網絡會計信息系統的安全技術研究

　　【摘要】網絡會計是基于互聯網技術的現代會計模式，INTERNET技術的開放性和時空的無限性使得網絡潛存著安全隱患，因而網絡會計信息的技術安全問題成了困擾網絡會計發展的主要問題。本文通過分析網絡會計信息系統中可能存在的技術風險和面臨的信息安全問題，提出網絡會計信息安全的技術防范對策及安全解決方案，以建立適應網絡會計系統的安全技術機制。
　　
　　網絡會計信息系統是指構建于互聯網及其技術基礎上的新一代會計信息系統，通過Internet和Intranet將企業各職能部門、總部與異地分支機構、合作伙伴、社會管理部門以及其他所有社會組織或個體緊密聯結，使會計信息的采集、傳遞、存儲、加工、檢索、輸出、呈報等活動可在全球范圍內進行。而且Internet時空的無限性和技術的開放性，使得網絡會計超越了時空障礙，實現了會計工作場地虛擬化，資料記錄無紙化，數據傳遞遠程化，信息交換數字化，極大地拓展了企業會計核算和管理職能的作用，實現了企業財務與業務、供應鏈合作企業、社會管理部門之間的協同，大幅提高財務核算和管理效能，有效降低全社會會計信息交流與獲取的成本。
　　但是，網絡會計與傳統會計相比，其風險更高，更容易出現信息泄密，或遭受系統攻擊。不法分子乘機竊取有價值的企業信息及公司客戶的各類私人保密信息；惡意地襲擊網絡會計站點，進行各種可能的破壞，如制造和傳播破壞性病毒或讓服務器拒絕服務等，這些攻擊會引起服務崩潰，信息暴露，從而使企業蒙受巨大的經濟損失。因此，采取有效的防護措施，保證網絡會計信息系統正確、可靠、連續地運行，是網絡時代保護企業利益安全的重要方面。
　　網絡會計信息系統的安全可以從人和技術兩大因素來研究。人的理論、業務、管理水平屬于內部控制的研究范疇，技術因素是指通過各種管理、技術的控制措施，使系統硬件、軟件及其中的數據資源受到保護，不會因其偶然或惡意的行為和事件而使會計信息系統遭到破壞、更改、泄露，保證其連續、可靠、正常地運行。
　　
　　一、導致網絡會計信息系統出現安全問題的因素分析
　　
　　網絡會計信息系統是一種內聯網結構的系統。所謂企業內聯網（Intranet），是指企業應用互聯網的技術和標準，如TCP／IP通信協議、WWW技術規范等建立的企業內部信息管理和交換平臺。企業內聯網通過互聯網，為企業與客戶、供應商之間，企業與銀行、稅務、審計等各部門之間建立開放、公布、實時的雙向多媒體信息交流環境，使企業會計與業務一體化處理和實時監控。然而，由于互聯網／內聯網系統的分布式、開放性等特點，系統的安全性問題更加突出。導致網絡會計信息系統出現安全問題的因素主要體現在以下幾方面：
　　
　　(一)網絡會計信息系統軟硬件技術存在的漏洞
　　現代操作系統、數據庫系統和應用軟件的規模日趨龐大、功能日趨復雜。因而，在軟件開發過程中，必然存在設計漏洞，甚至故意留下后門(Backdoor)，這為外部攻擊提供了可趁之機。如有些“間諜軟件”能夠在用戶不知情的情況下秘密進行安裝，并悄悄把截獲的一些機密信息發送給第三者，還有一些“廣告軟件”能夠在硬盤上安營扎寨，發作時會不斷彈出廣告，將瀏覽器引導至某些特定網頁，以此盜取用戶的活動信息。據IT業界和美國國家安全部共同成立的“國家互聯網安全聯盟”的估計，目前互聯網上流行的間諜軟件和廣告軟件大概有數萬個之多。
　　自然或人為災害如機房火災能使計算機、通信設備、軟件、數據徹底摧毀，造成不可估量的損失。如果受到水浸，電纜和電器電子設備會因絕緣性能下降而燒毀。雷擊產生的強電流，是燒毀電子設備或器件的常見原因等。 作為網絡核心的TCP／IP協議設計時完全沒有考慮商業公共網下必須的安全機制，通信線路2d05df1b4213879aa0e579f7009a99aa39da1e1ac0be17f6d586bab1aa08f6d4和設備若屏蔽不善，將存在嚴重的電磁泄露，攻擊者可通過輻射感應接收竊取企業的機密信息；在傳輸過程中，數據以明文方式傳遞，其機密性、完整性、真實性都存在嚴重的安全隱患。
