會計信息系統安全性現狀及應對策略探討

[摘 要] 本文對會計信息系統的安全現狀進行了研究，從硬件系統、軟件系統、網絡系統、數據與交易等方面對會計信息系統的安全性進行分析，并從硬件系統、軟件系統、網絡系統、數據與交易、企業組織管理模式和法律法規等方面提出安全應對策略。

[關鍵詞] 會計信息系統;安全性;應對策略

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 06 . 001

[中圖分類號]F232;TP393.08 [文獻標識碼]A [文章編號]1673 - 0194(2010)06 - 0003 - 03

1 問題的提出

黨的十七大報告明確提出“信息化是我國加快實現工業化和現代化的必然選擇，要將信息化與工業化相互融合發展”。面對國家信息化加速發展的嶄新機遇，企業信息化的步伐必然加快。企業信息系統核心子系統——會計信息系統應用范圍日益擴大、程度日益加深，在我們對會計信息和會計信息系統的依賴越來越強的同時，產生了和會計信息系統安全性有關的問題。會計信息系統的安全性問題，影響會計信息系統的安全、可靠、有效和高效運行，導致會計信息的滯后、失真和錯誤，嚴重影響決策的正確性、及時性和相關性。

2 會計信息系統安全性現狀

會計信息系統中的會計信息是指通過科學預測或實際記錄，反映會計主體過去、現在、將來有關資金運動狀況的各種可為人們接受和理解的消息、數據、資料的總稱。會計信息系統是一種基于會計管理活動，由人、信息處理設備和運行規程3個方面組成的集成化人機交互系統。在會計信息系統廣泛應用的今天，會計信息系統的安全性方面存在以下問題:

2.1 硬件系統的安全問題

此處的硬件系統是指會計信息系統賴以生存的計算機硬件設備，如計算機主機、硬盤、磁盤、網絡設備等。

(1)電源方面。計算機要在電力的支持下才能運行，電源的穩定性會直接影響到會計信息系統的運行和安全。此外，硬盤、磁盤等高速旋轉運行的設備突然停轉，往往會導致磁頭、盤面等元件的物理損傷，并導致某些數據的永久性丟失。電源不穩時還容易導致電流或電壓的瞬間劇烈變化，而計算機的內存等不同部件是以不同的電位來表示不同的數據，所以瞬間變化的電流非常容易導致記錄的數據發生變化，從而使得整個系統紊亂;某些精密儀器或較舊的元件等硬件設備也很可能因為電流的劇烈變化而被燒毀，電源不穩容易致使系統出現故障或數據丟失。

(2)自然災害?？諝鉂穸冗^高易使電子元件失靈或存儲設備丟失數據;水的長時間浸泡容易使得各種絕緣層腐爛、脫落而引發短路;進水易使主機設備燒毀;溫度過高或過低都會使得系統異常;起火會致使存儲設備毀壞并造成相關數據永久性消失;火災還易燒毀整個硬件設備，由此產生的有毒氣體還有可能導致企業人員傷亡等事故的發生。由此可見，出現水災或火災等自然災害都會影響到計算機硬件方面的可靠性和安全性。

(3)其他方面。磁場干擾，是一個很容易被人們忽視的因素，它對計算機會計信息系統影響也是很大的，所以也需要特別重視。特殊因素，如地震、臺風等突發災害會影響計算機的使用安全;政治環境的威脅等，對于某些地區、某些時候也是需要特別關注的。

2.2 軟件系統的安全問題

軟件方面存在遭計算機病毒入侵、軟件本身存在漏洞、開發者有意留有的程序“后門”和“邏輯炸彈”等安全問題。計算機病毒具有傳染性與傳播性、極大的破壞性、欺騙性、潛伏性、隱蔽性和可觸發性，極易破壞會計信息系統中軟件系統的安全;軟件漏洞多是由于程序人員疏忽所導致的，“后門”是編程人員故意在軟件系統中加入的在一定條件下能夠運行并為自己獲利的代碼，“邏輯后門”是編程人員在設計軟件程序時加入的一段破壞性代碼，它能夠在一定條件下被激活并有可能會刪除數據或破壞數據文件，或是破壞整個系統，它們對軟件系統的安全影響都是不容忽視的。

