企業單位內會計信息化安全問題的探討

摘 要：計算機在我國較早進入會計領域，在企業單位內部，承載重要會計數據信息的計算機雖然被隔絕與互聯網，但是近年來，來自企業單位的安全風險已經越來越嚴重，在我國已經出現了多起內部員工篡改會計信息而引發的會計安全風險。

關鍵詞：會計 信息安全 企業單位 計算機系統 保密性 完整性 安全策略

隨著我國計算機應用范圍的不斷擴大，計算機應用時間的逐年增長，計算機已經變成了人們日常的工作、學習、娛樂、生活的必備之物，我國的全民計算機熱潮已經使得計算機知識快速地融入到了尋常百姓之中。計算機知識的普及程度越高，相對而言，計算機的安全風險問題就越是嚴重，我國現在正處于國外發達國家已經經歷過的一個全民計算機知識大普及，同時黑客與各類計算機相關的犯罪的巔峰期。隨著計算機犯罪力度的不斷加大，計算機犯罪已經達到了無孔不入的程度，以前經常被黑客們忽視的企業單位會計系統現在也已經被某些黑客納入到了“工作范疇”。因此，企業單位的會計信息化也已經變得不再安全了。企業單位的會計信息化的正常運行是機關工作正常進行的根本保證，也是機關進行各項事業與執行國家法律法規的重要的保障，因此，機關的會計信息化安全極為重要。在計算機犯罪日趨猖獗的今天，即使是企業單位也絕對不能掉以輕心，必須在眼光盯緊外部的同時也要將審視目光掃向機關的內部。在機關的內部筑構一個針對非常入侵可以報警、針對非法篡改數據可以在系統級予以拒絕、針對惡意連接服務器予以記錄IP并報警的較為安全、較為完善的內部安全機制。這里要給機關的內部安全部門提供的一個建議就是盡量不要使用微軟的操作系統作為服務器，這樣就可以減少至少百分之八十的黑客戶的攻擊，此外，在數據的表間進行完整性驗證，關鍵的數據必須三表同寫方能確認其寫入有效，否則予以拒絕。這樣就可以避免黑客在已經入侵服務器的情況下在數據庫中試圖對會計系統表進行的篡改。此外，與使用UNIX系統做服務、進行數據完整性驗證同等重要的就是必須對服務器進行專人看管，并且，看管的人員不得與會計人員產生過多的聯系，會計人員不得將密碼隨意泄露給計算機管理人員，同時計算機管理人員也不得獲知除系統密碼以外的任何密碼，包括數據庫的密碼、財務數據表的寫入密碼等。這樣就可以基本保證企業單位的信息化的安全。下面就更深入地針對安全方面進行較為詳細的探討。

一、企業單位會計信息系統中的數據安全風險總結

企業單位的數據安全風險即指針對企業單位敏感數據所進行的非法的入侵、篡改、破壞等。這些非法的手段不但破壞了企業單位的數據安全，而且使得企業單位的計算機的數據完整性受到了嚴重的破壞，因此，這些入侵對于機關而言是災難性的。下面就對破壞的情況加以詳述：

1.對財務數據完整性的破壞。黑客或人為因素以及客觀因素針對財務系統中的任何一個數據的篡改勢必將破壞整個財務的帳務系統數據的完整性。不僅會造成財務數據難以平衡，而且還將造成機關資金、資產、有價證券、商業機密等的重大損失。數據完整性的破壞可能來自多個方面，包括人為因素、設備因素、自然因素及計算機病毒等。

2.對財務數據保密性的破壞。在政府企業單位財務數據保密性的破壞一般包括非法訪問、信息泄露、非法拷貝、盜竊以及非法監視、監聽等方面。非法訪問指盜用別人的口令或密碼等對超出自己權限的信息進行訪問、查詢、瀏覽。信息泄露包括人為泄露和設備、通信線路的泄露。

