劉 驍

(陜西中醫(yī)藥大學(xué) 計(jì)劃財(cái)務(wù)處，陜西 咸陽 712046)

隨著大數(shù)據(jù)時(shí)代步伐的不斷加快，各高校財(cái)務(wù)管理的信息化建設(shè)也取得了顯著成效，在很大程度上已經(jīng)成為高校內(nèi)涵式發(fā)展的重要標(biāo)志。正因如此，高校財(cái)務(wù)管理的綜合管理信息化水平才得到了長足的發(fā)展，給學(xué)校的各項(xiàng)工作帶來了高效與便捷的支持服務(wù)。與此同時(shí)，高校財(cái)務(wù)管理的安全與風(fēng)險(xiǎn)防范也就成為財(cái)務(wù)部門工作的重中之重。

一、高校財(cái)務(wù)管理信息化系統(tǒng)的內(nèi)涵

基于財(cái)務(wù)信息化的內(nèi)涵概念，高校財(cái)務(wù)管理的信息化系統(tǒng)主要涵蓋了日常賬務(wù)處理系統(tǒng)、學(xué)生相關(guān)收費(fèi)系統(tǒng)、個(gè)人收入申報(bào)系統(tǒng)、銀校系統(tǒng)、工資申報(bào)系統(tǒng)、全面預(yù)算管理系統(tǒng)、報(bào)賬系統(tǒng)、統(tǒng)一支付及微信支付平臺、網(wǎng)查系統(tǒng)及國資對接系統(tǒng)等，這些系統(tǒng)的有效運(yùn)作，從根本上可以有效地提高各單位與部門財(cái)務(wù)管理的效率，尤其是在很大程度上體現(xiàn)了財(cái)務(wù)管理過程中所涉及信息的準(zhǔn)確、完整與及時(shí)性特征。如果從辯證法的角度來看，財(cái)務(wù)管理優(yōu)勢性的另一面就是具有一種潛在的財(cái)務(wù)信息安全風(fēng)險(xiǎn)。[1]這種風(fēng)險(xiǎn)極其復(fù)雜，涉及到的人員較多，如系統(tǒng)管理員、數(shù)據(jù)處理人員、數(shù)據(jù)復(fù)核員、數(shù)據(jù)管理員、檔案管理員等，如果財(cái)務(wù)機(jī)密數(shù)據(jù)遭到破壞或泄密，將有可能給學(xué)校的發(fā)展帶來不可估量的損失。因此，在嚴(yán)格的規(guī)范管理和剛性制度下，創(chuàng)新體制機(jī)制，消除隱患，切實(shí)保護(hù)核心資源，確保財(cái)務(wù)信息在安全、可靠、保密的環(huán)境下運(yùn)行是財(cái)務(wù)管理工作者的神圣職責(zé)。

二、高校財(cái)務(wù)信息化背景下的安全與風(fēng)險(xiǎn)問題

根據(jù)大數(shù)據(jù)時(shí)代財(cái)務(wù)信息化帶來的重大變革以及高校財(cái)務(wù)管理體制機(jī)制的現(xiàn)實(shí)運(yùn)行情況來看，財(cái)務(wù)管理的安全風(fēng)險(xiǎn)主要體現(xiàn)在數(shù)據(jù)丟失和信息泄密兩個(gè)方面：

(一)數(shù)據(jù)丟失是財(cái)務(wù)管理信息化的最大風(fēng)險(xiǎn)

在財(cái)務(wù)管理過程中，由于財(cái)務(wù)信息化的硬件與軟件設(shè)施設(shè)備的質(zhì)量與保養(yǎng)等多種原因的客觀存在，物理損壞和信息數(shù)據(jù)破壞成為財(cái)務(wù)數(shù)據(jù)丟失的兩個(gè)主要風(fēng)險(xiǎn)源。

