视会计电算化电子档案和数据的管理。在会计电算化环境下，很多高校还是沿用老的管理模式，对纸质凭证及其他会计档案按照相关会计准则规定建档保存，但是对电子数据保存和使用的管理却远远落后。个别高校甚至在日常的工作中根本不理睬会计电算化系统的运行情况和数据的备份及维护，只有在会计电算化软件或硬件系统出现故障时，会计人员才会在软件工程师的指挥下备份会计电算化数据，清洁维护会计核算设备。在这种情况下，会计核算设备很容易出现故障，会计信息很容易被破坏或丢失。

2.3会计电算化设备相对不足

首先高等学校的财务工作是一项专业性很强的特殊领域。财务工作人员虽然具有很强的财务专业知识，但是一般不具备信息安全知识。在构建电算化系统时和后期的电算化系统使用过程中，财务人员从专业的角度出发往往要求以最小的成本实现最大的收益，只注重会计电算化业务功能的实现，而很少切实考虑日后使用过程中系统的稳定运行和财务数据的安全性问题，致使很多高校的电算化设备没有不间断电源、数据备份冗余设备、财务数据异地备份所需要的移动存储设备等。其次，会计电算化设备的相对不足还表现在会计电算化设备的陈旧。很多高校重视电算化系统的初始构建，但是不注重后期电算化设备的维护和更新，特别是会计电算化所用的服务器达到其使用寿命后仍在没有必要辅助设备的情况下继续使用，为会计电算化的财务数据安全性带来极大的威胁。最后，会计电算化设备的相对不足还表现在会计电算化配套设置如存放房间、空调等的不足。

2.4专业人才缺乏

很多高等学校，从事会计电算化业务的人员都是原来从事传统手工会计的会计人员或是现代会计相关专业毕业的会计人员。这些会计人员由于缺乏数据安全的专业知识、不了解电子设备的性能及相关维护知识、会计业务的专业特殊性及忙碌的工作等，只能按照构建电算化系统时软件工程师的指导意见对电算化系统及数据进行简单的维护，甚至在电算化系统正常运行的情况下基本不进行任何维护操作。虽然现在已有很多高校的财务部门开始引进一些计算机专业毕业的工作人员，但是由于在财务部门这种传统的专业技术领域，计算机专业人员很难得到应有的认可，导致很多的计算机专业人员开始慢慢放弃原来的专业而将更多地精力用于会计专业知识和业务的学习。

2.5会计电算化软件及设备的消极被动维护

很多高校都是由专业的会计人员兼职会计电算化系统和数据的维护工作。一方面这些工作人员都有正常的会计业务需要办理，并且这些会计工作基本被认为是其重要的本职工作，甚至是其考核的标准。这无形中导致了工作人员将主要精力用于会计业务而忽视会计电算化系统和数据的维护，同时繁重的会计业务也使这些会计专业人员没有更多地精力去改进会计电算化系统的性能和稳定性，只能简单的保证系统的正常运行。另一方面会计电算化系统和数据的维护是一项即辛苦又看不到成果的工作。很多时候这份工作也就会被慢慢的冷落而变成消极地应付性的简单维护工作，这为财务信息的安全带来了很大的隐患。

3保障财务信息安全的策略

3.1加强会计电算化制度的实施

高等学校应加强会计电算化制度的培训与学习，使会计工作人员熟悉会计电算化制度及其重要性，提高工作人员重视并自觉遵守相关制度的意识。同时，高等学校财务部门应安排直接领导负责会计电算化制度的执行情况，不定期抽查工作人员落实会计电算化制度的情况，及时发现并纠正违规行为。从制度落实方面规范会计工作人员的电算化行为，保证高等学校财务信息安全。

3.2提高重视程度

财务信息安全是会计电算化下高校财务工作的基础，筹资活动、投资活动、收入和成本管理、会计核算的真实完整、会计报表等都必须以准确的财务信息和稳定的会计电算化系统为基础，没有安全准确的财务信息，高等学校的财务工作将寸步难行。高等学校应切实提高对财务信息安全的重视程度，充分认识到财务信息安全的重要性，在人力和物力上保证电算化系统的正常运行，保障财务数据的准确与安全。

