會計信息化管理中數據安全的風險與防范

[摘要]在會計信息化管理中，數據安全無疑是重中之重。本文結合當前會計信息化管理工作中的各種現象，詳細分析了影響會計信息化管理中數據安全的因素，并提出了相應的防范措施，具有較強的針對性和可操作性。

[關鍵字]會計信息化 數據安全 風險 防范

會計信息系統的安全是指系統保持正常穩定運行狀態的能力。會計電算化發展的必然趨勢是網絡會計，會計信息系統建立在網絡環境的基礎上，并且成為電子商務的重要組成部分。在這種情況下，會計信息系統的安全風險比以往大大提高。由于人為的或非人為的因素使得會計信息系統保護安全的能力減弱，從而造成系統的信息失真，企業資金財產損失，系統硬件、軟件無法正常運行等結果的發生。本文將著重分析會計信息系統中數據安全的風險及其防范對策。

1信息系統中數據安全風險概述

數據安全是指防止信息系統中的數據被故意的或偶然的泄漏、破壞、更改，保證信息使用完整、有效、合法。數據安全的破壞主要表現在以下幾個方面：

1.1數據可用性遭到破壞

數據的可用性是指用戶的應用程序能夠利用相應的數據進行正確的處理。計算機程序與數據文件之間都有約定的存放磁盤、文件夾、文件名的關系，如果將數據文件的名稱或路徑進行了改變，對于它的處理程序來說，這個數據文件就變成了不可用，因為它不能找到要處理的文件。另一種情況是在數據文件中加入一些錯誤的或應用程序不能識別的信息代碼，導致程序不能正常運行或得到錯誤的結果。

1.2對數據完整性的破壞

數據的完整性包括信息數據的數量、正確與否、排列順序等幾個方面。任何一個方面遭破壞，均會破壞數據的完整性。數據完整性的破壞可能來自多個方面，人為因素，設備因素，自然因素及計算機病毒等。

1.3對數據保密性的破壞

對保密性的破壞一般包括非法訪問、信息泄漏、非法拷貝、盜竊以及非法監視、監聽等方面。非法訪問指盜用別人的口令或密碼等對超出自己權限的信息進行訪問、查詢、瀏覽。信息泄漏包括人為泄漏和設備、通信線路的泄漏。

2影響會計信息系統中數據安全的主要因素

2.1操作人員的誤操作

部分人員實際操作水平不高，所產生的誤刪除、誤格式化、誤更改，不正當開、關機，使用U盤等存儲設備方法不當，操作員或其他人員不按操作規程或非法操作系統，改變計算機系統的執行路徑，從而破壞了數據的安全性，造成數據的丟失、損壞、數據不能正常調用。

2.2安全意識淡薄，防范意識不強

主要表現是：對會計系統專用計算機的舊設備處理不當，如淘汰的舊機器、磁盤、硬盤等未進行適當的技術處理隨意放置。不法分子從已廢棄的舊設備中，很容易找到重要的數據，甚至已刪除、已格式化的磁盤中也可輕而易舉的提取到重要的財務數據和商業信息，造成信息泄露。操作人員的短時間離開計算機時，不正常退出財會管理系統、不關機，沒有瀏覽防范措施，未經授權的人員可輕易的操作系統，瀏覽、修改數據。操作人員通過電子郵件傳遞重要數據信息，如卡號、密碼，個別管理人員使用帶有重要財會數據的計算機上網聊天等，不知不覺之中給網絡黑客竊取信息提供了方便。

2.3安全管理措施不完善，缺乏與會計信息化管理相適應的監督機制

例如，操作人員可越權篡改程序和數據文件，通過對程序非法改動，導致會計數據的不真實、不可靠、不準確或以此達到某種非法目的，如，轉移單位資金到指定的個人賬戶，竊取或篡改商業秘密、非法轉移電子資金和數據泄密等。系統的一般用戶或數據保管人員能夠輕易地把本企業會計信息通過磁盤、光盤或網絡等介質透露給競爭對手。

