摘要:隨着金融會計資訊系統進入網絡化時代,由於駭客病毒等因素造成各類電子資訊檔案篡改,嚴重地破壞銀行會計資訊系統,對金融會計資訊造成安全隱患,因此構建金融會計資訊系統安全體系就顯得非常必要。本文從網絡金融會計資訊系統的含義出發,分析對網絡條件下金融會計資訊系統存在的主要安全隱患,提出如何建立全方位網絡金融會計資訊系統安全體系的框架。
關鍵詞: 會計資訊系統;系統安全體系;金融會計
一、網絡金融會計資訊系統的含義
網絡金融會計資訊系統是指建立在網絡環境基礎上的會計資訊系統網絡環境,包括兩部分:一是金融企業內部網絡環境,即內網,透過組建金融企業內部網絡結構實現內部各部門之間的資訊交流和共享;二是國際網絡環境,即透過互聯網使金融企業同外部進行資訊交流與共享,基於互聯網的會計資訊系統,也可以說是基於內聯網的會計資訊系統,即金融企業的內聯網和互聯網連接,爲金融企業內各部門之間,金融企業與客戶、稅務、審計等部門之間建立開放、分佈、實時的雙向多媒體資訊交流環境創造了條件,也使金融企業會計與業務一體化處理和實時監管成爲現實,原來封閉的局域網會計資訊系統被推上開放的互聯網世界後,一方面給金融企業帶來了前所未有的會計與業務一體化處理和實時監管的優越性,另一方面由於互聯網系統的分佈式、開放性等特點,其與原有集中封閉的會計資訊系統比較,系統在安全上的問題也更加突出,互聯網會計資訊系統的風險性更大。
二、當前網絡金融會計資訊系統存在安全隱患
(一)金融會計資訊安全組織管理體系不完善
目前,金融企業尚未建立起一套完整的計算機安全管理組織體系,金融會計資訊系統的建設在安全設計方面缺乏總體考慮和統一規劃部署,各系統根據自己的理解進行規劃建設,技術要求不規範,技術標準各異,技術體制混亂。國家標準制定嚴重滯後,法律法規不能滿足金融會計資訊系統的安全需求,現行計算機安全法律法規不能爲金融會計資訊系統安全管理提供完整配套的法律依據,在一定程度上存在法律漏洞、死角和非一致性。
(二)網絡金融會計資訊數據不安全
網絡金融會計數據是記錄在各種單、證、賬、表原始記錄或初步加工後的會計資料,它反映企業的經營情況和經營成果,對外具有較高的保密性,連接互連網後,會計數據能迅速傳播,其安全性降低,風險因素大大增加,網絡金融會計的資訊工作平臺是互聯網,在其運作過程中,正確性、有效性會受到技術障礙的限制和網絡與應用軟件接口的限制,如網絡軟件選配不合適,網絡操作系統和應用軟件沒有及時升級,或安全配置參數不規則,網絡線路故障導致工作站癱瘓、操作失誤等,系統間數據的大量流動還可能使金融企業機密數據無形中向外開放,數據透過線路傳輸,某個環節出現微小的干擾或差錯,都會導致嚴重的後果,互連網結構的會計資訊系統,由於其分佈式、開放性、遠程實時處理的特點,系統的一致性、可控性降低,一旦出現故障,影響面更廣,數據在國際線路上傳輸,數據的一致性保障更難,系統恢復處理的成本更高。
(三) 網絡金融資訊泄露導致金融會計資訊失真
在資訊技術高速發展的今天,資訊己經成爲金融企業的一項重要資本,甚至決定了金融企業在激烈的市場競爭中的成敗。而金融會計資訊的真實、完整、準確是對金融會計資訊處理的基本要求。由於金融會計資訊是金融企業生產經營活動的綜合、全面的反映。金融會計資訊的質量不僅僅關係到金融會計資訊系統,還影響到金融企業管理的其他系統,目前利用高技術手段竊取金融企業機密是當今計算機犯罪的主要目的之一,也是構成金融會計資訊系統安全風險的重要形式。其主要原因:一是電信網絡本身安全級別低,設備可控性差,且多采用開放式操作系統,很難抵禦駭客攻擊;二是由於電信網絡不負責對金融企業應用系統提供安全訪問控制,通信系統己成爲資訊安全的嚴重漏洞,但許多金融企業對此未加以足夠重視而採取有效的防護措施。由於這些原因導致了金融會計資訊系統的安全受到侵害,造成了資訊的泄露,使金融會計資訊失真。
(四)金融會計資訊系統的存在安全威脅
