当前网络环境存在风险(6篇)
当前网络环境存在风险篇1
随着互联网技术的迅速发展及其在会计中的应用,使原有的单机系统(或局域网)环境下的会计信息系统走出了自我封闭的局域系统,实现企业内外部信息的开放性,共享性等特点。但是,在网络环境下,大量会计信息是通过网络传输的,这样网络信息就有可能被非法分子拦截、窃取或篡改;即使内部产生信息也会遭到“病毒”和“黑客”的入侵,这些都会给企业造成重大损失,给会计信息系统的安全性提出了严重的挑战。我们必须根据互联网系统的特点,重新考虑和设计会计信息系统控制体系,进行内控制度的创新研究。
一、互联网对会计电算化信息系统内部控制的影响
由于网络系统的开放性、分散性、数据的共享性等方面大大超过了以往任何类型的系统,极大地改变了以往计算机会计信息系统的应用模式,扩展了系统运行的环境,从而改变了以往计算机系统内部控制的内容和方法。同时给计算机会计信息系统内部控制带来新的问题,应当引起我们足够的重视。在此我们根据互联网系统的特点来分析网络环境下计算机会计信息系统内部控制的新问题:
(一)网络系统的开放性使得计算机会计信息系统很难避免非法侵扰
网络是一个开放的环境,置于该环境中的各种服务器上的信息在理论上都是可以被访问到的,除非它们在物理上断开连接、脱离网络环境。因此,网络会计信息系统很难完全避免非法访问者的侵扰。为此。企业需根据网络技术的最新发展,定期评估系统的安全性和内部控制能力,努力把新技术给系统带来的风险降到最低。
(二)电子商务的普及,将给内部控制带来前所未有的挑战
随着互联网的迅猛发展,电子商务将逐步普及。电子商务一方面提高了商务活动的效率,给企业带来了无限的生机;另一方面给计算机会计信息系统的内部控制也带来了新的挑战。基于电子商务的单据电子化、货币电子化、网上结算等.虽然可加快资金周转速度,但给计算机会计信息系统带来的风险将是空前的,这将给网络计算机会计信息系统的内部控制带来极大的困难和前所未有的挑战。
(三)内部控制的范围扩大,计算机会计系统控制的难度加大
在网络环境下,由于互联网系统开放性、共享性、分散性的特点,会计数据的处理方式突破原有的封闭的系统环境,以及系统建立与运行的复杂性,要求内部控制的范围相应扩大,延伸到整个网络系统。如对网络系统安全的控制、系统权限的控制、计算机病毒的防治、系统开发过程的控制、数据编码的控制以及对调用和修改程序的控制等,因而加大了内部控制的难度。
(四)内部控制的程序化,加大了计算机会计信息系统的控制风险
在网络环境下,计算机会计信息系统在很大程度上取决于这些会计信息系统中运行的应用程序的质量。一旦这些应用程序中存在严重的BUG或恶意的“后门”,便会严重危害系统安全。毕竟,会计人员对计算机专业知识所知有限,很难及时发现这些漏洞。加大了计算机会计信息系统的控制风险。
二、网络环境下会计电算化信息系统的控翻风险分析
由于互联网系统的分布式、开放性等特点,与原有集中封闭的计算机会计信息系统比较,给计算机会计信息系统的内部控制带来了新的问题和挑战,系统在安全上的问题更加突出。基于互联网会计信息系统的风险主要有以下几方面:
(一)物理风险。任何计算机系统都存在着由于操作失误,硬件、软件、网络本身出现故障导致系统数据丢失甚至瘫痪的风险。物理风险主要包括:1.计算机网络系统硬件选配不合适,致使网络功能发挥受阻;2.网络工作环境、电源等不合要求直接影响网络的可靠性;3网络操作系统和会计软件的安装、维护不善;4.网络管理制度不健全等。
(二)会计信息保密性和完整性被破坏的风险。主要指企业内部人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。网络安全的最大风险仍然来自于组织内部。因此,内部控制仍然是基于互联网会计信息系统控制的基础。由于互联网/内联网结构本身的特殊性,其内部控制远远超出了以往计算机系统的范畴,已从会计机构内部扩展到对整个企业内部人员的控制。
(三)系统运行风险。计算机会计信息系统置于网络环境下运行,系统控制的大门面临敞开的风险,系统运行随时可能遭到破坏和干扰,如人为因素导致非法占用网络资源、切断或阻塞网络通信、通过计算机病毒致使网络瘫痪以及非人为因素导致的灾害事故、系统死锁等,影响计算机会计信息系统正常运行。
(四)网络环境的开放性加剧了会计信息失真的风险。网络技术在财务软件中的应用对计算机会计信息系统的影响将是革命性的。但网络环境具有开放性的特点,这就给会计信息系统的内部控制带来了许多新问题。如在网络环境下,大量会计信息通过网络传输有可能遭到攻击,破坏了会计信息的真实性和完整性。总之,网络环境的开放性和动态性,加剧了会计信息失真的风险,加大了计算机会计内部控制的难度。
三、网络环境下会计电算化信息系统内控制度的创新
随着计算机技术和网络通讯技术在计算机会计信息系统中的应用,改变了非网络环境下的会计信息系统的工作方式,给计算机会计信息系统的内部控制带来了许多新的问题和新的风险。面对新的环境原有的会计信息系统的内控制度已经不能适应新的要求,因此,创新和完善计算机会计信息系统的内部控制制度已刻不容缓。针对这种影响,结合互联网的优势和特点,笔者就主要方面探讨与完善计算机会计信息系统内部控制制度:
(一)建立科学长效的会计信息系统风险控制机制,强化风险意识
我们前面已经分析互联网给计算机会计信息系统带来的各种可能的风险,我们就应该建立相应的风险控制机制,做到有备无患。在这里主要指风险防范的预警机制:1.应建立风险评估的信号和指标体系,针对可能出现的技术风险和管理风险等。建立起一套风险预警指标,就相当于计算机会计信息系统安装了风险警报系统,可以及时发现和评价所出现的风险。2应健全风险控制的运行体系。收到预警信号后应及时采取措施,以防风险的发生。这是计算机信息系统运行的“防火墙”。3.建立风险处理的快速反应部门,目的是帮助企业能迅速地对事故及故障做出反应.将事故及故障造成的损害降到最小,并通过对已发事件进行分析来监督此类事件,达到进一步防范风险的作用。
(二)制定和完善计算机会计信息系统
相应的组织与管理控制
基于网络环境下的计算机会计信息系统是一种分布式处理结构,必须对原有会计机构作相应的调整,要增加网络管理与监控的岗位,会计信息系统岗位要明确职责分工,并对各类人员制定岗位责任制度,各岗位都要得到一定的授权,并用密码控制。这样就有效地防止密码泄露、非法操作和越权操作系统。会计信息系统的设计、开发和维护等工作的岗位设置要隔离。即信息系统的设计、开发、测试、运行和维护工作需要分别由不同的人员承担,目的是防止信息系统本身不被恶意地留下可操作的技术漏洞,保证信息系统设计合理,运行正常;另外,在网络环境下,还需设置专门的网络管理和监控人员,但是网络管理和监控人员的工作也要独立于信息系统的设计、开发、测试、运行和维护工作及财会、内部审计等工作。
(三)建立网络安全管理控制制度,保证网络和信息系统的安全
在网络环境下,为了防止计算机会计信息系统遭到非法、恶意的软件程序的入侵。避免网络攻击破坏会计数据,应该实施一系列控制措施来保证网络安全。这就要求在技术上对整个财务网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)建立综合的多层次的安全控制体系。其技术主要包括:1.访问控制。为了防范来自外部的非法访问,互联网计算机会计信息系统应建立访问控制措施,如防火墙技术、邮件系统控制、网上信息查询控制、漏洞扫描技术、入侵检测技术等。2,数据传输控制。为了防止会计数据在传输通过公共网络传输过程中发生错误、丢失、泄密等事故,企业应采取数字签名技术和数据加密技术等,在计算机通信中采用数字签名控制手段是用电子符号代替了会计数据,磁性介质代替了纸介质,验证对方身份、保证数据完整性。3网路安全协议和数据自动备份技术。网路安全协议是一组规则,主要有:安全超文本传输协议、安全电子交易规范等。自动备份技术是为了应付突发事件的,保障数据完整的有力工具。4防病毒控制。在计算机会计信息系统中应高度重视计算机病毒的防范,通过服务器的网络杀毒软件进行实时监控、追踪病毒;财务软件可以挂接或捆绑防病毒软件,加强自身的防毒能力;对外来的软件和传输的数据必须经过病毒检查,在业务处理系统中严禁使用网络游戏软件,及时升级防病毒软件。
