新時代企業(yè)財會數據安全防護對策分析

王文松 戴曉峰 孫耀敏 高曉虎 高東岳

（航天科工財務有限責任公司）

一、前言

在數字經濟時代，“上云用數賦智”已成為引領經濟發(fā)展的新動力?；谥悄芑夹g對財會工作進行的模仿和創(chuàng)新，智能化財務系統(tǒng)應運而生。這不僅打破了會計數據信息孤島模式，還節(jié)省了財務工作成本，甚至還在一定程度上增強了合規(guī)能力。但是，其弊端也在逐漸暴露出來，例如財會數據泄露、篡改、非法控制等。這對財會數據信息的使用、存儲和傳輸等帶來了更嚴峻的安全風險。因此，研究企業(yè)財會數據安全的防護措施是十分必要的?；谝陨媳尘?，在財會數據的全生命周期中，通過安全技術手段以及安全管理手段，可以防止數據泄露、篡改、損壞、丟失，以保證財務共享信息的真實性、完整性，從而提升企業(yè)智能財務系統(tǒng)的安全管理能力。

二、財會數據特點分析

（一）數據生成

在數據生成過程中，財會數據具有廣泛的數據源和數據類型輔助的特點。廣泛的數據源包括頁面錄入和基于網絡集成兩種模式。頁面錄入：是在用戶客戶端下載的數據；基于網絡集成：是指從內網和外網集成的數據。財會數據類型包括結構化數據和非結構化數據兩種類型。結構化數據是指企業(yè)ERP、財務系統(tǒng)、醫(yī)療HIS 數據庫等這類關系型數據；非結構化數據是指文本、日志和圖片等。為了確保數據的完整性和準確性，在數據的錄入和集成過程中，身份鑒別和認證、病毒防護和檢測、數據加密和數據簽名成為了必不可少的步驟。

（二）數據存儲

數據存儲過程中，重要的財會數據通常需要經過加密存儲，甚至相關的關鍵敏感數據需要進行動態(tài)加密。為了進一步確保財務存儲數據的安全性和完整性，需要在使用財會存儲數據前對數據進行動態(tài)加密驗證。在數據的加密過程中，加密技術需要符合相關法律和企業(yè)的加密要求，這樣才能在較大程度上規(guī)避潛在的風險。

（三）數據傳輸

在財會數據傳輸過程中，為了有效避免黑客的惡意網絡攻擊，通常采用身份認證、權限管理最小化、防火墻和多重加密技術等方法。數據加密包括對稱加密和非對稱加密兩種方式，其加密復雜度由數據傳輸效率而定。為了確保數據的真實性和不可抵賴性，在財會數據的傳輸過程中，數字簽名成為了流行的方法。在使用數字簽名過程中，必須要確保私鑰的機密性，防止黑客偽造密鑰持有者的簽名，這就要求數字簽名的密鑰必須要和加密的私鑰進行區(qū)分。針對數據加密算法和密鑰長度的選擇問題，需要根據數據的分級和敏感性來確定。

（四）數據備份及恢復

為了降低人為因素和自然災害等造成的損失，財會數據備份操作成為了其必不可少的解決方法。在智能財務系統(tǒng)受到破壞時，可以迅速恢復數據結構和數據內容。同時還需要根據相應的備份和恢復方案，對財會數據進行定期的備份。為了防止重要財會數據、敏感財會數據丟失，可以采用集群技術進行系統(tǒng)整體冗余和容錯。

