计算机保密管理制度范文
时间:2023-05-06 18:15:20
导语:如何才能写好一篇计算机保密管理制度,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
一、计算机使用管理情况
我委近年来未发过文件,网内计算机上无严格意义上的内容,但对不便公开的文件资料及载体均进行严格管理。我委现有计算机1台,配置在文印室专门作为委机关文字、材料运行处理,不上互联网,并设置了开机密码,严格使用U盘等移动存储介质;档案室、财务室专用计算机采取物理隔离措施,指定专人使用,未感染过“木马”病毒;聘请了网络专业人员对委机关网络进行全方位管理和对市经委网站进行特别维护和管理,保证市经委网站的安全运行。
二、非计算机使用管理情况
市经委共有非计算机(包括笔记本)26台,均未存储、处理过信息,也未使用过移动存储介质,网内有2台计算机感染过“木马”病毒,均在恢复杀毒软件功能后及时查杀,未造成任何影响,每天通过网络版杀毒软件服务器监控全网计算机安全状态,发现问题及时处理。
三、移动存储介质使用管理情况
非移动存储设备不允许到文档室、财务等敏感计算机上使用,均未处理过信息。
四、办公网络使用管理情况
我委办公内网是委机关进行一般文件共享,网内打印机共享等应用日常办公网络,属非局域网。网上所有共享文件均为非和非敏感文件,且做到每周检查和清理1次。
五、载体清理情况
市经委管理的“三密”文件和刊物均无横传、超范围阅读和丢失现象发生。收文方面的“三密”文件由专职人员签收、登记,专门文件夹阅办,及时收回,密级文件和资料从不在保密室外过夜,并用专柜存放。凡指定由领导同志亲自拆封阅办的文件,他人不得拆阅;除正常文件流转外,不允许复印或非工作需要的借阅,工作需要借阅有关文件(包括“三密”文件)均履行登记手续。及时对所签收的“三密”文件及资料进行清点,年终清理登记后及时退还市委、市政府,从未出现“三密”文件丢失及泄密情况。安全方面,委档案、收发室安装了防盗门,对不需要的文件及时造册经领导批准后再销毁。计算机上没有非工作需要的电子文档。未经单位领导同意,严禁将单位软件资料打印或拷贝给外单位人员。离职人员归还、报废的计算机,移交及封存前均进行数据清除技术处理,严防信息泄漏。
篇2
第一条为了加强计算机信息系统国际联网的保密管理,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》和国家有关法规的规定,制定本规定。
第二条计算机信息系统国际联网,是指中华人民共和国境内的计算机信息系统为实现信息的国际交流,同外国的计算机信息网络相联接。
第三条凡进行国际联网的个人、法人和其他组织(以下统称用户),互联单位和接入单位,都应当遵守本规定。
第四条计算机信息系统国际联网的保密管理,实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。
第五条国家保密工作部门主管全国计算机信息系统国际联网的保密工作。县级以上地方各级保密工作部门,主管本行政区域内计算机信息系统国际联网的保密工作。中央国家机关在其职权范围内,主管或指导本系统计算机信息系统国际联网的保密工作。
第二章保密制度
第六条涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
第七条涉及国家秘密的信息,包括在对外交往与合作中经审查、批准与境外特定对象合法交换的国家秘密信息,不得在国际联网的计算机信息系统中存储、处理、传递。
第八条上网信息的保密管理坚持“谁上网谁负责”的原则。凡向国际联网的站点提供或信息,必须经过保密审查批准。保密审批实行部门管理,有关单位应当根据国家保密法规,建立健全上网信息保密审批领导责任制。提供信息的单位应当按照一定的工作程序,健全信息保密审批制度。
第九条凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网前,应当征得提供信息单位的同意;凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
第十条凡在网上开设电子公告系统、聊天室、网络新闻组的单位和用户,应由相应的保密工作机构审批,明确保密要求和责任。任何单位和个人不得在电子公告系统、聊天室、网络新闻组上、谈论和传播国家秘密信息。面向社会开放的电子公告系统、聊天室、网络新闻组,开办人或其上级主管部门应认真履行保密义务,建立完善的管理制度,加强监督检查。发现有信息,应及时采取措施,并报告当地保密工作部门。
第十一条用户使用电子函件进行网上信息交流,应当遵守国家有关保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。互联单位、接入单位对其管理的邮件服务器的用户,应当明确保密要求,完善管理制度。
第十二条互联单位和接入单位,应当把保密教育作为国际联网技术培训的重要内容。互联单位与接入单位、接入单位与用户所签定的协议和用户守则中,应当明确规定遵守国家保密法律,不得泄露国家秘密信息的条款。
第三章保密监督
第十三条各级保密工作部门应当有相应机构或人员负责计算机信息系统国际联网的保密管理工作,应当督促互联单位、接入单位及用户建立健全信息保密管理制度,监督、检查国际联网保密管理制度规定的执行情况。
对于没有建立信息保密管理制度或责任不明、措施不力、管理混乱,存在明显威胁国家秘密信息安全隐患的部门或单位,保密工作部门应责令其进行整改,整改后仍不符合保密要求的,应当督促其停止国际联网。
第十四条各级保密工作部门,应当加强计算机信息系统国际联网的保密检查,依法查处各种泄密行为。
第十五条互联单位、接入单位和用户,应当接受并配合保密工作部门实施的保密监督检查,协助保密工作部门查处利用国际联网泄露国家秘密的违法行为,并根据保密工作部门的要求,删除网上涉及国家秘密的信息。
第十六条互联单位、接入单位和用户,发现国家秘密泄露或可能泄露情况时,应当立即向保密工作部门或机构报告。
第十七条各级保密工作部门和机构接到举报或检查发现网上有泄密情况时,应当立即组织查处,并督促有关部门及时采取补救措施,监督有关单位限期删除网上涉及国家秘密的信息。
第四章附则
第十八条与香港、澳门特别行政区和台湾地区联网的计算机信息系统的保密管理,参照本规定执行。
