网络招投标财务信息安全的问题与对策毕业设计论文.doc

湖南科技大学潇湘学院本科生毕业设计（论文）摘 要随着计算机通信和网络技术的发展，通过计算机、网络等信息技术，来进行招投标业务，已成为当前投资经济的重要手段。本文关注如何优化重组工作流程，规范在网络上执行在线招标、投标、开标、评标和监督监察等一系列业务操作，最终实现高效、专业、规范、安全、低成本的招投标管理。通过对招投标中的网络财务运用、管理的相关分析，本文结论表明：1、网络财务不仅彻底改变了财务工作方式和管理模式，极大地提高了工作效率，而且保证了财务信息的准确性、完整性和及时性，同时，也给网络招投标财务信息的安全带来了一定风险。2、在信息化发展过程中，如何运用企业控制策略，将业务、信息系统( 信息处理)、控制活动融合在一起,有效控制风险，促进企业自身管理目标的实现，具有十分重要的现实意义。3、通过建立各种管理制度、在软件功能上施加必要的控制手段，乃至建立网络财务的内部控制措施等，是网络技术下财务信息安全问题的重要解决方案；据此，本文提出了基于分析的政策建议。关键词：网络招投标；网络财务；信息安全；abstract with the development of computercommunication and network technology computer network,information technology,to makebidding business,has become an important means ofinvestmenteconomy.this paperfocus on how to optimizeworkflow,norms in the implementation ofonlinebidding,bid opening evaluation andsupervisionand a series ofoperationsin the network,efficient, professional,standard,safety,low cost ofbidding management.through correlation analysis offinancial application,network management forbidding in theconclusions show: 1,the network financenot only changed theway of financial workand management mode,which greatly improves the work efficiency,andensurethe accuracy of financial information,integrityand,at the same time,bringscertain riskstothe networkbiddingfinance information security.2,in the information technology development process,how to use nterprise strategy,business,information systems(information processing),control activitiestogether,to control the risk effectively,promote the realization of man agement objectivesof the enterprise,has the extremely important practical significance.3,through the establishment ofvarious management systems,the software functionis appliedto controlthe means necessary,and to buildthe internal control measuresof financial network,is an important solution tothe financialproblems of information securityunder the network technology therefore,this paper presents the analysis ofpolicy recommendations based on the.keywords:network bidding;network finance;information security;目 录第一章 前言 4第二章 招投标与管理52.1我国网络招投标大致有以下四个阶段：52.1.1招标信息发布、投标企业查阅招标信息阶段52.1.2投标企业制作投标书参加投标阶段52.1.3开标、评标阶段52.1.4招标结果发布阶段52.2网络招投标的优势分析62.2.1 积累经验数据，提高办事效率62.2.2 便于政府部门管理，减少暗箱操作62.2.3有利于降低招投标成本62.2.4有利于建立公平 、 公正的招投标市场秩序62.2.5充分实现招投标资源信息库管理7第三章网络信息安全83.1网络信息安全的内容83.1.1.