針對ＥＲＰ軟件的結構特征，強化企業內部管理

[摘 要]ERP管理軟件技術的發展，有效地促進了企業“管理一體化”，但也引發了新的安全問題。本文以網絡會計軟件的技術結構為切入點，分析其數據安全機制，揭示其存在的隱患，以促進會計軟件技術不斷提高，使企業能夠有針對性地加強內部管理。

[關鍵詞]技術結構；安全機制；對策

[中圖分類號]F232

[文獻標識碼]A

[文章編號]1673-0194(2009)05-0007-03

從網絡會計軟件構架的特征來看，當前軟件相關技術上的不完善使企業內部的安全隱患表現得十分突出。本文以會計軟件的技術結構為切入點，分析其普遍采用的安全機制，進而揭示來自企業內部的安全隱患，為完善會計軟件安全控制技術和強化企業內部管理提供依據。

一、ERP管理軟件的技術結構特征

在網絡通訊日益繁忙的情況下，傳統網絡通訊方式已無法滿足當今的網絡計算量。為適應網絡分布式計算和減輕服務器運算壓力的要求，提高網絡數據處理能力和效率，在軟件開發中運用了組件技術，在客戶機和服務器之間加入中間層服務器的邏輯設備，將C/S(客戶機 /服務器)網絡模式擴展為3層結構的應用模型。

在3層結構應用模型中，中間層服務器是整個系統的應用主體，其主要功能是：傳輸數據、安全檢查和重要數據處理。3層結構的會計軟件技術，極大地減少了客戶機和數據庫服務器的數據運算量，使網絡分布式計算的能力均衡問題得以改善，降低了對網絡帶寬、數據庫服務器和客戶機的數據處理壓力。

會計軟件的3層結構只是邏輯結構分布，用戶要根據網絡建設的實際情況來決定其物理布局。它并不強制要求網絡硬件的物理結構具有同樣的3層構架。在小型的網絡中，網絡運算量不大，可將中間層服務器和數據庫服務器集合在同一臺物理網絡服務器上，甚至可以將邏輯上的客戶端、中間層、數據庫服務器放在同一臺計算機上運行。在大、中規模的網絡中，由于網絡運算量相應增大，一般將中間層單獨安裝在一臺網絡服務器上，形成物理中間層服務器；若仍無法滿足網絡運算的要求，可安裝多臺物理中間層服務器，形成一個服務器集群，作為邏輯上的中間層服務器。安裝有多個中間層物理服務器的應用模型，也被稱為N層結構。這種結構，在邏輯上仍屬3層結構。

網絡會計軟件引入3層結構技術，符合企業管理網絡化、集團化、國際化的客觀需要。它從基本技術上促進了企業財務系統與企業ERP信息系統整合，使企業能夠通過Intranet和Internet對遠程機構實行財務上的集中控制，實現企業外出人員的移動辦公，并通過多種報表動態顯示企業供應鏈、資金流信息，為企業的管理決策提供依據。

二、ERP管理軟件的安全機制

目前，我國開發商提供的網絡會計軟件，實際上只是中間層和客戶端上的應用程序系統，而與會計軟件匹配的數據庫管理系統則由用戶按照開發商要求，從第三方供應商手中取得(我國目前使用的數據庫系統主要有MS SQL Server、Sybase、DB2、Oracle、Informix等)。與此相適應，開發商對會計軟件的安全管理僅局限于對中間層、客戶端上應用程序使用權限的控制，而數據庫的安全則完全依賴于數據庫管理系統自身的管理機制。

MS SQL Server是與我國網絡化會計軟件匹配較多的數據庫管理系統，故本文以此為例來分析網絡數據庫系統的安全機制。MS SQL Server系統的安全機制主要包括用戶管理、使用SSL協議加密、數據文件的備份和加密等，其中系統關于用戶對數據庫訪問權限的控制是最為基礎的安全設置。MS SQL Server系統的用戶管理可以按用戶、角色以及Windows操作系統的分組來規劃用戶的訪問權限。

MS SQL Server系統關于用戶對數據庫訪問權限的控制，可擴展到操作系統以至相應的網絡，包含域、計算機、數據庫管理系統和數據庫4個層次。事實上，MS SQL Server的安全控制策略是一個層次結構系統的集合，只有滿足上一層系統的安全性要求之后，才可以進入下一層。各層MS SQL Server安全控制策略通過相應安全控制系統的身份驗證實現。

