網(wǎng)絡會計信息安全評析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡會計信息安全評析范文，希望能給你帶來靈感和參考，敬請閱讀。

一、網(wǎng)絡會計信息系統(tǒng)面臨的安全問題

（一）會計系統(tǒng)存在被攻擊、竊取的風險信息系統(tǒng)最容易受到的是病毒與黑客攻擊，都會對計算機或信息系統(tǒng)構成安全威脅目前，金融、零售等信息化高度集中的行業(yè)很容易遭受到黑客攻擊；政府、軍隊、教育科研等機構也成為黑客攻擊的重要對象；會計信息系統(tǒng)，由于涉及到機構的核心機密，更容易受到攻擊。據(jù)瑞星估算，僅2010年，針對涉密網(wǎng)絡的攻擊就高達10萬次以上，主要來源于美、日、韓等國。一般來講，經濟發(fā)達地區(qū)受攻擊的比例會更高。網(wǎng)絡環(huán)境下，財務信息將面臨被竊取的風險。一方面，許多機構沒有成熟的安全管理機制，甚至僅依靠瀏覽器或Web服務器中的SSL安全協(xié)議；另一方面，目前的操作系統(tǒng)主要由國外研制，企業(yè)很難判斷其中是否存在后門或缺陷，極可能導致財務信息外泄。此外，大型企業(yè)的會計信息系統(tǒng)數(shù)據(jù)主要集中在服務器上，如果服務器管理人員不小心泄露密碼，甚至內外勾結，則所有財務信息都可能被竊取。

（二）會計數(shù)據(jù)真實、完整、可靠性面臨考驗會計數(shù)據(jù)有可能會失真，主要有數(shù)據(jù)篡改和數(shù)據(jù)偽造兩種形式。數(shù)據(jù)篡改是指入侵者從網(wǎng)上將信息截獲，按照數(shù)據(jù)的格式和規(guī)律，修改數(shù)據(jù)信息，然后發(fā)送給目的地，數(shù)據(jù)篡改破壞了數(shù)據(jù)的完整性。數(shù)據(jù)偽造則是指入侵者偽裝成“商家”或“合法用戶”，給對方發(fā)送郵件、訂單等虛假信息，從而竊取個人密碼或商業(yè)信息。會計數(shù)據(jù)一旦失真，企業(yè)將面臨巨大的安全隱患。網(wǎng)絡環(huán)境下，會計檔案的存儲介質不再是以前的紙質文檔，而變成了電子數(shù)據(jù)。電子數(shù)據(jù)存儲，極大提高了存儲效率，也為管理數(shù)據(jù)帶了便利，但有其天然缺陷。當存儲介質遇到劇烈振動，或突然遇到停電、火災等情況時，很可能導致存儲的數(shù)據(jù)失效。當被非法修改時，有可能沒有任何痕跡；此外，當網(wǎng)絡會計信息系統(tǒng)升級的時候，可能不兼容以前的版本，或者數(shù)據(jù)格式、數(shù)據(jù)接口等發(fā)生了變化，使得以前的信息不能進入當前的會計信息系統(tǒng)，都有可能導致會計檔案失效。信息化會計與傳統(tǒng)會計存在很大差別，很多企業(yè)由于未能及時建立與信息化方式匹配的內部控制機制，容易導致內部控制失效。如操作人員錄入了不正確的字段、使用了無效的代碼、或從財務的紙質憑證轉錄了數(shù)據(jù)等，都可能影響數(shù)據(jù)質量，如果缺乏相應的監(jiān)督檢查機制很可能導致內部控制失效。此外，由于網(wǎng)絡環(huán)境下的會計信息系統(tǒng)數(shù)據(jù)集中存放于數(shù)據(jù)庫，信息交叉程度提高，依靠帳薄及憑證相互核對錯誤的機制可能也會失效，傳統(tǒng)會計中某些職工分權、相互牽制和約束的機制可能失去作用，信息管理人員或專業(yè)人員舞弊會給企業(yè)帶來不可估量的損失，也是會計信息化面臨的破壞力最大的隱患。如有些數(shù)據(jù)庫管理員通過篡改數(shù)據(jù)獲取不當利益，網(wǎng)絡會計信息系統(tǒng)可能連痕跡都沒留下。

