网络会计信息系统安全控制研究
2009-03-08熊绪进
熊绪进
摘要:随着计算机技术的飞速发展,全球信息化已成为人类发展的大趋势。网络会计信息系统给人类带来了方便快捷的信息服务,已经成为企业发展的重要保证。但由于计算机网络的开放性、互连性和时空的无限性等特征,致使网络会计信息系统的安全问题变得非常突出,安全控制显得尤为重要。认识到这些安全问题,采取必要的防范技术与对策是网络会计信息系统正常运行的基本保障。关键词:网络会计信息系统;安全控制;电子商务ブ型挤掷嗪牛篎23
文献标识码:A
文章编号:16723198(2009)19027402おね络会计系统的诞生及应用,在给人类带来方便快捷的信息服务的同时,由于其自身的开放性、资源的共享性等特点,也带来了诸多安全问题。因此,加强系统安全控制及防范已显得特别重要。1网络会计信息系统存在的主要问题(1)授权方式的改变和对系统程序质量的依赖,潜伏着巨大的安全控制风险。在网络会计系统中,权限分工采用的主要形式是口令授权,而口令存放于计算机系统内,一旦口令被人窃取,便会带来巨大的安全隐患。网络会计的安全控制在一定程度上取决于系统中运行的应用程序的质量。一旦程序中存在严重的错误,便会危害系统安全。而会计人员的计算机专业知识有限,很难及时发现这些漏洞,致使系统会多次重复同一错误而扩大损失。(2)电子商务的普及,会计信息易于被篡改或伪造,将给网络会计系统的安全控制带来新的难题。IT技术迅猛发展,网上交易愈加普遍,电子商务将逐步普及。企业在利用Internet网寻找潜在贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。一旦企业的全部原始凭证采用数字格式,实现电子化,极易被修改甚至伪造而不留任何痕迹,势必将加强企业对网上公证机构的依赖,电子单据的信息保真将显得特别重要。但目前相关技术还不完全成熟、相应法规并不完善,这将给系统安全控制造成极大的困难。(3)会计信息储存方式和媒介发生变化,会计业务缺乏有效牵制。网络会计采用高度电子化的交易方式,对数据的正确性、交易及其轨迹均带来新的变化。原始凭证在网络业务交易时自动产生并存入计算机,交易的全过程均在电子媒介上建立、运算与维护,而且大量的数据录入和交易发生在企业外部;网络会计使会计介质继续发生变化,更多的介质将电子化,出现各种发票、结算单等电子单据。存贮形式主要以网络页面数据存贮,网页数据只能在计算机及相应的程序中阅读。由于计算机的自动高效使工作人员减少,各种手续被合并到一起由计算机统一执行,从而不能像手工方式下一笔业务要经过几道岗位才能被确认而相互牵制,成为内部控制的安全隐患。(4)网络环境的开放性和动态性,加剧了会计信息失真的风险。在开放的网络环境中,大量的会计信息通过Internet传递,各种服务器上的信息在理论上都可以被访问,除非物理上断开连接,否则就存在被截取、篡改、泄漏甚至黑客或病毒的恶意侵扰等安全风险。尽管信息传递的无纸化可有效避免人为原因导致的信息失真现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。由于缺乏有效的确认标识,信息接受方怀疑所获取财务信息的真实性;信息发送方也担心所传递的信息能否被接受方正确识别并下载,这无疑加大了网络会计安全控制的难度。(5)网络会计系统的复杂性,加大了稽核与审计的难度。网络是一个由计算机硬件、软件、操作人员和各种规程构成的复杂系统,该系统将许多不相容职责相对集中,加大了舞弊的风险;信息来源的多样性,有可能导致审计线索紊乱;系统设计主要强调会计核算的要求,很少考虑审计工作的需要,往往导致系统留下的审计线索很少,稽核与审计必须运用更复杂的查核技术,且要花费更多的时间和更高的代价,这无疑将加大稽核与审计的难度和成本。2网络会计信息系统的安全控制对策2.1法律、政策保障ノ了对付计算机犯罪,保护会计信息使用者的权益,国家应制定并实施计算机安全及数据保护法律,从宏观上加强对信息系统的控制,为网络会计系统提供一个良好的社会环境;尽快建立和完善电子商务法律法规,制定网络会计环境下的有关会计准则,规范网上交易的购销、支付及核算行为。