會計信息系統安全風險及其防范

□文/鐘駿華齊雨雯（.東北財經大學；.大連財經學院 遼寧·大連）

會計信息系統安全風險及其防范

□文/鐘駿華1齊雨雯2
（1.東北財經大學；2.大連財經學院 遼寧·大連）

本文首先從會計信息失真、企業資產損失、企業重要信息泄露、系統無法正常運行等四個方面，闡述會計信息系統安全風險的形式，然后從硬件系統、軟件系統、會計操作員等方面，分析影響會計信息系統安全風險的因素，最后提出會計信息系統安全風險防范措施。

會計信息系統；安全風險；防范措施

原標題：論會計信息系統的安全風險和防范措施

收錄日期：2014年10月13日

如何提高會計信息系統的安全程度、降低安全風險，是系統設計者、企業管理者和系統用戶都關心和考慮的一個重要問題。所以，針對會計信息系統的安全風險，施加必要的防范措施是每個企業所必須做的事，這樣才能使企業利益達到最大化。由此可見，會計信息系統在企業經營實踐中的經濟作用越來越明顯。

一、會計信息系統安全風險的表現形式

會計信息系統的安全是指系統保持正常穩定運行狀態的能力。會計信息系統的安全風險是指由于人為的或非人為的因素使得會計信息系統保護安全的能力減弱，從而造成系統的信息失真、失竊，企業資金財產損失，系統硬件、軟件無法正常運行等結果發生的可能性。保護系統的安全就是保護系統免遭破壞或遭到損害后系統能夠較容易再生，會計信息系統的安全風險主要表現在以下幾個方面：

（一）企業資產損失。利用非法手段侵吞企業資財是會計信息系統安全風險的主要形式之一。其手段主要有：未經許可非法侵入他人計算機設施、通過網絡散布病毒等有害程序、非法轉移電子資金及盜竊銀行存款等。隨著犯罪技術的日趨多樣化、復雜化，信息系統犯罪更加隱蔽，更加難以發現，涉及的金額也從最初的幾千元發展到幾萬元，甚至上億元，安全風險損失越來越大，后果也隨之越來越嚴重。

（二）企業重要信息泄露。在信息技術高速發展的今天，信息在企業的經營管理中變得越來越重要，成為企業的一項重要資本，甚至決定了企業在激烈的市場競爭中的成敗。網絡的普及讓信息的獲取、共享和傳播更加方便，同時也增加了重要信息泄密的風險。因此，利用高技術手段竊取企業重要機密成為了當今計算機犯罪的主要目的之一，也是構成系統安全風險的重要形式。比如：竊取企業重要的會計信息并泄露給競爭對手以達到某種非法目的等，常常會對企業造成無法估量的損失。

（三）系統無法正常運行。網絡會計主要依靠自動數據處理功能，而這種功能又很集中，自然或人為的微小差錯和干擾，都會造成嚴重后果。無論是無法避免的自然災害，或者是出于非法目的而輸入破壞性程序、操作者有意、無意的操作造成硬件設施的損害、計算機病毒的破壞等都有可能使會計信息系統的軟件、硬件無法正常工作，甚至系統癱瘓，造成巨大損失，給企業帶來很多不便。

二、影響會計信息系統安全的因素

影響會計信息系統安全風險的因素大致可以分為以下三個方面：硬件系統安全、軟件系統安全以及會計操作人員的因素。

（一）硬件系統安全因素

1、不正確操作。計算機系統的操作人員對硬件設備的不正確操作可能會引起系統的損壞，從而進一步危害系統的安全。不正確的操作主要是指操作人員不按規定的程序流程使用硬件設備，例如不按順序開機、關機，有可能燒毀計算機的硬盤，從而造成數據的泄露甚至導致數據的全部丟失。

2、人為因素。人的因素在保障會計信息安全過程中起著主導作用，會計信息系統操作人員出于主觀故意篡改數據或不按操作程序操作，均會直接影響會計信息的真實性和可靠性、可用性；有意破壞系統硬件設備者可能是系統內部操作人員，也可能是系統外部人員。破壞者出于某種目的，例如發泄私憤或謀取不法利益，等等，從而破壞計算機硬件，致使系統運行中斷或毀滅。這種破壞行為可能是以暴力的方式破壞計算機設備，也可能通過盜竊等手段破壞計算機系統，例如竊走存有數據的磁帶或磁盤，或者利用計算機病毒的發作造成硬件損壞等。