硬件安全。83.1.2软件安全。8 3.1.3运行服务安全。83.1.4.数据安全。8第四章 网络招投标财务信息安全的问题94.1网络风险4.2系统风险4.3信息风险第五章 网络招投标财务信息安全的问题对策145.1风险防范非体系的设计145.2风险防范技术155.3风险管理制度第六章 结论 17参考文献18致谢19附录a第1章 前 言电子招投标是指通过计算机、网络等信息技术，对招投标业务进行重新梳理，优化重组工作流程，在网络上执行在线招标、投标、开标、评标和监督监察等一系列业务操作，最终实现高效、专业、规范、安全、低成本的招投标管理4。电子招投标以网络为媒介，利用信息技术进行招投标业务的协同作业，是电子招投标与传统招投标业务的本质不同4。网络的实时性和同步性打破了传统意义上的地域差别和空间限制，只要所处之地能够上网，用户可以随时向千里之外的客户发起交易并能得到实时的响应。基于这一点，电子招投标帮助招投标参与各方节约了大量的时间和经济成本；信息得以及时沟通，自然也就加快了招投标活动的整体进程。信息安全是指为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露12。这里面既包含了层面的概念，其中计算机硬件可以看作是物理层面，软件可以看做是运行层面，再就是数据层面；又包含了属性的概念，其中破坏涉及的是可用性，更改涉及的是完整性，显露涉及的是机密性。所谓网络财务是一种基于网络计算的技术，以整合实现企业电子商务为目标，能够替代互联网环境下会计核算、财务管理模式及其各种功能的财务管理软件系统5。网络财务下的财务管理是用电子信息技术将财务活动和网络联系起来，在网络上实现web记账、实时查帐、在线资金往来、动态报表，并通过财务和业务协同实现资金统筹使用、财务结算高效、业务处理一体化。 网络财务必须要有信息系统的支撑，才能正常高效地运转。由于信息系统的开放性，面临着网络风险、系统风险、信息风险的威胁，因此，网络财务信息系统的风险防范至关要。应该了解和掌握网络财务信息的风险识别；网络财务信息风险防范体系的设计。网络财务信息风险防范技术及网络财务信息风险管理等内容。网络财务信息系统风险防范的手段，主要依赖于两个方面，一方面是采用一些安全设备、信息技术；另一方面是制定科学合理的安全管理制度。霍宏建的 网络财务信息安全风险及防范 中全面的概括了网络财务所会遇到的各种风险以及防范的办法。而董春丽在浅谈企业会计信息化的风险与管理策略中则从信息化的方面的风险和管理。刘云枫 、易丽君 在全过程网络招投标及其风险识别 中重点阐述了网络招投标相较于以往的方式的优势。以及存在的不足。孟卫东 、刘斌 、李嘉明 在网络财务一书中，介绍了网络财务的基本概念，讲解信息处理与信息披露，描述网络财务信息的内部控制和风险防范。本文着重描述了网络招投标财务信息安全的问题与对策。第二章招投标与管理网络招投标,也称网上招标采购,是指通过专用招标投标电子商务平台,供应商、招标方通过网上传递投标数据,开标、评标均采用电子手段,通过网络发布中标结果的一种招投标方式9。我国现阶段,网络招投标还没有普遍使用,不仅是由于技术水平,管理规则等方面限制,也是因为在进行网络招投标的过程中存在各种风险,将可能对利益相关方造成损失,所以使得人们对其持着望而却步的态度。8因此,本文将从多方面,多角度,全面的分析在实施全过程网络招投标中所面临的各种风险,到达对网络招投标风险识别的目的。2.1我国网络招投标的四个阶段2.1.1招标信息发布阶段招标代理机构可以利用网络平台提供的各种文件，招标投标招标文件并上传到服务器，自动发布招标公告的媒介，资格审查和决定是否出售招标。2.1.2投标企业参与投标阶段通过招标代理机构的资格考试，投标人可以下载招标文件，填写表格。将招标文件的电子版本上传到服务器。用于开标时使用。2.1.3开标、评标阶段招标方在网络招投标平台的专家数据库中随机抽取有资格评标专家。在规定开标时间后，由各投标方解密投标文件，统一公开投标内容10。网络招投标平台可根据事先规定的评分方法进行系统打分，或直接交由评标小组进行在线评标工作，并确定中标单位。2.1.4招标结果发布阶段主要是对所有投标单位的综合信息的快速查询。投标人可在网上查看中标公示、中标结果及招标人要通知各投标单位的其他有关信息10。招投标双方可将历次招投标项目归档管理，并且可以随时查看其全部过程和文件。.