2.4數據庫管理系統的脆弱性

我國的會計電算化軟件通常是以數據庫管理系統為基礎經過二次開發完成的，一些重要的會計數據及資料均以數據庫文件的形式存放，存儲的數據易于修改、刪除和替代。此外，開發數據庫管理系統的基本出發點是為了共享數據，而這又帶來了訪問控制中的不安全因素，在對數據進行訪問時一般采用的是密碼或身份驗證機制，這些很容易被盜竊、破譯或冒充。

2.5存儲系統的脆弱性

它的脆弱性表現在如下幾個方面：①硬盤既有動力裝置，又有電子電路及磁介質，任何一部分出現故障均導致硬盤不能使用，丟失其內大量的數據。②軟盤、U盤等移動存儲設備易損壞。它們的長期保存對環境要求高，保存不妥，便會發生霉變現象，導致數據不能讀出。光盤片極易遭到物理損傷（折迭、劃痕、破碎等），從而丟失其內程序和數據。③各種存儲媒體的存儲量大，體積小，一旦被盜竊或損壞，損失巨大。④存儲在各媒體中的數據很容易被拷貝而不留任何痕跡。一臺遠程終端上的用戶，可以通過計算機網絡連接到你的計算機上，利用一些技術手段，訪問到你系統中的數據，并進行拷貝、刪除和破壞。

2.6設備及通信線路的信息泄漏

主要指電磁輻射泄漏、搭線偵聽、廢棄物（被認為已損壞或被更新淘汰的設備）利用幾個方面。電磁輻射泄漏，主要是指計算機、通信線路及其設備在工作時所產生的電磁輻射，利用專門的接收設備就可以在一定的范圍內接收到這些輻射信息，從而造成信息泄露。

2.7病毒、黑客的攻擊

伴隨著計算機網絡廣泛應用，計算機病毒、流氓軟件泛濫，“網絡釣魚”、黑客攻擊事件頻頻發生，這都給會計信息系統的安全帶來了極大的危害。計算機病毒發作時，將搶占系統資源、干擾系統的運行、嚴重影響計算機網絡的速度，并可直接破壞計算機內的重要數據和系統的正常運行。計算機黑客則是采取非法的手段進行信息的截獲和竊取，甚至是非法入侵計算機系統，取得系統的使用權，對數據進行惡意的刪除、修改和復制等。

3防范會計信息化管理中數據安全風險的對策和措施

3.1在軟件功能上施加必要的控制措施

3.1.1采用先進的身份驗證技術。目前，最常用的是密碼，但隨著解密技術的發展和提高，密碼的安全性，尤其是數字、字母密碼，已經很不安全，非常容易被破解，所以，密碼的安全性已經受到嚴重挑戰。事實上，可以用漢字、字母、數字及其他任何的電腦可以識別的符號集合組成編碼，或者用特定的一句話組成的編碼作為密碼的標志，就可使密碼破解異常困難。隨著圖形技術的發展，還可以考慮采用指紋、照片等任意的特殊圖形作為密鑰，或者用手寫體作為密鑰。操作人員身份的驗證應貫穿網絡操作的全過程，包括數據的錄入、數據的修改、數據的保存、數據的發送、數據的傳輸、數據的接收、數據的調用、數據的查閱、數據的處理、數據的輸出等各種環節，每個過程都要有嚴格的身份識別，以確保操作人員合法。

3.1.2提高軟件操作的友好性能。如軟件執行備份時，存儲介質上無存儲空間、備份介質未正確插入和安裝；執行打印時未連接打印機或未打開打印機電源；用戶輸入數據時輸入了與系統當前數據項不符的數據或未按要求輸入等等，系統應給予必要的提示，并引導用戶正確操作。

3.1.3增加必要的保護功能。在突然斷電、死機等偶發事故發生時，能自動保護好原有的數據文件，防止數據破壞或丟失，對重要數據系統可增加退出系統時的強行備份功能，用戶再次進人系統時自動把備份數據與機內數據比較對照，及時發現數據文件的改變。

