網絡會計信息系統安全控制研究

熊緒進

摘要：隨著計算機技術的飛速發展，全球信息化已成為人類發展的大趨勢。網絡會計信息系統給人類帶來了方便快捷的信息服務，已經成為企業發展的重要保證。但由于計算機網絡的開放性、互連性和時空的無限性等特征，致使網絡會計信息系統的安全問題變得非常突出，安全控制顯得尤為重要。認識到這些安全問題，采取必要的防范技術與對策是網絡會計信息系統正常運行的基本保障。關鍵詞：網絡會計信息系統；安全控制；電子商務ブ型擠擲嗪牛篎23

文獻標識碼：A

文章編號：16723198(2009)19027402おね絡會計系統的誕生及應用，在給人類帶來方便快捷的信息服務的同時，由于其自身的開放性、資源的共享性等特點，也帶來了諸多安全問題。因此，加強系統安全控制及防范已顯得特別重要。1網絡會計信息系統存在的主要問題(1)授權方式的改變和對系統程序質量的依賴，潛伏著巨大的安全控制風險。在網絡會計系統中，權限分工采用的主要形式是口令授權，而口令存放于計算機系統內，一旦口令被人竊取，便會帶來巨大的安全隱患。網絡會計的安全控制在一定程度上取決于系統中運行的應用程序的質量。一旦程序中存在嚴重的錯誤，便會危害系統安全。而會計人員的計算機專業知識有限，很難及時發現這些漏洞，致使系統會多次重復同一錯誤而擴大損失。(2)電子商務的普及，會計信息易于被篡改或偽造，將給網絡會計系統的安全控制帶來新的難題。IT技術迅猛發展，網上交易愈加普遍，電子商務將逐步普及。企業在利用Internet網尋找潛在貿易伙伴、完成網上交易的同時，也將自己暴露于風險之中。一旦企業的全部原始憑證采用數字格式，實現電子化，極易被修改甚至偽造而不留任何痕跡，勢必將加強企業對網上公證機構的依賴，電子單據的信息保真將顯得特別重要。但目前相關技術還不完全成熟、相應法規并不完善，這將給系統安全控制造成極大的困難。(3)會計信息儲存方式和媒介發生變化，會計業務缺乏有效牽制。網絡會計采用高度電子化的交易方式，對數據的正確性、交易及其軌跡均帶來新的變化。原始憑證在網絡業務交易時自動產生并存入計算機，交易的全過程均在電子媒介上建立、運算與維護，而且大量的數據錄入和交易發生在企業外部；網絡會計使會計介質繼續發生變化，更多的介質將電子化，出現各種發票、結算單等電子單據。存貯形式主要以網絡頁面數據存貯，網頁數據只能在計算機及相應的程序中閱讀。由于計算機的自動高效使工作人員減少，各種手續被合并到一起由計算機統一執行，從而不能像手工方式下一筆業務要經過幾道崗位才能被確認而相互牽制，成為內部控制的安全隱患。(4)網絡環境的開放性和動態性，加劇了會計信息失真的風險。在開放的網絡環境中，大量的會計信息通過Internet傳遞，各種服務器上的信息在理論上都可以被訪問，除非物理上斷開連接，否則就存在被截取、篡改、泄漏甚至黑客或病毒的惡意侵擾等安全風險。盡管信息傳遞的無紙化可有效避免人為原因導致的信息失真現象，但仍不能排除電子憑證、電子賬簿可能被隨意修改而不留痕跡的行為。由于缺乏有效的確認標識，信息接受方懷疑所獲取財務信息的真實性；信息發送方也擔心所傳遞的信息能否被接受方正確識別并下載，這無疑加大了網絡會計安全控制的難度。(5)網絡會計系統的復雜性，加大了稽核與審計的難度。網絡是一個由計算機硬件、軟件、操作人員和各種規程構成的復雜系統，該系統將許多不相容職責相對集中，加大了舞弊的風險；信息來源的多樣性，有可能導致審計線索紊亂；系統設計主要強調會計核算的要求，很少考慮審計工作的需要，往往導致系統留下的審計線索很少，稽核與審計必須運用更復雜的查核技術，且要花費更多的時間和更高的代價，這無疑將加大稽核與審計的難度和成本。