3、不可預測的災難。不可預測的災難雖然發生的概率非常小，但不意味這不可能發生，一旦發生對信息系統的破壞性極大，所以必須引起足夠的重視，例如火災或某些元件的損壞，可能造成整個系統的崩潰。

（二）軟件系統安全因素

1、計算機病毒。計算機病毒實際上是一段小程序，它具有自我復制功能，常駐留于內存、磁盤的引導扇區或磁盤文件，在計算機系統之間傳播，常常在某個特定的時刻破壞計算機內的程序、數據甚至硬件。據統計，全世界發現的各種計算機病毒已經超過了24，000種，并且正以每月300～500種的速度瘋狂的增長。由于病毒的隱蔽性強、傳播范圍廣、破壞力大等特點，對遠程網絡會計信息傳輸的安全構成了非常大的威脅。查殺病毒已成為系統安全保護的一個重要的也是必不可少的內容。

2、網絡黑客，也就是指非授權侵入網絡的用戶或程序。黑客最常用的詭計有以下幾種：（1）捕獲，許多程序能夠使破壞者捕獲到一些個人信息，尤其是口令；（2）查卡，這種程序是“捕獲”程序的一部分，它主要捕獲信用卡密碼；（3）即時消息轟炸，利用即時消息功能，黑客可以采用多種程序，以極快的速度用大量的消息“轟炸”某個特定用戶；（4）電子郵件轟炸，用數百條消息、以填塞某人的E-mail信箱，是一種確實可行的在線襲擾的方法；（5）違反業務條款，這種詭計相當于在網上陷害某人，有些程序可使這種欺騙活動看起來就好像是某個用戶向黑客發送了一條攻擊性的E-mail消息；（6）病毒和“特洛伊木馬”，這些程序看起來像一種合法的程序，但是它靜靜地記錄著用戶輸入的每個口令，然后把它們發送給黑客的網絡信箱，從而通過盜竊系統合法用戶的口令，然后以此口令合法登錄系統以實現非法目的。

（三）會計操作人員的安全因素

1、操作人員篡改程序和數據文件。通過對程序做非法的改動，導致會計數據的不真實、不可靠、不準確或以此達到某種非法目的，例如轉移單位資金到指定的個人賬戶。

2、有權和無權用戶的非法操作。主要是操作員或其他人員不按照操作規程或非法操作系統，改變計算機系統的執行路徑從而破壞數據的安全。

3、竊取或篡改商業秘密、非法轉移電子資金和數據泄密等。對會計數據的泄密主要是針對系統的用戶或數據保管人員把本企業會計信息通過磁盤、磁帶、光盤或網絡等介質透露給競爭對手；竊取或篡改商業秘密是系統非法轉移用戶利用不正常手段獲取企業重要機密的行為。借助高技術設備和系統的通訊設施非法轉移資金對會計數據的安全保護構成很大威脅。

除此之外，操作人員通過非法修改、銷毀輸出信息等損壞計算機系統的方式達到掩蓋舞弊行為和獲取私人利益的目的，也是構成系統安全風險的一個重要因素。

三、會計信息系統安全風險防范措施

隨著會計信息系統在企業經營管理中的廣泛應用，一些傳統的核對、計算、存儲等內部會計控制方式都被會計信息系統逐漸的替代，企業內部會計信息的處理發生了根本的變化，但會計信息系統給企業帶來便利的同時也帶來了風險，為了保證會計信息系統的正常，有序工作，其安全風險的防范措施顯得尤為重要，既然已經對會計信息系統安全風險因素進行了三大方面的分析，那么就分別對每一個方面闡述一下相對應的防范措施。

（一）在硬件功能上施加必要的控制

1、提示功能。增加必要的提示功能如軟件執行備份時，存儲介質上無存儲空間、備份介質未正確插入和安裝；執行打印時未連接打印機或未打開打印機電源；用戶輸入數據時輸入了與系統當前數據項不符的數據或未按要求輸入等等，此時系統應給予必要的提示，并自動中斷程序的執行。

2、保護功能。增加必要的保護功能以防止在突然斷電、程序運行中用戶的突然干擾等偶發事故造成的系統故障，如軟件執行結賬時用戶干預等發生時，能自動保護好原有的數據文件，防止數據破壞或丟失、同時對重要數據系統可增加退出系統時的強行備份功能，用戶再次登錄到系統時自動把備份數據與機內數據比較對照，及時發現數據文件的改變。

