会计信息系统安全性现状及应对策略探讨

会计信息系统安全性现状及应对策略探讨摘 要本文对会计信息系统的安全现状进行了研究，从硬件系统、软件系 统、网络系统、数据与交易等方面对会计信息系统的安全性进行分析，并从硬件 系统、软件系统、网络系统、数据与交易、企业组织管理模式和法律法规等方面 提出安全应对策略。关键词会计信息系统;安全性;应对策略1问题的提出党的十七大报告明确提出“信息化是我国加快实现工业化和现代化的必然选 择，要将信息化与工业化相互融合发展”。面对国家信息化加速发展的崭新机遇, 企业信息化的步伐必然加快。企业信息系统核心子系统会计信息系统应用范 围日益扩大、程度日益加深，在我们对会计信息和会计信息系统的依赖越来越强 的同时，产生了和会计信息系统安全性有关的问题。会计信息系统的安全性问题, 影响会计信息系统的安全、可靠、有效和高效运行,导致会计信息的滞后、失真 和错误，严重影响决策的正确性、及时性和相关性。2会计信息系统安全性现状会计信息系统中的会计信息是指通过科学预测或实际记录，反映会计主体过 去、现在、将来有关资金运动状况的各种可为人们接受和理解的消息、数据、资 料的总称。会计信息系统是一种基于会计管理活动，由人、信息处理设备和运行 规程3个方面组成的集成化人机交互系统。在会计信息系统广泛应用的今天，会 计信息系统的安全性方面存在以下问题：2.1硬件系统的安全问题此处的硬件系统是指会计信息系统赖以生存的计算机硬件设备，如计算机主 机、硬盘、磁盘、网络设备等。(1) 电源方面。计算机要在电力的支持下才能运行，电源的稳定性会直接影响 到会计信息系统的运行和安全。此外，硬盘、磁盘等高速旋转运行的设备突然停 转，往往会导致磁头、盘面等元件的物理损伤，并导致某些数据的永久性丢失。电 源不稳时还容易导致电流或电压的瞬间剧烈变化，而计算机的内存等不同部件是 以不同的电位来表示不同的数据，所以瞬间变化的电流非常容易导致记录的数据 发生变化，从而使得整个系统紊乱;某些精密仪器或较旧的元件等硬件设备也很可 能因为电流的剧烈变化而被烧毁，电源不稳容易致使系统出现故障或数据丢失。(2) 自然灾害。空气湿度过高易使电子元件失灵或存储设备丢失数据;水的长 时间浸泡容易使得各种绝缘层腐烂、脱落而引发短路;进水易使主机设备烧毁;温 度过高或过低都会使得系统异常;起火会致使存储设备毁坏并造成相关数据永久 性消失;火灾还易烧毁整个硬件设备，由此产生的有毒气体还有可能导致企业人员 伤亡等事故的发生。由此可见,出现水灾或火灾等自然灾害都会影响到计算机硬 件方面的可靠性和安全性。(3) 其他方面。磁场干扰，是一个很容易被人们忽视的因素，它对计算机会计信 息系统影响也是很大的,所以也需要特别重视。特殊因素,如地震、台风等突发灾 害会影响计算机的使用安全;政治环境的威胁等,对于某些地区、某些时候也是需 要特别关注的。2.2软件系统的安全问题软件方面存在遭计算机病毒入侵、软件本身存在漏洞、开发者有意留有的程 序“后门”和“逻辑炸弹”等安全问题。计算机病毒具有传染性与传播性、极大的破 坏性、欺骗性、潜伏性、隐蔽性和可触发性，极易破坏会计信息系统中软件系统 的安全;软件漏洞多是由于程序人员疏忽所导致的，“后门”是编程人员故意在软件 系统中加入的在一定条件下能够运行并为自己获利的代码,“逻辑后门”是编程人 员在设计软件程序时加入的一段破坏性代码,它能够在一定条件下被激活并有可 能会删除数据或破坏数据文件，或是破坏整个系统，它们对软件系统的安全影响都 是不容忽视的。