MS SQL Server系統具體的訪問登錄控制，有身份驗證和身份驗證模式之分。身份驗證是指系統確認用戶的方式，即用戶登錄身份由誰負責驗證：由MS SQL Server管理系統進行驗證時，稱為SQL Server身份驗證；由Windows操作系統進行驗證時，稱為Windows身份驗證。身份驗證模式是指允許由誰定義的用戶賬戶可以訪問：僅許可Windows系統用戶登錄時，稱為Windows身份驗證模式；既許可Windows用戶又許可MS SQL Server用戶登錄時，稱為混合身份驗證模式。

在數據庫管理系統中，數據庫以文件的形式保存數據。MS SQL Server的數據庫文件可以存放在FAT或NTFS文件系統之中，當存儲在NTFS文件系統之中時，可以使用NTFS的文件加密功能進行加密。

當前網絡會計軟件應用程序系統的安全機制主要包括：操作員管理、會計賬套數據備份、日志管理以及版權維護等。

會計人員職責分工的基本原則是不相容的職務、崗位及業務處理必須分離。為了貫徹會計分工“不相容”原則，保證會計軟件系統及數據的安全，客觀要求系統提供操作員設置和授權功能，以便在計算機系統上進行操作分工和權限控制。按會計軟件應用程序系統的技術結構，可將會計軟件的操作人員分為：應用服務器(中間層)的系統管理人員(包括賬套主管或會計主管)、客戶端的會計業務處理人員(會計軟件無法控制數據庫系統的管理權限)。系統管理人員可以設置會計人員的權限，但不能處理會計業務；會計人員只能依據自己的權限處理相應的會計業務。

會計軟件中對于會計人員權限設置的主要方法有兩種：一種是按操作模塊來劃分操作權限；另一種是先按分組(角色)設置權限，組內再進一步劃分權限。系統管理員(或賬套主管)通過對會計業務操作人員分工和權限管理，一方面防止與業務無關人員進行非法操作，另一方面對系統所含的各個子系統的操作進行協調，以保證系統的安全。

對操作人員操作權限控制和非法操作的防范，關鍵在于操作人員使用口令的安全性。當前，網絡會計軟件對操作人員使用口令的處理技術與使用桌面數據庫的會計軟件相比并沒有明顯改進，仍然是將操作人員的口令加密后，隨同操作人員的其他信息存放在相應數據庫的數據表內。

會計信息化

會計信息化

關于賬套數據的備份，不同的開發商采用的機制也不盡相同，有的對賬套備份文件進行完整壓縮，統一打包為一個數據文件；有的分別處理，部分打包壓縮，如將有關賬套的基本信息，在備份時單獨存放在一個純文本文件中，而其他數據壓縮后打包存放在另一文件中。

三、消除ERP管理軟件隱患的對策

網絡會計軟件3層構架開發技術的先進性、科學性不容置疑，表面上它的各個層次都有安全控制功能，但深入分析后，不難發現其中存在的安全隱患。

首先，從數據庫管理系統層次進行觀察。會計軟件存放各種數據的數據庫，從外部觀察是封裝的，但對數據庫系統特定的管理人員而言，是透明的，亦即擁有dbcreator、securityadmin角色權限的管理人員，可利用數據庫管理工具(如SQL Server的企業管理器)打開會計軟件系統創建的數據庫，直接對各種數據表進行瀏覽、修改等項操作。以某品牌ERP管理軟件為例，其賬套數據由UFSYSTEM、UFSUB、UFDATA等數據庫構成，其中，UFSYSTEM數據庫中存放有包含會計軟件操作員、系統日志等系統信息的各種數據表，UFDATA數據庫包含存放具體會計數據的各種數據表。數據庫管理員通過修改會計軟件操作員的信息和系統日志等手段，就可以不受限制、不留痕跡地利用會計軟件進行非法操作。事實上，數據庫系統管理員在對UFDATA數據庫足夠熟悉又具有相應會計知識的情況下，可以直接修改該數據庫的任何數據(包括會計軟件應用程序禁止修改的數據)，而不留痕跡(已通過相關的試驗進行驗證)。

