网络会计信息系统安全控制探讨
来源:用户上传
作者: 熊绪进
网络会计信息系统是以计算机网络通讯技术为手段,以Internet/lnlranet为基础,以财务管理为核心,实现业务核算和财务核算一体化的会计信息系统,它支持电子商务,实现各种远程操作和动态会计核算与在线财务管理,支持电子单据处理和电子货币结算。网络会计系统的诞生及应用,在给人类带来方便快捷的信息服务的同时,由于其自身的开放性、资源的共享性等特点,也带来了诸多安全问题。因此,加强系统安全控制及防范十分重要。
一、网络会计信息系统存在的问题
随着网络技术的发展和应用,传统的手工会计系统已向网络会计系统发展,这是企业管理手段的巨大进步,但同时也给企业内部安全控制带来了新的问题和挑战,具体表现在:
(一)授权方式的改变和系统程序质量的依赖性不利于安全风险的控制在网络会计系统中,权限分工采用的主要形式是口令授权,而口令存放于计算机系统内,一旦口令被人窃取,便会带来巨大的安全隐患。如会计人员被客户收买后,窃取口令并登录系统,非法核销客户的应收款及相关资料;销售人员窃得顾客订单口令,开出假订单,骗走企业产品等。网络会计的安全控制在一定程度上取决于系统中运行的应用程序的质量。一旦程序中存在严重的错误,便会危害系统安全。而会计人员的计算机专业知识有限,很难及时发现这些漏洞,致使系统会多次重复同一错误而扩大损失。
(二)电子商务的普及和会计信息的伪造导致网络会计系统安全控制的新难题IT技术迅猛发展,网上交易愈加普遍,电子商务逐步普及。企业在利用Intemet网寻找潜在贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。一旦企业的全部原始凭证采用数字格式,实现电子化,极易被修改甚至伪造而不留任何痕迹,势必将加强企业对网上公证机构的依赖,电子单据的信息保真将显得特别重要。但目前相关技术还不完全成熟、相应法规并不完善,这将给系统安全控制造成极大的困难。
(三)会计信息储存方式和媒介的变化缺乏会计业务的有效牵制网络会计采用高度电子化的交易方式,对数据的正确性、交易及其轨迹均带来新的变化。原始凭证在网络业务交易时自动产生并存入计算机,交易的全过程均在电子媒介上建立、运算与维护,而且大量的数据录入和交易发生在企业外部;网络会计使会计介质继续发生变化,更多的介质将电子化,出现各种发票、结算单等电子单据。存贮形式主要以网络页面数据存贮,网页数据只能在计算机及相应的程序中阅读。由于计算机的自动高效使工作人员减少,各种手续被合并到一起由计算机统一执行,从而不能像手工方式下一笔业务要经过几道审查后才能被确认而相互牵制,成为内部控制的安全隐患。
(四)网络环境的开放性和动态性加剧会计信息失真的风险网络技术是IT发展的方向,特别是Inlemet在财务软件中的应用使得会计信息系统向网络化方向发展。但在开放的网络环境中,大量的会计信息通过Internet传递,各种服务器上的信息在理论上都可以被访问,除非物理上断开连接,否则就存在被截取、篡改、泄漏甚至黑客或病毒的恶意侵扰等安全风险。尽管信息传递的无纸化可有效避免人为原因导致的信息失真现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。南于缺乏有效的确认标识,信息接受方怀疑所获取财务信息的真实性;信息发送方也担心所传递的信息能否被接受方正确识别并下载,加大了网络会计安全控制的难度。
(五)网络会计系统的复杂性加大稽核与审计的难度网络是一个由计算机硬件、软件、操作人员和各种规程构成的复杂系统,该系统将许多不相容职责相对集中,加大了舞弊的风险;信息来源的多样性,有可能导致审计线索紊乱;系统设计主要强调会计核算的要求,很少考虑审计工作的需要,往往导致系统留下的审计线索很少,稽核与审计必须运用更复杂的查核技术,且要花费更多的时间和更高的代价,这无疑将加大稽核与审计的难度和成本。
二、网络会计信息系统的安全控制对策
网络技术在会计信息系统中的应用,丰富了会计信息系统的功能,促进了会计工作效率的提高。但安全问题若不能及时有效地得到解决,必将限制网络会计系统的发展与应用。网络会计信息系统安全控制的对策主要有:
(一)做好法律、政策上的相关保障为了对付计算机犯罪,保护会计信息使用者的权益,国家应制定并实施计算机安全及数据保护法律,从宏观上加强对信息系统的控制,为网络会计系统提供一个良好的社会环境;尽快建立和完善电子商务法律法规,制定网络会计环境下的有关会计准则,规范网上交易的购销、支付及核算行为。
(二)建立和完善网络会计系统的管理制度管理制度是保证企业实现网络会计信息系统安全、准确、可靠的先决条件。它主要包括:确定各种人员的职责范围及其考核办法的岗位责任制;制定密码的使用和管理办法及机房、保卫、数据资料安全等方面应遵循的安全保密制度;操作计算机应遵守的操作规程及注意事项的操作管理制度;规定数据输入、输出、存储、查询与使用应遵守的数据管理制度;规定系统维护的申请、审批和应完成任务的系统维护制度;修订《会计档案管理办法》,重新规定会计档案的范围、保管办法及领用手续的会计档案管理制度。
(三)加强网络会计系统的安全控制网络会计的安全控制是指在网络环境下采用各种方法保护数据和计算机程序,以防止数据泄密、更改或破坏。主要包括硬件安全控制、软件安全控制、网络安全控制和病毒防范安全控制等。
一是硬件安全控制。网络会计系统的可靠运行主要依赖于硬件设备,因此硬件设备的质量必须有充分保证。加强对硬件的维护,防止计算机出现故障导致会计信息丢失;为以防万一,关键的硬件设备可采用双系统备份。另外,计算机房应充分满足防火、防水、防盗、防鼠、恒温等技术条件,必要情况下可采用电子门锁、指纹核对、用计算机控制人员进出等防范控制手段;机房内用于动力、照明的供电线路应与计算机系统的供电线路分开,配置UPS不间断电源、防辐射和防电磁波干扰等设备,尽量采用结构化布线来安装网络,在埋设地下电缆的位置设立标牌加以防范;对用于数据备份的存贮介质应注意防潮、防尘和防磁,长期保存的磁介质存贮媒体应定期转贮等。
二是软件安全控制。软件的安全控制主要是保证程序不被修改、不损毁、不被病毒感染,程序的安全与否直接影响着系统的正常运行。及时下载和安装系统补丁,堵住操作系统、数据库管理系统和网络服务软件的漏洞;按操作权限严格控制系统软件的安装与修改,按操作规程定期对系统软件进行安全性检查。当系统被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复等功能;系统软件应尽量减少人机对话窗口,必要的窗口应力求界面友好,防错纠错能力强,不接受错误输入;增强系统软件的现场保护和自动跟踪能力,对一切非正常操作可以记录。当非法用户企图登录或错误口令超限额使用时,系统会锁定终端,冻结此用户标识,记录有关情况,并立即报警;分析研究各应用软件的兼容性、
统一性,使各业务系统成为基于同一种操作系统平台的大系统,各种业务之间能相互衔接,相关数据能够自动核对、校验;非系统维护人员不得接触程序的技术资料、源程序和加密文件,减少程序被修改的可能性。
三是数据资源安全控制。数据资源的安全与否关系到财务信息的完整性和保密性。数据库系统是整个网络会计系统安全控制的核心,数据库的安全威胁主要来自系统内外人员对数据库的非法访问和系统故障。误操作或人为破坏均会造成数据库的物理损毁。为防止非法用户入侵,确保数据资源安全,主要采取以下措施:合理定义、应用数据子模式。即根据不同类别的用户或应用项目分别定义不同的数据子集,对特定类型的用户开放,以限制用户轻易获取全部会计数据资源;合理设置网络资源的属主、属性和访问权限。资源属主体现不同用户对资源的从属关系,如建立者、修改者等,资源属性表示资源本身的存取特性,如读、写或执行等,访问权限体现用户对资源的可用程度;建立数据备份和恢复制度。数据备份是数据恢复与重建的基础。对每天的业务数据双备份,建立目录清单异地存放。同时对存储在网络上的重要数据在传输前进行有效加密,接收到数据后再进行相应的解密,并定期更新加密密码;在操作系统中建立数据保护机构。调用计算机机密文件时应登录用户名、日期、使用方式和使用结果,修改文件和数据必须登录备查;设置外部访问区域,明确企业内部网络的边界。企业建立内联网时,要详细分析网络的服务功能和结构布局,通过专用软件、硬件和管理措施,实现会计系统与外部访问区域之间的严密的数据隔离;在内部网和外部网之间的界面上构造保护屏障,防止非法入侵和使用系统资源,记录所有可疑事件;在开发应用软件的技术选择上也要考虑数据安全性问题。如在网络财务软件中应充分利用客户服务器结构和Web应用的优点,对于决策支持、远程查询、报表远程上报则采用Web的应用,可以提高财务数据安全性。