3.對財務數據可用性的破壞。數據的可用性是指用戶的應用程序能夠利用相應的數據進行正確的處理。計算機程序與數據文件之間都有約定的存放磁盤、文件夾、文件名的關系，如果改變數據文件的名稱或路徑，對于它的處理程序來說，這個數據文件就變成了不可用，因為處理程序不能找到要處理的文件。另一種情況是在數據文件中加入一些錯誤的或應用程序不能識別的信息代碼，導致程序不能正常運行或得到錯誤的結果。

二、企業單位會計信息化安全風險歸納

在這里我們所說的會計信息化安全風險，是指針對企業單位會計信息化的特殊性所產生的相關風險，其重點包括：

1.內控風險。主要指企業單位人員對會計數據的非法訪問。篡改、泄密和破壞等方面的風險。網絡安全的最大風險仍然來自于組織內部，據統計，大部分的非法闖入者來自于內部人員。因此，內部控制仍然是企業單位會計信息系統控制的基礎。

2.網絡信息安全風險。首先，黑客危害。其次，計算機病毒猖獗，病毒制造者的技術日益超，手段越來越兇狠，破壞力越來越大。再次，還有網絡軟件自身的BUG程后門程序、通信線路不穩定等因素也為網絡系統的安全帶來隱患。

3.企業單位的會計信息化未能與企業信息化有機結合。實現會計信息化的主要目的是實現財務、業務、生產一體化，實現物流、信息流、資金流的統一性，這就要求財務信息和業務信息一體化，但從我國目前大部分集團公司的實際情況看，還有一部分由于管理意識不到位，資金短缺、人員缺乏等原因使財務軟件大多只在財務部門使用，使得財務、業務數據不能共享，不僅造成橫向上不能與銀行、稅務等部門信息共享，縱向上不能與客戶、供應商及時溝通，而且與集團內部各部門也沒有很好的連接。

4.企業缺乏復合型會計信息化人才。集團公司會計信息化是現代會計和信息技術相結合的產物，對相應的會計人員、管理人員的素質要求大大提高，不僅要求他們要具有較高的會計業務處理技能和管理能力，而且還要精通計算機網絡知識、計算機的基本維護技能以及解決實際工作中各種問題的能力。

三、企業單位會計信息的安全策略

由于機關單位的工作特殊性，要想有效的控制會計信息安全要做到以下幾點：

首先，采用有效安全技術，網絡財務軟件應采用兩層加密技術。為防止非法用戶竊取機密信息和非授權用戶越權操作數據，在系統的客戶端和服務器之間傳輸的所有數據都進行兩層加密。第一層加密采用標準SSL協議，該協議能夠有效地防破譯、防篡改、防重發；第二層加密采用私有的加密協議，該協議不公開、不采用公開算法并且有非常高的加密強度。

其次，是制定和實施安全管理措施。機關單位內部應按照會計信息化的要求按責、權、利相結合的原則，建立健全和實施會計崗位責任制度、安全日志制度等。

最后，完善內控。企業單位會計信息化的起點是網絡化，傳統會計系統的內部控制機制與手段已不適應網絡環境，網絡環境下會計信息系統必須針對網絡的特點，建立適應網絡系統的控制體系及相應的崗位責任制和內部控制制度。

四、結束語

企業單位會計信息化是開放的現代會計信息系統，它全面運用現代信息技術，通過網絡系統，使業務處理高度自動化。信息高度共享，能夠進行主動和實時報告會計信息。它不僅僅是會計信息技術的變革，更代表一種適應現代信息技術環境的會計思想。但其安全問題也因此而凸顯了出來。

參考文獻：

[1]李捷.如何建立會計信息系統[J].會計研究，2004.

[2]喬鵬，楊寶剛.《會計信息系統審計》[M].北京科學出版社，2006.

[3]甄阜銘.網絡環境下會計信息系統內部控制的探討[J].財會通訊，2007.

[4]王文杰.機關單位內部控制和會計信息質量[J].商場現代化，2005.