摘要：近年來，財(cái)務(wù)管理軟件在企業(yè)中發(fā)揮的作用日益突現(xiàn)，但在財(cái)務(wù)軟件的數(shù)據(jù)安全控制上面，還存在著一定的缺陷與不足，容易被企業(yè)所忽視。文章分析了企業(yè)在傳統(tǒng)的財(cái)務(wù)工作模式下，完善其財(cái)務(wù)軟件開發(fā)環(huán)境與應(yīng)用環(huán)境數(shù)據(jù)安全性的對(duì)策與措施，存在一定的現(xiàn)實(shí)意義。

　　關(guān)鍵詞：財(cái)務(wù)；用友軟件；數(shù)據(jù)安全

　　伴隨科學(xué)技術(shù)的飛速發(fā)展，信息保護(hù)的方法與財(cái)務(wù)數(shù)據(jù)的加密方式日趨多樣化，財(cái)務(wù)數(shù)據(jù)安全性方面的論述與研究也在逐漸增多。筆者即從下述幾個(gè)方面，探討企業(yè)如何提升財(cái)務(wù)軟件的數(shù)據(jù)安全性問題。

　　一、我國(guó)財(cái)務(wù)管理軟件的數(shù)據(jù)安全現(xiàn)狀

　　對(duì)會(huì)計(jì)數(shù)據(jù)產(chǎn)生不安全威脅的操作，主要集中在兩個(gè)方面，一方面，刪除會(huì)計(jì)信息的相關(guān)文件；另一方面，對(duì)數(shù)據(jù)庫文件的內(nèi)容進(jìn)行修改。凡是實(shí)現(xiàn)了電算化的企業(yè)與單位，都會(huì)配套多種防范措施來保障自身會(huì)計(jì)信息的安全性，計(jì)算機(jī)開機(jī)都設(shè)有口令，未授權(quán)人員不得進(jìn)入機(jī)房進(jìn)行操作。目前我國(guó)無論是單用戶或是網(wǎng)絡(luò)用戶，其處理賬務(wù)的系統(tǒng)一般與外部網(wǎng)絡(luò)是沒有聯(lián)系的（不包含銀行系統(tǒng)）。因此，外部人員進(jìn)入計(jì)算機(jī)系統(tǒng)，修改會(huì)計(jì)數(shù)據(jù)的可能性相對(duì)較小。企業(yè)尤其需要防范的是自身財(cái)務(wù)軟件的內(nèi)部操作人員，有可能對(duì)會(huì)計(jì)信息文件進(jìn)行非法修改。

　　企業(yè)內(nèi)部會(huì)計(jì)電算化的工作人員，有可能尋找到各種手段與方法，達(dá)到其非法轉(zhuǎn)移資金、獲取商業(yè)機(jī)密、掩蓋舞弊行為的目的。伴隨工作人員計(jì)算機(jī)知識(shí)的不斷累積，再參照各類軟件的使用說明，對(duì)注冊(cè)表進(jìn)行修改已不是件困難的事，注冊(cè)表里的Admin密碼已經(jīng)不再安全。這樣一來，Admin與操作人員使用的密碼就沒有了作用，會(huì)計(jì)信息就更沒有安全可言。計(jì)算機(jī)系統(tǒng)的管理員主要是對(duì)系統(tǒng)進(jìn)行安全與維護(hù)工作，其主要內(nèi)容包含操作人員設(shè)置、會(huì)計(jì)賬套的引入與輸出等。如果得到了Admin密碼，就意味著能夠?qū)φ麄€(gè)系統(tǒng)進(jìn)行控制，可以進(jìn)行各種操作，后果不堪設(shè)想。

