财经与金融 商品与质量 ・9 ・ 浅析网络环境下会计信息系统的安全性 白明艳 (内蒙古财经大学,内蒙古 呼和浩特01 0071) 【摘要】网络技术在企业管理中的运用实现企业内部信息的共享、资源最优化,网络的开放性给企业的经营管理带来质的飞跃,同 时企业会计信息面r临前所未有的挑战。会计信息失真在传统会计信息系统中本难以解决的问题在网络环境下将变得更加复杂。如何管理网络环境 下会计信息系统,对增强企业的竞争力,保障各方的利益,促进国民经济健康、快速发展有着极其重要的意义。 【关键词】网络会计;会计信息 文章编号:ISSN1006--656X(2014)012-0009—02 一、网络环境下会计信息系统的特点及其体系结构 从而危害系统的安全。不正确的操作主要是指操作人员不按规定的 (一)网络环境下的会计信息系统 程序使用硬件设备,例如非正常开机、关机,有可能损坏计算机 网络环境下的会计信息系统是指建立在网络环境基础上的会计信 的硬盘,从而造成数据的全都丢失;自然灾害的发生虽然发生的概 息系统,即在互联网境下对各种交易中的会计事项进行确认、计量和 率非常小,但对信息系统的破坏性极大,所以必须引起足够的重 披露的会计活动。网络环境根据连接网络的方式不同分成两种:一是 视,可能造成整个系统的瘫痪;在通用性设计思想指导下,计算机 企业内部网络环境,即企业内部局域网,通过组建企业局域网,可以实 系统尤其是计算机网络可以提供公用服务和资源共享,这样虽然扩大 现企业内部各部门之间的信息交流与资源共享;二是互联网环境,即通 了用户群,方便了用户,但同时也为人侵者提供了渗透的途径。以上 过互联网使企业同外部单位进行信息交流与资源共享。基于互联网 是计算机系统固有的脆弱性,极易导致网络环境下会计信息系统数据 的会计信息系统实质上是企业内部局域网和互联网连接,为企业内各 丢失,甚至发生瘫痪现象。 部门之间、企业与客户、供应商之间、企业与银行、税务、审 (二)软件系统的不安全因素 计等部门之间建立开放、分布、实时的双向多媒体信息交流环境创 计算机操作人员可以通过对程序作非法操作来篡改程序文件,或 造了条件,也使企业会计与业务一体化处理和适时监管成为现实。但 者非法使用他人帐号、不按操作规程或不经允许上机、改变计算机的 由于互联网系统的分布式、开放性等特点与原有集中封闭的会计信 运行路径等手段修改系统软件等等,都是软件本身无法避免的不安全 息系统比较,会计系统在安全上的问题也更加暴露。 因素。同时计算机病毒具有自我复制功能,常驻留于内存、磁盘的引 (二)网络会计信息系统的体系结构 导扇区或磁盘文件,在计算机系统之间传播,常常在某个特定的时刻 网络环境中AIS所面临的风险与其体系结构密切相关。图1表 破坏计算机内的程序、数据甚至硬件。以前计算机病毒主要靠磁盘或 示了AIs在网络环境中的一般体系结构。 光盘传播,但在网络化系统中,计算机病毒开始通过网络来传播,由 于病毒的隐蔽性强、传播范围广、破坏力大等特点,对远程网络会计 信息传输的安全构成了极大的威胁,从原始的木马程序到先进的CIH 等病毒的肆虐,病毒制造者的技术日益高超,手段越来越凶狠,破坏力越 来越大。查、杀病毒已成为系统安全保护的一个重要内容。当然黑客 也是不可忽视的,他们往往采用种种诡计、软件自身的BUG程序、后 门程序,通过盗窃系统合法用户的口令,然后以此口令合法登陆系统 实现非法目的。 (三)会计数据的不安全因素 首先,操作人员有意篡改程序和数据文件,通过非法修改、销 图1网络环境AIS体系结构:B/S结构与C/S结构相结合 毁输出信息等损坏计算机系统的方式达到掩盖舞弊行为和获取私人利 上图标明了目前企业的网络一般体系结构,其中商务运作采用 益的目的,导致会计数据的不真实、不可靠、不准确以此达到某种非 B/S三层体系 法目的,如,转移单位资金到指定的个人账户等;其次,无权用户的 结构,企业内部业务处理和数据管理采用C/S结构。