浅析网络会计信息系统的安全问题
浅析网络会计信息系统的安全问题
梁晓卿
随着网络经济的发展,企业的生产经营环境发生了很大的变化。在互联网的影响下,会计目标、会计职能、会计操作手段以及会计监督都在朝着适应新型网络经济的方向变革和发展。会计信息的使用者变得更为广阔,会计管理职能不断强化,会计的操作手段更为先进,会计监督愈显其重,网络会计应运而生。企业的会计信息不再是一个信息孤岛,而是信息集成。会计信息系统与管理层、外界紧密相联成为一个整体,企业的交易变得十分快捷。此外,网络技术的使用给企业的内部控制带来了巨大的变化,促进了企业的管理工作。企业之间要实行信息集成,就必须接入互联网中。在互联网这样的环境中,企业遭遇的不再仅仅是本企业内部的问题,还有黑客的非法入侵和病毒的侵袭。这使得企业的信息容易泄露,面临较多的安全问题。因此,我们必须保证网络会计信息系统安全、可靠地运行,这就需要强化对网络会计信息系统的管理。
一、网络会计信息系统安全现状
目前总体上会计信息系统的安全建设较为落后,了解会计信息系统的安全现状,有助于我们发现网络会计信息系统存在的安全隐患。
(一)安全防范意识弱
多数企业安全防范观念差、安全防范意识弱,对安全防护、检测缺少全面和辨证的认识。大多数企业仅从防护角度采用保密通信、防火墙、安全路由器和一些低安全级的网管产品,缺乏必要的安全检测和反应。即使采用安全检测的也都是“已知漏洞”和“已知攻击”的检测,而且在这个基础上的安全检测也并未普及。
(二)信息系统的安全建设与管理不系统、不规范
(1)国家标准、法律法规不健全。国家在信息系统建设和安全设计方面无统一的指导性意见,国家标准制定严重滞后,存在法律漏洞和非一致性。
(2)企业的安全规划与建设缺乏策略指导。由于目前多数企业的安全防范意识较弱,企业在进行信息系统的安全建设时缺乏安全思想、安全策略的考虑。
(3)构成信息系统的计算机网络结构的各个层次都存在严重的安全防护漏洞。表现在以下方面:
第一,企业信息系统采取防病毒产品的很少;
第二,电信网络本身安全级别低,而且电信网络不负责对企业营运系统提供安全访问控制;
第三,许多企业信息系统的网络层缺少必要的安全防护、检测和反应措施。
(4)应用层安全功能不规范,缺少安全设计。某些企业信息系统在设计之初就缺少相应的安全功能,连基本的访问控制和加密措施都没有,数据结构混乱,信息交换困难,程序运行不稳定,容错能力差,而某些企业的系统则在设计之时由于思路不清、重复开发、模式不统一,不能形成统一的公共安全平台。
二、网络会计信息系统存在的安全问题
网络技术改变了整个社会经济的生产结构和劳动结构,打破了传统的企业管理模式和财务管理模式,网络会计信息系统可以实现远程财务处理、在线财务管理等功能,最终实现企业物流、资金流、信息流高度一致。网络环境下的会计信息系统具有全面开放性。它以企业网络为节点,可以实现与其他企业间、企业集团所属的分支机构间、管理部门间、社会自然人之间的通信和资源共享,同时在全面开放的网络环境下随之而来的是各种安全隐患,其突出表现在以下方面:
(一)财务信息可能被窃取
财务信息是反映企业财务状况和经营成果的重要依据,特别是涉及企业内部商业机密的财务信息,不得随意泄漏、破坏和遗失。在网络环境下,大量的财务信息通过开放的网络传递,置身于开放的网络中,存在被截取、泄漏等安全隐患。
(二)网络信息系统可能遭到病毒和黑客攻击
由于互联网的开放特征,接入互联网的计算机系统均可共享信息资源,同时也给一些非善意访问者以可乘之机。黑客、计算机病毒、网络软件自身的不稳定等因素也为网络系统的安全带来诸多隐患。
(三)企业内部控制可能失效
传统会计系统非常强调对业务活动的使用授权批准、职责性、正确性与合法性,但是在网络财务环境下,财务信息的处理和存储集中于网络系统,大量不同的会计业务交叉在一起,加上信息资源的共享,财务信息复杂,交叉速度加快,使传统会计系统中某些职权分工、相互牵制的控制失效。原来使用的靠账簿之间互相核对实现的差错纠正控制已经不复存在,光、电、磁介质也不同于纸张介质,它所载信息能不留痕迹地被修改和删除。
(四)会计档案保存可能失效
网络财务的实施必然依靠相应的财务软件,这些财务软件是对现有单机版、局域网络版财务软件和硬件系统的全面升级,但这些网络财务软件不一定兼容以前版本或其他财务软件,由于数据格式、数据接口不同和数据库被加密等原因,以前的财务信息可能不被及时录入网络财务系统。对于若干年前保存的会计档案更不可能兼容,因而原有财务信息在新的网络财务系统中无法查询,导致这种会计档案面临失效风险。
(五)企业缺乏网络会计人才
高素质的网络会计人才缺乏。网络会计信息系统的实施,要求相关业务操作人员对出现的问题能及时发现,及时反馈,以便技术人员及时处理。但如果操作人员对计算机及网络知识了解很少、操作程序不规范或操作人员安全防范意识不强,都有可能出大错。如果企业在没有找到合适人才的时候盲目实施网络财务,其安全隐患则变得尤为突出。