其次，從中間層次(應用服務器)來觀察。表面上企業可以限制系統管理員接觸數據庫管理程序系統，會計軟件也有限制其操作客戶端應用程序的控制功能，但事實上，會計軟件的系統管理員可以更為方便地利用數據庫系統和會計軟件客戶端應用程序進行非法操作。如某品牌ERP管理軟件，系統管理員擁有系統數據備份、備份恢復、會計操作員授權、日志管理等權限，甚至可以修改會計操作人員使用的口令；加之網絡會計軟件的3層構架僅指邏輯結構，它在一臺物理PC上也可順利運行。這樣企業內部管理若稍有疏漏，系統管理員(或能夠以系統管理員身份登錄系統的其他人員)就有條件利用賬套備份文件和盜版會計軟件在自己全權控制的PC機上，或利用數據庫管理系統，或利用客戶端軟件對賬套數據進行各種非法修改，然后再把修改后的賬套數據恢復到單位的系統之中。再者，會計軟件提供的系統管理員可以修改其他操作員口令的功能，背離了系統管理員無權實施會計業務處理的原則，為不法分子利用這一功能，通過修改他人口令進行非法操作提供了可乘之機。

此外，筆者在教學實踐中還發現一種利用管理軟件的備份文件，進行低層次舞弊的現象。該管理軟件的備份文件由兩個數據文件組成，其中一個是UFERPACT.×××。這個純文本文件，用“記事本”或“寫字板”就可以進行編輯。有的人就利用這一漏洞，結合會計軟件的反結賬、反記賬功能進行舞弊。

針對網絡會計軟件當前存在的問題，會計軟件開發商應該進一步完善軟件安全機制。首先，應對會計軟件創建的數據庫加密，使之全封裝，即不僅對外封裝，而且對數據庫系統管理員也進行封裝。我國的數據庫加密技術，經過多年研究已經成熟。目前保證數據庫安全的中間件技術，在保護用戶軟件、硬件固有功能的前提下，可以有效地實現數據庫密態存儲和查詢。這項技術在我國重要機構應用的結果也證明了它的安全性和可靠性。開發商應盡快吸收、采用這些技術，完善會計軟件的安全機制。其次，應取消會計軟件中背離國家相關法規和會計管理原則的“方便”功能，如，系統管理可以修改會計人員操作口令、“反記賬”、“反結賬”等功能。

而在這些問題沒有解決之前，網絡會計軟件用戶應該針對這些問題強化內部控制機制。

第一，在網絡會計軟件中，數據庫系統、系統管理和應用服務系統、客戶端應用程序的3層構架，盡管在會計信息系統的構建機制上沒有嚴格的物理限制，但使用單位應該從系統安全的角度出發，嚴格劃分服務器和客戶端的管理，不應將服務器和客戶端上的應用程序混合安裝，為有效限制和減少接近服務器的人員提供物質基礎。

第二，明確規定數據庫服務器的管理分工和崗位職責，嚴格按照數據庫管理系統提供的安全機制設置管理權限；禁止無關人員接觸數據庫服務器，使可以接近數據庫服務器的人數降低到最低限度，從管理機制上減少對數據庫進行非法操作的可能性，并明令禁止服務器管理人員跨崗位操作客戶端應用程序的行為。

第三，建立嚴格的賬套數據備份管理制度，對賬套數據的備份時間、備份文件管理、賬套數據備份的恢復做出嚴格限制，從根源上防范利用賬套數據備份文件非法修改系統數據的行為。

第四，定期打印會計檔案，并審查會計數據前后各期的一致性，以便及時發現利用數據庫管理系統工具直接修改賬套數據的非法行為。

主要參考文獻

[1]朱吾謙.四個財務軟件的安全漏洞及補救措施[J].當代計算機，2004(8)：47-50.

[2]亓文會.用友財務軟件的安全隱患與預防對策[J].中國會計電算化，2003(2)：40.

[3]邱勝利.網上審計——網上遠程審計[M].北京：中國金融出版社，2003.

[4]鄒建.SQL Server 2000開發與管理應用實例[M].北京：人民郵電出版社，2005.