目前金融企業計算機已廣泛聯網,這是金融企業擴大業務範圍,實現資訊共享的必然結果。由於網絡分佈廣,不容易集中管理,許多系統又是在存在安全漏洞與威脅的環境下工作的,不法分子可以在網上任意地點攻擊,使金融企業不知不覺中被偷盜資金或泄露機密。金融企業經營的資金,不法分子作案得逞就能弄到金錢,因此其已成爲犯罪分子攻擊的主要目標,且作案手段繁多,方法越來越高明。作案分子有以下三類: (1)內部人員作案。金融企業內部人員熟悉金融企業業務和金融企業會計軟件的薄弱環節與漏洞,若禁不住金錢的誘惑,就會鋌而走險,鑽制度不嚴的空子,利用合法身份或明或暗或用高科技手段作案,侵吞國家資產或非法轉移客戶存款。( 2)外部攻擊。外部攻擊具有作案地點廣泛、案情複雜且作案手段日趨技術化、智能化等特點,給金融企業及客戶造成巨大損失,跟蹤與破案難度很大。(3)內外勾結作案。犯罪分子利用金融企業管理上的漏洞與鬆懈,內外勾結,衝破重重關卡聯合作案。此類攻擊後果尤爲嚴重,風險最大。
三、構建網絡金融會計資訊系統安全體系思路與方法
採用現代資訊系統實用安全概念、安全防護、安全檢測、安全反應是構成計算機安全管理的核心環節,各個環節形成循環密切相關。構建網絡金融會計資訊系統安全體系關鍵在以下幾個方面把握:
1、完善網絡金融會計資訊系統技術法規、標準和制度體系建設
加快標準規範和制度體系基礎工作步伐,統
籌規劃、結合國家和行業監管部門,重點加強電子支付及資訊產品與服務的測評、准入、認證等相關技術法規與標準。密切結合金融企業資訊化發展實際,借鑑國內外先進經驗和做法,加緊建立和不斷完善集中式數據中心運營規範和制度體系,加強網絡金融會計資訊安全的各項規章制度建設,逐步實現一個崗位一項制度,全面落實“讓標準說話,按制度辦事”的資訊安全管理準則。
2、金融會計資訊系統的物理安全的控制
建立金融會計資訊物理安全控制,主要有三種關鍵技術:第一種是防火牆技術。防火牆是一組基於互聯網和金融企業內聯網之間的訪問控制系統,它充當屏障作用,保護金融企業資訊系統(內聯網)免受來自互聯網的攻擊。防火牆由軟件系統和硬件設備組合而成,它執行安全管理措施,記錄所有可疑事件。防火牆產品主要包括過濾型和應用網關型兩種類型。所有互聯網與金融企業內聯網之間的資訊流都必須經過防火牆,透過條件審查確定哪些內容允許外部訪問,哪些外部服務可由內部人員訪問。因此,防火牆以限制金融會計資訊的`自由流動爲代價來實現網絡訪問的安全性。第二種是反病毒技術。在金融會計資訊系統的執行與維護過程中,應高度重視計算機病毒的防範及相應的技術手段與措施。如採用基於服務器的網絡殺毒軟件進行實時監控、追蹤病毒等等。第三種是備份技術。備份是防止網絡環境下金融會計資訊系統意外事故最基本、最有效的手段,它包括硬件備份、系統備份、會計軟件系統備份和數據備份四個層次。
3、構建金融會計資訊保密的安全體系
(1)建立用戶分類安全控制體系。在金融企業內部,不同的資訊使用者,由於他們的身份不同,以及他們對獲取的會計資訊要求也不同,因而有必要對這些用戶進行分類,以保證不同身份的用戶獲取與其身份及要求相符的會計資訊。對用戶分類是透過對用戶授予不同的數據管理權限來實現的,一般將權限分爲三類即數據庫登入權限、資源管理權限和數據庫管理員權限等。只有獲得了數據庫登入權限的用戶才能進入數據庫管理系統,纔有可能進行數據的查詢,以獲取自己所需的金融會計數據或金融會計資訊,但其不能對數據進行修改。而擁有數據管理權限的用戶除了擁有上述數據訪問權限之外,還可擁有數據庫的創建、索引及職責範圍內的修改權限等。至於擁有數據庫管理員權限的用戶他將有數據庫管理的一切權限,包括訪問其他用戶的數據,授予或收回其他用戶的各種權限,完成數據的備份、裝入與重組以及進行系統的審計等工作。但這類用戶一般僅限於極少數的用戶,其工作帶有全局性和謹慎性,對於金融會計資訊系統而言,會計主管就可能是一個數據庫管理員。
(2)建立金融會計數據分類安全體系。雖然對用戶進行了分類,但並不等於一定能保證用戶都根據自己的職責範圍訪問相關金融會計數據,這是因爲同一權限內的用戶對數據的管理和使用的範圍是不同的,如金融會計工作中的憑證錄入員與憑證的審覈人員,他們的職責範圍就明顯地限定了其對數據的使用權限。因此,數據庫管理員就必須根據數據庫管理系統所提供的數據分類功能,將各個作爲可查詢的金融會計數據邏輯歸併起來,建立一個或多個視圖,並賦予相應的名稱,並把該視圖的查詢權限授予相應的用戶,從而保證各個用戶所訪問的是自己職責範圍內的會計數據。
(3)建立會計數據加密安全體系。普通的保密技術能夠滿足一般系統的應用要求,只是透過密碼技術對資訊加密,是安全的手段。資訊加密的核心是密鑰,密鑰是用來對數據進行編碼和解碼的一種算法。根據密鑰的不同,可將加密技術分爲對稱加密體制、非對稱加密體制和不可逆加密體制三種。對一般數據庫來說是較爲有效的,但是對金融會計資訊系統來說,僅靠普通的保密技術是難以確保金融會計數據安全的。爲了防止其他用戶對會計數據的非法竊取或篡改,爲防止非法用戶竊取機密資訊和非授權用戶越權操作數據,在系統的客戶端和服務器之間傳輸的所有數據都進行雙層加密。即第一層加密採用標準ssl協議,該協議能夠有效地防破譯、防篡改,是一種安全可靠的加密協議;第二層加密採用私有的加密協議,該協議不公開、不採用公算法並且有非常高的加密強度。兩層加密確保了會計資訊的傳輸安全,從而保證金融會計資訊的安全性。
4、建立網絡金融會計資訊系統應急預案
制訂應急預案的目的是爲了確保金融企業正常的金融服務和金融秩序,提高金融企業應對突發事件的能力,在網絡金融會計資訊系統故障時,將系統中斷時間、故障損失和社會影響降到最低,應急預案的核心是建立應急模式下的業務處理流程,詳細闡述應急模式的操作步驟,建立相應的事後數據補錄和稽覈制度,網絡金融會計資訊系統安全應急預案規定:系統應用部門發現資訊系統故障,應及時通知部門負責人;部門負責人應立即通知計算機中心;計算機中心應立即着手查明故障原因,預計系統修復時間,並通知相應部門負責人;若暫時不能修復(超過15分鐘),應向安全領導小組報告,由金融企業領導確定是否啓動緊急預案;緊急預案啓動後,計算機中心應通知各相關部門,啓動緊急預案中相關的應急措施;在故障消除後,計算機中心應立即通知各應用部門,並報告安全領導小組,請求結束應急預案的實施;事後計算機中心應將詳細的故障原因和處理結果報有關領導。
建立健全網絡金融會計資訊安全檢查機制,加大監督檢查工作力度。依據業已確立的技術法規、標準與制度,定期開展資訊安全檢查工作,確保資訊安全保障工作落到實處。建立責任通報制度,對檢查中發現的違規行爲,按規定處罰相關責任人,對檢查中發現的安全問題和隱患,明確責任部門和責任人,限期整改。在開展合規性檢查的同時,應綜合運用檢測工具,明確安全控制目標,加強深度的專項安全檢查工作,保證檢查工作的針對性、深入性和時效性。
總之,網絡金融會計資訊系統所面臨的外部和內部侵害,使得我們必須採取切實可行的安全對策,以確保系統具有資訊保密性、身份的確定性、不可否認性、不可篡改性、可驗證性和可控制性。
參考文獻:
[1]周慧.《商業銀行電子化的風險控制》.《金融與保險》,2003第9期
[2]喬立新、袁愛玲、馮英俊.《建立網絡銀行操作風險內部控制系統的策略》.《商業研究》,2003年第8期
[3]劉昊.《論我國網絡銀行的風險及其控制》.《新金融》,2003年第1期
[4]楊周南.《論會計管理資訊化的isca模型》.《會計研究》,2003年第10期
[5]劉貴栓.《金融企業會計資訊失真探析》,《經濟師》,2003年第1期
[6]張金城.《計算機會計資訊失真風險防範》,浙江人民出版社,2003年1月第1版
[7] 謝贊恩.《中國金融資訊化二十年》,《互聯網週刊》, 2004年第3期
[8]顧浩.《中國金融企業資訊化任重道遠》.《上海金融高等專科學校學報》,2003年第4期
[9]曾永光,周利枚、徐運保.《城市商業銀行資訊化新思路》,《湖南工程學院學報》,2005年第12期