二、網(wǎng)絡會計信息系統(tǒng)安全問題原因分析

（一）網(wǎng)絡系統(tǒng)的開放性和共享性網(wǎng)絡系統(tǒng)的重要特點是開放性和共享性，使網(wǎng)上信息安全存在先天不足，可能會帶來一些安全問題。一方面,由于互聯(lián)網(wǎng)的開放性,網(wǎng)絡上所有用戶均可共享信息資源,給一些非法訪問者提供了可趁之機。另一方面，互聯(lián)網(wǎng)上的數(shù)據(jù)往往是沒有加密的，這使得用戶密碼及其他重要數(shù)據(jù)可能在傳輸過程中被監(jiān)聽和竊取。此外，在諸多信息系統(tǒng)中實行了分級權限管理，某些部門的操作人員被賦予了太高的權限，可以接觸到整個企業(yè)的財務會計系統(tǒng)，增加了財務信息被盜的風險。

（二）硬件設備配置不合理網(wǎng)絡信息系統(tǒng)中硬件的配置非常重要，尤其是網(wǎng)絡服務器及路由器等設備，對網(wǎng)絡安全有很大的影響。如果選擇了不合理的服務器型號，不僅網(wǎng)絡可能不順暢，網(wǎng)絡的穩(wěn)定性及擴充性也會受到影響；如果選用的路由器緩沖區(qū)過小，則在網(wǎng)絡延時過程中，可能會流失數(shù)據(jù)包；如果路由器緩沖區(qū)過大，則可能會增加網(wǎng)絡延時，這些都會導致網(wǎng)絡不安全。

（三）軟件系統(tǒng)不合理主要包括兩個方面：一是軟件系統(tǒng)規(guī)劃不合理，開發(fā)的系統(tǒng)本身存在缺陷；二是軟件開發(fā)工具選擇不合理。（1）軟件系統(tǒng)的不合理規(guī)劃與開發(fā)。在規(guī)劃過程中，系統(tǒng)分析人員沒有與會計工作人員及相關用戶充分溝通，從而系統(tǒng)的需求分析可能并不能完全反映真實要求。基于這種規(guī)劃開發(fā)的會計信息系統(tǒng)，可能會引起一系列不安全的后果。另外，用戶自行開發(fā)軟件數(shù)據(jù)常常無法與購買的財務軟件數(shù)據(jù)交流,從而造成資源浪費。（2）軟件開發(fā)工具的不合理使用。以數(shù)據(jù)庫工具為例，SQLserver、Oracle、Sybase等主要適用于大型系統(tǒng)；Acess、FoxPro等則主要適用于小型系統(tǒng)。值得注意的是，各類數(shù)據(jù)庫工具的安全機制有所不同，所以必須根據(jù)系統(tǒng)的規(guī)模大小及安全性要求合理選擇數(shù)據(jù)庫工具。

（四）制度建設不健全網(wǎng)絡環(huán)境中，會計系統(tǒng)往往要和業(yè)務系統(tǒng)，如采購系統(tǒng)、銷售系統(tǒng)、存貨管理系統(tǒng)等相關聯(lián)，實現(xiàn)信息共享，提高會計系統(tǒng)的自動化處理程度。為了讓信息安全共享，必須建立內部控制制度，分配角色并賦予權限。此外，股東、銀行、稅務等機構也可能通過網(wǎng)絡與企業(yè)的財務會計系統(tǒng)連接，也需要建立相應的內部控制制度。

（五）人員風險人員風險主要分為勝任能力風險及道德風險。勝任能力要求從業(yè)人員既要熟練掌握國家會計準則及會計制度，掌握相應的信息技術，而且要具備較強的學習能力。道德風險，則要求財務人員面對誘惑時，能夠堅守職業(yè)操守。

