研究浅谈网络财务运用中风险与防范
最后更新时间:2024-04-01
作者:用户投稿
本站原创
点赞:31214
浏览:143914
本站原创
点赞:31214
浏览:143914
论文导读:
1009-4202(2012)11-000-02
摘要网络财务环境下的信息安全、资金安全也将成为企业财务管理的严峻问题。但每一个系统的安全风险的大小又由于系统控制功能和运行环境的不同而不同,本文介绍了网络财务安全风险的形式、影响网络财务系统安全的因素及网络财务安全风险的防范策略作一探讨
关键词网络财务应用风险与防范
纸介质财务数据流通过程中的签章及有关的重要签名等确认手段已不存在。其次,数据信息在传递过程中,会受到磁的干扰以及其它方面的影响,将会丢失数据或使数据不准确、不完整。
2.网络。是指非授权入网络的用户或程序。最常用的诡计主要有以下几种:第一,不活,许多程序能够使破坏者捕获到,尤其是口令。第二,查卡,这种程序时“捕获”程序的一部分,它主要捕获信用卡。第三,即时消息轰炸,利用即时消息功能,可以采用多种程序,以极快的速度用于无数的消息“轰炸”某个特定用户。第四,电子邮件轰炸,用数百条消息填塞某人的E-mail信箱,是一种确实可靠地在线袭扰的方法。第五,违反业务条款,这种手段相当于在网上陷害某人,有些程序可使这种欺骗活动看起来就好像是某个用户向发送 一条攻击性的E-mail消息。第六,病毒和“特洛伊木马”,这些程序看起来像一种合法的程序,但是它静静地记录着用户输入的每个口令,然后把它们给的Internet信箱,从而通过盗窃系统合法用户的口令,然后以此口令合法登陆系统实现非法目的。
3.操作人员的有意破坏。计算机系统的操作人员可以通过对程序作非法改动来篡改程序文件,或者利用非法操作即操作员或其他人不按操作规程或不经允许上机操作,改变计算机的运行路径等手段修改系统软件,从而破坏软件系统安全。
2.违法操作。指操作人员或其他人员不按操作规程或不经允许上机操作,改变计算机的执行路径。如系统人员未经批准擅自启动支票签发程序,生成一张支票到银行支取。
3.窃取或篡改贸易秘密、非法转移电子资金和数据泄密。对会计数据的泄密主要是指系统用户或数据保管职员把本企业会计信息通过磁盘、磁带、光盘或网络等介质透露给竞争对手;窃取或篡改贸易秘密是系统非法转移用户信息,利用不正常手段获取企业重要机密的行为。
通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种:一种是根据计算机病毒的关键字、特定程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术:另一种是不针对具体病毒程序的自身校验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期的以保存的结果对该文件或数据段进行检测,若出现差异,即表示该文件或数据段的完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。2.加密与密匙技术。通过把明文数据和信息转变为不可辨议的密文,使不应了解该数据和信息的人无法识别,从而有效地防止关联方和非关联方的道德风险。
3.“数字签名”和“数字签章”技术。“数字签名”是由数据源使用其和有密匙对数据进行加密,数据接收方则用相应的公用密匙解读数字签名,并将解读结果用于对数据完整性的检验。“数据签章”是由计算机程序将密匙和需传送的文件浓缩成信息摘要予以运算,得出数字签章,将数字签章并同原交易信息传送给对方,对方可用来验证该信息的可靠性和真实性,并可防止传送者的赖账行为。
2.建立严格的硬件管理制度。 首先,建立健全设备管理制度,确保硬件设备的运行环境、电源、温度、湿度、静电、尘土、电磁干扰、辐射等,例如计算机系统要求配置稳压电源不间断电源(UPS),有时还需要配置备份电源,以便在长时间断电的情况下启用备份电源来保证设备的正常运行。其次,各系统操作人员应分清责任, 各自管理和使用自己职责范围内的硬件设备,不得越权使用、禁止非计算机操作人员使用计算机系统,以免不当的操作损坏硬件设备。多个用户使用同一台设备的,要进行严格的登记,并记录运行情况。