　　用友ERP-U8是我國(guó)用戶量最多、應(yīng)用面最廣、行業(yè)實(shí)踐經(jīng)驗(yàn)最為豐富的ERP，但其數(shù)據(jù)信息的保密措施也不盡完善：用一個(gè)賬套能夠進(jìn)行多個(gè)賬套主管設(shè)置的缺陷，新增一個(gè)操作人員，設(shè)置賬套主管的權(quán)限，利用該權(quán)限隨時(shí)進(jìn)行非法的操作；直接用原賬套主管密碼，用賬套主管身份非法進(jìn)行操作；利用某一操作人員密碼，非法進(jìn)行操作并陷害他人；獲取商業(yè)機(jī)密、刪除數(shù)據(jù)、非法篡改等活動(dòng)。非法操作完成后，再利用Admin身份清除有關(guān)的上機(jī)日志，就能夠不留下任何痕跡。不難看出，我國(guó)企業(yè)財(cái)務(wù)軟件的數(shù)據(jù)安全性存在著重大隱患。

　　二、財(cái)務(wù)軟件在開發(fā)環(huán)節(jié)的防護(hù)措施與加密技術(shù)

　　（一）實(shí)施數(shù)據(jù)加密的思路和原則

　　與普通的數(shù)據(jù)管理軟件相比較，財(cái)務(wù)軟件的數(shù)據(jù)加密功能，還存在著方便使用與規(guī)范處理之間的矛盾。一是軟件加密的控制措施不可獨(dú)立存在，要與企業(yè)財(cái)務(wù)的內(nèi)部分工以及崗位牽制相結(jié)合，使得掌握部分操作權(quán)限的會(huì)計(jì)電算化人員，既能在順暢的財(cái)務(wù)軟件環(huán)境里開展工作，同時(shí)又能保障系統(tǒng)的控制手段滿足會(huì)計(jì)人員業(yè)務(wù)處理的習(xí)慣；二是考慮到全面審計(jì)與責(zé)任確認(rèn)的方便性，應(yīng)該盡可能讓財(cái)務(wù)人員在利用軟件操作數(shù)據(jù)更新、修改、沖銷等過程中，留下能夠判斷其思路與動(dòng)作的痕跡。由此，在編程的過程中，強(qiáng)化密碼管理，完善分工權(quán)限的牽制職能等應(yīng)遵循下列原則。

　　1.分級(jí)控制法進(jìn)行操作職能限定

　　利用程序的基本功能對(duì)軟件操作的功能與規(guī)范進(jìn)行限定，以此為一級(jí)控制；系統(tǒng)管理員對(duì)系統(tǒng)參數(shù)以及一般操作員的管理權(quán)限進(jìn)行設(shè)置與掌握，這是軟件賦予主管人員特殊權(quán)限下的二級(jí)控制措施；由各個(gè)操作員對(duì)自己的操作記錄與操作權(quán)力進(jìn)行加密保護(hù)措施，這是個(gè)人權(quán)責(zé)范圍內(nèi)的三級(jí)控制。

　　2.對(duì)可控內(nèi)容進(jìn)行編程和操作的雙重控制

　　在設(shè)計(jì)程序的過程中建立起規(guī)范操作與功能范圍的限定，是全部操作人員無法進(jìn)行突破的，財(cái)務(wù)規(guī)范所確立的有關(guān)基本核算的各項(xiàng)制度，應(yīng)該在編程的環(huán)節(jié)進(jìn)行確認(rèn)；對(duì)于日常管控和個(gè)性化操作規(guī)程，則應(yīng)采用設(shè)置與配置的方式，在軟件運(yùn)用的過程中，由系統(tǒng)管理員統(tǒng)一進(jìn)行監(jiān)控，從而達(dá)到規(guī)范操作的目的。

　　3.崗位權(quán)限的分配環(huán)境要適宜

　　操作員進(jìn)行授權(quán)項(xiàng)目劃分，應(yīng)該與會(huì)計(jì)的職責(zé)分工相互對(duì)應(yīng)，可控項(xiàng)目授權(quán)控制要合理，對(duì)待權(quán)限項(xiàng)目的區(qū)分，既不可太粗，也不可過細(xì)。