2網絡會計信息系統的安全控制對策2.1法律、政策保障ノ了對付計算機犯罪，保護會計信息使用者的權益，國家應制定并實施計算機安全及數據保護法律，從宏觀上加強對信息系統的控制，為網絡會計系統提供一個良好的社會環境；盡快建立和完善電子商務法律法規，制定網絡會計環境下的有關會計準則，規范網上交易的購銷、支付及核算行為。2.2建立和完善網絡會計系統的管理制度ス芾碇貧仁潛Ｖて笠凳迪滯絡會計信息系統安全、準確、可靠的先決條件。它主要包括確定各種人員的職責范圍及其考核辦法的崗位責任制；制定密碼的使用和管理辦法及機房、保衛、數據資料安全等方面應遵循的安全保密制度；操作計算機應遵守的操作規程及注意事項的操作管理制度；規定數據輸入、輸出、存儲、查詢與使用應遵守的數據管理制度；規定系統維護的申請、審批和應完成任務的系統維護制度；修訂《會計檔案管理辦法》，重新規定會計檔案的范圍、保管辦法及領用手續的會計檔案管理制度。2.3加強網絡會計系統的安全控制(1)硬件安全控制。網絡會計系統的可靠運行主要依賴于硬件設備，因此硬件設備的質量必須有充分保證。加強對硬件的維護，防止計算機出現故障導致會計信息丟失；為以防萬一，關鍵的硬件設備可采用雙系統備份。另外，計算機房應充分滿足防火、防水、防盜、防鼠、恒溫等技術條件，必要情況下可采用電子門鎖、指紋核對、用計算機控制人員進出等防范控制手段；機房內用于動力、照明的供電線路應與計算機系統的供電線路分開，配置UPS不間斷電源、防輻射和防電磁波干擾等設備，盡量采用結構化布線來安裝網絡，在埋設地下電纜的位置設立標牌加以防范；對用于數據備份的存貯介質應注意防潮、防塵和防磁，長期保存的磁介質存貯媒體應定期轉貯等。(2)軟件安全控制。軟件的安全控制主要是保證程序不被修改、不損毀、不被病毒感染，程序的安全與否直接影響著系統的正常運行。①及時下載和安裝系統補丁，堵住操作系統、數據庫管理系統和網絡服務軟件的漏洞。②按操作權限嚴格控制系統軟件的安裝與修改，按操作規程定期對系統軟件進行安全性檢查。當系統被破壞時，要求系統軟件具備緊急響應、強制備份、快速重構和快速恢復等功能。③系統軟件應盡量減少人機對話窗口，必要的窗口應力求界面友好，防錯糾錯能力強，不接受錯誤輸入。④增強系統軟件的現場保護和自動跟蹤能力，對一切非正常操作可以記錄。當非法用戶企圖登錄或錯誤口令超限額使用時，系統會鎖定終端，凍結此用戶標識，記錄有關情況，并立即報警。⑤分析研究各應用軟件的兼容性、統一性，使各業務系統成為基于同一種操作系統平臺的大系統，各種業務之間能相互銜接，相關數據能夠自動核對、校驗。⑥非系統維護人員不得接觸程序的技術資料、源程序和加密文件，減少程序被修改的可能性。(3)數據資源安全控制。①合理定義、應用數據子模式。即根據不同類別的用戶或應用項目分別定義不同的數據子集，對特定類型的用戶開放，以限制用戶輕易獲取全部會計數據資源。②合理設置網絡資源的屬主、屬性和訪問權限。資源屬主體現不同用戶對資源的從屬關系，如建立者、修改者等，資源屬性表示資源本身的存取特性，如讀、寫或執行等，訪問權限體現用戶對資源的可用程度。③建立數據備份和恢復制度。數據備份是數據恢復與重建的基礎，對每天的業務數據雙備份，建立目錄清單異地存放。同時對存儲在網絡上的重要數據在傳輸前進行有效加密，接收到數據后再進行相應的解密，并定期更新加密密碼。

