會計信息系統的安全性考量

丁怡清

摘 要：當前，會計信息系統面臨著很多風險和挑戰，對其進行風險分析和風險防范是當前急需解決的問題。根據會計信息系統的特點，對會計信息系統安全進行分析，并提出會計信息系統安全性管理的具體防范措施。

關鍵詞：會計信息系統；安全；內部控制；技術

中圖分類號：F232 文獻標志碼：A 文章編號：1673-291X（2015）09-0150-02

一、會計信息系統安全

（一）會計信息系統內部控制目標

要達到會計信息系統內部控制的目標，首先，要保證它的合法性。合法性可以通過兩個方面來解釋：一是會計信息系統必須符合當前的會計法規以及它的相關的各種國家規定的經濟制度；二是會計信息系統所處理的具體業務必須符合整個企業所規定的各種章程。其次，就是要保證整個會計信息系統的安全性。會計信息系統在投入使用之前，要先對它進行硬件、軟件以及他的數據的安全性進行一種考量。只有整個系統的安全性得以保障，會計信息系統才能有效的運行。最后，要保證系統處理數據的真實性及準確性。在系統運行在系統設計的過程中，要對其嵌套一些程序，比如授權控制程序、數據處理程序、防止修改程序以及在采購過程中對預算的控制程序等。只有這些程序在運行之前被設計好，只有在有效的組織管理控制制度下對輸入的數據進行嚴格把關，才能確保整個數據輸入的真實性和準確性。

（二）我國信息系統安全現狀

要實現企業信息化必須建設安全的信息系統。目前我國的信息系統還處于很落后的一個位置。（1）我國的安全防范意識非常弱。于大多數企業而言，信息系統防護只是采用一些很低端的一些網管產品，比如說，保密通信、防火墻、安全路由器。即便，一些企業采用安全檢測，也都是“已知攻擊”的檢測，并且這種檢驗并沒有大范圍的普及。（2）系統的安全級別低。我國信息系統以及安全產品的級別普遍偏低，按照其安全級別可以發劃分為加密和鑒別技術、數據備份、病毒防范。但是在這些所使用的硬件軟件中大多數都是從外國進口而來的，國產的比例十分的低，特別是對計算機主機有重要影響力的各種數據庫及訪問中心，少有是國產專用的。（3）信息系統的安全建設與管理不規范。對于信息系統安全的不規范可以由以下四個方面來闡釋：國家的相關的法律法規并沒有很健全，在對整個信息系統的建設方面缺乏統一性的指導；企業的安全規劃缺乏策略性的指導，目前很多企業的防范意識較弱，甚至建設之初就缺乏整體策略上的指導；在各個層面上均存在很多漏洞；應用層安全功能規范缺乏安全性的設計，比如目前大多數的企業，他們在設計之初思路就不清晰，重復的去開發且開發不完善，甚至缺乏一些很必要的功能，比如訪問控制功能。這些功能的缺失會導致不能形成一個公共的安全平臺、信息交換混亂等弊端。（4）未建立安全管理體系。企業的內部缺乏一些安全的監察機制，一些部門沒有明確地建立起一種協調和制約關系。有些安全管理機構有名無實，即便存在一些安全管理組織，也不履行職責，有法也不依，制度不落實，缺少專門從事這方面的人員。

二、信息安全技術

（一）防火墻技術

防火墻是網絡安全的第一道保障。要想保障網絡的安全，首先要做的就是進行防火墻的安裝。防火墻就是被設置在保護各個網絡比如說公共網絡和其他網絡包括他們的邊界，并對這些網絡中所通過的信息進行一種舍棄、阻斷或者是通過的軟件、硬件系統。防火墻通常具有如下特性：（1）所有信息的傳遞必須通過防火墻；（2）只有在安全范圍內的信息，防火墻才允許通過；（3）防火墻本身是具有阻攔功能的。

防火墻是具有保護網絡防止黑客入侵等功能的基礎設施，它是對不同的網絡進行網絡管理之間信息必須要經過的一個切口。企業可以通過對出入信息流的監測達到對外部網絡的屏蔽功能。

（二）入侵檢測技術

入侵檢測系統（簡稱IDS）是面對網絡入侵檢驗的安全監測系統，是網絡安全的第二道防線，是作為一種基礎設備的補充。他處在某些關鍵的節點，對這些關鍵節點的信息進行收集，以發現系統是否有遭到非法入侵或者是不恰當的未授權操作。通過對這些入侵企圖的檢測、識別、隔離和對異常行為的統計，達到系統管理員對系統有效評估的目的。