三、財會數據安全存在的問題分析

（一）財會從業(yè)人員安全意識薄弱

目前，在財會數據安全建設體系過程中，大多數企業(yè)仍然處于起步階段。隨著信息化技術的創(chuàng)新發(fā)展，財會應用軟件種類繁多。然而，大部分企業(yè)只關注軟件功能的實現，忽視了軟件本身的安全性。所以，企業(yè)在安全風險體系建設過程中，企業(yè)管理者只局限于軟件和硬件設備的使用方面，往往忽略了應用軟件開發(fā)層面問題。在安全風險體系建設中，通常需要投入大量的成本。因此，許多企業(yè)管理者難免有抵觸和僥幸心理，使得企業(yè)財會數據安全體系建設工作未能得到充分支持，從而導致無法跟進新時代發(fā)展需要，致使企業(yè)難以預見潛在的安全風險。與此同時，許多企業(yè)管理者缺乏安全管理經驗。盡管企業(yè)領導或者是安全部門負責人制定了相應的安全管理制度和條例，但安全策略和管理制度覆蓋面不全或者落實不到位。例如，缺乏明確的條文來對用戶使用權限、用戶口令設置復雜度等進行約束、未能對軟件系統(tǒng)進行日常維護檢查出系統(tǒng)老化問題、缺乏明確制度規(guī)范來進行追責工作等。然而，財會部門員工素質水平參差不齊，部分員工可能會惡意盜取財會數據、非法篡改財會數據等。這不僅無法保證財會數據信息的完整性和準確性，還會給企業(yè)帶來無法預估的安全風險。

（二）數據安全問題

在大數據時代，企業(yè)財會工作緊跟新時代的趨勢，積極向云轉型。因此，在財會數據信息管理過程中，對云平臺運行效果的要求相對較高。為了保證財會數據的機密性，數據信息安全管理工作成為了企業(yè)安全體系建設工作中必不可少的一部分。就目前企業(yè)現狀而言，企業(yè)面臨的財會數據安全問題主要分為以下三類。

1.網絡攻擊。在新時代，數據就是時代的溝通語言。所以，信息量大內容豐富的數據往往具有較高的價值。由于企業(yè)財會數據包含的信息種類多和信息量大，因此，不法分子為了謀取利益，經常會對企業(yè)的財會數據進行網絡攻擊。目前，網絡攻擊的方法包括黑客攻擊、嗅探攻擊、暴力攻擊、病毒攻擊和其他入侵攻擊。

2.數據信息泄露。隨著社會的不斷發(fā)展和進步，互聯網的使用不僅拓寬了信息獲取渠道，還在某種程度上加快了信息的傳播速度。通常，為了挖掘出更深層次的語義信息，企業(yè)會階段性地對所有財會數據進行統(tǒng)一的自動化存儲。如果相關的安全管理工作不完善，將會使信息泄露的風險加大。

3.數據信息流動量大。由于技術的變革和業(yè)務的驅動，大部分信息化系統(tǒng)向云轉型。因此，云平臺成為了企業(yè)財會存儲數據的熱門媒介。所以，許多企業(yè)熱衷于采用云端的方式存儲和傳輸數據信息。在數據安全的整個生命周期中，都會出現數據流動的現象。特別是在數據傳輸和存儲的過程中，存在大量的數據流動現象。如果企業(yè)內部網絡不暢通和不安全，就可能出現數據傳輸延遲或者網絡堵塞的現象。這將會造成數據被截留、篡改或者竊取的嚴重后果。

（三）缺少復合型人才

隨著財會數據信息化的普及，國家和企業(yè)對財會從業(yè)人員的綜合素質要求也相應地提高。為了應對各種財會數據信息化過程中的問題，財會從業(yè)人員不僅需要掌握會計專業(yè)知識，還需要對數據安全風險防護和計算機使用方面的知識有一定的了解。但就實際情況而言，大部分財會從業(yè)者仍然局限于對會計專業(yè)知識較為熟悉，對計算機使用和數據安全風險防護方法的知識了解較少。這樣不僅會使財會數據信息化體系落地實施難，還會阻礙相關的數據安全問題的及時解決，甚至會暴露大量的財會數據信息。