三、網(wǎng)絡會計信息系統(tǒng)安全管理的策略

（一）安全管理的目標對于會計信息系統(tǒng)來說，信息安全主要是要保證信息的保密性、完整性、可用性、真實性、可控制性、可審查性、不可抵賴性等。數(shù)據(jù)保密性是指數(shù)據(jù)在網(wǎng)絡上傳輸?shù)臅r候不被非法竊取，或者雖然被竊取但竊取者不能破解其真正意義；數(shù)據(jù)完整性是指數(shù)據(jù)的精確性和可靠性，指數(shù)據(jù)在傳輸過程中不被增加、刪除、修改內容；可用性是指對于合法用戶的正常使用，要保證能夠實現(xiàn)而不被拒絕；真實性是指鑒別數(shù)據(jù)來源，消除非法數(shù)據(jù)源，確保進入系統(tǒng)的數(shù)據(jù)是真實可靠的；可控制性是指數(shù)據(jù)的輸入、輸出、處理過程是可以控制的；可審查性是指對數(shù)據(jù)的任何訪問與操作（增加、刪除、修改）均被紀錄下來，便于“信息”追蹤或審查；不可抵賴性是指隨所有用戶的操作進行紀錄并存檔，防止用戶否認已作過的操作。

（二）安全管理的基本思想為了保證會計信息系統(tǒng)的安全，在規(guī)劃系統(tǒng)時候要全面考慮，按照“全網(wǎng)安全”的思想，實現(xiàn)多層面控制。（圖1）是基于該思想的安全體系框架。可以看出，該架構主要由三部分組成：技術體系、組織體系、管理體系。（1）技術體系：技術體系安全架構主要是為系統(tǒng)安全提供技術保障，包括安全技術和技術管理這兩大部分。安全技術又分為網(wǎng)絡環(huán)境安全及信息環(huán)境安全兩部分。網(wǎng)絡環(huán)境安全主要指物理安全和環(huán)境安全。為防范物理安全問題而導致會計信息安全隱患，要將計算機及相關設施受到物理保護，免于被破壞、丟失等；信息環(huán)境安全主要是指系統(tǒng)安全和信息安全。技術管理又分為三大部分：符合ISO標準的技術管理，從安全服務、體系規(guī)范、實施細則、安全評估幾個側面分別對會計信息系統(tǒng)安全進行管理；審計監(jiān)測方面進行技術管理，會計信息系統(tǒng)實時的狀態(tài)監(jiān)測、非法入侵時的監(jiān)控；實施策略方面進行技術管理，財務系統(tǒng)的安全策略、密鑰管理。（2）組織體系：組織體系主要為系統(tǒng)安全提供組織人員保障。從機構設置、崗位設置、人事設置三方面進行構建。（3）管理體系：管理體系主要為系統(tǒng)安全提供制度保障。從國家法律立法、企業(yè)規(guī)章制度、企業(yè)業(yè)務培訓三方面對系統(tǒng)安全給予保障。

（三）安全管理的整體解決方案基于的“全網(wǎng)安全”思想，可以從如下方面對網(wǎng)絡會計系統(tǒng)進行整體安全保護：平臺安全、硬件安全、軟件安全、安全管理制度、人力資源素質。（圖2）是基于該思想的網(wǎng)絡會計信息系統(tǒng)安全問題整體解決方案。

