新时代企业财会数据安全防护对策分析
2023-11-04王文松戴晓峰孙耀敏高晓虎高东岳
王文松 戴晓峰 孙耀敏 高晓虎 高东岳
(航天科工财务有限责任公司)
一、前言
在数字经济时代,“上云用数赋智”已成为引领经济发展的新动力。基于智能化技术对财会工作进行的模仿和创新,智能化财务系统应运而生。这不仅打破了会计数据信息孤岛模式,还节省了财务工作成本,甚至还在一定程度上增强了合规能力。但是,其弊端也在逐渐暴露出来,例如财会数据泄露、篡改、非法控制等。这对财会数据信息的使用、存储和传输等带来了更严峻的安全风险。因此,研究企业财会数据安全的防护措施是十分必要的。基于以上背景,在财会数据的全生命周期中,通过安全技术手段以及安全管理手段,可以防止数据泄露、篡改、损坏、丢失,以保证财务共享信息的真实性、完整性,从而提升企业智能财务系统的安全管理能力。
二、财会数据特点分析
(一)数据生成
在数据生成过程中,财会数据具有广泛的数据源和数据类型辅助的特点。广泛的数据源包括页面录入和基于网络集成两种模式。页面录入:是在用户客户端下载的数据;基于网络集成:是指从内网和外网集成的数据。财会数据类型包括结构化数据和非结构化数据两种类型。结构化数据是指企业ERP、财务系统、医疗HIS 数据库等这类关系型数据;非结构化数据是指文本、日志和图片等。为了确保数据的完整性和准确性,在数据的录入和集成过程中,身份鉴别和认证、病毒防护和检测、数据加密和数据签名成为了必不可少的步骤。
(二)数据存储
数据存储过程中,重要的财会数据通常需要经过加密存储,甚至相关的关键敏感数据需要进行动态加密。为了进一步确保财务存储数据的安全性和完整性,需要在使用财会存储数据前对数据进行动态加密验证。在数据的加密过程中,加密技术需要符合相关法律和企业的加密要求,这样才能在较大程度上规避潜在的风险。
(三)数据传输
在财会数据传输过程中,为了有效避免黑客的恶意网络攻击,通常采用身份认证、权限管理最小化、防火墙和多重加密技术等方法。数据加密包括对称加密和非对称加密两种方式,其加密复杂度由数据传输效率而定。为了确保数据的真实性和不可抵赖性,在财会数据的传输过程中,数字签名成为了流行的方法。在使用数字签名过程中,必须要确保私钥的机密性,防止黑客伪造密钥持有者的签名,这就要求数字签名的密钥必须要和加密的私钥进行区分。针对数据加密算法和密钥长度的选择问题,需要根据数据的分级和敏感性来确定。
(四)数据备份及恢复
为了降低人为因素和自然灾害等造成的损失,财会数据备份操作成为了其必不可少的解决方法。在智能财务系统受到破坏时,可以迅速恢复数据结构和数据内容。同时还需要根据相应的备份和恢复方案,对财会数据进行定期的备份。为了防止重要财会数据、敏感财会数据丢失,可以采用集群技术进行系统整体冗余和容错。
三、财会数据安全存在的问题分析
(一)财会从业人员安全意识薄弱
目前,在财会数据安全建设体系过程中,大多数企业仍然处于起步阶段。随着信息化技术的创新发展,财会应用软件种类繁多。然而,大部分企业只关注软件功能的实现,忽视了软件本身的安全性。所以,企业在安全风险体系建设过程中,企业管理者只局限于软件和硬件设备的使用方面,往往忽略了应用软件开发层面问题。在安全风险体系建设中,通常需要投入大量的成本。因此,许多企业管理者难免有抵触和侥幸心理,使得企业财会数据安全体系建设工作未能得到充分支持,从而导致无法跟进新时代发展需要,致使企业难以预见潜在的安全风险。与此同时,许多企业管理者缺乏安全管理经验。尽管企业领导或者是安全部门负责人制定了相应的安全管理制度和条例,但安全策略和管理制度覆盖面不全或者落实不到位。例如,缺乏明确的条文来对用户使用权限、用户口令设置复杂度等进行约束、未能对软件系统进行日常维护检查出系统老化问题、缺乏明确制度规范来进行追责工作等。然而,财会部门员工素质水平参差不齐,部分员工可能会恶意盗取财会数据、非法篡改财会数据等。这不仅无法保证财会数据信息的完整性和准确性,还会给企业带来无法预估的安全风险。
(二)数据安全问题
在大数据时代,企业财会工作紧跟新时代的趋势,积极向云转型。因此,在财会数据信息管理过程中,对云平台运行效果的要求相对较高。为了保证财会数据的机密性,数据信息安全管理工作成为了企业安全体系建设工作中必不可少的一部分。就目前企业现状而言,企业面临的财会数据安全问题主要分为以下三类。
1.网络攻击。在新时代,数据就是时代的沟通语言。所以,信息量大内容丰富的数据往往具有较高的价值。由于企业财会数据包含的信息种类多和信息量大,因此,不法分子为了谋取利益,经常会对企业的财会数据进行网络攻击。目前,网络攻击的方法包括黑客攻击、嗅探攻击、暴力攻击、病毒攻击和其他入侵攻击。
