浅析网络财务的安全与维护

【摘要】电算化的普及，网络商务的不断发展暴露出当前会计软件的不足，必须加强网络财务的安全防范，采取多种措施做好日常安全与维护。

随着我国会计电算化进程的不断推进，不少企事业单位已经开始使用微机进行会计业务的处理。会计电算化不仅使广大财会人员从繁重的手工劳动中解脱出来，减轻了劳动强度，更主要的是通过现代化的核算手段和管理决策手段，大大提高了会计信息搜集、整理、传输反馈的灵敏度和准确性。新的财务会计制度的执行和国家新税制的实施，会计软件已渐渐不适应进行各项会计业务核算的要求。

一、当前会计软件存在的问题

（一）在会计的日常业务中，工作繁重，任务较多

由于单用户系统只允许一人上机操作，使得大量的数据不能及时录入，影响了会计人员对数据的及时反映。

（二）数据的安全保密性弱

目前单用户会计软件对数据信息的保密意识较差，有数据安全保密性的会计电算化软件很少，在多数软件中，数据往往完全暴露在所有用户的面前，一个能打开计算机并且成功登陆的用户，往往也可以随意查询、修改数据甚至有意地破坏数据。

（三）系统开发工具选用不恰当

目前我国的会计软件绝大多数是建立在数据库基础上的。一般说来，数据库的管理系统可分为两种档次：单用户档次和多用户档次。我国会计电算化软件虽然有网络版，但都只是些基于小型数据库、微机局域网工具开发的初级网络产品，其数据系统是大众化的，如FoxBASE、Access、Foxpro等，价格一般较便宜，整个系统也比较简单，它们先天就缺少许多用户数据库所具有的优秀特性，被大多企业用来开发会计电算化软件。多用户数据库管理系统是指那些性能卓越的大型数据管理系统，如ORACLE、SQLSERVER、INFORMIX等，它们价格昂贵，整个系统也较复杂，但功能非常强，完全可以根据用户的需要进行数据的共享与安全保密，并且具有完善的开发控制机制和极强的容错能力，能满足多用户会计电算化的各种要求。

二、加强网络财务安全的措施

由于网络财务所具有的不同于单用户会计系统的开放性、不易管理及用户技术水平限制的特点，因此在日常使用过程中，除了会计软件自身的防护以外，其所依赖的网络操作系统、网络硬件环境的维护与管理也是极其重要的。在日常安全方面，应注重以下几个方面：

（一）操作系统的基本设置与维护

以windows NT4.0为例，磁盘分区类型宜采用NTFS系统，可提供比FATl6、FAT32更加有效的数据保护、更快的数据访问速度，不仅支持单个文件及文件夹的共享权限，而且支持分类更细、更严格的NTFS权限。当共享权限与NTFS权限不一致时，将采用最具限制力的权限，最大程度上杜绝了信息泄露的可能性。可用系统下的“磁盘管理器”(disk administrator)工具完成分区的设置与创建。

（二）操作人员的账户设置与维护

操作人员应分别设立各自独立的账户，不同类型的操作人员对应设置不同的权限和账户策略，限制最短密码长度和最长密码寿命，强制用户采用安全系数较高的不易被猜到的密码，并且定期更换。口令应该由大小写字母、数字、符号等多样化组成，避免单一，以提高密码的有效性；同时应经常改变口令，可以实行定期改变口令的方式，如每周或每十天改变一次，在有泄露嫌疑的时候则应即时更改。限制不成功登陆次数，如果多次登陆失败，就将其账号锁定，防止使用密码破解工具的可能性。以上操作可在“用户管理器”(user manager)及“账户策略”(account policy)菜单中完成。使用户在任何终端，无论是本地登陆还是远程登陆都具有相同的权限和密码策略。

