序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇財務安全信息，期待它們能激發您的靈感。

篇1

【關鍵詞】 財務 信息 安全

認識信息化，駕馭信息化，建設信息化財務，是時代賦予財務工作的崇高使命和艱巨任務。信息安全是信息化財務建設的生命線。財務工作必須面對和正視信息化現狀，以積極的姿態建設財務信息化，確保各項財務信息安全無差錯。

一、財務信息安全存在的隱患

1、計算機自身的問題

長期以來，人們設計計算機的目的主要是追求信息處理功能的提高和生產技術成本的降低，對于安全問題或沒有考慮，或只是作為一項附帶條件在設計時順便考慮一下，因此計算機系統的各個組成部分、接口和界面、各個層次的相互轉換，都存在著不少漏洞和薄弱環節。從全國范圍來看，財務部門使用的計算機操作系統基本上還是外國生產的，它存在一定的安全缺口。此外，由于計算機系統的先天脆弱性，容易產生電磁泄露，即計算機信息系統設備工作時向外輻射電磁波的現象，一旦被偵收復原就造成信息泄露。

2、病毒入侵問題

利用計算機病毒攻擊計算機，是目前不法者采用的一種最常用的方法。盡管計算機病毒種類繁多，表現形態各異，但一般存在傳染性、隱蔽性、破壞性和不可預見性等特點。計算機病毒具有把自身復制到若干程序中的特性，一旦搜尋到符合傳染條件的程序或存儲介質，便將自身代碼插入其中，達到自我復制的目的。計算機病毒能夠隱藏在正常程序中，竊取到系統的控制權，輕者會降低計算機工作效率，占用系統資源，重者可導致系統崩潰，影響到財務工作全局。

3、存儲介質泄密問題

隨著存儲技術的發展，各類新型存儲產品逐步出現，特別是形式多樣的可移動存儲介質迅速普及，滲透到工作和生活的各個方面。然而受商業因素的影響和技術發展的限制，市場上大部分電子信息存儲產品并不具備良好的安全保密性能，大部分單位在可能導致泄密的關鍵環節，也沒有嚴格進行限制。一旦這些移動存儲介質在含有會計數據的計算機中使用時，就很容易感染木馬程序，產生嚴重的財務數據泄密隱患。

4、網絡攻擊問題

隨著互聯網的廣泛應用，不少安裝了財務軟件的計算機都接入了互聯網，容易受到來自網絡的攻擊而致使軟件受損，主要有邏輯炸彈和黑客攻擊。邏輯炸彈指滿足特定邏輯條件時按某種不同的方式運行，對目標系統實施破壞的計算機程序。該程序觸發后會造成計算機數據丟失、不能從硬盤或者軟盤引導，甚至會使整個網絡系統癱瘓，并出現物理損壞的虛假現象。而黑客攻擊的主要目的是利用獲得的非法訪問權，闖入計算機網絡，破壞重要數據以及信息網絡系統，主要分為惡作劇型、盜竊詐騙型、蓄意破壞型、控制占有型、恐嚇勒索型、傳播有害信息型和竊取情報型。

二、造成財務信息安全隱患的原因分析

1、主觀原因分析

（1）安全意識薄弱。有些財務人員對新形勢下信息安全戰線的激烈斗爭缺乏足夠的認識，對日常工作中的秘密習以為常，思想觀念放松，保密意識淡化；有些財務人員安全保密意識淡薄或是工作中主觀隨意性太大，對所使用的計算機及財務軟件經常不設密碼，或是長期重復使用一種密碼不進行更換，這就容易被研究和推導出規律性，從而破譯密碼。

（2）安全常識缺乏。有的財務人員不注意學習，對泄密安全情況缺乏理解的掌握，涉秘載體亂插亂接，沒有養成定期查殺病毒、更新病毒數據庫的習慣，造成信息泄露而自己卻毫不知情，給財務信息安全帶來隱患。

（3）網絡防范較弱。隨著社會信息化程度的不斷提高和社會競爭的日益加劇，競爭對手利用網絡非法訪問對方的內部信息，利用高超的計算機水平和十分先進的工具，有預謀地入侵對手的計算機系統，竊取、篡改、破壞信息，給財務信息化安全帶來了嚴重的威脅和挑戰。

2、客觀原因分析

（1）管理機制不健全。由于財務信息化管理起步較晚，對于技術上的安全問題也不太了解，因此思想上沒有高度重視信息化管理工作中的安全保密問題。另外，由于部分單位的領導對網絡安全方面的問題知之甚少，采取了一種聽之任之的態度，形成監督不力、行政管理不嚴的局面。

（2）基礎設施不配套。由于一些單位和部門對財務信息安全管理不夠重視，所以基本上沒有設立單獨的財務專用微機房，不能進行有效的物理隔離。也沒有相應的技術條件來實施安全保密，這就形成了一個“瓶頸”，束縛了財務信息化的發展，甚至會產生嚴重的泄密后果。

（3）相關法律法規不完善。迄今為止，財務系統還沒有建立比較系統、完善的信息安全管理的法律法規體系，因而就不能從制度上保障信息安全，從而形成無法可依、執法不嚴的局面，這就給財務部門的安全管理帶來了許多不確定的因素，可能造成管理的混亂和泄露機密的后果。

