您好, 访客   登录/注册

基于网络的会计信息系统安全分析与策略

来源:用户上传      作者: 张宝丽

  摘要:信息和网络安全已经日益成为关系到网络会计信息系统正常运行的隐患。本文在阐述网络会计信息系统概念和特点的基础上,论述了系统容易受到的安全威胁以及解决方案,包括系统安全配置和策略的具体实施。
  关键词:网络会计信息系统;信息安全;策略
  
  一、引言
  
  随着信息技术和网络的发展,会计系统渐渐脱离了人工操作和单机版本,形成了网络会计信息系统。网络会计信息系统可以基于因特网或者企业内部局域网,把企业或部门的总部和异地分部门相互连接成一个整体。这样的网络模式可以使得会计信息的使用与传输范围大大扩展,实现了实时办公、远程操作和无纸化办公,大大提高了会计系统的工作效率。节约了企业成本,增强了企业竞争力。但是网络是一把双刃剑,网络安全已经日益成为关系到用户数据完整性和可用性的一大隐患。在一个缺乏安全保障的网络上运行会计信息系统。将容易出现信息被非法访问、篡改或攻击的现象。这样的事件会使企业机密泄露、数据丢失或破坏,从而蒙受经济损失,所以,会计信息系统的网络信息数据安全,是其正确、可靠运行的重要保障。
  
  二、基于网络的会计信息系统
  
  (一)网络会计信息系统的概念
  网络会计信息系统以计算机网络为运行平台,而会计系统所处理和存储的数据都是以一定的格式存放在计算机网络中的。基于网络的会计系统更有利于企业或者部门把会计信息与业务信息更好地结合起来,从而对报表、审计等的操作可以远程、在线进行。网络会计信息系统为财务信息的获取、存储、分析和利用提供了一种新的模式。
  
  (二)网络会计信息系统的特点
  与传统的会计工作相比,网络会计信息系统实现了业务和财务的一体化管理,具有许多新的特点和优势。在这样的系统中,会计核算和财务管理都是动态、实时、在线的,单据和货币的结算都以电子化的方式处理,从而实现了管理的数字化和信息化,在范围和效率上都区别于传统的会计管理模式。在范围上。网络的支持使会计信息的分析与管理突破了地域限制。不再局限于一个地理位景或者一个单一的部门,而是从企业的总部扩展到企业的各个部门以及分公司。在效率上。由于会计核算变得具有实时性,远程报表、报账、查账、审计等处理工作将大大简化,使会计核算的能力与效果都提高到一个新的层次。网络会计信息系统可以实现会计信息的在线反馈,网络平台提供了方便快捷的沟通方式。可以对数据进行实时分析与分布式处理,提高了整体的工作效率。
  
  三、网络会计信息系统的安全威胁
  
  会计工作对信息化的依赖程度越来越高,信息化已成为提高工作效率不可或缺的手段,会计系统中包含内部机密数据,当其在网上应用时,如果数据被非法窃取,将会导致重要信息的泄漏,造成不良影响。具体说来,会计系统面临的安全隐患主要来自两个方面:黑客攻击和会计系统数据库本身的安全漏洞。
  
  (一)黑客攻击
  黑客常常借助破译工具对密码进行分析。从而得到对密文进行解密的方式。为了达到窃取重要敏感数据的目的,黑客对会计系统采取的攻击方式有:窃听、重发攻击、迂回攻击、假冒攻击、越权攻击等。
  
  (二)系统漏洞
  系统漏洞来源于会计系统本身存在的安全风险。如果一款会计系统管理软件未及时打上补丁,就会使其安全性能变得十分脆弱。此外,在许多安全设置选项中假如总用系统默认的配置,也会形成漏洞。从而给破坏者提供了威胁系统正常使用的机会。网络入侵者可以通过系统的安全漏洞,通过执行系统的相关指令得到系统的控制权限。这种行为会对会计系统的数据安全造成极大威胁。
  目前的信息安全形势比较严峻,信息安全事件频频发生、安全威胁越来越严重、系统自身脆弱性越来越多。在这种情况下,迫切需要建立一套与信息化发展相适应的安全保障体系,来加强网络会计信息系统安全保障的力度。
  