网络招投标的优势分析2.2.1积累经验数据 提高办事效率虽然投标已成为国内采购的常见方式，国家已经出台的规则。但是由于招标工作的严性，绝大多数企业没有自行招标的经验和能力11。网络招投标平台供应各行业必需的文献模板，保留历次招标的所有文件，节约了招标人编制招标文件的大量人力和时间。通过网络进行沟通，大大提高了办事效率，缩短了招投标的时间。2.2.2 便于管理 减少暗箱操作每个项目都是保持完全的控制和备份，便于相关部门的审查，没有遗漏任何情况，也不允许手动修改。在运用网络进行招投标的过程中，双方人员能够不见面，使得暗箱操作的机率降低了；也使整个招投标过程更加透明，体现了公开、公平、公正的招投标理念。2.2.3有利于降低招投标成本传统的纸质招投标方式在资源消耗方面存在极大的问题，如重复投入，各类人力、物力、时间方面的消耗等等。并且目前几乎都是采用人工形式操作，工作效率较低11。而如果采用网络化的招投标方式，就能够利用网络和信息化手段提升工作效率，将一切纸质文书转化为电子数据，从而降低各类手续的成本消耗。同时通过网络资源的共享功能，可避免不必要的重复投入，缓解因为采用传统招投标方式而引起的社会资源大量消耗的问题。2.2.4有利于建立公平公正的招投标市场秩序权威的整个过程的工程招投标，评标，有权决定对链路的校准，是一个临时的一个强大的机制。在实际过程中，很多的评标委员会实际上是一个“傀儡”。某些与招标项目直接或间接相关的当局领导、招标单位领导、招标单位具体负责人等，控制着中标的成果，实际上他们才是招标的实权人。评标委员会成为他们的意图非法工具。评标专家，绝大多数将根据招标单位审查，更重要的是，招标单位将准备好几种不同的笔迹专家评分表，只要签名就可以了。碰到个别认真的专家，招标单位也会利用增加评标专家的评标费等解决办法。传统的招投标方式，因为有较多人为因素存在，所以一直以来存在着诸如暗箱操作、钱权交易、监督制约缺失等问题，从而造成了招投标市场的混乱局面。为了杜绝这些现象，要加快信息网络建设，建立统一的招投标信息网络系统，实现招投标活动的主体、监督执法主体和交易场所三方信息联网，逐步实现网上信息发布、评标结公示、评标专家抽取，以及网上招标、投标、评标和备案等功能。充分运用现代化信息技术，减少人为因素，为招投标活动提供公开、公正、平等竞争的市场环境。网络化招投标方式的施行，将一切招投标程序放到了网络上，避免了过多人为因素的干预，从而极大缓解了上述这些问题, 促使我国的招投标市场秩序逐渐向着公平公开、法制监督的方向健康发展。2.2.5 充分利用招投标信息资源在传统的招标，投标数据只能通过手动注册或重新进入的方式管理。不单单因重复劳动而浪费人力，而且会由于数据更新不相同、关联性差，形成交易与治理的脱节。在业务的网络招投标平台过程直接收集相关信息和数据，这些数据是紧密相连的，具有强大的联动效应。招投标过程的严谨性，保证了数据信息的准确、可靠。经过一定时间的积累所累计的招投标信息资源库，有利于招标机构分析总结招标采购工作，提升业务管理水平6。同时，为政府监管部门实时掌握行业发展现状和趋势，科学进行宏观经济决策提供有效的数据支持。第三章网络信息安全3.1硬件安全。即网络硬件和存储媒休的安全。要保护这些硬设施不受损害，能够正常工作。3.2软件安全。即计算机及其网络各种软件不被篡改或破坏，不被非法操作或误操作，功能不会失效，不被非法复制。3.3运行服务安全。信息系统网络的正常运行，通过网络交换信息的正常。通过对网络系统中的各种设备运行状况的监测，发现不安全因素能及时报警并采取措施改变不安全状态，保障网络系统正常运行。3.4.数据安全。即网络中存在及流通数据的安全。保护网络的数据不被篡改，非法添加删除，复制，显示，使用解密等。它是保障网络安全最根本的目的第四章 网络招投标财务信息的安全问题4.1全过程网络招投标的发展现状及问题我国网络建设正处于初级阶段,与发达国家相比较我们无疑是落后的,网络应用还不够广泛,金融电子化水平还不理想,物流配送体系也正在逐步完善之中, 网络招标仅适用于少数企业。但随着互联网在中国的快速发展和基础设施，不断提高网络的逐渐普及，网络招投标发展迅速。自2005年4月1日颁布实施5电子签名法6以来,相关网络招投标的各种建议以及试验性计划比较多,全过程网络招投标无疑是招标行业的发展方向。但是,就当前商务环境、法律环境、技术支撑和管理手段而言,一步到位进入全过程网络招投标时代是不可行的,而如今正是从传统招标向全过程网络招投标的过渡期。在这个时代，网络招投标主要有以下几点需要注意的问题：4.1.1网络招投标中的信息安全问题信息化给人们带来了方便、快捷操作感受，网络缩短了人们之间的距离。但是我们必须考虑到以如何保证系统的安全可靠性问题。作为一种智能双向的大众媒体，网络从诞生之初就不可避免的伴随着这样或那样的安全问题11。设备故障、病毒、网络黑客的攻击，乃至是内部人员的破坏，都可能给网络招投标业务带来很大的危害，影响招投标工作的顺利进行。