2.数据信息泄露。随着社会的不断发展和进步,互联网的使用不仅拓宽了信息获取渠道,还在某种程度上加快了信息的传播速度。通常,为了挖掘出更深层次的语义信息,企业会阶段性地对所有财会数据进行统一的自动化存储。如果相关的安全管理工作不完善,将会使信息泄露的风险加大。
3.数据信息流动量大。由于技术的变革和业务的驱动,大部分信息化系统向云转型。因此,云平台成为了企业财会存储数据的热门媒介。所以,许多企业热衷于采用云端的方式存储和传输数据信息。在数据安全的整个生命周期中,都会出现数据流动的现象。特别是在数据传输和存储的过程中,存在大量的数据流动现象。如果企业内部网络不畅通和不安全,就可能出现数据传输延迟或者网络堵塞的现象。这将会造成数据被截留、篡改或者窃取的严重后果。
(三)缺少复合型人才
随着财会数据信息化的普及,国家和企业对财会从业人员的综合素质要求也相应地提高。为了应对各种财会数据信息化过程中的问题,财会从业人员不仅需要掌握会计专业知识,还需要对数据安全风险防护和计算机使用方面的知识有一定的了解。但就实际情况而言,大部分财会从业者仍然局限于对会计专业知识较为熟悉,对计算机使用和数据安全风险防护方法的知识了解较少。这样不仅会使财会数据信息化体系落地实施难,还会阻碍相关的数据安全问题的及时解决,甚至会暴露大量的财会数据信息。
四、数据安全防护措施
(一)健全财会数据信息化管理制度和规范
为了有效规避财会数据安全风险,建立一套标准化的数据安全管理制度和规范是十分必要的。一套标准化的安全管理制度和规范主要包括团队建设、管理制度、管理方法。团队建设方面主要内容包括财会数据安全组织架构建立,职责分配、动态协作等;管理制度方面的主要内容包括明确数据安全的方针和总纲、建立数据安全管理规范、数据安全操作指南、数据分类分级标准、数据安全编码指南等;管理方法方面主要包括定期考核激发员工积极性、行为日志记录问责违规人员、实行职责分离实现访问控制最小化等。这不仅将巨大的财会数据业务划分为不同阶段和场景,也有助于满足合规的要求,从而多角度、全方位地对财会数据进行分级防护。
(二)加强网络安全防御机制
新时期,大数据技术的应用加速了财会工作的转型和创新,但财会数据的采集、传输和应用仍然离不开互联网的支撑。为了避免企业财务数据的丢失和损坏,构建财务数据安全风险防护工作势在必行。提高网络安全防御机制的性能,基于分级分类的保护方法是十分必要的。在网络入侵防御方面,需要定期组织大规模的系统安全检测和软件更新、病毒查杀,以及增设隔离区防火墙等;在身份认证方面,之前的单因子认证的方式已经不在绝对安全,如虹膜辅助登录、指纹识别、原始密码输入、人脸识别等,现阶段需要建立双因子认证机制;在加密机制建设方面,需要借助先进的加密技术来对财会数据进行多重加密或者加密无漏项。
(三)培养复合型人才
在企业内部财会信息化系统建设过程中,“人”和信息系统成为了其重要组成部分。与信息系统相比较而言,“人”是主观可控的因素。因此,“人”成为了财会数据安全体系建设的基石。所以,培养复合型人才是大势所趋。为了有效地解决信息化体系建设过程中的各种问题,企业不仅需要提高财会人员专业知识水平,还需要根据财会数据安全防护风险和信息系统操作的需求对相关人员进行定期的专业技能培训。企业可以聘请相关的安全专家、大数据专家和技术专家担任讲师,为财会从业人员讲解安全管理经验和技巧、普及各类应用软件的操作方法、传播先进的安全防护理念等;还可以从外部引进兼具财会理论知识和安全防护技术的人才。这不仅可以丰富人才队伍建设工作,还有助于营造良好的安全文化氛围,从而潜移默化的提高整体财会从业人员素养和调动员工积极性。随着业务升级和技术的革新,信息系统管理人员的综合技术水平也愈发重要。为了创新和优化企业安全信息化管理体系,企业不仅需要对信息系统管理人员培训专业知识,还需要将其财会业务知识进行补齐。只有这样,企业才能够充分发挥复合型人才的作用。通过转变员工工作观念,充分发挥大数据可视化优势来实现管理模式的创新,以及指导企业其他业务的开展。
五、结语
信息时代,无论从技术革新还是业务驱动的角度,财会工作的改革和创新成为了企业发展的必由之路。尽管互联网技术的使用为财会从业人员提供了便利,但相关的财会数据安全风险和挑战也随之而来,如黑客攻击、数据泄露等。为了确保财会数据的安全,财会企业应增强安全防护意识,积极响应相关政策和法律,尽快完善健全相应的数据安全防护机制。同时,还应该注重营造良好的安全文化氛围,培养适应新时代发展的复合型人才。只有这样,企业才能够及时识别财会数据安全风险,做好及时规避和解决工作。