3.3加大对会计电算化的投入

一方面高等学校应该根据电子设备的特性，将会计电算化系统的重要设备存放在安全、清洁且恒温的房间，配备不间断电源避免服务器突然断电，配置必要的设备通过冗余技术提高会计电算化系统的稳定性，从而提高财务信息的安全。另一方面电子设备都有一定的使用寿命，当达到其使用寿命后电子设备的稳定性将大幅度下降。高等学校应该在会计电算化所用电子设备接近使用寿命时根据其运行状况及时更换，避免因电子设备的损坏造成电算化系统的瘫痪和财务数据的损坏或丢失。

3.4加强专业人才队伍建设

会计电算化系统的稳定性一方面取决于电子设备和软件系统的性能，另一方面取决于电算化系统的维护情况，而后者起着更重要的作用。为保证会计电算化系统的运行和财务数据的安全，高等学校财务部门应设置专业的会计电算化系统及财务信息的维护岗位，聘用具有会计电算化维护资格的计算机专业人员，从专业技术上为会计电算化下财务信息安全提供保障。在有条件的高等学校，可以像中山大学和华中科技大学一样在财务部门内部设置专业的信息部门并聘用计算机相关专业的工作人员从事会计电算化系统及数据的维护，并进行专用软件的开发。

3.5加强会计电算化系统及数据的维护

高等学校应要求会计电算化维护人员严格遵守学校会计电算化制度中关于会计电算化系统及数据的维护方式、维护频率及财务备份数据的保存方式等的规定，以规范完善的维护业务保证会计电算化系统的稳定和财务信息的安全。同时，现代科技日新月异，新的技术和设备不断涌现，高等学校应鼓励会计电算化维护人员根据单位的特点采用先进的维护技术，及时更新电算化系统所使用的电子设备，不断提高会计电算化系统的性能和稳定性，保证财务信息的安全性。

作者：孟庆书 单位：华南农业大学

参考文献：

[1]樊珊珊．目前我国会计电算化存在的问题及对策[J]．会计之友，2011，(6)：48．

[2]王中健，张强强，贺志官．对我国会计电算化问题现状分析的思考[J]．中国电子商务，2012，(12)：187．

[3]谷增军．信息化环境下会计信息安全问题探讨[J]．新会计，2011，(4)：63．

[4]胡英松．信息化中会计信息安全问题研究[J]．哈尔滨商业大学学报(社会科学版)，2009，(4)：83．

[5]岳志雁．加强高校会计电算化内部控制的对策[J]．山西财税，2009，(5)：43．

篇3

关键词：财务外包；信息安全风险；甄别与控制

一、引言

随着时代的发展，以及经济水平的不断提高，人们逐渐意识到了财务外包的重要性。公司在实行财务外包后，在享受其优越性的同时，也会面临着一些风险。公司在实行财务外包后可能面临的风险多种多样，需要公司管理层深思熟虑。主要面临的风险有三种，第一种为最为常见的外包决策战略失误风险；第二种为外包信息安全的风险；第三种风险为外包成本远远的超过了预期。因此财务外包策略在执行的过程中需要考虑到财务外包信息安全的风险以及对这些风险因素进行针对性的甄别，从众多影响因素中挑选出风险因素最后再采取相应的措施来控制这些风险，以达到实行财务外包的公司在避免财务外包信息安全风险的同时，享受到其独特的优点。