篇3
一、加强日常保密教育,增强领导干部和人员的保密意识。做好保密工作增强保密意识是第一位的。我们知道很多泄密事件都是由于主管领导和人员的麻痹大意造成的,因而提高保密思想意识十分重要。领导干部的报密意识又是落实报密工作的首要,我局领导十分重视保密工作,常说:“民族宗教无小事”就意味着一旦发生民族宗教领域的泄密事件都是影响政局稳定、社会安定的大事情,作为民族宗教工作的管理部门我们时刻要警钟长鸣,确保国家秘密不被泄露,保守秘密,慎之又慎。对重点人员、保密干部保密意识的培养主要是进行教育,适时组织保密人员学理论、学业务,不断提高保密人员的综合素质,按照市保密委员会统一安排和要求,多年来,我们积极组织有关人员参加省、市保密工作部门举办的各类培训及学习活动。领导干部和人员保密意识的提高为我们做好保密工作提供了重要的前提。
二、加强日常保密管理,提高保密工作管理水平。保密工作是一整套的环节的连续,任何一个环节都不能出问题,正所谓“一招不慎,满盘皆输”,要想不出问题就必须注意日常保密工作的每一环节。我们严格按照市保密委员会的要求,确定有关民族宗教工作中国家秘密事项和相应的密级规定来定密,准确把握政策,做到不使该定密的事情漏掉,也不人为扩大和缩小定密范围,同时处理好信息公开和保密的关系,真正做到该放的能够放开,该保的能够保住;对于密件的形成、收发、批阅、借阅、使用和存储等环节都有一套严格的程序和规定,密件的形成要求按密件密级进行管理,密件收发要登记,借阅要经批准,保管要合标准;对每一密件的流转要求保密要害部门和人员要进行跟踪。从每一个环节上都要严格把好保密关,保证不发生失泄密问题。
三、制定保密管理制度,落实保密工作职责和责任。我们深知要使平时的保密工作能够落到实处,就必须用制度做保障,用制度规范保密行为,用制度落实保密责任。我们根据市委保密委员会的规定成立了保密工作领导小组,确定了办公室为具体负责保密工作的部门,办公室、宗教处为保密要害部门,档案室为保密要害部位。并规定了相应的工作内容和工作职责,形成了一整套的保密体系。在此基础上我局先后制定了民族宗教工作定密事项及管理办法、密件收发和批阅相关规定、密件借阅登记制度、保密要害部门部位保密管理制度、网络和计算机保密要求等一系列的制度和规定。努力推进保密管理制度化,用制度强化管理、落实责任。
篇4
关键词:地质资料;数字化;信息安全;防范措施
0引言
众所周知,信息大爆炸时代早已来临。随着计算机网络技术的飞速发展,信息网络已经成为社会发展的重要保证。随着全球安全事件的逐年增多,确保网络信息系统的安全已引起世人的关注,信息安全在各行各业都受到了前所未有的重视。目前在我国地质行业中地质资料的数字化管理技术和网络信息共享建设仍处于初期阶段,整体从业人员的信息安全意识较为淡薄,本文的意旨是在阐述地质资料数字化管理中存在的信息安全风险及防范措施的同时,呼吁广大地质工作者在现今和以后的工作中提高信息安全防范意识,采取必要的安全手段,保证个人、单位、国家的地质资料数据和财产不受侵害。
1地质资料数字化管理信息安全风险分析
1.1安全保密管理制度不健全,管理人员信息安全防范意识薄弱
目前地质资料的安全保密管理方面主要依照国土资源部于2008年印发的《地质资料管理细则》实施,文件中详细规定了国土资源类、测绘类、海洋及其他类的定密原则,并且在对地质资料的标志、入库、借阅复制等方面也进行了详细的说明。但这仅仅是对于属于国家种类的地质资料,而对于可以一般秘密种类的地质资料保密方面国家还没有出台相应的政策法规标准,各地质资料编制单位的数字保管中还仅靠计算机保密管理制度,这种重视国家秘密,轻视一般秘密保护的地质资料的现象还比较严重。实际当中由于各单位或企业计算机硬件的配备数量有限、编制地质资料有部分是在野外作业中完成、参与编制地质资料的人员的信息安全防范意识薄弱等原因。虽然在配备计算机的部门和单位已经建立了《计算机保密管理制度》,仍存在地质资料在非计算机上完成的情况,而非计算机在接入互联网的同时,数据的存储、处理、传递工作在无形当中就增加了安全风险。
1.2非计算机连接外部未知网络
(1)频繁更换非计算机的使用地点。由于地质行业的特殊性,有许多地质信息收集、数据处理工作都是在异地、野外、矿山上进行,计算机使用地点经常更换,如果计算机在连接到了外界未知和不安全的无线或有线网络的情况下,一旦遭受到网络钓鱼或入侵,就可能会存在数据泄密的风险。(2)在单位或企业内部频繁使用无线网络。无线网络虽然方便了笔记本电脑或移动终端的外部网络访问和通信,但在无线路由器上安全选项稍微设置不当,就有可能会引起第三方或不法分子的接入,从而导致连接到无线网络中的任何一台计算机都可能引发信息窃取、数据篡改、数据丢失、计算机病毒等现象。
1.3源头上计算机未采取基本的安全防范措施
(1)安全策略设置不严密。在单位或企业内部,接入局域网和互联网的非计算机上网络访问控制权限和内外网的隔离未采取严格的安全措施,导致网络系统存在大量的安全盲点和误区。(2)在或非计算机上未设置安全口令。计算机信息系统通过口令验证用户身份,区分和控制访问权限。计算机口令设置如果达不到足够长度,非常容易被破解。口令一旦被破解,破解者就可以冒充合法用户进入计算机任意获取信息。(3)操作系统的安全漏洞未及时修复。由于目前针对地质行业的数据信息处理软件大都是在微软公司开发的Windows操作系统环境下运行的,Windows操作系统虽然操作简单,但系统漏洞多,稳定性、安全性差,重新启动、强制关闭、等现象时有发生。基本系统环境的不稳定,加之系统安全漏洞未及时修复,必然会导致一些不法分子利用系统安全漏洞通过网络进行攻击或盗窃数据。(4)未安装计算机防毒软件和防火墙设置不当导致计算机感染病毒、蠕虫或被植入木马和间谍软件。病毒是可执行代码,可破坏计算机系统。蠕虫比病毒更为普遍,利用受感染系统的文件传输功能自动进行传播,从而导致网络流量大幅增加直到网络瘫痪。木马程序可以捕捉密码和其它个人信息,使未授权远程用户能够入侵网络系统。间谍软件则是恶意病毒代码,它们可以监控系统性能,并将用户数据发送给间谍软件开发者。
1.4接收不安全的外部数据