(四)完善网络环境下计算机会计信息系统一般控制与总体控制制度
1.系统操作控制。网络环境下,由于操作系统面向所有的用户,再加上自身的缺陷。因此它时刻面临着来自各方面的潜在威胁,包括系统内人员的、越权操作和系统外人员的非法访问甚至破坏。要提高操作系统的安全,在管理控制上主要可采取以下措施:(1)计算机资源授权表制度,明确规定每个用户的安全级别和身份标识,并分别定义具体的访问对象;(2)日志审计制度,对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录,并对日志文件定期进行安全检查和评估;(3)存取控制,对系统资源进行分类管理,并根据用户级别.限制系统资源的共享和流动。
2.系统数据库控制。网络环境下数据库系统安全的威胁主要来自两个方面:一是系统内外人员对数据库的非法访问:二是由于系统故障、误操作或人为破坏造成数据库的物理损坏。针对上述风险,会计数据资源控制主要可采取以下措施:(1)会计数据资源授权表制度,明确定义每一用户对数据资源访问的范围和内容,并分别规定对数据库的查阅、修改、删除、插入等操作权限;(2)数据备份和恢复制度。网络环境下的数据备份和恢复远比成批集中式处理环境下要复杂,为保证系统恢复的有效性和一致性,建立业务日志文件和检查点文件是必要的。
3.远程处理控制。基于互联网的会计信息系统的建立为集团型企业实现远程查账、远程报表、远程审计,以及对交易事项的远程财务监控创造了条件。主要控制措施包括:(1)分支系统安全模式设计,分支系统是企业在异地具有独立内联网结构的会计信息系统,由于母系统的监控和访问直接伸入分支系统内部;(2)远程处理规程控制,双方要制定严格的远程处理控制操作规程,包括操作权限控制、内容授权控制、处理程序控制、通道及两端服务器安全控制等等。对于需在线实时处理的内容,如在线财务审批、电子转账等内容,应在严格的操作规程下进行,确保处理结果的有效性和可验证性。
当前网络环境存在风险篇2
关键词:电子银行;网络环境;业务风险;风险控制
中图分类号:F830.4文献标识码:A文章编号:1001-828X(2015)005-000-03
自二十世纪六十年代以来,随着计算机技术和网络安全技术的飞速发展,电子银行和电子商务也得到了快速的发展。金融业和技术相结合所产生的电子银行业务为世界金融行业注入了崭新的发展活力。电子银行业务为商业银行提供了新的机遇,这样的做法对于银行业提高效率起到了促进作用,同时方便快捷的办事方式使得银行业的成本也大大降低了,提高了服务的质量,增加了银行的效益。但网络环境是动态剧烈变化的,也使得电子银行在业务开展中面临很多风险,会影响电子银行业务作用的发挥。因此,对于电子银行业务风险的研究便显得尤为重要。
一、网络环境下电子银行特点
在如今网络环境下,电子银行的本质其实是一种新型“虚拟银行”,没有实际的实物柜台作为依托,而是存在于互联网中的,无影无形的一种电子银行。在交易过程中,网银与客户服务方式是通过网络等高科技手段,通过网上银行建立合作联系,为客户提供了全方位全天候的一种金融服务系统。
二、网络环境下电子银行业务风险分析
(一)网络环境下电子银行风险的内涵
对于风险的概念的界定,在金融理论界有着一致的界定,但是在电子银行领域对于风险的界定还没有达成一致的意见。对于风险的界定,电子银行领域普遍将“风险”视为“危机”的代名词。基于日常的实践,笔者可以从几个方面的基本特征入手对风险进行分析。风险是不可知的,是未来发生的一种状态,具体来说是投资者根据一定情况下对投资后的回报和损失的一系列的看法和状态。具有相关的不确定性。风险的存在和不确定性的发生在一定的程度上主要取决于经济主体与相关信息的关系,与对掌握相关信息的程度有直接关系;风险是一种非常不利的状态的描述,这种状态的描述是低于期望值的描述。
所谓存在的银行风险是指银行业务办理的过程中,由于事先无法预测的因素不确定性的影响,银行的实际收益与预期收益发生了偏差,而遭受的经济损失或者是获得额外收益的可能与机会等存在因素。银行风险的含义主要包括以下四个方面:第一,银行的风险是其经济活动的经济实体,比如居住公民,企业实体,银行个体,非银行金融机构和政府部门等等;第二,银行存在的风险与收益成正比的,风险越大,也越容易遭受经济损失的概率变大,越容易得到超额利润的几率也增加了;第三,在各种复杂因素的过程中,银行风险管理的相互作用,从而形成一个自我调节和自我平衡机制的经济制度;第四,银行风险的研究不仅包括风险可测,也包括风险不可测量。因此,对银行风险的研究不仅要关注概率与数理统计理论方法,同时也要注意科学的抽象法和综合的分析方法,通过具体的一套方法和建立一套风险防范实现风险管理措施来实现具体的经营目标。
(二)网络环境下电子银行业务风险类型化
电子银行的风险依照不同的原因有着不同的分类。本文将电子银行的风险分为传统风险和特殊风险,这两种风险被称为电子银行的本质风险。
1.电子银行面临的传统风险类别
传统风险指的是传统意义上的风险,这种传统意义上的风险是电子银行固有的风险。根据本质进行分析,这样的电子银行的风险也是最基础的风险。这种传统风险一般情况下包括以下几类:
第一,信用方面的风险,本质上信用方面的风险一般是指债务人对债权人的损害所进行的岁还的可能性的风险。在银行业,信贷风险是指由于借款人在协议的有效期不能完全履行其付款义务致使银行遭受损失的可能性。同样是贷款业务,电子银行比传统银行面临更大的风险性,因为电子银行的特殊性,信用风险将面临更多种类的电子通道实现跨镇跨境贷款,银行和借贷客户直接通过电子银行进行业务交易,不是通过当面交易的形势,所以银行在对客户的身份判断上就存在一定信息不完整的客观因素,无法真实判断他的借贷信用等级情况,核实贷款担保抵押贷款等情况的存在。此外,与传统的银行信贷相比,电子银行信贷业务除了银行和客户两个基本的客户外,也包括网络运营商、网络设备提供商等工作主体单位,假如发生信用风险的时候,通常是由于责任很难进行明确区分而产生的经济纠纷,这样就增加了信用借款的风险。
第二,流动性风险。流动性是指银行的资产现金流转和变现能力遭受损失的现象。任何商业银行流动性风险是客观存在的,从事电子现金和电子银行的电子支付操作,如果在投资电子支付业务过程中,电子网络银行没有充分资金来支付的话,将会带来流动风险,如果情况严重的,还会发生信贷危机的爆发,会给电子银行带来灾难性的打击,导致破产或者倒闭。
第三,利率风险。利率风险是指国家银行对利率不定期的调整变动对电子银行的利率变化造成冲击,从而存在风险。利率下降的调整可能会使电子银行资产存在贬值的问题。同时在目前开放的网络环境下,国际资本流通性强,国际热钱流动将更加迅速,和这段时间较短,规模较大、流动资金利率的变化下更有可能产生巨大的影响,电子银行就会面临更大的利率风险,加之该国的国际收支和巨大的不利,都将影响金融市场的稳定。
2.电子银行面临的特殊风险类别
特殊风险是不特定针对电子银行来说的一种风险。这种风险,是一种操作风险,也是一种法律风险,也包括声誉风险,这些风险在传统的金融环境中也是普遍存在的,只有在电子银行的环境下,这些风险才会变的更突出更特别。特殊的电子银行风险主要包括有以下几种风险:
第一,技术风险。电子银行技术风险是指技术的使用不当,或安全风险技术相对落后而引发系统性风险。电子银行,特别是纯粹通过网络建构的电子银行特别依赖信息技术作为技术支撑,不管是在建设初期,还是在目前电子银行的正常运行和日常维护中,电子银行都一样将面临各种风险的考验,因为所选择相关的技术支撑存在一定风险。在电子银行建设初期的时候,在银行的高层决策者中,对电子银行的战略发展进行了一定的规划,如果决策者在选择这个方案的时候,针对有关技术方面存在错误或不当的工作执行,都将会让电子银行面临很高的技术决策风险;在网络电子银行的正常运营过程和维护过程中,如果有技术方面的缺陷或技术方面的相对落后,在运营过程中就可能是因为这些技术上的问题,导致故障损坏电子银行系统,甚至造成银行系统的停止运行,或由于技术缺陷原因,致使网络黑客侵入了电子银行系统内部,这给电子银行的安全风险和系统风险方面带来的损害会非常严重,这种风险更会波及到声誉风险和法律风险。
第二,操作风险。操作风险是由于对系统的稳定性和操作风险安全方面存在着重大缺陷从而引发的不稳定不可靠等问题的风险。这些风险存在的原因可能是由于电子银行客户在操作中存在粗心大意的问题,也有一种可能是电子银行在设计过程中存在的一种缺陷,或者是电子银行的网上银行安全系统发生了错误,造成了电子银行账户在使用中存在的操作风险和授权的风险,在使用电子银行的过程中,电子银行的安全模块,起到对电子银行账户的保护工作的风险管理提示作用,保证了银行系统和客户之间直接进行交换信息和网上账户交易的执行等。在现实中的实例,在使用电子银行过程中交易管理自己的电子货币,在一些公共场合和非私人场所往往存在一些网络安全系统的缺陷,这种漏洞导致客户产生错误操作,容易使不法分子通过一些假冒的钓鱼网站,通过窃取密码和账户利用这些漏洞进行电子诈骗,造成客户的经济损失,导致了银行与客户的纠纷,造成客户的存款风险;银行职员的错误引导和失职行为,也有可能导致电子银行业务的严重风险,从而危及整个电子银行安全。客户的网络故障是操作风险的另一个主要原因。因为缺乏安全意识和网络安全知识是客户运作过程中造成风险的高概率事件的一大诱因。例如,客户不使用私人信息的安全保护措施,在某些公众场合,如果识别不清楚,不慎造成银行帐号和密码的窃取,容易泄漏私人信息导致他人进行盗取账户,使得电子银行的客户遭受经济上的损失。此外,如果银行员工和客户在使用电子银行的过程中不能够正确操作和运用,不能够对新程序和新安全软件的适应,这将给银行客户潜在带来一定的操作风险,同时银行的电子系统如果存在错误操作也会给银行客户带来严重的风险。当使用电子支付在从物理支付状态中分离时,可以通过网络银行完成在线支付,显然非常方便快捷,但同时也对有的客户会造成不如柜台操作那样具备安全感,如不解除网络安全信用问题,一旦这种客户顾虑情绪蔓延开来,将在另一种思想意识心态中造成一定电子银行的业务风险。
第三,法律风险。电子银行的法律风险是指在操作运营中违反或不遵守法律,法规,规则而出现的风险,银行本身的高风险的特征要求银行在操作时必须符合有关法律、法规的规定,电子银行风险的创新必须适应法律的要求,法律的更新与电子银行快速发展相比较,存在一定的差别,完善程度并不完美,如果电子银行的建设速度和法律完善程度方面存在脱节,将会使电子银行存在法律风险。
第四,战略风险。在电子银行实现战略目标过程中,如果存在决策失误的现象,会将行业的这种变化影响造成银行业务的不确定性,从而要求银行对相关资源进行配套,主要是包括计算机硬件和软件,网络建设等方面的更新与应用。
同时要更新存在的无形资源(如管理技能的人才,新的管理技术等等),当银行未能妥善进行部门的管理规划工作时,信息技术相关的产品,服务,过程的监督和管理部门在分销渠道,信息技术的实际应用中就会发生很大的战略风险。此外,如果没有理解、支持或互联网技术的应用,即使银行使用可靠的技术,也可以产生战略风险。
第五,声誉风险。在电子银行使用过程中存在一定的声誉风险,与传统银行相比,电子银行的声誉风险面临更大的考验,具有更特殊的性质;声誉风险和几乎所有其他风险一样,只要是由于某些风险所带来的不利因素或损坏被告知公众,负面舆论很快就会通过互联网的传播平台,使声誉风险迅速增加。声誉风险的重量可以有不同的程度。如果有问题银行解决不及时,不良声誉的风险就会产生,一旦电子银行给客户带来了损失或者被报告存在,导致潜在损失的可能性,就会导致声誉风险。比如电子银行的系统操作不便给客户造成了麻烦,或者电子银行系统故障使得客户短期内无法登录付款等。类似这些问题,电子银行如果不能及时解决,就会增加不良声誉风险。问题严重时如系统崩溃或者给客户造成巨额损失,则客户可能直接更换银行,客户的流失也会使银行的持续经营面临风险,这样银行就会遭受巨大的损失。
第六,外包风险。外包风险是指金融机构在依靠外部供应商提供技术和生产时所产生的风险。金融机构将面临各种不同的风险和不同外包风险,在银行机构和外包方合作过程中,如果外包商在设计中出现错误,不能及时反馈,就可能对金融机构造成外包风险,同时外包商掌握着金融客户的基本信息,这些都是金融客户的隐私,如果无意中透露出来,就会给银行造成法律风险和外包风险。
第七,跨境风险。金融银行机构在进行境外业务过程中,要面对不同国家的法律法规,就要面对不同国家的跨境风险,主要包括法律的风险,信誉方面的风险,国家间的风险,比如,在客户进行跨境办理银行业务过程中,可能会存在不同情况,这些都要面对国家的货币制度方面的法律约束,从而让银行担负了不同的法律风险。
通过电子银行接受贷款申请来自其他国家的客户,即使国内客户信用评价体系很好,也将面临信用风险,当银行与外国服务提供者或外国参与者由于经济、社会和政治因素等原因,无法履行其义务时就可能面临国家风险。
三、网络环境下电子银行风险防控管理机制研究
网络环境下电子银行面临的风险主要是由于电子银行产品和服务吸引力低、风险管理人才欠缺、风险防控体系不健全、信用体系缺失、客户缺乏风险意识以及法律法规不健全等原因造成的,基于此,在网络环境下,应该从以下六个方面构建电子银行风险防控管理机制。
(一)提高研发创新能力
在传统银行服务理念的指导下,为客户提供优质的服务,在新形势下与时俱进,不断创新,在产品的服务层次和服务内容和功能方面,要不断优化,高质量的为客户服务,提高产品的功能性,避免产品出现同质化,避免产生经济效益低下。在产品的创新过程中,注重实现产品的个性化和实用性,切实提高网络银行的核心竞争能力,提高科技研究人员对产品开发的积极性,在考核机制的鼓励下提高科技人才的创新能力。在当前互联网技术不断更新的大背景下,要学会利用云计算、人工智能以及语音识别技术,推进电子银行的各种业务飞速发展,利用新产品新功能来吸引新客户,降低成本,提高利润,不断扩大网银的规模。
(二)增强风险管理人才储备
能够保证电子银行业务的健康运营,对银行的工作人员的素质要求提出了更高层次的需求,不仅需要熟练的员工从事日常银行业务,又需要结合现代计算机技术进行熟练操作,同时需要银行人员掌握通信网络技术和金融业务知识,在熟悉专业知识的基础上,加强全面风险管理意识的建立和道德修养的提高。因此,银行应不断进行科学合理的培训工作,不断提高银行职员的各个方面知识,提供银行职员不断深造和学习的机会,使银行职员在培训和不断的学习过程中得到锻炼和提高,以满足业务不断增长的需求。此外,加强从国内外引进优秀的金融复合型人才,为他们提供优厚的薪资待遇和优越的工作环境,并为其提供发展空间,让他们能够实现学以致用,用高级知识来促进电子网络银行业务的发展。最后,建立一套科学有效的激励奖惩机制,在效益第一的前提下,保证审慎经营的原则,坚持责任与利益不相背离的原则,建立激励机制和约束机制互相密切结合的制度,大力促进银行整体经济效益的稳步增长。
(三)加强内部风险控制