二、财务外包的信息安全风险的相关内涵

一般来讲财务外包就是公司通过与承担外包的公司也就是承包商签订详细的合同或者协议，根据合同或者协议内容将本公司全部或者一部分的财务工作委托给承包商，在承包商依法履约其应有的义务后，支付其应有的报酬。如今越来越多的公司意识到财务外包的重要性，甚至把其当成有力的竞争手段。公司的管理层充分的意识到，如果不进行财务外包，那么公司很有可能在激烈的外部竞争中处于劣势，以致予淘汰出局。财务外包在我国目前发展虽然有着广阔的前景，但发展还是比较缓慢的，仍有较大的改进空间。许多公司对财务外包没有完全放下顾虑，仍然对外包后存在的信息泄露风险存有一定的顾虑。

财务外包的信息安全风险也就是指，公司将财务进行外包后公司内一些与公司核心业务有关的重要信息和数据被无意或者有意泄露以及盗用的风险。众所周知，一个公司的财务部门对财务部门的保密度比较高，并且在日常公司的运营过程中财务工作中会产生大量的内部信息，在这些信息之中好多信息对公司来说都是商业机密，如果在财务外包后这些重要信息发生了泄露，那么这对企业造成的损失将是难以估量的，尤其是这些信息被公司的竞争对手的得到，后果就更加不可想象了。因此与财务有关的各项业务一般都会保密，除非强制性披露的要求，否则这些信息是不会向外部透漏的，哪怕是公司一般的管理层有时候也要加以保密。

三、财务外包的信息安全风险的甄别

在实施财务外包决策的过程中，要结合公司自身的实际情况来甄别一些潜在的或者明面上存在的相关信息安全风险，在充分分析这些风险的来源、发生概率以及危害程度的基础上，接着采取相应的手段和方式加以有效的控制，因此在此过程中，安全风险的甄别与控制对财务外包有着重要的影响，甚至在某种程度上可以决定着财务外包是否能够成功。公司财务外包的信息安全风险主要有以下几个方面：

第一、信息泄露的风险。信息泄露风险是公司财务外包所面临的发生概率最大的信息安全风险。此风险的发生虽然有诸多因素引起的，但最主要的因素就是客户公司重要信息或者数据的保密程度不够，或者承包商在采取保密过程中所采用的保密措施不够完善。因此外包商对于客户的资料是否依据实际情况建立了比较严格的保密制度，对于承包商内部的员工是否明确了相关责任追究制度来避免信息泄露风险的发生。这些因素都会对承包商内部员工产生影响，进而会有承包商内部员工将其所接触到的客户信息泄露的可能。

第二、信息被丢失的风险。信息被丢失主要发生在信息传递以及信息处理时，有可能在外包过程中承包商的相关技术不够完善或者不够成熟，因此其相关技术在稳定性以及安全性上仍有不足之处。承包商在面对信息丢失事故时所采取的补救措施是否得当合理、采用补救和预防技术的时效性，这些因素处理的效率和效果都会在一定程度上对信息丢失产生重要的影响。

第三、信息被盗取的风险。发生此风险主要的原因在于外包商对于自己客户的信息资料保护措施做得不够好，相关保护制度不完善，以致于在保护制度或者措施上存在漏洞。因此公司进行财务外包时，承包商是否采取相应的措施来对客户的信息建立起有效的管理制度，以及承包商专业团队成员的整体素质情况等，这些因素实施的好坏，都会对企业信息被盗造成了重要的影响。另外，对信息进行承包的企业属于服务性行业，这个行业的特点也决定了其内部员工的流动性也比较大，因此在人才流动的过程中也在一定程度上加大了所承包企业在信息经营过程中被盗的风险，而且这个风险不容易完全规避。

四、财务外包的信息安全风险的控制

若想进行全面而有效的控制，因此要结合公司所处的环境以及自身的特点，从外包的全过程入手，在整体全局上建立合适的控制机制，从而从全过程以及全方位的减少和防范财务外包后所带来的不确定的各种信息安全风险，进而最大限度的为公司安全运营服务，公司在进行财务外包前要建立信息安全风险的相关防范机制，可以从以下三个方面来入手：