(1)频繁接收外部存储数据。计算机在地质资料的存储、传递过程中使用非移动存储介质(包括硬盘、移动硬盘、软盘、U盘、光盘及各种存储卡)查杀病毒不彻底,接收数据的主机就有可能感染病毒,进而在网络中进行扩散。(2)频繁通过互联网下载或上传数据。由于互联网上很多程序、软件都存在不安全性,甚至包含病毒、木马或间谍软件,在非计算机上编制、整理、传递、发送地质资料的同时,有许多信息可能会通过网络搜索下载或上传,但如果下载到了未经杀毒软件检测安全通过的程序或软件,计算机的数据保密性和完整性可能会受到侵害。
1.5重要地质数据未及时备份
对经过处理的重要地质资料数据未建立安全备份机制,如果计算机在未备份数据之前出现了感染病毒或系统崩溃的情况,就会出现数据丢失,造成的损失不可估量。
2地质资料数字化管理中的信息安全防范措施
以上描述到的涉及信息安全风险中的任何一个不经意的细节都可能造成信息泄漏、数据篡改、系统崩溃等不良后果,因此针对有可能会引发信息安全隐患的环节需要做好以下防范措施:
2.1建立并完善相应的地质资料数字化保密管理制度
首先在各单位或企业内部当中应当建立起三项保密管理制度:和非计算机保密管理制度、移动存储介质保密管理制度、计算机网络信息保密管理制度。具体制度内容可以根据《中华人民共和国保守国家秘密法》规定,结合实际,制定相应安全保密制度,各单位和企业与个人签订计算机信息网络安全承诺书,确保信息网络安全准则规定人人熟知。在实际生产工作中,如出现违反规章制度的人或事,将视情节轻重追究责任。目的是通过强化制度的刚性约束力,形成以制度规范人,以制度约束人,建立和推动信息安全保密工作的长效机制。
2.2强化从业人员的计算机信息安全意识,定期做相关方面的培训学习
定期对各单位和企业的所有员工开展信息安全、保密教育和计算机维护常识的培训学习工作,并且通过网站、发文等多种方式加大违规外联(违反规定接入外部互联网)宣传力度,将违规外联事件的严重性、危害性和工作机理贯彻落实到每个岗位,每位员工,每个细节,强化全体员工信息安全意识及水平,确保信息安全教育普及率百分之百,实现全员重视、全员掌握,努力提升信息安全防范水平,确保单位和企业信息网络安全运行。
2.3运用信息安全技术手段杜绝安全隐患
(1)固定与非计算机的使用地点,尽量不随意更换使用地点。(2)无论在单位内部或是在野外生产基地都不得使用无线网络。(3)对接入局域网和互联网的非计算机上的网络访问控制权限和内外网的隔离设置严格的安全策略。(4)设置BIOS开机口令、系统登录口令、屏幕保护口令。根据有关保密要求,计算机口令设置要根据计算机所处理的信息的密级决定,处理绝密级信息的计算机,口令设置不能少于12个字符,最好采用一次性口令或生理特征鉴别方式;处理机密级信息的,口令长度不得少于10个字符,更换周期不得超过7天;处理秘密级信息的,至少要有8个字符以上的长度,更换周期不得超过30天。设置口令时,要采用大小写英文字母、数字、特殊字符组合。个人使用的口令,要严格保密,不能让他人知悉。非计算机也要设置复杂的口令。(5)及时修复操作系统的安全漏洞,确保系统无漏洞安全运行。(6)安装防毒软件和木马清查工具,每日升级最新病毒库,并定期对计算机进行病毒查杀(如每天查杀一次),以及时清除病毒和木马。(7)安装防火墙并进行安全设置,封闭不必要的端口。(8)在使用移动存储介质之前,必须进行病毒查杀,确保无病毒后再使用。(9)未经允许不得接入外部互联网,限制对外部网络的访问。(10)建立有效的数据备份和数据归档机制。为保证数据丢失后能重新找回,对重要数据要定期备份,定期复制副本以防止因存储工具损坏造成的数据丢失。备份工具可采用光盘、硬盘、数据备份一体机等方式,并妥善保管。(11)使用信息自检软件定期对及非计算机进行自检,发现存在安全问题后及时处理。
作者:白璐 单位:安徽省地球物理地球化学勘查技术院
参考文献:
篇5
一、保密工作组织机构的基本情况
保密工作组织机构的设置情况:我局设有保密工作领导小组,组长由党支部书记、局长担任,副组长由党支部委员、副局长担任,成员由办公室负责人和保密员组成。保密工作领导小组下设办公室,确定办公室主任主要负责保密方面的具体工作。
保密工作队伍的建设:近几年来,我局坚持做到保密工作机构健全、保密工作队伍不散,保密工作人员及时调整和补充,做好工作交接,保证了工作的延续性。
保密基础设施建设:对保密工作所需设施、设备和经费,我局给以重视和支持,保证了日常工作顺利开展。
二、保密工作开展情况
对保密重点要害部位加强检查督促工作。我局办公室是保密重点部位。接触密源广、深,保密工作领导小组对办公室的保密工作进行不定期的检查督促,并同人员签订了保密承诺书,防止失密、泄密。多年来,办公室规章制度健全,从每个环节做起,保密观念强,措施得力,落实较好。如:办公室坚持档案工作人员保密制度,查、借、阅档案手续齐备;办公室人员有保密守则及管理办法,秘密文件、内部资料的传递、回收、注销都严格按照上级有关要求办理,形成了一整套制度、规定,管理渠道畅通。
加强加密计算机的的管理工作。按照上级有关部门的要求,我局高度重视,对全局电脑及文件提出明确要求,责任落实到人,办公电脑全部设立密码,并且明确“不上网,上网不”等保密工作要求,确保通讯渠道的保密性和安全性。指定懂业务、会管理的工作人员专门负责加密计算机的管理工作,同时加强对计算机上网检查工作,在管理上做到心中有数;对于的计算机,明确要求要实行物理隔离,严禁上国际互联网;更重要的是加强了全局干部、职工对计算机信息的管理,进一步增强了保密意识。
保密规章制度的建设情况。一是认真落实保密工作领导责任制。我局党政主要领导对保密工作十分重视,把它作为一项重要工作任务来抓,将它同业务工作同计划、同部署、同检查、同总结。二是建立健全各项保密工作规章制度。近几年来,我局先后建立健全了《机要保密工作制度》、《网络安全管理制度》、《市物价局信息公开保密管理制度》、《微机管理制度》、《存贮介质管理制度》等保密工作规章制度,做到以制度管人、按程序办事,确保保密工作顺利开展。
开展保密宣传教育情况。我局高度重视保密宣传教育工作,采取张贴标语、拉横幅等形式,利用各种机会在全场干部、职工中开展经常性的保密宣传教育工作。
加强机要文件的管理,坚持双向登记制度。配备和确定了专(兼)职保密人员,逐步建立完善了保密工作制度。培训了新上岗人员,对文件及保密废资料回收销毁工作做了具体检查部署,建立了文件保密废资料登记销毁程序。及时登记、传阅、清理和回交机要文件,自查中未发现一起违法事件。
