财务软件系统的修改和维护

基于“全网络安全”理念的安全管理整体解决方案可以从平台安全、硬件安全、软件安全、安全管理体系、人力资源质量等方面对网络会计系统进行整体安全保护。是基于这一思想的网络会计信息系统安全问题的整体解决方案。

(1)平台安全。确保网络办公平台的安全是网络会计系统中最重要的组成部分。本方案采用三种技术，确保平台安全：防火墙、虚拟专用网（VPN），入侵检测技术。防火墙作为屏障，合理使用防火墙可以保护企业会计信息的安全和有效。主要作用是检查网络通信，过滤不安全服务，防止非法用户进入内部网络，限制用户访问特殊网站，有效隔离内外网络。通过防火墙检查所有外部网络的访问请求，使企业内部网络的会计信息系统相当安全。当然，企业会计信息系统应保持相对封闭，不能连接与业务无关的终端，更不用说连接互联网，只能与业务相关部门共享资源。VPN（VirtualPrivateNetwrok）它是利用公共网络资源形成企业专用网络，整合了防火墙和IPSEC隧道加密技术的优点，可为整个集团内部通信提供安全的信息传输渠道，简化网络管理，节约成本。VPN隧道技术、加解密技术、密钥管理技术、用户及设备认证技术四项核心技术，为网络安全提供了一定的保障。入侵检测是指通过操作行为、审计数据、安全日志或其他网络上可获得的信息来检测系统的入侵或入侵。入侵检测技术是弥补防火墙的不足，主动检测系统外的入侵，监测防火墙内的异常行为。实时监控是会计信息系统的必要措施。通过建立操作日志，跟踪日常会计活动的全过程，单独列出大型、异常的经济业务，详细反映，及时提醒。

（2）硬件安全。硬件系统安全，会计信息系统正常运行必须有良好的硬件设备，保证硬件系统的配置和管理。在配置方面，选择合适的输入输出设备并调制解调器（MODEM），路由器和其他互联网设备，以及适当的网络服务器。同时，硬件设备必须具有优良的质量和性能，数据安装双硬盘，数据备份；管理方面，制定机房相关设备定期检查制度，采取防火、防尘、防水、防盗、恒温、UPS电源（防止信息中断）、重要数据远程备份、机房报警系统安装等保障措施。

(3)软件安全。操作系统是整个信息系统安全的基础。一方面，要尽量选择具有自主知识产权的操作系统，减少“暗门”等对系统安全的影响。目前，我国计算机使用的操作系统基本上是进口产品，由于缺乏独立技术，会计信息网络安全性低，不能满足会计信息的保密要求，急需高水平本地化软件；另一方面，会计信息从业者应注意操作系统的正确使用，如实时扫描漏洞和修复、账户、密码和权限管理、记录安全日志和审计、下载补丁等，可提高操作系统的安全性。数据库软件和会计信息系统的核心是存储在数据库中的数据，这是所有应用程序的基础，因此有必要对数据的安全性、完整性和保密性采取保护措施。在开发数据库软件时，应考虑数据库系统的稳定性、可扩展性、高效性和安全性。在导入各种外部数据信息之前，必须经过病毒检测程序，严格控制财务数据的导出，防止信息泄露。财务软件系统的修改和维护必须经相当领导批准。数据备份和数据容灾是保护数据库的重要措施。数据备份是指在远程网络设备上保存数据，防止数据丢失和损坏；数据容灾是指在不同的地方建立两套或两套以上功能相同的IT系统，相互进行状态监控和功能切换。当一个系统因事故停止工作时，整个应用系统可以切换到另一个地方，使系统功能继续正常工作。

(4)安全管理制度。包括应用控制、数据控制、访问控制、安全管理系统、内部审计五个方面。应用控制是指在会计信息系统中，应用控制是指控制具体的数据处理活动，包括数据输入、输出和处理控制。数据输入时，会计信息系统应能够纠正数据合理性、重复输入验证、逻辑关系测试等工作。在网络环境下，会计数据的输入由多人承担，可以设置不同的审核方法，系统可以对不同的数据进行比较。当多用户同时操作时，系统会自动生成连续的凭证号，使数据有效清晰。严格限制财务数据的修改权限，对修改数据的操作，应提供可打印的备查界面。认证机构提供的电子数据发放和接收记录清单，保障双方权益。数据控制又称数据保护，可分为安全控制、完整控制、并发控制和恢复。安全控制主要是为了防止数据泄露和破坏，主要措施是授权和收回授权。企业前内部人员必须及时收回授权；完整性控制是为了保证数据的正确性和相容性。确保数据在数据通信传输过程中的完整性。如果被篡改，接收器可以通过软件及时检测到。数据输入能否正确进入系统，与数据库软件的输入模式、数据格式及相关数据导入的兼容转换密切相关。中国许多企业都有结合自身特点的会计信息系统。为了提高会计信息系统的管理水平，还需要将财务信息系统与企业的其他管理信息有机结合。同时，不同财务软件的数据交换，制定统一规范的标准。并发控制是确保数据库的统一性不受多个事务同时存取数据库中同一数据的破坏。恢复是指数据库系统发生故障后，能自动恢复到正常机制。访问控制是确保网络安全最重要的核心战略之一，其主要任务是确保网络资源不被非法使用和访问。访问控制涉及到广泛的技术，包括网络访问控制、网络权限控制、目录级控制和属性控制。会计信息数据的访问仅限于授权用户，并层层加密，禁止处理未经授权的业务。对于关键财务信息资源，授权范围应尽可能小。根据网络环境下会计信息系统的需要，设置各级职位的责任和权限，防止非法经营；注意不相容职位的分离，在不同职位之间设置一定的限制机制。如果系统管理员不能从事日常会计处理业务，记账凭证必须经审核员审核后才能生成账簿。安全管理制度、严格完善的法律、法规、规章制度是网络环境下会计信息安全的制度保障。目前，我国还没有专门的网络会计信息安全法律法规，暂时不能满足现有信息安全的需要。因此，要逐步制定符合我国国情的网络会计法律体系，规范网络交通的购销支付和会计行为，为网络会计的发展提供良好的法律环境。另一方面，企业本身也应建立安全管理部门，制定安全管理制度，对操作人员进行安全技能培训。会计信息系统在开发、用户管理、业务操作、数据存储、档案管理等方面都有章可循。内部审计是指审计人员应熟悉企业会计信息系统的运行机制，不仅要审查数据的输入和输出结果，还要审查各种规章制度，确保符合当前会计准则和会计制度。严格审查和监督关键岗位人员，防止泄露或篡改数据或信息。企业应定期、不定期进行安全审计，及时发现系统和用户的异常行为。在网络环境下，还可以积极推进远程审计工作，通过审计分析软件进行辅助分析判断，及时发现问题，公布审计报告，及时纠正错误做法，促进企业会计信息的真实性和完整性。