一、引言

随着时代的发展，以及经济水平的不断提高，人们逐渐意识到了财务外包的重要性。公司在实行财务外包后，在享受其优越性的同时，也会面临着一些风险。公司在实行财务外包后可能面临的风险多种多样，需要公司管理层深思熟虑。主要面临的风险有三种，第一种为最为常见的外包决策战略失误风险；第二种为外包信息安全的风险；第三种风险为外包成本远远的超过了预期。因此财务外包策略在执行的过程中需要考虑到财务外包信息安全的风险以及对这些风险因素进行针对性的甄别，从众多影响因素中挑选出风险因素最后再采取相应的措施来控制这些风险，以达到实行财务外包的公司在避免财务外包信息安全风险的同时，享受到其独特的优点。

二、财务外包的信息安全风险的相关内涵

一般来讲财务外包就是公司通过与承担外包的公司也就是承包商签订详细的合同或者协议，根据合同或者协议内容将本公司全部或者一部分的财务工作委托给承包商，在承包商依法履约其应有的义务后，支付其应有的报酬。如今越来越多的公司意识到财务外包的重要性，甚至把其当成有力的竞争手段。公司的管理层充分的意识到，如果不进行财务外包，那么公司很有可能在激烈的外部竞争中处于劣势，以致予淘汰出局。财务外包在我国目前发展虽然有着广阔的前景，但发展还是比较缓慢的，仍有较大的改进空间。许多公司对财务外包没有完全放下顾虑，仍然对外包后存在的信息泄露风险存有一定的顾虑。

财务外包的信息安全风险也就是指，公司将财务进行外包后公司内一些与公司核心业务有关的重要信息和数据被无意或者有意泄露以及盗用的风险。众所周知，一个公司的财务部门对财务部门的保密度比较高，并且在日常公司的运营过程中财务工作中会产生大量的内部信息，在这些信息之中好多信息对公司来说都是商业机密，如果在财务外包后这些重要信息发生了泄露，那么这对企业造成的损失将是难以估量的，尤其是这些信息被公司的竞争对手的得到，后果就更加不可想象了。因此与财务有关的各项业务一般都会保密，除非强制性披露的要求，否则这些信息是不会向外部透漏的，哪怕是公司一般的管理层有时候也要加以保密。

三、财务外包的信息安全风险的甄别

在实施财务外包决策的过程中，要结合公司自身的实际情况来甄别一些潜在的或者明面上存在的相关信息安全风险，在充分分析这些风险的来源、发生概率以及危害程度的基础上，接着采取相应的手段和方式加以有效的控制，因此在此过程中，安全风险的甄别与控制对财务外包有着重要的影响，甚至在某种程度上可以决定着财务外包是否能够成功。公司财务外包的信息安全风险主要有以下几个方面：

第一、信息泄露的风险。信息泄露风险是公司财务外包所面临的发生概率最大的信息安全风险。此风险的发生虽然有诸多因素引起的，但最主要的因素就是客户公司重要信息或者数据的保密程度不够，或者承包商在采取保密过程中所采用的保密措施不够完善。因此外包商对于客户的资料是否依据实际情况建立了比较严格的保密制度，对于承包商内部的员工是否明确了相关责任追究制度来避免信息泄露风险的发生。这些因素都会对承包商内部员工产生影响，进而会有承包商内部员工将其所接触到的客户信息泄露的可能。

第二、信息被丢失的风险。信息被丢失主要发生在信息传递以及信息处理时，有可能在外包过程中承包商的相关技术不够完善或者不虺墒欤因此其相关技术在稳定性以及安全性上仍有不足之处。承包商在面对信息丢失事故时所采取的补救措施是否得当合理、采用补救和预防技术的时效性，这些因素处理的效率和效果都会在一定程度上对信息丢失产生重要的影响。

第三、信息被盗取的风险。发生此风险主要的原因在于外包商对于自己客户的信息资料保护措施做得不够好，相关保护制度不完善，以致于在保护制度或者措施上存在漏洞。因此当公司进行财务外包时，承包商是否采取相应的措施来对客户的信息建立起有效的管理制度，以及承包商专业团队成员的整体素质情况等，这些因素实施的好坏，都会对企业信息被盗造成了重要的影响。另外，对信息进行承包的企业属于服务性行业，这个行业的特点也决定了其内部员工的流动性也比较大，因此在人才流动的过程中也在一定程度上加大了所承包企业在信息经营过程中被盗的风险，而且这个风险不容易完全规避。

