网络环境下会计信息系统不安全因素分析及对策研究
2012-04-08倪江陵
倪江陵
(湖南科技学院 计财处,湖南 永州 425100)
引言:网络会计信息系统的诞生及应用,在给人类带来方便快捷的信息服务的同时,由于其自身的开放性、数据存储介质的脆弱性等特点,也带来了诸多安全隐患。因此,加强网络会计信息系统的安全风险研究及防范已经显得尤为重要。本文从管理和技术两个角度出发,对网络会计信息系统存在的不安全因素进行了分析研究,指出硬件系统存在的安全缺陷,软件系统带来的不安全因素,网络系统的安全技术缺陷是导致会计信息系统出现安全问题的主要原因。针对这些因素,从内部控制和外部控制两个角度提出了相应的安全防范措施。
一 网络环境下会计信息系统不安全因素
网络会计信息系统是一种内联网结构的系统,通过互联网,为企业与客户、供应商之间,企业与银行、税务、审计等各部门之间建立开放、公布、实时的双向多媒体信息交流环境,使企业会计与业务一体化处理和实时监控。然而,由于互联网/内联网系统的分布式、开放性等特点,系统的安全性问题更加突出。导致网络会计信息系统出现安全问题的因素主要体现在以下几方面:
(一)内部系统的不安全因素
1、硬件系统。硬件资源易受到自然灾害和人为破坏,并且对环境条件范围都有技术要求,违反规定就会使可靠性降低,寿命缩短。各种故障常有发生,主要有以下几点:
1.1 硬盘。硬盘是计算机中非常重要的一个部件,它里面储存着大量的重要数据,一旦损坏,将给用户带来无法弥补的损失。
1.2 存储器。存储器是一个对射线、电磁场等不可见的射线十分敏感的部件。如果计算机周围有比较强的射线存在,则可能改变芯片的内部数据,致使存储器发生错误。
1.3 计算机网络中使用的网络硬件,当各种数据在计算机中产生并被传送到网络上,且在机器之间高速传输,用来连接计算机的线路会受到电磁波的干扰和物理损伤时,将导致数据在产生和传输的过程中损坏或丢失。这些故障主要表现为线路故障、路由器故障、主机故障。
2、软件系统。软件系统的正确选型和配置是网络财务系统安全运行的关键。如果软件选型不当,或未及时升级软件补丁.安全配置参数不合格等,都会降低软件安全运行的等级和效率,出现安全漏洞,易受到外来攻击破坏等。
2.1、数据库系统。非法人员绕过系统直接对数据库中的数据进行非法操作,如篡改、删除、复制等。对于数据库将原始数据以明文形式存储于数据库中的,这是不够安全的,必须对存储数据进行加密保护。
2.2、数据中心。我们一般把财务系统的主机放置在数据中心。数据中心的消防设施、冗余电源及门禁控制是我们必须要重视的防范财务风险的一大内容。很多单位的数据中心没有统一的管理控制,对进出数据中心的人员也没有限制,敏感财务数据很容易从数据中心被窃取出来,对企业造成损害。
2.3、会计档案。财务信息化会计档案包括:存储在计算机硬盘中的会计数据、以其它磁性介质或光盘存储的会计数据和计算机打印出来的书面等形式的会计数据,如记账凭证、会计账簿、会计报表等数据。会计档案的备份不当也是一个重大的安全隐患。
(二) 外部的不安全因素
网络传输中由于黑客访问、信息泄露、非法拷贝、从而会给会计工作带来很大病毒、木马入侵,造成非法盗窃以及非法监视、监听等风险。常见的网络系统安全问题有以下几个方面:
1、黑客攻击。黑客利用计算机软件和计算机网络方面存在的一些漏洞,采用非法获取系统的最高管理权限或在同一时间向目标系统发送超过正常数据段大小的特大数据包,使服务器无力处理,从而造成停止服务严重时造成系统崩溃。
2、计算机病毒。计算机病毒是具有自我复制能力的计算机程序。它能影响计算机软件、硬件的正常工作,破坏数据的正确性与完整性。它具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。
3、计算机电磁波辐射。计算机是依靠高频脉冲电路进行工作的,由于电磁场变化,必定向外辐射电磁波。这些电磁波会带出计算机的一部分信息,在一定的范围内,通过相应的设备就可以接收到电磁波,并获得一定的信息,失密现象就会发生。
二 网络环境下会计信息系统安全问题防范对策
通过对网络环境下会计信息系统安全问题产生因素的分析,我们可以得知在互联网环境下会计信息系统中的数据与应用程序之间具有一定的独立性,同时,企业的内部即企业内部网与企业的外部环境存在着数据与信息的相互传递和交换,但又必须相互的绝缘,也就是说在企业内部网络之间必须有一定的保障物,以此保证企业内部传递的信息与企业向外部披露的信息之间的差别。因而,在互联网环境下会计信息系统的安全控制必须针对企业内部以及企业外部与其外部环境之间的联系设立相应的控制制度与措施。
1、会计信息系统的内部控制
1.1 会计数据安全控制。会计数据安全是指所有的会计数据与信息在产生、传递、接收、存贮、加工处理的过程中不存在遗漏、非法复制、多加、变形等。会计数据的安全控制一般分为以下几个方面:
(1)利用数字签名技术进行数据确认随着电子商务的普及和信息技术的发展;
(2)加强监控与审计;
(3)及时进行会计数据的备份。
1.2 会计数据保密控制。会计数据保密就是通过对用户与会计数据的处理,利用一种强有力的算法编码技术,将数据变换成只有经过一定的解密措施之后才可读的密码形式来保护保存在磁盘上的会计数据和传输的信息,使那些有意或无意的攻击者与未经授权的用户无法访问这些会计数据,从而保证这些会计数据的安全。可以通过以下几个措施来实现:
(1)对用户进行分类;(2)对会计数据分类;(3)对会计数据进行加密。
1.3 系统应用控制。应用控制是指具体的应用系统中用来预防、检测和更正错误,以及防止不法行为的内部控制措施。包括:
(1)在输入控制中,要求输入的数据应经过必要的授权,并经有关内部控制部门检查;
(2)在处理控制中,对数据进行有效性控制和文件控制;
(3)在输出控制中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息,二要确保输出结果能够送发到合法的输出对象,文件传输安全正确。
1.4 系统管理控制。管理控制是指企业为加强和完善对网络会计系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。主要应采取如下几方面的措施:
(1)设置适应于网络下作业的组织机构并设置相应的工作站点;
(2)合理建立上机管理制度,包括轮流值班制度、上机记录制度、完善的操作手册和上机时间安排并保存完备的操作日志文件等;
(3)建立完备的设备管理制度。
2、会计信息系统的外部控制
在互联网环境下,对于会计信息系统的犯罪行为并不仅仅局限于企业内部,还有大量外来的犯罪行为。因而,如何保证企业内部网与其外部环境之间能够畅通地进行信息的传递与交换,同时又能够保证会计信息系统不受外来的侵犯,就显得尤为重要。而要保证企业内部网与其外部环境之间这种关系,必然要建立以下的一些控制:
2.1 存取控制
会计信息系统中会计数据的存取安全所采取的控制措施包括口令密码的设置、身份验证以及防火墙控制等。通过这些措施在企业内部网与外部环境之间建立了一种隔离“屏障”,保护内部网络信息不被外部非授权用户访问和过滤不良信息,从而保证会计数据的安全性与保密性。
2.2 周界控制
周界控制是通过对安全区域的周界实施控制来达到保护区域内部系统的安全性目的,它是预防一切实行外来攻击措施的基础,主要内容包括:
(1)设置外部访问区域,明确企业内部网络的边界,防止“黑客”通过电话网络进入系统;
(2)建立防火墙,在内部网和外部网之间的界面上构造保护屏障,防止非法入侵、非法使用系统资源,执行安全管理措施,记录所有可疑事件。
2.3 大众访问控制
大众访问包括网上会计信息查询、数据传递、电子邮件等,由于互联网络系统是一个全方位开放的系统,对社会大众的网上行为实际上是不可控的。因此,企业应在网络会计系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有:
(1)在网络会计系统中设置多重口令,对用户的登录名和口令的合法性进行检查;
(2)合理设置网络资源的属主、属性和访问权限;
(3)对网络进行实时监视,找出并解决网络上的安全问题。
2.4 防病毒控制
在系统的运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施。可以采用如下控制措施:
(1)采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;
(2)对外来软件和传输的数据必须经过病毒检查,在业务系统严禁使用游戏软件;
(3)及时升级本系统的防病毒产品。
当然,对于会计信息系统的内部控制,除了采取以上的控制措施之外,还必须尽快地完善各种相应的法律、规章、政策、制度,加强内部审计,加强后续教育,努力提高会计工作人员的专业素质,并发挥全社会的力量,从法律上、道德上及技术上加以防范,从而进一步加强与完善企业会计信息系统的内部控制。
[1]毛丹.高校会计信息系统的安全控制策略[J].长江大学学报(自然科学版),2010,(6).
[2]宿洁、袁军鹏.防火墙技术及其进展[J].计算机工程与应用,2004,(9).
[3]张继德.会计信息系统安全性现状及应对策略探讨[J].中国管理信息化,2010,(3).
[4]George H,Bordanar.willaiams.Accounting Information System,Hopwood,1995:21-94
[5]张素云.建立顺应会计电算化发展的内部控制制度[J].中国会计电算化,2004,(3).
[6]陈杰忠.网络环境下的会计信息系统的安全隐患与对策研究[J].南京财经大学学报,2005,(3).