三、存在问题及改进建议
一是保密工作的教育力度需要不断加强。近几年来,开展保密工作的实践使我们认识到,加强机关干部、职工的保密教育,提高每一个公民的保密意识十分重要。例如利用计算机网络、电子邮件向外发送资料已是十分方便和快捷的方式,但因此也可能带来泄密的危险。针对这一情况,需要加强宣传力度,增强人们的保密意识,提高做好保密工作的主动性和自觉性,还要制定出相应的规章制度,使事前行为得到规范,堵塞可能发生的失、泄密事件,消除隐患,以确保国家安全。
二是做好保密工作还需要坚强的物质基础作保证。除了必要的资金、设备投入外,还应加强对保密工作人员的业务培训,提高保密干部的素质。
篇6
我国科学技术的快速发展,促使信息化技术和网络技术广泛运用于各个方面,档案机构也运用网络技术建立自己的网站,在网站上建立档案目录中心、全文中心等档案信息搜索栏目,以便人们快捷又准确的查询所需的档案信息,档案信息化已经成为档案机构工作的发展趋势。由于缺乏法律管制、管理人员缺乏保密意识以及网络环境不安全等因素,使得档案信息化出现严重的安全问题,档案信息化的安全管理成为档案机构十分重视的问题。
1.档案信息化的概念和特征
1.1档案信息化的概念
档案信息化是指档案信息利用计算机以数字符号的形式进行管理和保存[1]。也就是说,档案信息经过计算机中的软硬件对档案信息进行编辑处理,档案信息可以转变各种文本文件、网页信息、计算机图形、图像、视频等形式,利用磁带、移动硬盘、硬盘、光盘、网络硬盘、专用的存储卡等储存设备进行储存和管理的过程。
1.2档案信息化的特征
档案信息化具有以下几个特征:
1.2.1档案信息化以计算机设备为制作载体
档案信息化必须以计算机设备为载体,档案信息输出入、档案信息管理以及远程输送都是利用计算机设备和网络技术实现,所以,计算机设备是档案信息化的前提。
1.2.2档案信息形态和结构多样化
档案信息利用计算机设备中的各种软硬件将档案信息转变为各种文本文件、图形图像、视频、音频等形式,而档案信息储存格式也可以相互转变,如:PPT文件可以转为PDF储存格式,因此,档案信息的形态和结构变得多样化。
1.2.3档案信息化易控、易变和易失
档案信息是利用计算机中各种软硬件编辑文字以及处理成图形图像、视频、音频等形式。因此,档案信息也可以利用计算机设备以及网络技术轻易改动,例如,档案信息用word软件制成的图表可以用Photoshop软件对图表进行修改。档案信息化的易控性、可变性就导致档案信息化具有易失性[2]。
2.档案信息化安全问题
档案信息化主要存在以下几个方面的安全隐患:
2.1档案信息化管理制度不健全
目前,我国针对信息安全制定了一系列相关法律法规,然而这些法律法规制度并不完善,而有些档案机构对档案信息管理制度并不重视,采取的管理措施比较单一,机构内部管理工作人员信息安全意识淡薄,导致档案信息丢失、破坏和泄露。
2.2档案信息化储存易修改或丢失,难保存原始信息完整
由于档案信息数字化需要利用计算机设备完成,通过磁带、移动硬盘、硬盘、光盘、网络硬盘、专用的存储卡等载体进行储存,而这些储存设备对档案信息的复制、修改以及删除都是永久性且不留痕迹,导致档案信息难以完整保存原始性。此外,档案信息化工作人员的素质低下会影响档案信息的完整保存甚至泄露信息,档案储存设备管理不善也会导致档案信息的丢失或者无法读取信息。
2.3档案信息化在传输过程中易破坏和泄露
由于档案信息数字化需要网络技术的支持,然而网络环境本身就存在很多安全隐患,档案信息容易遭到网络中病毒、木马程序、黑客、垃圾邮件等因素的破坏和泄露,从而导致档案信息的丢失。
3.档案信息化安全问题应对策略
针对档案信息化安全问题提出以下几方面策略:
3.1国家完善相关法律法规,档案机构制定严格管理制度
国家要将现有的信息安全法不断的完善,保护档案信息安全。档案机构要重视并制定严格的档案信息的管理制度,从而减少档案信息丢失、破坏和泄露情况。
3.2档案机构注重档案管理人员职业道德素质培养
加强档案信息管理人员的保密意识,对档案信息的保密程度作出严格的鉴定并且保密,同时,管理人员也要是计算机技术人才,维护网络安全,防范网络中病毒、木马程序、黑客、垃圾邮件等不安全因素,从而保护档案信息的安全。
3.3档案信息在网络注意信息保密性
由于网络环境的不安全性,档案信息在网络公布要保证信息安全,就需要对的信息进行筛选,没有保密价值的档案信息可以在网上,涉及个人、单位、商业等重要保密信息只提供阅读目录,并采取访问权限、身份认证等保密措施进行保密,涉及国家秘密禁止,从而保证档案信息不被非法访问、篡改、丢失、泄露[3]。
篇7
论文关键词:金融信息化;信息安全;计算机犯罪
随着金融信息化的加速,金融信息系统的规模逐步扩大,金融信息资产的数量也急剧增加,如何对大量的信息资产进行有效的管理,使不同程度的信息资产都能得到不同级别的安全保护,将是金融信息系统安全管理面临的大挑战同时,金融信息化的加速,必然会使金融信息系统与国内外公共互联网进互联,那么,来自公共互联网的各类攻击将对金融信息系统的可用性带来巨大的威胁和侵害:
一、计算机网络安全威胁及表现形式
计算机网络具有组成形式多样性、终端分布广泛性、网络的开放性和互联性等特征,这使得网络容易受到来自黑客、恶意软件、病毒等的攻击
(一)常见的计算机网络安全威胁
1.信息泄露:指信息被透漏给非授权的实体。它破坏了系统的保密性。能够导致信息泄露的威胁有网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵弛、物理侵入、病毒、术马、后门、流氓软件、网络钓鱼等:
2.完整性破坏。可以通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞等方式文现。
3.拒绝服务攻击:对信息或资源可以合法地访问,却被非法地拒绝或者推迟与时间密切相关的操作:
4.网络滥用:合法刚户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。
(二)常见的计算机网络络安全威胁的表现形式
1.窃听。攻击者通过监视网络数据的手段获得重要的信息,从而导致网络信息的泄密。
2.重传。攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