四、财务外包的信息安全风险的控制

若想进行全面而有效的控制，因此要结合公司所处的环境以及自身的特点，从外包的全过程入手，在整体全局上建立合适的控制机制，从而从全过程以及全方位的减少和防范财务外包后所带来的不确定的各种信息安全风险，进而最大限度的为公司安全运营服务，公司在进行财务外包前要建立信息安全风险的相关防范机制，可以从以下三个方面来入手：

第一，慎重选择承包商。唯有慎重选择外包商，才能在有效的降低财务外包的风险，这是第一步，同时这也是最关键的一步。在决定承包商之前，要详细的了解承包商的信誉度，因为信誉是经过常年累月积累起来的，因此一般情况下信誉良好的承包商，因为它们不但保密工作做得好，并且各项技术也比较齐全，这些都是保证公司财务外包信息安全的物质基础。并且要有几个备选的外包商公司，来进行综合的比较，择优录取。另外公司还需要时刻关注外包商的相关工作是否有相关合法的知识产权保护制度，这可以在法律层面保护公司的财务外包信息安全。

第二，与外包商签订相关的安全信息合同或者协议。为了保证公司财务外包信息的安全，公司应该与承包商签订详细合理的信息安全协议，并且要合法的、详细的列举公司与承包商的权利和义务，严格控制承包商所拥有的权限，禁止其有越权的行为，并且在今后实施的过程中，要求承包商依法对信息安全做出承诺。在实施过程中若因为外包商的原因造成的信息泄露或者丢失进而对委托方造成经济损失的，那么在合同或者协议中要明确规定具体相关的补偿办法和措施来对委托方进行相应的补偿。由于财务外包还属于新兴的产业仍处于发展初期，因此目前仍无完善的法律法规对其进行规范和约束，这也是财务外包发展所面临的障碍。目前我国的信誉体系仍比较脆弱，并不能完全满足其快速发展的需求，因此唯有订立严格周全的信息安全协议才能在法律层面为公司的信息安全提供最坚定的保障。

第三，合理选择财务外包的内容。公司在决定进行财务外包前，应对财务业务链上的每个环节进行检查，优先将一些非核心的业务外包出去，随着公司与外包商逐步建立起合作信任关系后，在考虑外包一些重要的、核心的业务。对于一些外包后信息安全存在较大风险的业务，公司要慎重考虑，最好不进行外包。这样公司选择的余地更大，更能充分利用外包商的核心优势，并且还可以起到分散风险的作用。

五、总结

本文在分析财务外包的信息安全风险的内涵的基础上，给出了财务外包的有关定义。并结合其定义来对财务外包的信息安全风险进行甄别：有信息泄露的风险、信息被丢失的风险以及信息被盗取的风险。针对这些风险采取了一些风险控制的措施：有慎重选择外包商、与外包商签订相关的安全信息合同或者协议以及合理选择财务外包的内容。通过这些措施可以有效地减少财务外包的信息安全风险，并未财务外包的发展做出相应的贡献。

参考文献：

[1]罗艳.财务外包风险规避的探讨[D].江西财经大学，2010.

[2]柳金叶.企业财务外包风险管理研究[D].东北石油大学，2011.

[3]雷振红.高校信息安全服务外包风险的管理与控制[D].昆明理工大学，2009.

[4]钟男.企业财务外包风险应对研究[D].西南财经大学，2012.