首先,商业银行应当建立全面的电子渠道业务规章和安全规范,并及时修订根据业务的发展和技术进步,确保及时发现和处理各种问题的操作系统。第二,建立完善的内部控制机制,科学分配电子银行业务每个部分的权限,构建电子渠道业务流程和权限相互制约系统,建立一套严格的授权机制和保密的制度,加强监测人员对信息系统的监控。第三,加强安全意识,建立一套完善的激励制度和约束机制,加强银行职员的思想政治工作,及时了解银行职员的思想动态,并开展广泛的公共活动到基层,充分调动员工的积极性,减少内部违规发生的风险。然后,提高电子银行审计人才储备工作,培训和引进计算机技术的结合,通信网络技术和知识的审计专业人才,提高内部审计的影响。最后,在风险环节方面充分考虑安全产品开发之初,不安全的产品绝对不能在市场上投入使用。定期重新评估技术支持的来源,确定现有的方案,继续配合业务的发展是否有足够的灵活性,以满足未来需求的预期。
(四)重建信用体系
信贷系统是金融市场的命脉,无论发达成熟的市场,还是新兴市场的发展,都面临不断提高和完善信用体系的客观需要,即使相对完善的市场信用体系,在严重缺乏信用时也可以引发系统性金融风险,并导致严重后果。在金融危机的时代,中国应该以现代信用体系建设、基于信用法律法规,信用专业服务机构为主体,建立标准的个人信用体系、企业信用体系、政府信用体系,创新完善社会信用体系,努力构建具有中国特色的符合社会主义市场经济发展的信用模型。后金融危机时代,在中国成功重建信用体系,将促进电子银行业务在中国的快速发展。
(五)提高客户的风险防控意识
在加大推广电子网银业务过程中,要不断提升社会民众对网银的使用观念,改变人们心中固有的传统办理业务的方法,能够接受电子汇款和转账的概念和业务,同时不断提高客户的安全防范意识和电子银行的风险防范方法和有效途径。在大力宣传的基础上,通过不同途径和方法向客户讲解各种风险的防范意识和注意事项,从而提高客户在使用网银过程中的安全意识,提高客户的风险防范能力和控制风险的能力。
(六)完善法律法规建设
在制定健全完善司法体系过程中,需要提速,利用法律规定和技术规范来保证电子银行业务的信息安全和系统安全,确保电子银行和电子商务的稳定运行和流转。在国家利益面前需要首先考虑到国家的相关利益,确定中国电子银行业务的管辖权。放开分业经营,混业经营等传统银行的局限性,利用统一的法律体系规范电子银行业务,有效降低中国电子银行的风险。同时加强银行内部的各项规章制度的快速建设,规范职工的行为,避免监守自盗;明确职责范围,在银行的内部开展监督来保障客户的合法权益,建立专门的监管机构和监管监督人员,大力开展职业道德教育;从而在电子银行业务的实施过程中,避免出现失职和操作风险。
综上所述,加强内部风险控制,重构信用制度,构建良好的外部软硬件环境,在不断发展我国网络基础设施的同时,开发具有中国特色、达到国际一流水平的产品、服务,从而打造和保持电子银行的核心竞争力。
参考文献:
[1]郭俊秀,丁洁.电子银行监管立法刍议[J].福建政法管理干部学院学报,2013(04).
当前网络环境存在风险篇3
【关键词】网络环境计算机会计信息系统内部控制创新
当前互联网已经在各个领域得到了广泛应用,打破了局域网的会计信息系统模式,使企业的信息能够与外部共享,与此同时就会产生安全性的问题,经过网络媒介传输的会计信息一旦被不法分子篡改或者窃取,那么会计信息的真实性就难以得到保障,进而使企业遭受损失,所以就当前以计算机为载体的信息系统进行重新的设计,创新内部控制制度,使其能够符合互联网的特质,从而保证安全稳定的运行状态。
一、网络环境为计算机会计信息系统内部控制带来的问题
互联网本身具有分散性、开放性以及共享性,这是与其他系统最大的不同之处,造成了网络环境的多样化,相对以往局域网的内部控制模式出现了极大的变化,一系列新问题便产生了,必须引起管理人员的重视。下文将分析网络特性对计算机会计系统内部控制带来的影响。
首先网络具有较强的开放性,因此从理论上来说能够获取服务器内部资料,要想完全避免只能断开网络使其不具备网络特性。所以要想完全避免不法分子的盗取是具备较高难度的,而且预防措施应该根据网络技术的变化而变化,在不同时间内均要起到较好的风险预防能力。
其次,计算机技术的发展也使电子商务兴起,电子商务一定程度上为企业带来了经济效益并且网络交易的方式能够加快企业资金周转的速度,但是另一方面也带来了隐患,对此计算机会计信息系统的内部控制应该做出适当的调整。
最后,会计信息系统的应用程序决定了计算机会计信息系统的安全性。因此党应用程序中携带漏洞就会导致信息被盗取或丢失,严重影响了系统的正常运行,而且网络技术发展迅速,而会计人员的计算机知识存在滞后性,不能每次都及时发现这些漏洞,因此计算机会计信息系统的安全性得不到保障。
二、网络环境下计算机会计信息系统内部控制的创新
风险与机遇总是相伴而生,而计算机会计信息系统以网络作为载体之后,系统同样着基于以及挑战,以上所述的几点问题使系统开发维护、操作规范、安全防范、文档控制、数据控制等等工作都要进行改变。所以原来局域网模式的会计信息系统内部控制已经无法满足当前的工作需求,下文将围绕会计信息系统内部控制完善和创新的方向开展讨论。
(一)完善风险预防机制
面对当前技术新形势,首先会计人员应该树立风险意识,完善风险预防机制,具体措施为:第一,为了能够立即发现系统中存在的风险以及问题,必须要建立一套完善的风险预警指标,对系统中的技术、管理风险实行全面的监督,以达到立即检测问题,为维修提供足够的反应时间的目的;第二,当系统发出预警信息之后,应该能够自动采取一定的防范措施,从而阻断问题源或者减小损失,对此可以使用防火墙来实现;第三,在企业内部设立专业的风险处理工作组,能够对出现的故障做出立即的处理,并且记录每一次问题,以便于为今后工作提供依据。
(二)健全组织以及管理控制
当计算机会计信息系统处于网络情况时,其处理结构也会发生改变,所以传统的会计机构也应该进行改变,必须强化管理以及监测的工作力度。明确各岗位的人员安排,用密码的方式控制各岗位人员的职责,只要密码没有泄露那么就不会出现职权交互重叠,也能够有效防止不当操作。另外系统建设各个环节的工作要由不同的人员负责,这样能够使人员之间相互监督,避免出现一些人员故意留下漏洞的现象,从而保证系统后期运行稳定。
(三)加强安全管理制度
为了保障系统足够的安全,在系统被破坏之前就应该采取一定的安全控制措施,例如利用网管软件监控网络的运行,还可以通过入侵检测、防火墙等安全软件采集产品信息,并与问题报告向挂钩,从而了解安全控制对于攻击者的防范效果,因此有必要在系统的通信、网络、应用以及操作系统等众多平台上进行安全防护工作,达到多层次安全控制的目标。实现安全防护的主要技术类型有:第一,访问控制是预防风险的第一步,目的是为了阻止无权限者的非法访问,包括防火墙技术、入侵检测技术、信息查询控制等诸多手段,当中防火墙是最为有效的方式,其具备的身份验证以及日志功能能够有效实现访问安全控制;第二,数据传输控制可以利用数字签名技术、信息资料加密技术来实现,或者在传输的会计数据中增加两侧加密防护;第三,网络安全协议包括安全超文本传输协议等;第四,自动备份能够在出现突发状况时候将文件进行保存;第四,防病毒控制主要利用杀毒软件来增强防毒能力,并应该及时更新杀毒软件,使其具备最新的病毒查杀功能。
三、结束语
总的来说,从新的网络环境中观察计算机会计信息系统能够发现很多的技术难点和挑战,但是为了实现计算机会计信息系统带来的诸多价值,必须使会计人员树立风险控制的意识、完善风险预防机制、健全组织以及管理控制、加强安全管理制度,使会计信息系统在较不稳定的网络环境中依然能保持高效、稳定、安全的运作。
参考文献:
[1]李芊.网络环境下会计信息系统安全性问题[J].环球市场信息导报(理论),2013(7).