四、數據安全防護措施

（一）健全財會數據信息化管理制度和規(guī)范

為了有效規(guī)避財會數據安全風險，建立一套標準化的數據安全管理制度和規(guī)范是十分必要的。一套標準化的安全管理制度和規(guī)范主要包括團隊建設、管理制度、管理方法。團隊建設方面主要內容包括財會數據安全組織架構建立，職責分配、動態(tài)協(xié)作等；管理制度方面的主要內容包括明確數據安全的方針和總綱、建立數據安全管理規(guī)范、數據安全操作指南、數據分類分級標準、數據安全編碼指南等；管理方法方面主要包括定期考核激發(fā)員工積極性、行為日志記錄問責違規(guī)人員、實行職責分離實現訪問控制最小化等。這不僅將巨大的財會數據業(yè)務劃分為不同階段和場景，也有助于滿足合規(guī)的要求，從而多角度、全方位地對財會數據進行分級防護。

（二）加強網絡安全防御機制

新時期，大數據技術的應用加速了財會工作的轉型和創(chuàng)新，但財會數據的采集、傳輸和應用仍然離不開互聯網的支撐。為了避免企業(yè)財務數據的丟失和損壞，構建財務數據安全風險防護工作勢在必行。提高網絡安全防御機制的性能，基于分級分類的保護方法是十分必要的。在網絡入侵防御方面，需要定期組織大規(guī)模的系統(tǒng)安全檢測和軟件更新、病毒查殺，以及增設隔離區(qū)防火墻等；在身份認證方面，之前的單因子認證的方式已經不在絕對安全，如虹膜輔助登錄、指紋識別、原始密碼輸入、人臉識別等，現階段需要建立雙因子認證機制；在加密機制建設方面，需要借助先進的加密技術來對財會數據進行多重加密或者加密無漏項。

（三）培養(yǎng)復合型人才

在企業(yè)內部財會信息化系統(tǒng)建設過程中，“人”和信息系統(tǒng)成為了其重要組成部分。與信息系統(tǒng)相比較而言，“人”是主觀可控的因素。因此，“人”成為了財會數據安全體系建設的基石。所以，培養(yǎng)復合型人才是大勢所趨。為了有效地解決信息化體系建設過程中的各種問題，企業(yè)不僅需要提高財會人員專業(yè)知識水平，還需要根據財會數據安全防護風險和信息系統(tǒng)操作的需求對相關人員進行定期的專業(yè)技能培訓。企業(yè)可以聘請相關的安全專家、大數據專家和技術專家擔任講師，為財會從業(yè)人員講解安全管理經驗和技巧、普及各類應用軟件的操作方法、傳播先進的安全防護理念等；還可以從外部引進兼具財會理論知識和安全防護技術的人才。這不僅可以豐富人才隊伍建設工作，還有助于營造良好的安全文化氛圍，從而潛移默化的提高整體財會從業(yè)人員素養(yǎng)和調動員工積極性。隨著業(yè)務升級和技術的革新，信息系統(tǒng)管理人員的綜合技術水平也愈發(fā)重要。為了創(chuàng)新和優(yōu)化企業(yè)安全信息化管理體系，企業(yè)不僅需要對信息系統(tǒng)管理人員培訓專業(yè)知識，還需要將其財會業(yè)務知識進行補齊。只有這樣，企業(yè)才能夠充分發(fā)揮復合型人才的作用。通過轉變員工工作觀念，充分發(fā)揮大數據可視化優(yōu)勢來實現管理模式的創(chuàng)新，以及指導企業(yè)其他業(yè)務的開展。

五、結語

信息時代，無論從技術革新還是業(yè)務驅動的角度，財會工作的改革和創(chuàng)新成為了企業(yè)發(fā)展的必由之路。盡管互聯網技術的使用為財會從業(yè)人員提供了便利，但相關的財會數據安全風險和挑戰(zhàn)也隨之而來，如黑客攻擊、數據泄露等。為了確保財會數據的安全，財會企業(yè)應增強安全防護意識，積極響應相關政策和法律，盡快完善健全相應的數據安全防護機制。同時，還應該注重營造良好的安全文化氛圍，培養(yǎng)適應新時代發(fā)展的復合型人才。只有這樣，企業(yè)才能夠及時識別財會數據安全風險，做好及時規(guī)避和解決工作。