篇4

【关键词】彩信系统网络安全业务安全

一、彩信系统介绍

短消息业务SMS（Short Message Service）已经成为最成功的无线数据业务之一。但随着时间的推移和技术的进步，人们不再满足于单纯的文本信息，转而追求丰富多彩的多媒体体验。多媒体消息业务MMS（Multimedia Messaging Service）作为SMS和增强型消息业务EMS（Enhanced Message Service）的演进，为消息类通信服务产品增添了“色彩”。

彩信业务系统，为个人多媒体移动通信服务提供完整的端到端解决方案，并可以作为多种移动应用和业务的通用平台。使用彩信业务，用户可以将格式丰富的信息内容，通过多种方式与他人或增值业务提供商进行交流。

从通信内容上讲，彩信业务实现了内容的多样性，包括文本、图片、语音、图像以及这些类型的各种组合。

从通信方式上讲，MMS业务涵盖了终端到终端、终端到邮件、邮件到终端、终端到应用和应用到终端等多种通信方式。

彩信系统其功能是负责彩信收发和存储，其主要功能如下：

（1）对多媒体消息MM（Multimedia Message）进行存储和处理，包括消息的提交、接收、地址解析、通知、消息下发和报告（包括递送报告、阅读报告）。

（2）负责MM在不同MMSC之间的传递。

（3）产生CDR（Call Detail Record）话单，用于计费。

二、彩信系统网络安全分析

2.1彩信系统在网络中的位置

彩信系统是独立于移动通信网络的一个业务处理系统，主要实现彩信的提交、存储和转发等功能，可适用于GPRS、WCDMA、CDMA2000 1X等网络。具体在网络中的位置如图1。

2.2彩信系统网络安全风险分析

由于彩信中心与多种外部网元系统（WAP、SMSC、OSS、VASP等）之间均有消息交互，其对外接口在互联网都是开放的，虽然现有的彩信系统都有架设防火墙，但对于复杂的通信网络环境还是远远不够的。下面将重点分析彩信系统可能存在的各种网络安全风险因素及其应对措施。

（1）网络设备风险，作为部署在彩信系统的第一道防线，防火墙设备的安全性可谓重中之重。彩信业务系统与其他网元如WAP网关、其他彩信中心、短信中心、DSMP、网管系统等的消息交互均需要通过防火墙设备进行过滤，防火墙策略配置的访问最小化性尤为重要。同时要求防火墙要根据实际情况开启相关的日志信息，在出现紧急情况，能对异常流量进行记录，方便维护人员跟踪调查。最后要求防火墙要尽可能关闭不必要的端口服务，避免被不法分子攻击利用。

（2）主机漏洞风险。彩信业务的承载载体都是各类主机设备，如SUN服务器、刀片机、HP服务器等。主机系统的安全性重点针对漏洞补丁是否及时装载；账号口令是否符合安全设置规范，严禁出现弱口令、共享账号等情况，对口令要求定期进行修改。在账号管理上，要求具有定期审核机制，避免人员变动而账号依然存在主机系统，存在安全隐患。

（3）数据库和WEB-PORTAL风险。彩信系统的数据库作为存储彩信消息的重要部件，数据库主要是市面主流的ORACLE或SYSBASE数据库。除了要求遵循数据库的标准安全配置，针对涉及彩信消息存储表的访问也需要严格管控，由于涉及到用户的通信记录等信息，被非法访问，将可能导致用户信息泄露，导致安全事件产生。

WEBPORTAL是彩信系统提供给用户的自服务系统，用户可以通过PORTAL页面进行相关信息修改，WEB页面的安全防护重点是避免出现SQL注入漏洞，导致其他人非法入侵彩信系统。

三、彩信系统业务安全分析

彩信业务的生命周期包括：业务开通、使用、计费等各阶段，业务安全出现在：业务生命周期的某个阶段或某个过程存在安全问题，导致业务安全。业务生命周期中看起来正常的各个阶段，通过业务流程串联起来后，出现异常，如计费异常等。业务安全更加关注业务端到端流程中的涉及到的各安全问题，而不仅仅是单个过程的问题。一条彩信业务在其全生命周期内，经过了无线网，GPRS核心网、WAP网关、BOSS计费、网管系统，SP应用平台等诸多网元系统（如图2）。

