常山供電局 徐家劍
網絡尤其是互聯網的開放式結構和不受約束的訪問,在給企業財會系統帶來質的變革的同時,也增加了某些敏感或有價值的數據被濫用的風險。企業的財務數據屬重大商業機密,如遭破壞或泄密,將造成不可估量的損失,因而保證網上財務信息安全可靠成為當前財務工作的焦點,構建基于網絡的財會系統面臨的最突出問題就是安全問題。
首先,由于Internet/Intranet體系使用的是開放式的 TCP/IP協議,它以廣播的形式進行傳播,易于搭截偵聽、口令字試探和竊取、身份假冒,這是技術上容易引起安全問題的重要特點。其次,隨著電子商務的發展,財務管理和業務管理的一體化,電子單據、分布式操作使得可能受到不法攻擊的點增多,而對于企業內部使用者來講,如果使用權限劃分不當、內部控制不嚴,也容易造成信息濫用和泄密。
我局現在使用的是用友U8的賬務系統,包含了總賬、固定資產和UFO報表模塊。筆者認為該軟件的最大不足是UFO報表系統,工作站使用該系統時,要通過服務器上讀取數據,這必然要將服務器上的報表數據共享,這樣的話就可能會造成數據遭到破壞或泄密。
針對這種狀況,應從內部制度和技術兩個方面采取防范措施:
一、 內部控制。
企業為了保護資產的安全、會計信息的準確性和可靠性,應在內部采取一系列控制措施,完善的內部控制,有效減輕由于內部人員道德風險、系統資源風險和計算機病毒所造成的危害。從軟硬件管理和維護控制、組織機構和人員的管理和控制、系統環境和操作的管理和控制、文檔資料的保護和控制、計算機病毒的預防與消除等各個方面建立一整套行之有效的制度,從制度上保證財務網絡系統的安全運行。
二、技術控制。
在技術上對整個財務網絡系統的各個層次(通信平臺、網絡平臺、操作系統平臺、應用平臺)都要采取安全防范措施和規則,建立綜合的多層次的安全體系。在財務軟件中提供周到、強力的數據安全保護,包括數據存貯安全性、數據操作安全性、數據傳輸安全性以及數據運用、查詢、分析時的安全性。
1、防火墻:是建立在企業內部網(Intranet)和外部網絡接口處的訪問控制系統,它對跨越網絡邊界的信息進行過濾,目的在于防范來自外部的非法訪問、又不影響正常工作,從而為企業設立了一道電子屏障。防火墻可能是純軟件、純硬件或軟硬結合的產品,大體上可分為兩大類:一類基于包過濾,通常直接轉發報文,它對用戶完全透明,速度較快;另一類基于代理服務,需要代理服務器建立連接,它可以有更強的身份驗證和日志功能。
2、加密技術(密鑰技術):數據加密技術對網絡服務及開放性影響較小,是保護信息通過公共網絡傳輸和防止電子竊聽的首選方法。現代加密技術分為對稱加密和非對稱加密兩大類。對稱加密法是傳統的方式,其特點是關聯雙方共享一把專用密鑰進行加密和解密運算,專用密鑰法面臨的最大難題是密鑰網上分發的安全性問題。非對稱加密法1976年問世,它將密鑰一分為二,即一把公鑰和一把私鑰,加密鑰不同于解密鑰,并且在計算上不能由加密鑰推出解密鑰的特點,有效解決了密鑰分發的管理問題,特別適合計算機網絡的應用環境。譬如總公司可以對下屬企業公開其“密鑰對”中的公鑰,下屬企業可以用公鑰對上報的報表信息加密,安全地傳送給總公司,然后由總公司用其保留的私鑰進行解密。目前在網絡信息傳輸中,往往組合使用專用密鑰法和公開密鑰法,以充分利用各種方法的優點。
3、數字簽名:在Internet環境下,電子符號代替了會計數據,磁介質代替了紙介質,財務數據流動過程中的簽字蓋章等傳統手段將完全改變,為驗證對方身份、保證數據完整性,在計算機通信中采用數字簽名這一安全控制手段。基于數字簽名還可建立不可否認機制,也就是說,只要用戶或應用程序已執行某一動作,就不能否認其行動。
數字簽名是上述公開密鑰密碼技術的另一類應用。它的主要方式為:會計信息的披露方從信息文本中通過一種信息摘要算法產生一固定長度(如128位)的摘要值,用自己的私鑰對摘要值加密,來形成披露方的數字簽名,連同原文一起發出;關聯方首先用同樣的摘要算法對報文計算摘要值,接著再用披露方一同發來的公鑰對數字簽名解密,如果兩個摘要值相同,證明信息在發送途中未被篡改,而且報文確實來自所稱的披露方。財務系統中遠程處理時可用數字簽名技術代替簽字蓋章的傳統確認手段,當然這要在國家有相應的財務制度許可的條件下才能進行。