④在操作系統中建立數據保護機構。調用計算機機密文件時應登錄用戶名、日期、使用方式和使用結果，修改文件和數據必須登錄備查。⑤設置外部訪問區域，明確企業內部網絡的邊界。訪問區域是系統接待外界網上訪問，與外界進行數據交換的邏輯區域。企業建立內聯網時，要詳細分析網絡的服務功能和結構布局，通過專用軟件、硬件和管理措施，實現會計系統與外部訪問區域之間的嚴密的數據隔離；在內部網和外部網之間的界面上構造保護屏障，防止非法入侵和使用系統資源，記錄所有可疑事件。⑥在開發應用軟件的技術選擇上也要考慮數據安全性問題。如在網絡財務軟件中應充分利用客戶服務器結構和Web應用的優點，對于決策支持、遠程查詢、報表遠程上報則采用Web的應用，可以提高財務數據安全性。(4)網絡安全控制。為了提高網絡會計系統的安全防范能力，必須從技術上對整個系統的各個層次都要采取安全防范與控制措施，建立綜合的多層次的安全體系。數據加密技術是保護會計信息通過公共網絡傳輸和防止電子竊聽的首選方法。現代加密技術分為對稱加密和非對稱加密兩大類。對稱加密是關聯雙方共享一把專用密鑰進行加密和解密運算，它所面臨的最大難題是密鑰網上分發的安全性問題。非對稱加密是將密鑰分為一把公鑰和一把私鑰，加密鑰不同于解密鑰、并且不能由加密鑰推出解密鑰，有效解決了密鑰分發的管理問題，更適合網絡應用環境。訪問控制技術的代表是防火墻技術，特別是已融和虛擬專用網及隧道技術的防火墻技術。防火墻是建立在企業內部網和外部網接口處的訪問控制系統，它對跨越網絡邊界的信息進行過濾。可設置內外兩層防火墻，外層防火墻主要用來限制外界對主機操作系統的訪問，內層防火墻主要用來邏輯隔離會計系統與外部訪問區域之間的聯系，限制外界穿過訪問區域對內聯網的非法訪問。(5)毒防范安全控制。防范病毒最有效的措施是加強安全教育，健全并嚴格執行防范病毒管理制度，在系統的運行與維護過程中高度重視病毒防范及相應技術手段與措施。具體措施有：系統采購更新要經病毒檢測后才可使用；對不需要本地磁盤的工作站，盡量采用無盤工作站；采用基于服務器的網絡殺毒軟件進行實時監控、追蹤病毒；在網絡服務器上安裝防病毒卡或芯片等硬件；財務軟件可掛接或捆綁第三方反病毒軟件，加強軟件自身防病毒能力；對所有外來軟件、介質和傳輸數據必須經過病毒檢查，嚴禁使用游戲軟件；及時升級本系統的防病毒產品，定期檢測并清除系統病毒。(6)電子商務控制。網絡會計系統的應用為跨國企業、集團企業實現遠程報表、報賬、查賬、審計及財務監控等處理功能創造了條件。網絡會計是電子商務的基石和重要組成部分，對電子商務活動也必須進行相應的管理與控制。主要措施有：合理建立與關聯方的電子商務聯系模式；建立網上交易活動的授權、確認制度，以及相應的電子文件的接收、簽發驗證制度；建立交易日志的記錄與審計制度，進行遠程處理規程控制。3加強內部審計ノ了監督并提高系統運行質量，企業應設獨立的內部審計部門，在審計委員會或高層決策機構領導下工作。內部審計應包括：對會計資料定期進行審計，系統處理是否正確，是否遵照《會計法》及有關法律、法規的規定；審查電子數據與書面資料的一致性，做到賬表相符，對不妥或錯誤的賬表處理應及時調整；監督數據保存方式的安全合法性，防止發生非法修改歷史數據的現象；對系統運行各環節進行審查，防止存在漏洞；對網絡資源的使用、網絡故障、系統記賬等方面進行記錄和分析。4培養高素質的財會人員ネ絡會計要求財會人員不僅能進行計算機操作，還要求能解決實際工作中出現的各種問題，所以應積極培養能掌握現代信息技術和會計知識及管理理論與實務的復合型人才。既要通過教育來提高他們的思想認識、安全防范意識和職業道德水準，嚴格執行各項規章制度，又要加強專業知識的學習和培訓，不斷提高計算機網絡的安全防范手段和應用水平，在對網上會計信息進行有效過濾的同時，防止非法訪問和惡意攻擊本企業的會計信息。要適應網絡會計的發展，企業必須注重人才的培養和開發，這是信息時代保證企業在激烈的市場競爭中制勝的關鍵所在。網絡會計信息系統隨著網絡技術和電子商務的發展不斷發展和完善。可以相信，隨著會計信息系統功能的不斷完善，越來越多的企業應用的不斷深入，它將會引發企業管理思想、經營理念和會計管理工作的變化。參考文獻[1]@凌艷萍，梁燕華，成志軍.會計電算化[M].長沙：中南大學出版社，2006：226229.[2]@潘婧.網絡會計信息系統的安全風險及防范措施[J].財會研究，2008，(2)：4849.[3]@馮曉玲，任新利.網絡會計信息系統的安全技術研究[J].會計之友，2007，(11)：8990.[4]@劉梅玲.網絡會計信息系統的安全技術探討[J].中國會計電算化，2004，(12)：89.[5]@范艷梅，孫艷霞，辛瑩，等.淺析網絡會計中存在的問題及對策[J].商業經濟，2008，(6)：109110.