高校财务信息化面临的信息安全问题研究
2014-05-04丛磊
丛磊
【摘 要】 高校财务信息化是我国高校改革的重要组成部分,然而近几年却发展缓慢、缺乏创新。高校财务系统发展方向迷失的主要原因是一直以来在信息化过程中过于重视信息化的发展速度,忽视了信息化进程中所产生的诸多问题,尤其是信息安全问题。文章从当前我国高校财务信息安全问题入手,提出有助于财务信息安全建设的有效措施。
【关键词】 财务信息化; 信息安全; 安全控制
中图分类号:F232 文献标识码:A 文章编号:1004-5937(2014)11-0116-03
改革开放以来,我国高等教育取得了长足的发展,初步形成了符合中国特色社会主义的国民高等教育体系。为了满足国家建设、科技建设、国防建设以及西部建设的需要,我国的高等教育进入21世纪后,规模逐年扩大,教育体系进一步细化,已经形成多层次、多形式、精细学科门类的中国特色高等教育体系。伴随着高校招生以及高校学科精细化的形成,高校的财务管理体系也随之不断革新。如今,高校的教育模式和发展方式已经与传统的高校教育大相径庭,高校财务和会计的职能也随着高校的改革发生了重大变化。我国高校革新的时期,也正是计算机技术、电子通讯技术和网络技术迅猛发展的时期。外部发展和内在的需求,为高校财务管理的发展提供了契机,我国高校的财务管理模式,由最初的手工会计,过渡为计算机为基础的电算化管理模式,如今已经形成财务信息化的管理模式。然而高校财务信息化发展的迅猛势头,与相对仓促的财务风险控制措施,呈现出各种信息安全问题。本文通过对我国高校财务信息安全问题的分析,提出几点相应的解决措施。
一、高校财务信息化现状
如今,互联网已经进入了全新的时代,我国互联网以及无线网络的发展为我国信息化建设提供了重要的支撑,对我国教育信息化的发展也同样发挥着重要作用。高校财务管理的信息化正是依附在高校信息化网络的基础上取得了不断的发展和完善。目前,我国高校(排除军事院校)互联网的覆盖率接近100%,就各高校内部的网络情况来看,除特殊用途的计算机外,全部可以并已连接互联网络。
各高校会计电算化模式已经成熟,高校财务摆脱了传统的手工会计模式,形成了通用化的电算化管理,大大提升了财务管理的效率,已逐步由孤岛式的财务管理向财务信息化管理方面转变。
然而近年来高校财务信息化进程缓慢,缺乏创新。究其原因,主要是在高校财务信息化建设中出现了新的问题,而对这些问题缺乏深入了解,缺少有效的解决措施,主要表现为以下几个方面:首先,高校缺乏系统的、规范的、有不同权限访问控制的综合财务信息网站,进而缺乏网上业务处理的能力,这与财务信息化的精髓相偏离;其次,会计信息数据模式不规范,数据结构多种多样,导致会计信息的传递速度慢、可靠性差;最后,高校财务缺乏统一、齐全、详尽的实时财务信息资源管理体系,致使在Internet网上的访问效率低、安全性能差。
二、高校财务面临的信息安全问题
(一)财务软件不规范
目前,各高校的财务系统所采用的软件参差不齐,种类繁多,各软件供应商的技术能力高低不一,软件所采用的技术有很大差别,且软件功能严重缺乏规范性,成为阻碍高校财务信息化的重要因素。加之高校中普遍采用的财务软件大多升级维护缓慢,缺少规范的软件使用说明以及必要的软件管理培训,使得财务系统保密性和安全性很差。
就软件鉴权结构来看,目前的高校财务软件在用户权限划分上不够严格:对财务信息的查阅历史和财务数据修改历史的记录过于笼统,没有做严格的用户级的记录划分,当出现财务事故的时候不能通过查阅操作历史进行排查;对用户的财务录入信息和修改信息没有严格的审核过程。从金蝶公司和用友公司各领域的财务软件比较可以看出,高校所采用的软件供应商的技术完全有能力做到鉴权结构的严格划分,从而在很大程度上保障财务信息的审核。但是目前高校财务软件的结构相对商业领域的财务软件却存在如上所述的问题,其主要因素有两个方面:从高校财务管理的发展历史来看,高校的定位始终有别于商业机构,更偏向于事业单位的模式,从而在财务信息化的革新过程中,不可避免地存在由上至下单一管理监督的固有观念;另一方面,高校财务有别于商业领域的财务管理模式,特别是审核细则有很大不同,普遍存在“反记账”功能,软件允许客户记账后还能实现数据的修改,使得财务信息本身的真实性大打折扣。