3.1.4增加必要的檢驗功能。①設計適應會計信息化帳務處理的核算組織程序。任何由原始憑證人工編制的記帳憑證都應進行嚴格的審核、復核。在網絡系統中，輸入工作通常由多人共同分擔，憑證數據的輸入可以采用一組人員輸入，換人復核；或者采用兩組人員兩次輸入，輸入的數據分別存放在兩個暫存文件中，然后由計算機對兩個數據文件中的記錄逐條進行比較。對于存在差異的記錄進行對照顯示或打印，便于找出錯誤，進行修改。只有完全相同，系統才把錄入的數據作為正式的憑證數據存貯。未經校驗的數據系統應作上標記，不允許進入記帳憑證文件。②對輸入系統的數據、代碼等都要進行檢驗。如：輸入記帳憑證時，要經過日期合法性、會計科目合法性、憑證類合法性、對應科目的合法性、金額借、貸平等校驗。③根據會計核算的要求和網絡系統的特點，系統應對輸入的同類記帳憑證、原始憑證自動按日或月分類順序編號，并且可對多個用戶同時訪問同一個數據文件時，鎖定和控制相關用戶的操作，避免多個用戶同時操作易引起的憑證斷號、重號和串號，而且便于分清責任，達到會計控制的目的。

3.1.4增加必要的限制功能。①對末記帳的憑證，一經修改，必須進行復核，只有正確之后系統才對修改結果予以確認；②對已經記帳的憑證，系統不提供直接修改帳目的功能。只能通過編制記帳憑證，對錯誤的憑證進行沖正或補充登記；對修改過的憑證，系統予以標識，保留更改痕跡，并可以打印輸出以作核查依據；③輸出的財務報表，其數據由系統自動按照用戶定義的格式和數據來源的公式生成、不提供對數據的修改功能；④基礎數據如：科目庫、代碼庫等的修改權限只授予系統維護員。

3.2建立必要的管理制度

3.2.1實行用戶權限分級授權管理，建立起網絡環境下會計信息系統的崗位責任制。按照網絡化會計系統業務的需求設定各會計上機操作崗位，明確崗位職責和權限，并通過為每個用戶進行系統功能的授權落實其責任和權限。結合密碼管理措施，使各個用戶進入系統之后也只能執行自己權限范圍內的功能，防止非法操作。同時做到不相容職務的分離；比如：系統的維護人員和系統管理員不得上機處理日常會計業務；會計業務處理人員不能進行系統維護，會計軟件保管人員不能由上述人員兼任等等。

3.2.2建立嚴格的內部牽制制度，對系統的所有崗位職責范圍清楚，各崗位之間要有一定的內部牽制作保障。如：軟件維護后，必須經過維護人員、操作員等共同測試和簽章才能正式投入使用，系統數據輸入人員不能兼做審核，系統進行備份數據恢復時必須由具體操作員和主管共同批準等。

3.2.3建立必要的操作規程和系統運行記錄機制。①制定嚴格的操作規程。如計算機處于工作狀態時、不得拔插各種外部設備；計算機進行軟盤、U盤讀寫操作時，不得強行將盤取出；網絡的布線要避免電磁干擾或人為的損壞，不要隨意插拔網絡纜線的接頭，也不要經常移動計算機等。②制定操作員訪問系統的標準操作規程，明確規定各個操作員進入系統后執行程序的順序、各硬件設備的使用要求、數據文件和程序文件的使用要求，以及處理系統偶發事故的操作規程等。同時要制定數據文件的處置標準，對數據文件的名稱、保留時間、存放地點、文件重建等事項做出規定，以便統一管理。③通過設置軟件或人工控制記錄等措施，對各用戶操作系統的所有活動予以記錄，并定期由系統主管進行監察和檢驗，及時了解非法用戶和合法用戶越權使用系統的情況。