（1）平臺安全。保證網(wǎng)絡辦公平臺安全，是網(wǎng)絡會計系統(tǒng)中最重要的部分。本方案中采用三種技術保證平臺安全：防火墻、虛擬專用網(wǎng)（VPN）、入侵檢測技術。防火墻充當屏障作用，合理使用防火墻能保護企業(yè)會計信息安全有效。主要作用在網(wǎng)絡入口處檢查網(wǎng)絡通訊，過濾不安全服務，防止非法用戶進入內部網(wǎng)絡；限定用戶訪問特殊網(wǎng)站；對內外部網(wǎng)絡進行有效隔離。所有外部網(wǎng)絡的訪問請求都要通過防火墻檢查，使得企業(yè)內部網(wǎng)的會計信息系統(tǒng)相當安全。當然，企業(yè)會計信息系統(tǒng)應保持相對封閉狀態(tài)，不能連接與業(yè)務無關的終端，更不能連接互聯(lián)網(wǎng)，僅能與業(yè)務相關部門實現(xiàn)資源共享。VPN（VirtualPrivateNetwrok）是利用公共網(wǎng)絡資源形成企業(yè)專用網(wǎng)，它融合了防火墻和Ipsec隧道加密技術的優(yōu)點，可以為整個集團內部通信提供安全的信息傳輸通道，還可以簡化網(wǎng)絡管理、節(jié)約成本。VPN有隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術四項核心技術，為網(wǎng)絡安全提供了一定保障。入侵檢測是指通過對行為、審計數(shù)據(jù)、安全日志或其它網(wǎng)絡上可獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測技術是為了彌補防火墻的不足，主動檢測來自系統(tǒng)外部的入侵、監(jiān)視防火墻內部的異常行為。實時監(jiān)控是會計信息系統(tǒng)必備的措施。通過建立操作日志,對日常會計活動中進行全程跟蹤,對大額的、異常的經濟業(yè)務單獨列示,詳細反映，及時提醒。

（2）硬件安全。硬件系統(tǒng)安全，會計信息系統(tǒng)的正常運行必須要有良好的硬件設備，從硬件系統(tǒng)的配置和管理兩方面提出保證。配置方面，選用合適的輸入輸出設備、調制解調器（MODEM）、路由器等互聯(lián)設備、及適當?shù)木W(wǎng)絡服務器。同時，硬件設備必須有過硬的質量和性能，并且數(shù)據(jù)安裝雙硬盤，數(shù)據(jù)雙重備份；管理方面，制定機房相關設備的定期檢查制度，做好機房防火、防塵、防水、防盜及恒溫等保障措施，使用UPS電源（防止停電導致信息中斷），重要數(shù)據(jù)遠程備份，安裝機房報警系統(tǒng)等。

（3）軟件安全。操作系統(tǒng)是整個信息系統(tǒng)安全的基礎。一方面，要盡量選擇擁有自主知識產權的操作系統(tǒng)，減少“暗門”等對系統(tǒng)安全的影響。目前，我國計算機所使用的操作系統(tǒng)基本上是舶來品，因為缺少自主的技術，會計信息資料網(wǎng)絡安全性較低，不能滿足會計信息所要求達到的保密程度，對高水平的國產化軟件有著迫切的需求；另一方面，會計信息從業(yè)人員要注意對操作系統(tǒng)的正確使用，如實時掃描漏洞并進行修補，對帳號、密碼及權限進行管理，紀錄安全日志并進行審計，下載補丁等，都可以提高操作系統(tǒng)的安全性。數(shù)據(jù)庫軟件，會計信息系統(tǒng)的核心就是存儲在數(shù)據(jù)庫中的數(shù)據(jù)，這是一切應用的基礎，故需要對數(shù)據(jù)的安全性、完整性、保密性等方面采取保護措施。在開發(fā)數(shù)據(jù)庫軟件時，要考慮數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性、可擴展性和高效性，以及安全性。各種外部數(shù)據(jù)信息導入之前，必須要經過病毒檢測程序，同時對財務數(shù)據(jù)的導出，必須嚴格控制，防止信息外泄。對財務軟件系統(tǒng)的修改維護必須報經相當領導批準同意。數(shù)據(jù)備份和數(shù)據(jù)容災是保護數(shù)據(jù)庫的重要措施，數(shù)據(jù)備份是指在遠程網(wǎng)絡設備上保存數(shù)據(jù)，防止數(shù)據(jù)的丟失和損壞；數(shù)據(jù)容災是指在異地建立兩套或多套功能相同的IT系統(tǒng)，相互進行狀態(tài)監(jiān)視和功能切換，當一處系統(tǒng)因意外停止工作時，整個應用系統(tǒng)可以切換到另一處，使系統(tǒng)功能可以繼續(xù)正常工作。