三、网络环境下会计信息系统安全问题防范对策
在互联网环境下会计信息系统中的安全有多层次的内容,因而在互联网环境下会计信息系统的安全控制必须分别针对目标维与技术维之间的联系设立相应的控制制度与措施,将网络会计信息系统安全划分为管理层面的安全与技术层面的安全两个方面,现提出以下对策:
(一)会计数据的安全及防范对策
1.管理层面的安全及防范对策
会计数据安全是指所有的会计数据与信息在产生、传递、接收、存贮、加工处理的过程中不存在遗漏、变形等。要保证数据的安全,一方面需要借助法律、政策及相关规章制度的约束,另一方面又必须依赖企业管理人员制定有效的管理制度和管理手段。会计数据的安全控制一般分为以下几个方面:
第一,依据相关的法律规章制度建立严格的内部管理制度。
目前,在我国,涉及网络信息系统安全的法规中严格规定,计算机网络系统信息安全受到法律的保护,任何人、任何单位不得侵犯系统的信息安全。因此,我们在制定企业内部控制制度时可以借鉴上述相关的法律规章制度,从法律、道德、纪律等方面约束企业内部工作人员,以防止企业内部工作人员的舞弊与犯罪行为。
第二,加强监控与审计。
在互联网环境下会计信息系统是由几十个、甚至上百个部门或分公司联网而成的,要使其高效、安全地运行,一方面必须做好严格的系统监控工作,要求在系统产生错误时,及时地发现问题并解决问题。同时,还要根据各部门或各分公司的用户操作记录,结合系统的记录信息判断有无非法用户进入会计信息系统,并随时采取措施,保证系统的安全。另一方面,又必须加强审计工作,特别是对会计数据操作的审计。这也就是说,要对会计数据的操作情况进行监督,对访问会计数据进行动态跟踪,对删改操作情况进行记录。
第三,及时进行会计数据的备份。
由于在互联网环境下会计信息系统存在着大量的网络子系统,分别存放了大量的会计数据,一旦发生问题,会有大量的会计数据无法挽回。为了防止这种现象的出现,应及时的对会计数据进行多种备份,以便在系统出现问题后能够迅速地恢复这些会计数据。若数据库发生问题,则用近期备份的数据结合修改日志文件进行恢复,每月将数据库备份到磁盘、磁带等存储介质上进行保存,以此完成对全系统的数据恢复或是单个用户的数据恢复。
2.技术层面的安全及防范措施
(1)会计数据保密控制。会计数据保密就是通过对用户与会计数据的处理,利用一种强有力的算法编码技术,将数据变换成密码形式来保护保存在磁盘上的会计数据和传输的信息,使那些有意或无意的攻击者与未经授权的用户无法访问这些会计数据,从而保证这些会计数据的安全。通常要完成对会计数据的保密性控制,可以通过以下几个措施来实现:
第一,对用户进行分类。在企业内、外部有不同的信息使用者,由于他们的身份不同,他们对获取的会计信息要求也不同,因而有必要对这些用户进行分类,以保证不同身份的用户获取与他们身份与要求相符的会计信息。通常,对用户分类是通过对用户授予不同的数据管理权限来实现的。一般将权限分为三类:数据库登录权限、资源管理权限和数据库管理员权限。只有获得了数据库登录权限的用户才能进入数据库管理系统,才可以进行数据的查询,以获取自己所需的会计数据或会计信息,但其不能对数据进行修改。而具有资源管理权限的用户,除了拥有上述数据访问权限之外,还具有数据库的创建、索引及职责范围内的修改权限等。至于具有数据库管理员权限的用户,他将具有数据管理的一切权限,包括访问其他用户的数据,授予或收回其他用户的各种权限,完成数据的备份、装入与重组以及进行系统的审计等工作。但这类用户一般仅限于极少数的用户,其工作带有全局性和谨慎性,对于会计信息系统而言,会计主管就可能是一个数据库管理员。
第二,对会计数据分类。虽然对用户进行了分类,但并不等于一定能保证用户都根据自己的职责范围访问相关会计数据。这是因为同一权限内的用户,对数据的管理和使用的范围是不同的。如会计工作中的凭证录入人员与凭证的审核人员,他们的职责范围就明显地限定了他们对数据的使用权限。因此,数据库管理员就必须根据数据库管理系统所提供的数据分类功能,将各个作为可查询的会计数据逻辑上归并起来,建立一个或多个视图,并赋予相应的名称,再把该视图的查询权限授予相应的用户,从而保证各个用户所访问的是自己职责范围内的会计数据。
第三,对会计数据进行加密。一般而言,上述的保密技术能够满足一般系统的应用要求,但是对会计信息系统来说,仅靠上述的措施仍然难以确保会计数据的安全。为了防止其他用户对会计数据的非法窃取或篡改,还必须对一些重要的会计数据进行加密处理。由于数据的加密技术完全是一种数据库的处理技术,在此不作太多的阐述,但要说明的是,在进行会计数据加密时,对有关的关键字段不能加密。