2.3 網絡系統的安全問題

嚴格來講，網絡系統也是由硬件系統和軟件系統組成的，因其重要性，所以單獨作為一個部分來關注。網絡系統安全方面存在著網絡監聽、竊取口令和拒絕服務攻擊等黑客行為。網絡監聽本是為有效管理網絡、監聽網絡的狀態和數據流動情況而發明的技術，但是因為它能有效截獲網上的數據而成為網上黑客使用最多的方法。它可以在網上的任何一個地方實施，從而用來截獲用戶的口令或發送的數據等。竊取口令是指黑客們通過不正當的手段來獲取他人賬號和密碼，從而獲得他人系統的訪問權限。不正當手段包括窮盡猜測用戶口令，利用常用密碼字典來猜測用戶口令，通過聊天、偷窺和木馬軟件等方式來獲取用戶口令，獲取口令之后很容易竊取到政治、軍事或商業秘密從而進行犯罪活動，也很有可能對用戶賬戶的資金產生極大的威脅。拒絕服務攻擊指攻擊者通過利用拒絕服務攻擊軟件，對某一個資源發送垃圾信息，從而導致帶寬或資源過載等情況的“瓶頸”問題，使得其他訪問用戶無法享用該資源。

2.4 數據與交易安全問題

數據交易方面則是指企業核心數據的保管、保護問題。在會計信息系統廣泛應用的今天，企業的商業交易多是通過網絡進行的，同時通信竊聽、交易否認等安全問題也隨之而來。一個企業的商業交易數據如果被竊取或毀損，很可能無法恢復，這可能使企業的業務中斷，因此，數據的保護及加密也是非常重要的。

3 會計信息系統安全性應對策略

針對以上4個方面的問題，經過認真分析，提出以下安全應對策略:

3.1 硬件系統的安全應對策略

因為計算機、硬盤、磁盤、網絡設備等硬件系統是會計信息系統賴以生存的基礎，所以硬件系統的安全是應該首要關注的問題。

首先，采購時要多多搜集計算機硬件的相關信息，需要了解不同廠家的產品品牌、型號的具體情況和廠家的信譽情況，并在具體購買時仔細檢查硬件是否有異常問題，并在試運行一段時間后再投入到企業的實際應用中。

其次，要特別防范會計信息系統應用過程中硬件系統的安全隱患問題。

(1)電源方面。由于不穩電源容易導致數據丟失或系統出現故障，所以最好使用不間斷電源，并采取系統接地、下班后要切斷所有硬件設備電源等措施來保證電源方面不會出問題。

(2)自然災害，如水災和火災等，因其在很大程度上是不可預見的，所以我們應該從預防的角度來采取措施，如建立消防系統，在放置計算機的地方應注意防水、防火、防潮、防塵、恒溫等條件的滿足，還要定期檢查、備份數據文件，以保證數據文件的可用性。

(3)其他影響安全的因素。磁場，一個很容易被人們忽視的因素，它對計算機的會計信息系統影響也是很大的，所以也需要特別重視防磁，建立相關制度以規定避免含磁的物品靠近計算機等。特殊因素，如地震、臺風等突發災害，政治環境的威脅等，對于某些地區，某些時候也是需要非常關注的，我們可以通過建立數據備份中心來保證會計信息系統的數據安全;通過添加鎖、設置警鈴、購置柜機等措施來防范計算機設備被盜的可能。

3.2 軟件系統的安全應對策略

軟件方面需要在計算機病毒、軟件漏洞和一些“后門”、“邏輯炸彈”中尋求解決策略。

3.2.1 計算機病毒的安全應對策略

對于會計信息系統中應對計算機病毒的策略，一般有以下措施:

(1)定期使用殺毒軟件殺毒，并采用網絡殺毒軟件防治網絡病毒。殺毒軟件是防治計算機病毒非常有效的手段之一，但是沒有任何一款殺毒軟件能夠防治所有計算機病毒，所以我們需要擇優選擇殺毒軟件，并隨時更新殺毒軟件以達到有效保護計算機系統安全使用的目的。對于企業網、校園網等復雜網絡環境，我們可以采用網絡殺毒軟件來防治網絡病毒或利用服務器來進行全方位的病毒防治。網絡病毒防治系統可以通過對局域網進行遠程式集中安全管理、通過賬號和口令設置來達到一定的網絡病毒防治效果。它可以通過先進的分布技術，利用本地的可用資源和本地的殺毒引擎，對本地的節點所有文件來進行全面的、及時的、高效的查殺病毒，同時也能達到保護用戶隱私、減少網絡傳輸負載、避免因大量傳輸文件引起網絡擁塞等情況發生的目的。

(2)定期備份數據文件。數據備份是將硬盤中的數據備份到其他磁介質中，制作副本以防止財務數據因意外情況而遭到破壞，同時也達到將賬務數據存檔保存的目的。企業應規定定期進行數據備份，并根據情況規定重要數據、不太重要數據、不重要數據的備份頻率，當會計信息系統一旦受到病毒破壞時可以及時恢復數據。企業還可以通過對系統引導區作備份、為新裝的系統作磁盤備份、查殺病毒前對被查殺文件進行備份等來達到會計信息系統數據安全的目的。

(3) 制定嚴格的相關制度。企業應明文規定裝有會計信息系統的計算機應嚴格執行限制上網活動的制度;謹慎使用網絡共享和軟盤、U盤、移動硬盤等;使用正版軟件，盡量避免使用下載等途徑得到的軟件;謹慎瀏覽電子郵件;設置Office軟件的宏安全級別等。

3.2.2 軟件漏洞的安全應對策略

計算機軟件是大量軟件工程師和程序人員長期辛苦工作的結果，其中難免會出現一些疏漏，如由于訪問驗證錯誤、競爭條件錯誤、意外情況處置錯誤等而導致的軟件漏洞，這就需要會計信息系統使用人員在初始安裝時注意軟件是否有異常問題并要調試運行，在平常使用時也要隨時注意關注和記錄軟件運行的異常情況，并針對需要修改的地方及時安裝補丁程序并定期對軟件系統進行掃描分析，以應對軟件漏洞問題。

3.2.3 一些“后門”、“邏輯炸彈”的安全應對策略

會計信息系統不僅可能存在由于程序人員疏忽所導致的軟件漏洞，還可能存在另外一些嚴重的問題，即編程人員故意設計的“后門”或“邏輯炸彈”等。對于這些可能存在的風險，我們應該在采購軟件系統時就評價相關軟件廠家的產品質量、廠家信譽、售后服務、軟件使用企業所反映的情況等，在采購后運行時加強對軟件的使用情況尤其是異常情況的分析和管理。

3.3 網絡系統的安全應對策略

對于網絡監聽，可以通過檢查網絡狀態或者安裝專門的軟件來進行監測。當然，對網絡拓撲結構進行合理有效的設計，對交換機、路由器等核心網絡設備加強訪問控制，使用保密性較高的通信方式都可以有效地降低被監聽的風險。隨時保持警惕，并通過細心設計自己的賬號口令、定期更換口令、運用動態口令設備等先進技術等一系列措施也可以達到預防口令被獲取的可能。應對拒絕服務攻擊的策略，可以通過與網絡服務提供商加強合作，優化配置網絡拓撲結構，并關閉不必要的端口和服務，以達到減少可能遭受拒絕服務攻擊范圍的目的。

另外，我們還可以通過防火墻技術來達到有效解決網絡系統的安全問題。所謂防火墻就是指位于兩個或多個網絡之間，執行訪問控制策略的一個或一組系統，也可以看作是一類防范措施的總稱。防火墻技術實際上是一種隔離技術，它可以通過包過濾、應用級代理和狀態分析技術等3種方式來讓允許的人進入網絡，將不允許的人予以有效隔離，從而達到阻止黑客非法訪問內部網絡，并可能會更改、拷貝、毀損重要信息的破壞數據信息行為的發生。