（4）安全管理制度。包括應用控制、數(shù)據(jù)控制、訪問控制、安全管理體系、內部審計五個方面。應用控制是指在會計信息系統(tǒng)中，應用控制指的是對具體的數(shù)據(jù)處理活動進行控制，包括數(shù)據(jù)的輸入、輸出和處理控制。數(shù)據(jù)輸入時，會計信息系統(tǒng)要能達到糾正數(shù)據(jù)合理性、重復輸入校驗、邏輯關系測試等工作。網(wǎng)絡環(huán)境下，會計資料的輸入由多人承擔，可設置不同的復核方式，由系統(tǒng)對存在差異的數(shù)據(jù)進行比較。多用戶同時進行操作時，系統(tǒng)自動生成連續(xù)的憑證號，使數(shù)據(jù)有效清晰。嚴格限制財務數(shù)據(jù)的修改權限，對修改數(shù)據(jù)的操作，應提供可打印備查界面。電子數(shù)據(jù)發(fā)放及接收都有認證機構提供的記錄清單，以保證雙方權益。數(shù)據(jù)控制又稱數(shù)據(jù)保護，可分為安全性控制、完整性控制、并發(fā)控制和恢復。安全性控制主要是為了防止數(shù)據(jù)泄密和破壞，主要措施是授權和收回授權。對企業(yè)前內部人員，一定要及時收回授權；完整性控制是為了保證數(shù)據(jù)的正確性和相容性。數(shù)據(jù)通信傳輸過程中保證數(shù)據(jù)的完整，如果有被篡改的情況，接收方能通過軟件及時檢測出來。數(shù)據(jù)輸入能否正確進入系統(tǒng)，與數(shù)據(jù)庫軟件的輸入方式、數(shù)據(jù)格式及相關數(shù)據(jù)導入兼容轉換有著很大關系。我國很多企業(yè)有結合自身特色的會計信息系統(tǒng)，為提高會計信息系統(tǒng)的管理層次，還需將財務信息系統(tǒng)與企業(yè)其他管理信息進行有機結合。同時，各不同的財務軟件之數(shù)據(jù)交換，制定統(tǒng)一并規(guī)范的標準。并發(fā)控制是確保在多個事務同時存取數(shù)據(jù)庫中同一數(shù)據(jù)時不破壞數(shù)據(jù)庫的統(tǒng)一性。恢復這是指數(shù)據(jù)庫系統(tǒng)發(fā)生故障后，能夠自動恢復到正常的機制。訪問控制是保證網(wǎng)絡安全最重要的核心策略之一，主要任務是保證網(wǎng)絡資源不被非法使用和訪問。訪問控制涉及的技術比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡權限控制、目錄級控制以及屬性控制等多種手段。會計計信息數(shù)據(jù)的訪問僅限于經過授權的用戶，并且層層加密,禁止處理未經授權的業(yè)務。對關鍵財務信息資源,授權范圍應盡可能小。按照網(wǎng)絡環(huán)境下會計信息系統(tǒng)的需要，設定各級崗位責任及權限，防止非法操作；對不相容的職務要注意分離，不同崗位之間設定一定的制約機制。如系統(tǒng)管理員不能從事日常會計處理業(yè)務，記帳憑證一定要復核員復核才能生成帳簿。安全管理體系，嚴格完善的法律、法規(guī)與規(guī)章制度是網(wǎng)絡環(huán)境下會計信息安全的制度保證。我國目前還沒有專門的網(wǎng)絡會計信息安全的法律法規(guī)，暫時還不能滿足現(xiàn)有信息安全的需求。因而應逐步制定出符合我國國情的網(wǎng)絡會計法律體系，規(guī)范網(wǎng)絡交通購銷支付以及核算行為，為網(wǎng)絡會計的發(fā)展提供良好的法制環(huán)境。另一方面，企業(yè)自身也應建立安全管理部門，制定安全管理制度對操作人員實行安全技能培訓。使會計信息系統(tǒng)從開發(fā)、用戶管理、業(yè)務操作、數(shù)據(jù)存儲、檔案管理等各方面都有章可循。內部審計是指審計人員要熟悉企業(yè)會計信息系統(tǒng)的運行機制，不僅要對數(shù)據(jù)的輸入、輸出結果進行審查，而且也要對各種規(guī)章制度進行審查，確保符合當前會計準則和會計制度。對關鍵崗位人員，必須進行嚴格的審查和監(jiān)督,以防止泄密或對外被篡改的數(shù)據(jù)或信息。企業(yè)應定期及不定期實行安全審計，及時發(fā)現(xiàn)系統(tǒng)及用戶存在的異常行為。網(wǎng)絡環(huán)境下也可積極推進遠程審計工作，以審計分析軟件進行輔助分析判斷，通過網(wǎng)絡遠程審計及時發(fā)現(xiàn)問題，公布審計報告，及時糾正錯誤作法，促進企業(yè)會計信息的真實性、完整。

