伴随科学技术的飞速发展,信息保护的方法与财务数据的加密方式日趋多样化,财务数据安全性方面的论述与研究也在逐渐增多。笔者即从下述几个方面,探讨企业如何提升财务软件的数据安全性问题。
对会计数据产生不安全威胁的操作,主要集中在两个方面,一方面,删除会计信息的相关文件;另一方面,对数据库文件的内容进行修改。凡是实现了电算化的企业与单位,都会配套多种防范措施来保障自身会计信息的安全性,计算机开机都设有口令,未授权人员不得进入机房进行操作。目前我国无论是单用户或是网络用户,其处理账务的系统一般与外部网络是没有联系的(不包含银行系统)。因此,外部人员进入计算机系统,修改会计数据的可能性相对较小。企业尤其需要防范的是自身财务软件的内部操作人员,有可能对会计信息文件进行非法修改。
企业内部会计电算化的工作人员,有可能寻找到各种手段与方法,达到其非法转移资金、获取商业机密、掩盖舞弊行为的目的。伴随工作人员计算机知识的不断累积,再参照各类软件的使用说明,对注册表进行修改已不是件困难的事,注册表里的Admin密码已经不再安全。这样一来,Admin与操作人员使用的密码就没有了作用,会计信息就更没有安全可言。计算机系统的管理员主要是对系统进行安全与维护工作,其主要内容包含操作人员设置、会计账套的引入与输出等。如果得到了Admin密码,就意味着能够对整个系统进行控制,可以进行各种操作,后果不堪设想。
用友ERP-U8是我国用户量最多、应用面最广、行业实践经验最为丰富的ERP,但其数据信息的保密措施也不尽完善:用一个账套能够进行多个账套主管设置的缺陷,新增一个操作人员,设置账套主管的权限,利用该权限随时进行非法的操作;直接用原账套主管密码,用账套主管身份非法进行操作;利用某一操作人员密码,非法进行操作并陷害他人;获取商业机密、删除数据、非法篡改等活动。非法操作完成后,再利用Admin身份清除有关的上机日志,就能够不留下任何痕迹。不难看出,我国企业财务软件的数据安全性存在着重大隐患。
二、财务软件在开发环节的防护措施与加密技术
(一)实施数据加密的思路和原则
与普通的数据管理软件相比较,财务软件的数据加密功能,还存在着方便使用与规范处理之间的矛盾。一是软件加密的控制措施不可独立存在,要与企业财务的内部分工以及岗位牵制相结合,使得掌握部分操作权限的会计电算化人员,既能在顺畅的财务软件环境里开展工作,同时又能保障系统的控制手段满足会计人员业务处理的习惯;二是考虑到全面审计与责任确认的方便性,应该尽可能让财务人员在利用软件操作数据更新、修改、冲销等过程中,留下能够判断其思路与动作的痕迹。由此,在编程的过程中,强化密码管理,完善分工权限的牵制职能等应遵循下列原则。
1.分级控制法进行操作职能限定
利用程序的基本功能对软件操作的功能与规范进行限定,以此为一级控制;系统管理员对系统参数以及一般操作员的管理权限进行设置与掌握,这是软件赋予主管人员特殊权限下的二级控制措施;由各个操作员对自己的操作记录与操作权力进行加密保护措施,这是个人权责范围内的三级控制。
2.对可控内容进行编程和操作的双重控制
在设计程序的过程中建立起规范操作与功能范围的限定,是全部操作人员无法进行突破的,财务规范所确立的有关基本核算的各项制度,应该在编程的环节进行确认;对于日常管控和个性化操作规程,则应采用设置与配置的方式,在软件运用的过程中,由系统管理员统一进行监控,从而达到规范操作的目的。
3.岗位权限的分配环境要适宜
操作员进行授权项目划分,应该与会计的职责分工相互对应,可控项目授权控制要合理,对待权限项目的区分,既不可太粗,也不可过细。
(二)对操作日志及运用规范进行合理定位