1.物理損壞的原因分析

網(wǎng)絡(luò)模式是財(cái)務(wù)信息化系統(tǒng)最基本的運(yùn)行模式，一般情況下，數(shù)據(jù)都儲存在服務(wù)器等設(shè)備中。因此，服務(wù)器的安全就非常重要，萬一服務(wù)器出現(xiàn)問題，數(shù)據(jù)的丟失就不可避免，更可怕的后果是服務(wù)器上的相關(guān)財(cái)務(wù)系統(tǒng)也可能出現(xiàn)癱瘓情況，情況如果嚴(yán)重的話，整個(gè)財(cái)務(wù)信息化系統(tǒng)也面臨癱瘓的危險(xiǎn)。由此可見，保障財(cái)務(wù)數(shù)據(jù)的絕對安全是財(cái)務(wù)信息化的第一要?jiǎng)?wù)。

2.數(shù)據(jù)破壞的原因分析

在財(cái)務(wù)信息化的管理中，大量的數(shù)據(jù)是通過網(wǎng)絡(luò)傳輸?shù)?。從一般的角度來看，信息?shù)據(jù)的破壞主要體現(xiàn)在數(shù)據(jù)的可用性、完整性和保密性等方面是否遭到了破壞，其主要原因在于操作人員的誤操作、安全意識與防范意識不強(qiáng)、管理措施不到位、監(jiān)督機(jī)制缺失、通信線路問題、數(shù)據(jù)庫管理系統(tǒng)和儲存系統(tǒng)脆弱以及病毒和黑客的攻擊等。

(二)信息泄密是財(cái)務(wù)工作信息化的重要風(fēng)險(xiǎn)

從多所高校財(cái)務(wù)信息化的成功經(jīng)驗(yàn)與教訓(xùn)來看，財(cái)務(wù)信息化實(shí)施之后，造成財(cái)務(wù)信息泄密的主要原因是非法入侵和人為泄密。

1.非法入侵的原因分析

由于信息化社會的飛速發(fā)展，基于網(wǎng)絡(luò)環(huán)境的電子符號和磁介質(zhì)已經(jīng)普及化，從理論上，網(wǎng)絡(luò)環(huán)境下的信息都有可能被訪問到，但從物理上的斷開鏈接又是不太切合實(shí)際的。正因如此，信息化環(huán)境下的財(cái)務(wù)工作，時(shí)常出現(xiàn)的非法侵?jǐn)_現(xiàn)象也就不可避免。社會上的個(gè)別人，以身試法，滿足各自需求，實(shí)現(xiàn)自身目的，不擇手段，有意或無意地對網(wǎng)絡(luò)運(yùn)行設(shè)備進(jìn)行干擾或破壞，有的通過黑客程序進(jìn)行違法的測試運(yùn)行活動(dòng)，從而對財(cái)務(wù)系統(tǒng)造成了嚴(yán)重威脅和破壞?，F(xiàn)實(shí)生活中，那些黑客活動(dòng)比病毒攻擊的目的性更強(qiáng)，[2]凡是操作系統(tǒng)都有可能受到威脅。當(dāng)然，黑客一旦攻擊成功，就可能造成財(cái)務(wù)數(shù)據(jù)的泄露。

2.人為泄密的原因分析

在現(xiàn)實(shí)社會環(huán)境下，基于人的心理需求，人為泄密現(xiàn)象層出不窮。許多犯罪分子，正是利用了人性的弱點(diǎn)，使個(gè)別財(cái)務(wù)工作者失去防范心理，通過網(wǎng)絡(luò)攻擊或者使工作人員泄密信息進(jìn)行犯罪活動(dòng)。實(shí)際工作中，一些財(cái)務(wù)管理工作者或技術(shù)人員缺乏網(wǎng)絡(luò)安全意識、安全教育不夠、管理過程松懈等都是人為泄密的主要原因。[3]此外，個(gè)別管理者也有可能為了方便，將有些需要的軟件自行安裝在服務(wù)器上，這也會導(dǎo)致感染木馬病毒；或者在不知情的情況下將財(cái)務(wù)數(shù)據(jù)自行拷貝出來存放到帶有木馬病毒的電腦上，這樣就為不法分子竊取財(cái)務(wù)信息提供了可能性。