四是网络安全控制。为了提高网络会计系统的安全防范能力,必须从技术上对整个系统的各个层次都要采取安全防范与控制措施,建立综合的多层次的安全体系。数据加密技术是保护会计信息通过公共网络传输和防止电子窃听的首选方法。现代加密技术分为对称加密和非对称加密两大类。对称加密是关联双方共享一把专用密钥进行加密和解密运算。它所面临的最大难题是密钥网上分发的安全性问题。非对称加密是将密钥分为一把公钥和一把私钥,加密钥不同于解密钥、并且不能由加密钥推出解密钥,有效解决了密钥分发的管理问题,更适合网络应用环境。访问控制技术的代表是防火墙技术,特别是已融和虚拟专用网及隧道技术的防火墙技术。可设置内外两层防火墙,外层防火墙主要用来限制外界对主机操作系统的访问,内层防火墙主要用来逻辑隔离会计系统与外部访问区域之间的联系,限制外界穿过访问区域对内联网的非法访问。数字签名是指网络环境下为验证对方身份、保证数据真实性和完整性而在计算机通信中采用的一种安全控制手段。在国家相应财务制度许可的条件下,财务系统远程处理可用数字签名技术代替签字盖章的传统确认手段。在网络会计系统中使用数据加密与数字签名技术,可以确保客户端和服务器之间传输的所有数据的安全性。另外,采用虚拟专用网传输数据,使用光纤作为传输介质,确保接入口的安全保密,更好地解决了财务信息在Internet传输的安全问题。
五是病毒防范安全控制。防范病毒最有效的措施是加强安全教育,健全并严格执行防范病毒管理制度,在系统的运行与维护过程中高度重视病毒防范及相应技术手段与措施。具体措施有:系统采购更新要经病毒检测后才可使用;对不需要本地磁盘的工作站,尽量采用无盘工作站;采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;在网络服务器上安装防病毒卡或芯片等硬件;财务软件可挂接或捆绑第三方反病毒软件,加强软件自身防病毒能力;对所有外来软件、介质和传输数据必须经过病毒检查,严禁使用游戏软件;及时升级本系统的防病毒产品,定期检测并清除系统病毒。
六是电子商务控制。网络会计系统的应用为跨国企业、集团企业实现远程报表、报账、查账、审计及财务监控等处理功能创造了条件。网络会计是电子商务的基石和重要组成部分,对电子商务活动也必须进行相应的管理与控制。主要措施有:合理建立与关联方的电子商务联系模式;建立网上交易活动的授权、确认制度,以及相应的电子文件的接收、签发验证制度;建立交易日志的记录与审计制度,进行远程处理规程控制。
(四)加强内部审计为了监督并提高系统运行质量,企业应设独立的内部审计部门,在审计委员会或高层决策机构领导下工作。内部审计应包括:对会计资料定期进行审计,系统处理是否正确,是否遵照《会计法》及有关法律、法规的规定;审查电子数据与书面资料的一致性,做到账表相符,对不妥或错误的账表处理应及时调整;监督数据保存方式的安全合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞;对网络资源的使用、网络故障、系统记账等方面进行记录和分析。
(五)培养高素质的财会人员
网络会计要求财会人员不仅能进行计算机操作,还要求能解决实际工作中出现的各种问题,所以应积极培养能掌握现代信息技术和会计知识及管理理论与实务的复合型人才。既要通过教育来提高他们的思想认识、安全防范意识和职业道德水准,严格执行各项规章制度,又要加强专业知识的学习和培训,不断提高计算机网络的安全防范手段和应用水平,在对网上会计信息进行有效过滤的同时,防止非法访问和恶意攻击本企业的会计信息。要适应网络会计的发展,企业必须注重人才的培养和开发,这也是信息时代保证企业在激烈的市场竞争中制胜的关键所在。
(编辑 代娟)
转载注明来源:https://www.xzbu.com/3/view-796739.htm