（三）漏洞掃描技術

漏洞掃描技術就是對整個信息網絡進行檢查發現漏洞的技術。它是除防火墻、入侵檢測技術之外的又一安全技術。不管攻擊者從外部還是內部，他們都是利用該網絡中存在的一些漏洞。因此這種掃描技術就是在黑客入侵或者是網絡系統癱瘓之前的預防性技術。

（四）數字簽名技術

數字簽名技術就是在原有的數據上附加一種數據，使接受者能夠通過對這些附加數據的辨認達到對其原有數據的完整性和來源的準確確認。

（五）數字加密技術

數字加密技術，就是將原有信息通過一系列加密規則的轉換，將其變成無意義的數據，而接收方再根據相對應的規則，將其重新轉換為原先的數據明文。數字加密技術，降低了數據在傳遞的過程中，遭到泄露的風險。

三、會計信息系統存在的安全問題

（一）信息系統共有的安全問題

1.信息系統的權限

授權控制是一種非常常見的對信息達到很好的內部控制的手段。通常情況在傳統的經濟業務流程中，從會計信息的錄入、登賬、明細表，匯總表到形成最終的報表，總會有擁有不同權限的人來對每個環節進行各種簽字以及蓋章。這種簽字和蓋章在會計信息系統里面，是通過操作口令的形式表現出來的，而一旦操作口令被竊取，會對整個信息系統造成很大的危害。所以相關人員必須保證操作口令的保密性。

2.原始數據輸入準確性

在會計信息系統里，所有的原始數據都是靠人工輸入的，只要一步出錯，明細賬、總賬都會連鎖出錯。因為計算機只能按照預先編入的程序、指令執行，不能夠識別。所以一定要在最初始輸入的時候不能出錯，以確保原始數據輸入的準確性。endprint

3.數據庫安全問題

數據庫安全對企業有著至關重要的意義。高層需要通過它來進行決策；管理層需要他們的數據來進行管理；政府部門需要真實的會計信息實現對企業的監管；投資者則通過這些信息來決定是否投資。對于一個企業來說，一旦數據庫的安全受到威脅，將會產生非常嚴重的后果。

4.控制舞弊的難度加大

隨著計算機的普及，利用計算機技術進行循私枉法、貪污舞弊的情況，越來越嚴重。一些人利用計算機對數據進行竊取并造假。而電子計算機系統和手工記賬會計系統相比，它的操作更具有隱蔽性，造成的危害更為嚴重。

（二）會計信息系統特有的安全問題

1.直觀審計線索的缺失

審計線索對審計工作來講極其重要。在手工記賬的過程中，每一環節，都有一定的數據可考。然而利用計算機記賬，只有在初始的階段會有原始的錄入，其他過程中信息以磁盤為載體，審計線索容易中斷，而且容易被篡改，且不易被發現。

2.會計信息易于偽造

在手工會計體系，紙質是固定的，即便被修改也很容易被查處出來，但是如果通過會計信息系統就很容易被篡改而且不留痕跡。這些非法篡改會對整個會計信息甚至整個公司造成非常嚴重的后果。

四、構建會計信息系統安全控制框架

（一）會計信息系統安全技術體系

從會計信息系統安全技術角度來說，主要可以分為上文所描述的三個方面：一是系統的內部控制，二是系統防止外部入侵，三是數據庫的安全性問題。

（二）會計信息系統組織機構控制

組織機構控制就是在整個企業機構在設計的過程中對這些人的職責、權限進行一個非常明細的劃分。在實現計算機會計信息系統后，要實現內部控制就必須以科學的組織機構劃分為基礎。

（三）會計信息系統安全管理制度

任何一個會計信息系統的正常運行都必須在一定的管理制度的指導下。只有非常成熟的管理制度，才能使企業的日常活動得到完美有效的運行。會計信息系統安全的管理機構應該制定相應的安全等級，根據不同的安全等級，確定他們不同的工作內容和工作形式。

五、結語

會計信息系統在企業得到了廣泛的運用，但是會計信息系統的安全性，仍然沒有得到企業應有的重視。作為現在企業，應加強對會計信息系統安全性的重視，加強對數據庫的保護，完善相關的會計信息系統管理制度，加強內部控制，開發新的技術，只有這樣才能為企業的健康發展、效益的穩健提升解除后顧之憂。

參考文獻：

[1] 沈浩鵬.網絡會計信息系統構造與實施問題的研究[D].天津：天津工業大學，2006.

[2] 孫立輝.網絡環境下的會計信息系統審計[D].北京：財政部財政科學研究所，2004.

[責任編輯 陳鳳雪]endprint