企業(yè)單位內(nèi)會計信息化安全問題的探討

摘 要：計算機在我國較早進入會計領(lǐng)域，在企業(yè)單位內(nèi)部，承載重要會計數(shù)據(jù)信息的計算機雖然被隔絕與互聯(lián)網(wǎng)，但是近年來，來自企業(yè)單位的安全風(fēng)險已經(jīng)越來越嚴重，在我國已經(jīng)出現(xiàn)了多起內(nèi)部員工篡改會計信息而引發(fā)的會計安全風(fēng)險。

關(guān)鍵詞：會計 信息安全 企業(yè)單位 計算機系統(tǒng) 保密性 完整性 安全策略

隨著我國計算機應(yīng)用范圍的不斷擴大，計算機應(yīng)用時間的逐年增長，計算機已經(jīng)變成了人們?nèi)粘５墓ぷ?、學(xué)習(xí)、娛樂、生活的必備之物，我國的全民計算機熱潮已經(jīng)使得計算機知識快速地融入到了尋常百姓之中。計算機知識的普及程度越高，相對而言，計算機的安全風(fēng)險問題就越是嚴重，我國現(xiàn)在正處于國外發(fā)達國家已經(jīng)經(jīng)歷過的一個全民計算機知識大普及，同時黑客與各類計算機相關(guān)的犯罪的巔峰期。隨著計算機犯罪力度的不斷加大，計算機犯罪已經(jīng)達到了無孔不入的程度，以前經(jīng)常被黑客們忽視的企業(yè)單位會計系統(tǒng)現(xiàn)在也已經(jīng)被某些黑客納入到了“工作范疇”。因此，企業(yè)單位的會計信息化也已經(jīng)變得不再安全了。企業(yè)單位的會計信息化的正常運行是機關(guān)工作正常進行的根本保證，也是機關(guān)進行各項事業(yè)與執(zhí)行國家法律法規(guī)的重要的保障，因此，機關(guān)的會計信息化安全極為重要。在計算機犯罪日趨猖獗的今天，即使是企業(yè)單位也絕對不能掉以輕心，必須在眼光盯緊外部的同時也要將審視目光掃向機關(guān)的內(nèi)部。在機關(guān)的內(nèi)部筑構(gòu)一個針對非常入侵可以報警、針對非法篡改數(shù)據(jù)可以在系統(tǒng)級予以拒絕、針對惡意連接服務(wù)器予以記錄IP并報警的較為安全、較為完善的內(nèi)部安全機制。這里要給機關(guān)的內(nèi)部安全部門提供的一個建議就是盡量不要使用微軟的操作系統(tǒng)作為服務(wù)器，這樣就可以減少至少百分之八十的黑客戶的攻擊，此外，在數(shù)據(jù)的表間進行完整性驗證，關(guān)鍵的數(shù)據(jù)必須三表同寫方能確認其寫入有效，否則予以拒絕。這樣就可以避免黑客在已經(jīng)入侵服務(wù)器的情況下在數(shù)據(jù)庫中試圖對會計系統(tǒng)表進行的篡改。此外，與使用UNIX系統(tǒng)做服務(wù)、進行數(shù)據(jù)完整性驗證同等重要的就是必須對服務(wù)器進行專人看管，并且，看管的人員不得與會計人員產(chǎn)生過多的聯(lián)系，會計人員不得將密碼隨意泄露給計算機管理人員，同時計算機管理人員也不得獲知除系統(tǒng)密碼以外的任何密碼，包括數(shù)據(jù)庫的密碼、財務(wù)數(shù)據(jù)表的寫入密碼等。這樣就可以基本保證企業(yè)單位的信息化的安全。下面就更深入地針對安全方面進行較為詳細的探討。

一、企業(yè)單位會計信息系統(tǒng)中的數(shù)據(jù)安全風(fēng)險總結(jié)

企業(yè)單位的數(shù)據(jù)安全風(fēng)險即指針對企業(yè)單位敏感數(shù)據(jù)所進行的非法的入侵、篡改、破壞等。這些非法的手段不但破壞了企業(yè)單位的數(shù)據(jù)安全，而且使得企業(yè)單位的計算機的數(shù)據(jù)完整性受到了嚴重的破壞，因此，這些入侵對于機關(guān)而言是災(zāi)難性的。下面就對破壞的情況加以詳述：

1.對財務(wù)數(shù)據(jù)完整性的破壞。黑客或人為因素以及客觀因素針對財務(wù)系統(tǒng)中的任何一個數(shù)據(jù)的篡改勢必將破壞整個財務(wù)的帳務(wù)系統(tǒng)數(shù)據(jù)的完整性。不僅會造成財務(wù)數(shù)據(jù)難以平衡，而且還將造成機關(guān)資金、資產(chǎn)、有價證券、商業(yè)機密等的重大損失。數(shù)據(jù)完整性的破壞可能來自多個方面，包括人為因素、設(shè)備因素、自然因素及計算機病毒等。

2.對財務(wù)數(shù)據(jù)保密性的破壞。在政府企業(yè)單位財務(wù)數(shù)據(jù)保密性的破壞一般包括非法訪問、信息泄露、非法拷貝、盜竊以及非法監(jiān)視、監(jiān)聽等方面。非法訪問指盜用別人的口令或密碼等對超出自己權(quán)限的信息進行訪問、查詢、瀏覽。信息泄露包括人為泄露和設(shè)備、通信線路的泄露。