3.2.4建立嚴格的檔案管理制度。系統投入使用之后，原系統的所有程序文件、數據文件，以及軟、硬件技術資料應作為檔案進行保管，并應由專人負責，同時嚴格限制無權用戶、有權用戶非正常時間等對程序的不正常接觸；在檔案調用時也必須經系統主管和程序保管共同批準，并對使用人、程序名稱、調出時間、使用原因和目的，以及歸還時間等進行詳細的登記，以便日后核查。并建立一定的應急措施，如數據文件的定期備份、備份數據的存放地點、存放條件要求、系統數據文件損壞后的再生規則等。

3.2.5建立嚴格的人員更替交接制度。對于各種原因產生的操作人員、系統管理維護人員變動、更換，應嚴格按照交接制度進行工作任務的移交，并及時更改相關人員系統登錄的用戶名、密碼等重要信息，防范調離人員的非法登錄和內部人員的越權使用。

3.2.6采取措施預防病毒、加強網絡安全的防范。堅持使用正版的軟件，定時備份磁盤的數據和軟件。預防病毒的軟件要及時升級，并定時對計算機硬盤和軟盤進行病毒檢測。此外可采取以下措施，加強網絡安全防范。①設置防火墻，使用入侵檢測軟件。②抓好網內主機的管理。用戶名和密碼管理永遠是系統安全管理中最重要的環節之一，但目前絕大部分系統管理員只注重對特權用戶的管理，而忽視對普通用戶的管理。主要表現在設置用戶時圖省事方便，隨意設置用戶的權限、組別和文件權限，為非法用戶竊取信息和破壞系統留下了空隙。③設置好的網絡環境。盡量做到有限制的（允許）網上訪問。④加強對網絡重要資料的保密。主要包括路由器及所用的通信軟件的種類、網內的用戶名等，這些資料都應采取一些保密措施，防止隨意擴散。⑤加強對重要網絡設備的管理和安全設置。路由器在網絡安全計劃中是很重要的一環、現在大多數路由器已具備防火墻的一些功能，如禁止telnet的訪問、禁止非法網段的訪問等。通過網絡路由器進行正確的存取過濾是限制外部訪問簡單而有效的手段。設置網關，加強內網和外網的隔離，網關機上不存放任何業務數據，刪除除系統正常運行所必須的用戶外所有的用戶。

3.3加強信息系統硬件設施的安全防范

要保障信息系統安全可靠的運行，就必須使系統有一個安全環境，同時建立嚴格的硬件管理制度和災害補救措施。比如采用磁盤雙工和磁盤鏡像可以在一塊硬盤失效時，由另一塊硬盤替換工作；雙機熱備份可以在一臺計算機（服務器）失效時，由備用的計算機接替繼續工作。建立健全設備管理制度，確保硬件設備的電源、溫度、靜電、電磁干擾等運行環境良好，例如計算機系統要求配置穩壓電源，不間斷電源（UPS），必要時還可配置備份電源，以便在長時間斷電的情況下啟用備份電源來保證設備的正常運行。

各系統操作人員應分清責任，各自管理和使用自己職責范圍內的硬件設備，不得越權使用。多個用戶使用同一臺設備的，要加強身份驗證和登錄控制，并進行登記記錄運行情況。對于淘汰、更新，甚至損壞的設備，如硬盤等不能簡單地做刪除或格式化即隨便處理，應進行封存或銷毀，以避免重要數據的泄露。

數據安全是會計信息系統能否正常運行的重要因素，除了上述種種措施之外，還必須提高相關領導對信息系統數據安全風險的認識，提高系統使用人員的業務素質和思想修養，使其能夠自覺遵守各種規章制度和操作規程，減少實際工作中的差錯、提高安全意識和保護系統安全的自覺性，及時發現系統的安全風險隱患并及時排除，這對降低系統安全風險都是至關重要的。

[參考文獻]

[1]袁淳主編《內部會計控制規范（第二輯）》，中國市場出版社，2004年;

[2]朱波強《財務會計風險及預警》，《四川會計》2000年第１期;

[3]易正江《計算機會計》，中國商業出版社，2004年.