[摘要]实施网络财务给企业带来利益的同时也给企业内部控制带来新问题。建立适应互联网环境的内部控制,其措施应基于企业的内部网络和外部网络两大方面来进行。
随着网络财务的逐步实施,企业会计核算与会计管理的环境发生了很大变化,传统会计系统的内部控制机制和手段已不适应于网络环境,从而建立适合于网络环境下的内部控制体系是目前企业急需解决的问题。为建立和加强网络财务系统的内部控制,首先必须要弄清网络财务为企业的内部控制带来的新问题与新要求。
一、网络财务时代企业内部控制面临的新问题
(一)网络财务的应用扩大了企业会计核算范围企业实施网络财务以后,会计核算环境发生了很大的变化。第一,会计部门的组成人员结构发生变化,由原来的财务、会计人员转变为由财务、会计人员和计算机操作员、网络系统维护员、网络系统管理员等组成。第二,会计业务处理范围变大,除完成基本的会计业务外,网络财务同时还集成许多管理以及财务的相关功能,诸如网上支付、网上催账、网上报税、网上报关、网上法规及财务信息查询,以及网上询价、网上采购、网上销售、网上服务、网上银行、网上理财、网上保险、网上证券投资和网上外汇买卖等等。第三,网络财务提供在线办公等服务,从而使会计信息的网上实时处理成为可能,原来由几个部门按预定步骤完成的业务事项可集中在一个部门甚至一个人完成。因此,要保证企业会计系统对企业经济活动反映的正确可靠,达到企业内部控制目标,企业内部控制制度的范围和控制方法较原来系统将更加广泛和复杂。
(二)网络财务使会计信息储存方式和媒介发生变化
网络财务的应用使各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介发生变化。原始凭证在网络业务交易时自动产生并存入计算机,不再存在传统的原始凭证。会计电算化的第一阶段促进了介质的改变,从账本到磁盘文件。网络财务使会计介质继续发生变化,不仅账表,更多的介质将电子化,出现各种电子单据(如各种发票、结算单据)。存贮形式主要以网络页面数据存贮。发生业务交易时系统不一定打印原始记录;网页数据只能在计算机及相应的程序中阅读;原来在核算过程中进行的各种必要的核对、审核等工作大部分由计算机自动完成。因此,网络环境下会计内部控制的重点由对人的控制为主转变为对人、计算机和互联网的控制。
(三)网络财务使企业面临的安全风险加大
网络财务的应用将原来封闭的局域会计系统面临开放的互联网世界,给财务系统的安全提出了严重的挑战。第一,在网络环境下,过去以计算机机房为中心的“保险箱”式安全措施已不适用,大量的会计信息通过开放的internet传递,途经若干国家与地区,置身于开放的网络中,存在被截取、篡改、泄漏机密等安全风险,很难保证其真实性与完整性。第二,由于互联网的开放特性,给一些非善意访问者以可乘之机。目前黑客肆虐,世界上的各类网站每天都受到成千上万次攻击,网络财务系统无疑也面临巨大的安全风险。第三,计算机病毒的猖撅也为互联网系统带来更大的风险。在互联网中,计算机病毒可以通过E-mail或用户下载文件进行传播,其传播速度是单机的20倍。有效地防治计算机病毒对保障网络财务系统的安全性至关重要。因此,网络财务系统的内部控制不仅难度大、复杂,而且还要有各种控制的先进技术手段。
二、网络财务内部控制措施
(一)基于企业内部网(intranet)的控制措施
1.会计信息资源控制。会计信息来源于网络服务器的数据库系统中,所以网络数据库系统是整个网络财务系统控制的重点目标。威胁数据库系统的安全主要有两个方面:一是网络系统内外人员对数据库的非授权访问;二是系统故障、误操作或人为破坏数据库造成的物理损坏。针对上述威胁,会计信息资源控制应采取以下措施:(1)采用三层式客户机/服务器模式组建企业内部网,即利用中间服务器隔离客户与数据库服务器的联系,实现数据的一致性;(2)采用较为成熟的大型网络数据库产品并合理定义应用子模式。子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集,通过它可以分别定义面向用户操作的用户界面,做到特定数据面向特定用户开放;(3)建立会计信息资源授权表制度;(4)采取有效的网络数据备份、恢复及灾难补救计划。