3.篡改。攻击者对合法用户之间的通信信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者的破坏作用最大。
4.拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
5.行为否认。通信实体否认已经发生的行为。
6.电子欺骗。通过假冒合法用户的身份进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的:
7.非授权访问。没有预先经过同意,就使用网络或计算机资源
8.传播病毒。通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范:
二、金融计算机犯罪的特征和手段
由于计算机网络络安全威胁的存存,不法分子通过其进行金融犯罪。金融计算机犯罪,已经引起我国立法部门的高度重视,在新《刑法》中已将金融计算机犯罪列为重点,第285,286,287条有明文规定。
(一)银行系统计算机犯罪的特征:
1.涉案人多为内部人员。由于金融业务都是通过内部计算机网络完成的,所以了解金融业务流程、熟悉计算机系统运行原理、对金融内部控制链上存在的漏洞和计算机程序设计上的缺陷比较清楚的内部职员,往往比其他人员更容易了解软件的“硬伤”,更容易掌握犯罪的“窍门”以达到犯罪的目的。据有关部门统计,我国金融系统发生的计算机犯罪案件,九成以上是内部人员或内外勾结作案的。
2.手段隐蔽,痕迹不明显:计算机犯罪智能化程度高,大多数犯罪分子熟悉计算机技术,可运用正常的操作规程,利用合法的账户进入金融计算机网络,篡改计算机源程序或数据。这种犯罪短时期内不易被发觉。同时,犯罪分子作案迅速,所留痕迹甚少,隐蔽时间较长,一时不易暴露。
3.犯罪情节严重:犯罪分子突破计算机安全防护系统后,盗窃多少资金完全由犯罪分子任意输人,动辄十几万、上百万元,行为肆无忌惮,数目触目惊心,导致了金融资金的巨大损失。
4.社会危害严重。由于金融的特殊地位和其在保持社会稳定方面所起的审要作用,一旦发生计算机犯罪,会带来一系列的连锁反应,引起储户的不满,再加上舆论导向的渲染,有可能造成堪设想的后果。
(二)银行系统计箅机犯罪的手段
1.终端机记账员作案。记账员利用其直接在终端操作计算机,熟悉记账过程及账务处理过程的作方便,进行犯罪。
2.终端复核员(包括出纳员)作案。终端复核员利用与记账员一同办理终端业务的机会,进行犯罪。
3.系统管理员(包括主任、主机管理员)作案。系统管理员借助管理系统的特殊权限,利用系统正常命令、程序反向错误操作作案;自编程序进行作案;修改账务及数据资料作案;利用系统终端私自记账、复核作案;为犯罪分子提供方便。
4.软件人员作案:软件人员利用T作之便伪造干旱序及熟悉操作程序,进行作案
5.硬件人员作案硬件人员利用T作之便,进行犯罪作案。
6.行内其他人员作案。分理处、储蓄所的其他人员利用接近计算机业务柜的机会,伺机作案:
7.行外人员作案:利用银行管理中的某些漏洞作案;与行内人员相互勾结作案:
三、金融计算机信息泄密途径
金融行业是具备特有的高保密性的行业,然而随着信息技术的迅猛发展与广泛应用,窃密手段更加隐蔽,泄密的隐患增多,泄密所造成的危害程度加大,保密工作面临许多新情况、新问题。具体而言,金融汁箅机信息泄密的途径主要有以下几个方面。
(一)计算机电磁波辐射泄密
计算机设备工作时辐射出的电磁波,可以借助仪器设备在一定范围内收到,尤其是利用高灵敏度的仪器可以稳定、清晰地看到计算机正在处理的信息。因此,不法分子只要具有相应的接收设备,就可以将电磁波接收,从中窃取秘密信息。
(二)计算机剩磁效应泄密
计算机的存储器分为内存储器和外存储器两种。存储介质中的信息被删除后有时仍会留下可读信息的痕迹,存有秘密信息的磁盘被重新使用时,很可能被犯罪分子非法利用磁盘剩磁效应提取原记录的信息。比如,计算机出故障时,存有秘密信息的硬盘不经处理或无人监督就带修殚,就会造成泄密。此外,在有些信息系统中,删除文件仅仅只删掉文件名,原文还原封不动地保留在存储介质中,一旦被利用,就会造成泄密。
(三)计算机联网泄密
计算机网络化使我们可以充分地享受网上的信息资源,然而联网后,计算机泄密的渠道和范围大大增加,主机与用户之间、用户与用户之间通过线路联络,使其存在许多泄密漏洞。窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取,就可以获得整个网络输送的信息。如果在计算机操作中,入网口令不注意保密和及时更换,入网权限不严密,超级用户无人舱管,信息传输不进行加密处理,局域网和互联网没有做到完全的物理隔离,等等,都有可能使计算机遭到黑客、病毒等的攻击,导致严重的泄密事件发生。
四、金融计算机网络犯罪的成因
(一)防范意识和能力差
不少计算机主管领导和系统管理人员对计算机犯罪的严重危害性认识不足,防范意识低,堵截能力差,同时,计算机安全组织不健全,安全教育不到位,没有彤成强有力的安全抵御防线。这些是导致计算机犯罪案件发生的重要原因:
(二)内控机制不完善,管理制度不落实
主管部门对计算机安全检查不到位,监督检查不力,不能及时发现和堵塞安全漏洞;不少单位在系统开发运行过程中,缺乏有效的内部制约机制。
(三)现代管理手段滞后
金融电子化项目从立项、开发,到验收、运行等各环节没有形成一套完整、科学的安全防范体系,从而使犯罪分子有机会利用计算机进行作案。
(四)密级不分,人人都是“千手观音”
通过案发后,案件侦破时,案发单位员工都是怀疑对象这点,更反映出金融系统计算机管理的薄弱环节。只要是工作人员,都能轻车熟路进入计算机系统进行操作。而且使用的密码和程序简单易猜,造成人人都能使用,致使现问题后不能锁定固定知情人。
五、金融计算机犯罪的防范措施
(一)制度保障
一定要根据本单位的实际情况和所采用的技术条件,参照有关的法规、条例和其他单位的版本,制定出切实可行又比较全面的各类安全管理制度,主要包括操作安全管理制度、场地与实施安全管理制度、设备安全管理制度、操作系统和数据库安全管理制度、计算机网络安全管理制度、软件安全管理制度、密钥安全管理制度、计算机病毒防治管理制度等。