三、高校財(cái)務(wù)信息化安全與風(fēng)險(xiǎn)防范基本策略

(一)財(cái)務(wù)管理者的意識心理是安全與風(fēng)險(xiǎn)防范的先決條件

意識心理是財(cái)務(wù)安全與風(fēng)險(xiǎn)防范的先決條件。對財(cái)務(wù)管理崗位的每一位員工來說，必須從根本上具有安全風(fēng)險(xiǎn)意識，充分認(rèn)識到安全與風(fēng)險(xiǎn)防范的重要性,針對日常工作中出現(xiàn)的大小問題不斷進(jìn)行反思與改進(jìn)，積極參加多層次與多方位的信息安全宣傳和培訓(xùn)活動(dòng),嚴(yán)格做好工作崗位的內(nèi)控工作，真正提高大家的網(wǎng)絡(luò)安全意識和防范能力。[4]要求每個(gè)人在工作過程中自始至終全程體現(xiàn)自我安全意識，不斷學(xué)習(xí)與領(lǐng)會各級政府主管部門有關(guān)財(cái)務(wù)信息化工作管理方面的政策法規(guī)以及各類實(shí)施文件精神；嚴(yán)格遵循內(nèi)部控制規(guī)范體系要求，加強(qiáng)財(cái)務(wù)信息化的自動(dòng)防范和監(jiān)控；在服務(wù)器以及內(nèi)外網(wǎng)等工作設(shè)備上必須安裝防病毒軟件，在規(guī)定時(shí)間對運(yùn)行系統(tǒng)進(jìn)行查毒與垃圾清理工作，如果需要連接移動(dòng)存儲設(shè)備，必須在其他運(yùn)行設(shè)備上對移動(dòng)儲存設(shè)備查殺并確認(rèn)無病毒后方可連接。

(二)財(cái)務(wù)管理者的科學(xué)維護(hù)是安全與風(fēng)險(xiǎn)防范的基本前提

財(cái)務(wù)管理信息化的迅猛發(fā)展，硬件與軟件設(shè)施設(shè)備的維護(hù)工作至關(guān)重要，對財(cái)務(wù)管理的安全風(fēng)險(xiǎn)防范具有極其重要的意義。因此，做到科學(xué)化的維護(hù)是財(cái)務(wù)管理者的使命之所在。

1.日常環(huán)節(jié)維護(hù)的習(xí)慣化

對財(cái)務(wù)管理者來說，工作過程的信息化設(shè)施設(shè)備是確保工作過程暢通與高效的關(guān)鍵，也是管理者取得工作業(yè)績的助推器。所以，每一個(gè)工作人員都必須在硬件系統(tǒng)的定期維護(hù)、軟件系統(tǒng)的病毒預(yù)防以及定期的數(shù)據(jù)清理和數(shù)據(jù)備份等方面要養(yǎng)成良好的維護(hù)習(xí)慣，這是財(cái)務(wù)管理信息化時(shí)代對每個(gè)工作人員的基本要求。

2.異常情況維護(hù)的技巧化

信息化的運(yùn)行是置于社會的環(huán)境下實(shí)現(xiàn)的，社會發(fā)展過程的不可知因素或者潛在因素極其復(fù)雜。因此，管理者必須掌握第一時(shí)間能夠果斷處理突發(fā)情況的技能與技巧，以便快速應(yīng)對意想不到而出現(xiàn)的異常情況，如斷電、操作失誤、數(shù)據(jù)損壞、帳表錯(cuò)誤以及運(yùn)行的硬件系統(tǒng)突發(fā)故障等實(shí)際情況