三、加強財務信息安全的對策

1、建立健全信息安全管理體制，杜絕安全隱患

一是要制定上機操作規程，主要包括軟硬件操作規程、作業運行規程和用機時間記錄規程等。二是要加快基礎設施建設。要調動財務部門的積極性，主動進行財務信息安全建設基礎設施的完善和優化，注重財務專用機房的建設，加大物理隔離的力度。選用金屬材料，形成屏蔽網，以達到阻隔信息的目的；添設干擾機等設備，以增加信息被破譯的難度。三是要完善法律法規體系。建立健全財務信息安全管理的相關法律法規，依法實施財務信息安全管理。這些法規主要包括計算機安全法規、財務安全法規、財務信息資源管理法規、網絡安全法規等。目的是用法律機制規范、調節和引導財務部門對信息技術及信息保密技術的研究、開發和應用，建立規范的財務信息安全法律體系。

2、建立完善信息安全防護體系，加強全面監督

一是對財務業務發生的控制，即程序檢查。在財務活動發生時，通過計算機的控制程序，對業務發生的合法性、可行性、完整性進行檢查和控制。二是財務數據輸入的控制。加強憑證控制，做好對平整的審核、自制、輸入、傳遞、保管五個環節全面控制，保證憑證的合法、真實、正確、完整。三是對財務信息的控制，包括對財務信息傳遞、分析處理、使用、檢索等的控制。確保傳輸的安全，及時更新維護系統，確保財務信息化系統產生數據和信息的安全存儲，對各種磁介質材料做好標記、歸檔、保管，對于內部數據做好備份，保證數據方便快捷地被調用、檢索。

3、充分使用信息安全技術手段，突破關鍵環節

一是信息加密，即通過對信息的變換或編碼，將機密的第三信息變換成非法用戶難以讀懂的亂碼，從而有效屏蔽真實信息。主要包括文件加密、數據庫加密、存儲介質加密和傳輸數據加密。二是網絡隔離，即保證內部網與外部公共網相分離的技術方法，主要包括物理隔離和邏輯隔絕兩種。三是入侵檢查，即通過在網絡中主動尋找入侵信號，來及時發現未授權或者異常行為，并發出預警的動態安全防護技術。四是病毒防護，即利用預防的檢測的技術，主動發現并清除計算機病毒，以有效地阻止計算機病毒的危害。五是容災備份，即通過在異地建立和維護一個備份存儲系統，利用地理上的分離來保證財務數據和信息系統對災難性事件的抵御能力。

4、提高財務人員安全管理意識，減少人為事故

財務信息安全管理是財務管理信息化、網絡化的發展需求，需要精通財務知識，掌握計算機的復合型人才。一方面由院校直接培養既懂計算機又懂財務的復合型人才；另一方面各單位定期選拔一批干部集訓，綜合學習計算機信息安全管理知識。集訓要注意改革集訓方法和集訓手段，使財務人員變被動學習為主動學習，同時加快計算機輔助教學軟件的研制推廣應用，加速實現集訓方法和手段的現代化。還要邀請院校有關專業的專家、教授組成安全委員會，加強對財務信息安全管理的指導。此外，要加強對財務人員關于財務信息安全的教育工作，使他們充分認識到信息化網絡潛在的危險，規范日常工作操作，確保財務工作的安全。

篇2

隨著會計電算化和信息化的推廣，目前高等學校都實現了會計電算化。會計電算化在帶來高效的工作效率的同時，也為財務信息安全帶來了新的挑戰。文中分析了會計電算化下高校財務信息面臨的安全問題，系統研究了產生的原因及應對策略。

關鍵詞：

高等學校；會計電算化；財務信息；信息安全

1高校財務信息安全面臨的問題

在會計電算化下，高等學校的會計核算、會計信息的查詢、會計數據的決策支持等基本都以電子數據為基礎，都要以會計核算系統的正常運行為前提。而在實際的工作中，往往因為人為操作失誤、病毒感染、硬件設備故障等造成電子財務數據的部分丟失或錯誤，嚴重情況下會造成電子財務數據的完全破壞和丟失。這一方面影響高校正常財務工作的開展；另一方面需要根據紙質的會計檔案修正電子財務數據，特別是在電子財務數據的完全破壞和丟失的情況下，需要根據紙質會計檔案重新建立電子數據庫，在個別嚴重的情況下無法完全重建電子數據庫，造成財務信息的不完整。

2造成高校財務信息安全問題的原因

2.1相關會計電算化規章制度難以落實

規章制度用于規范職工的操作，為業務辦理提供規范性的指南與約束。部分高校雖然已采用了會計電算化，也制定了相關的會計電算化規章制度，但并不注重相關制度的落實。首先，部分高等學校只是重視會計電算化制度中規定的會計電算化業務規范，嚴格要求會計人員按照規定的規范進行會計核算業務，但很少注重會計電算化制度中禁律、維護手段和頻率等內容。其次，大部分高等學校都沒有切實安排人員監督會計電算化制度的落實，完全取決于會計人員對會計電算化制度的了解和認識以及對自身的約束性。最后，部分高等學校雖然安排了監督會計電算化制度實施的工作人員，但是往往是一名普通的工作人員，在發現同事甚至個別領導存在違反會計電算化制度的情況時，也不方便監督與更正。由于會計電算化制度不能切實實施，給高等學校的財務信息安全帶來極大的隱患。