[2]郑晓利.浅析计算机会计信息系统风险及其防范[J].财经界,2013(29).
[3]赵秀平.计算机会计信息系统下的审计风险及其控制[J].现代会计,2012(3).
当前网络环境存在风险篇4
论文摘要:目前来看,信息脆性风险已经成为网络通信系统亟待解决的问题。而要想更好解决网络通信系统信息脆性风险,就需要采取有效的管理方法对信息脆性风险进行分析,以保证网络通信系统正常运行,从而保证不同领域信息安全。本文主要从网络通信系统信息脆性风险概况、网络通信系统与脆性环境之间的联系、网络通信系统信息脆性风险评估等方面出发,对网络通信系统的信息脆性风险评估进行分析。
随着网通通信系统不断的发展,不仅其规模越来越大,其复杂程度也越来越高,系统之间的联系也逐渐密切起来。随之而来系统的不确定性也越来越大,而系统的复杂性使得网络通信系统易受环境的不确定性影响,从而使系统出现脆性风险,甚至给环境带来一定影响。在这种情况下,有必要基于网络系统脆性风险建立脆性风险评估体系,以减少不必要的网络脆性风险。如何更好的对网络通信系统信息脆性风险评估进行分析,已经成为相关部门值得思索的事情。
一、网络通信系统信息脆性风险概况
(一)脆性定义
脆性是系统受到外界打击时而产生的崩溃,这种崩溃在脆性产生之前并没有相应征兆。从某种意义上来讲,脆性是其系统自身特有属性,其是一种状态转化成另一种状态时才能显现出来的,一旦显现出来,就会给系统造成巨大的损失。
(二)脆性特点
脆性是伴随着复杂系统而存在的,基于脆性定义,系统脆性特点进行分析。现在网络通信系统中脆性不能明显的显现出来,只有当其受到强烈干扰之后,才能显现出来,并将脆性随时激发出来。随着网通通信系统不断的发展,其脆性可能随时被激发。因此,网络通信系统信息脆性问题是具有隐藏性的;因网络通信系统容易受复杂系统干扰,当其受一定条件限制时,其系统有脆性联系的系统就会受脆性的影响而产生崩溃;因网络通信系统进化方式较多,再加上受外界环境的影响,使其表现结果具有多样性,这也使得状态脆性变化形式更加多样化,系统脆性损失也变得多样化。在系统脆性的影响下,系统工作状态会呈现出混乱的状态,其脆性持续一段时间后会产生不同程度的危害性,甚至影响社会秩序的有序进行;网络通信系统子系统之间常会因为熵相互争夺,而使其熵值降低,从而使网络通信系统信息出现非合作博弈。此外,网络通信系统脆性也具有连锁性、延时性和整合性。网络通信系统在实际运行过程中一旦受外界干扰,其系统脆性就会随之产生逐渐崩溃,但是系统崩溃是可以延时一段时间的,毕竟系统有一定的开放性和组织性。再加上脆性是具有一定属性的,在对系统脆性进行研究时,需要全局分析。
二、网络通信系统与脆性环境之间的联系
在对网络通信系统信息脆性风险进行分析时,有必要对系统和脆性环境之间的联系进行分析。系统脆性风向与系统漏洞相似的,是风险客观存在的条件,而威胁和攻击则是风险的主观条件。不管是主管条件还是客观条件,主客观条件在时间相同条件下,其风险对整个通信系统安全是有一定破坏性的,甚至使整个通信系统处于不稳定且不安全状态中。一般系统与外部环境是有一定联系的,不仅相互影响,同时也存在一定外部规定性。也就是系统必须在特定的环境下进行,即便在环境因子不用情况下,其也会以一种特殊的方式将其组合在一起,从而进行不同的系统结构性质。但是系统实际运行过程中,会呈现一种特性甚至产生与环境相适应趋势。一旦环境发生变化,其系统涌和环境也有一定依存关系。而正是因为系统和脆性环境存在上述关系,可以将系统分为封闭式和开放式脆性系统两种。封闭式脆性系统在系统运行过程中,其与外部环境在信息和能量等方面没有相应沟通和交流的,而开放式脆性系统则与外部环境存有信息、能量及相关方面的沟通。从整体上来看,开放式脆性系统是易受脆性环境影响的,其脆性风险也相对较高。理论上封闭系统的风险性虽然低于开放性脆性系统,但是要想真正的降低系统风险并保证其安全,还需要最大限度的降低系统开放性,毕竟系统是变化的,而系统变化过程中是需要相应信息、能量及相关因素支持的。随着网络变化不断的发展,人们生产、生活对网络的依赖性越来越大,这就使得网络系统脆性安全变得越来越重要。这就需要对网络通信系统信息脆性风险进行相应分析并评估。
三、网络通信系统信息脆性风险评估
对网络通信系统脆性风险进行评估,除了了解系统信息脆性风险概况、与外部环境关系外,还应在上述内容基础上建立网络通信系统信息脆性风险结构模型,以便进一步对系统脆性风险进行评估。脆性系统受内外因的影响而易引发脆性事件。一般脆性事件是由不同因素构成的,一旦这些因素某一刻在系统上发挥作用,就可能引发一系列崩溃事件。而这一时刻内所有脆性事件构成的系统脆性事件而他将其制成脆性空间,也就是我们常说的系统脆性环境。当这些脆性事件在系统上产生作用,就会使脆性发生变化,甚至使其概率处于崩溃地步。而通信系统脆性风险结构就是在此基础上通过对脆性事件的可变性和不确定性的分析构建的。
脆性结构一般可分为脆性事件和脆性因子。脆性事件作为脆性环境的直接构成要素,其不仅具有重复性多边形,同时也具有难以预测性。而脆性因子则存在于脆性事件中,其具有隐藏性、稳定性和可预测性。因此,对脆性环境分析,可以基于脆性因子进行分析。脆性事件在某一时间内受外部环境干扰后会出现系统崩溃事件集。在实际分析中,可以通过假设空间系统n个脆性事件(I1,I2,……In),求出发生概率。正常情况下,当系统概率超过零0时,系统崩溃概率将会在0-1之间,在I1作用下,系统的脆性风险期望则为E[RI2]=Pipi,(i=1,2……,n),脆性风险则为E[RIi]=E[RIi]+…+E[RIn]。而构建这种线性叠加需要所有脆性事件来保证,但是在实际应用过程中,不同脆性事件是有多种联系的,这就加大了对具体脆性事件分析和预测难度,更无法对耦合关系进行分析和处理。在这种情况下,就应该对新对系统脆性事件进行分析,并辨别出脆性事件中存在的因子,再以不同脆性事件因子危害性为依据,对影响网络通信系统崩溃程度进行分析,以更好的得到脆性风险结果。为了使网络通信系统信息脆性风险评估更加准确,还需要对系统信息脆性熵进行进一步分析。熵作为度量脆性事件集,可以以脆性事件集空间概率形式来对平均函数进行分析。因脆性事件空间中的概率都有一定的风险,使得多有空间脆性事件都存有一定概率风险,再加上熵度量值是由脆性事件集空间概率决定的,使得熵成为整体结构的唯一决定。这样在实际应用过程中,就可以通过熵来减少脆性事件的不确定性,以降低脆性风险。
四、结束语
计算机网络通信技术不断的发展,网络通信技术向自动化、智能化水平方向发展,并被人们广泛应用在生活和社会不同领域中。而在网络通信系统运行过程中,其却常受内外环境的影响而出现网络系统信息脆性问题。因此,人们对计算机通信网络同风险越来越重视,相应网络通信系统研究人员为了更好解决上述问题,开始对网络系统信息脆性问题进行了上述研究。但随着时代的发展,网络通信系统信息脆性问题将会有新的体现,仍需要相应研究人员对网络通信系统脆性问题进行深入研究。
参考文献
[1]陈为化,江全元,曹一家.基于风险理论的复杂电力系统脆弱性评估[J].电网技术,2009,4
[2]薛萍,武俊峰,刘洋.网络通信系统的信息脆性结构的研究[J].计算机科学,2011,2
当前网络环境存在风险篇5
关键词:电子商务风险管理解决方法
随着开放的互联网络系统Internet的飞速发展,电子商务的应用和推广极大地改变了人们工作和生活方式,带来了无限的商机。然而,电子商务发展所依托的平台——互联网络却充满了巨大、复杂的安全风险。黑客的攻击、病毒的肆虐等等都使得电子商务业务很难安全顺利地开展;此外,电子商务的发展还面临着严峻的内部风险,电子商务企业内部对安全问题的盲目和安全意识的淡薄,高层领导对电子商务的运作和安全管理重视程度不足,使得企业实施电子商务不可避免地会遇到这样或那样的风险。因此,在考察电子商务运行环境、提供电子商务安全解决方案的同时,有必要重点评估电子商务系统面临的风险问题以及对风险有效管理和控制方法。
电子商务安全的风险管理是对电子商务系统的安全风险进行识别、衡量、分析,并在这基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。
1.电子商务的内涵
1.1内涵
