淺析網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)安全隱患及對(duì)策

孫蕾

【摘 要】近幾年，隨著網(wǎng)絡(luò)技術(shù)的大規(guī)模應(yīng)用和發(fā)展、會(huì)計(jì)核算業(yè)務(wù)量的增大和業(yè)務(wù)種類的繁多以及對(duì)會(huì)計(jì)信息資料的分析與研究的深入， 計(jì)算機(jī)單機(jī)處理的方式難以完成現(xiàn)有會(huì)計(jì)核算工作。但與此同時(shí)，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展及應(yīng)用領(lǐng)域的不斷拓寬，使會(huì)計(jì)信息系統(tǒng)出現(xiàn)了許多不安全的問(wèn)題。為了使得會(huì)計(jì)信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境下安全有效地運(yùn)行，研究網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息系統(tǒng)安全隱患及對(duì)策是勢(shì)在必行的。

【關(guān)鍵詞】網(wǎng)絡(luò)環(huán)境；會(huì)計(jì)信息系統(tǒng)；安全隱患

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)就是以財(cái)務(wù)處理為中心，將分散在不同區(qū)域的各單位會(huì)計(jì)資料用計(jì)算機(jī)系統(tǒng)，通過(guò)相關(guān)設(shè)備連接起來(lái)，利用軟件來(lái)實(shí)現(xiàn)數(shù)據(jù)的分地采集、集中處理、共同享用的一個(gè)財(cái)務(wù)管理信息系統(tǒng)。當(dāng)今社會(huì)，網(wǎng)絡(luò)技術(shù)改變了社會(huì)經(jīng)濟(jì)的生產(chǎn)結(jié)構(gòu)和勞動(dòng)結(jié)構(gòu)，打破了傳統(tǒng)的企業(yè)財(cái)務(wù)管理模式，網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息系統(tǒng)是隨著網(wǎng)絡(luò)企業(yè)和電子商務(wù)的產(chǎn)生而發(fā)展起來(lái)的，它是基于網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)，以整合實(shí)現(xiàn)企業(yè)電子商務(wù)為目標(biāo)，提供互聯(lián)網(wǎng)環(huán)境下的財(cái)務(wù)管理模式。網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息系統(tǒng)可以實(shí)現(xiàn)遠(yuǎn)程財(cái)務(wù)處理、在線財(cái)務(wù)管理、提供遠(yuǎn)程報(bào)表、遠(yuǎn)程查帳、網(wǎng)上支付、網(wǎng)上財(cái)務(wù)查詢等功能。網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息系統(tǒng)具有全面開(kāi)放性，它是以企業(yè)為網(wǎng)絡(luò)節(jié)點(diǎn)，可以充分實(shí)現(xiàn)與其他企業(yè)間、企業(yè)集團(tuán)所屬的分支機(jī)構(gòu)間、管理部門(mén)間、社會(huì)自然人之間的通信和資源共享，同時(shí)在全面開(kāi)放的網(wǎng)絡(luò)環(huán)境下隨之而來(lái)的是各種安全隱患，其突出表現(xiàn)在以下幾個(gè)方面：

1 財(cái)務(wù)信息面臨被竊取的安全隱患

財(cái)務(wù)信息是反映企業(yè)財(cái)務(wù)狀況和經(jīng)營(yíng)成果的重要依據(jù)，在網(wǎng)絡(luò)環(huán)境下，過(guò)去以計(jì)算機(jī)機(jī)房為中心的”保險(xiǎn)箱”式安全措施已不適用，大量財(cái)務(wù)信息通過(guò)開(kāi)放的INTERNET傳遞，置身于開(kāi)放的網(wǎng)絡(luò)中，存在被截取、篡改、泄漏等安全隱患，很難保證其真實(shí)性與完整性。例如，企業(yè)的信用卡號(hào)在網(wǎng)上傳輸時(shí)，如果持卡人從網(wǎng)上攔截并知道了該號(hào)碼，他便可用這個(gè)號(hào)碼在網(wǎng)上支付。僅1987年英國(guó)利用信用卡犯罪活動(dòng)平均每40秒發(fā)生一次，每次平均損失約30英鎊。隨著企業(yè)通過(guò)互聯(lián)網(wǎng)的電子采購(gòu)范圍的擴(kuò)大，會(huì)給犯罪分子提供新的機(jī)會(huì)，其作案范圍不再受時(shí)間和空間限制，互聯(lián)網(wǎng)環(huán)境下財(cái)務(wù)信息的安全受到了嚴(yán)重的挑戰(zhàn)。

2 網(wǎng)絡(luò)系統(tǒng)面臨病毒和黑客攻擊的安全隱患

由于互聯(lián)網(wǎng)的開(kāi)放特征，能夠上互聯(lián)網(wǎng)的計(jì)算機(jī)系統(tǒng)均可共享信息資源，同時(shí)也給一些非善意訪問(wèn)者以可乘之機(jī)。首先，黑客是危及互聯(lián)網(wǎng)系統(tǒng)的主要禍?zhǔn)?，從美?guó)國(guó)防部網(wǎng)站被改頭換面到中國(guó)的163網(wǎng)站的崩潰，從微軟公司的開(kāi)發(fā)藍(lán)圖被竊取，到美國(guó)總統(tǒng)克林頓的信用卡信息被盜，無(wú)不布滿黑客的蹤跡。其次，計(jì)算機(jī)病毒的猖獗也為互聯(lián)網(wǎng)系統(tǒng)帶來(lái)更大的風(fēng)險(xiǎn)，病毒制造者的技術(shù)日益高超，手段越來(lái)越兇狠，破壞力越來(lái)越大。

3 企業(yè)內(nèi)部控制面臨失效的安全隱患

在網(wǎng)絡(luò)財(cái)務(wù)環(huán)境下，財(cái)務(wù)信息的處理和存儲(chǔ)集中于網(wǎng)絡(luò)系統(tǒng)，大量不同的會(huì)計(jì)業(yè)務(wù)交叉在一起，加上信息資源的共享，財(cái)務(wù)信息復(fù)雜，交叉速度加快，使傳統(tǒng)會(huì)計(jì)系統(tǒng)中某些職權(quán)分工、相互牽制的控制失效。原來(lái)使用的靠賬簿之間互相核對(duì)實(shí)現(xiàn)的差錯(cuò)糾正控制已經(jīng)不復(fù)存在，光、電、磁介質(zhì)也不同于紙張介質(zhì)，它所載信息能不留痕跡地被修改和刪除。

4 企業(yè)面臨人才缺乏的安全隱患

企業(yè)實(shí)施網(wǎng)絡(luò)財(cái)務(wù)以后，如果沒(méi)有高層次、高技術(shù)復(fù)合會(huì)計(jì)人才的支持與運(yùn)作，網(wǎng)絡(luò)財(cái)務(wù)、電子商務(wù)始終是一句空話，而目前在我們國(guó)內(nèi)這些人才欠缺是有目共睹的。如果企業(yè)在沒(méi)有找到合適人才的時(shí)候盲目實(shí)施網(wǎng)絡(luò)財(cái)務(wù)，其安全隱患則變得尤為突出。根據(jù)會(huì)計(jì)信息系統(tǒng)的特點(diǎn)及其安全問(wèn)題的來(lái)源， 考慮會(huì)計(jì)信息系統(tǒng)的特點(diǎn)，應(yīng)做好以下具體工作。

4.1 建立輸入控制制度，為會(huì)計(jì)信息系統(tǒng)的安全提供基礎(chǔ)

首先，建立會(huì)計(jì)確認(rèn)制度通過(guò)CA對(duì)電子化原始憑證加以認(rèn)可，并通過(guò)動(dòng)態(tài)數(shù)字簽字對(duì)其可靠性加以確認(rèn)，保證數(shù)據(jù)的準(zhǔn)確性，并在會(huì)計(jì)報(bào)表中得到真實(shí)反映。其次，建立記賬憑證的輸入制度。從原始憑證電子化到記賬憑證電子化，面臨的主要問(wèn)題是會(huì)計(jì)軟件如何根據(jù)網(wǎng)絡(luò)上已經(jīng)審核簽字的原始憑證，自動(dòng)生成記賬憑證；并在生成過(guò)程中，最大限度地減少人為的干預(yù)。真正意義上的會(huì)計(jì)信息系統(tǒng)中形成的電子記賬憑證，應(yīng)當(dāng)是能夠由系統(tǒng)直接根據(jù)每一筆經(jīng)濟(jì)業(yè)務(wù)的性質(zhì)，自動(dòng)確定其應(yīng)記的借貸方科目（直至明細(xì)科目）及其金額。要實(shí)現(xiàn)這一功能，還有待于專家系統(tǒng)的支持，有待于模仿人腦右半球的快速模式識(shí)別和大量模擬數(shù)據(jù)處理等功能的新型電腦支持，不能一蹴而就。

4.2 建立操作控制制度，為會(huì)計(jì)信息系統(tǒng)的安全提供基石

首先，建立機(jī)房管理控制制度。機(jī)房管理控制制度是對(duì)機(jī)房的使用、維護(hù)、安全保密，機(jī)房的溫度，防火報(bào)警系統(tǒng)、防磁、防塵等方面的管理控制規(guī)范。其次，建立操作權(quán)限控制制度。開(kāi)展電算化會(huì)計(jì)的企業(yè)必須明確規(guī)定上機(jī)操作人員對(duì)會(huì)計(jì)軟件操作的工作內(nèi)容和權(quán)限，對(duì)操作密碼要嚴(yán)格管理，指定專人定期更換，杜絕未經(jīng)授權(quán)人員操作會(huì)計(jì)軟件。最后，健全操作規(guī)程控制制度。操作規(guī)程控制主要指操作中應(yīng)注意的事項(xiàng)，是保證會(huì)計(jì)信息系統(tǒng)正確、安全運(yùn)行，防止各種差錯(cuò)的有力措施。

4.3 建立會(huì)計(jì)數(shù)據(jù)監(jiān)控制度，為會(huì)計(jì)信息系統(tǒng)的安全提供基準(zhǔn)

首先，建立嚴(yán)格的內(nèi)部管理制度。在制定內(nèi)部控制制度時(shí)可以借鑒相關(guān)的法律規(guī)章制度來(lái)約束企業(yè)內(nèi)部工作人員，以防止企業(yè)內(nèi)部工作人員的舞弊與犯罪行為。其次，建立數(shù)字簽名確認(rèn)制度。企業(yè)與往來(lái)客戶雙方都向其共同信賴的第三方機(jī)構(gòu)（CA）申請(qǐng)用戶身份證書(shū)，并將各自的相關(guān)信息及內(nèi)容列入自己的證書(shū)域內(nèi)，同時(shí)設(shè)定自己的簽名密鑰。再次，建立監(jiān)控制度。在系統(tǒng)產(chǎn)生錯(cuò)誤時(shí)，能夠盡早地產(chǎn)生錯(cuò)誤報(bào)告并給出錯(cuò)誤次數(shù)的統(tǒng)計(jì)，以便及時(shí)發(fā)現(xiàn)問(wèn)題并解決問(wèn)題。最后，建立會(huì)計(jì)數(shù)據(jù)的備份與恢復(fù)控制制度。為保證系統(tǒng)恢復(fù)的有效性和一致性，除了要建立數(shù)據(jù)備份文件之外，還要建立兩個(gè)文件：一是，業(yè)務(wù)日志文件；二是，檢查點(diǎn)文件。數(shù)據(jù)恢復(fù)時(shí)，系統(tǒng)可根據(jù)備份文件、業(yè)務(wù)日志文件、檢查點(diǎn)文件，把系統(tǒng)恢復(fù)成最近的作業(yè)點(diǎn)狀態(tài)。

4.4 建立安全控制制度，為會(huì)計(jì)信息系統(tǒng)的安全提供基點(diǎn)

首先，建立網(wǎng)絡(luò)安全控制制度。通過(guò)防火墻技術(shù)，審查確定哪些內(nèi)容允許外部訪問(wèn)，哪些外部服務(wù)可由內(nèi)部人員訪問(wèn)，以限制網(wǎng)上信息的自由流動(dòng)，實(shí)現(xiàn)網(wǎng)上訪問(wèn)的安全性。第二，建立軟件安全控制制度。通常對(duì)軟件程序的保護(hù)措施是對(duì)數(shù)據(jù)和程序加密。第三，建立系統(tǒng)關(guān)聯(lián)方和企業(yè)內(nèi)部人員道德的控制制度。（1）選擇信用好的合作伙伴，減少產(chǎn)生風(fēng)險(xiǎn)的概率；（2）內(nèi)部審計(jì)人員要加強(qiáng)對(duì)關(guān)聯(lián)方進(jìn)入系統(tǒng)后的監(jiān)控，及時(shí)發(fā)現(xiàn)問(wèn)題，及時(shí)進(jìn)行控制；（3）加強(qiáng)對(duì)工作人員社會(huì)道德觀念的教育，同時(shí)加強(qiáng)會(huì)計(jì)人員職業(yè)道德教育，使他們?cè)谒枷肷蠘?shù)立正確的價(jià)值觀。最后，建立會(huì)計(jì)數(shù)據(jù)加密制度。為了防止其他用戶對(duì)會(huì)計(jì)數(shù)據(jù)的非法竊取或篡改，必須對(duì)一些重要的會(huì)計(jì)數(shù)據(jù)進(jìn)行加密處理，從而保證會(huì)計(jì)信息的安全性。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)會(huì)計(jì)信息安全從深度上看是一個(gè)長(zhǎng)期存在的問(wèn)題，從廣度上看是一個(gè)包括管理和技術(shù)等多個(gè)層面的綜合體。因此，把握關(guān)鍵點(diǎn)，注重控制權(quán)，以綜合集成實(shí)現(xiàn)會(huì)計(jì)信息安全體系的可持續(xù)發(fā)展，是保障我國(guó)會(huì)計(jì)信息安全的一個(gè)有效途徑。

【參考文獻(xiàn)】

[1]王世波，王成.會(huì)計(jì)信息系統(tǒng)安全研究[J].（齊齊哈爾大學(xué)經(jīng)濟(jì)管理學(xué)院，黑龍江齊齊哈爾161006）.

[2]闕立紅.論電算化會(huì)計(jì)信息系統(tǒng)的安全控制[J].（株洲職業(yè)技術(shù)學(xué)院，湖南株洲，412000）.

[責(zé)任編輯：鄧麗麗]