24周年

財稅實務 高薪就業(yè) 學歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.41 蘋果版本:8.7.40

開發(fā)者:北京正保會計科技有限公司

應用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

財務管理軟件的數(shù)據(jù)安全性研究

來源: 楊志華 編輯: 2012/06/14 08:57:23  字體:

  摘要:近年來,財務管理軟件在企業(yè)中發(fā)揮的作用日益突現(xiàn),但在財務軟件的數(shù)據(jù)安全控制上面,還存在著一定的缺陷與不足,容易被企業(yè)所忽視。文章分析了企業(yè)在傳統(tǒng)的財務工作模式下,完善其財務軟件開發(fā)環(huán)境與應用環(huán)境數(shù)據(jù)安全性的對策與措施,存在一定的現(xiàn)實意義。

  關(guān)鍵詞:財務;用友軟件;數(shù)據(jù)安全

  伴隨科學技術(shù)的飛速發(fā)展,信息保護的方法與財務數(shù)據(jù)的加密方式日趨多樣化,財務數(shù)據(jù)安全性方面的論述與研究也在逐漸增多。筆者即從下述幾個方面,探討企業(yè)如何提升財務軟件的數(shù)據(jù)安全性問題。

  一、我國財務管理軟件的數(shù)據(jù)安全現(xiàn)狀

  對會計數(shù)據(jù)產(chǎn)生不安全威脅的操作,主要集中在兩個方面,一方面,刪除會計信息的相關(guān)文件;另一方面,對數(shù)據(jù)庫文件的內(nèi)容進行修改。凡是實現(xiàn)了電算化的企業(yè)與單位,都會配套多種防范措施來保障自身會計信息的安全性,計算機開機都設有口令,未授權(quán)人員不得進入機房進行操作。目前我國無論是單用戶或是網(wǎng)絡用戶,其處理賬務的系統(tǒng)一般與外部網(wǎng)絡是沒有聯(lián)系的(不包含銀行系統(tǒng))。因此,外部人員進入計算機系統(tǒng),修改會計數(shù)據(jù)的可能性相對較小。企業(yè)尤其需要防范的是自身財務軟件的內(nèi)部操作人員,有可能對會計信息文件進行非法修改。

  企業(yè)內(nèi)部會計電算化的工作人員,有可能尋找到各種手段與方法,達到其非法轉(zhuǎn)移資金、獲取商業(yè)機密、掩蓋舞弊行為的目的。伴隨工作人員計算機知識的不斷累積,再參照各類軟件的使用說明,對注冊表進行修改已不是件困難的事,注冊表里的Admin密碼已經(jīng)不再安全。這樣一來,Admin與操作人員使用的密碼就沒有了作用,會計信息就更沒有安全可言。計算機系統(tǒng)的管理員主要是對系統(tǒng)進行安全與維護工作,其主要內(nèi)容包含操作人員設置、會計賬套的引入與輸出等。如果得到了Admin密碼,就意味著能夠?qū)φ麄€系統(tǒng)進行控制,可以進行各種操作,后果不堪設想。

  用友ERP-U8是我國用戶量最多、應用面最廣、行業(yè)實踐經(jīng)驗最為豐富的ERP,但其數(shù)據(jù)信息的保密措施也不盡完善:用一個賬套能夠進行多個賬套主管設置的缺陷,新增一個操作人員,設置賬套主管的權(quán)限,利用該權(quán)限隨時進行非法的操作;直接用原賬套主管密碼,用賬套主管身份非法進行操作;利用某一操作人員密碼,非法進行操作并陷害他人;獲取商業(yè)機密、刪除數(shù)據(jù)、非法篡改等活動。非法操作完成后,再利用Admin身份清除有關(guān)的上機日志,就能夠不留下任何痕跡。不難看出,我國企業(yè)財務軟件的數(shù)據(jù)安全性存在著重大隱患。

  二、財務軟件在開發(fā)環(huán)節(jié)的防護措施與加密技術(shù)