3、上機操作控制和系統運行記錄控制。（1）建立嚴格的硬件操作規程。安裝計算機硬件系統時，必須按照一定的順序進行；啟動計算機時，要按照先開外設再開主機、關機時先關主機再關外設；計算機處于工作（加電）狀態時、不得拔插各種外部設備；計算機進行軟盤讀寫操作時，不得強行將軟盤取出；網絡的布線要避免電磁干擾或人為的損壞，不要隨意插拔網絡纜線的接頭，也不要經常移動計算機等；（2）制定操作員訪問系統的標準操作規程、明確規定各個操作員進人系統后執行程序的順序、各硬件設備的使用要求、數據文件和程序文件的使用要求以及處理系統偶發事故的操作要求，如設備突然斷電的處理、設備的重新啟動要求等，同時也要制定數據文件的處置標準，對數據文件的名稱、保留時間、存放地點、文件重建等事項做出規定，以便統一管理；（3）通過設置軟件功能、利用系統提供的功能或人工控制記錄等措施對各用戶操作系統的所有活動予以相應的記錄，并定期由系統主管進行監察和檢驗以便及時了解非法用戶和有權用戶越權使用系統的情況。

4、建立健全硬件管理制度和損害補救措施。建立健全設備管理制度，確保硬件設備的運行環境、電源、溫度、濕度、靜電、塵土、電磁干

擾、輻射等，例如計算機系統要求配置穩壓電源，不間斷電源（UPS），有時還需要配置備份電源，以便在長時間斷電的情況下啟用備份電源來保證設備的正常運行；另一方面，各系統操作人員應分清責任，各自管理和使用自己職責范圍內的硬件設備，不得越權使用，禁止非計算機操作人員擅自的使用計算機系統進行操作，以免不當的操作損壞硬件設備。如果有多個用戶使用同一臺設備的情況，要進行嚴格的登記，并記錄運行的情況。

（二）在軟件功能上施加必要的控制措施

1、必要的檢驗功能。設計適應電算化賬務處理的核算組織程序。任何由原始憑證人工編制的記賬憑證都應進行嚴格的審核以及復核。在網絡環境系統中，輸入的工作量由多人共同來分擔，憑證數據的輸入可以采用一組人員輸入，換人復核；或者采用兩組人員分別進行兩次的輸入，輸入的數據分別存放在兩個暫存文件中，然后由計算機對兩個數據文件中的記錄來逐條進行比較。對于存在差異的記錄進行對照顯示或打印，以便于找出錯誤，進行修改。只有完全相同的情況下，系統才把錄入的數據作為正式的憑證數據存儲。未經校驗的數據系統應作上標記，不允許進入記賬憑證文件。

2、加強輸入數據檢驗。對輸入系統的數據、代碼等都要進行檢驗。如：輸入記賬憑證時、每張憑證都要經過日期合法性、會計科目合法性、憑證類合法性、對應科目的合法性、金額借、貸平等校驗。對于那些不符合要求的數據系統不予通過。根據會計核算的要求和網絡系統的特點、系統對輸入的同類記賬憑證、原始憑證自動按日或月分類順序編號，并且對多個用戶同時訪問同一個數據文件時各用戶操作的記錄進行鎖定，拒絕其他用戶的訪問。這樣可以盡量避免多個用戶同時操作易引起的憑證斷號、重號和串號，而且使于分清責任，達到會計控制的目的。

3、建立嚴格的檔案管理制度。（1）系統投入使用之后，原系統的所有程序文件、軟、硬件技術資料應作為檔案進行妥善的保管，并應由專人負責，同時嚴格限制無權用戶、有權用戶在非正常時間等對程序的不正常接觸；在檔案調用時也必須經系統主管和程序保管共同的批準，并對使用人、程序名稱、調出時間、使用原因和目的以及歸還時間等進行詳細的登記和記錄，以便日后核查。（2）所有會計數據文件應做檔案保管并嚴格限制無權用戶、有權用戶非正常時間等的不正常接觸；建立必要的應急措施，如數據文件的定期備份、備份數據的存放地點、存放條件要求、系統數據文件損壞后的再生規則等，從管理上嚴格把關，以降低軟件系統因素的風險。