②电算部门内部的职责分离电算部门包括系统分析与设计人员、程序员、系统管理员、资料管理员、操作员,这些人员的职责应予以适当的分离。首先应对系统开发人员负责系统的分析、设计编程、维护等,数据处理人员的主要职责是进行会计数据的处理与控制。因此,系统开发与数据处理是不相容的职位。程序员不能参与数据的输入和处理等的操作,操作员不能直接修改程序、其次应对数据处理的职责进行适当的分离,一般在数据处理小组课设置凭证输入员、审核员、登帐人员和会计资料保管员,这些职责一般应予以分离。
2.安全控制。对计算机会计系统的安全控制主源于:论文摘要怎么写www.7ctime.com
要包括接触控制和坏境安全控制。①接触控制。接触控制是指限制只有经过授权批准的人才能接触计算机会计系统的硬件、软件、数据文件以及系统文档资料的控制。接触控制能够保证计算机会计系统的正确使用,因为任何一种计算机会计陷阱都必须在和计算机会计系统发生接触后才能得逞。②环境安全控制。环境安全控制是一种预防性控制,包括计算机机房的安全环境、机房的设备保护、安全供电系统的安装等。对环境安全进行控制的目的在于尽量减少因外界因素所引起的计算机故障发生率,保证机器正常运行。例如,在计算机房配备防火、防水、防物理化学及生物灾害设备以及硬件防盗设施。
参考文献:
李连华,张蕾等.中国内部控制规范:阐述与应用.上海:立信会计出版社.2007.
卢春兰,赵蓓蓓.计算机应用技术教程.华中科技大学出版社.2008.
[3]伍旦初.计算机组装与维护.北京:电子工业出版社.2008.
[4]张娟娟.浅谈网络环境下的会计舞弊控制.经济论坛.2006.
1009-4202(2012)11-000-02
摘要网络财务环境下的信息安全、资金安全也将成为企业财务管理的严峻问题。但每一个系统的安全风险的大小又由于系统控制功能和运行环境的不同而不同,本文介绍了网络财务安全风险的形式、影响网络财务系统安全的因素及网络财务安全风险的防范策略作一探讨
关键词网络财务应用风险与防范
一、网络财务存在的安全风险
(一)计算机病毒的危害
随着INTERNET技术的迅速发展,计算机病毒呈现出多样化、速度快、破坏力强、自我自制、难以防范等特点,这给网络财务系统以及财务信息等造成极大的威胁。(二)内部控制风险
在实行网络财务过程中,由于财务信息的开发性和保密性,系统程序员、系统操作员、系统分析员、系统维护员等各类人员对其权限内的工作都设置一定的口令或,但是他们的工作态度、责任心、业务水平参差不齐,一旦系统操作员不怀好意,擅自更改他人的口令或,改变他人的权限,势必造成系统管理混乱,从而给网络财务信息带来安全风险。(三)信息在传递过程中完整性和真实性得不到保障
首先,在网络环境下,财务信息数据在传递的过程中,计算机是以电子符号代替财务数据、磁介质代替纸介质来传递,磁介质代替摘自:毕业论文格式模板www.7ctime.com纸介质财务数据流通过程中的签章及有关的重要签名等确认手段已不存在。其次,数据信息在传递过程中,会受到磁的干扰以及其它方面的影响,将会丢失数据或使数据不准确、不完整。
(四)会计信息失真
由于会计信息是企业生产经营活动的综合、全面的反映,企业的各个职能部门几乎都不同程度的需要、利用会计信息,因此,会计信息的质量不仅仅关系到会计信息系统,还影响企业管理的其他子系统乃至企业的整个管理决策。一旦会计信息系统的安全受到侵害,最直接的影响就是会计数据错误、 数据丢失或被篡改使会计信息失真,从而不同程序地影响会计信息的使用者进行有关决策。(五)系统无法正常运行
无论是无法避免的自然灾害, 还是出于非法目的而输入破坏性程序、操作者有意、无意的操作造成硬件设施的损害、计算机病毒的破坏等都有可能使会计信息系统的软件、硬件无法正常工作,甚至系统瘫痪,造成巨大损失。二、影响网络财务系统安全的因素
(一)硬件系统的不安全的因素
随着计算机在工作、家庭、生活中的普及,它给人们带来了工作上的方便和生活上的娱乐。但是在使用计算机的同时,它也会出现这样或那样的故障,而硬件故障是最常见的,硬件故障只要是由构成计算机的物理部件引起的故障。它包括硬盘故障、鼠标故障、光驱故障等等。当这些故障发生时,系统中的数据就会丢失,从而给企业带来不必要地损失。(二)软件系统的不安全因素