网络招标系统是一种网络信息系统，它具有其它类似系统的信息安全问题。4.1.2 网络招投标中的法律责任问题前几年，电子商务、电子政务相关工作的人，取利用签名盖章等手段来确定法律责任。因此，我国合同法及其他有关法律是在与手写签名和业务数据流的制定依据。随着互联网的影响日益增大，网上交易技术的日渐成熟，从事网上交易的人日趋增多。重要的商务活动要求提供和保存相关原件，在发生纠纷的仲裁或诉讼事件时，要求用原件作为证据。而电子商务以数据电文的形式在计招投标与管理.4.1.3规则问题是否允许纸介质文件以及与数据电文的地位界定纸介质文件的存在,将是一个长期的问题。不仅在过渡时期，即使在网络招投标阶段的全过程，纸质媒体仍然具有不可替代的作用和价值。所以在现有的技术和管理条件下，可行的网络招投标是两个媒体的共存，同时使用纸质文件和电子数据。虽然它是完全取代纸质文件不能的情况下，网络招标的优势体现不充分，但增加了招投标工作。但是任何一种新技术的发展,都需要一个过程。在任何一个行业、企业中,信息技术的导入期,是不可能带来效益和效率的,而目前中国网络招投标正处于导入期。在这个阶段，也是纸张的使用和数据信息，但是他们的地位是不同的。可以在招投标行业进行研究，在一定的时间内，纸为主，辅以数据消息；之后，随着网络的各种因素投标技术和管理成熟度，主要作为数据信息备份，纸介质。在传统的业务流程中，有很多的文件和证据，如工商，税务和资质（资格）证书，业绩，信用信息的资格证书。这些文件，因为它的使用频率不高，可在头文件（原件），和电子，到相应的数据库，然后，你可以使用电子版的资料。但是，这也就要求企业不断更新，否则，纸质和电子版的差异，在合同条款中明确该责任由企业自己负责。4.1.4管理问题第一，网络招投标的监管问题。网络招标的全过程具有以下特点，网络化，这是在一个很大的网络中的链接进行分配；数字化; 采购过程的文件，是电子文件。虚拟化;身份认证和数据加密解密,都是由软件自动实现的,过程不可见。这些特点也就决定了全过程网络招投标在一定程度上存在着复杂性、不易控制性。然而，这些特征并不带来网络招标投标监督难的主要原因是不到位，缺乏监督，它是网络招投标监督的一个大问题。因此加强招标行业的监管是网络招投标发展的重要问题。目前，招标监督，主要是产业部门和纪检监察部门，但是，由于上级主管部门和纪检监察部门，还有更多的工作要做，所以，招投标行业更多依企业自律实施自我监管。但监管问题，并不是因为对网络招投标全过程的实现。第二，如何实施有效监管根据当前的网络招投标行业特点，实施有效的监督管理机制，应该从两个方面第一,在传统招标采购中,是否存在有效的监督机制;第二,如何在网络招投标中,借鉴传统招标采购的经验,并将网络招投标的监管工作做得更好。其中,第一个问题是完善监督和管理机制的基础,第一个问题不解决,或者解决的不好,第二个问题,也就无从谈起,因为,电子化、网络化、数字化的技术手段始终是按照人的意志来实施的。 第三，技术问题远程评标和电子评标的可行性问题。在我国现有的科技技术水平下,电子评标是可行的。但评价的全过程应集中在一个相对封闭的，可控的网络环境中。但暂时还未采用远程评估。是因为在公开，透明，安全评价过程的远程评估可以记录，可追溯性和相互作用，没有良好的技术支持是不可能做到的。在我国现阶段,网络招投标中的电子评标可推行,但远程评标的实施还需要各方面的努力。全过程网络招投标各环节的电子化程度问题。如果将招投标各环节再细分的话,包括:招标公告、投标报名、资格预审、投标、开标、定标、中标公示等10多个招投标环节。在这一过程中，除了在评标阶段，可以在网络环实现，没有技术问题和管理漏洞。但在我国现阶段，由于技术上的实施和管理的问题，评标中最重要的环节，仍然需要传统的方式实施的帮助，而不是完全电子化的，这也使得网络招投标尚未实现在线的全过程。4.1网络财务信息系统的风险识别 随着网络和信息技术的不断进步，网络经济迅猛发展，电子商务正在改变着人们的消费模式，对经济的增长产生了前所未有的影响。对于电子商务而言，传统的会计核算方式已经无法满足需要，新兴的网络财务正在不断得到完善和发展。由于工作环境、工做流程、操作方法、结算方式等方面的改变，网络财务必须要有信息系统的支撑，才能正常运转。由于信息系统的开放性，网络财务信息系统的安全更易受到威胁。因此，网络财务信息系统的风险防范是至关重要的。4.1.1 网络风险可以说，从体会到网络给我们的生活和工作带来方便和快捷的同时，网络风险就开始出现并一直伴随着我们。网络风险也是网络财务面临的主要风险。网络的安全问题实际上包括两个方面的内容：一是网络的系统安全；二是网络的信息安全。而保护网络的信息安全是最终目的。从广义来说，凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。从技术角度看，网络安全是一个涉及计算机技术、网络技术、通信技术，密码技术、信息安全、应用数学、数论、信息论等多种学科的边缘性综合学科。