網絡會計安全問題及其對策探析

王佳寧

網絡會計的安全包括會計（財務）數據處理的各個環節，也就是說，既包括操作這個系統的人和作為系統處理對象的那些數據，也包括系統所處的那個環境。由于種種原因，目前會計信息系統的計算機安全管理工作還不能適應業務（特別是電子商務）發展與創新的要求，在許多方面還存在著薄弱環節。如技術風險防范意識有待提高，技術風險監管機制有待完善，安全技術防護體系需進一步加強，計算機安全投入需要增加，安全系統的規劃與建設需要做到與電子化項目建設同步設計、同步開發、同步到位，等等。所以，網絡會計的安全建設是全方位的系統工程。

一、會計信息系統安全的基本概念

從某種意義來說，會計信息系統如同電子金庫，會計信息系統中的數據如同金庫中的資金。信息（數據）安全是會計信息系統安全的核心，確保信息的生存性、完整性、可用性和保密性是會計信息系統的中心任務。信息系統是為承載、傳輸、處理、保存、輸入、輸出、查詢信息提供服務的基質，信息系統安全是信息安全的基本保障。會計信息系統安全的最主要目標是防止非法侵入和篡改計算機系統數據，維護會計數據的完整性和可用性，保持系統持續正常運行，不因系統問題導致非計劃間斷營業。會計信息系統安全的主要任務是保障信息和與其密切相關的信息系統的生存性、完整性、可用性和保密性。生存性是指會計信息系統在遇到攻擊的情況下，仍保持正常、持續運行的性能特征。它又可以細分為多樣性、分布性、備份性、恢復性、可控性等。

二、網絡會計安全問題

1.企業資產損失

利用非法手段侵吞企業資財是會計信息系統安全風險的主要形式之一。其手段主要有未經許可非法侵入他人計算機設施、通過網絡散布病毒等有害程序、非法轉移電子資金及盜竊銀行存款等。隨著犯罪技術日趨多樣化、復雜化，信息系統犯罪更加隱蔽，更加難以發現，涉及的金額也從最初的幾千元發展到幾萬元，甚至上億元，安全風險損失越來越大，后果越來越嚴重。

2.企業重要信息泄露

利用高技術手段竊取企業機密是當今計算機犯罪的主要目的之一，也是構成系統安全風險的重要形式。比如：竊取企業重要的會計信息并泄露給企業的競爭對手以達到某種非法目的等，常常會對企業造成無法估量的損失。

3.系統無法正常運行

隨著計算機技術的不斷發展，計算機硬件系統的價格越來越低，硬件的性能越來越高。由于使用和維護本系統只需要一臺或者幾臺較高配置的計算機作為系統服務器，其他的瀏覽器客戶端使用中等配置的計算機就可以。而且本系統不需要在瀏覽器客戶端安裝任何插件，只需要一個會計網絡連接設備接入局域網就可以。因此本系統在經濟層面上是可行的。適用于網絡會計局域網環境，可連接用戶數有限，當用戶數量增多時，性能會明顯下降，客戶端都要安裝應用程序，系統擴展維護復雜，代碼可重用性差。

三、網絡會計安全策略

安全策略是信息系統安全在觀念、環境、威脅、目標、需求、結構、服務和過程管理上的總體概念集合，是安全基本方法中的外層安全循環體系。會計信息系統安全最主要的目標是防止非法侵入和篡改會計信息系統數據，維護財務數據的完整性、可用性。各項信息安全決策均以實現該目標為核心。在信息系統安全建設的技術決策方面，針對安全威脅從宏觀上規劃好會計信息安全系統，明確會計信息系統的安全目標、安全需求和安全結構。針對安全結構，盡可能地找出系統的安全漏洞，確定安全防護和檢測的對象、內容、工具、負責人員，選定防護、檢測、反應的功能和時間性指標，制定和修改安全服務的過程。在計算機安全管理決策方面，要強化安全意識，探索建立有效的管理體制；設立相應的常規機構；明確相關部門和有關人員的責任，敦促其履行職能；完善規章制度，制定用戶使用安全系統的規則，特別要完善和落實計算機安全管理制度；建立健全的防范、檢測、化解、評估、預警機制，強化安全評估。在會計信息系統安全建設總體思路方面，新老系統安全建設的策略應有區別：過去開發的老系統，應用軟件基本上是在C2級及其以下安全級環境上開發的，如果要將應用軟件移植到B1級及其以上安全級的環境上，應用軟件修改量太大，難以實現。策略上是將安全防護的重點放到網絡上，加強網絡和系統安全的檢測、管理、監控和處理。新系統的安全建設，要根據安全需求，盡可能選擇合適的安全級別操作系統、數據庫管理系統、網絡系統和安全測試、監控設施。