2.2重視力度不夠

會計工作是一個高校的基礎和保障工作，基本上所有高校的所有者和管理者都很重視會計工作，但是往往重視的是高校的籌資活動、投資活動、收入和成本管理、會計核算的真實完整、會計報表的準確真實等會計業務，往往忽視會計電算化電子檔案和數據的管理。在會計電算化環境下，很多高校還是沿用老的管理模式，對紙質憑證及其他會計檔案按照相關會計準則規定建檔保存，但是對電子數據保存和使用的管理卻遠遠落后。個別高校甚至在日常的工作中根本不理睬會計電算化系統的運行情況和數據的備份及維護，只有在會計電算化軟件或硬件系統出現故障時，會計人員才會在軟件工程師的指揮下備份會計電算化數據，清潔維護會計核算設備。在這種情況下，會計核算設備很容易出現故障，會計信息很容易被破壞或丟失。

2.3會計電算化設備相對不足

首先高等學校的財務工作是一項專業性很強的特殊領域。財務工作人員雖然具有很強的財務專業知識，但是一般不具備信息安全知識。在構建電算化系統時和后期的電算化系統使用過程中，財務人員從專業的角度出發往往要求以最小的成本實現最大的收益，只注重會計電算化業務功能的實現，而很少切實考慮日后使用過程中系統的穩定運行和財務數據的安全性問題，致使很多高校的電算化設備沒有不間斷電源、數據備份冗余設備、財務數據異地備份所需要的移動存儲設備等。其次，會計電算化設備的相對不足還表現在會計電算化設備的陳舊。很多高校重視電算化系統的初始構建，但是不注重后期電算化設備的維護和更新，特別是會計電算化所用的服務器達到其使用壽命后仍在沒有必要輔助設備的情況下繼續使用，為會計電算化的財務數據安全性帶來極大的威脅。最后，會計電算化設備的相對不足還表現在會計電算化配套設置如存放房間、空調等的不足。

2.4專業人才缺乏

很多高等學校，從事會計電算化業務的人員都是原來從事傳統手工會計的會計人員或是現代會計相關專業畢業的會計人員。這些會計人員由于缺乏數據安全的專業知識、不了解電子設備的性能及相關維護知識、會計業務的專業特殊性及忙碌的工作等，只能按照構建電算化系統時軟件工程師的指導意見對電算化系統及數據進行簡單的維護，甚至在電算化系統正常運行的情況下基本不進行任何維護操作。雖然現在已有很多高校的財務部門開始引進一些計算機專業畢業的工作人員，但是由于在財務部門這種傳統的專業技術領域，計算機專業人員很難得到應有的認可，導致很多的計算機專業人員開始慢慢放棄原來的專業而將更多地精力用于會計專業知識和業務的學習。

2.5會計電算化軟件及設備的消極被動維護

很多高校都是由專業的會計人員兼職會計電算化系統和數據的維護工作。一方面這些工作人員都有正常的會計業務需要辦理，并且這些會計工作基本被認為是其重要的本職工作，甚至是其考核的標準。這無形中導致了工作人員將主要精力用于會計業務而忽視會計電算化系統和數據的維護，同時繁重的會計業務也使這些會計專業人員沒有更多地精力去改進會計電算化系統的性能和穩定性，只能簡單的保證系統的正常運行。另一方面會計電算化系統和數據的維護是一項即辛苦又看不到成果的工作。很多時候這份工作也就會被慢慢的冷落而變成消極地應付性的簡單維護工作，這為財務信息的安全帶來了很大的隱患。

3保障財務信息安全的策略

3.1加強會計電算化制度的實施

高等學校應加強會計電算化制度的培訓與學習，使會計工作人員熟悉會計電算化制度及其重要性，提高工作人員重視并自覺遵守相關制度的意識。同時，高等學校財務部門應安排直接領導負責會計電算化制度的執行情況，不定期抽查工作人員落實會計電算化制度的情況，及時發現并糾正違規行為。從制度落實方面規范會計工作人員的電算化行為，保證高等學校財務信息安全。

3.2提高重視程度

財務信息安全是會計電算化下高校財務工作的基礎，籌資活動、投資活動、收入和成本管理、會計核算的真實完整、會計報表等都必須以準確的財務信息和穩定的會計電算化系統為基礎，沒有安全準確的財務信息，高等學校的財務工作將寸步難行。高等學校應切實提高對財務信息安全的重視程度，充分認識到財務信息安全的重要性，在人力和物力上保證電算化系統的正常運行，保障財務數據的準確與安全。

3.3加大對會計電算化的投入

一方面高等學校應該根據電子設備的特性，將會計電算化系統的重要設備存放在安全、清潔且恒溫的房間，配備不間斷電源避免服務器突然斷電，配置必要的設備通過冗余技術提高會計電算化系統的穩定性，從而提高財務信息的安全。另一方面電子設備都有一定的使用壽命，當達到其使用壽命后電子設備的穩定性將大幅度下降。高等學校應該在會計電算化所用電子設備接近使用壽命時根據其運行狀況及時更換，避免因電子設備的損壞造成電算化系統的癱瘓和財務數據的損壞或丟失。

3.4加強專業人才隊伍建設

會計電算化系統的穩定性一方面取決于電子設備和軟件系統的性能，另一方面取決于電算化系統的維護情況，而后者起著更重要的作用。為保證會計電算化系統的運行和財務數據的安全，高等學校財務部門應設置專業的會計電算化系統及財務信息的維護崗位，聘用具有會計電算化維護資格的計算機專業人員，從專業技術上為會計電算化下財務信息安全提供保障。在有條件的高等學校，可以像中山大學和華中科技大學一樣在財務部門內部設置專業的信息部門并聘用計算機相關專業的工作人員從事會計電算化系統及數據的維護，并進行專用軟件的開發。