  (一)實施數(shù)據(jù)加密的思路和原則

  與普通的數(shù)據(jù)管理軟件相比較,財務軟件的數(shù)據(jù)加密功能,還存在著方便使用與規(guī)范處理之間的矛盾。一是軟件加密的控制措施不可獨立存在,要與企業(yè)財務的內(nèi)部分工以及崗位牽制相結(jié)合,使得掌握部分操作權(quán)限的會計電算化人員,既能在順暢的財務軟件環(huán)境里開展工作,同時又能保障系統(tǒng)的控制手段滿足會計人員業(yè)務處理的習慣;二是考慮到全面審計與責任確認的方便性,應該盡可能讓財務人員在利用軟件操作數(shù)據(jù)更新、修改、沖銷等過程中,留下能夠判斷其思路與動作的痕跡。由此,在編程的過程中,強化密碼管理,完善分工權(quán)限的牽制職能等應遵循下列原則。

  1.分級控制法進行操作職能限定

  利用程序的基本功能對軟件操作的功能與規(guī)范進行限定,以此為一級控制;系統(tǒng)管理員對系統(tǒng)參數(shù)以及一般操作員的管理權(quán)限進行設置與掌握,這是軟件賦予主管人員特殊權(quán)限下的二級控制措施;由各個操作員對自己的操作記錄與操作權(quán)力進行加密保護措施,這是個人權(quán)責范圍內(nèi)的三級控制。

  2.對可控內(nèi)容進行編程和操作的雙重控制

  在設計程序的過程中建立起規(guī)范操作與功能范圍的限定,是全部操作人員無法進行突破的,財務規(guī)范所確立的有關(guān)基本核算的各項制度,應該在編程的環(huán)節(jié)進行確認;對于日常管控和個性化操作規(guī)程,則應采用設置與配置的方式,在軟件運用的過程中,由系統(tǒng)管理員統(tǒng)一進行監(jiān)控,從而達到規(guī)范操作的目的。

  3.崗位權(quán)限的分配環(huán)境要適宜

  操作員進行授權(quán)項目劃分,應該與會計的職責分工相互對應,可控項目授權(quán)控制要合理,對待權(quán)限項目的區(qū)分,既不可太粗,也不可過細。

  (二)對操作日志及運用規(guī)范進行合理定位

  操作日志即是對軟件的操作事項、使用時間、使用人所做的記載,是對操作記錄與運行任務進行查詢與驗證的有效手段。在使用操作日志的過程當中,應該重點注意以下三個問題:日志管理者的確定;日志所包含的內(nèi)容;操作記錄保留限期。就筆者看來,如果系統(tǒng)資源較充裕,操作日志可交由系統(tǒng)進行管理,這樣使得軟件的使用人對其中內(nèi)容只能進行有限閱讀,無法干涉其自動生成和刪除,提升操作日志的客觀性。鑒于在特殊情況下,有可能對歷史記錄進行追溯,日志的保留限期可對照企業(yè)主要會議的檔案保管限期來設定。

 ?。ㄈ┻\用好程序加密技術(shù)

  想要提升數(shù)據(jù)的安全性,可以采用程序代碼的方式,在編程的環(huán)節(jié)對關(guān)鍵數(shù)據(jù)實施加密處理。加密后的數(shù)據(jù)不可直接讀取,不具有被視為另類數(shù)據(jù)產(chǎn)生的欺騙性,有效避免只了解基本操作的財務人員在常規(guī)操作中或不經(jīng)意間查看到某些關(guān)鍵數(shù)據(jù)。需要進行頻繁讀取的權(quán)限開關(guān)、系統(tǒng)環(huán)境參數(shù)、操作員密碼、操作日志、備份信息、刪除記錄等重要數(shù)據(jù),都可以采用這一方式進行保護。

 ?。ㄋ模╅_發(fā)出可靠、獨立的歷史軌跡功能

  會計電算化的發(fā)展,使企業(yè)財務數(shù)據(jù)的修改與刪除可以不留下任何痕跡,給審計工作的發(fā)展帶來了很大的困難?,F(xiàn)如今,財務軟件內(nèi)在的制約功能還沒有得到有效的開發(fā),無縫嫁接就成為保障會計數(shù)據(jù)真實性的一大障礙。伴隨數(shù)據(jù)技術(shù)的逐步發(fā)展與儲存技術(shù)的日漸成熟,發(fā)展獨立控制區(qū),進行輔助數(shù)據(jù)的后臺打包管理工作逐步得以實現(xiàn)。會計電算化在核算中進行的數(shù)據(jù)恢復、憑證刪除、反過賬等操作都可以在后臺界面中留下完整資料,這是與財務軟件自身升級更新或運行故障不相關(guān)的。必要時,某些操作員(由權(quán)威部門或軟件廠商授權(quán))憑借自身權(quán)力,能夠迅速查看或提取出軟件運行產(chǎn)生的歷史軌跡,能夠有效防止違規(guī)核算現(xiàn)象的發(fā)生。