1.计算机病毒。计算机病毒是一段程序,具有自我复制功能,常驻留与内存、磁盘的引导扇区或磁盘文件,在计算机系统之间传播,常常在我、某个特定的时刻破坏计算机内的程序、数据甚至硬件。据统计,全世界的计算机病毒已超过24000种,并且每年以300-500种的速度疯狂增长。以前计算机病毒主要靠磁盘或光盘传播,但在网络化系统中计算机病毒开始通过网络来传播,时下有一种“梅利沙”病毒,隐藏在word文件中通过电子邮件传播,破坏电子邮件服务器。由于病毒的隐蔽性强、传播范围广、破坏力大等特点,对远程网络会计信息传播的安全构成了极大地威胁。查杀病毒已成为系统安全保护的一个重要内容。2.网络。是指非授权入网络的用户或程序。最常用的诡计主要有以下几种:第一,不活,许多程序能够使破坏者捕获到,尤其是口令。第二,查卡,这种程序时“捕获”程序的一部分,它主要捕获信用卡。第三,即时消息轰炸,利用即时消息功能,可以采用多种程序,以极快的速度用于无数的消息“轰炸”某个特定用户。第四,电子邮件轰炸,用数百条消息填塞某人的E-mail信箱,是一种确实可靠地在线袭扰的方法。第五,违反业务条款,这种手段相当于在网上陷害某人,有些程序可使这种欺骗活动看起来就好像是某个用户向发送 一条攻击性的E-mail消息。第六,病毒和“特洛伊木马”,这些程序看起来像一种合法的程序,但是它静静地记录着用户输入的每个口令,然后把它们给的Internet信箱,从而通过盗窃系统合法用户的口令,然后以此口令合法登陆系统实现非法目的。
3.操作人员的有意破坏。计算机系统的操作人员可以通过对程序作非法改动来篡改程序文件,或者利用非法操作即操作员或其他人不按操作规程或不经允许上机操作,改变计算机的运行路径等手段修改系统软件,从而破坏软件系统安全。
(三)财务数据的不安全因素
1.操作人员篡改程序和数据文件。对程序做非法改动,来修改或直接通过终端来修改文件中的数据,以达到某种不法的目的。2.违法操作。指操作人员或其他人员不按操作规程或不经允许上机操作,改变计算机的执行路径。如系统人员未经批准擅自启动支票签发程序,生成一张支票到银行支取。
3.窃取或篡改贸易秘密、非法转移电子资金和数据泄密。对会计数据的泄密主要是指系统用户或数据保管职员把本企业会计信息通过磁盘、磁带、光盘或网络等介质透露给竞争对手;窃取或篡改贸易秘密是系统非法转移用户信息,利用不正常手段获取企业重要机密的行为。
三、网络财务安全风险的防范策略
(一)技术控制
1.计算机病毒防范技术。⑴计算机病毒的预防技术。计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,然后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作实现的。预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术。系统监控技术等。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。⑵检测病毒技术。计算机病毒的检测技术是指论文导读:通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种:一种是根据计算机病毒的关键字、特定程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术:另一种是不针对具体病毒程序的自身校验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期的以保存的结果对该文件或数据段进行检测,若出现差异,即表示该文件或数据段的完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。2.加密与密匙技术。通过把明文数据和信息转变为不可辨议的密文,使不应了解该数据和信息的人无法识别,从而有效地防止关联方和非关联方的道德风险。
