浅析企业财务网络安全与防护

摘要：随着计算机技术和通信技术的发展，实现企业财务网络化已是我国现代企业财务建设的当务之急。在信息战不断深入的今天，文章围绕如何实现企业财务网络的安全与防护，着重分析了网络所面临的威胁、防护方法以及安全管理策略，并就防护方法、人才培养和安全管理策略方面提出了相关的建议。

关键词：企业财务；网络安全；防护

企业财务部门是最早使用微机办公的部门之一，在加强信息化建设的同时，以指挥自动化网为平台的企业财务网络化建设也取得了长足的发展，且各局域网之间留有相应的接口，起到了很好的示范作用。

随着现代企业纵横配套的光纤线路的建成，企业内部已经基本上实现了数字化通信，企业财务系统的网络框架已经基本显现。但各相关单位企业财务信息化建设进度不一，相关的网络协议标准不一致，防护水平不高，绝大部分设备还没有更新，其技术水平还不能适应更高的要求，一些关键部位的设计构造，如网络拓朴构型，通信协议标准的制定等，与抵抗信息化打击的要求相差甚远。

为了确保企业财务信息系统畅通和财务保障的精确、及时、高效，就要尽快把企业财务网络安全纳入到信息网络的综合防护中来。

一、企业财务网络安全所面临的主要威胁

一般来讲，网络面临的威胁主要可分两大类：一是对网络中软件、协议以及所传输信息的威胁，即“软”威胁；二是对网络中基站、终端、传输媒介等网络实体的威胁，即“硬”威胁。从形式上表现为：计算机犯罪、人为行为、“黑客”行为、信息泄露、电子谍报、电子干扰、病毒攻击、火力打击、意外事故、网络软件与协议中的缺陷等，都是威胁网络安全的重要因素。

另外，从技术的因素考虑，影响网络安全的因素还存在着技术与非技术的两种情况。

技术因素，即网络系统自身存在的不安全因素。如网络协议中存在的漏洞；应用软件（财务软件等）在开发设计时，聘请的编程人员可在软件中设置非外人所知的程序入口（即“后门”），必要时可通过此处访问用户，盗取文件；网络通信平台中主机设备、线路、光缆发射电磁声光信号而泄密；在数据传输过程中，各接口的不可靠性，造成信息丢失等。

非技术因素，即人为的管理因素造成的网络漏洞。如保密观念不强，在与互联网相连的主机上处理密级材料，并将其存入硬盘中；忽视口令管理和用户访问权限的设置，虽给计算机上了“锁”，却“锁”而不严，谁都能打开；在大部分企业内部，办公主机既连单位的局域网，又接地方的互联网，出现一机多用的现象等。要实现网络的安全就必须想办法在一定程度上克服以上所述的种种威胁与隐患，通过技术策略和安全策略两方面的努力，来确保网络系统的安全。

二、企业财务网络安全的防护

（一）企业财务网络安全的技术防护

1、采用安全传输技术进行防护。企业财务网络的传输介质由光纤线缆、金属线缆和通信卫星等构成，对传输的信息以光信号、电信号和电磁信号的形式进行传递，基于传输介质的特性和所传输信息的特征，对企业财务网络中所传送的信息可采用加密技术、业务流填充技术和干扰与屏蔽技术来进行防护。首先，加密技术可采用先进的密码体制及成熟的加密系统等，对所传信息予以加密保护。如用量子密码体制可对光纤中所传输的光信号以光量子的形式进行加密，采用此技术不仅可以防止窃听，而且通信双方还可以及时发现有人在进行窃听，进而结束通信，再生成新的密钥进行传输。这改变了以往信息被窃听而不易被发现的局面，这一技术还可以在网络中运用于卫星通信，但不适用于金属线缆通信。其次，业务流填充技术可以在网络中连续发送随机序列码流，使网络中不论忙时或闲时信息流变化都不大。从而防止网络窃听者通过对网络中信息流流向和流量的分析来获取敏感信息。再次，通过干扰和屏蔽技术来抑制金属线缆通信、卫星通信中电磁信号的外泄，利用反相抵消技术和特殊调制方法来减弱和隐蔽信息流，采用扩频、跳频技术，干扰敌方的电磁窥探。

2、采用网络防御技术进行防护。所谓网络防御就是要构筑网络系统的“铜墙铁壁”。（1）对基站及终端的主机设置各层次的账号、口令，利用地址识别技术、包过滤技术、网络地址转换――NAT技术、技术等构建第一道防线――防火墙，即在内部网络和外部网络之间建立相应的网络通信监控系统，来阻止“黑客”、病毒等对内部网络的攻击。（2）采用相关软件的底层接口技术、扫描技术、算法优化技术等对那些透过第一道防线的“黑客”，病毒等进行及时的堵截封杀，防止其在网络中蔓延。如：应用程序底层接口技术，是为了在查杀那些针对某一类应用软件而设计的病毒时，能够从应用程序底层的接口深度地开展查毒、杀毒。（3）利用访问控制技术可以防止来自于网络内部的威胁，既防止合法用户非法操作，对隐蔽在系统内部的潜在威胁也有一定的御防作用，如利用强制访问控制技术可以抵抗特洛伊木马的攻击。

3、采用入侵检测技术进行防护。入侵检测是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略。如网络入侵检测系统可以判断出应用层的入侵事件，这样就极大地提高了判断“黑客”攻击行为的准确程度；利用扫描功能对系统软件、应用软件以及硬件进行缺陷、漏洞以及隐蔽程序（陷阱门）进行检测，使管理人员能及时发现并对其进行修补。并可以对非法用户的入侵进行识别和处理，可以作为网络系统的最后一道安全防线。同时它还能提供扫描、安全审计、监视等多种功能，不仅能检测来自外部的入侵行为，也能检测内部用户的非法越权操作。

