财务管理软件数据安全性研究.docVIP

财务管理软件数据安全性研究 　　 摘要：近年来，财务管理软件在企业中发挥的作用日益突现，但在财务软件的数据安全控制上面，还存在着一定的缺陷与不足，容易被企业所忽视。文章分析了企业在传统的财务工作模式下，完善其财务软件开发环境与应用环境数据安全性的对策与措施，存在一定的现实意义。 　　 关键词：财务；用友软件；数据安全 　　 伴随科学技术的飞速发展，信息保护的方法与财务数据的加密方式日趋多样化，财务数据安全性方面的论述与研究也在逐渐增多。笔者即从下述几个方面，探讨企业如何提升财务软件的数据安全性问题。 　　 一、我国财务管理软件的数据安全现状 　　 对会计数据产生不安全威胁的操作，主要集中在两个方面，一方面，删除会计信息的相关文件；另一方面，对数据库文件的内容进行修改。凡是实现了电算化的企业与单位，都会配套多种防范措施来保障自身会??信息的安全性，计算机开机都设有口令，未授权人员不得进入机房进行操作。目前我国无论是单用户或是网络用户，其处理账务的系统一般与外部网络是没有联系的（不包含银行系统）。因此，外部人员进入计算机系统，修改会计数据的可能性相对较小。企业尤其需要防范的是自身财务软件的内部操作人员，有可能对会计信息文件进行非法修改。 　　 企业内部会计电算化的工作人员，有可能寻找到各种手段与方法，达到其非法转移资金、获取商业机密、掩盖舞弊行为的目的。伴随工作人员计算机知识的不断累积，再参照各类软件的使用说明，对注册表进行修改已不是件困难的事，注册表里的Admin密码已经不再安全。这样一来，Admin与操作人员使用的密码就没有了作用，会计信息就更没有安全可言。计算机系统的管理员主要是对系统进行安全与维护工作，其主要内容包含操作人员设置、会计账套的引入与输出等。如果得到了Admin密码，就意味着能够对整个系统进行控制，可以进行各种操作，后果不堪设想。 　　 用友ERP-U8是我国用户量最多、应用面最广、行业实践经验最为丰富的ERP，但其数据信息的保密措施也不尽完善：用一个账套能够进行多个账套主管设置的缺陷，新增一个操作人员，设置账套主管的权限，利用该权限随时进行非法的操作；直接用原账套主管密码，用账套主管身份非法进行操作；利用某一操作人员密码，非法进行操作并陷害他人；获取商业机密、删除数据、非法篡改等活动。非法操作完成后，再利用Admin身份清除有关的上机日志，就能够不留下任何痕迹。不难看出，我国企业财务软件的数据安全性存在着重大隐患。 　　 二、财务软件在开发环节的防护措施与加密技术 　　 （一）实施数据加密的思路和原则 　　 与普通的数据管理软件相比较，财务软件的数据加密功能，还存在着方便使用与规范处理之间的矛盾。一是软件加密的控制措施不可独立存在，要与企业财务的内部分工以及岗位牵制相结合，使得掌握部分操作权限的会计电算化人员，既能在顺畅的财务软件环境里开展工作，同时又能保障系统的控制手段满足会计人员业务处理的习惯；二是考虑到全面审计与责任确认的方便性，应该尽可能让财务人员在利用软件操作数据更新、修改、冲销等过程中，留下能够判断其思路与动作的痕迹。由此，在编程的过程中，强化密码管理，完善分工权限的牵制职能等应遵循下列原则。 　　 1.分级控制法进行操作职能限定 　　 利用程序的基本功能对软件操作的功能与规范进行限定，以此为一级控制；系统管理员对系统参数以及一般操作员的管理权限进行设置与掌握，这是软件赋予主管人员特殊权限下的二级控制措施；由各个操作员对自己的操作记录与操作权力进行加密保护措施，这是个人权责范围内的三级控制。 　　 2.对可控内容进行编程和操作的双重控制 　　 在设计程序的过程中建立起规范操作与功能范围的限定，是全部操作人员无法进行突破的，财务规范所确立的有关基本核算的各项制度，应该在编程的环节进行确认；对于日常管控和个性化操作规程，则应采用设置与配置的方式，在软件运用的过程中，由系统管理员统一进行监控，从而达到规范操作的目的。 　　 3.岗位权限的分配环境要适宜 　　 操作员进行授权项目划分，应该与会计的职责分工相互对应，可控项目授权控制要合理，对待权限项目的区分，既不可太粗，也不可过细。 　　 （二）对操作日志及运用规范进行合理定位 　　 操作日志即是对软件的操作事项、使用时间、使用人所做的记载，是对操作记录与运行任务进行查询与验证的有效手段。在使用操作日志的过程当中，应该重点注意以下三个问题：日志管理者的确定；日志所包含的内容；操作记录保留限期。就笔者看来，如果系统资源较充裕，操作日志可交由系统进行管理，这样使得软件的使用人对其中内容只能进行有限阅读，无法干涉其自动生成和删除，提升操作日志的客观性。鉴于在特殊情况下，有可能对历史记录进行追溯，日志的保留限期可对照企业主要会