3.5加強會計電算化系統及數據的維護

高等學校應要求會計電算化維護人員嚴格遵守學校會計電算化制度中關于會計電算化系統及數據的維護方式、維護頻率及財務備份數據的保存方式等的規定，以規范完善的維護業務保證會計電算化系統的穩定和財務信息的安全。同時，現代科技日新月異，新的技術和設備不斷涌現，高等學校應鼓勵會計電算化維護人員根據單位的特點采用先進的維護技術，及時更新電算化系統所使用的電子設備，不斷提高會計電算化系統的性能和穩定性，保證財務信息的安全性。

作者：孟慶書 單位：華南農業大學

參考文獻：

[1]樊珊珊．目前我國會計電算化存在的問題及對策[J]．會計之友，2011，(6)：48．

[2]王中健，張強強，賀志官．對我國會計電算化問題現狀分析的思考[J]．中國電子商務，2012，(12)：187．

[3]谷增軍．信息化環境下會計信息安全問題探討[J]．新會計，2011，(4)：63．

[4]胡英松．信息化中會計信息安全問題研究[J]．哈爾濱商業大學學報(社會科學版)，2009，(4)：83．

[5]岳志雁．加強高校會計電算化內部控制的對策[J]．山西財稅，2009，(5)：43．

篇3

關鍵詞：財務外包；信息安全風險；甄別與控制

一、引言

隨著時代的發展，以及經濟水平的不斷提高，人們逐漸意識到了財務外包的重要性。公司在實行財務外包后，在享受其優越性的同時，也會面臨著一些風險。公司在實行財務外包后可能面臨的風險多種多樣，需要公司管理層深思熟慮。主要面臨的風險有三種，第一種為最為常見的外包決策戰略失誤風險；第二種為外包信息安全的風險；第三種風險為外包成本遠遠的超過了預期。因此財務外包策略在執行的過程中需要考慮到財務外包信息安全的風險以及對這些風險因素進行針對性的甄別，從眾多影響因素中挑選出風險因素最后再采取相應的措施來控制這些風險，以達到實行財務外包的公司在避免財務外包信息安全風險的同時，享受到其獨特的優點。

二、財務外包的信息安全風險的相關內涵

一般來講財務外包就是公司通過與承擔外包的公司也就是承包商簽訂詳細的合同或者協議，根據合同或者協議內容將本公司全部或者一部分的財務工作委托給承包商，在承包商依法履約其應有的義務后，支付其應有的報酬。如今越來越多的公司意識到財務外包的重要性，甚至把其當成有力的競爭手段。公司的管理層充分的意識到，如果不進行財務外包，那么公司很有可能在激烈的外部競爭中處于劣勢，以致予淘汰出局。財務外包在我國目前發展雖然有著廣闊的前景，但發展還是比較緩慢的，仍有較大的改進空間。許多公司對財務外包沒有完全放下顧慮，仍然對外包后存在的信息泄露風險存有一定的顧慮。

財務外包的信息安全風險也就是指，公司將財務進行外包后公司內一些與公司核心業務有關的重要信息和數據被無意或者有意泄露以及盜用的風險。眾所周知，一個公司的財務部門對財務部門的保密度比較高，并且在日常公司的運營過程中財務工作中會產生大量的內部信息，在這些信息之中好多信息對公司來說都是商業機密，如果在財務外包后這些重要信息發生了泄露，那么這對企業造成的損失將是難以估量的，尤其是這些信息被公司的競爭對手的得到，后果就更加不可想象了。因此與財務有關的各項業務一般都會保密，除非強制性披露的要求，否則這些信息是不會向外部透漏的，哪怕是公司一般的管理層有時候也要加以保密。

三、財務外包的信息安全風險的甄別

在實施財務外包決策的過程中，要結合公司自身的實際情況來甄別一些潛在的或者明面上存在的相關信息安全風險，在充分分析這些風險的來源、發生概率以及危害程度的基礎上，接著采取相應的手段和方式加以有效的控制，因此在此過程中，安全風險的甄別與控制對財務外包有著重要的影響，甚至在某種程度上可以決定著財務外包是否能夠成功。公司財務外包的信息安全風險主要有以下幾個方面：

第一、信息泄露的風險。信息泄露風險是公司財務外包所面臨的發生概率最大的信息安全風險。此風險的發生雖然有諸多因素引起的，但最主要的因素就是客戶公司重要信息或者數據的保密程度不夠，或者承包商在采取保密過程中所采用的保密措施不夠完善。因此外包商對于客戶的資料是否依據實際情況建立了比較嚴格的保密制度，對于承包商內部的員工是否明確了相關責任追究制度來避免信息泄露風險的發生。這些因素都會對承包商內部員工產生影響，進而會有承包商內部員工將其所接觸到的客戶信息泄露的可能。

第二、信息被丟失的風險。信息被丟失主要發生在信息傳遞以及信息處理時，有可能在外包過程中承包商的相關技術不夠完善或者不夠成熟，因此其相關技術在穩定性以及安全性上仍有不足之處。承包商在面對信息丟失事故時所采取的補救措施是否得當合理、采用補救和預防技術的時效性，這些因素處理的效率和效果都會在一定程度上對信息丟失產生重要的影響。