3.“数字签名”和“数字签章”技术。“数字签名”是由数据源使用其和有密匙对数据进行加密,数据接收方则用相应的公用密匙解读数字签名,并将解读结果用于对数据完整性的检验。“数据签章”是由计算机程序将密匙和需传送的文件浓缩成信息摘要予以运算,得出数字签章,将数字签章并同原交易信息传送给对方,对方可用来验证该信息的可靠性和真实性,并可防止传送者的赖账行为。
(二)管理制度控制
1.建立健全财务网络安全管理制度。科学的管理体制是财务网络健康发展的关键,“没有规矩,不成方圆”,遵守相应的法律、法规,对于“网络财务”的健康发展是必要的。国务院于2000年12月颁布的《关于网上信息发布的真实性管理规定》, 对于“网络财务”和“电子商务”的健康发展起到了积极的推动作用。高校应遵照这些法律、法规建立健全财务网络安全管理制度,包括会计电算化岗位责任制、财务网络操作管理制度、计算机硬软件和数据管理制度和网络信息安全管理制度。在制定这些制度时,应该充分体现对系统和数据安全的保障。制度制定后,只有有效地执行才能发挥它对工作的促进和制约作用。这需要单位负责人重视并落实这些制度和规范,经常检查执行情况,发现问题严格按照规定进行处理,使日常工作制度化,从而建立规范有序的业务流程和管理模式,这样才能真正实现财务管理及信息系统的安全可靠。2.建立严格的硬件管理制度。 首先,建立健全设备管理制度,确保硬件设备的运行环境、电源、温度、湿度、静电、尘土、电磁干扰、辐射等,例如计算机系统要求配置稳压电源不间断电源(UPS),有时还需要配置备份电源,以便在长时间断电的情况下启用备份电源来保证设备的正常运行。其次,各系统操作人员应分清责任, 各自管理和使用自己职责范围内的硬件设备,不得越权使用、禁止非计算机操作人员使用计算机系统,以免不当的操作损坏硬件设备。多个用户使用同一台设备的,要进行严格的登记,并记录运行情况。
(三)内部控制
1.组织控制。组织控制的最基本原则是,任何一项经济业务的处理必须由两个或者两个以上的部门或人员来,已达到相互牵制、相互制约的目的,防止或减少错弊的发生。其控制措施包括:①电算部门与用户部门的职责分离。电算部门是负责记录会计业务的,用户部门是批准执行会计业务的,两者是不相容职务,因此必须分离开来。如果因为某个部门或职员既负责批准会计业务,又有权解触计算机会计系统的处理过程,那么该部门或职员便有许多机会设置计算机会计陷阱。将电算部门与用户部门严格分离,就可以使计算机会计陷阱大大减少。②电算部门内部的职责分离电算部门包括系统分析与设计人员、程序员、系统管理员、资料管理员、操作员,这些人员的职责应予以适当的分离。首先应对系统开发人员负责系统的分析、设计编程、维护等,数据处理人员的主要职责是进行会计数据的处理与控制。因此,系统开发与数据处理是不相容的职位。程序员不能参与数据的输入和处理等的操作,操作员不能直接修改程序、其次应对数据处理的职责进行适当的分离,一般在数据处理小组课设置凭证输入员、审核员、登帐人员和会计资料保管员,这些职责一般应予以分离。
2.安全控制。对计算机会计系统的安全控制主源于:论文摘要怎么写www.7ctime.com
要包括接触控制和坏境安全控制。①接触控制。接触控制是指限制只有经过授权批准的人才能接触计算机会计系统的硬件、软件、数据文件以及系统文档资料的控制。接触控制能够保证计算机会计系统的正确使用,因为任何一种计算机会计陷阱都必须在和计算机会计系统发生接触后才能得逞。②环境安全控制。环境安全控制是一种预防性控制,包括计算机机房的安全环境、机房的设备保护、安全供电系统的安装等。对环境安全进行控制的目的在于尽量减少因外界因素所引起的计算机故障发生率,保证机器正常运行。例如,在计算机房配备防火、防水、防物理化学及生物灾害设备以及硬件防盗设施。
参考文献:
李连华,张蕾等.中国内部控制规范:阐述与应用.上海:立信会计出版社.2007.
卢春兰,赵蓓蓓.计算机应用技术教程.华中科技大学出版社.2008.
[3]伍旦初.计算机组装与维护.北京:电子工业出版社.2008.
[4]张娟娟.浅谈网络环境下的会计舞弊控制.经济论坛.2006.