制度的建立切忌流于形式,重要的是落实和监督。尤其是在一些细小的环节上更要注意,如系统管理员应定期及时审查系统日志和记录;重要岗位人员调离时,应进行注销,并更换业务系统的口令和密钥,移交全部技术资料,但不少人往往忽视执行这一措施的及时性;又如防病毒制度规定,要使用国家有关主管部门批准的正版查毒杀毒软件适时查毒杀毒,而不少人仍使用盗版杀毒软件,使计算机查杀病毒时又染上了其他病毒。
(二)技术保障
1.减少辐射:为了防止电磁波辐射泄密,在选购计算机产品时,要使用低辐射计算机设备。根据辐射量的大小和客观环境,对计算机机房或主机内部件加以屏蔽,在专用的计算机上安装微机视频保护机等设施,并采取一定的技术措施,对计算机的辐射信号进行十扰,增加接收还原解读的难度,保护计算机辐射的秘密信息。
2.物理隔离:涉及国家秘密的计算机信息系统,不得直接或间接地与围际互联网或其他公共信息网络相连接,必须实行物理隔离。与外部网相连的计算机不得存储、处理和传递内部信息,在互联网上提取的信息也必须经杀毒处理后再接入局域网内供内部使用。
3.加强存储介质管理。对信息进行清除处理时所采用的信息清除技术、设备和措施,应符合国家相关保密规定。使用U盘时应注意修改计算机系统中的注册表,将系统各个磁盘的自动运行功能禁止;使用U盘进行数据文件存储和拷贝时,打开计算机系统巾防病毒软件的“实时监控”功能,避免病毒文件入侵感染,同时打开“文件夹”选项中“隐藏受保护的操作系统文件”选项,并选择“显示所有文件和文件夹”选项,以便U盘被感染后能及时发现病毒;外来U盘接人计算机系统时,切勿双击打开,一定要先经过杀毒处理,或是采用具有U盘病毒免疫功能的杀毒软件查杀后,再接入计算机系统,同时关闭“自动播放”功能。
4.数据加密。在软件方面,应加大在开发过程中加密软件的开发投入,对重点的应用软件,加密设计要达到网络级水平,从而最大限度地保证信息的全与保密。对信息要做到加密保存,对存储有信息的计算机要设置开机密码、屏保密码等。
5.设置权限。将内部计算机维护权限与操作权限、数据权限分开,对不同的操作人员设置等级不同的权限,根据实际权限来分配查阅、修改文件内容等业务范围。
(三)管理保障
1.提高安全管理意识。一是要加强对“物”的管理。对录有秘密文件的硬盘、软盘,要明确标示密级标志和编号,执行统一的登记和销毁制度;对较多的场所如打字室、机要室要设立相应的保密控制区,明确专人负责维护与保障;严格执行“上网信息不、信息不上网”的规定,明确专人负责信息的审查与审核。二是要加强对人的管理。要抓好人员的选配和日常的考察,做到不合格的人员坚决不用;对有问题的人员要及时处理,严明纪律。
2.加大安全管理力度。金融系统各级领导要充分认识到计算机犯罪对金融信誉和资金的危害,认真部署计算机安全防范工作,提高系统、网络的管理能力;强化系统开发、管理、操作人员的政治思想和安全教育,严格要害岗位人员的审查和管理。
篇8
1.认识上仍然存在偏差
会计电算化在我国的应用已有30年,但是在事业单位中由于对各种信息的敏感程度远远低于企业,使得事业单位从领导到财务人员对会计电算化认识仍停留在比较低的层次上,存在认识上的偏差。表现在:一是认为会计电算化只是会计核算工具的改变,甚至有的認为会计电算化只是用计算机代替人工,打出的帐比手工记的帐好看一些,因此对会计电算化工作一味求简;二是许多领导对会计电算化存在片面认识,把会计电算化认为是进行现代化管理的一种标志,当做树立单位形象的一种手段,把计算机作为主要因素,把财会人员作为次要因素,只重视计算机的因素,不重视人员的培训;三是部分财务人员错误地认为实行会计电算化只是一个形式,较为方便,没有意识到实现会计电算化的重大意义。在实际操作中对于会计软件的使用只是局限在核算上,对于其他作用、功能不加以使用推行,以至于有些单位花钱买了软件却没有真正使用。
2.会计管理基础工作不够规范
会计管理基础主要指有一套比较全面、规范的管理制度和方法,以及完整的规范化的数据,会计基础工作主要指会计制度是否健全,核算规模是否规范,基础数据是否正确、完整等,这是搞好电算化工作的重要保证。很多单位往往认识不到这一点,在实施会计电算化时仓促上马,使得系统初始化先天不足,导致电算化系统带病工作,埋下许多隐患。
3.缺乏完善的会计电算化管理制度
为了使会计电算化工作规范运行,财政部从1994年开始到目前为止,相继颁布了一些规章制度,对于这些专门针对会计电算化的规章,许多相关人员并不知道和了解,因此,有时在实际操作中已经违规了,但操作者不清楚,单位的领导也不知道,同时也没有相应的部门去纠正,更谈不上有部门监督管理了。有不少已经实行会计电算化的单位,虽然知道国家制定的规章,但并没有真正地实施这些规章制度。比如有些单位对会计电算化操作人员没有严格实行权限限制制度,操作员密码公开或不设密码,为越权使用和数据篡改留下隐患;有些单位人才缺乏致使会计电算化系统维护这一制度形同虚设;还有些单位没有建立专门的会计电算化机房,没有制定相应的上机操作制度等等。
4.人员素质不高,安全保密意识薄弱
首先,会计人员素质不高。表现在:⑴会计人员知识不全面,由于各种原因,许多事业单位会计人员与企业相比,老龄化明显。许多年龄较大的会计人员对会计业务比较熟悉,但对计算机知识了解有限,而要使得计算机知识和会计工作经验有机结合,还有待时日。⑵计算机培训教材老化。计算机技术发展很快,几年时间,计算机速度提高了几十倍。软件操作系统也有质的变化,而现在的教材大多是几年前的。所介绍的知识陈旧,实用性不强,经过这样培训并通过考试的人员实际操作能力差,只是拿个证而已。⑶对会计人员的再培训和定期考核缺乏,没有系统性。
其次,会计人员对财务数据的安全保密不够重视。在许多事业单位可以看到,许多装有财务软件系统的计算机仍没有并入国际互联网,许多会计人员利用工作的闲暇时间上网打游戏,殊不知,电脑已经处于极度危险的状态,病毒侵袭,黑客攻击,随时都有可能发生。
二、采取的方法与对策
1.提高认识,真正确立会计电算化的重要地位
在事业单位的财务管理工作中,主要领导的思想和行为具有决定性的作用。首先各级领导尤其是主要领导应充分认识到会计电算化的重要地位极其对会计工作深远。只有领导认识“下属才能认识”,其次,会计人员一定要认识到会计电算化不仅仅是记帐技术的革命,而且对于会计学科本身也是一次大的革命。可以使会计人员能从记帐、置帐、报帐繁杂的工作中解脱出来。将有更多的时间和精力用于资金管理。所以会计人员一定要深入钻研业务,真正做到精通财务软件。