3.擴(kuò)充功能維護(hù)的制度化。

為了確保信息化工作的科學(xué)運(yùn)行，做好安全與風(fēng)險(xiǎn)防范的預(yù)防工作，以下工作一定要做好做實(shí)：一是由于工作安排或者專項(xiàng)活動(dòng)的需要，對財(cái)務(wù)數(shù)據(jù)進(jìn)行變更的話，必須如實(shí)填寫《財(cái)務(wù)信息系統(tǒng)日常維護(hù)登記表》，經(jīng)財(cái)務(wù)管理崗位負(fù)責(zé)人授權(quán)后方可使用系統(tǒng)管理員賬戶登陸；二是當(dāng)已有運(yùn)行系統(tǒng)在一定程度上不能適應(yīng)新的發(fā)展需求時(shí)，就必須立足適應(yīng)性原則，第一時(shí)間對軟件系統(tǒng)的管理規(guī)范進(jìn)行及時(shí)修改；三是依據(jù)財(cái)務(wù)信息的時(shí)代發(fā)展?fàn)顩r，在多方論證和科學(xué)保障的情況下，按照層級管理審核與批準(zhǔn)程序，做好所有運(yùn)行系統(tǒng)的升級、改造以及更高層次的擴(kuò)展變動(dòng)工作。

4.信息維護(hù)工作的規(guī)范化

信息維護(hù)是財(cái)務(wù)人員的主要職責(zé)與任務(wù)之一，一般情況下要做到信息維護(hù)的常態(tài)化。特殊情況下，可按照規(guī)定程序要求與軟件開發(fā)公司實(shí)施聯(lián)合維護(hù)，但必須通過規(guī)范化要求確保有關(guān)信息的安全與保密。為了做好信息維護(hù)工作的規(guī)范化，財(cái)務(wù)管理工作在基于日常維護(hù)的基礎(chǔ)上，對其他任何形式的維護(hù)必須依照下列程序?qū)嵤阂皇翘峤簧暾?，即崗位人員填寫申請表，體現(xiàn)表格中的維護(hù)項(xiàng)目、維護(hù)理由、維護(hù)目標(biāo)等實(shí)質(zhì)內(nèi)容；二是測試完善，即相關(guān)業(yè)務(wù)人員和技術(shù)人員對維護(hù)的項(xiàng)目進(jìn)行測試與修正，通過目標(biāo)指標(biāo)值予以完善；三是維護(hù)反饋，即在維護(hù)目標(biāo)無法實(shí)現(xiàn)的情況下，將分析的情況與合理建議逐級提交，并進(jìn)行動(dòng)態(tài)跟蹤；四是歷史歸檔，即維護(hù)人員對維護(hù)過程中的具體細(xì)節(jié)進(jìn)行詳細(xì)記錄和保存，尤其是要對維護(hù)以前和維護(hù)以后的相關(guān)文檔、源程序、數(shù)據(jù)等進(jìn)行存檔和備份；五是授權(quán)操作，即維護(hù)人員的一切操作必須在權(quán)限范圍內(nèi)進(jìn)行，不得以任何借口對未授權(quán)的事項(xiàng)進(jìn)行操作或修改。

(三)財(cái)務(wù)管理者的規(guī)范操作是安全與風(fēng)險(xiǎn)防范的根本要求

1.信息儲存的安全性

要求財(cái)務(wù)管理人員第一時(shí)間將財(cái)務(wù)信息化數(shù)據(jù)定期進(jìn)行自動(dòng)備份并將備份數(shù)據(jù)儲存在服務(wù)器、移動(dòng)硬盤、存儲設(shè)備等多個(gè)地方，特別重要的數(shù)據(jù)信息原則上需打印出來以紙質(zhì)方式進(jìn)行檔案式保存，確保財(cái)務(wù)數(shù)據(jù)的萬無一失，尤其是原始數(shù)據(jù)的查詢與使用做到有據(jù)可依。