　?。ǘ?duì)操作日志及運(yùn)用規(guī)范進(jìn)行合理定位

　　操作日志即是對(duì)軟件的操作事項(xiàng)、使用時(shí)間、使用人所做的記載，是對(duì)操作記錄與運(yùn)行任務(wù)進(jìn)行查詢與驗(yàn)證的有效手段。在使用操作日志的過程當(dāng)中，應(yīng)該重點(diǎn)注意以下三個(gè)問題：日志管理者的確定；日志所包含的內(nèi)容；操作記錄保留限期。就筆者看來，如果系統(tǒng)資源較充裕，操作日志可交由系統(tǒng)進(jìn)行管理，這樣使得軟件的使用人對(duì)其中內(nèi)容只能進(jìn)行有限閱讀，無法干涉其自動(dòng)生成和刪除，提升操作日志的客觀性。鑒于在特殊情況下，有可能對(duì)歷史記錄進(jìn)行追溯，日志的保留限期可對(duì)照企業(yè)主要會(huì)議的檔案保管限期來設(shè)定。

　?。ㄈ┻\(yùn)用好程序加密技術(shù)

　　想要提升數(shù)據(jù)的安全性，可以采用程序代碼的方式，在編程的環(huán)節(jié)對(duì)關(guān)鍵數(shù)據(jù)實(shí)施加密處理。加密后的數(shù)據(jù)不可直接讀取，不具有被視為另類數(shù)據(jù)產(chǎn)生的欺騙性，有效避免只了解基本操作的財(cái)務(wù)人員在常規(guī)操作中或不經(jīng)意間查看到某些關(guān)鍵數(shù)據(jù)。需要進(jìn)行頻繁讀取的權(quán)限開關(guān)、系統(tǒng)環(huán)境參數(shù)、操作員密碼、操作日志、備份信息、刪除記錄等重要數(shù)據(jù)，都可以采用這一方式進(jìn)行保護(hù)。

　?。ㄋ模╅_發(fā)出可靠、獨(dú)立的歷史軌跡功能

　　會(huì)計(jì)電算化的發(fā)展，使企業(yè)財(cái)務(wù)數(shù)據(jù)的修改與刪除可以不留下任何痕跡，給審計(jì)工作的發(fā)展帶來了很大的困難?，F(xiàn)如今，財(cái)務(wù)軟件內(nèi)在的制約功能還沒有得到有效的開發(fā)，無縫嫁接就成為保障會(huì)計(jì)數(shù)據(jù)真實(shí)性的一大障礙。伴隨數(shù)據(jù)技術(shù)的逐步發(fā)展與儲(chǔ)存技術(shù)的日漸成熟，發(fā)展獨(dú)立控制區(qū)，進(jìn)行輔助數(shù)據(jù)的后臺(tái)打包管理工作逐步得以實(shí)現(xiàn)。會(huì)計(jì)電算化在核算中進(jìn)行的數(shù)據(jù)恢復(fù)、憑證刪除、反過賬等操作都可以在后臺(tái)界面中留下完整資料，這是與財(cái)務(wù)軟件自身升級(jí)更新或運(yùn)行故障不相關(guān)的。必要時(shí)，某些操作員（由權(quán)威部門或軟件廠商授權(quán)）憑借自身權(quán)力，能夠迅速查看或提取出軟件運(yùn)行產(chǎn)生的歷史軌跡，能夠有效防止違規(guī)核算現(xiàn)象的發(fā)生。

　　三、財(cái)務(wù)軟件在應(yīng)用環(huán)節(jié)的安全防范與數(shù)據(jù)保護(hù)工作

　　第一，強(qiáng)化對(duì)操作員的操作權(quán)限管理。很多財(cái)務(wù)軟件都是利用超級(jí)用戶，即系統(tǒng)管理員，實(shí)現(xiàn)對(duì)操作員的設(shè)置以及授權(quán)工作。通常來講，超級(jí)用戶與企業(yè)傳統(tǒng)的財(cái)務(wù)主管或者會(huì)計(jì)電算化的系統(tǒng)管理員相對(duì)應(yīng)。系統(tǒng)賦予超級(jí)用戶眾多操作權(quán)力，不但可以對(duì)操作員進(jìn)行增刪、更改其權(quán)限、啟用或者注銷操作員的個(gè)人密碼，還擁有數(shù)據(jù)恢復(fù)權(quán)、賬套設(shè)置權(quán)、結(jié)賬權(quán)等權(quán)力。這就對(duì)操作員的管理權(quán)進(jìn)行了集中掌握，促使會(huì)計(jì)人員只能在允許權(quán)限范圍內(nèi)來使用數(shù)據(jù)與處理事務(wù)。這不但是眾多崗位協(xié)作分工的要求，也是避免會(huì)計(jì)人員越權(quán)、保護(hù)信息數(shù)據(jù)安全的需要。