2.做好会计管理基础工作,为会计电算化的实施打下良好基础
会计电算化的应用,对会计人员提出了更高的要求,要积极推进会计电算化进程,就必须大力加强人才培训的力度,提高会计人员综合业务素质。在培训的内容上要切合实际工作需要及时更新培训内容,学了能够用得上,完善会计人员会计电算化骨干力量,建立良好的培训机制,落实造就一大批既能够精通计算机信息技术,又专于财务管理知识,能够熟练地进行财务信息的加工和分析,满足各方对财务信息需求的复合型人才。同时,为了财务数据的安全性和保密性,在实际操作中可以从以下几方面着手:一是建立健全对病毒,电脑黑客的安全防范措施;二是加强网络安全防范能力,对网络会计系统的安全防范能力采用一些措施,例如采用防火墙技术,网络防毒,信息加密,身份认证,授权等。
3.建立健全完善的会计电算化管理制度
对于事业单位会计电算化管理的混乱,要结合单位的实际建立单位内部会计电算化的管理制度,以确保会计电算化的正常运作。这个管理制度体系一般包括:⑴人员管理制度。主要是对会计电算化信息系统人员的任职资格进行规划并划分职责。⑵操作管理制度。主要包括操作规程,操作权限,操作记录,管理制度及内部制度。⑶数据管理制度。主要包括数据输入输出的管理,存档数据的管理和保密规程。⑷系统维护制度。主要包括系统维护任务,系统软件硬件的维护,系统维护权限的规定,机房管理制度等。
4.提高会计人员的业务素质,加大对会计电算化人才的培养力度
拓宽渠道,培养人才,是提高会计电算化人才素质的关键。要进一步改革人才教育培养的相关制度,多方面、多形式、多渠道培养会计电算化所需各个层次的人才。重点掌握会计电算化应用软、硬件的开发、改进、维护等问题。而且,要加强从业人员的再教育。一是要求会计人员树立会计信息化的观念。二是要求会计人员掌握更丰富的会计电算化相关知识。随着网络技术的革新和电子商务的发展,财务软件也向网络化和管理型的方向发展,因此,掌握必要的网络知识和管理知识将成为时代对会计人员的必然要求。
参考文献
[1]张惠.会计电算化在事业单位应用现状与对策分析[J]《中小企业管理与科技》,2008年
[2]贾海娥.浅析我国会计电算化[J]《科技情报开发与经济》,2007年
[3]李俊峰.浅议我国会计电算化发展的现状及对策[J]《科教导刊》,2009年
篇9
一、操作管理制度
操作管理制度是指应用单位对系统操作过程的控制和管理,其主要内容有权限设置、审核凭证、登记账簿等。
1.操作人员权限设置
财会电算化通过设置口令,分配操作人员的权限,实现内部控制,达到规范管理的要求。应用单位应设置系统管理员,对操作人员口令密码和使用权限实行严格的控制管理,即系统管理员根据操作需要确定操作人员,并根据会计工作岗位和人员分工情况分配操作人员的使用权限,确定相应的工作职责。
对会计主管、出纳、制单、上机操作、审核、系统管理、档案管理等都要明确到人,严禁出纳兼管微机操作、审核和会计档案资料的保管。每个操作人员只拥有分工范围内的操作权限,口令是操作人员身份的标识。系统操作人员一般不能拥有对系统的修改权,也不能调阅系统的文档资料和系统的源程序。操作人员之间应有必要的权限分工。
2.确保原始数据操作的准确度
在电算化会计中,原始数据在输入中发生错误,计算机无法识别,只会将错就错地进行各种计算工作,因而其准确性完全依赖于原始数据输入的准确与否。会计电算化这一固有弱点就要求:一切数据的处理方法和过程都必须规范化,并保证准确性和相对的稳定性,这样才能保证会计信息质量的真实性、完整性和准确性。
3.预防记账凭证等会计数据未经审核而输入计算机
数据录入人员只能严格按照凭证输入数据,不能擅自修改凭证数据,如发现差错,应退回手工凭证的编制及审核人员,由手工编制及审核人员进行修改。
4.预防已输入计算机的原始凭证和记账凭证未经核对而登记机内账簿
数据录入人员与机内凭证的审核人员必须由两人分别担任,不能互相替代。除系统维护员为进行软件维护外,任何人员不能直接打开库文件进行库记录的增、删和修改数据。
5.配备上机操作记录
所使用的软件具有自动记录上下机操作的功能,这些记录应定期打印并存档保管,一旦发生问题,追究责任有据可查,杜绝无权操作人员上机操作会计软件。除此之外,系统各功能工作效率和质量应有记录,并应对记录的责任人、内容及事后分析、处理工作制定明确的规定。
二、系统维护制度
(一)硬件、软件管理制度
主要是为保证计算机系统和机房设备的正常运转和会计软件的保密实行的控制,这是系统安全运行的基本条件。
1.保持机房和设备整洁。每次操作完毕,要按规定程序关机,整理好有关设备;每天将设备擦拭一遍,将机房打扫一次。
2.实行专机专用。装有会计应用软件的计算机,除可处理一般性文档文书外,一律不得作其他用途,尤其不准上互联网。
3.每个操作人员密码不得相同,而且相互保密,确保非规定操作人员不能进入会计软件操作。除授权外,非工作人员一般不得进入机房。
4.对计算机硬盘进行分区操作,正常业务处理在C盘操作完毕,要及时保存、关机。所有会计资料,每月要在D盘或其他区域保存一次。
5.对正在使用的会计核算软件进行修改,必须由上级主管部门指定专门业务技术人员操作,本站人员不得随意修改。
6.计算机硬、软件出现故障时,由电算主管安排专人排除。
7.一般情况下,不得使用外来的磁性介质。确需使用时,必须经过查毒杀毒。本单位磁性介质经外单位计算机使用后,也必须经查毒杀毒后方可使用。
8.电算主管员每季末对机内软件和会计数据必须检查一次,防止被人更改及破坏。
(二)会计数据的安全保密制度
对会计软件进行安全保密控制,定期检查会计软件是否被非法修改,定期检查使用电脑是否存在病毒,目的是为了防止软件被他人有意或无意篡改、更换或破坏。电算主管必须有强烈的保密意识,对整个电算系统的安全负有不可推卸的责任。
1.指定专人保管数据文件的备份软盘,并实行严格的登记、监督制度;
2.未经上级农经部门授权不得轻易对会计核算软件进行修改;
3.保管软盘应做到防高温、防霉、防震、防磁场、防盗等安全措施;
4.调阅会计软件和会计档案,须经乡(镇)农经站长签字同意,并实行严格的登记监督制度。
三、会计档案管理制度
会计电算化后,大量系统软件、会计数据存贮在磁盘中,会计主管上机审核完凭证后,由计算机自动登账,自动账转表,全部过程都在计算机里完成,既快捷又整齐划一,使会计档案也上了一个新台阶。但同时也对原有的档案管理提出新的要求。档案管理制度是存档数据完整、安全、保密的保证,电算化系统的档案管理制度除原有的档案管理制度外,还应有:
1.以磁性介质存储的和计算机打印出来的记账凭证、会计账簿、会计报表等会计数据,必须存档保管。保管期限与手工记账资料一致。
2.磁性介质保存的会计档案,除做到防火、防潮等纸质档案管理的一般要求外,还必须做到防磁、防尘。会计账簿和会计报表等重要资料必须保存双份,并要求分别存放。
3.保存会计档案的磁性介质上,必须要有明确标记,以便于归类保存和查找。
4.利用磁性介质保存的会计资料,每年初检查一次,每三年重新复制一次,防止因损坏造成资料丢失。
5.各村的会计档案单独逐年保存在磁性介质中,不得将不同村的档案保存在同一磁性介质中。
6.原始凭证仍然单独立卷存档。
四、机房设备管理制度
机房设备安全和计算机正常运转,主要通过机房管理制度来保证。机房管理的主要内容包括:
1.配备稳压电源和不间断电源,建立对设备进行经常性检查的定期维护保养的规定,对机器设备的运行情况及维修情况应进行记录;
2.操作密码由电算主管设定,每半年更换一次;
3.操作人员操作完毕或中途离开机房,必须退出会计核算软件,不得在会计软件应用状态下离开机房;
4.建立必要的应急计划,并制定相应措施以保证发生故障时系统能及时得到恢复。
篇10
一、会计电算化系统存在的安全风险分析
1 会计电算化系统故障风险。计算机会计信息系统主要由硬件和软件构成,硬件是系统的身躯,软件是系统的灵魂。由于机械故障、零配件损坏、突然断电、操作人员失误等原因有可能导致硬件系统失灵,由于非法调用和修改,软件系统因此受到破坏。在网络环境中,网络的开放性、动态性和虚拟性导致系统的一致性和可控性降低,一旦遭遇系统阻塞、病毒侵入或黑客袭击,将导致系统的混乱甚至瘫痪。
2 会计信息数据的失真。会计信息是对企业生产经营活动的综合反映,满足企业的内部管理和外部相关部门和个人的需要,信息的质量直接影响到企业的经营管理和预策、决策。会计信息的真实、完整和准确是对会计信息的基本要求,一旦会计信息系统的安全受到损害,最为直接的就是会计数据的错误、数据的丢失或被篡改,致使信息失真,这里的不安全因素表现为:一是硬件缺陷,如计算机硬盘的损坏而又没有数据备份的情况下造成数据丢失。二是人为的误操作和有意破坏,造成数据丢失和被篡改。三是外部环境如操作时停电或处于磁场环境磁盘被磁化造成数据丢失。另外在电算化网络环境下,一些非法用户的侵入或数据在网络的传输中数据被截取和篡改,也将造成信息的不安全。
3 数据输入输出错误风险。在电算化条件下,会计数据来源于原始凭证或记账凭证,如果缺乏有效的控制,一旦输入错误的数据,计算机接受这部分数据并进行自动化处理,将引发错误的连续性和重复性,造成会计账簿和会计报表等信息输出错误,给投资人、债权人及其关联单位等信息的使用者带来重大损失,会计数据的真实性和完整性难以保证。在网络环境中,会计数据通过通讯线路传输,数据来源的广泛性使得其面临着被未授权人员的非法截取或修改,会计数据的安全性和可靠性难以保证。
4 企业资金结算的安全问题。在网络经济的电子商务环境下,企业经营越来越依赖于客户,企业在网上的财务活动日益增多,如网上定购、网上销售、网上结算、网上理财、网上证券投资及外汇买卖等,买卖双方都是不谋面的信息交流,完全凭借双方的信誉进行交易活动,这样企业就面临着财务结算的安全问题,一些非法用户侵入他人的计算机系统,通过网络传输非法转移电子资金及通过窃取密码盗窃银行存款,致使企业资金面临安全风险。
二、有效控制电算化会计数据安全风险途径分析
1 建立健全会计电算化管理制度。建立健全会计电算化管理制度,是确保会计核算操作安全,及时、准确提供会计信息的根本保证,是实现企业会计电算化的前提。制度的建设,包括内部控制制度和宏观管理制度及参与国际安全协议的方面。内部控制制度包括人员管理制度、操作制度、安全保密制度、会计档案管理制度及内控制度,它们对系统的正常运行,会计信息的真实可靠可起到一定的保障作用。宏观管理制度包括会计软件管理制度和法规,电算化网络管理制度及防止和打击网络犯罪法规等,通过建立宏观管理制度,可以加强对上市的商品化会计软件管理,有效打击网络犯罪,惩治网络黑客。为了保证Internet网络的安全和用户的利益不受侵犯,国际上相继制定了系列安全协议,如安全电子交易规范、安全的超文本传输协议等,这些协议对规范网上行为起到了一定的促进作用。我国面临着加入世贸组织,应加快推进安全协议制度的实施和完善,以降低电算化网络的风险。
2 进一步完善电算化会计系统的软件管理制度。电算化会计系统投入运行后,首先应保证会计软件运行的安全会计软件必须具备安全和保密功能模块。软件设计者应开发权限设置、自动校验、提示功能、保护功能等模块,并融合到系统软件中,引入各种控制机制,使各业务系统成为基于同一种操作系统平台的大系统。各种业务之间能相互衔接,相关数据能够自动核对、校验、备份。为了会计核算资料安全保密,任何人不允许直接使用命令打开数据文件对数据操作,或使用工具软件直接对会计软件的文件进行操作,能够自动进行数据备份,保存会计档案资料以磁性记录形式并进行加密存储。
3 切实加强病毒的防范和控制。对于计算机病毒应采用“防、查、杀”相结合的方式,坚决防止计算机病毒的传播,一定将病毒对系统的潜在破坏性减到最少。防范工作应从这几方面进行:必须使用正版软件。由于购买的盗版软件从非正规渠道,则可能携带病毒,要提高对计算机异常现象的警觉。发现计算机有奇怪的现象的出现可能意味着计算机感染了病毒、计算机中存在有问题的软件或出现了硬件故障;及时升级反病毒软件。定期备份数据。数据一定要至少每周备份一次,通常要进行异地备份;对外来软盘要进行防病毒检查专机专用,决不打开来历不明的邮件。
4 在财务软件中增加安全功能。会计电算化软件各层数据处理应层层设防,在软件功能上增加必要的提示功能、检验功能和限制功能,要防止操作失误造成数据破坏,操作人员进入系统要设置口令和密码,以防无关人员非法进入。系统各模块也要设置相应的口令,并对系统操作人员进行授权,防止无权人员的操作。在系统中应建立起“操作日志”,记录所有人员对系统所做的操作,包括操作的时间、操作人员姓名、操作内容等,这样一旦出现问题,可以依据“操作日志”所提供的线索,对有关人员进行核查。