第三、信息被盜取的風險。發生此風險主要的原因在于外包商對于自己客戶的信息資料保護措施做得不夠好，相關保護制度不完善，以致于在保護制度或者措施上存在漏洞。因此公司進行財務外包時，承包商是否采取相應的措施來對客戶的信息建立起有效的管理制度，以及承包商專業團隊成員的整體素質情況等，這些因素實施的好壞，都會對企業信息被盜造成了重要的影響。另外，對信息進行承包的企業屬于服務性行業，這個行業的特點也決定了其內部員工的流動性也比較大，因此在人才流動的過程中也在一定程度上加大了所承包企業在信息經營過程中被盜的風險，而且這個風險不容易完全規避。

四、財務外包的信息安全風險的控制

若想進行全面而有效的控制，因此要結合公司所處的環境以及自身的特點，從外包的全過程入手，在整體全局上建立合適的控制機制，從而從全過程以及全方位的減少和防范財務外包后所帶來的不確定的各種信息安全風險，進而最大限度的為公司安全運營服務，公司在進行財務外包前要建立信息安全風險的相關防范機制，可以從以下三個方面來入手：

一、引言

隨著時代的發展，以及經濟水平的不斷提高，人們逐漸意識到了財務外包的重要性。公司在實行財務外包后，在享受其優越性的同時，也會面臨著一些風險。公司在實行財務外包后可能面臨的風險多種多樣，需要公司管理層深思熟慮。主要面臨的風險有三種，第一種為最為常見的外包決策戰略失誤風險；第二種為外包信息安全的風險；第三種風險為外包成本遠遠的超過了預期。因此財務外包策略在執行的過程中需要考慮到財務外包信息安全的風險以及對這些風險因素進行針對性的甄別，從眾多影響因素中挑選出風險因素最后再采取相應的措施來控制這些風險，以達到實行財務外包的公司在避免財務外包信息安全風險的同時，享受到其獨特的優點。

二、財務外包的信息安全風險的相關內涵

一般來講財務外包就是公司通過與承擔外包的公司也就是承包商簽訂詳細的合同或者協議，根據合同或者協議內容將本公司全部或者一部分的財務工作委托給承包商，在承包商依法履約其應有的義務后，支付其應有的報酬。如今越來越多的公司意識到財務外包的重要性，甚至把其當成有力的競爭手段。公司的管理層充分的意識到，如果不進行財務外包，那么公司很有可能在激烈的外部競爭中處于劣勢，以致予淘汰出局。財務外包在我國目前發展雖然有著廣闊的前景，但發展還是比較緩慢的，仍有較大的改進空間。許多公司對財務外包沒有完全放下顧慮，仍然對外包后存在的信息泄露風險存有一定的顧慮。

財務外包的信息安全風險也就是指，公司將財務進行外包后公司內一些與公司核心業務有關的重要信息和數據被無意或者有意泄露以及盜用的風險。眾所周知，一個公司的財務部門對財務部門的保密度比較高，并且在日常公司的運營過程中財務工作中會產生大量的內部信息，在這些信息之中好多信息對公司來說都是商業機密，如果在財務外包后這些重要信息發生了泄露，那么這對企業造成的損失將是難以估量的，尤其是這些信息被公司的競爭對手的得到，后果就更加不可想象了。因此與財務有關的各項業務一般都會保密，除非強制性披露的要求，否則這些信息是不會向外部透漏的，哪怕是公司一般的管理層有時候也要加以保密。

三、財務外包的信息安全風險的甄別

在實施財務外包決策的過程中，要結合公司自身的實際情況來甄別一些潛在的或者明面上存在的相關信息安全風險，在充分分析這些風險的來源、發生概率以及危害程度的基礎上，接著采取相應的手段和方式加以有效的控制，因此在此過程中，安全風險的甄別與控制對財務外包有著重要的影響，甚至在某種程度上可以決定著財務外包是否能夠成功。公司財務外包的信息安全風險主要有以下幾個方面：

第一、信息泄露的風險。信息泄露風險是公司財務外包所面臨的發生概率最大的信息安全風險。此風險的發生雖然有諸多因素引起的，但最主要的因素就是客戶公司重要信息或者數據的保密程度不夠，或者承包商在采取保密過程中所采用的保密措施不夠完善。因此外包商對于客戶的資料是否依據實際情況建立了比較嚴格的保密制度，對于承包商內部的員工是否明確了相關責任追究制度來避免信息泄露風險的發生。這些因素都會對承包商內部員工產生影響，進而會有承包商內部員工將其所接觸到的客戶信息泄露的可能。

第二、信息被丟失的風險。信息被丟失主要發生在信息傳遞以及信息處理時，有可能在外包過程中承包商的相關技術不夠完善或者不虺墑歟因此其相關技術在穩定性以及安全性上仍有不足之處。承包商在面對信息丟失事故時所采取的補救措施是否得當合理、采用補救和預防技術的時效性，這些因素處理的效率和效果都會在一定程度上對信息丟失產生重要的影響。

第三、信息被盜取的風險。發生此風險主要的原因在于外包商對于自己客戶的信息資料保護措施做得不夠好，相關保護制度不完善，以致于在保護制度或者措施上存在漏洞。因此當公司進行財務外包時，承包商是否采取相應的措施來對客戶的信息建立起有效的管理制度，以及承包商專業團隊成員的整體素質情況等，這些因素實施的好壞，都會對企業信息被盜造成了重要的影響。另外，對信息進行承包的企業屬于服務性行業，這個行業的特點也決定了其內部員工的流動性也比較大，因此在人才流動的過程中也在一定程度上加大了所承包企業在信息經營過程中被盜的風險，而且這個風險不容易完全規避。