　　第二，充分發(fā)揮操作密碼在企業(yè)內(nèi)控制度中的作用。操作密碼的設(shè)置是財(cái)務(wù)人員維護(hù)自身責(zé)任與利益的基本手段。從會(huì)計(jì)信息安全性與財(cái)務(wù)人員職責(zé)牽制相關(guān)要求來看，操作員應(yīng)該利用好軟件提供的加密功能，同時(shí)還要對(duì)登錄密碼進(jìn)行經(jīng)常性地修改，避免他人有意或無意進(jìn)入系統(tǒng)，越權(quán)進(jìn)行非法操作。財(cái)務(wù)系統(tǒng)管理員可以利用軟件的強(qiáng)制加密與密碼限期修改的功能，對(duì)每個(gè)操作員應(yīng)履行的義務(wù)進(jìn)行明確，不斷完善口令加密功能，保證財(cái)務(wù)軟件使用的規(guī)范性。

　　第三，做好軟件操作員的權(quán)力限制措施。為了讓財(cái)會(huì)人員按照崗位職責(zé)來分享核算的權(quán)力，財(cái)務(wù)軟件在很多環(huán)節(jié)給系統(tǒng)管理員設(shè)置了針對(duì)功能范圍與操作權(quán)限的控制權(quán)。上述控制措施體現(xiàn)在操作員的權(quán)力限制與權(quán)力有限運(yùn)用兩方面。操作員只可在被授權(quán)的功能范圍與操作權(quán)限以內(nèi)履行自身職責(zé)。在此種管理模式下，操作員被分為若干組，不同組被賦予的權(quán)力不同，同一組操作員的權(quán)力可以共享。通過對(duì)某操作員進(jìn)行權(quán)力屏蔽，系統(tǒng)管理員可以對(duì)每一個(gè)操作員的權(quán)限進(jìn)行確定。

　　第四，掌握系統(tǒng)參數(shù)對(duì)操作權(quán)限與核算程序的影響。系統(tǒng)參數(shù)的設(shè)置是財(cái)務(wù)軟件個(gè)性化過程的體現(xiàn)，很多系統(tǒng)參數(shù)是要由管理員進(jìn)行判斷與定位的，在這些參數(shù)當(dāng)中，一部分是指向數(shù)據(jù)安全維護(hù)與軟件規(guī)范運(yùn)用的。對(duì)系統(tǒng)參數(shù)進(jìn)行適當(dāng)設(shè)定，可以限制操作員的部分權(quán)力，從而能夠?qū)?huì)計(jì)核算的資料實(shí)現(xiàn)主動(dòng)保護(hù)；通過規(guī)范數(shù)據(jù)傳遞與維護(hù)賬務(wù)的處理程序間接實(shí)現(xiàn)對(duì)數(shù)據(jù)正確性與安全性的維護(hù)。

　　總之，財(cái)務(wù)軟件的數(shù)據(jù)安全性問題逐漸被企業(yè)所重視，相關(guān)部門與人員應(yīng)該針對(duì)企業(yè)現(xiàn)有財(cái)務(wù)管理軟件的缺陷與漏洞，制定出一系列的應(yīng)對(duì)方法，從而不斷提升會(huì)計(jì)電算化的安全性，維護(hù)企業(yè)商業(yè)機(jī)密，避免給企業(yè)帶來不必要的損失。

　　參考文獻(xiàn)：

　　1.肖福英.淺談?dòng)糜沿?cái)務(wù)軟件的功能缺陷及其完善[J].中國(guó)商界(上半月),2009(11).

　　2.陳浩.中國(guó)會(huì)計(jì)電算化[M].中國(guó)會(huì)計(jì)電算化雜志社,2006.

　　3.李成義.淺談?dòng)糜沿?cái)務(wù)軟件的功能缺陷及其完善[J].商場(chǎng)現(xiàn)代化,2008(11).