2.系统开发控制。它是一种预防性控制,目的是确保网络财务系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关机关和部门制订的标准和规范。(1)在网络财务系统开发之初,要进行详细的可行性研究;(2)在系统开发过程中,内审和风险管理人员要参与系统控制功能的研究与设计,制订有效的内部控制方案并在系统中实施;(3)在系统测试运行阶段,要加强管理与监督,严格按照《商品化会计核算软件评审规则》等各种标准进行;(4)系统运行前对有关人员进行培训,不仅培训系统的操作,还要使受训人员了解系统投入运行后新的内部控制制度和网络财务提供的高质量会计信息的进一步分析与利用等;(5)及时做好新旧系统转换。企业应在系统转换之际采取有效的控制手段,做好各项转换的准备工作,如旧系统的结算、汇总,人员的重新配置,新系统初始数据的安全导入等。
3.系统应用控制。是指具体的应用系统中用来预防、检测和更正错误,以及防止不法行为的内部控制措施。(1)在输入控制中,要求输入的数据应经过必要的授权,并经有关内部控制部门检查,还要采用各种技术手段对输入数据的准确性进行校验,如总数据控制校验、平衡校验、数据类型校验、二次录入校验等;(2)在处理控制中,对数据进行有效性控制和文件控制。有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等。文件控制包括检查文件长度、标识和是否染毒等;(3)在输出控制中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息;二要确保输出结果能够送发到合法的输出对象,文件传输安全正确。
4.系统维护控制。系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善。对网络财务系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都应设置必要的控制,维护的原因和性质必须有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,网络财务系统操作员不能参与软件的修改,所有与系统维护有关的记录都应打印后存档。
5.管理控制。是指企业为加强和完善对网络财务系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由于网络财务系统是一种分布式处理结构,计算机网络分布于企业各业务部门,实现财务与业务协同处理,因此原来集中处理模式下的行政控制转变为间接业务控制。主要应做好如下几方面的工作:(1)设置适应于网络下作业的组织机构并设置相应的工作站点;(2)合理建立上机管理制度,包括轮流值班制度、上机记录制度、完善的操作手册和上机时间安排并保存完备的操作日志文件等;(3)建立完备的设备管理制度,对硬件设备所处的环境进行温度、湿度、防静电控制,做好网络的绝缘、接地和屏蔽工作,同时对人文环境进行控制,防止无关人员上机操作;(4)建立完备的内审制度。
(二)基于企业外部网(extranet)的控制措施
1.周界控制。是指通过安全区域的周界实施控制来达到保护区域内部系统安全的目的。它是预防外来攻击措施的基础,主要内容包括:(1)设置外部访问区域,明确企业内部网络的边界,防止“黑客”通过电话网络进入系统;(2)建立防火墙(firewall),在内部网和外部网之间的界面上构造保护屏障,防止非法入侵、非法使用系统资源,执行安全管理措施,记录所有可疑事件。
2.大众访问控制。大众访问包括文件传递、电子邮件、网上会计信息查询等。由于互联网络系统是一个全方位开放的系统,对社会大众的网上行为实际上是不可控的,因此,企业应在网络财务系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有:(1)在网络财务系统中设置多重口令,对用户的登录名和口令的合法性进行检查;(2)合理设置网络资源的属主、属性和访问权限。资源的属主体现不同用户对资源的从属关系,如建立者、修改者等;资源的属性表示资源本身的存取特性,如读、写或执行等;访问权限体现用户对网络资源的可用程度;(3)对网络进行实时监视,找出并解决网络上的安全问题,如定位网络故障点、捉住非法入侵者、控制网络访问范围等;(4)审计与跟踪,包括对网络资源的使用、网络故障、系统记账等方面的记录和分析。