四、財務外包的信息安全風險的控制

若想進行全面而有效的控制，因此要結合公司所處的環境以及自身的特點，從外包的全過程入手，在整體全局上建立合適的控制機制，從而從全過程以及全方位的減少和防范財務外包后所帶來的不確定的各種信息安全風險，進而最大限度的為公司安全運營服務，公司在進行財務外包前要建立信息安全風險的相關防范機制，可以從以下三個方面來入手：

第一，慎重選擇承包商。唯有慎重選擇外包商，才能在有效的降低財務外包的風險，這是第一步，同時這也是最關鍵的一步。在決定承包商之前，要詳細的了解承包商的信譽度，因為信譽是經過常年累月積累起來的，因此一般情況下信譽良好的承包商，因為它們不但保密工作做得好，并且各項技術也比較齊全，這些都是保證公司財務外包信息安全的物質基礎。并且要有幾個備選的外包商公司，來進行綜合的比較，擇優錄取。另外公司還需要時刻關注外包商的相關工作是否有相關合法的知識產權保護制度，這可以在法律層面保護公司的財務外包信息安全。

第二，與外包商簽訂相關的安全信息合同或者協議。為了保證公司財務外包信息的安全，公司應該與承包商簽訂詳細合理的信息安全協議，并且要合法的、詳細的列舉公司與承包商的權利和義務，嚴格控制承包商所擁有的權限，禁止其有越權的行為，并且在今后實施的過程中，要求承包商依法對信息安全做出承諾。在實施過程中若因為外包商的原因造成的信息泄露或者丟失進而對委托方造成經濟損失的，那么在合同或者協議中要明確規定具體相關的補償辦法和措施來對委托方進行相應的補償。由于財務外包還屬于新興的產業仍處于發展初期，因此目前仍無完善的法律法規對其進行規范和約束，這也是財務外包發展所面臨的障礙。目前我國的信譽體系仍比較脆弱，并不能完全滿足其快速發展的需求，因此唯有訂立嚴格周全的信息安全協議才能在法律層面為公司的信息安全提供最堅定的保障。

第三，合理選擇財務外包的內容。公司在決定進行財務外包前，應對財務業務鏈上的每個環節進行檢查，優先將一些非核心的業務外包出去，隨著公司與外包商逐步建立起合作信任關系后，在考慮外包一些重要的、核心的業務。對于一些外包后信息安全存在較大風險的業務，公司要慎重考慮，最好不進行外包。這樣公司選擇的余地更大，更能充分利用外包商的核心優勢，并且還可以起到分散風險的作用。

五、總結

本文在分析財務外包的信息安全風險的內涵的基礎上，給出了財務外包的有關定義。并結合其定義來對財務外包的信息安全風險進行甄別：有信息泄露的風險、信息被丟失的風險以及信息被盜取的風險。針對這些風險采取了一些風險控制的措施：有慎重選擇外包商、與外包商簽訂相關的安全信息合同或者協議以及合理選擇財務外包的內容。通過這些措施可以有效地減少財務外包的信息安全風險，并未財務外包的發展做出相應的貢獻。

參考文獻：

[1]羅艷.財務外包風險規避的探討[D].江西財經大學，2010.

[2]柳金葉.企業財務外包風險管理研究[D].東北石油大學，2011.

[3]雷振紅.高校信息安全服務外包風險的管理與控制[D].昆明理工大學，2009.

[4]鐘男.企業財務外包風險應對研究[D].西南財經大學，2012.

篇4

【關鍵詞】彩信系統網絡安全業務安全

一、彩信系統介紹

短消息業務SMS（Short Message Service）已經成為最成功的無線數據業務之一。但隨著時間的推移和技術的進步，人們不再滿足于單純的文本信息，轉而追求豐富多彩的多媒體體驗。多媒體消息業務MMS（Multimedia Messaging Service）作為SMS和增強型消息業務EMS（Enhanced Message Service）的演進，為消息類通信服務產品增添了“色彩”。

彩信業務系統，為個人多媒體移動通信服務提供完整的端到端解決方案，并可以作為多種移動應用和業務的通用平臺。使用彩信業務，用戶可以將格式豐富的信息內容，通過多種方式與他人或增值業務提供商進行交流。

從通信內容上講，彩信業務實現了內容的多樣性，包括文本、圖片、語音、圖像以及這些類型的各種組合。

從通信方式上講，MMS業務涵蓋了終端到終端、終端到郵件、郵件到終端、終端到應用和應用到終端等多種通信方式。

彩信系統其功能是負責彩信收發和存儲，其主要功能如下：

（1）對多媒體消息MM（Multimedia Message）進行存儲和處理，包括消息的提交、接收、地址解析、通知、消息下發和報告（包括遞送報告、閱讀報告）。

（2）負責MM在不同MMSC之間的傳遞。

（3）產生CDR（Call Detail Record）話單，用于計費。

二、彩信系統網絡安全分析

2.1彩信系統在網絡中的位置

彩信系統是獨立于移動通信網絡的一個業務處理系統，主要實現彩信的提交、存儲和轉發等功能，可適用于GPRS、WCDMA、CDMA2000 1X等網絡。具體在網絡中的位置如圖1。