（三）在會計操作人員上施加必要的控制措施

1、增加必要的限制功能。修改限制，修改功能可以方便用戶，提高系統的實用性，但同時也增加了系統的不安全因素。因此，在賬務處理中有必要對修改功能加以限制：（1）對未記賬的憑證，一經修改，必須進行復核，只有正確之后系統才對修改結果予以確認；（2）對已經記賬的憑證系統不提供直接修改賬目的功能，只能通過編制記賬憑證，對錯誤的憑證進行沖正或補充登記；（3）對修改過的憑證，系統予以標識，保留更改痕跡，并可以打印輸出以作核查依據；（4）輸出的財務報表，其數據由系統自動按照用戶定義的格式和數據來源的公式生成、不提供對數據的修改功能；（5）基礎數據，如：科目庫、代碼庫等的修改權限只授予系統維護員。

2、處理數據的一次性限制。在賬務處理中、期末結賬，一旦執行，系統應予以標識，如果系統的某些設置（比如會計期間）未改變，則不能再執行第二次。

3、實行用戶權限分級授權管理。實行用戶權限分級授權管理，建立起網絡化環境下會計信息系統的崗位責任制。按照網絡化會計系統業務的需求設定各會計上機操作崗位，明確崗位職責和權限，并通過為每個用戶進行系統功能的授權落實其責任和權限。結合密碼管理措施，使各個用戶進入系統時必須輸入自己的用戶號和口令，進入系統之后也只能執行自己權限范圍內的功能，防止非法操作。

4、建立預防病毒的安全措施。堅持使用正版的軟件，不要使用盜版或者來歷不明的軟件；經常性的備份磁盤的數據和軟件；在不能確定計算機是否帶有病毒的情況下，要讀取軟盤的數據必須使軟盤處于寫保護狀態；不要打開和閱讀來歷不明的電子郵件；經常對計算機硬盤和軟盤進行病毒檢測。

5、建立對黑客的防護措施。（1）設置防火墻，使用入侵檢測軟件。入侵檢測軟件可以檢測出非法入侵的黑客，并將它拒之內部網絡之外；（2）抓好網內主機的管理。用戶名和密碼管理永遠是系統安全管理中最重要的環節之一，對網絡的任何攻擊，都不可能沒有合法的用戶名和密碼組合（后臺網絡應用程序開后門例外）。但目前絕大部分系統管理員只注重對特權用戶的管理，而往往忽視了對普通用戶的管理。主要表現在設置用戶時圖省事方便，胡亂設置用戶的權限、組別和文件權限，為非法用戶竊取信息和破壞系統留下了空隙；（3）設置好的網絡環境。網上訪問的常用工具有網絡操作命令，對它們的使用必須加以限制。但這樣做會使網外的一切訪問都被拒絕，即使是合法訪問也不例外。這種閉關自守的做法不太值得提倡，因為這樣會使本網和網外完全的隔絕開，也會給自己帶來諸多的不便與麻煩。應該盡量做到有條件的限制，允許有效的、必要的網上訪問；（4）加強對重要資料的保密。重要資料主要包括路由器、連接調制解調器的電腦號碼以及所用的通信軟件的種類、網內的用戶名等，這些資料都應采取一些必要的保密措施，防止資料隨意的擴散。比如，向電信部門申請通信專用的電話號碼不刊登、不供查詢等。由于公共的或普通郵電交換設備的介入，信息通過它們后可能被篡改或泄露；（5）加強對重要網絡設備的管理。路由器在網絡安全計劃中是很重要的一環、現在大多數路由器已具備防火墻的一些功能，如禁止Internet的訪問、禁止非法的網段訪問等。通過網絡路由器進行正確的存取過濾是限制外部訪問簡單而有效的手段。有條件的地方還可以設置網關機，將本網和其他網隔離，網關機上不存放任何業務數據，刪除除系統正常運行所必需的用戶外所有的無關用戶，也能起到增強網絡的安全性的作用。

四、結論

總之，會計信息系統的安全風險一直以來都是企業管理者、系統設計者以及系統用戶所必須面臨的問題。無論防范措施做得多么完善，也不可能做到沒有漏洞，更何況隨著信息技術的飛速發展，還會應運而生更多的安全問題，想做到萬無一失是不可能的，總會有百密一疏的時候。但是，企業相關人員能做到的是要將會計信息系統的安全風險降到最低，盡量使可能出現的損失最小化，使企業的利益最大化。這樣，只有科學、合理的運用會計信息系統，才能使企業取得長遠的發展。

主要參考文獻：

［1］趙靜.電算化會計信息系統的風險防范問題.財經界（學術版），2013.6.

［2］董瀅.網絡環境下中小企業會計信息系統存在的安全問題及防范對策.甘肅聯合大學學報（社會科學版），2013.1.

［3］趙麗艷.淺談會計信息系統的風險及防范措施.中國電子商務，2014.11.

F23

A