  三、財務軟件在應用環(huán)節(jié)的安全防范與數(shù)據(jù)保護工作

  第一,強化對操作員的操作權(quán)限管理。很多財務軟件都是利用超級用戶,即系統(tǒng)管理員,實現(xiàn)對操作員的設置以及授權(quán)工作。通常來講,超級用戶與企業(yè)傳統(tǒng)的財務主管或者會計電算化的系統(tǒng)管理員相對應。系統(tǒng)賦予超級用戶眾多操作權(quán)力,不但可以對操作員進行增刪、更改其權(quán)限、啟用或者注銷操作員的個人密碼,還擁有數(shù)據(jù)恢復權(quán)、賬套設置權(quán)、結(jié)賬權(quán)等權(quán)力。這就對操作員的管理權(quán)進行了集中掌握,促使會計人員只能在允許權(quán)限范圍內(nèi)來使用數(shù)據(jù)與處理事務。這不但是眾多崗位協(xié)作分工的要求,也是避免會計人員越權(quán)、保護信息數(shù)據(jù)安全的需要。

  第二,充分發(fā)揮操作密碼在企業(yè)內(nèi)控制度中的作用。操作密碼的設置是財務人員維護自身責任與利益的基本手段。從會計信息安全性與財務人員職責牽制相關(guān)要求來看,操作員應該利用好軟件提供的加密功能,同時還要對登錄密碼進行經(jīng)常性地修改,避免他人有意或無意進入系統(tǒng),越權(quán)進行非法操作。財務系統(tǒng)管理員可以利用軟件的強制加密與密碼限期修改的功能,對每個操作員應履行的義務進行明確,不斷完善口令加密功能,保證財務軟件使用的規(guī)范性。

  第三,做好軟件操作員的權(quán)力限制措施。為了讓財會人員按照崗位職責來分享核算的權(quán)力,財務軟件在很多環(huán)節(jié)給系統(tǒng)管理員設置了針對功能范圍與操作權(quán)限的控制權(quán)。上述控制措施體現(xiàn)在操作員的權(quán)力限制與權(quán)力有限運用兩方面。操作員只可在被授權(quán)的功能范圍與操作權(quán)限以內(nèi)履行自身職責。在此種管理模式下,操作員被分為若干組,不同組被賦予的權(quán)力不同,同一組操作員的權(quán)力可以共享。通過對某操作員進行權(quán)力屏蔽,系統(tǒng)管理員可以對每一個操作員的權(quán)限進行確定。

  第四,掌握系統(tǒng)參數(shù)對操作權(quán)限與核算程序的影響。系統(tǒng)參數(shù)的設置是財務軟件個性化過程的體現(xiàn),很多系統(tǒng)參數(shù)是要由管理員進行判斷與定位的,在這些參數(shù)當中,一部分是指向數(shù)據(jù)安全維護與軟件規(guī)范運用的。對系統(tǒng)參數(shù)進行適當設定,可以限制操作員的部分權(quán)力,從而能夠?qū)嫼怂愕馁Y料實現(xiàn)主動保護;通過規(guī)范數(shù)據(jù)傳遞與維護賬務的處理程序間接實現(xiàn)對數(shù)據(jù)正確性與安全性的維護。

  總之,財務軟件的數(shù)據(jù)安全性問題逐漸被企業(yè)所重視,相關(guān)部門與人員應該針對企業(yè)現(xiàn)有財務管理軟件的缺陷與漏洞,制定出一系列的應對方法,從而不斷提升會計電算化的安全性,維護企業(yè)商業(yè)機密,避免給企業(yè)帶來不必要的損失。

  參考文獻:

  1.肖福英.淺談用友財務軟件的功能缺陷及其完善[J].中國商界(上半月),2009(11).

  2.陳浩.中國會計電算化[M].中國會計電算化雜志社,2006.

  3.李成義.淺談用友財務軟件的功能缺陷及其完善[J].商場現(xiàn)代化,2008(11).

我要糾錯】 責任編輯:zoe

實務學習指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.8riaszlp.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號