3.电子商务控制。网络财务是电子商务的基石,是电子商务的重要组成部分,因此,对电子商务活动也必须进行管理与控制。主要措施有:(1)建立与关联方的电子商务联系模式;(2)建立网上交易活动的授权、确认制度,以及相应的电子会计文件的接收、签发验证制度;(3)建立交易日志的记录与审计制度。
4.远程处理控制。网络财务系统的应用为跨国企业、集团企业实现远程报表、远程报账、远程查账、远程审计以及财务远程监控等远程处理功能创造了条件。这些功能的启用必须采取相应的控制措施,主要有:(1)合理设计网络财务系统各分支系统的安全模式并实施;(2)进行远程处理规程控制。
5.数据通讯控制。数据通讯控制是企业为了防止数据在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施。企业应采取各种有效手段来保护数据在传输过程中准确、安全、可靠。主要措施有:(1)保证良好的物理安全,在埋设地下电缆的位置设立标牌加以防范,尽量采用结构化布线来安装网络;(2)采用虚拟专用网(VPN)线路传输数据;(3)对传输的数据进行加密与数字签名。在系统的客户端和服务器之间传输的所有数据都进行两层加密保证数据的安全性,使用数字签名确保传输数据的保密性和完整性。
6.防病毒控制。在系统的运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施。可以采用如下控制措施:(1)对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;(2)采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;(3)在网络服务上采用防病毒卡或芯片等硬件,能有效防治病毒;(4)财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;(5)对外来软件和传输的数据必须经过病毒检查,在业务系统严禁使用游戏软件;(6)及时升级本系统的防病毒产品。
关键词:新经济体制;电力安全;管理方法;探讨
Abstract:WiththedevelopmentofChina'seconomicconstructioninthebackgroundtocontinuouslypushforwardthereformofmarketeconomy,thetraditionalconceptofsafetymanagementinChina'spowerbytheimpact,especiallyundertheneweconomicsystem,theelectricpowerindustryintheconstantpowernetworkcommunicationtechnologypopularity,thisbroughtnewproblems,newchallengestotheelectricitysafetymanagementofChina'spowerundertheneweconomicsystemsecuritymanagementmethodstoensurethesecurityandstabilityoftheelectricalenergysupplyofChina'srapideconomicgrowthhasimportanttheoreticalvalueandpracticalsignificance.
Keywords:neweconomicsystem;electricalsafety;managementmethods;explore
中图分类号:TU714文献标识码:A文章编号:
在新经济体制下,我国电力行业的安全发展成为了值得研究的重要课题,众所周知,经济的发展离不开能源的支持,而电力能源是一种重要的能源,电力行业能否快速健康发展对我国经济的平稳发展具有重要作用,电力行业在国名经济体系中扮演着非常重要的角色。随着我国从计划经济体制向市场经济的新体制的转变,电力行业的安全管理面临着更复杂的挑战。传统的观点认为电力企业在制定安全管理措施时多数情况将重点放在生产操作方面,但是在新经济体制下,对电力安全管理的内容不断的丰富,要实现电力安全管理的优化升级,要从传统的电力安全管理经验中解放出来,随着电力网络通信技术的发展,确保电力通信网的安全管理则已经成为电力安全的重要着力点。本文探讨了在新经济体制下,如何确保以电力通信网络管理的安全,并进一步分析新经济体制下电力安全管理的相关问题。
一、加强电力网络安全规划
在经济体制下,要保实电力安全管理必须要重视对电力安全管理的规划,而电力安全管理最重要的部分是实现电力通信网络安全的管理规划,在对电力通信网络安全管理规划时,要充分考虑到电力设备与通信网络构建的协调,并且在有效协调的基础上结合当地的具体情况做好规划。要保证电力通信网络在安全、科学、有效的环境下发挥最大的优势和潜能。进而实现电力企业的持续性发展。从电力企业安全管理的实践经验看,在进行电力通信网络规划时应该坚持以下原则:
1、系统化原则。电力通信网络系统化原则就是实现网管系统的网络化。信息化时代的到来使得互联组成网管网络成为一大发展趋势,在电力通信网管中重视异构网互联概念,要保证不同的电力系统可以进行有效的整合。要在规划时充分考虑到未来电力企业的发展的放向,这对电力企业实现科学规划,安全管理具有十分重要的意义。
2、兼容性原则。一般来说,我国电力通信网具有网络层次多、设备遍布广、智能化不足等特点,因此要实现整个网管系统运行势必会消耗大量的资源。这客观上就需要电力企业采取一种综合接入能力强、成本低的网管系统运用于电力通信网,实现各个通信设备的集中转换和整个系统的扩展兼容。
3、时效性原则。对任何新技术、新系统都要加强学习与研究,要时刻关注相关领域的最新动态。重视对TMN的体系结构研究与运用。TMN体系结构的设置主要是为了达到通信网多厂商、多协议、多环境等方面的要求,以保证电力通信网长久运行。TMN涉及到的结构有功能、信息、物理等。随着电力技术的不断进步,TMN体系结构得到了更为广阔的运用。
4、应用接口的开放性,应用接口的开放性原则要求我们要维护良好的应用功能,网管系统不仅要具备用户需要的能力,还应该在网管系统的应用功能接口中体现出开放性,积极采取全新的应用功能、用户界面才是用户们的最大需求。兼容网管系统标准。兼容网管系统能够在维持TMN过程中,和其它相关的网络管理系统共同运行,这在电力通信网管系统中是很有效的方法。而在简单网路管理协议(SNMP)中形成的网络管理主要是为了保证网络管理系统得到充分发挥。
二、加强制度管理,强化安全责任
要保证电力信息网的安全,就必须要从多角度对可能出现的情况制定完善的应急案,要做好以下各个方面的工作,一方面要采取措施预防安全问题的发生,另一方面结合实际情况做好管理工作。可以通过以下来实现电力通信网络的优化升级。
1、重视密码保护。密码是电力通信网络的重要管理对象,在电力网络安全中有着很好的保护作用。若密码丢失后要想找回则难以恢复。管理时应避免默认密码、出厂密码、无密码,并定期更新密码,以防止密码被盗。运用技术方面。学会科学的安全防护技术则是最为有效的维护措施,当前制定的网络安全技术主要包括了防火墙、物理隔离设备、入侵检测设备、路由器等等,这就需要操作人员能熟悉各种安全防护技术。
2、加强人员管理。安全管理的重点是通信网络的安全操作,要定期对电力信息网管理人员组织培训,提高其工作的专业化水平,增强其工作责任心,避免网路机密被泄露出去,尤其是要防止人员调离状态下的网络机密泄露问题。
3、加强数据维护。设置密码、数据备份是数据管理重要内容。为了防止信息被盗必须设置密码,防止数据丢失或网络瘫痪后出现信息丢失等安全问题必须加强管理、重要信息的数据备份,提高信息管理效率是电力安全的策略之一。
4、强化具体责任,要将具体责任落实到个人,只有这样才能保证电力安全措施执行到位,对关键岗位重要领导要实行责任制,将岗位具体责任落实到具体领导、具体岗位、将各项指标不断量化。做到有责必究,有人可究。
提高技术水平,制定安全措施