(二)财务人员风险管理意识不足
就财务人员结构来看,高校的财务人员与公司财务人员有很大的不同。公司对于人员的聘用更注重员工的个人能力以及个人对公司自身发展理念的认可;而高校财务人员则更看重经验、教育背景以及政治素养。因此,相对而言高校财务人员对计算机和网络信息知识的认识比较缺乏,对新技术的适应相对吃力。高校财务人员在日常工作中,财务信息安全主要由网络管理员以及数据库管理员执行,就目前高校的管理员知识能力来看,其对财务信息的安全级别并不清晰,更关注的是财务系统的正常运行,容易忽略财务质量安全、财务信息的内部安全。
此外,高校财务人员对计算机的安全管理认识不清晰,普遍存在对病毒以及木马软件的危害性认识不足、重视不够,随意下载网络资料,在部门内部使用移动硬盘、优盘等情况。这样一方面可能造成财务系统感染病毒,另一方面也可能导致财务人员用户信息被盗取,且财务人员对用户信息的保护意识也不够。为了简化工作,存在一些财务流程本应该通过财务系统处理,却为方便私自口头交流传达任务,随意登录系统进行修改,极大影响了财务系统对财务操作的监控作用。
(三)财务档案备份机制缺乏
目前,高校财务信息日趋复杂,信息化程度越来越高,对财务档案的保存要求精确性越来越高。就高校而言,财务电子报表与相应的会计凭证的备案存在不一致情况。其主要的原因有:
首先,在财务信息化过程中,财务数据的流动性更为便捷,几乎所有的财务数据都可以直接通过网络进行传输,因此审核工作存在时间上和地域上的不一致性,使得一些政治素养不够的财务人员有做假账的可能,使得财务电子档案和凭证存在不一致。其次,财务电子数据的备份不够严格,各高校以及高校内部各部门对于电子数据的备份规则不一致,对不同年限的数据没有统一的备份规定,可能出现数据重复备份的情况,甚至出现同一报表不同时间段做了备份而其数据却不一致的情况。最后,财务数据的备份缺乏审核机制,一种情况是对财务数据质量有问题的部分未能审核就直接备份;另一种情况是对财务数据有所调整以及对会计账目有所更改或添加时,没能在备份档案里进行说明。
(四)财务网络监控与防护机制薄弱
在互联网络环境下,电子符号即是会计数据,电磁介质即是会计数据的传输媒介和保存方式,因此,在信息化下的财务数据,理论上能在任何时间任何地点被访问。对于高校财务数据而言,其网络防护意识还很薄弱。例如,不久前曾发生一起某高校学生通过黑客手段盗取另一高校的财务信息,获取学生的银行卡信息,并盗取了数万元资金的案件。该高校不仅没有及时发现财务信息被盗取,而且没能通过自己的财务监控系统跟踪到疑犯的行踪。这种形式的财务漏洞,在高校中并非个别现象。高校财务信息监控的薄弱和保护措施不足以及对整个大网络环境认识不够是主要原因。
三、高校财务信息安全控制的几点建议
(一)规范高校财务软件,提高财务软件的准入标准
高校财务软件参差不齐,各软件供应商的规范大相径庭,高校应当借鉴其他行业特别是我国其他事业单位和政府部门的信息化经验,规范财务软件的标准,提高财务软件的准入门槛,在统一的财务系统构架下实现各高校的个性优化。缺乏规范的标准难以有效地升级软件,难以有力地规范财务操作流程。
以中国电信为例,所有招标电信业务的IT供应商必须通过中国电信集团总部的规范认证,而目前国内的电信供应商不过几家,这不但有利于电信集团对各省市分公司的统一化管理和实施新的集团规范,也能有效地实现各省市的统一升级。诚然,高校经营有别于电信业的经营,但是他们的地理分布及其管理层级上有很多相似之处,规范化的准入标准是不断实践而被证明行之有效的信息化管理方式。