3.對財務(wù)數(shù)據(jù)可用性的破壞。數(shù)據(jù)的可用性是指用戶的應(yīng)用程序能夠利用相應(yīng)的數(shù)據(jù)進行正確的處理。計算機程序與數(shù)據(jù)文件之間都有約定的存放磁盤、文件夾、文件名的關(guān)系，如果改變數(shù)據(jù)文件的名稱或路徑，對于它的處理程序來說，這個數(shù)據(jù)文件就變成了不可用，因為處理程序不能找到要處理的文件。另一種情況是在數(shù)據(jù)文件中加入一些錯誤的或應(yīng)用程序不能識別的信息代碼，導(dǎo)致程序不能正常運行或得到錯誤的結(jié)果。

二、企業(yè)單位會計信息化安全風(fēng)險歸納

在這里我們所說的會計信息化安全風(fēng)險，是指針對企業(yè)單位會計信息化的特殊性所產(chǎn)生的相關(guān)風(fēng)險，其重點包括：

1.內(nèi)控風(fēng)險。主要指企業(yè)單位人員對會計數(shù)據(jù)的非法訪問。篡改、泄密和破壞等方面的風(fēng)險。網(wǎng)絡(luò)安全的最大風(fēng)險仍然來自于組織內(nèi)部，據(jù)統(tǒng)計，大部分的非法闖入者來自于內(nèi)部人員。因此，內(nèi)部控制仍然是企業(yè)單位會計信息系統(tǒng)控制的基礎(chǔ)。

2.網(wǎng)絡(luò)信息安全風(fēng)險。首先，黑客危害。其次，計算機病毒猖獗，病毒制造者的技術(shù)日益超，手段越來越兇狠，破壞力越來越大。再次，還有網(wǎng)絡(luò)軟件自身的BUG程后門程序、通信線路不穩(wěn)定等因素也為網(wǎng)絡(luò)系統(tǒng)的安全帶來隱患。

3.企業(yè)單位的會計信息化未能與企業(yè)信息化有機結(jié)合。實現(xiàn)會計信息化的主要目的是實現(xiàn)財務(wù)、業(yè)務(wù)、生產(chǎn)一體化，實現(xiàn)物流、信息流、資金流的統(tǒng)一性，這就要求財務(wù)信息和業(yè)務(wù)信息一體化，但從我國目前大部分集團公司的實際情況看，還有一部分由于管理意識不到位，資金短缺、人員缺乏等原因使財務(wù)軟件大多只在財務(wù)部門使用，使得財務(wù)、業(yè)務(wù)數(shù)據(jù)不能共享，不僅造成橫向上不能與銀行、稅務(wù)等部門信息共享，縱向上不能與客戶、供應(yīng)商及時溝通，而且與集團內(nèi)部各部門也沒有很好的連接。

4.企業(yè)缺乏復(fù)合型會計信息化人才。集團公司會計信息化是現(xiàn)代會計和信息技術(shù)相結(jié)合的產(chǎn)物，對相應(yīng)的會計人員、管理人員的素質(zhì)要求大大提高，不僅要求他們要具有較高的會計業(yè)務(wù)處理技能和管理能力，而且還要精通計算機網(wǎng)絡(luò)知識、計算機的基本維護技能以及解決實際工作中各種問題的能力。

三、企業(yè)單位會計信息的安全策略

由于機關(guān)單位的工作特殊性，要想有效的控制會計信息安全要做到以下幾點：

首先，采用有效安全技術(shù)，網(wǎng)絡(luò)財務(wù)軟件應(yīng)采用兩層加密技術(shù)。為防止非法用戶竊取機密信息和非授權(quán)用戶越權(quán)操作數(shù)據(jù)，在系統(tǒng)的客戶端和服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)都進行兩層加密。第一層加密采用標(biāo)準(zhǔn)SSL協(xié)議，該協(xié)議能夠有效地防破譯、防篡改、防重發(fā)；第二層加密采用私有的加密協(xié)議，該協(xié)議不公開、不采用公開算法并且有非常高的加密強度。

其次，是制定和實施安全管理措施。機關(guān)單位內(nèi)部應(yīng)按照會計信息化的要求按責(zé)、權(quán)、利相結(jié)合的原則，建立健全和實施會計崗位責(zé)任制度、安全日志制度等。

最后，完善內(nèi)控。企業(yè)單位會計信息化的起點是網(wǎng)絡(luò)化，傳統(tǒng)會計系統(tǒng)的內(nèi)部控制機制與手段已不適應(yīng)網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)必須針對網(wǎng)絡(luò)的特點，建立適應(yīng)網(wǎng)絡(luò)系統(tǒng)的控制體系及相應(yīng)的崗位責(zé)任制和內(nèi)部控制制度。

四、結(jié)束語

企業(yè)單位會計信息化是開放的現(xiàn)代會計信息系統(tǒng)，它全面運用現(xiàn)代信息技術(shù)，通過網(wǎng)絡(luò)系統(tǒng)，使業(yè)務(wù)處理高度自動化。信息高度共享，能夠進行主動和實時報告會計信息。它不僅僅是會計信息技術(shù)的變革，更代表一種適應(yīng)現(xiàn)代信息技術(shù)環(huán)境的會計思想。但其安全問題也因此而凸顯了出來。

參考文獻：

[1]李捷.如何建立會計信息系統(tǒng)[J].會計研究，2004.

[2]喬鵬，楊寶剛.《會計信息系統(tǒng)審計》[M].北京科學(xué)出版社，2006.

[3]甄阜銘.網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)內(nèi)部控制的探討[J].財會通訊，2007.

[4]王文杰.機關(guān)單位內(nèi)部控制和會計信息質(zhì)量[J].商場現(xiàn)代化，2005.