2.2彩信系統網絡安全風險分析

由于彩信中心與多種外部網元系統（WAP、SMSC、OSS、VASP等）之間均有消息交互，其對外接口在互聯網都是開放的，雖然現有的彩信系統都有架設防火墻，但對于復雜的通信網絡環境還是遠遠不夠的。下面將重點分析彩信系統可能存在的各種網絡安全風險因素及其應對措施。

（1）網絡設備風險，作為部署在彩信系統的第一道防線，防火墻設備的安全性可謂重中之重。彩信業務系統與其他網元如WAP網關、其他彩信中心、短信中心、DSMP、網管系統等的消息交互均需要通過防火墻設備進行過濾，防火墻策略配置的訪問最小化性尤為重要。同時要求防火墻要根據實際情況開啟相關的日志信息，在出現緊急情況，能對異常流量進行記錄，方便維護人員跟蹤調查。最后要求防火墻要盡可能關閉不必要的端口服務，避免被不法分子攻擊利用。

（2）主機漏洞風險。彩信業務的承載載體都是各類主機設備，如SUN服務器、刀片機、HP服務器等。主機系統的安全性重點針對漏洞補丁是否及時裝載；賬號口令是否符合安全設置規范，嚴禁出現弱口令、共享賬號等情況，對口令要求定期進行修改。在賬號管理上，要求具有定期審核機制，避免人員變動而賬號依然存在主機系統，存在安全隱患。

（3）數據庫和WEB-PORTAL風險。彩信系統的數據庫作為存儲彩信消息的重要部件，數據庫主要是市面主流的ORACLE或SYSBASE數據庫。除了要求遵循數據庫的標準安全配置，針對涉及彩信消息存儲表的訪問也需要嚴格管控，由于涉及到用戶的通信記錄等信息，被非法訪問，將可能導致用戶信息泄露，導致安全事件產生。

WEBPORTAL是彩信系統提供給用戶的自服務系統，用戶可以通過PORTAL頁面進行相關信息修改，WEB頁面的安全防護重點是避免出現SQL注入漏洞，導致其他人非法入侵彩信系統。

三、彩信系統業務安全分析

彩信業務的生命周期包括：業務開通、使用、計費等各階段，業務安全出現在：業務生命周期的某個階段或某個過程存在安全問題，導致業務安全。業務生命周期中看起來正常的各個階段，通過業務流程串聯起來后，出現異常，如計費異常等。業務安全更加關注業務端到端流程中的涉及到的各安全問題，而不僅僅是單個過程的問題。一條彩信業務在其全生命周期內，經過了無線網，GPRS核心網、WAP網關、BOSS計費、網管系統，SP應用平臺等諸多網元系統（如圖2）。

其業務安全主要表現在以下幾個方面：

（1）業務鑒權漏洞。

彩信體從用戶手機發出，要能安全送達目的地，期間經歷了一些列的網元設備，其中在彩信系統需要對彩信的主被號碼進行鑒權，鑒權包括號碼的合法性，歸屬的位置等，在現網案例中，發現不法用戶通過筆記本連接 GPRS網元，進行彩信發送，通過對消息包進行修改，填寫不存在的手機號碼，企圖繞過彩信中心鑒權進行非法彩信發送。

（2）計費漏洞。

單獨每一個過程可能不能發現問題，需要經過端到端流程驗證后才能確認安全問題如涉及到計費問題，往往使得安全測試工作時間變得較長。彩信的計費主要是按條計費，從彩信中心生成計費話單，到計費中心最終入庫并完成對用戶號碼扣費，期間具有一定的時延，這往往給不法分子可乘之機，通過在短時間內群發大量的垃圾彩信，產生高額欠費，給運營商的收入造成了巨大的損失。鑒于用戶的這些惡意行為，在彩信中心通過建立高頻度的檢測判斷機制，通過對用戶的彩信發送行為分析，對用戶短時間內大量的群發彩信進行攔截，一方面即可保證有正常通信需求的用戶要求，另一方面能防范用戶的垃圾彩信群發。同時與計費系統高度聯動，縮短計費入庫時長，及時對用戶進行扣費，及欠費停止通信服務。

（3）病毒彩信。

病毒彩信，主要指不法分子在彩信體中附帶了病毒代碼，用戶在接收到彩信并打開后，病毒代碼開始執行，感染用戶終端，造成用戶損失。例如，之前有一種以彩信方式傳播的手機病毒名為Commwarrior.A的病毒，現象為每3秒不斷向一個隨機的手機號碼發送彩信。按照0.5元/3秒計算，一個小時可能生成600元的高額話費。CommonWarrior病毒源自俄羅斯，是一種可通過藍牙和彩信雙路傳播的病毒，在傳播時其往往帶有各類引誘性文字。盡管該病毒對手機本身沒有破壞性，但是由于其暗中大量發送彩信，會為手機用戶帶來嚴重的經濟損失。

篇5

摘 要 財務信息管理系統是局域網結構，因此對于其系統安全防護可以從加密軟件、訪問驗證等方面加以考慮。雖然安全措施總有被攻破的可能性，但是建立一個多層次、多結構的保護系統，可以最大程度確保系統安全，因此筆者就如何確保財務信息管理的系統安全談下自己的看法以供參考。