电子商务一词源于英文ElectronicCommerce或ElectronicBusiness,现已经成为当代社会的潮流,其含义有两个内容,其一,电子方式,其二,商贸活动,即整个商务过程的电子化、网络化和数字化,交易双方可以便捷却并不面对面地进行各种商贸活动,利用这种快速、低成本的电子通讯方式,它将覆盖与商务活动有关的方方面面。
针对人们对这个热词理解的不同,电子商务有广义和狭义之分。广义上说,电子商务是指利用一切电子方式所从事的贸易活动。电子方式指的是电子技术设备、电子技术工具及系统,包括早期的电报、电视、电话、传真、Email、广播、电子计算机、电信网络和当今的电子货币、信用卡、网银盾、信息基础设施及互联网等现代通信网络系统。贸易活动则指的是一系列市场经济活动,包括信息、询价报价、洽谈、签约、结算支付、商业交易、国内外贸易等等。由于信息技术快速发展和计算机网络的普及使电子商务得到广泛地运用,从狭义上讲,电子商务则是利用计算机网络进行的商务活动。
1.2分类
目前,电子商务按交易内容基本分为直接电子商务和间接电子商务两大类型。直接电子商务是指商家将服务产品和无形商品内容数字化,不需要某种特定物质形式的包装,直接在网上以电子形式传送给消费者,通过互联网或专用网直接实现交易。间接电子商务又称不完全的电子商务,指在网上进行的交易环节只能是订货、支付和部分的售后服务,而商品的配送还需依靠送货的运输系统等外部要素,即由专业的服务机构或现代物流配送公司去完成。
2.电子商务面临的安全风险
2.1互联网络的开放化带来的数据破坏风险
电子商务是以互联网络为平台的贸易新模式,它的一个最大特点是强调参加交易的各方和所合作的伙伴都要通过Internet密切结合起来,共同从事在阿络环境下的商业电子化应用。在电子商务环境下商务交易必须通过互联网络来进行,而互联网体系使用的是开放式的TCP/IP协议,它以广播的形式进行传播。容易受到计算机病毒、黑客的攻击,商业信息和数据易于搭截侦听、口令试探和窃取,给企业的数据信息安全带来极大威胁,如遭破坏或泄密,将会给电子企业、商户造成巨大的损失。
2.2系统软件安全漏洞带来的风险
由于现阶段广泛应用的主流操作系统和数据库管理系统是从国外引进直接使用的产品。核心技术还是使用引进的版本。这些系统安全性存在系统漏洞等不少危及信息安全的问题。系统软件安全漏洞带来的风险主要来自操作系统软件和数据库管理系统软件的安全漏洞。没有作系统的保护,就不可能有网络系统的安全,也不可能有应用软件信息处理的安全性。
2.3来自社会的外来入侵风险
电子商务容易被来自社会上的不法分子通过互联网络非法入侵,主要表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏,是一种社会道德风险。黑客通过闯入他人计算机系统进行破坏,这些人利用电子商务系统和管理上的一些漏洞,进入计算机系统后,破坏或篡改重要数据,盗取机密与资源,控制他人的机器,清除记录。设置后门,给电子商务系统带来灾难性的后果。而计算机病毒是人为编写的一组程序,可以攻击电子商务系统的数据区、文件和内存,以致使计算机的硬件失灵,软件瘫痪。数据破坏,系统崩溃,给企业和商户造成无法挽回的巨大损失。
2.4电子商务本身内部监管漏洞带来的风险
电子商务本身如果缺乏约束机制,责权不明,管理混乱、安全管理制度不健全等是引起电子商务系统安全风险的头号风险根源。如果没有严格的可操作性的内部管理制度,容易造成当系统出现攻击行为或受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警,而且,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对系统的可控性与可审查性。
3.电子商务交易运行的风险
3.1信用风险
传统商务交易一般使用以纸为介质形式的手写签名或证明文件等方式来证明或确认商务的交易,应该说比较容易辨认真伪,操作显得比较容易。而在基于互联网络为交易平台的电子商务形式下,参与商业交易均在互联网上进行,双方并不存在与传
统商业模式的见面、磋商、谈判、监证、签署文件等问题,这就需要通过一定的技术手段相互认证,如数据加密技术、数字签名、数字证书等技术来保证电子商务交易的安全。在电子商务环境下,由于电子报表、电子文件、电子合同等无纸介质的使用,无法使用传统的签字方式,从而在辨别真伪上存在新的风险,电子商务的成功与否取决于消费者对网上交易的信任程度,电子商务的信任风险实质是由网络交易的虚拟化造成的,首先是买方信用风险。在网络中个人可以任意伪造信息,可以伪造假信用卡骗取卖方商品。从而给卖方带来风险。然后是卖方信用风险,由于信息不对称的原因消费者不可能全部掌握商家商品信息。卖方商品信息不完全、不准确或商家过分诱导消费者从而误导消费者购买行为;另外,卖家单方面毁约。不履行交易,也会对买方造成损失。所以电子商务应用过程中遇到的信用风险问题,是值得关注的问题。
3.2法律风险
电子商务在交易过程中存在法律风险,由于电子商务是在网络间进行的,电子商务交易可以看作是无纸贸易,是一个虚拟环境的交易,当前对这些虚拟交易的法律监管却并不完善,这些问题使得电子商务认证、交易会有不受法律保护的风险。另外,电子商务贸易还存在知识产权的风险,网络是个开放的平台,资源在网络中的传播是畅通的。在网络中资源的共享性使得有知识产权的资源受保护的力度被降低,因此可能带来电子商务交易的知识产权纠纷等法律的风险问题。
3.3电子商务风险管理
电子商务安全的风险管理(RiskManagement)是对电子商务系统的安全风险进行识别、衡量、分析,并在此基础上尽可能地以最低的成本和代价实现尽可能大的安全保障的科学管理方法。其本质就是防患于未然:事前加以消减和控制,事后积极响应和处理,为响应和处理所做的准备就是制订应急计划。
4.风险管理步骤
了解了电子商务存在的风险之后,需要对这些风险进行管理和控制。具体包括风险识别、风险分析、风险应对和风险监控4个过程。选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全运作的经济保障。这就要求企业在日常经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及日常经营造成的消极影响,使企业能够顺利经营。
4.1风险识别
对电子商务系统的安全而言,风险识别的目标主要是对电子商务系统的网络环境风险、数据存取风险和网上支付风险进行识别。识别风险的方法有很多,主要有:试验数据和结果、专家调查法、事件树分析法。电子商务风险识别最常用的一种方法就是收集各种曾经发生过的电子商务攻击事件(不仅局限于本企业),经过分析提取出若干特征,将其存储到“风险”库,作为识别潜在风险的参考。
4.2风险分析
风险分析的目的是确定每种风险对企业影响的大小,一般是对已经识别出来的电子商务风险进行量化估计。这里量化的概念主要指风险影响指标,风险概率以及风险值。技术安全是电子商务实现的基础,其重要性不言而喻,因此在该项目规划、计划阶段就应充分考虑。
4.3风险应对(风险控制)
根据风险性质和企业对风险的承受能力制订相应的防范计划,即风险应对。确定风险的应对策略后,就可编制风险应对计划。电子商务的技术风险控制主要是针对网络环境风险、数据存取风险和网上支付风险制订风险应对策略,从硬件、软件两方面加强IT基础设施建设。
4.险监控
制定规划,实施保护措施,在保护措施实施的每一个阶段都要进行监控和跟踪。风险贯穿于电子商务项目的整个生命周期中,因而风险管理是个动态的、连续的过程。因此制订了风险防范计划后,还需要时刻监督风险的发展与变化情况。
5.风险管理规则的制定
5.1评估阶段
该阶段的主耍任务是对电子商务的安全现状、要保护的信息、各种资产等进行充分的评估以及一些基本的安全风险识别和分析。
对电子商务安全现状的评估是制定风险管理规则的基础。
对信息和资产的评估是指对可能遭受损失的相关信息和资产进行价值的评估,以便确定相适应的风险管理规则,从而避免投入成本和要保护的信息和资产的严重不匹配。
安全风险识别要求尽可能地发现潜在的安全风险,应收集有关各种威胁、漏洞、开发和对策的信息。
安全风险分析是确定风险,收集信息,对可能造成的损失进行评价以估计风险的级别,以便做出明智的决策,从而采取措施来规避安全风险。
5.2开发和实施阶段