　　
　　(二) 網絡會計信息系統相關人員的道德風險
　　網絡安全的最大風險仍然來自于組織內部人員對會計數據的非法訪問、篡改、泄密和破壞等方面的風險。因此，內部控制已從會計機構內部擴展到對整個企業內部人員的控制。
　　網絡會計信息系統的關聯方也存在著道德風險。網絡對會計最直接的影響體現在財務報告由紙質向網絡形式的迅速轉移，越來越多的企業通過政府指定網站或者自己的門戶站點，強制或自愿披露會計信息，以更好地滿足社會各方對企業會計信息的需求。網絡會計信息系統和社會部門的關聯，又引入了新的安全風險。如企業的關稅方既包括客戶、供應商、合作伙伴、軟件供應商或開發商，也包括銀行、保險、稅務、審計等社會部門。企業與這些關聯方存在著特殊的業務和數據交換關系，有部分企業與關聯方之間采用專用增值網（VAN）實現電子數據交換（EDI）任務，也有的關聯方與企業建立統一的外聯網（Extranet）。在外聯網內，企業之間通過互聯網進行松散型的數據查詢、數據交換、服務技術等。因此，無論從業務聯系還是從網絡聯系上看，外聯網范圍內的企業存在著一種特殊的關系。這種特殊關系使相互間道德風險的發生成為可能。
　　由于互聯網沒有國界和時空的限制，來自社會上的道德風險幾乎不可避免。社會不法分子對企業內聯網的非法入侵和破壞，包括來自網上的信息截收、仿冒、竊聽，黑客入侵，病毒破壞等是目前媒體報道最多的風險類型。據報道，反病毒專家截獲了一種專門盜取某網上銀行用戶名和密碼的木馬病毒，這種病毒竟能繞過Microsoft安全控件和網上銀行的CA證書，會在用戶計算機中創建可執行文件、修改注冊表，輕易地竊取用戶的賬號和密碼。
　　
　　二、提高網絡會計信息系統的安全性技術措施
　　
　　網絡會計信息系統安全包含系統實體安全和系統數據安全兩部分。系統實體安全是保護軟、硬件安全，保障系統各部件機能正常，系統正常運行。系統數據安全包括靜態存儲和動態傳輸的安全。靜態存儲指網絡中存儲在中央數據庫和各分布式數據庫中數據的安全；動態傳輸是在通信過程中，保證數據的完整性、保密性、有效性和真實性。因此，網絡會計信息系統的安全技術包括：
　　·會計數據的防護技術，包括會計數據的處理和人員的素質的提高；
　　·網絡會計系統的保護技術，包括數據備份、異地存儲和遠程控制數據加密算法和數字簽名技術等。
　　
　　（一）會計數據的防護技術
　　首先確立網絡會計核算前提，建立科學合理的網絡財務會計理論體系，完善會計公認原則。采用科學合理的會計核算方法，利用網絡的實時性，將歷史信息變為現行信息、定期固定信息變為隨時可選信息。確立網絡財務報告的基本框架，利用網絡開展遠程審計、實施實時多方監督，大大減少主觀因素的影響；同時，管理人員也可以隨時多方調用會計信息，進行監督，提高監督的有效性。
　　從人員素質來看：一方面通過教育，提高財會人員的思想認識，提高安全防范意識和職業道德水準，嚴格執行各項規章制度；另一方面要加強專業知識的學習和培訓，不斷提高財會人員的計算機網絡和安全防范手段應用水平，在對網上會計信息進行有效過濾的同時，注意保護本企業的會計信息，防止非法訪問和惡意攻擊。
　　
　　（二）網絡會計系統的保護技術
　　國際安全巨頭賽門鐵克（symantec）公司中國區執行總裁鄭裕慶曾說：“防止網絡威脅惟一的方法是主動預防，即部署整體的網絡安全解決方案，而不是簡單的反病毒解決方案。”
　　1.高效的計算機網絡系統應具有容災、容錯技術
　　
　　容災系統的關鍵在于數據同步復制技術。當網絡系統在遭遇自然災害、戰爭、電力中斷、設備故障等不可抗拒的災難和意外時，一方面能夠實施充分的數據備份方案來使保證系統數據的完整性和可用性，使系統能迅速恢復正常運行；另外，可以采用額外的硬件、軟件、電源部件或錯誤處理模塊作為系統的后援，在系統硬件發生故障時，自動切換至備份硬件。常用的技術手段有磁盤鏡像、RAID、雙機熱備份、額外的通信設備和線路。
　　2.及時下載和安裝系統補丁，堵住操作系統、數據庫管理系統和網絡服務軟件的漏洞