關鍵詞 網絡系統 訪問控制 病毒防護 網絡安全管理

在財務信息管理系統中，數據安全是最重要的，除此之外還有數據通信網絡、管理系統電源設備、系統的密碼與服務器磁盤等方面都是要考慮的安全點。具體如下：

一、安全操作網絡系統

任何安全措施并不是絕對的，總有被攻破的可能，但是建立一個多層次、多結構的保護系統，可以最大程度確保系統安全，目前在局域網絡的電算化會計中，其數據存儲多是DBF文件，對這些關鍵數據的管理就顯得極其重要。

由于在網絡中存在著超級用戶或重要的帳戶信息都可以在任何工作站中登錄的現象，操作口令一旦被別人控制，財務信息管理的安全就收到了威脅。因此，應通過某種指定關系對超級用戶和訪問權限較大的用戶進行限定，如在指定的工作部登錄指定的用戶，實行邏輯和物理雙重屬性的登錄認證，甚至對登錄的時間段也加以限制。同時在管理系統中，直接超級用戶盡量限制使用，除了對系統日常維護外，不允許直接運用超級帳戶處理日常事務。入侵者最感興趣的賬號是Administrator，因此除應給此賬號改名之外，還有對口令經常性的更換使得入侵者無法進入。在這個基礎上，創建一個Administrator的用戶名來欺騙入侵者，此用戶名沒有任何權限，以便達到更好的安全效果。

二、網絡電源系統、拓撲結構和場地的安全

相對于局域網的電算化會計，標準化機房建設顯得更為重要：具有完善的防盜防火防雷措施；保持機房的清潔衛生，安裝溫度濕度控制設備；裝有可自動更換的雙路電源供電系統；對于突發意外事件要有預防機制等。在對財務信息管理系統的安全性、可靠性與應用范圍上要充分的考慮，以以太網技術的星型拓撲結構作為局域網的主要構造部件，切記不可使用環形拓撲結構以防一個節點故障對全局造成不利的影響。

三、多級別訪問控制設置

在操作系統、網絡和應用軟件這三類級別上使用訪問控制的安全保護措施。操作系統級別上，開機時，用戶只有輸入正確的用戶名與口令，才可以啟動系統；在上網時，也要有口令密碼的驗證輸入，當網絡系統檢測為合法用戶時，才可進入，否則拒絕上網；上網后如若對系統資源進行訪問，在應用類別中必須對用戶權限進行核實，只有與系統設置一致的情況下，才可以訪問，否則拒絕；數據庫的存取、修改還要設置權限，目的就是確保數據庫的安全，嚴格防止非法用戶的侵入，確保財務信息的絕對安全。

在會計電算化局域網內的多級訪問的數據和流量應該得到嚴格的控制，嚴格使用網絡協議，以免數據碰撞引起信息丟失、信息掛起等。

四、網絡可靠性

建立一個具有軟硬件容錯功能的數據傳輸系統是網絡可靠性的重要目標，目的就是財務信息管理系統中的遠程數據訪問和通信得到保證，這種網絡可靠性的建立要求通信網上有足夠的動態備份設備，尤其是關鍵部分的網絡設備也要達到動態備份要求。財務信息管理系統的服務器也要采用RAID磁盤陳列、磁盤雙工、雙主機熱備份等技術，確保財務信息的安全，在財務信息管理系統安全上還有設立工作站或子系統。

五、對財務信息管理中的重要信息實行加密

會計電算化局域網的重要組成部分是財務信息管理系統，此系統分布范圍廣，信息量大，擔負著完成負債、所有者權益等財務結算功能，同時對不同地區的銷售和費用支出等信息進行處理，這些都是財務信息管理系統的基礎數據，因此必須要確保這些數據的安全。信息加密一般從軟件系統加密開始，財務信息也不例外，要保證應用系統不被破壞，方法很簡單，對系統程序設置口令即可實現。此外，可以使用不同的保密級別設置專人口令來保證系統中的各種功能的正常運行。

六、對計算機病毒進行防御

財務信息數據的訪問在財務信息管理系統中具有隨機性與很強的實時性，計算機的操作過程是用戶直面計算機，同時由于財務系統本身對病毒不具有很強的抵抗力，因此，預防和消除計算機病毒便顯得十分的重要。從網絡感染到服務器上作為計算機病毒入侵的重要途徑，因此客戶端入口的預防是最重要的，這包括防病毒與殺病毒兩部分，前者是利用智能病毒防御技術使所有病毒不能進入系統，后者是利用快速掃描查毒技術對所有引導型病毒和已知的文件型（包括各種）病毒的消除。以上是有盤工作站，除此之外還有無盤工作站，無盤工作站雖然不具有硬盤和軟驅，但是也具有著內存，當服務器上的帶病毒程序在無盤工作站上運行時，病毒會保存在無盤站內存中，進而感染服務器上的其他文件，使得病毒在網絡上迅速傳播。此時要先將病毒預防程序放置無盤工作站中，這樣便可以防止病毒運行，避免惡性循環。

除此之外，還有網絡安全管理，良好的網絡管理是財務信息管理系統局域網安全、可靠運行的重要基礎，其主要任務是對網絡進行監視，對訪問進行控制，對網絡資源、網絡性能和密鑰進行管理。為了增強財務信息管理系統的安全，要制定相應的安全方針和安全策略，在新增加網絡用戶或增加網絡資源時要有正規的程序。

參考文獻：

[1]蔣麗.虛擬專用網的安全性研究及在校園網中的應用.大連:大連理工大學.2004.

[2]邱光誼.管理信息系統.電子工業出版社.2002.

[3]彭文波.MDS算法原理及應用.信息網絡安全.2005(5).