2.3网络系统的安全问题严格来讲，网络系统也是由硬件系统和软件系统组成的，因其重要性，所以单 独作为一个部分来关注。网络系统安全方面存在着网络监听、窃取口令和拒绝服 务攻击等黑客行为。网络监听本是为有效管理网络、监听网络的状态和数据流动 情况而发明的技术，但是因为它能有效截获网上的数据而成为网上黑客使用最多 的方法。它可以在网上的任何一个地方实施,从而用来截获用户的口令或发送的 数据等。窃取口令是指黑客们通过不正当的手段来获取他人账号和密码，从而获 得他人系统的访问权限。不正当手段包括穷尽猜测用户口令，利用常用密码字典 来猜测用户口令，通过聊天窥和木马软件等方式来获取用户口令，获取口令之 后很容易窃取到政治、军事或商业秘密从而进行犯罪活动,也很有可能对用户账 户的资金产生极大的威胁。拒绝服务攻击指攻击者通过利用拒绝服务攻击软件, 对某一个资源发送垃圾信息，从而导致带宽或资源过载等情况的“瓶颈”问题，使得 其他访问用户无法享用该资源。2.4数据与交易安全问题数据交易方面则是指企业核心数据的保管、保护问题。在会计信息系统广泛 应用的今天，企业的商业交易多是通过网络进行的，同时通信窃听、交易否认等安 全问题也随之而来。一个企业的商业交易数据如果被窃取或毁损，很可能无法恢 复，这可能使企业的业务中断，因此，数据的保护及加密也是非常重要的。3会计信息系统安全性应对策略针对以上4个方面的问题，经过认真分析，提出以下安全应对策略：3.1硬件系统的安全应对策略因为计算机、硬盘、磁盘、网络设备等硬件系统是会计信息系统赖以生存的 基础，所以硬件系统的安全是应该首要关注的问题。首先，采购时要多多搜集计算机硬件的相关信息,需要了解不同厂家的产品品 牌、型号的具体情况和厂家的信誉情况，并在具体购买时仔细检查硬件是否有异 常问题，并在试运行一段时间后再投入到企业的实际应用中。其次，要特别防范会计信息系统应用过程中硬件系统的安全隐患问题。(1) 电源方面。由于不稳电源容易导致数据丢失或系统出现故障，所以最好使 用不间断电源，并采取系统接地、下班后要切断所有硬件设备电源等措施来保证 电源方面不会出问题。(2) 自然灾害，如水灾和火灾等，因其在很大程度上是不可预见的，所以我们应 该从预防的角度来采取措施，如建立消防系统,在放置计算机的地方应注意防水、 防火、防潮、防尘、恒温等条件的满足，还要定期检查、备份数据文件，以保证数 据文件的可用性。(3) 其他影响安全的因素。磁场，一个很容易被人们忽视的因素,它对计算机的 会计信息系统影响也是很大的，所以也需要特别重视防磁，建立相关制度以规定避 免含磁的物品靠近计算机等。特殊因素,如地震、台风等突发灾害,政治环境的威 胁等,对于某些地区，某些时候也是需要非常关注的，我们可以通过建立数据备份 中心来保证会计信息系统的数据安全;通过添加锁、设置警铃、购置柜机等措施 来防范计算机设备被盗的可能。3.2软件系统的安全应对策略软件方面需要在计算机病毒、软件漏洞和一些“后门”、“逻辑炸弹”中寻求解决策略。321计算机病毒的安全应对策略对于会计信息系统中应对计算机病毒的策略，一般有以下措施：(1) 定期使用杀毒软件杀毒,并采用网络杀毒软件防治网络病毒。杀毒软件是 防治计算机病毒非常有效的手段之一,但是没有任何一款杀毒软件能够防治所有 计算机病毒，所以我们需要择优选择杀毒软件，并随时更新杀毒软件以达到有效保 护计算机系统安全使用的目的。对于企业网、校园网等复杂网络环境，我们可以 采用网络杀毒软件来防治网络病毒或利用服务器来进行全方位的病毒防治。网络 病毒防治系统可以通过对局域网进行远程式集中安全管理、通过账号和口令设置 来达到一定的网络病毒防治效果。