其业务安全主要表现在以下几个方面：

（1）业务鉴权漏洞。

彩信体从用户手机发出，要能安全送达目的地，期间经历了一些列的网元设备，其中在彩信系统需要对彩信的主被号码进行鉴权，鉴权包括号码的合法性，归属的位置等，在现网案例中，发现不法用户通过笔记本连接 GPRS网元，进行彩信发送，通过对消息包进行修改，填写不存在的手机号码，企图绕过彩信中心鉴权进行非法彩信发送。

（2）计费漏洞。

单独每一个过程可能不能发现问题，需要经过端到端流程验证后才能确认安全问题如涉及到计费问题，往往使得安全测试工作时间变得较长。彩信的计费主要是按条计费，从彩信中心生成计费话单，到计费中心最终入库并完成对用户号码扣费，期间具有一定的时延，这往往给不法分子可乘之机，通过在短时间内群发大量的垃圾彩信，产生高额欠费，给运营商的收入造成了巨大的损失。鉴于用户的这些恶意行为，在彩信中心通过建立高频度的检测判断机制，通过对用户的彩信发送行为分析，对用户短时间内大量的群发彩信进行拦截，一方面即可保证有正常通信需求的用户要求，另一方面能防范用户的垃圾彩信群发。同时与计费系统高度联动，缩短计费入库时长，及时对用户进行扣费，及欠费停止通信服务。

（3）病毒彩信。

病毒彩信，主要指不法分子在彩信体中附带了病毒代码，用户在接收到彩信并打开后，病毒代码开始执行，感染用户终端，造成用户损失。例如，之前有一种以彩信方式传播的手机病毒名为Commwarrior.A的病毒，现象为每3秒不断向一个随机的手机号码发送彩信。按照0.5元/3秒计算，一个小时可能生成600元的高额话费。CommonWarrior病毒源自俄罗斯，是一种可通过蓝牙和彩信双路传播的病毒，在传播时其往往带有各类引诱性文字。尽管该病毒对手机本身没有破坏性，但是由于其暗中大量发送彩信，会为手机用户带来严重的经济损失。

篇5

摘 要 财务信息管理系统是局域网结构，因此对于其系统安全防护可以从加密软件、访问验证等方面加以考虑。虽然安全措施总有被攻破的可能性，但是建立一个多层次、多结构的保护系统，可以最大程度确保系统安全，因此笔者就如何确保财务信息管理的系统安全谈下自己的看法以供参考。

关键词 网络系统 访问控制 病毒防护 网络安全管理

在财务信息管理系统中，数据安全是最重要的，除此之外还有数据通信网络、管理系统电源设备、系统的密码与服务器磁盘等方面都是要考虑的安全点。具体如下：

一、安全操作网络系统

任何安全措施并不是绝对的，总有被攻破的可能，但是建立一个多层次、多结构的保护系统，可以最大程度确保系统安全，目前在局域网络的电算化会计中，其数据存储多是DBF文件，对这些关键数据的管理就显得极其重要。

由于在网络中存在着超级用户或重要的帐户信息都可以在任何工作站中登录的现象，操作口令一旦被别人控制，财务信息管理的安全就收到了威胁。因此，应通过某种指定关系对超级用户和访问权限较大的用户进行限定，如在指定的工作部登录指定的用户，实行逻辑和物理双重属性的登录认证，甚至对登录的时间段也加以限制。同时在管理系统中，直接超级用户尽量限制使用，除了对系统日常维护外，不允许直接运用超级帐户处理日常事务。入侵者最感兴趣的账号是Administrator，因此除应给此账号改名之外，还有对口令经常性的更换使得入侵者无法进入。在这个基础上，创建一个Administrator的用户名来欺骗入侵者，此用户名没有任何权限，以便达到更好的安全效果。