2.信息儲存的技術(shù)性

財(cái)務(wù)會計(jì)軟件的存儲設(shè)備不僅具有會計(jì)檔案的保管功能，而且還是工作過程中隨時(shí)提取財(cái)務(wù)數(shù)據(jù)的重要依據(jù)，其儲存的財(cái)務(wù)數(shù)據(jù)以及備份數(shù)據(jù)未經(jīng)財(cái)務(wù)負(fù)責(zé)人許可嚴(yán)禁拷貝與外傳，更不能進(jìn)行更改。凡是采用磁性介質(zhì)保存的數(shù)據(jù)，必須做到防潮、防塵、防磁與防火等防范工作，以免造成財(cái)務(wù)信息化數(shù)據(jù)的丟失。[5]財(cái)務(wù)信息化數(shù)據(jù)保存期限按財(cái)政部、國家檔案局最新發(fā)布的《會計(jì)檔案管理辦法》的規(guī)定執(zhí)行。

(四)財(cái)務(wù)信息化的剛性要求是安全與風(fēng)險(xiǎn)防范的基本原則

財(cái)務(wù)管理信息化是適應(yīng)信息化時(shí)代發(fā)展而興起的高效管理與運(yùn)作手段，從根本上對管理人員提出了一系列嚴(yán)格的規(guī)范要求：一是財(cái)務(wù)管理專業(yè)崗位人員必須對與崗位業(yè)務(wù)對應(yīng)的全部信息化用戶的使用權(quán)限實(shí)施科學(xué)化的管理，涵蓋權(quán)限范圍的設(shè)置、分配與收發(fā)等；二是在信息化管理過程中，嚴(yán)禁未經(jīng)授權(quán)人員進(jìn)入財(cái)務(wù)信息化系統(tǒng)，即使授權(quán)人員也僅限定在所給定的權(quán)限內(nèi)使用，未授權(quán)人不得以任何借口或理由進(jìn)入系統(tǒng)操作；三是因業(yè)務(wù)范圍需要授權(quán)的人員，在取得使用權(quán)限后，應(yīng)嚴(yán)格按照系統(tǒng)使用的使用說明書和操作規(guī)定進(jìn)行操作。所以，使用者不但要嚴(yán)格密碼管理，而且要定期或不定期修改；嚴(yán)禁用本人“口令”進(jìn)入系統(tǒng)而由他人代為操作的違規(guī)現(xiàn)象；四是原授權(quán)的崗位信息管理員，如遇到崗位變動(dòng)，必須在離崗前，按照規(guī)定的操作程序和規(guī)范要求，逐級退出財(cái)務(wù)信息化系統(tǒng)。原則上，調(diào)離人員以書面形式提出禁用申請，在確認(rèn)禁用權(quán)限完全喪失后方可離崗；五是財(cái)務(wù)信息數(shù)據(jù)庫中的數(shù)據(jù)具有很強(qiáng)的客觀性，任何形式的修改與刪除都必須嚴(yán)格遵循財(cái)務(wù)管理流程的剛性要求，堅(jiān)決杜絕違規(guī)操作現(xiàn)象的發(fā)生；六是任何財(cái)務(wù)人員不得以任何方式和借口，將來歷不明的儲存設(shè)備在財(cái)務(wù)信息化系統(tǒng)局域網(wǎng)電腦上連接使用，管理人員要按照定期和不定期相結(jié)合的原則對電腦系統(tǒng)和軟件進(jìn)行殺毒；七是嚴(yán)格要求內(nèi)外網(wǎng)的物理隔離，堅(jiān)持做賬電腦不上網(wǎng)，上網(wǎng)電腦不做賬的原則；八是用于財(cái)務(wù)管理信息化的專用設(shè)備，如服務(wù)器、存儲設(shè)備、終端設(shè)備等在淘汰處理前，必須進(jìn)行不可恢復(fù)性刪除處理，以防財(cái)務(wù)信息數(shù)據(jù)的意外泄密；九是按照剛性規(guī)定，認(rèn)真分析每個(gè)崗位的工作性質(zhì)和自身特殊性，分別授予其操作過程的最小權(quán)限，實(shí)行應(yīng)用系統(tǒng)用戶權(quán)限分離，所有密碼均實(shí)行多元化組合原則；十是聘請專業(yè)公司部署相關(guān)財(cái)務(wù)軟件時(shí)，本單位管理崗位責(zé)任人員必須在場，并對部署過程進(jìn)行嚴(yán)格監(jiān)控，部署完畢后崗位管理人員應(yīng)立即更換密碼。