高校可以凭借其特有的组织能力,求同存异,建立统一的高校财务软件标准。对外,可提高对财务软件供应商的筹码,规范软件供应商的行为和软件质量;对内,能够优化财务管理,也有助于提高财务软件的升级速度,减少维护成本。
(二)提高财务人员的网络安全防范意识,健全操作规范
完善的财务系统是财务信息化的基础,但是仅仅通过优秀的财务系统并不能有效地提升财务信息安全,财务人员作为财务系统的操作者更为重要。
首先,应当提高财务人员的计算机安全意识,做到财务资料不随意存放;财务办公的计算机不随意上网下载资料;财务数据尽量通过邮件的形式传输,如特殊情况需要借助移动硬盘、优盘等工具,应携带使用部门提供或是网络管理员提供的移动工具。其次,做好财务软件和网络安全的培训工作,定期汇总财务信息安全情况,对经常出现的问题及时规范,制定相应的措施。最后,做好严格的操作规范。在信息化的财务环境中,财务人员的操作必须按照财务系统的流程处理日常事务;禁止口头传达财务任务,处理财务工作;建立严格的人员权限分配,避免不同等级、不同职位的人员交叉操作同一财务事务。
(三)精细化财务数据备份流程,建立专门的备份机制
无论是在财务领域,还是其他的商业领域,在信息化的大环境下,资源的备份和恢复都是信息管理最重要的部分,但国内各个领域对数据备份和恢复都不够重视,经常出现发生了安全事故而没有有效备份能够恢复数据的情况。对于高校的财务信息,完善财务数据的备份机制非常重要。
首先,精细化财务数据备份流程,明确财务人员的备份工作职责。财务人员应当重视日常财务数据的正确存储、及时汇总和定期销毁:通过规范的存储方式,保证数据备份的有效性;通过及时汇总,保证数据备份的及时性;通过定期销毁,避免数据备份重复。
其次,制定明确的备份规则,建立数据备份和恢复方案。高校财务数据的备份可靠性低,缺乏有效性,其主要原因在于一直以来不重视财务数据备份的重要性,缺乏完善的备份机制。因此,应当建立统一规范的备份流程和规则,避免各部门间以及部门内部备份规则不一致,使财务数据备份缺乏完整性,各部门的数据难以统一备份和管理。
最后,制定数据一致性监控方案。高校财务业务日趋复杂,业务量也越来越大,财务数据存在账目调整等数据修正的情况,或是出现账目类型合并增减等数据属性变更的情况,从而备份数据和生产数据的结构和数值可能有所不同。所以应当保证财务生产数据和备份数据的一致性。一是通过监控数据一致性,及时修正备份数据;二是在生产数据有变更时,及时备案,修正备份数据和生产数据间的转换逻辑;三是建立定期的数据备份质量审核。
(四)优化并重视网络监控和建立完善的防御措施
由于资金和其他硬件条件的局限,高校的财务网络监控不够严密,难以预防恶性的网络攻击。通过购买商业软件达到有效的监控防御成本太高,可利用高校财务信息的独特性建立一种“限制孤岛式”的内部控制结合外部接口的模式,以此增强高校内部的财务信息安全。限制孤岛—外部接口模式如图1所示。其特点是主要的财务信息和财务工作分布在孤岛互联网络里进行,而需要通过互联网公布或是传输的财务数据,定时与已经连接互联网的财务系统连接,并装载更新数据。
四、结束语
高校财务管理信息化是适应信息化时代发展的正确选择,但是新事物的产生,必然伴随着新矛盾的出现。在加快高校财务信息化的同时,应当时时警惕其产生的各种问题。高效的管理模式必须结合严谨的管理制度和管理措施,才能发挥信息化所带来的作用和优势,切忌盲目模仿和生搬硬套,应当根据高校自身财务工作的特点,来规划符合自身发展的信息化道路。
【参考文献】
[1] 孙伟.高校会计电算化内部控制探讨[J].Science&
Technology Information,2012(1).
[2] 郝剑凯.高校会计网络信息的风险与安全防范[J].山西煤炭管理干部学院学报,2011(11).
[3] 苏钰雅.基于价值链的高校会计信息化建设探讨[J].会计之友,2012(4).
[4] 吴沁红.第九届全国会计信息化年会综述[J].会计研究,2010(7).