电力通信网络出现异常安全问题将会导致整体系统瘫痪,很多实际功能难以发挥作用。为了保证电力系统的安全运行,则需要采取针对性的安全维护措施,以提高电力通信网在运行过程中的安全性。当前采取最多的安全维护技术包括了网络防火墙、入侵检测系统、网络防病毒、数据加密、数据备份等等。
1、入侵检测报警。运用先进的通信技术建立起分布式入侵检测构架,能够实现持续性、科学性、有效性的监控,为电力通信技术的安全性提供有效的保障。并针对电力通信网的实际情况,合理划分界定责任人、责任时间,这样可以帮助信息网管理者制定科学的管理措施。
2、强化数据加密。该项安全技术主要经过文件加密、信息摘要、访问控制等一系列措施来保证文件存储、传输保密、信息完整等方面的作用。在制定通信安全时应该使用数据加密、信息摘要、数字认证等措施,这样能够确保电力通信网中的相关信息有效运行。
3、完善防火墙。防火墙作为企业局域网至外网仅有的通道,很多外来访问都必须经过防火墙的检测才允许通过,没有任何连接能够避开防火墙。在电力信息网中设置企业对外提供服务的服务器,不仅能够确保服务系统的正常运行,还能避免电力通信网的服务器遭到外来侵略。
4、重视病毒预防。病毒袭击一直以来都是电力信息网中极为常见的问题,避免信息网遭到网络破坏是维持网络系统中信息安全的重要保证。这就需要在信息网中积极建立主机到服务器的科学防病毒体系。把服务器当做网络的重点,对整个网络实施查、杀毒措施。
四、推进立法进程,实现依法管理
法律法规建设是我国社会主义市场经济发展的重要保证,在全面的法律准则保护下电力企业的通信网络安全管理才能“有法可依,有法可循”。立法机构应根据当前网络化需要制定针对性的法律体系,保证电力网络畅通无阻。
1、规范安全法律体系。社会主义新经济体制的建立意味着各个方面的改革调整,立法机构需要依据新环境下电力企业的发展要求,建立一个新型的法律体系来匹配电力管理的需要,以此保证电力企业在市场经济背景下有序运营。
2、深入内容调查。法律建设工作不能局限于制度的建立,在电力企业日常经营中,法律部门应定期安排人员到企业内部调查管理,对于潜在的网络安全给予及时纠正,并引导企业采取正确的维护措施,防止出现私自改动网络的行为。
3、加强安全法律宣传。网络信息化的进步使得很多网络面临着诸多安全问题,系统侵略、黑客袭击、恶意病毒等都会给电力通信网带来很大的破坏。法律部门应该做好宣传工作,提高社会公民的法律意识,减少通信网络的犯罪率。
在新经济体制下,电力安全管理的核心在于建立安全的电力通信网络,能否保证电力通信网络安全将极大的影响了整个电力系统性能的发挥。电力企业在新经济体制下要加强对电力通信网络系统的维护,加强监管,重视预防,推进我国电力企业安全健康发展。
关键词:企业网络安全数据安全网络病毒防护
一、网络安全
现代经济的发展,网络的运用已经遍布世界各地。保证网络安全,也就是保证网络硬件软件和数据在除自然、人为因素破坏之外受到应有的保护,,保证其不被破坏、恶意泄露等,保密、完整和可用时网络安全的三大指标。现如今,垃圾信息,的大量产生严重减缓网络速度,影响这个系统的运行。连续的操作能力对于一个网络系统来说是至关重要的。保证一个完整的程序完整的运行,不仅是服务器还是数据终端都要产生必须的可持续服务的。再者,网络的安全也受场地环境、电源等条件的影响和制约。技术上的不足,其实是影响网络安全最主要的因素,其次还有配置不高、人为错误和政策错误等都有可能对网络安全造成威胁。网络的安全就是要达到网络不被恶意修改、恶意泄露个人用户信息。不管是内部的还是外部的网络的安全都要能够有效的防治攻击,这其中就包括保护网络数据库的安全,有效制止网络病毒对于网络的侵犯。
二、企业网络安全防护措施
虽然现在有相当一部分企业通过使用内网企图阻断互联网对于企业网络安全的威胁,但是这样在一些方面也制约着企业的发展,网络的运用对于一个企业来说是无法避免的,使企业陷入尴尬境地。企业对于网络的监管以及采取必要的网络安全措施是必不可少的。
1.企业网络数据库安全防护
作为储存信息的重要场所-数据库,担负着管理整理和保护这一系列责任重大的任务。新生事物与问题一直以来都是并存的,数据库的产生与数据库安全问题也是并存的,并且随着数据库技术不断发展问题不断加深。当前,邮箱用户密码泄露等各种泄密门的频繁发生,已经为企业网络数据库安全敲响警钟。对于数据库的安全防护我们可以从以下几方面入手。