　　首先，惡意代碼是一種具有破壞力的程序，它通常附著在另一段正常程序之上，隨同寄生程序一同被運行，通過盜竊、修改、刪除被染計算機的數據而威脅系統的安全。防范惡意代碼首先須修補系統漏洞，及時升級和打補丁。其次，安裝性能優良的殺毒和防黑軟件，定期升級病毒庫，定期整機掃描殺毒。再次，加強對網絡使用的控制，如禁止訪問有安全風險的站點，不下載安裝未經認證的程序，不打開不明郵件附件等。
　　3.實施防火墻可有效提升企業內部網絡的安全
　　防火墻是架構在本地網絡與外界網絡之間的通信控制設施，可以正確劃分資源保護和開放的邊界，據此定義訪問控制表，對雙向的訪問數據流實施逐一檢查，允許符合企業安全政策的訪問，攔截可能危害企業網絡安全的訪問，從而對企業內部網上敏感數據資源或服務加以保護。
　　4.密鑰技術是網絡會計發展的關鍵環節，既可解決靜態會計信息被非授權訪問或篡改的問題，又能解決動態會計信息在傳輸中被截取的問題
　　在網絡上發送財務信息之前，采用有效的安全密鑰技術將客戶端和服務器之間傳輸的所有數據都進行加密處理，將明文切換為雜亂無章的密文，接收方須經解密后才能閱讀到原始信息內容。加密和解密都在密鑰的控制下方能正確完成。雖然網絡黑客或其他惡意攻擊者可以通過竊聽截獲數據報文，但由于沒有解密所需的密鑰，無法恢復明文而不能讀懂亂碼背后的真實信息。CA認證中心及數字證書為解決身份真實性問題提供了有效的技術機制。CA通過數字證書，統一分配公有信息，授予用戶可以合法使用的公、私鑰對，實施網絡交易安全。
　　5.訪問控制、入侵檢測和應急響應機制可以預防大多數的不安全事件，阻止安全威脅
　　訪問控制分為三層，入網訪問控制、權限訪問控制和屬性訪問控制。入網訪問控制對任一試圖進入系統的用戶進行基于賬號+口令的身份驗證，控制其是否有權接入。保持該項控制有效的關鍵在于合理設置、保護用戶口令。權限訪問控制為每一用戶分配合理、適當的訪問權限，明確界定用戶對包括目錄、文件和設備在內的系統資源擁有的權限，如讀、寫、建立、刪除、更改等。屬性訪問控制是面向系統資源設置屬性，進一步控制用戶對文件或設備等資源的訪問，使所有用戶都不可超越屬性所指定的權限范圍來操作資源。
　　網絡安全是個動態的改進過程，將防護、檢測和響應綜合成一循環體，才是更完整的安全策略。在網絡會計信息系統內安裝適當的入侵檢測系統IDS，通過對用戶行為、系統資源狀態變更的監視，可及時發現入侵事件和系統新的威脅、弱點，識別防火墻等防護設施不能識別的攻擊，向系統管理員發出安全警告。一旦檢測到入侵事件，立即啟動緊急響應和恢復處理機制，響應機制明確規定應對入侵的程序和措施，如切斷網絡鏈接、記錄事件、報警、恢復系統等。
　　通過采用安全的數據通信協議，采用安全性強的數據加密算法、實現數據保密等，建立有效的計算機病毒防范體系、網絡漏洞監測和攻擊防范系統，建立計算機安全應急機制，使用安全的財務軟件平臺等先進技術，從而確保會計信息的安全。
　　
　　三、結束語
　　
　　網絡會計信息系統是建立在計算機網絡技術和安全技術等信息技術基礎之上的，會計信息是在遵循一定的信息交換協議，以足夠的安全技術為保障，以一定的計算機硬件為支撐，在相應的軟件管理下，在網絡中流通、存儲和處理，并最終以人們需要的形式變現出來。
　　提高網絡安全防范意識，樹立全新的信息安全理念，尋求最佳的安全解決方案，避免因網絡安全防范失誤而造成不必要的損失。首先，強化網絡安全防范意識，實行網絡會計信息安全預警報告制度。會計主管部門應盡快建立一套完善的網絡會計信息安全預警報告制度，依托國家反計算機入侵和防病毒研究中心及各大殺毒軟件公司雄厚的實力，及時發布網絡會計信息安全問題及計算機病毒疫情，從而切實有效地防范網絡會計信息安全事件。其次，要增強用戶的網絡安全意識，切實做好網絡會計信息安全防范工作。針對用戶安全意識薄弱，對網絡安全重視不夠，安全措施不落實的現狀，開展多層次、多方位的信息網絡安全宣傳和培訓，并加大網絡安全防范措施檢查的力度，真正提高用戶的網絡安全意識和防范能力。