二、网络电源系统、拓扑结构和场地的安全

相对于局域网的电算化会计，标准化机房建设显得更为重要：具有完善的防盗防火防雷措施；保持机房的清洁卫生，安装温度湿度控制设备；装有可自动更换的双路电源供电系统；对于突发意外事件要有预防机制等。在对财务信息管理系统的安全性、可靠性与应用范围上要充分的考虑，以以太网技术的星型拓扑结构作为局域网的主要构造部件，切记不可使用环形拓扑结构以防一个节点故障对全局造成不利的影响。

三、多级别访问控制设置

在操作系统、网络和应用软件这三类级别上使用访问控制的安全保护措施。操作系统级别上，开机时，用户只有输入正确的用户名与口令，才可以启动系统；在上网时，也要有口令密码的验证输入，当网络系统检测为合法用户时，才可进入，否则拒绝上网；上网后如若对系统资源进行访问，在应用类别中必须对用户权限进行核实，只有与系统设置一致的情况下，才可以访问，否则拒绝；数据库的存取、修改还要设置权限，目的就是确保数据库的安全，严格防止非法用户的侵入，确保财务信息的绝对安全。

在会计电算化局域网内的多级访问的数据和流量应该得到严格的控制，严格使用网络协议，以免数据碰撞引起信息丢失、信息挂起等。

四、网络可靠性

建立一个具有软硬件容错功能的数据传输系统是网络可靠性的重要目标，目的就是财务信息管理系统中的远程数据访问和通信得到保证，这种网络可靠性的建立要求通信网上有足够的动态备份设备，尤其是关键部分的网络设备也要达到动态备份要求。财务信息管理系统的服务器也要采用RAID磁盘陈列、磁盘双工、双主机热备份等技术，确保财务信息的安全，在财务信息管理系统安全上还有设立工作站或子系统。

五、对财务信息管理中的重要信息实行加密

会计电算化局域网的重要组成部分是财务信息管理系统，此系统分布范围广，信息量大，担负着完成负债、所有者权益等财务结算功能，同时对不同地区的销售和费用支出等信息进行处理，这些都是财务信息管理系统的基础数据，因此必须要确保这些数据的安全。信息加密一般从软件系统加密开始，财务信息也不例外，要保证应用系统不被破坏，方法很简单，对系统程序设置口令即可实现。此外，可以使用不同的保密级别设置专人口令来保证系统中的各种功能的正常运行。

六、对计算机病毒进行防御

财务信息数据的访问在财务信息管理系统中具有随机性与很强的实时性，计算机的操作过程是用户直面计算机，同时由于财务系统本身对病毒不具有很强的抵抗力，因此，预防和消除计算机病毒便显得十分的重要。从网络感染到服务器上作为计算机病毒入侵的重要途径，因此客户端入口的预防是最重要的，这包括防病毒与杀病毒两部分，前者是利用智能病毒防御技术使所有病毒不能进入系统，后者是利用快速扫描查毒技术对所有引导型病毒和已知的文件型（包括各种）病毒的消除。以上是有盘工作站，除此之外还有无盘工作站，无盘工作站虽然不具有硬盘和软驱，但是也具有着内存，当服务器上的带病毒程序在无盘工作站上运行时，病毒会保存在无盘站内存中，进而感染服务器上的其他文件，使得病毒在网络上迅速传播。此时要先将病毒预防程序放置无盘工作站中，这样便可以防止病毒运行，避免恶性循环。

除此之外，还有网络安全管理，良好的网络管理是财务信息管理系统局域网安全、可靠运行的重要基础，其主要任务是对网络进行监视，对访问进行控制，对网络资源、网络性能和密钥进行管理。为了增强财务信息管理系统的安全，要制定相应的安全方针和安全策略，在新增加网络用户或增加网络资源时要有正规的程序。

参考文献：

[1]蒋丽.虚拟专用网的安全性研究及在校园网中的应用.大连:大连理工大学.2004.

[2]邱光谊.管理信息系统.电子工业出版社.2002.

[3]彭文波.MDS算法原理及应用.信息网络安全.2005(5).