（5）人力資源素質。通過對從業(yè)人員思想道德建設，加強員工的職業(yè)操守水平，樹立職業(yè)道德情感，來提高判斷是非的能力，使之自覺遵守企業(yè)關于信息系統(tǒng)安全的各種規(guī)定。選拔會計信息化從業(yè)人員時，要進行專業(yè)素養(yǎng)考察，使其具備相應的專業(yè)能力。同時，建立嚴格的繼續(xù)教育及培訓制度，提高從業(yè)人員勝任能力。加大對現(xiàn)有財務人員的培養(yǎng)力度，盡量培養(yǎng)復合型人才。對于因客觀條件的限制，現(xiàn)有企業(yè)財務人員不能解決的會計信息系統(tǒng)安全隱患，應咨詢相應的企業(yè)信息安全機構，得出解決方案，通過逐步改進，提高財務人員的安全技能。

（四）構建整體解決方案中應該注意的問題在構建會計信息系統(tǒng)安全問題整體解決方案中,必須注意以下問題。

（1）進行成本/效益分析。構建信息系統(tǒng)安全解決方案需要消耗大量企業(yè)資源,故在實施前必須作成本效益分析,才能保證信息安全構建的進展順利。成本/效益分析有利于企業(yè)內部統(tǒng)一認識，共同推進信息系統(tǒng)的建設與維護。

（2）全局觀原則。站在系統(tǒng)工程的角度，對信息系統(tǒng)安全的具體措施錯進行詳細分析。一般情況下，可以采取的安全措施包括：專業(yè)技術措施、行政措施和各項管理制度。其中專業(yè)技術措施包括認證識別、存取控制、加密技術防火墻等；管理制度包括所有工作流程處理、系統(tǒng)維護等方面。一個周全的安全管理方案應該是由多種方法綜合起來發(fā)揮作用的。

（3）一貫性原則。對網(wǎng)絡安全的防范應該貫穿會計信息系統(tǒng)的整個生命周期，采取的安全措施必須與存在的問題對應。會計信息系統(tǒng)的規(guī)劃、設計、系統(tǒng)實現(xiàn)等都需要相應的安全制度和措施。一般來講，系統(tǒng)的安全是從規(guī)劃開始的，而不是建設完成后才考慮的。

（4）方便易用。系統(tǒng)所采用的安全措施應該盡量簡單易用，便于操作。無論定義多少安全措施，最終需要人來執(zhí)行，如果安全措施過于復雜，操作人員失誤及舞弊的概率就會加大。同時，如果安全控制過于復雜，可能會影響會計信息系統(tǒng)的運行功能。

（5）適應性原則。當網(wǎng)絡環(huán)境、數(shù)據(jù)庫環(huán)境或者用戶的安全需求變化時，安全架構要能夠適應這種變化，并能夠進行相應的修改。