计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点，通常很难留下犯罪证据，这大大刺激了利用计算机进行高技术犯罪的发生。同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验，所以增加网络信息的安全非常必要。对于电子商务产业和为之服务的网络财务来说，首先要考虑的也是安全问题。网络风险的威胁主要来源于以下几个方面。1)网络实体的安全风险 对于网络财务而言，由于支撑整个业务流转的关键点在网络机房，所以机房的安全至关重要，要着重考虑诸如水灾、火灾、地震、电磁辐射等对机房的影响。另外，计算机及大量网络设备的安全也非常重要。2)人为的无意失误如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与他人共享等，都会给网络安全带来威胁。3)黑客的恶意攻击黑客的恶意攻击是计算机网络所面临的主要的和最大的威胁。此类攻击又可以分为两种，一种是主动攻击，主要是指以各种方式有选择地破坏信息，如修改、删除、伪造、添加、重放、乱序、冒充、设置病毒等；另一种是被动攻击，是指在不影响网络正常工作的情况下，进行监听、截获、窃取、破译和业务流量分析等。这两种攻击均可对计算机网络造成极大的危害，并会导致机密数据的泄露。主要的网络攻击手段有如下几种。 (1)间谍软件。所谓间谍软件，是指在不知会计算机主人、未获得计算机主人许可的情况下，就偷偷安装在系统中的软件。根据反间谍软件生产商web root software公司有关间谍软件的统计报告，每10台连到因特网的计算机中，就有9台受到过间谍软件的侵染；而在公司计算机中，大约有87%感染过各种类型的间谍软件。间谍软件侵入用户计算机的方法有很多种，它可以通过电子邮件中的可执行附件，也可以通过网站上的“恶意代码，还可以通过其他软件自身的安全漏洞，将其自身埋藏到其到其他软件的下载程序中。间谍软件轻则使系统性能大坏。它还可通过监控记录用户的键盘输入或者对用户文金融账号信息及其他敏感数据等。 (2)混合攻击。顾名思义，混合攻击集合了多种不同类型的攻击方代码于一身，针对服务器或者因特网的漏洞进行快速攻、传播、扩散，从而会产生极大范围内的破坏。(3)各种软件的漏洞和后门。任何软件都不可能完全无缺陷和漏洞，而这些缺陷和漏洞恰恰是黑客进行攻击的突破口。另外，软件所存在的后门也为黑客攻击提供了可能。 (4)网页及浏览器漏洞攻击。 网页漏洞攻击试图通过web服务器来破坏信息系统的安全防护，它可以完全控制系统，且可不经授权访问目录列表并建立新的账号，或者对数据进行读取、修改或者删除。浏览器漏洞攻击试图利用用户的网页浏览器自身所带的漏洞进行攻击，尤其是在用户的网页浏览器没有打上最新补丁，或者没有进行相关安全配置时。恶意的java脚本，acrtive x及java小程序可以使用户的计算机瘫痪。它还会自动下载“后门程序”或者其他恶意代码，使入侵者获得对计算机的完全访问权限。成功的攻击可以偷取用户的其他敏感数据，并危及用户的计算机。(5)网络欺诈。 网络欺诈是指企图欺骗用户，使用户相信那些虚假的电子邮件、电话或网站，并认为它们是合法的。这些网站往往和网上银行或支付服务相关，而其意图则是让用户提交自己的私人信息，或是下载恶意程序来感染用户的计算机。在电子商务企业中，这类攻击后果尤为严重。 (6)击键记录。击键记录或者输入记录，指的都是那些对用户键盘输入（可能还有鼠标移动）进行记录的程序，它们以此来获取用户的用户名、密码、电子邮件地址，即时通信相关信息，以及其他员工的活动等。击键记录程序一般会将这些信息保存到某个文件中，然后悄悄地将这些文件转发出去，供记录者进行不法活动。最常见的按键记录方式，是利用间谍软件，或者在用户计算机上使用其他未经授权的相关软件进行记录。其他方式则包括在键盘或者计算机的usb端口中安装电子窃听的硬件设备等。(7)即时通信软件漏洞。和电子邮件一样，即时通信也是病毒和间谍软件肆虐传播的一个常见途径。病毒和间谍软件主要是在用户之间传递文件时进行传播的。一旦用户打开了这些文件，即时通信软件病毒立刻就会将其自身转发给用户好友列表上的每个人，同时在系统中安装间谍软件。4)蠕虫及病毒的传播感染现有计算机程序的病毒，以及那些本身就是可执行文件的蠕虫，是最古老，也最广为人知的计算机安全威胁。病毒一般倾向于栖身在文档、表格或者其他文件之中，然后通过电子邮件进行传播，而蠕虫通常是直接通过网络进行传播的。一旦病毒或者蠕虫感染了一台电脑，不仅会试图感染其他程序，同时还会对现有系统进行破坏。更为严重的是，病毒的传播很容易导致网络速度的降低，甚至导致网络瘫痪，其危害非常之大。5)非授权访问 没有预先经过同意，就使用网络或计算机资源的行为被视为非授权访问，如对网络设备及资源进行非正常使用等。