2.2建立和完善网络会计系统的管理制度ス芾碇贫仁潜Vて笠凳迪滞络会计信息系统安全、准确、可靠的先决条件。它主要包括确定各种人员的职责范围及其考核办法的岗位责任制;制定密码的使用和管理办法及机房、保卫、数据资料安全等方面应遵循的安全保密制度;操作计算机应遵守的操作规程及注意事项的操作管理制度;规定数据输入、输出、存储、查询与使用应遵守的数据管理制度;规定系统维护的申请、审批和应完成任务的系统维护制度;修订《会计档案管理办法》,重新规定会计档案的范围、保管办法及领用手续的会计档案管理制度。2.3加强网络会计系统的安全控制(1)硬件安全控制。网络会计系统的可靠运行主要依赖于硬件设备,因此硬件设备的质量必须有充分保证。加强对硬件的维护,防止计算机出现故障导致会计信息丢失;为以防万一,关键的硬件设备可采用双系统备份。另外,计算机房应充分满足防火、防水、防盗、防鼠、恒温等技术条件,必要情况下可采用电子门锁、指纹核对、用计算机控制人员进出等防范控制手段;机房内用于动力、照明的供电线路应与计算机系统的供电线路分开,配置UPS不间断电源、防辐射和防电磁波干扰等设备,尽量采用结构化布线来安装网络,在埋设地下电缆的位置设立标牌加以防范;对用于数据备份的存贮介质应注意防潮、防尘和防磁,长期保存的磁介质存贮媒体应定期转贮等。(2)软件安全控制。软件的安全控制主要是保证程序不被修改、不损毁、不被病毒感染,程序的安全与否直接影响着系统的正常运行。①及时下载和安装系统补丁,堵住操作系统、数据库管理系统和网络服务软件的漏洞。②按操作权限严格控制系统软件的安装与修改,按操作规程定期对系统软件进行安全性检查。当系统被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复等功能。③系统软件应尽量减少人机对话窗口,必要的窗口应力求界面友好,防错纠错能力强,不接受错误输入。④增强系统软件的现场保护和自动跟踪能力,对一切非正常操作可以记录。当非法用户企图登录或错误口令超限额使用时,系统会锁定终端,冻结此用户标识,记录有关情况,并立即报警。⑤分析研究各应用软件的兼容性、统一性,使各业务系统成为基于同一种操作系统平台的大系统,各种业务之间能相互衔接,相关数据能够自动核对、校验。⑥非系统维护人员不得接触程序的技术资料、源程序和加密文件,减少程序被修改的可能性。(3)数据资源安全控制。①合理定义、应用数据子模式。即根据不同类别的用户或应用项目分别定义不同的数据子集,对特定类型的用户开放,以限制用户轻易获取全部会计数据资源。②合理设置网络资源的属主、属性和访问权限。资源属主体现不同用户对资源的从属关系,如建立者、修改者等,资源属性表示资源本身的存取特性,如读、写或执行等,访问权限体现用户对资源的可用程度。③建立数据备份和恢复制度。数据备份是数据恢复与重建的基础,对每天的业务数据双备份,建立目录清单异地存放。同时对存储在网络上的重要数据在传输前进行有效加密,接收到数据后再进行相应的解密,并定期更新加密密码。
④在操作系统中建立数据保护机构。调用计算机机密文件时应登录用户名、日期、使用方式和使用结果,修改文件和数据必须登录备查。⑤设置外部访问区域,明确企业内部网络的边界。访问区域是系统接待外界网上访问,与外界进行数据交换的逻辑区域。企业建立内联网时,要详细分析网络的服务功能和结构布局,通过专用软件、硬件和管理措施,实现会计系统与外部访问区域之间的严密的数据隔离;在内部网和外部网之间的界面上构造保护屏障,防止非法入侵和使用系统资源,记录所有可疑事件。⑥在开发应用软件的技术选择上也要考虑数据安全性问题。如在网络财务软件中应充分利用客户服务器结构和Web应用的优点,对于决策支持、远程查询、报表远程上报则采用Web的应用,可以提高财务数据安全性。(4)网络安全控制。