该阶段的任务包括风险补救措施开发、风险补救措施测试和风险知识学习。风险补救措施开发利用评估阶段的成果来建立一个新的安全管理策略,其中涉及配置管理、修补程序管理、系统监视与审核等等。
在完成对风险补救措施的开发后,即进行安全风险补救措施的测试,在测试过程中,将按照安全风险的控制效果来评估对策的有效性。
5.3运行阶段
运行阶段的主耍任务包括在新的安全风险管理规则下评估新的安全风险。这个过程实际上是变更管理的过程,也是执行安全配置管理的过程。运行阶段的第二个任务是对新的或已更改的对策进行稳定性测试和部署。这个过程由系统管理、安全管理和网络管理小组来共同实施。
6.风险管理对策
由于电子商务安全的重要性,所以部署一个完整有效的电子商务安全风险管理对策显得十分迫切。制定电子商务安全风险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电子商务系统环境所面临的风险。
6.1缩短电子商务项目周期,增加更多的项目选择
减轻电子商务风险的一个最简单的方法就是缩短电子商务项目周期,因为电子商务所面临的外界环境,如技术环境,竞争环境等变化太快,如果电子商务项目过大,即使你的项目本身成功了,但由于环境的改变,这个成功的电子商务项目未必能给企业带来原先设想的利益。
6.2自上而下的风险意识
很多的企业认为,电子商务项目是个技术项目,只需要相关的技术部门参与就可以了。有调查显示,大多数企业在进行电子商务化的过程中,缺乏高级管理层的重视,这也是电子商务项目成功率不高的原因。而对于成功的电子商务企业,往往在进行电子商务项目时,不仅受到企业决策层的高度关注,而且普通的员工也都非常清楚电子商务化的目标,这样自上而下的对于电子商务知识的了解,也是这些公司成功运作电子商务的原因之一。所以对于将要从事电子商务的企业,不仅要让全体员工了解电子商务的知识,而且要了解电子商务的风险,要形成一个自上而下的全员参与、全员重视的风险意识。
6.3改变企业内部运作流程
现在仍有很多企业认为电子商务无非就是建一个网站,所以这些企业在从事电子商务时,往往会遭遇失败。电子商务给企业提供很好的机会改变其内部和外部商业运作流程,如果企业不改变其商业运作流程,而直接进入电子商务,不仅企业对电子商务的投资会失败而且会影响到整个企业的声誉。所以在企业加入电子商务行业前,一定要改造自己内部的运作流程,使之适应电子商务的要求。实行电子商务的商户,在内部管理制度上应健全相应的规章制度,例如:制定制度来规范和约束员工的行为,根据其工作的重要程度,确定该系统的安全等级。制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。对操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己
的管辖范围;制订完备的系统维护制度,对系统进行维护时。应采取数据保护措施。如数据备份等。另外制定人员激励机制也很重要,应建立人员雇用和解聘制度。及时对工作人员进行评价,制定奖惩制度,调动工作人员的工作责任感和积极性。
6.4滚动的战略计划
电子商务时代的不确定性和快速变化,使得详细的战略经营计划的作用越来越小。我们现在经常看到的是,电子商务企业有一个明确的五年计划,其中第一年计划较详细,而其他年份则是较粗略的,因为在这些计划实施的时间到来之前,环境可能已经发生变化了。这说明了确保五年目标具有相关性的滚动计划的十分必要的,应当定期修改计划来适应变化了的环境。当然,这种方法的实施也应具体问题具体分析,应当考虑各个企业所面临的具体环境而有所不同。
6.5降低成本与实现可持续发展
电子商务的发展是大势所趋,但电子商务在给企业带来机遇的同时也产生了新的风险。正如在所有的风险管理当中一样,我们考虑的是未来事件出现的不确定性和可能性;在电子商务中,这种不确定性甚至更大,这使得电子商务风险管理成为一项相当繁重的工作。因此要解决好电子商务的安全风险问题,应该针对问题的根源,采用一种综合防范的思路,从多方面去认识,寻找解决方法,这对加快我国电子商务的发展有着重要的意义。
6.6加强技术保证,确保电子商务信息的安全
针对电子商务依靠互联网络平台来开展的网络开放性的特点,特别是要针对互联网体系使用的是开放式的TCP/IP协议,给企业信息和数据安全带来的极大威胁的安全隐患。对如何保障企业的信息数据和重大商业机密,是确保开展电子商务的企业的重要技术保障和前提条件,只有高度重视电子商务的信息安全,才能保证其运行安全,这就需要有强大的技术安全保障措施,不但要制定完善的技术保障措施,更要严格执行制度,才能确保电子商务信息的安全。例如:我们在企业内部网和互联网之间要加一道防火墙,防止黑客或计算机病毒的袭击。保护企业内部网中的机密商业信息数据。另外,利用现有的信息新技术将数字签名技术应用于电子商务的身份认证,可以防止非法用户假冒身份,从而保证电子支付的安全,增强电子商务信息的安全保障措施是电子商务顺利开展的重要技术保障。
6.6.1加强电子商务网络安全的开发及运用
目前电子商务的运作涉及信息、资金、商业秘密等安全问题,由于其电子数据具有无形化的特征,而有关认证机制或者网上安全技术均不够完善,因此有必要对互联网进行本质上的重新设计,使其保证电子商务活动的正常进行,这涉及到多方面的技术应用,如防木马、防火墙、加密、认证等。面对电子商务网络安全威胁,必须采取各种各样的管理措施,满足商务交易运行的安全性。
6.6.2建立电子商务的信用保障体系
电子商务交易模式与其他交易模式相比具有更多的风险,然而引起这些风险的原因还在于带来这些风险的人的失信行为。消除这些风险的,需要一个第三方信用服务认证机构通过技术手段来帮助参与电子商务交易的各方提出解决方案,使风险降至最低。
6.6.3完善电子商务税收征管机制
首先,出台相应法律法规,扶持电子商务。我国应出台相关的法律法规,鼓励与扶持国内企业利用电子商务,并应坚持税收中性原则,使企业对市场行为和贸易方式的选择不受征税影响。其次,借助计算机网络,加快税收征管改革。现在,电子商务发展迅速,交易的无纸化使得税务机关必须改革以传统的以纸质凭据作为纳税依据的征管制度,以便税务机关稽查,做到税收无纸化,提高效率,从而适应电子商务发展的要求。最后,加强与银行等中介机构的信息确认,获取真实可靠的征管信息。税务机关应同银行等中介机构合作,通过联网获取企业在电子商务平台中交易的相关信息,对企业的资金流向实施有效监控,防止企业偷逃税。
6.7加强复合型人才的培养
实现电子商务环境是当今全球经济一体化、信息化时代的一种发展趋势,重视复合型人才的培养是电子商务成功与否的决定因素。所谓电子商务的复合型人才是指要求电子商务管理人员既要有计算机知识,还要有管理理论和商务、金融、法律等知识。对电子商务管理人员进行培训,通过学习现代电子网络技术,将经济、金融、法律、网络有机地结合。对商务交易、金融活动的网络化、数字化有比较深刻的认识,加深对电子商务环境下的风险认识和防范。从而提高员工适应电子商务的工作能力和创新能力,更好地开展电子商务这一新兴的贸易模式。
结论
电子商务的开展以信息技术为基础,如何解决电子商务中存在的安全问题已成为一个迫在眉睫的课题。电子商务风险是不可能完全消除的,因为它是与电子商务共生的,是电子商务的必然产物,但是,可以将风险限制在影响最小的范围之内。只有了解风险,才能规避风险。本文从安全风险管理的角度出发,分析了电子商务中可能存在的技术风险,论述了这些风险的控制策略,希望对企业开展电子商务活动起到一定的积极作用电子商务作为一种新的交易方式,已成为我国经贸发展领域的主流力量,并将成为国际经贸合作的主要平台。然而电子商务所存在的或将出现的风险问题是不可能完全消除的,它是伴随电子商务的产生而出现的必然产物。由于电子商务风险在不同的应用领域所产生的危害程度各不相同,所以电子商务风险管理的目标是将其存在的风险所造成的影响尽可能控制最小的范围之内。此外,无论是再好的安全措施也要有应对突发的安全问题的应急方案。最重要的是政府必须尽快制定并完善相关政策,适应高速发展的电子商务进程,确保电子商务交易的安全、透明、高效。
参考文献
[1]调查报告编委会.1997-2009:中国电子商务十二年调查报告[EB/OL].http://,2009-10-12.