该行为主要包括假冒身份攻击，非法用户进入网络系统进行违法操作，合法用户以未授权方式进行操作等。 6)信息泄露或丢失信息泄露或丢失是指敏感数据被有意或无意地泄露出去或者丢失，通常也包括信息传输中的丢失或泄露。7)破坏数据完整性 破坏数据完整性是指以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，恶意添加、修改数据，以干扰用户的正常使用。6.1.2 系统风险1)操作系统风险 操作系统是整个网络财务的信息系统和数据库运行的平台，其安全性至关重要。由于操作系统面向所有的用户，再加上其自身的缺陷，所以它时刻面临着来自各方面的潜在威胁，这些威胁主要包括以下几个方面。(1)操作系统自身存在的缺陷，包括系统bug、后门、安全漏洞等。 (2)操作系统的稳定性。 (3)操作系统的非授权访问，包括系统内部人员的滥用职权、越权操作和系统外人员的非法访问甚至破坏。（4）各类针对操作系统的网络攻击。（5）各种病毒对操作系统地破坏。2）应用系统风险应用系统风险只要是指系统的开发风险、系统的运行风险和系统的维护风险。4.1.3 信息风险 1)数据库风险 数据库是网络财务的核心，其面临的主要风险有如下几种。 (1)针对数据库的各种恶意攻击。 (2)数据的窃取、修改、增删等非法操作。 (3)支撑数据库运行的硬件故障风险。 (4)数据库自身的安全漏洞。 (5)数据库管理上的风险。 2)电子商务交易信息风险 全面防范电子商务的安全威胁是富有挑战性的工作，其中交易信息风险防范对于为 电子商务服务的网络财务而言尤为重要。交易信息风险有如下几种。 (1)信息的截获和窃取。 (2)信息的篡改。 (3)信息假冒。 (4)交易抵赖第五章 网络招投标财务信息安全问题的对策5.1网络招投标的完善措施5.1.1 安全认证技术非对称密钥密码体制，即公钥密码体制。在公钥体制中，同时产生一对密钥：加密密钥和解密密钥。将加密密钥发送给发送方，谁都可以使用；解密密钥只有解密人自己知道。由于解密密钥不会在网络上传输，并通过加密密钥和解密密钥不出，所以黑客无法获得解密密钥，也无法获取加密信息。因此，使用基于非对称密钥密码体制研制出的 pki（公钥基础设施） 体系作为网络招投标平台的加密认证体系，为网络招投标系统中的认证、授权、抗抵赖提供了可靠的保障。5.1.2 加快完善网络招投标的相关法律法规网络招投标作为一种新的发展方向，目前还缺乏国家相关法律、法规的支持。目前最权威的招标投标法所认可的投标形式仍然是密封投标，对电子投标形式的有效性和操作性没有作出明确解释，造成网络招投标法规效力缺失；最新版合同法已将电子文件纳入其书面范畴，但有关电子商务的系列法规还未出台18。因此，政府应该制定相关的法律，尽快建立一个管理网络，良好的法律环境，以确保具有有效性和可靠性的网上招投标环境。5.1.3加强招投标门户网站及网络基础设施建设网络招投标门户网站应该具有一定的规模，有完善的软、硬件的设施支撑，有能力开发完善的电子招标软件和交易平台18。同时，要保证电子招标数据的可靠性和安全性。网络速度和网络质量直接影响着电子招标门户网站的访问速度和数据传输速度。试想，假如打开一份招标公告或者上传一份招标文件都需要耗时十分钟以上，那么网络招投标也就失去了其高效便捷的优势。51.4加强网络招投标的安全性管理网络招投标系统作为一种网络信息系统，存在不容忽视的安全隐患，容易受到黑客、病毒的攻击，从而造成信息被盗、被改写或被删除等严重后果。这将给招投标工作带来极大危害，严重影响工程招投标的顺利进行18。因此，确保网络招投标系统中信息的安全性、真实性、可靠性和保密性，也是网络招投标过程中面临的一项重要任务。5.2信息安全的解决方案综合以上分析,可以归纳出以下几大方面的网络安全解决方案:5.2.1经常使用安全检测工具、加强网络和系统的自身安全性能目前,市场上有许多的安全检测工具出售,如网威公司的net power产品,它采用了扫描策略,发现安全问题和薄弱环节,给出相关的安全建议和修补措施,及时进行修补防护,通过提高网络和系统自身的安全性能来防止攻击。系统可以购买这样的产品作为加强内部网络与系统的安全防护性能和抗破坏能力的工具。5.2.2使用防火墙技术,建立网络安全屏障。使用防火墙系统来防止外部网络对内部网络的未授权访问,建立网络信息系统的对外安全屏障19。防火墙的主要目的就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的放行,不符合的拒之门外。5.2.3聘请网络安全顾问,跟踪网络安全最新技术。聘请网络安全专家作为网络信息系统的安全顾问,同时,系统管理员和网络管理员也要经常浏览国际上一些著名网络安全组织的信息主页,了解最新技术动态,获取系统和网络最新安全软件,使自己的网络系统能够得到最新的安全技术支持20。5.2.4对系统进行定期备份。定期备份重要数据的备份，每日，每周和每月的添加备份，完全备份数据，保证网络信息安全系统的恢复。