（三）系统管理人员的账户设置与维护

对于试图猜测口令的非法用户，NT的用户管理器(UserManager)可以设置防范措施，例如5次口令输入错误后就禁止该账号登录。问题在于系统管理员这个最重要的账号却用不上这项防范措施，即使将系统管理员的权限全部授予某个用户账号，并且只使用该用户账号进行管理，但是由于系统管理员账号本身不能删掉或废止，因而非法用户仍然可以对系统管理员账号进行口令攻击。因此一种较有效的方法是将系统管理员账号的用户名由原先的“Administrator”改为一个无意义的字符串。这样要登录的非法用户不但要猜准口令，还要先猜出用户名。在User Manager的“用户(User)”、“重命名(Rename)”菜单选项能实现这一功能。用于提供Internet公共服务的计算机不需要也不应该有除了系统管理用途之外的其他用户账号。因此，应该禁止Guest账号，移走或限制所有的其他用户账号。如果用的是NT4.0，可以用工具箱(ResourceKit)中提供的工具封锁联机系统管理员账号。这种封锁只对由网络过来的非法登录起作用。账号一旦被封锁掉，系统管理员还可以通过本地登录重新设置封锁特性。

（四）系统审计日志的维护

启用NT审计系统，就可以审计各种操作成功和失败的情况。系统的启动和用户登录，文件的读取和修改、存储，用户权限的更改，都将记录在审计日志中，通过查看审计日志，能够很容易地了解文件查阅和更新的时间和次数，对可疑的操作能及时发现并且提供查询线索。另外，应注重审计日志本身的保护，防止非法用户在进入系统之后刻意抹掉其活动踪迹。

（五）网络协议的维护

连接到Intemet上的NT支持NetBEUI和TCP／IP两种传输协议的Windows网络功能，包括目录和打印机共享和远程管理。这种特性为管理员提供了方便，但同时也使非法用户找到了可乘之机。可以使用网络控制面板中的绑定(binding)对话框禁止多种基于NetBIOS服务与TCP／IP之间的绑定。由于NT的网络服务同时运行多种传输功能，做上述操作的计算机之间可以使用Server、Workstation和其他服务进行对话，因为这些对话不是从Internet上走，而是通过NetBEUI通道。因此，完成了操作之后，不仅是非法用户，就连系统管理员也不能做远程驱动器访问和远程编辑活动了。

（六）通讯端口维护

可通过安装防火墙等方法关闭未定义的开放通讯端口，防止非法用户通过这些暗藏的通道进入网络，获取重要信息或造成恶意破坏。

（七）设置开机口令

设置了开机口令的计算机在启动时会要求用户输入口令(Password)，如果不输入正确的口令则无法进入计算机，虽然以前较早版本的BIOS有一些通用口令或是“软放电”可以开机，但现在新型的BIOS已经杜绝了此类后门，安全系数较高，除非用户打开机箱采用CMOS电池硬放电、跳线设置等方法，方可破解此类密码。这种方法能有效地阻止非法用户在短时间内进入计算机，造成对系统和数据的损坏。

（八）设置屏幕保护口令

会计电算化人员在操作微机的过程中若有短时间离开，而此时并未关机或退出财务软件，可能使非法入侵者轻易做到从本地登录网络而造成系统的破坏。通过设置屏幕保护口令，可以有效解决此类问题。

（九）注意病毒的防范

层出不穷的电脑病毒对电算化资料的危害是不言而喻的，而且病毒在网络中会以惊人的速度传播，造成的危害会进一步扩大，对付病毒最重要的方法之一就是防范。要有严格的操作规程，会计电算化的微机一般不作它用，要杜绝来历不明的软盘、光盘的使用，尤其是盗版光盘中可能存在大量病毒，新产生的病毒往往是杀毒软件所无能为力的。因此应当安装一些杀毒软件，如：KV3000、瑞星杀毒、TrendPC―Cillin98等，并及时更新版本，定期升级病毒包，但要注意一般一台微机上不要同时安装多个杀病毒软件，以免引起不必要的麻烦。

（十）经常备份资料

服务器数据在有充分备份的情况下可以很快恢复，在无有效备份的情况下谁都束手无策。应定期将服务器主硬盘上的系统和资料备份到另一可靠载体，如独立硬盘，可写入光盘等存储介质，并将备份加以妥善保管。一般可以借助财会软件自身的备份功能，还可以使用专业备份软件，如非常有名的NortonGhost．Drivelmage等，这样当出现灾难性事件时就可能得到较为快速、完全的恢复，最大限度地减小损失。