（二）对企业财务网络中网络实体的防护

1、对网络实体要尽量国产化。网络实体是指网络中各类设备（包括节点机设备、通信设备、终端设备、存储设备、电源系统等）以及为此服务的其他硬件设备的总称。对于生产通信设备、存储设备和电源系统中所涉及到的产品技术，我国已经达到甚至超过了世界先进水平，因此这些设备已基本上实现了国产化，然而终端设备、节点机设备在某种程度上还依赖于进口。目前，我军各级各类网络计算机都是民用产品，其机内核心芯片基本为进口产品，倘若对方在出口我国的计算机产品中隐藏“逻辑炸弹”或预留“陷阱门”，后果将不堪设想。据悉，奔腾III处理器，就留有窥视用户信息的后门，对此要保持高度的警惕性。2000年深圳桑达公司与清华大学合作研制成功了集互联、路由、管理、带宽优化、防火墙等功能于一体的SED―R系列路由器，缓解了此类设备依赖于进口的局面。

2、对网络实体进行合理的配置。网络实体的配置可分为实体与实体之间的配置和实体与软件之间的配置。对这两种配置要把握科学、安全和效率最大化的原则。首先，实体与实体之间的配置，就是对实体进行科学的组合以及实体的空间配置是否安全。如在电磁泄漏严重的显示器、金属线缆等周围加装一些射频信号干扰器，可以有效地阻止信息泄漏，防止敌方的电磁窥探；数据加密设备DEE（Data Encryption Equipment）可以与Modem安装在一起构成密码调制解调器，防止信息被非法截获；为了保障内部网络的安全，可以用过滤式路由器和堡垒主机对内部网络进行隔离。实体的空间配置可采用地面疏散及地下隐藏等手段，防止敌方的火力摧毁。其次，实体与软件之间的配置。该种配置主要从方便操作，易于管理，安全可靠的角度出发。根据实体的性能，选择最佳的软件（首选国产软件），由于各种软件都存在着一定的漏洞与缺陷，因此在慎重选择各种软件的同时，结合它们自身的优缺点，对实体和软件，以优补缺进行科学合理的配置，层层安装，层层设“卡”。并对操作系统及相关软件进行定期升级。

3、对网络实体的综合防护。实现由过去单纯的防护向伪装、设障、拦截、干扰、欺骗等综合防护转变，实现被动防护与主动防护相结合，完成企业财务网络安全防护的新跨越，对网络实体的配置地域实行区域屏蔽，防止敌方报文嗅探（网络窃听）。以“骗、打、藏”来提高实体的生存能力，即运用电子欺骗、伪装欺骗；实施信息对抗、火力对抗；采取疏散配置、工程防护。采用一切先进技术手段，完善防护措施和配套建设。在提高企业财务网络安全系数，使其经得起“软硬武器”杀伤破坏的同时，增强防护预警能力。

（三）建立企业财务网络安全防护的专业力量

集中专业人才，组建企业财务网络防护分队和计算机应急反应分队。以研究对付来自网络的计算机病毒攻击或“黑客”入侵等的对策，特召既熟悉专门业务，又精通计算机网络技术，具有丰富网络工程建设经验的工程技术人员、管理人员。切实做到让网络人才来管网用网。

国家人事部公布的2003年我国人才市场招聘与求职专业的情况中了解到，计算机专业的招聘数量为14.8万人，但求职人数为39.6万人，是招聘人数的2.7倍，这表明我国计算机人才市场充满活力，同时也可以在网络界和各大院校内广纳“贤才”，“以牙还牙”用“黑客”对付“黑客”，从而确保企业内部网络系统的安全。

（四）企业财务网络的安全管理策略

1、制定和完善相应的政策法规和标准规范。安全的基石是严格的法规、细致的章程制度和相应的手段。财务部应该成立相应的信息网络管理与安全中心，负责制定财务信息、基础设施（含安全保密部分）建设、使用和全寿命管理的政策和程序，建立信息网络安全标准认证和质量检测机制，指导后勤财务信息化建设的实施，保证企业财务网络持续、快速、安全地正常运转。

2、采用先进的技术。首先，先进的安全技术是财务信息安全的根本保障，企业财务网络对自身面临的威胁进行风险评估，决定其需要的安全服务种类，从而选择相应的安全机制，然后集成先进的安全技术，形成全方位的安全系统。其次，加强防护技术的研究，使防护手段由单一性向多样性转变。同时抓紧研究和发展主动防护技术，使其在理论和实践上有进一步的突破和创新，从理论上提高企业财务网络系统的防护能力。

3、实施有效的管理。（1）依赖于各级领导，要明确任务，深化原则，树立依法保护网络和信息安全的思想。逐渐完善适应企业财务特点的信息网络安全法规和条令条例。同时各级网络监测中心，安全认证中心等部门要充分履行自身的安全监察职能。从而建立层次分明，布局合理，结构完善的企业财务网络化安全法规体系。（2）加强企业财务工作人员的管理。近年来企业内部发生的信息安全事件，绝大部分是由于内部管理不善造成的，所以对人员的管理也要制度化，科学化。例如：采用“多人制职责分离”的方法；开展网络安全业务座谈会，宣传信息安全知识，深化网络安全意识，从而增强企业财务工作人员保护网络安全的责任感。

（作者单位：总后华北军用物资采购局）