在技术 非法操作,窃取或篡改商业秘密、非法转移电子资金和数据泄密等利 上,外部网络与企业内部网络采用TCP/IP协议互联,外部用户与企 用不正常手段获取企业重要机密的行为。借助高技术设备和系统的通 业网络采用WEB技术进行数据交换。外部请求经过路由器、防火 讯设施非法转移资金对会计数据的安全保护构成很大威胁。在网络环 墙、交换机等设备到达WEB服务器,WEB服务器通过ASP将数据 境下,大量的财务信息通过开放的互联网传递,置身于开放的网络中, 流接人应用程序,应用程序与数据库之间通过网络互联。企业外地 存在被截取、篡改、泄漏等安全隐患,很难保证其真实性与完整性。例 分支机构或其他远程访问经过互联或专线进入企业内部网。内部应 如,企业的信用卡号在网上传输时,若非持卡人从网上拦截并知道了该 用方面,用户在客户端向应用程序发出请求,应用程序与数据库服 号码,他便可用这个号码在网上支付。仅2000年英国利用信用卡犯罪活 务器交换数据。会计部门作为企业内部网络的客户机直接访问数据 动平均每4o秒发生一次,每次平均损失约30英镑。 库服务器。在电子商务过程中,来自互联网或专用网络的业务数 三、网络会计安全性问题的防范措施 据,如采购订单、、发货单、支付结算单据、合同等等都 以上介绍的种种因素严重制约着网络会计的发展。经过对这些 可以通过这样的途径进入企业ERP系统,业务流程中的会计数据进 因素的分析,应提高相应技术并建立起必要的管理制度,才能从源头上 而进入会计信息统。会计业务不再集中在会计部门进行,如记账凭 最大限度的降低网络会计的安全性风险。 证的编制。大量的记账凭证将在业务发生的客户端进行,然后汇总 (一)加强计算机硬件和软件的系统维护管理。 到会计部门。因此,网络环境中的AIS具有系统开放性、结构分 硬件维护是指包括通讯设施在内的计算机硬件设备的更新换代 散性、数据共享性等特点;其所面临的风险加大,且具有难以预 等。网络用户的维护工作既包括设备故障的诊断和排除,日常设备部 见性、隐蔽性等特点。 件的定期监测和更新换代,又包括服务器状态检查、通讯设施故障检 二、网络会计安全性分析 测和排除等。软件维护是指会计软件系统的更新换代和日常维护,包 在网络环境下,过去以计算机机房为中心的”保险箱”式安全 括检查系统文件的完整性,保证不被非法修改和删除,识别并纠正软件 措施已不适用,大量的财务信息通过开放的互联网传递,置身于开放的 中的错误,改进系统性能,排除软件故障,提高系统的运行效率。对于 网络中,存在被截取、篡 软件来说,其内部错误或不足是无法避免的。因此,解决的办法只有 改、泄漏等安全隐患,很难保证其真实性与完整性。随着企业 两个:一是在开发过程中加强交流,充分测试;二是在充分发现问题后 采购范围的扩大,尤其是通过互联网的电子采购范围的扩大,会给犯罪 及时解决。在单机系统下,用户与软件供应商之间由于受空间、时 分子提供更多的机会,其作案范围不再受时间和空间,互联网环境 间的影响无法进行充分的交流,降低了系统的可信赖性。但在网络时 下的会计安全受到了严重的挑战。 代,即使万里之隔也可 (一)硬件的不安全因素 以在几秒钟内建立连接,进行实时高质的通讯或软件传输。同样, 计算机操作人员对硬件设备的不正确操作可以引起系统的损坏, 开发商也可以及时把刚修正的软件传送给用户进行测试,大大提高了 ・1 0・ 商品与质量 财经与金融 软件质量和开发速度。在使用过程中,开发商还可以通过网络对用户 环境下AIS安全的责任。当前的企业一般设有信息主管CIO一职。建 的系统进行定期的在线测试,一旦发现问题可以及时通知用户并进行 议在cIO之下,在AIS部门专设安全主管一职,具体负责网络安全 在线升级,确保软件系统安全、稳定、有效运行。 事务,与电算主管一道共同负责AIs安全、高效地运行。另外, (二)采取多种网络安全技术,保证系统的安全性 作为会计再监督的需要,内部审计除传统审计业务外,还应设置信 第一,设立安全检测预警系统用于实时监视网络上的数据流,寻 息系统安全审计、信息系统开发审计等岗位。由于网络环境下的手 找具有网络攻击特征和违反网络安全策略的数据流。当它发现可疑数 工账务处理业务已经很少量,因此在今后的会计岗位设置中应重点 据流时按照系统安全策略规定的响应策略进行响应,包括实时报警、记 解决AIS岗位为主,将少量的手工会计业务合理分配到电算化岗位中 录有关信息、实时阻断非法的网络连接、对事件涉及的主机实施进一 去。最后,就如同有法律顾问一样,企业应当有自己的安全顾问。 步的跟踪等。第二,采用数据加密技术作为主要网络安全技术,是提 其次,加强人员的安全教育和业务培训;会计部门要定期对所 高网络系统数据的保密性,防止秘密数据被破译的主要技术手段。加 有AIs的用户进行信息安全教育,让用户意识到网络是不安全的, 密技术一般分两种形式:密钥和明钥。其选择要结合具体应用环境和系 自己的系统面临着被攻击的风险。要求他们树立“数据即金钱”的 统要求,综合考虑密钥的合理分配、加密效率与系统结合度以及投入 思想意识,保护数据就是保护实际的钞票。制定安全责任制,要 产出分析等因素。第三,设立防火墙主要提供被保护网络与外部网络 求每台客户机负责本机的安全。在业务上,要根据信息的安全级别 之间的进出控制。它是被保护内部网络与外部网络之间的一道屏障,根 制定相应的安全措施。一般而言,AIS中的信息是企业的核心信息, 据各种过滤原则来判断网络数据是否能够通过防火墙。它可以有效的 也是高风险系统,需要利用各种安全措施对会计数据进行层层保护。 阻止黑客非法入侵或攻击被保护网。但应注意防火墙要随时升级换代, 每一层软件都需要配置相应的安全措施。避免软件不经安全检测就 不断提高抵御非法入侵的能力。设立先关的电子屏障防火墙,即企业 内部网和外部网接口处的访问控制系统,以对跨越网络边界的信息进 行过滤,防范来自外部的非法访问。第四,制订严格的网络财务信息 保密措施,为了保障通过网络传输的财务信息的安全,杜绝安全隐患, 可以采取以下措施:(1)为防止非法用户窃取机密信息和非授权用户越 权操作数据,在系统的客户端和服务器之间传输的所有财务数据都进行 两层加密。第一层加密采用标准SSL协议,该协议能够有效地防破译、 防篡改、防重发,是一种经过长期发展并被实践证明安全可靠的加密协 议。第二层加密采用私有的加密协议,该协议不公开、不采用公开算法 并且有非常高的加密强度。(2)企业应按照会计电算化的要求,建立健全 和实施会计电算岗位责任制度、安全El志制度等。(3)国家适时进行社会 立法和法律保障,使企业在计算机信息安全工作中有法可依。2000年4 月我国制定了《计算机信息系统安全保护等级划分准则 将计算机信 息系统安全保护等级分为用户自主、系统审计、安全标记、结构化和 访问验证5个保护级,企业应根据会计信息系统安全方面的相关规定和 系统重要程度确定相应的安全保护级别,并针对相应级别进行建设。最 后,为保护企业网络系统的安全,在网络系统中应积极采用反病毒技 术。可以采用财务软件挂接或捆绑第三方反病毒软件加强软件自身 的防病毒能力,也可以通过购买正版杀毒软件来增强系统的安全性。当 然做好备份工作也是很有必要的,备份是防止网络会计信息系统意 外事故最基本最有效的手段,它包括硬件备份、系统备份、财务软件 系统备份和数据备份等。 (三)制定相应的法律规范 立法是预防防范犯罪发生的重要手段之一,而制定网络会计自身 发展所需各种规则也很重要。建立健全各种相关的网络会计管理制度, 是一个迫切需要解决的问题。 首先,合理划分A1S岗位,严格内部控制;财政部1996年6月 1O发布的《会计电算化工作规范》中明确指出“开展会计电算化的单 位应根据工作需要,建立健全包括会计电算化岗位责任制、会计电算 化操作管理制度、计算机硬软件和数据管理制度、电算化会计档案管 理制度的会计电算化内部管理制度”。该制度从四个方面规范了会计电 算化内部管理制度的基本内容和基本要求。制度规定会计电算化后的 工作岗位可分为基本会计岗位和电算化会计岗位。基本会计岗位可包 括:会计主管、出纳、会计核算各岗、稽核、会计档案管理等;电算 化会计岗位包括电算主管、软件操作、审核记账、电算维护、电算审 查、数据分析等。其中对电算审查岗位的职责要求是“负责监督计算 机及会计软件系统的运行,防止利用计算机进行舞弊;要求具备会计 和计算机知识,达到会计电算化中级知识培训的水平,此岗可由会计 稽核人员兼任;采用大型、小型计算机和大型会计软件的单位,可设 立此岗位”。从上述对电算化岗位的规范来看,制度主要偏重于会计业 务流程的岗位设置,对会计电算化安全岗位重视不够,既没有设安全 主管岗位,也没有设安全审核岗位,只是说电算审查岗位有“防止舞 弊”的责任,但显然对其知识水平的要求不足以令其可以承担网络 加以使用。要及时更新软件的补丁程序。要明确规定上机操作人员 对会计软件的操作工作内容和权限,对操作密码要严格管理。规定 用户使用强密码,如密码中既有字母又有数字,同时字母还有大小 写之分,还要够长;不要选用那些易于被猜出的弱密码,比如以 单词、姓名、生日等作为密码。密码要定期更换,防止他人盗用 用户名和密码。密码启用后,不能随意写在某处方便记忆,应当 由用户密封后存放保险柜,由安全人员进行保管。保险柜需要两人 以上才能开启。不要打开不明来历的电子邮件,禁止从网上下载免 费的实用程序。用户要学会使用一些简单的安全软件的安装,如安 装防病毒软件、防间谍软件、软件防火墙、防垃圾邮件软件等。 AIS系统管理员和安全人员要例行检查系统安全设施,如检查网络设 备的物理安全、设置系统权限级别、及时删除离职人员的网络访问 权限、制定网络内的INTERNET使用策略等等。 再次,建立系统安全报告制度;要保证企业组织上至CEO下到 系统基层操作人员对系统安全保持常态的警觉,需要企业建立日常 的系统安全报告制度。不论是黑客入侵还是病毒感染,都需要写出 专门的简明扼要的安全报告,内容包括安全问题出现的时间、地 点、特征、解决办法、损失、建议等,并汇总到专门的安全人 员到安全主管,以决定采取进一步的防范措施。 最后,尽快建立起全企业的安全机制;随着网络应用的深人, 企业网的安全问题必将成为企业建网考虑的首要问题。AIS的安全建 立在企业网的安全基础之上,其安全机制是整个企业网安全机制的 重要组成部分。只有当整个企业网络安全机制日益完善起来,AIS 的安全才能得到根本保证。 四、未来用于解决网络环境下会计电算化系统安全问题 的新方法 一般常用的方法是指纹技术的应用,由于每个人的指纹不同,把 刑侦工作中普遍使用的指纹辨别技术应用到会计电算化信息系统的权 限确认中。通过对内部人员的指纹扫描确认其使用权限,能有效地防 止黑客通过密码的破解非法访问、篡改和破坏重要的会计信息,从而 达到加密的作用。第二种是黑匣子技术的应用,随着互联网的普及, 网速的不断提高,使得在会计电算化信息系统下得以实现周结账甚至日 结账,并且一旦结账,数据就不可更改,从而减少了舞弊的可能。同时,运 用飞机上使用的黑匣子技术,对计算机的每一步操作进行记录,以至于 出现问题时,可以直接找到病因,确认责任。但由于黑匣子技术的应用 费用较高,仅适用于大型公司的主要财务部门使用。以后逐渐会有专职 安全监控部门的设置,由于网络的普遍应用,企业可以专门设置网络安 全监控部门,对会计信息系统进行监察,防止黑客及病毒的入侵。或从 社会上聘请专业网络安全公司对企业的会计信息系统进行二十四小时 监控,从而及时发现问题解决问题。后者尤其适合的大型公司。与 此同时,网络安全公司的职业道德问题也值得我们注意,这必须由法律 加以约束。
