論單機多用戶會計電算化軟件下的用戶友好與系統安全

[摘 要] 會計電算化軟件作為一款應用軟件，具備了相當的UI友好性，這種特性對于沒有過多IT技術的會計人員來說很有幫助，因為他們在經過簡單的培訓的情況下，就可以迅速上手相應的會計軟件，實現會計工作的電子化，提高工作效率。然而，隨著教育的程度日益提高，一般的計算機技術對于普通人來說并不困難，同時財務軟件的更新趨勢也是進一步提高用戶友好，這就縮減了非財務人員操縱財務軟件的難度，為會計信息及會計信息系統帶來了巨大的風險。

[關鍵詞]用戶友好； 會計信息安全； 可變式UI設計體系

不可否認財務軟件在會計工作中的應用，可以提高會計工作的效率，同時由于計算機獨有的校驗功能也可以使原本紛繁復雜的會計信息無論從記錄的準確度還是處理的合理程度上提高不止一個層次。然而，會計電算化軟件為我們提供如此之多的便利的同時，儲存在會計軟件中的會計信息也變得更加的容易被獲取、篡改、或者破壞。因而，會計電算化的安全問題作為社會價值、利益問題一再的被社會公眾和學術界提出就顯得不無道理。筆者認為，單機系統下的會計電算化軟件的安全風險，并非來自與軟件本身，即數據加密，流程控制等技術層面的細節，恰恰來自于社會，也就是對財務軟件的使用者進行社會攻擊。

1 現狀

一般的財務軟件在進入操作頁面時都需要輸入賬戶和密碼，系統校驗正確才能登錄，這是防止財務軟件遭到社會攻擊的第一道，也是唯一一道防線，一旦非法人員獲得了正確的賬戶和密碼，那么會計信息就無可避免的會受到侵害。社會攻擊很難避免，會計人員受到攻擊就難保證在不自覺得情況下將賬號和密碼泄露。同時會計人員在設置密碼的時候很可能以諸如：111111、123456這樣簡單的數字組合作為密碼，然而這些信息都是非常容易獲取的。很多電算化軟件的開發商也并沒有考慮到軟件的社會安全，而僅僅是將安全的重點放在了技術層面。而且由于電算化系統本身所具有的友好性，一旦進入到電算化軟件的操作頁面，很多非財務相關的人員都可以在短時間內完成既定的侵害目標。然而，財務軟件的友好性本身是對會計工作有利的特性，用戶友好性也是一般軟件好壞的衡量標準，只是財務軟件的特點使這個屬性變得難以把握。如果UI過于友好，那么侵害會計信息的所需的時間就會縮短，如果UI不夠友好，財務軟件對于簡化會計工作，提高工作效率的作用就會削弱。

2 假設

為了研究用戶友好與系統安全的關系，提出兩個假設：1、電算化軟件的用戶友好程度影響陌生用戶對軟件的操作速度。2、用戶對電算化軟件的熟悉程度影響用戶的操作速度。為了研究上述兩個假設最終結果，我們進行了兩輪實驗：1、從三個會計專業的班級中，挑選出已經取得會計從業資格證，并且只使用過高信版電算化軟件的學生60名，讓他們分別使用高信、金蝶、用友三種不同的電算化軟件完成15個操作小題，統計他們最終完成這些題目的時間，獲取原始數據。2、在進行過第一輪實驗以后，再讓這60名學生使用金蝶電算化軟件，完成15個操作小題。

60名學生使用高信、金蝶、用友電算化軟件完成規定題目的時間分布情況如圖（單位：分鐘）：

60名學生使用三種電算化軟件完成的規定題目的平均時間時間分別是20.47、30.52、34.83，且所用時間的分布情況也接近于正態分布。這些學生都學習過并且能夠熟練地運用高信版的軟件完成指定要求，而金蝶和用友兩種財務軟件，對于他們的友好程度要偏低。同時，他們完成題目的平均時間也有更長。因此我們提出假設：使用其他版本的財務軟件完成題目所用的平均時間與高信版存在顯著差異。