对于特殊的访问模式对象,数据库应该允许用户在莎草操作的对象上特殊动作模式。简单而言,就是数据库应该允许一些特殊对象层上的访问和使用数据库机制。比如说在对一个数据库进行访问的时候,部分用户仅仅只能操作INSERT、SELECT的语句程序,像DELETE这样的语句在这里将不被允许使用。对于用户也可以分门别类的进行安全管理策略。对于普通用户,管理员应该在涉及所有用户的权限管理方面加强考虑改善,要么就是用角色来管理控制用户可用权限,要么就只允许少部分用户使用数据库,明确用户权限,不适用角色。一般来说,对于用户身份的确认,最简单也是最直接的办法就是用户自行设置密码,同这样的方式与数据库进行连接。一个数据库有大量的用户使用的时候,管理员应该将用户分成若干用户组来管理,并且创建各个用户组的角色。管理员给予一个角色所应有的权限,这样也就把这些权限赋予了这些用户。这使得管理更加条理明晰化。当然也有特殊例外情况,对于一些特殊权限,管理员必须明确权限到每一个用户层面上。对于一个大的数据库,应该根据实际情况把管理员也分成几个类型的,根据管理权限把管理员分割成几个管理角色。对于操作系统的安全,管理员应该具备管理操作系统的权限,这样做是便于创建和删除一些文件,保护数据库环境良好。而一般的数据库用户不能拥有操作系统的权限,这便于保证数据库必要的安全和其他用户信息的保密性能。
还可以对数据库进行加密。目前大型数据库平台一般都是WindowsNT/2000等,其对应的安全等级基本都在C1\C2级别。虽然这些数据库在网络安全方面增加不少措施,但是在操作系统和数据库管理系统对数据库文件本身的防护措施仍然不足。网上黑客往往绕开这些防护措施直接通过对操作系统的工具的运行篡改数据库文件内部的内容。针对这一漏洞,一般采取的是B2级别的安全技术防护措施,增加对数据库中的敏感数据的加密处理,达到阻塞这一黑客攻击行为。算法在适应数据库系统特点的前提下,对于加密和解密的速度要达到一定程度,通过加密算法对数据库加密核心。把计算机硬盘的数据进行备份和回复,就会有效的防止因为数据库的损坏或泄漏而带来的经济损失。一般来说,可以通过磁带备份、硬盘备份和网络备份三种方式来进行数据的备份。保存这些备份资料的物质要存储在异地,并且保存介质要防火、防潮、防水和防磁。并且还要定期清洁备份设备,安装报警设备,隔期检查。除此之外,企业还应该制定完备的数据备份策略,一般情况下,完全备份、增量备份和差分备份这三种备份策略结合使用。
2.企业网络病毒的防范
网络的运行使得各种网络病毒滋生,企业在加强用户遵守和加强安全操作控制措施的前提下还应该加强安全操作,灵活运用硬件和软件病毒工具,利用网络优势,把病毒纳入到网络安全体系之中,形成一套完整的安全机制,使病毒得到有效的控制,不会在企业网络中传播。在思想和制度方面,应该加强员工制度管理,打击盗版,建立健全网络安全管理制度。在技术方面,采取采取纵深防御方法,运用多种阻塞渠道和安全机制对病毒进行防范。对于病毒的防范最根本的是操作系统的安全,开发并完善高性能安全的操作系统,全面升级操作系统,提高操作系统的安全性能,能有效提高对网络病毒入侵的防范。还可以通过软件过滤对病毒予以识别,隔离病毒,对于已经存在在系统内部的病毒,一般而言会采用系统参数分析之后,识别系统的不正常和恶意改变。在数据库后台建立一个严密的病毒监视系统,可以大大提高病毒入侵的防止工作力度和效率。对于一些需要下载的、有附件的的文件,系统可以对其进行实时扫描,存在异常则隔离处理,及时更新病毒库,集中处理病毒,便于管理。在网络出口处进行访问控制,可以在出口处安装防火器或者路由器,这样也可以有效的防止内部网络中感染网络病毒。只有建立一个有层次的、立体的、系统的防反病毒体系,才能有效地制止病毒在网络内的蔓延和传播。
参考文献
[1]陈雪,企业网络安全防护技术措施[D],四川信息职业技术学院,2011.1
[2]何毅,企业网络安全的防护,如何能经济有效,2011.4
[3]李燕子,构建企业网络安全方案[J],企业网络安全,2009.9