3.4 數據與交易安全應對策略

對于會計信息系統的數據與交易安全應對主要策略就是建立非常完善的加密機制和管理措施。在數據保護制度中，我們可以通過物理訪問控制措施，來防止外部人員接觸存儲重要數據的主機、各種存儲設備和打印機等的輸出設備，還要加強對各種數據存儲設備的管理;我們可以通過加強邏輯訪問控制，將系統訪問權限劃分為不同級別，分別以賬號和口令的方式分配給不同用戶，并運用各種防黑客措施保證其有效性，從而達到防范外部人員的非法入侵和避免內部人員越權的有效控制;我們還可以通過及時更新數據備份和建立完善的災難恢復計劃來將意外災難造成的數據損失降低到最小;通過建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

除了以上措施之外，數據加密技術如對稱加密或非對稱加密技術可以達到對重要數據的保護，即使非法用戶得到數據也無法讀取其中內容;我們可以利用數字簽名技術如RSA簽名、DSS簽名、Hash簽名等方法將摘要用發送者的私鑰進行加密，與原文一起傳輸給接受者，接受者也只有使用發送者的公鑰才能解密被加密的摘要;我們還可以通過身份認證技術來驗證通信各方的身份，以確保傳遞數據過程中的安全。

3.5 企業組織管理模式

會計信息系統安全不僅需要技術上的支持，還需要企業在組織管理模式上的保障，相關的有效措施包括合理的崗位設置、建立相互牽制機制、定期輪休輪崗制度、對管理人員的教育培訓等。

企業合理的崗位設置是會計信息系統穩步運行的基礎，由于會計信息系統和手工方式下的會計流程有區別，所以需要對會計信息系統下的人員分工予以明確，如系統的管理者、系統的多個不同操作者、系統的審核者等;除了合理分工之外，還要加強相互牽制機制的建設，如系統的審核者，這一崗位的設置可以減少或防止數據輸入錯誤和舞弊的發生。另外，我們還可以通過員工定期輪休制度、定期輪崗制度、對管理人員的安全教育和員工離任時的信息系統審計來為企業的會計信息系統的安全保駕護航。

3.6 相關法律法規

事實上，伴隨著信息化應用的發展，會計管理部門早已開始重視會計信息系統的安全性問題。1989年12月，財政部頒布了我國第一個關于會計電算化的全國性行政法規《會計核算軟件管理的幾項規定(試行)》;1994年6月、1996年6月又發布了《會計電算化管理辦法》、《會計核算軟件基本功能規范》、《會計電算化工作規范》，使會計電算化管理和操作有了較為全面的法規體系;2001年6月發布的《內部會計控制規范——基本規范(試行)》中明確提出將電子信息技術控制作為內部會計控制的方法之一，并要求加強對財務會計電子信息系統的控制;2006年6月和9月，上海和深圳證券交易所分別發布實施了《上市公司內部控制指引》，對計算機信息系統的內控提出了要求;2007年3月財政部發布的《企業內部控制規范(征求意見稿)》中專門對計算機信息系統的控制制定了具體規范，2008年5月印發的《企業內部控制基本規范》中要求“企業應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統，促進內部控制流程與信息系統的有機結合，實現對業務和事項的自動控制，減少或消除人為操縱因素”。

企業內部控制的自身需要和外部監管要求促使企業必須考慮和重視信息化安全的問題影響。我們要看到，上述規范雖然從早期的規范會計核算軟件的具體操作，到較全面規范計算機信息系統控制，有了很大進步，但它們仍然僅僅是企業需要遵守的基本規范，有一些法規需要進一步完善，同時應該進一步落到實處。

主要參考文獻

[1] 胡仁昱，等. 會計信息系統[M]. 北京:清華大學出版社，2008.

[2] 史達. 電子商務概論[M]. 北京:經濟科學出版社，2007.

[3] 宋文官. 電子商務概論[M]. 第2版. 北京:清華大學出版社，2007.

[4] 王世波，王成. 會計信息系統安全研究[J]. 中國管理信息化，2007(7):13-14.

[5] 潘婧. 網絡會計信息系統的安全風險與防范措施[J]. 財會研究，2008(2):48-49.

[6] 趙虎娥. 會計信息系統安全風險的防范[J]. 山西財經大學學報，2006(1):144.