對兩個實驗組數據進行顯著性檢驗結果如下：

使用金蝶和用友，實驗者的平均完成時間明顯長于高信。由此，電算化軟件的用戶友好程度可以顯著地影響使用者的上手速度，并且友好程度越高，速度越快。

第二輪實驗的目的是研究熟練程度對操作速度的影響。實驗的數據情況如圖：

第二次完成題目的平均時間為28.1。對兩組數據進行顯著性分析。

第一輪實驗的的平均時間確實要顯著大于第二輪，隨著對軟件的熟悉度上升，相應的操作速度也會變快。如果非法人員事先調查過被破壞者使用的財務軟件，并且進行相應的練習，一旦獲得軟件的賬號密碼，就能夠迅速對整個會計系統造成破壞。

3 應對措施

對于上述安全風險，可以通過四個途徑進行解決：1、建立完善的財務專用計算機管理制度。2、財務軟件提供復雜校驗登錄方式。3、不定時身份驗證系統。4、可變式UI設計體系。下面筆者進行逐一闡述。

設立財務專用計算機，安裝財務軟件的計算機應有專人管理，設置安全程度較高的密碼。嚴格按照公司工作制度開關機，非工作時間該計算機不得處于運行狀態。開機關機有專人監督并操作，非財務人員不得使用該計算機。杜絕非法人員私自使用計算機登錄財務軟件。此外，還應劃分使用時間，嚴格按照時間表操作，避免責任不明的情況發生。

提供較復雜的校驗方式，比如人臉識別，在財務軟件中使用這樣的登錄校驗方式能夠降低被非法登陸的可能性。對于簡易的財務軟件來說，可以采取提供長密碼或者隨機提問的方式進行校驗。隨機提問是指，使用者在初始化系統時，設置一個“問題池”，在登錄的時候，系統會隨機從這些問題中提問，登錄者回答的答案與預先設置的相同便可以登錄，這樣可以有效的降低社會攻擊對財務軟件危害。

不定時身份驗證建立在隨機提問的基礎之上，用戶在登錄使用財務軟件的過程中，系統會不定時的對使用者的身份進行核實：當用戶在進行非法操作，或者正常使用一段時間后，系統會自動從預先設置好的“問題池”中隨機抽取問題提問，使用者必須在正確回答問題以后才能繼續使用軟件，否則系統會自動退出。當然，合法的財務人員在使用時也會被隨機提問，會相應影響工作效率。而且隨機時間的長短也很難界定，因此需要大量的實踐驗證才能確定一個相對合理的值。

可變式UI設計體系是指用戶在初始化財務軟件的時候，可以自行對默認界面、工具按鈕進行修改，使之形成獨樹一幟的用戶風格。降低財務軟件對非用戶的友好程度。由于用戶自行改變的UI與任何一款財務軟件均存在區別，非法人員無法事先準備，同時用戶友好度的降低，也使得非法人員的破壞難度進一步上升。每個用戶的UI體系，與用戶相關聯，即同一臺機器上的同一款軟件隨著登錄用戶的不同會呈現不同的UI體系。合法的用戶不會因為自行設置的UI體系而降低工作效率，由于UI是自行設置的，在前期使用軟件時，工作效率反而要高于固定UI的財務軟件。

4 結束語

任何一種軟件的安全使用都要建立在合規的使用基礎上，如果使用規章不完善，使用人員不謹慎，那么再好的防護措施都將形同虛設。建立完善使用制度，對財務人員進行必要的培訓，能從根本上減少隱患，保護會計信息的安全。

參考文獻：

[1]樊珊珊.目前我國會計電算化存在的問題及對策[J].會計之友，2011.

[2]盛國杰.淺論會計電算化目前的問題及對策[J].開發研究，2009.

[3]劉寧.會計電算化風險及防范[J].人口與經濟，2013.

[4]李承，周潞.促進軟件安全的路徑選擇[J].中國科技論壇，2014.

作者簡介：

楊歡，男，漢，山東青島，碩士，青島理工大學，財務管理。