四、高校財(cái)務(wù)信息化安全與風(fēng)險(xiǎn)防范的機(jī)制保障

(一)組織保障

高等學(xué)校的財(cái)務(wù)信息化工作涉及面廣、受眾對象眾多、業(yè)務(wù)類型復(fù)雜，這就要求安全與風(fēng)險(xiǎn)防范工作必須有一個(gè)堅(jiān)強(qiáng)的組織保障機(jī)制。學(xué)校必須充分發(fā)揮各級工作小組的優(yōu)勢作用，使各級組織保障做實(shí)做強(qiáng)，每個(gè)小組成員都要在理論學(xué)習(xí)、政策掌控、科學(xué)管理、工作指導(dǎo)、制度實(shí)施以及評估反饋等方面發(fā)揮好重要的指導(dǎo)與監(jiān)控作用。

(二)人員保障

基于大數(shù)據(jù)的時(shí)代氣息，對高校這塊前沿陣地來說，財(cái)務(wù)管理人員的信息化素養(yǎng)將會不斷得到提升，信息化的課程學(xué)習(xí)、業(yè)務(wù)培訓(xùn)、技能訓(xùn)練、能力比賽、會議交流等都可能成為信息化素養(yǎng)提升的基本途徑和手段。因此，一個(gè)基于學(xué)歷學(xué)位背景下的高素質(zhì)管理團(tuán)隊(duì)日益顯得重要和必要，職業(yè)道德、業(yè)務(wù)能力、信息化水平等都將成為財(cái)務(wù)管理者專業(yè)成長的重要抓手。

(三)制度保障

高效而規(guī)范的財(cái)務(wù)信息化運(yùn)作是確保學(xué)校工作跨越式發(fā)展的關(guān)鍵。所以，財(cái)務(wù)信息化的安全風(fēng)險(xiǎn)防范必須在嚴(yán)格而科學(xué)的制度下運(yùn)行，這是財(cái)務(wù)信息化安全運(yùn)行的基本要求。每所學(xué)校必須根據(jù)各級政府部門的文件精神以及本校的實(shí)際情況出臺具有剛性規(guī)定的一系列財(cái)務(wù)管理方面的制度文件，尤其是安全風(fēng)險(xiǎn)防范的規(guī)范化規(guī)定，讓財(cái)務(wù)管理工作在制度的框架下有效運(yùn)作。

(四)條件保障

財(cái)務(wù)信息化管理的重要性不言而喻，但信息化作用的最大化發(fā)揮必須建立在先進(jìn)而良好的設(shè)施設(shè)備基礎(chǔ)之上，這就要求財(cái)務(wù)管理部門根據(jù)相關(guān)政策有計(jì)劃、有目的、有針對性地對信息化的設(shè)施設(shè)備進(jìn)行更新?lián)Q代與升級改造，始終保持財(cái)務(wù)管理信息化的先進(jìn)性和時(shí)代性。因此，條件保障不僅是信息化安全與風(fēng)險(xiǎn)防范的需求，更是財(cái)務(wù)工作高效和科學(xué)化運(yùn)作的需要求。

縱觀信息技術(shù)與共享服務(wù)的發(fā)展過程，并依據(jù)多種渠道的評估指標(biāo)與數(shù)據(jù)分析，信息化背景下的高等學(xué)校財(cái)務(wù)信息化的重視度和應(yīng)用水平不斷得到提高，其安全與風(fēng)險(xiǎn)的預(yù)防和處理的制度與措施也日趨科學(xué)化、人性化和時(shí)代化。在各級財(cái)務(wù)管理人員的不斷努力下，各高校財(cái)務(wù)管理的信息化正在為學(xué)校綜合實(shí)力的整體提升發(fā)揮著極其重要的作用。