(2)会计数据完整性控制。会计数据完整性控制是指通过会计数据与会计数据之间的逻辑关系所施加的约束条件来实现会计数据的正确性和一致性的一种方法。通常对利用会计数据间的关系所建立的约束有:
第一,会计数据值的约束和结构的约束。会计数据值的约束是指对会计数据项的数据类型、精度等方面的限制。如在会计信息系统中会计期间必须事先设定、会计凭证所出现的日期必须符合实际的日期和工资一般准确到小数点后两位等,否则会计信息系统就拒绝接受。而会计数据结构的约束则是指对会计数据之间联系方面的限制。因而,科目代码的取值就不能为空或0值,并且它在数据库中是唯一的,从而保证在引用会计科目数据时能通过会计代码这个唯一的条件找到会计科目的其它相关数据。如果违反了这种限制,就破坏了会计数据结构的规定。
第二,会计数据的动态约束。会计数据的动态约束是指当会计数据从一种状态转变为另一种状态时,对新旧值间规定一定的限制条件,以保证会计数据的正确性。
(二)会计软件安全及防范措施
1.管理层面的安全及防范措施
(1)会计软件内部管理控制是指企业为加强和完善对网络会计系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由于网络会计系统是一种分布式处理结构,计算机网络分布于企业各业务部门,实现财务与业务协同处理,因此原来集中处理模式下的行政控制转变为间接业务控制。主要应采取如下几方面的措施:
第一,设置适应于网络下作业的组织机构并设置相应的工作站点;
第二,合理建立上机管理制度;
第三,建立完备的设备管理制度。
(2)会计软件系统开发管理是一种预防性控制,目的是确保网络会计系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关部门制订的标准和规范。首先,在网络会计系统开发之初,要进行详细的可行性研究;其次,在系统开发过程中,内审和风险管理人员要参与系统控制功能的研究与设计,制定有效的内部控制方案,并将定制的控制方案在系统中实现;第三,在系统测试运行阶段,要加强管理与监督,严格按照《商品化会计核算软件评审规则》等各种标准进行。
2.技术层面的安全及防范措施
(1)会计软件应用管理是指具体的应用系统中用来预防、检测和更正错误,以及防止不法行为的内部控制措施。包括:
第一,在输入管理中,要求输入的数据应经过必要的授权,并经有关内部控制部门检查,还要采用各种技术手段对输入数据的准确性进行校验;
第二,在处理管理中,对数据进行有效性控制和文件控制;
第三,在输出管理中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息;二要确保输出结果能够送发到合法的输出对象,文件传输安全正确。
(2)会计软件技术维护包括软件修改等,涉及到系统功能的调整、扩充和完善。对网络会计系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都必须设置必要的控制,维护的原因和性质要有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,网络会计系统操作员不能参与软件的修改,所有与系统维护有关的记录都应该打印后存档。
(三)硬件系统安全及防范措施
1.管理层面安全及防范措施
首先,建立健全设备管理制度,确保硬件设备的运行环境。
其次,各系统操作人员应分清责任,各自管理和使用自己职责范围内的硬件设备,不得越权使用,禁止非计算机操作人员使用计算机系统,以免不当的操作损坏硬件设备。多个用户使用同一台设备的,要进行严格的登记,并记录运行情况。
再次,建立必要的上机操作控制和系统运行记录控制。建立严格的硬件操作规程。
2.技术层面安全及防范措施
高效的计算机网络系统应具有容灾、容错技术。容灾系统的关键在于数据同步复制技术。当网络系统在遭遇自然灾害、战争、设备故障等不可抗拒的灾难和意外时,一方面能够实施充分的数据备份方案来保证系统数据的完整性和可用性,使系统能迅速恢复正常运行;另外,可以采用额外的硬件、电源部件或错误处理模块作为系统的后援,在系统硬件发生故障时,自动切换至备份硬件。常用的技术手段有磁盘镜像、双机热备份等。采用磁盘双工和磁盘镜像技术可以在一块硬盘失效时,由另一块硬盘替换工作;双机热备份可以在一台计算机(服务器)失效时,由备用的计算机接替继续工作。
四、结束语
会计信息系统是适应社会经济发展需要的,基于网络环境的网络会计信息系统为企业提供了更多的机遇和挑战。实施网络会计信息系统,对提高企业的管理水平和综合竞争力有着重要的意义。网络会计信息系统在产生、发展过程中虽然存在着各种各样的问题,其安全问题将成为会计工作的重要内容。
笔者结合网络安全技术以及网络环境会计信息系统的内部控制制度,对网络环境下会计信息系统的安全问题及防范对策做了初步的分析研究,但不够深入、透彻,有待进一步的努力。