它可以通过先进的分布技术，利用本地的可用 资源和本地的杀毒引擎，对本地的节点所有文件来进行全面的、及时的、高效的 查杀病毒,同时也能达到保护用户隐私、减少网络传输负载、避免因大量传输文 件引起网络拥塞等情况发生的目的。(2) 定期备份数据文件。数据备份是将硬盘中的数据备份到其他磁介质中，制 作副本以防止财务数据因意外情况而遭到破坏，同时也达到将账务数据存档保存 的目的。企业应规定定期进行数据备份，并根据情况规定重要数据、不太重要数 据、不重要数据的备份频率，当会计信息系统一旦受到病毒破坏时可以及时恢复 数据。企业还可以通过对系统引导区作备份、为新装的系统作磁盘备份、查杀病 毒前对被查杀文件进行备份等来达到会计信息系统数据安全的目的。(3) 制定严格的相关制度。企业应明文规定装有会计信息系统的计算机应严 格执行限制上网活动的制度;谨慎使用网络共享和软盘、U盘、移动硬盘等;使用 正版软件，尽量避免使用下载等途径得到的软件;谨慎浏览电子邮件;设置Office软 件的宏安全级别等。3.2.2软件漏洞的安全应对策略计算机软件是大量软件工程师和程序人员长期辛苦工作的结果，其中难免会 出现一些疏漏，如由于访问验证错误、竞争条件错误、意外情况处置错误等而导 致的软件漏洞，这就需要会计信息系统使用人员在初始安装时注意软件是否有异 常问题并要调试运行，在平常使用时也要随时注意关注和记录软件运行的异常情 况，并针对需要修改的地方及时安装补丁程序并定期对软件系统进行扫描分析，以 应对软件漏洞问题。3.2.3 一些“后门”、“逻辑炸弹”的安全应对策略会计信息系统不仅可能存在由于程序人员疏忽所导致的软件漏洞，还可能存 在另外一些严重的问题，即编程人员故意设计的“后门,，或“逻辑炸弹”等。对于这些 可能存在的风险,我们应该在采购软件系统时就评价相关软件厂家的产品质量、 厂家信誉、售后服务、软件使用企业所反映的情况等，在采购后运行时加强对软件的使用情况尤其是异常情况的分析和管理。3.3网络系统的安全应对策略对于网络监听，可以通过检查网络状态或者安装专门的软件来进行监测。当 然，对网络拓扑结构进行合理有效的设计，对交换机、路由器等核心网络设备加强 访问控制，使用保密性较高的通信方式都可以有效地降低被监听的风险。随时保 持警惕，并通过细心设计自己的账号口令、定期更换口令、运用动态口令设备等 先进技术等一系列措施也可以达到预防口令被获取的可能。应对拒绝服务攻击的 策略，可以通过与网络服务提供商加强合作，优化配置网络拓扑结构，并关闭不必 要的端口和服务,以达到减少可能遭受拒绝服务攻击范围的目的。另外，我们还可以通过防火墙技术来达到有效解决网络系统的安全问题。所 谓防火墙就是指位于两个或多个网络之间，执行访问控制策略的一个或一组系统， 也可以看作是一类防范措施的总称。防火墙技术实际上是一种隔离技术，它可以 通过包过滤、应用级代理和状态分析技术等3种方式来让允许的人进入网络，将 不允许的人予以有效隔离，从而达到阻止黑客非法访问内部网络，并可能会更改、 拷贝、毁损重要信息的破坏数据信息行为的发生。3.4数据与交易安全应对策略对于会计信息系统的数据与交易安全应对主要策略就是建立非常完善的加 密机制和管理措施。