为了提高网络会计系统的安全防范能力,必须从技术上对整个系统的各个层次都要采取安全防范与控制措施,建立综合的多层次的安全体系。数据加密技术是保护会计信息通过公共网络传输和防止电子窃听的首选方法。现代加密技术分为对称加密和非对称加密两大类。对称加密是关联双方共享一把专用密钥进行加密和解密运算,它所面临的最大难题是密钥网上分发的安全性问题。非对称加密是将密钥分为一把公钥和一把私钥,加密钥不同于解密钥、并且不能由加密钥推出解密钥,有效解决了密钥分发的管理问题,更适合网络应用环境。访问控制技术的代表是防火墙技术,特别是已融和虚拟专用网及隧道技术的防火墙技术。防火墙是建立在企业内部网和外部网接口处的访问控制系统,它对跨越网络边界的信息进行过滤。可设置内外两层防火墙,外层防火墙主要用来限制外界对主机操作系统的访问,内层防火墙主要用来逻辑隔离会计系统与外部访问区域之间的联系,限制外界穿过访问区域对内联网的非法访问。(5)毒防范安全控制。防范病毒最有效的措施是加强安全教育,健全并严格执行防范病毒管理制度,在系统的运行与维护过程中高度重视病毒防范及相应技术手段与措施。具体措施有:系统采购更新要经病毒检测后才可使用;对不需要本地磁盘的工作站,尽量采用无盘工作站;采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;在网络服务器上安装防病毒卡或芯片等硬件;财务软件可挂接或捆绑第三方反病毒软件,加强软件自身防病毒能力;对所有外来软件、介质和传输数据必须经过病毒检查,严禁使用游戏软件;及时升级本系统的防病毒产品,定期检测并清除系统病毒。(6)电子商务控制。网络会计系统的应用为跨国企业、集团企业实现远程报表、报账、查账、审计及财务监控等处理功能创造了条件。网络会计是电子商务的基石和重要组成部分,对电子商务活动也必须进行相应的管理与控制。主要措施有:合理建立与关联方的电子商务联系模式;建立网上交易活动的授权、确认制度,以及相应的电子文件的接收、签发验证制度;建立交易日志的记录与审计制度,进行远程处理规程控制。3加强内部审计ノ了监督并提高系统运行质量,企业应设独立的内部审计部门,在审计委员会或高层决策机构领导下工作。内部审计应包括:对会计资料定期进行审计,系统处理是否正确,是否遵照《会计法》及有关法律、法规的规定;审查电子数据与书面资料的一致性,做到账表相符,对不妥或错误的账表处理应及时调整;监督数据保存方式的安全合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞;对网络资源的使用、网络故障、系统记账等方面进行记录和分析。4培养高素质的财会人员ネ络会计要求财会人员不仅能进行计算机操作,还要求能解决实际工作中出现的各种问题,所以应积极培养能掌握现代信息技术和会计知识及管理理论与实务的复合型人才。既要通过教育来提高他们的思想认识、安全防范意识和职业道德水准,严格执行各项规章制度,又要加强专业知识的学习和培训,不断提高计算机网络的安全防范手段和应用水平,在对网上会计信息进行有效过滤的同时,防止非法访问和恶意攻击本企业的会计信息。要适应网络会计的发展,企业必须注重人才的培养和开发,这是信息时代保证企业在激烈的市场竞争中制胜的关键所在。网络会计信息系统随着网络技术和电子商务的发展不断发展和完善。可以相信,随着会计信息系统功能的不断完善,越来越多的企业应用的不断深入,它将会引发企业管理思想、经营理念和会计管理工作的变化。参考文献[1]@凌艳萍,梁燕华,成志军.会计电算化[M].长沙:中南大学出版社,2006:226229.[2]@潘婧.网络会计信息系统的安全风险及防范措施[J].财会研究,2008,(2):4849.[3]@冯晓玲,任新利.网络会计信息系统的安全技术研究[J].会计之友,2007,(11):8990.[4]@刘梅玲.网络会计信息系统的安全技术探讨[J].中国会计电算化,2004,(12):89.[5]@范艳梅,孙艳霞,辛莹,等.浅析网络会计中存在的问题及对策[J].商业经济,2008,(6):109110.