操作日志即是对软件的操作事项、使用时间、使用人所做的记载,是对操作记录与运行任务进行查询与验证的有效手段。在使用操作日志的过程当中,应该重点注意以下三个问题:日志管理者的确定;日志所包含的内容;操作记录保留限期。就笔者看来,如果系统资源较充裕,操作日志可交由系统进行管理,这样使得软件的使用人对其中内容只能进行有限阅读,无法干涉其自动生成和删除,提升操作日志的客观性。鉴于在特殊情况下,有可能对历史记录进行追溯,日志的保留限期可对照企业主要会议的档案保管限期来设定。
(三)运用好程序加密技术
想要提升数据的安全性,可以采用程序代码的方式,在编程的环节对关键数据实施加密处理。加密后的数据不可直接读取,不具有被视为另类数据产生的欺骗性,有效避免只了解基本操作的财务人员在常规操作中或不经意间查看到某些关键数据。需要进行频繁读取的权限开关、系统环境参数、操作员密码、操作日志、备份信息、删除记录等重要数据,都可以采用这一方式进行保护。
(四)开发出可靠、独立的历史轨迹功能
会计电算化的发展,使企业财务数据的修改与删除可以不留下任何痕迹,给审计工作的发展带来了很大的困难。现如今,财务软件内在的制约功能还没有得到有效的开发,无缝嫁接就成为保障会计数据真实性的一大障碍。伴随数据技术的逐步发展与储存技术的日渐成熟,发展独立控制区,进行辅助数据的后台打包管理工作逐步得以实现。会计电算化在核算中进行的数据恢复、凭证删除、反过账等操作都可以在后台界面中留下完整资料,这是与财务软件自身升级更新或运行故障不相关的。必要时,某些操作员(由权威部门或软件厂商授权)凭借自身权力,能够迅速查看或提取出软件运行产生的历史轨迹,能够有效防止违规核算现象的发生。
第一,强化对操作员的操作权限管理。很多财务软件都是利用超级用户,即系统管理员,实现对操作员的设置以及授权工作。通常来讲,超级用户与企业传统的财务主管或者会计电算化的系统管理员相对应。系统赋予超级用户众多操作权力,不但可以对操作员进行增删、更改其权限、启用或者注销操作员的个人密码,还拥有数据恢复权、账套设置权、结账权等权力。这就对操作员的管理权进行了集中掌握,促使会计人员只能在允许权限范围内来使用数据与处理事务。这不但是众多岗位协作分工的要求,也是避免会计人员越权、保护信息数据安全的需要。
第二,充分发挥操作密码在企业内控制度中的作用。操作密码的设置是财务人员维护自身责任与利益的基本手段。从会计信息安全性与财务人员职责牵制相关要求来看,操作员应该利用好软件提供的加密功能,同时还要对登录密码进行经常性地修改,避免他人有意或无意进入系统,越权进行非法操作。财务系统管理员可以利用软件的强制加密与密码限期修改的功能,对每个操作员应履行的义务进行明确,不断完善口令加密功能,保证财务软件使用的规范性。
第三,做好软件操作员的权力限制措施。为了让财会人员按照岗位职责来分享核算的权力,财务软件在很多环节给系统管理员设置了针对功能范围与操作权限的控制权。上述控制措施体现在操作员的权力限制与权力有限运用两方面。操作员只可在被授权的功能范围与操作权限以内履行自身职责。在此种管理模式下,操作员被分为若干组,不同组被赋予的权力不同,同一组操作员的权力可以共享。通过对某操作员进行权力屏蔽,系统管理员可以对每一个操作员的权限进行确定。
第四,掌握系统参数对操作权限与核算程序的影响。系统参数的设置是财务软件个性化过程的体现,很多系统参数是要由管理员进行判断与定位的,在这些参数当中,一部分是指向数据安全维护与软件规范运用的。对系统参数进行适当设定,可以限制操作员的部分权力,从而能够对会计核算的资料实现主动保护;通过规范数据传递与维护账务的处理程序间接实现对数据正确性与安全性的维护。
总之,财务软件的数据安全性问题逐渐被企业所重视,相关部门与人员应该针对企业现有财务管理软件的缺陷与漏洞,制定出一系列的应对方法,从而不断提升会计电算化的安全性,维护企业商业机密,避免给企业带来不必要的损失。