总而言之,只要我们能够重视网络信息安全中存在的问题,注意采取有效的措施方法来保护网络,就可以最大限度地阻止网上入侵者的攻击,保证网络信息系统的安全性。5.4 网络财务信息系统风险管理制度 在网络财务风险防范中，硬件设备和信息技术是非常重要的，但是再先进的设备和技术都需要人去操作和掌控。因此，要真正发挥好这些安全设备和防范技术的作用，建立起一整套完善的风险管理制度是非常关键的，否则所有的风险防范方案都只是摆设。 1安全管理模型对于网络财务来说，在管理方案的制定上一般采用的是以安全管理为中心的mpdr模型o mpdr (management protection detection response,mpdr)模型就是体现主动防御思想的安全模型。它以管理为核心平台。通过这个核心平台，各个安全特性，即防护( protection)、检测(detection)、响应(response)并不是简单地以流程或者平面的方式组合在一起，而是互相影响、互相促进的ompdr模型。 (1)安全管理(m)，指以统一的管理安全策略为基础，控制和协调网络中部署的防护、检测、响应模块，防范和处理安全事件，审计和分析安全日志，制定和实施安全管理规章，完整地实现网络安全目标。 (2)防护(p)，指采用一切可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。技术手段包括网络安全、操作系统安全、数据库系统安全访问控制、口令等保密性和完整性技术。 (3)检测(d)，指利用高级技术提供的工具检查系统可能存在的由黑客攻击白领犯罪、病毒泛滥等造成的脆弱性。技术手段包括病毒检测、漏洞扫描、入侵检测、用户身份鉴别等。 （4)响应（r）指对危机安全的事件、行为、过程及时作出响应处理，杜绝危害的进一步蔓延扩大，力求使系统提供正常服务。技术手段包括监视、关闭、切换、跟踪、报警、修改配置、联动、阻断等。 2人员安全管理 1)人员录用 (l)保证被录用人具备基本的专业技术水平和安全管理知识 (2)对被录用人的身份、背景、专业资格和资质进行审查 (3)对被录用人所具备的技术技能进行考核 (4)对被录用人说明其角色和职责。 (5)签署保密协议。 (6)对从事关键岗位的人员应从内部人员选拔 ，并定期进行信用审查。 (7)对从事关键岗位的人员应与其签署岗位安全协议。2）人员离岗立刻终止由于各种原因即将离岗的员工的所有访问权限。取回各种身份证件、钥匙、徽章等，以及机构提供的软、硬件设备。经机构人事部门办理严格的调离手续，并承诺调离后的保密义务后方可离开。3)人员考核(1)对所有人员进行全面、严格的安全审查。(2)定期对各个岗位的人员进行安全技能及安全认知的考核。(3)对考核结果进行记录并保存。(4)对违背安全策略和规定的人员进行惩戒。4)安全意识教育和培训 (l)对各类人员进行安全意识教育。 (2)告知人员相关的安全责任和惩戒措施。 (3)制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行训。 (4)针对不同岗位制定不同培训计划。 (5)对安全教育和培训的情况和结果进行记录并归档保存。 5)第三方人员访问管理 (1)第三方人员应在访问前与机构签署安全责任合同书或保密协议。 (2)对重要区域的访问，须提出书面申请，批准后由专人全程陪同或监督，并记录备案。(3)对第三方人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。 3系统建设安全管理 1)系统定级 (1)明确信息系统划分的方法。 (2)确定信息系统的安全保护等级。 (3)以书面的形式确定安全保护等级的信息系统的属性，包括使硬件、软件、数据、边界、人员等。 (4)以书面的形式确定一个信息系统为某个安全保护等级的方法 (5)组织相关部门和有关安全技术专家对信息系统的定行论证和审定。（6）确保信息系统的定级结果经过相关部门的批准。2)安全方案设计 (1)根据系统的安全级别选择基本安全措施，依据风险分析的结果补充和调整安全措施。 (2)指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划。 (3)根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件。 (4)组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定。 (5)首先确保总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等文件必须经过批准，然后才能正式实施。 (6)根据安全测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。 3)产品采购 (1)确保安全产品的使用符合国家的有关规定。 (2)确保密码产品的使用符合国家密码主管部门的要求。 (3)指定或授权专门的部门负责产品的采购。 (4)制定产品采购方面的管理制度，明确说明采购过程的控制方法和人员行为准则。 (5)预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。 4)自行软件开发(1)确保开发环境与实际运行环境物理分开。(2)确保系统开发文档由专人负责保管，系统开发文档的使用应受到控制。(3)制定开发方面的管理制度，明确说明开发过程的控制方法和人员行为准则。(4)确保开发人员和测试人员的分离，测试数据和测试结果应受到控制a(5)确保提供软件设计的相关文档和使用指南。(6)确保对程序资源库的修改、更新、发布进行授权和批准。5)外包软件开发(1)与软件开发单位签订协议，明确知识产权的归属和安全方面的要求。(2)根据协议的要求检测软件质量。(3)在软件安装之前检测软件包中可能存在的恶意代码(4)要求开发单位提供技术培训和服务承诺(5)要求开发单位提供软件设计的相关文档和使用指南。 6)工程实施 (1)与工程实施单位签订与安全相关的协议，约束工程实施单位的行为。 (2)指定或授权专门的人员或部门负责工程实施过程的管理。 (3)制定详细的工程实施方案，控制实施过程，并要求工程实施单位能正确执行安全工程过程。 (4)制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。 7)测试验收 (1)对系统进行安全性测试验收。 (2)在测试验收前根据设计方案或合同要求等制定测试验收方案，在测试验收过程辛详细记录测试验收结果，形成测试验收报告。 (3)委托公正的第三方测试单位对系统进行测试，并出具测试报告。 (4)制定系统测试验收方面的管理制度，明确说明系统测试验收的控制方法和人员行为准则。 (5)指定或授权专门的部门负责系统测试验收的管理，并按照管理制度的要求完成系统测试验收工作。 (6)组织相关部门和相关人员对系统测试验收报告进行审定，没有疑问后由双方签字。8)系统交付 (1)明确系统的交接手续，并按照交接手续完成交接工作。 (2)由系统建设方完成对委托建设方的运维技术人员的培训。 (3)由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档 (4)由系统建设方进行服务承诺，并提交服务承诺书，确保对系统运爷 (5)制定系统交付方面的管理制度，明确说明系统交付的控制方法和人员行为准则。 (6)指定或授权专门的部门负责系统交付的管理工作，并按照管理制系统交付工作。 9)系统备案 (1)给系统定级、系统属性等材料指定专门的人员或部门负责管理这些材料的使用。 (2)将系统等级和系统属性等资料报系统主管部门备案。 (3)将系统等级、系统属性、等级划分理由及其他要求的备案材料报习备案。io)安全服务商选择确保安全服务商的选择符合国家的有关规定。 4系统运行维护管理 1)环境管理 (1)对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行砻管理。 (2)配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管 (3)建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机磊境安全等方面做出规定。 (4)加强对办公环境的保密性管理，包括如工作人员调离办公室应立即交还该妻室钥匙和不在办公区接待来访人员等。 (5)有指定的部门负责机房安伞，并配嚣电子门禁系统，对机房来访人记录和电子记录双重备案管理。 (6)对办公环境的人员行为，如工作人员离开座位应确保终端计算机退和桌面上没有包含敏感信息的纸档文件等做出规定。 2)资产管理 (1)建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。 j： (2)编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单。 (3)根据资产的重要程度对资产进行定性赋值和标识管理，根据资产的价应的管理措施。(4)规定信息分类与标识的原则和方法，并对信息的使用、存储和传输做出规定。3)介质管理 (1)建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面做出规定。 (2)有介质的归档和查询记录，并对存档介质的目录清单定期盘点。 (3)对于需要送出维修或销毁的介质，应首先清除介质中的敏感数据，防止信息的非法泄露。 (4)根据数据备份的需要对某些介质实行异地存储时，存储地的环境要求和管理方法应与本地相同。 (5)根据所承载数据和软件的重要程度对介质进行分类和标识管理，并实行存储环境专人管理。 (6)对介质的物理传输过程