會(huì)計(jì)信息系統(tǒng)安全性分析

李兆鑫+張佳音

[摘 要] 隨著信息技術(shù)在會(huì)計(jì)工作中的普及應(yīng)用，會(huì)計(jì)電算化作為會(huì)計(jì)學(xué)的一個(gè)研究領(lǐng)域已經(jīng)形成。為了保證會(huì)計(jì)電算化的正常運(yùn)營(yíng)，作為會(huì)計(jì)電算化工作平臺(tái)的會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題便顯得尤為重要。通過(guò)以會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題為研究對(duì)象，對(duì)會(huì)計(jì)信息系統(tǒng)中存在的多種軟硬件安全問(wèn)題進(jìn)行了闡述，并從中提出形成安全隱患的行為人、技術(shù)、制度等多種要素。結(jié)合維護(hù)會(huì)計(jì)信息系統(tǒng)安全的目標(biāo)與原則，嘗試著從各要素的不同層面和角度探討了解決這些安全隱患的對(duì)策。進(jìn)而全面保障會(huì)計(jì)信息系統(tǒng)在會(huì)計(jì)工作中優(yōu)質(zhì)、安全、高效的運(yùn)營(yíng)。

[關(guān)鍵詞] 電算化；會(huì)計(jì)信息系統(tǒng)；安全性分析；控制與保障措施

[中圖分類號(hào)] F208 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1009-6043（2018）02-0136-02

會(huì)計(jì)信息系統(tǒng)的概念有狹義和廣義之分。廣義的會(huì)計(jì)信息系統(tǒng)是指：依據(jù)一定會(huì)計(jì)理論與會(huì)計(jì)方法組織起來(lái)的信息處理系統(tǒng)，以提供會(huì)計(jì)信息，參與經(jīng)營(yíng)決策，提高經(jīng)營(yíng)效益為目標(biāo)。一個(gè)完整的會(huì)計(jì)信息系統(tǒng)，能夠?qū)崿F(xiàn)信息采集與記錄，信息存儲(chǔ)，信息加工，信息傳輸，信息輸出五大基本功能。狹義的會(huì)計(jì)信息系統(tǒng)僅指電算化會(huì)計(jì)信息系統(tǒng)，集中體現(xiàn)于可完成會(huì)計(jì)工作的電子計(jì)算機(jī)信息系統(tǒng)。

一、會(huì)計(jì)信息系統(tǒng)中存在的安全問(wèn)題

雖然產(chǎn)生會(huì)計(jì)信息系統(tǒng)安全問(wèn)題的原因有很多，但所有的安全隱患都集中體現(xiàn)在信息系統(tǒng)的技術(shù)層面。會(huì)計(jì)信息系統(tǒng)的安全隱患包括硬件問(wèn)題和軟件問(wèn)題兩個(gè)方面。

（一）硬件安全問(wèn)題

計(jì)算機(jī)硬件是信息系統(tǒng)的物理載體。在單一的硬件系統(tǒng)條件下，硬件問(wèn)題將對(duì)會(huì)計(jì)信息系統(tǒng)中的數(shù)據(jù)及信息加工功能造成不可恢復(fù)的破壞。

在所有的硬件安全問(wèn)題中，存儲(chǔ)設(shè)備的安全問(wèn)題對(duì)會(huì)計(jì)信息系統(tǒng)造成的影響最為嚴(yán)重。因?yàn)樵撛O(shè)備一旦出現(xiàn)問(wèn)題，多數(shù)情況下信息將難以恢復(fù)。

（二）軟件安全問(wèn)題

雖然較硬件安全問(wèn)題來(lái)講，軟件的安全問(wèn)題所帶來(lái)的后果并非不可修復(fù)，但軟件的安全問(wèn)題要比硬件更為嚴(yán)重，對(duì)于軟件安全問(wèn)題分析和防范措施的研究也遠(yuǎn)遠(yuǎn)多于硬件。這是因?yàn)檐浖休d著更頻繁的人機(jī)交流作用，更容易受外部環(huán)境影響，且設(shè)計(jì)缺陷永遠(yuǎn)存在。

會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題主要會(huì)帶來(lái)以下幾個(gè)方面的威脅：

1.會(huì)計(jì)信息的真實(shí)性受到威脅。這里的真實(shí)性應(yīng)該同時(shí)滿足三個(gè)質(zhì)量要求，一是信息內(nèi)容完整可靠；二是信息及信息發(fā)布人身份可以得到驗(yàn)證，換句話說(shuō)就是不可否認(rèn)；三是會(huì)計(jì)信息來(lái)源于技術(shù)中立，不可隨當(dāng)事人意志單方面做出修改。

2.會(huì)計(jì)信息的保密性受到威脅。信息之所以成為一種資源，來(lái)源于信息的不對(duì)稱。加強(qiáng)信息的保密工作，就是加強(qiáng)信息的不對(duì)稱，保護(hù)信息資源。而在網(wǎng)絡(luò)傳遞過(guò)程中，信息很有可能被非法竊取，造成不可估量的重大損失。

3.會(huì)計(jì)信息系統(tǒng)的功能性受到威脅。軟件安全隱患一旦釀成安全事故，或?qū)?duì)硬件工作造成影響，或?qū)?duì)軟件自身工作帶來(lái)影響，不論哪種影響，都可能使會(huì)計(jì)信息系統(tǒng)降低工作效率，甚至陷入癱瘓狀態(tài)，使其功能性性受到威脅。

二、影響會(huì)計(jì)信息系統(tǒng)安全的要素分析

影響會(huì)計(jì)信息系統(tǒng)安全的因素主要有三種：行為人因素、技術(shù)因素和制度因素。

（一）行為人因素

行為人是指會(huì)計(jì)信息系統(tǒng)的開(kāi)發(fā)人員、操作人員和管理人員，也包括那些非法闖入的“不速之客”，體現(xiàn)在素質(zhì)水平和道德風(fēng)險(xiǎn)兩個(gè)方面。

（二）技術(shù)因素

會(huì)計(jì)信息系統(tǒng)安全性的技術(shù)因素，就是軟/硬件的無(wú)法工作或非正常運(yùn)行。造成這種情況的原因有：

1.產(chǎn)品質(zhì)量問(wèn)題。由于工藝、選材、技術(shù)結(jié)構(gòu)等原因，計(jì)算機(jī)硬件可能存在著產(chǎn)品質(zhì)量問(wèn)題。同時(shí)，由于開(kāi)發(fā)時(shí)的認(rèn)知錯(cuò)誤、技術(shù)限制和不規(guī)范行為，計(jì)算機(jī)軟件也存在著各種產(chǎn)品質(zhì)量問(wèn)題。

2.意外事故。比如發(fā)生了盜竊、停電、火災(zāi)、水災(zāi)等事件，將對(duì)計(jì)算機(jī)的硬件構(gòu)成威脅。工作人員的操作不慎，也可能給軟件系統(tǒng)造成安全隱患。

3.環(huán)境影響。除了意外事故，尚有粉塵、潮濕度、電磁波等會(huì)干擾計(jì)算機(jī)硬件的正常工作。

4.外界威脅。由于會(huì)計(jì)信息系統(tǒng)向網(wǎng)絡(luò)化、協(xié)同化方向發(fā)展，具有分布式、開(kāi)放性、遠(yuǎn)程實(shí)時(shí)處理的特點(diǎn)，系統(tǒng)很容易遭受外界干擾與破壞，導(dǎo)致系統(tǒng)的一致性、可控性降低。

（三）制度因素

制度因素本身并不直接構(gòu)成會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題。但是，由于制度在一定程度上影響行為人的行為模式和技術(shù)，它對(duì)會(huì)計(jì)信息系統(tǒng)的安全性起到了規(guī)范控制作用。如果制度存在漏洞與缺失，或者制度執(zhí)行過(guò)程中被打了折扣，那么它就構(gòu)成了影響會(huì)計(jì)信息系統(tǒng)安全性的因素之一。

以上三種因素并不完全獨(dú)立。行為人受技術(shù)條件的約束和制度的控制；技術(shù)由行為人根據(jù)有關(guān)制度來(lái)操作；制度雖然對(duì)前兩者構(gòu)成了控制作用，但它的制定和貫徹也由行為人和技術(shù)決定。通常情況下，它們相互影響，共同作用，構(gòu)成了會(huì)計(jì)信息系統(tǒng)的安全環(huán)境。

三、維護(hù)會(huì)計(jì)信息系統(tǒng)安全的目標(biāo)與原則

（一）目標(biāo)

維護(hù)會(huì)計(jì)信息系統(tǒng)安全的總體目標(biāo)，是防止非法侵入和篡改計(jì)算機(jī)系統(tǒng)數(shù)據(jù)，維護(hù)會(huì)計(jì)數(shù)據(jù)的完整性和可用性，保持系統(tǒng)持續(xù)正常運(yùn)行。

（二）原則

維護(hù)會(huì)計(jì)信息系統(tǒng)安全應(yīng)當(dāng)遵循以下原則：需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則；綜合性、整體性原則；運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法分析系統(tǒng)的安全及具體的防范措施；一致性原則；一致性原則是指會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題應(yīng)存在于整個(gè)系統(tǒng)的工作周期，制定的安全體系結(jié)構(gòu)必須與系統(tǒng)的安全需求相一致；易操作性原則；加強(qiáng)薄弱環(huán)節(jié)原則。

四、維護(hù)會(huì)計(jì)信息系統(tǒng)安全的主要措施

（一）對(duì)行為人的控制措施

對(duì)于行為人的控制，應(yīng)該根據(jù)行為人的特點(diǎn)有針對(duì)性的采取多項(xiàng)措施。一般來(lái)講，對(duì)于內(nèi)部人員的控制措施較多，效果較好，而對(duì)外部人員的控制則相對(duì)較難。endprint

對(duì)于內(nèi)部人員的控制，可以采取以下幾項(xiàng)措施：

1.職業(yè)教育。使用會(huì)計(jì)信息系統(tǒng)的單位，應(yīng)注意開(kāi)展系統(tǒng)的崗位培訓(xùn)和業(yè)務(wù)培訓(xùn)，并將培訓(xùn)制度化、長(zhǎng)效化。同時(shí)應(yīng)注意職業(yè)道德方面的教育，使員工在思想上樹(shù)立正確的價(jià)值觀，降低道德風(fēng)險(xiǎn)系數(shù)。

2.崗位回避。與手工會(huì)計(jì)信息系統(tǒng)一樣，在一人多崗的情況下，要注意某些崗位的不相容性，以防止工作人員利用職務(wù)之便制造的道德風(fēng)險(xiǎn)。

3.歷史追蹤。采用歷史追蹤技術(shù)監(jiān)測(cè)人機(jī)對(duì)話過(guò)程，可以提高工作人員的責(zé)任心。歷史追蹤技術(shù)的作用有二：一是使數(shù)據(jù)文件訪問(wèn)時(shí)間形成了一致性，杜絕了通過(guò)非正常路徑訪問(wèn)數(shù)據(jù)庫(kù)文件的可能；二是對(duì)通過(guò)正常路徑進(jìn)入系統(tǒng)的人員，可以記錄下其整個(gè)人機(jī)對(duì)話過(guò)程，一旦出現(xiàn)安全問(wèn)題，可以據(jù)此分析原因，追究責(zé)任。

4.授權(quán)操作。在任何一個(gè)管理領(lǐng)域，授權(quán)一直是控制風(fēng)險(xiǎn)的重要手段之一，由于認(rèn)證技術(shù)和程序控制技術(shù)的應(yīng)用，在計(jì)算機(jī)條件下，授權(quán)操作將被執(zhí)行得更為堅(jiān)決和徹底。

對(duì)于社會(huì)行為人的控制則顯得有些力不從心。由于往往不知道這些社會(huì)行為人來(lái)自何方，所以只能采用一些技術(shù)手段進(jìn)行被動(dòng)的防控。

（二）技術(shù)控制與保障措施

技術(shù)是會(huì)計(jì)信息系統(tǒng)安全問(wèn)題的集中表現(xiàn)，技術(shù)控制與保障則是維護(hù)其安全的關(guān)鍵點(diǎn)。技術(shù)控制與保障措施主要有：

1.環(huán)境物理保障。采用必要的制度手段、技術(shù)手段做好防水、防火、防盜、防塵、防斷電等工作；在選擇物理環(huán)境時(shí)，還應(yīng)充分考慮其濕度、溫度、電磁干擾、房屋應(yīng)用功能等對(duì)會(huì)計(jì)信息系統(tǒng)安全造成的影響。

2.產(chǎn)品質(zhì)量保障。在選擇會(huì)計(jì)信息系統(tǒng)時(shí)，應(yīng)當(dāng)根據(jù)科學(xué)的開(kāi)發(fā)程序，充分考慮其功能需求、升級(jí)需求以及各方面的條件限制，防止決策失誤。

3.身份驗(yàn)證技術(shù)。目前普遍采用的身份驗(yàn)證手段有二：ID密碼驗(yàn)證和數(shù)字簽名驗(yàn)證。兩者的技術(shù)原理相當(dāng)，都是通過(guò)一個(gè)保密數(shù)據(jù)與身份符號(hào)匹配，匹配成功后進(jìn)入系統(tǒng)程序。

4.數(shù)據(jù)處理控制。數(shù)據(jù)處理是會(huì)計(jì)信息系統(tǒng)的主要工作內(nèi)容，也是最容易出現(xiàn)安全隱患的環(huán)節(jié)。數(shù)據(jù)處理的控制措施有很多，主要包括：

例行編輯檢查。程序化的例行編輯檢查是在原始數(shù)據(jù)被正式處理之前，利用預(yù)先編好的預(yù)處理程序?qū)斎氲臄?shù)據(jù)進(jìn)行錯(cuò)誤檢查，不滿足標(biāo)準(zhǔn)的數(shù)據(jù)一律報(bào)告出來(lái)。系統(tǒng)拒絕對(duì)有疑問(wèn)的數(shù)據(jù)文件作進(jìn)一步的處理。常用的例行編輯檢查過(guò)程如下圖所示：

時(shí)間追蹤技術(shù)。時(shí)間追蹤技術(shù)包括實(shí)時(shí)追蹤和歷史追蹤，實(shí)時(shí)追蹤可以控制有關(guān)人員的越權(quán)操作、非法操作；歷史追蹤可以在安全事故發(fā)生后，為追究責(zé)任提供了線索。

總量控制技術(shù)?？偭靠刂萍夹g(shù)可以應(yīng)用于數(shù)據(jù)處理過(guò)程中的任何階段，其作用是確保數(shù)據(jù)總量的完整和準(zhǔn)確。

5.輸入/輸出控制。輸入/輸出控制除了采用身份認(rèn)證技術(shù)外，還普遍采用程序控制技術(shù)。輸入/輸出環(huán)節(jié)是人機(jī)對(duì)話最為頻繁的環(huán)節(jié)，在人機(jī)對(duì)話中，預(yù)先編制好具有限制條件的程序，凡是不符合要求的操作一律拒絕，并提示非法操作。

6.稽核程序。通過(guò)編制相應(yīng)的稽核程序，可以發(fā)現(xiàn)賬務(wù)處理中可能存在的問(wèn)題。這些程序可以調(diào)閱有關(guān)賬冊(cè)，追溯以往賬目、記錄賬務(wù)處理過(guò)程。

7.傳輸存儲(chǔ)技術(shù)。目前普遍采用的傳輸存儲(chǔ)技術(shù)是加密技術(shù)，該技術(shù)的優(yōu)點(diǎn)是保證了數(shù)據(jù)的保密性。基本的加密算法包括對(duì)稱加密和非對(duì)稱加密。目前普遍采用的是不對(duì)稱加密算法，該算法的每個(gè)用戶有兩套鑰匙，一個(gè)是由外界所了解的公開(kāi)密鑰，一個(gè)是由用戶自己保存的秘密密鑰。

8.防火墻技術(shù)。目前，防火墻技術(shù)已經(jīng)成為了一項(xiàng)保衛(wèi)計(jì)算機(jī)安全的新產(chǎn)業(yè)領(lǐng)域，并且需要不斷的更新。隨著網(wǎng)絡(luò)化的趨勢(shì)得到加強(qiáng)，防火墻技術(shù)也呈現(xiàn)出多層次的特點(diǎn)。

（三）制度控制與保障措施

會(huì)計(jì)信息系統(tǒng)的制度控制與保障措施，包括崗位責(zé)任制度、操作管理制度、稽核控制制度、系統(tǒng)維護(hù)制度等。其目的就是要對(duì)行為人的控制和對(duì)技術(shù)的控制與保障作到制度化、程序化，使每項(xiàng)工作的出發(fā)點(diǎn)在制度上都有依據(jù)。

五、結(jié)論

總而言之，為了保證電算化會(huì)計(jì)信息的安全可靠，使會(huì)計(jì)信息系統(tǒng)資源得到有效保護(hù)和運(yùn)用，避免產(chǎn)生舞弊和犯罪行為，必須保障會(huì)計(jì)信息系統(tǒng)的安全。我們應(yīng)該充分了解會(huì)計(jì)信息系統(tǒng)的功能和作用，認(rèn)識(shí)其運(yùn)營(yíng)機(jī)理，分析其安全隱患，多管齊下，從行為人、技術(shù)與制度等多個(gè)方面加以控制，并制定切實(shí)可行的防范措施，全面保障會(huì)計(jì)信息系統(tǒng)在會(huì)計(jì)工作中優(yōu)質(zhì)、安全、高效的運(yùn)營(yíng)。

[參考文獻(xiàn)]

[1]熊細(xì)銀，李峻峰.會(huì)計(jì)電算化[M].北京：清華大學(xué)出版社，2014-9.

[2]楊周南，趙納暉.會(huì)計(jì)信息系統(tǒng)[M].大連：東北財(cái)經(jīng)大學(xué)出版社，2013-1.

[3]高錦東.會(huì)計(jì)電算化下的企業(yè)內(nèi)部控制制度[J].林業(yè)財(cái)務(wù)與會(huì)計(jì)，2013（5）.

[4]陳信元，葉鵬飛，薛建峰.我國(guó)會(huì)計(jì)信息環(huán)境的初步分析[J].會(huì)計(jì)研究，2010（8）.

[5]魏麗娟，張曉峰.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的特征及其發(fā)展趨勢(shì)[J].武漢理工大學(xué)學(xué)報(bào)，2015（6）.

[6]劉忠玉，楊莉.21世紀(jì)會(huì)計(jì)信息系統(tǒng)的構(gòu)想[J].哈爾濱商業(yè)大學(xué)學(xué)報(bào)，2014（6）.

[7]陳紅艷，謝林海.信息技術(shù)對(duì)會(huì)計(jì)信息系統(tǒng)的影響[J].番禺職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2015（3）.

[8]李軍毅，范毅卿.會(huì)計(jì)電算化安全問(wèn)題的探討[J].科技廣場(chǎng)，2014（11）.

[9]任忠奇.談電算化會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制[J].山東工商學(xué)院學(xué)報(bào)，2014（6）.

[10]鄭娟.會(huì)計(jì)電算化對(duì)會(huì)計(jì)工作的影響[J].科技資訊，2015（27）.

[責(zé)任編輯：紀(jì)晨光]endprint