在数据保护制度中，我们可以通过物理访问控制措施，来防止 外部人员接触存储重要数据的主机、各种存储设备和打印机等的输出设备，还要 加强对各种数据存储设备的管理;我们可以通过加强逻辑访问控制,将系统访问权 限划分为不同级别,分别以账号和口令的方式分配给不同用户，并运用各种防黑客 措施保证其有效性，从而达到防范外部人员的非法入侵和避免内部人员越权的有 效控制;我们还可以通过及时更新数据备份和建立完善的灾难恢复计划来将意外 灾难造成的数据损失降低到最小;通过建立详细的安全审计日志，以便检测并跟踪 入侵攻击等。除了以上措施之外,数据加密技术如对称加密或非对称加密技术可以达到对 重要数据的保护，即使非法用户得到数据也无法读取其中内容;我们可以利用数字 签名技术如RSA签名、DSS签名、Hash签名等方法将摘要用发送者的私钥进行 加密，与原文一起传输给接受者，接受者也只有使用发送者的公钥才能解密被加密 的摘要;我们还可以通过身份认证技术来验证通信各方的身份，以确保传递数据过 程中的安全。3.5企业组织管理模式会计信息系统安全不仅需要技术上的支持，还需要企业在组织管理模式上的 保障，相关的有效措施包括合理的岗位设置、建立相互牵制机制、定期轮休轮岗 制度、对管理人员的教育培训等。企业合理的岗位设置是会计信息系统稳步运行的基础，由于会计信息系统和 手工方式下的会计流程有区别,所以需要对会计信息系统下的人员分工予以明确, 如系统的管理者、系统的多个不同操作者、系统的审核者等;除了合理分工之外, 还要加强相互牵制机制的建设，如系统的审核者，这一岗位的设置可以减少或防止 数据输入错误和舞弊的发生。另外，我们还可以通过员工定期轮休制度、定期轮 岗制度、对管理人员的安全教育和员工离任时的信息系统审计来为企业的会计信 息系统的安全保驾护航。3.6相关法律法规事实上，伴随着信息化应用的发展，会计管理部门早已开始重视会计信息系统 的安全性问题。1989年12月，财政部颁布了我国第一个关于会计电算化的全国性 行政法规会计核算软件管理的几项规定（试行）;1994年6月、1996年6月又 发布了会计电算化管理办法、会计核算软件基本功能规范、会计电算化工 作规范，使会计电算化管理和操作有了较为全面的法规体系;2001年6月发布的 内部会计控制规范基本规范（试行）中明确提出将电子信息技术控制作为 内部会计控制的方法之一，并要求加强对财务会计电子信息系统的控制;2006年6 月和9月，上海和深圳证券交易所分别发布实施了上市公司内部控制指引，对 计算机信息系统的内控提出了要求;2007年3月财政部发布的企业内部控制规 范（征求意见稿）中专门对计算机信息系统的控制制定了具体规范,2008年5月 印发的企业内部控制基本规范中要求企业应当运用信息技术加强内部控制, 建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实 现对业务和事项的自动控制，减少或消除人为操纵因素”。企业内部控制的自身需要和外部监管要求促使企业必须考虑和重视信息化 安全的问题影响。我们要看到，上述规范虽然从早期的规范会计核算软件的具体 操作,到较全面规范计算机信息系统控制,有了很大进步，但它们仍然仅仅是企业 需要遵守的基本规范，有一些法规需要进一步完善,同时应该进一步落到实处。主要参考文献1 胡仁昱，等.会计信息系统M.北京:清华大学出版社,2008.2 史达.电子商务概论M.北京:经济科学出版社,2007.3 宋文官.电子商务概论M.第2版.北京:清华大学出版社,2007.4 王世波，王成.会计信息系统安全研究J.中国管理信息 化,2007（7）:13-14.5 潘婧.网络会计信息系统的安全风险与防范措施J.财会研 究,2008（2）:48-49.山西财经大学学6 赵虎娥.会计信息系统安全风险的防范J. 报,2006(1):144.