  四、网络会计信息系统的安全配置
  
  网络会计信息系统安全应从初始阶段做好规划,考虑相应的物理隔离措施,遵循系统独立成网的原则,遵循不同的系统不直接相联。不同安全级别的系统不直接相联的原则。对于不同部门间的网络会计信息分系统,可以通过专用网络实现联接。信息管理类系统网络与互联网、外部网络应采用防火墙及入侵检测系统,以保障系统的高度安全性。这样,就可以加大系统的安全,保证生产、管理各项工作正常有序进行。
  
  (一)物理隔离
  网络会计信息系统应该遵循独立成网的原则。不同的系统安全需求级别也不同。因此不能直接相联。即使是与企业生产运营直接相关的信息系统,一般也不能直接相联。如有必要联结,必须采用防火墙及入侵检测系统,以保证各个系统的安全。对于相同类型的会计分系统,可以通过专用局域网实现互联,这样可以满足安全性、高速率、可靠性的要求。因为它们对安全的要求高,不允许出现安全问题。
  
  (二)网络安全设置
  在网络会计信息系统与Internet的边界应安装防火墙装置,实施相应的安全策略控制。另外,如果对外网提供信息查询等,就要在访问关键服务器进行一定的控制。可以把对外公开服务器作为一个专门的子网,设置防火墙来控制访问。尽管配置了防火墙,但还有漏洞,如:防火墙敞开的后门可能被入侵者寻找到、防火墙内可能也存在入侵者等,弥补的措施是采用入侵检测系统来提供实时的防护手段。网络会计信息系统系统中威胁最大的安全问题是病毒,建立全方位的病毒防范系统是网络系统安全建设的重要方面。
  
  (三)系统自身安全管理
  要使整个网络会计信息系统充分发挥作用,在重视各分系统间的网络与数据交换安全的同时,也要注意每一个分系统内自身的安全。对于一个网络会计信息系统而言,有特定的使用人群与维护、管理人员。不同的人群。不能有相同的授权,所以,相应的身份检查是非常必要的。可以采用用户授权与认证的方式。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。根据访问权限将用户分为特权用户(即系统管理员)、一般用户,系统管理员根据他们的实际需要为他们分配操作权限、审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
  
  五、系统安全策略的具体实施
  
  (一)身份认证的实施
  身份认证是指被认证对象向系统出示自己身份证明的过程,通常是获得系统服务所必须的第一道关卡。身份认证需要证实的是实体本身,而不是消息认证那样证实其合法性、完整性。身份认证的过程一般会涉及两方面的内容:识别和验证。识别,就是要对系统中的每个合法注册的用户具有识别能力,要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的标识符。验证是指访问者声明自己的身份后,系统还必须对声称的身份进行验证。标识符可以是非秘密的,而验证信息必须是秘密的。身份认证与密码技术密不可分。在实际认证过程中可采取如口令、密钥、

智能卡或指纹等方法来验证主体的身份。在广义的网络普遍采取CA(CertificateAuthority),即证书授权。在网络中,所有客户的证书都由授权中心即CA中心分发,该证书内含公开密钥,每一个客户都拥有一个属于自己的私密密钥对应于证书,同时公开密钥加密信息必须用对应的私密密钥来解密。数字签名是公开密钥加密技术的一类应用。主要有基于CA(CertificateAuthority)的身份认证机制、基于DCE/Kerberos的身份认证机制。
  