[2]贾建华,阚宏.国际贸易理论与实务[M].修订第四版.北京:首都经济贸易大学出版社,2004:143-147.
[3]邱新泉.电子商务风险与对策研究.信息技术,155-156
[3]刘伟江,王勇。电子商务风险及控制策略[J].东北师范大学学报:
哲学社会科学版,2005,(11)。
[5]高新亚,邹静.电子商务安全的风险分析和风险管理.武汉理工大学学报.信息与管理工程版.2005.8
[6]郭学勤,陈怡.电子商务安全对策.计算机与数字工程.2001.7[7]李晶.电子商务安全防范措施.安徽科技.2003.4
[7]彭连刚.电子商务及其安全问题探析.长沙航空职业技术学院学报,2005,(02)
[8]专业文献资料
当前网络环境存在风险篇6
会计电算化会计信息系统
随着计算机在各个领域的广泛运用,越来越多的企业开始采用会计电算化来进行财务核算及财务管理,大大提高了会计信息处理的速度和准确性,为用户提供及时、准确的会计信息,同时随着互联网的影响,使得网络环境下的会计电算化系统内部控制提到日程。
一、互联网对会计电算化信息系统内部控制的影响
由于网络系统的开放性、分散性、数据的共享性等方面大大超多了以往任何类型的系统,极大地改变了以往计算机会计信息系统的应用模式,扩大了系统运行的环境,从而改变了计算机内部控制的内容和方法。同时给计算机会计信息系统内部控制带来新的问题,应当引起我们足够的重视。在此,笔者根据互联网系统的特点来分析网络环境下计算机会计信息系统内部控制的新问题:
(一)网络系统的开放性使得计算机会计信息系统很难避免非法侵扰
网络是一个开放的环境,置于该环境中的各种服务器上的信息在理论上都是可以被访问到的,除它们在物理上断开连接、脱离网络环境。因此,网络会计信息系统很难完全避免非法访问者的侵扰。为此,企业需根据网络技术的最新发展,定期评估系统的安全性和内部控制能力,努力把新技术给系统带来的风险降到最低。
(二)电子商务的普及将给内部控制带来前所未有的挑战
随着互联网的迅猛发展,电子商务将逐步普及。电子商务一方面提高了商务活动的效率,给企业带来了无限的生机;另一方面给计算机会计信息系统的内部控制也带来了新的挑战。基于电子商务的单据电子化、货币电子化、网上结算等,虽然可加快资金周转速度,但给计算机会计信息系统带来的风险将是空前的,这将给网络计算机会计信息系统的内部控制带来极大的困难和前所未有的挑战。
(三)内部控制的范围扩大,计算机会计系统控制的难度加大
在网络环境下,由于互联网系统开放性、共享性、分散性的特点,会计数据的处理方式突破原有的封闭的系统环境,以及系统建立与运行的复杂性,要求内部控制的范围相应扩大,延伸到整个网络系统。如对网络系统安全的控制、系统权限的控制、计算机病毒的防治、系统开发过程的控制、数据编码的控制以及对调用和修改程序的控制等,因而加大了内部控制的难度。
(四)内部控制的程序化,加大了计算机会计信息系统的控制风险
在网络环境下,计算机会计信息系统在很大程度上取决于这些会计信息系统中运行的应用程序的质量。一旦这些应用程序中存在严重的BUG或恶意的后门,便会严重危害系统安全。毕竟,会计人员对计算机专业知识所知有限,很难及时发现这些漏洞。加大了计算机会计信息系统的控制风险。
二、网络环境下会计电算化信息系统的控制风险分析
由于互联网系统的分布式、开放性等特点,与原有集中封闭的计算机会计信息系统比较,给计算机会计信息系统的内部控制带来了新的问题和挑战,系统在安全上的问题更加突出。基于互联网会计信息系统的风险主要有以下几方面:
(一)物理风险
任何计算机系统都存在着由于操作失误,硬件、软件、涮络本身出现故障导致系统数据丢失甚至瘫痪的风险。物理风险主要包括:1、计算机网络系统硬件选配不合适,致使网络功能发挥受阻;2、网络工作环境、电源等不合要求直接影响网络的可靠性;3、网络操作系统和会计软件的安装、维护不善;4、网络管理制度不健全等。
(二)会计信息保密性和完整性被破坏的风险
主要指企业内部人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。网络安全的最大风险仍然来自组织内部。因此,内部控制仍然是基于互联网会计信息系统控制的基础。由于可联网/内联网结构本身的特殊性,其内部控制远远超出了以往计算机系统的范畴,从会计机构内部扩展到对整个企业内部人员的控制。
(三)系统运行风险
计算机会计信息系统置于网络环境下运行,系统控制的大门面临敞开的风险,系统运行随时可能遭到破坏和干扰,如人为因素导致非法片j网络资源、切断或阻塞网络通信、通过计算机病毒致使网络瘫痪以及非人为素导致的灾害事故、系统死锁等,影响汁算机会计信息系统正常运行。
(四)网络环境的开放性加剧了会计信息失真的风险
网络技术在财务软件巾的应用对计算机会计信息系统的影响将是革命性的。但网络环境具有开放性的特点,这就给会计信息系统的内部控制带来了许多新问题。如在网络环境下,大晕会计信息通过网络传输有可能遭到攻击,破坏了会计信息的真实性和完整性。总之,网络环境的开放性和动态性,加剧了会计信息失真的风险,加大了计算机会计内部控制的难度。
三、网络环境下会计电算化信息系统内控制度创新
建立科学长效的会计信息系统风险控制机制,强化风险意识。我们前面已经分析互联网给计算机会计信息系统带来的各种可能的风险,我们就应该建立相应的风险控制机制,做到有备无患。在这里主要指风险防范的预警机制:
(1)应建立风险评估的信号和指标体系,针对可能出现的技术风险和管理风险等。建立一套风险预警指标,就相当于计算机会计信息系统安装了风险警报系统,可以及时发现和评价所出现的风险。
(2)应健全风险控制运行体系。收到预警信号后应及时采取措施,以防风险的发生,这是计算机信息系统运行的防火墙。
(3)建立风险处理快速反应部门。目的是帮助企业能迅速地对事故及故障做出反应,将事故及故障造成的损害降到最小,并通过对已发事件进行分析来监督此类事件,达到进一步防范风险的作用。
四、总结
计电算化系统为企业极大的节约了其偶也在会计工作中的人力、物力、财力花销,最大程度的保证了会计工作的准确性、系统性、全面性,使企业利益最大化。但是这一系统在使用过程中存在着较大的风险性,必须采取一定的措施规避风险,才能更有效地发挥其价值。
参考文献: