财务管理软件的数据安全性研究.docxVIP

PGE \* MERGEFORMT PGE \* MERGEFORMT 1 财务治理软件的数据安全性研究 伴随科学技术的飞速进展，信息保护的方法与财务数据的加密方式日趋多样化，财务数据安全性方面的论述与研究也在逐渐增多。笔者即从下述几个方面，探讨企业如何提升财务软件的数据安全性问题。  一、我国财务治理软件的数据安全现状  对会计数据产生不安全威胁的操作，主要集中在两个方面，一方面，删除会计信息的相关文件；另一方面，对数据库文件的内容进行修改。凡是实现了电算化的企业与单位，都会配套多种防范措施来保障自身会计信息的安全性，计算机开机都设有口令，未授权人员不得进入机房进行操作。目前我国无论是单用户或是XX络用户，其处理账务的系统一般与外部XX络是没有联系的（不包含银行系统）。因此，外部人员进入计算机系统，修改会计数据的可能性相对较小。企业尤其需要防范的是自身财务软件的内部操作人员，有可能对会计信息文件进行非法修改。  企业内部会计电算化的工作人员，有可能寻找到各种手段与方法，达到其非法转移资金、猎取商业机密、掩盖舞弊行为的目的。伴随工作人员计算机知识的不断累积，再参照各类软件的使用说明，对注册表进行修改已不是件困难的事，注册表里的dmin密码已经不再安全。这样一来，dmin与操作人员使用的密码就没有了作用，会计信息就更没有安全可言。计算机系统的治理员主要是对系统进行安全与维护工作，其主要内容包含操作人员设置、会计账套的引入与输出等。如果得到了dmin密码，就意味着能够对整个系统进行操纵，可以进行各种操作，后果不堪设想。  用友ERP-U8是我国用户量最多、应用面最广、行业实践经验最为丰富的ERP，但其数据信息的保密措施也不尽完善：用一个账套能够进行多个账套主管设置的缺陷，新增一个操作人员，设置账套主管的权限，利用该权限随时进行非法的操作；直接用原账套主管密码，用账套主管身份非法进行操作；利用某一操作人员密码，非法进行操作并陷害他人；猎取商业机密、删除数据、非法篡改等活动。非法操作完成后，再利用dmin身份清除有关的上机日志，就能够不留下任何痕迹。不难看出，我国企业财务软件的数据安全性存在着重大隐患。  二、财务软件在开发环节的防护措施与加密技术  （一）实施数据加密的思路和原则  与一般的数据治理软件相比较，财务软件的数据加密功能，还存在着方便使用与规范处理之间的矛盾。一是软件加密的操纵措施不可独立存在，要与企业财务的内部分工以及岗位牵制相结合，使得掌握部分操作权限的会计电算化人员，既能在顺畅的财务软件环境里开展工作，同时又能保障系统的操纵手段满足会计人员业务处理的习惯；二是考虑到全面审计与责任确认的方便性，应该尽可能让财务人员在利用软件操作数据更新、修改、冲销等过程中，留下能够推断其思路与动作的痕迹。由此，在编程的过程中，强化密码治理，完善分工权限的牵制职能等应遵循下列原则。  1.分级操纵法进行操作职能限定  利用程序的基本功能对软件操作的功能与规范进行限定，以此为一级操纵；系统治理员对系统参数以及一般操作员的治理权限进行设置与掌握，这是软件给予主管人员特别权限下的二级操纵措施；由各个操作员对自己的操作记录与操作权力进行加密保护措施，这是个人权责范围内的三级操纵。  2.对可控内容进行编程和操作的双重操纵  在设计程序的过程中建立起规范操作与功能范围的限定，是全部操作人员无法进行突破的，财务规范所确立的有关基本核算的各项制度，应该在编程的环节进行确认；对于日常管控和个性化操作规程，则应采纳设置与配置的方式，在软件运用的过程中，由系统治理员统一进行监控，从而达到规范操作的目的。  3.岗位权限的分配环境要适宜  操作员进行授权项目划分，应该与会计的职责分工相互对应，可控项目授权操纵要合理，对待权限项目的区分，既不可太粗，也不可过细。  （二）对操作日志及运用规范进行合理定位  操作日志即是对软件的操作事项、使用时间、使用人所做的记载，是对操作记录与运行任务进行查询与验证的有效手段。在使用操作日志的过程当中，应该重点注意以下三个问题：日志治理者的确定；日志所包含的内容；操作记录保留限期。就笔者看来，如果系统资源较充裕，操作日志可交由系统进行治理，这样使得软件的使用人对其中内容只能进行有限阅读，无法干涉其自动生成和删除，提升操作日志的客观性。鉴于在特别情况下，有可能对历史记录进行追溯，日志的保留限期可对比企业主要会议的档案保管限期来设定。  （三）运用好程序加密技术  想要提升数据的安全性，可以采纳程序代码的方式，在编程的环节对关键数据实施加密处理。加密后的数据不可直接读取，不具有