  (二)防火墙的设置
  防火墙是一种计算机硬件和软件的组合,使不可信任的外界网络与可信任的内部网络之间建立起一个安全网关,从而保护网络会计信息系统内部网免受非法用户的侵入。防火墙不是对每台主机系统进行保护,而是对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽,保护网络的信息和结构。虽然防火墙技术实现了一些访问控制功能,但仍有许多缺憾,它对计算机病毒在内的数据的攻击缺少很好的防范措施,降低了网络的通信速率,并且也没有从根本上解决整个网络上传输信息的安全问题,一般来说,网络会计信息系统中,在同Internet的连接中已经设置了一道防火墙,但是该防火墙仅仅提供了系统同Internet连接之间的访问控制,在一定程度上防止了Internet用户对系统的危害。而在这样的防火墙的保护下,整个网络会计信息系统的内部网络用户都可以毫无限制地访问该系统的服务器群、数据库服务器和数据库处理服务器。这样的防火墙保护显然是无法达到该系统的安全要求的。
  
  (三)加密技术的使用
  对于网络会计信息系统中产生的一些数据。尤其是涉及到财务和商业机密的数据。除去部门或者企业的核心管理人员之外,其他人员是不能随意访问的。存储加密的目的是为了使反映出企业的敏感商业信息的会计数据在存储期间,只能被特定的人群存取和访问,从而保证数据存储的保密性。数据库系统的加密和普通的报文加密不同,后者的加密和解密都是按照从头到尾的顺序,以报文作为加密的最小单位;而前者则以字段为单位进行。由于这样的特点,数据库的加密以及解密的密钥往往采用对称密码机制。
  数据在传输过程中,很可能在不安全的通道上被截获甚至篡改,从而对数据的安全、保密造成威胁。因此,数据传输同样需要加密保护。网络会计信息系统中的敏感数据在传输之前,要通过加密算法把所有的明文数据转换为密文,此时即使破坏者截取了数据,由于不拥有密钥,故无法破译出完整的数据。在数据的接受端,再把密文恢复为原文,从而最大程度地防范数据在传输中的风险。
  
  (四)数据存储备份
  对于网络会计信息系统来讲,最容易实现的备份方案是进行数据的网络备份。网络备份也是比较成熟的备份方案。在这种方式中,将一台服务器作为连接备份媒介的设备,从而对网络会计信息系统中所有终端、服务器、数据库中关键数据与机密数据进行自动的备份。备份所需的控制信息通过IP网络实时传输,而备份的数据信息流以SAN网络或者IP网络来传递。如果数据非常重要,也可以选择在数据量相对比较大的服务器上均安装备份设施,这些服务器由备份服务器统一管理调度,这样的备份模式可以大大减轻由于数据备份而产生的网络压力和负载。数据备份所选用的媒介一般都是磁带存储媒体。比如磁带机和磁带库等。如今的备份媒介已经向磁盘技术发展,随着许多存储技术的成熟和商用化,大容量磁盘价格日渐降低。所以很多情况下都选择磁盘存储阵列为备份首选设备,对关键数据和机密数据进行归档处理。
  作为备份操作的支持软件也是不可或缺的一个组成部分。软件主要实现自动备份的功能,对各种备份设备进行管理和维护,制定详尽的备份策略,对备份系统实现检测维护功能,并具有一定的安全管理功能,支持大多数网络结构,支持跨平台数据备份模式,并能够实现数据库的在线实时备份操作,大大减轻了维护人员的工作量。
  
  六、结束语
  
  信息安全问题是网络应用系统最大的问题之一,尤其是对于存储了许多机密数据和商业数据的网络会计信息系统而言。针对信息安全技术的原则与策略,结合网络会计信息系统的特点,可以构建一个信息策略的基本框架,结合密码管理、权限设定、防火墙设置以及数据备份等方式,将系统的安全风险降到最低。
  
  主要参考文献
  [1]陈杰,黄正瑞网络环境下会计系统的安全审计[J]审计研究,2000:32-35
  [2]陈洁,朱传军网络环境下财务预警系统的构建[J]财会通讯,2003:22-24
  [3]张小彬黑客分析与防范技术[M],北京:清华大学出版社,1999:89-115
  [4]王兵Internet防火墙与网络安全[M]北京:机械工业出版社,2008:36-78


转载注明来源:https://www.xzbu.com/3/view-771674.htm