“大智移云”時代會計信息系統安全風險評估方法研究

程 苗

(安徽三聯學院 教務處，合肥230601)

“大智移云”是將大數據、智能化、移動互聯網和云計算綜合在一起，是彼此相互關聯并解決問題的一項技術[1]。云計算技術的應用不僅是處理手段，而且在連接到互聯網絡中還會產生很多信息數據，此時的大數據技術就可以將不同類型的數據歸類[2]。隨著互聯網的不斷發展，傳統的“手記式”記錄會計信息的方式已經被專業的現代化會計系統所代替。這種現代化的會計系統，會將原本封閉的會計信息帶入到開放的互聯網絡中[3]。這些變化不僅為企業的運營帶來便利，還能提高會計工作的效率。但是，所有的新事物都具有兩面性，現代化會計系統同時也給企業帶來了威脅，開放的互聯網環境致使會計信息遭受著巨大的安全風險。因此，研究會計信息系統安全評估方法是非常有意義的。

楊云雪等提出了一種基于企業經濟損失的漏洞危險性評估方法，即使用貝葉斯攻擊圖模型，結合企業網絡系統環境變化進行動態安全風險評估，并通過案例研究說明了提出的動態安全風險評估方法的具體計算過程，使用仿真實驗說明了提出的方法更加切合被評估網絡或信息系統遭受攻擊的真實情況，評估結果更加客觀準確[4]。鄒凱等提出了智慧城市信息安全風險評估模型構建方法，即從智慧城市信息安全的5個層次和風險評估的4個主要因素出發，構建智慧城市信息安全風險指標框架，對智慧城市實例進行Ward系統聚類形成分類屬性，選擇C4.5算法的決策樹方法建立風險評估模型，并驗證模型的科學性[5]。但是，以上兩種方法在實際評估時，可以評估的安全風險指標較少。

針對以上問題，本文提出“大智移云”時代會計信息系統安全風險評估方法。該方法可以保障信息系統及其承載的信息和服務的安全性，能避免組織機構因會計信息系統發生危險而帶來不必要的損失。

一、會計信息系統安全風險評估方法

(一)確定安全風險指標

確定“大智移云”時代會計信息安全危險指標前，分析系統中的云端以及客戶端的結構(見圖1)。

圖1 云端及客戶端結構

由圖1可知，云端以及客戶端主要分為5個層次，確定5個層次的多個因素集合為U，設V表示多種評估構成的集合，得到：

(式1)

其中，ui={ui1,ui2,...,uin},(i=1,2,...,n)，使用模糊算法計算5個層次中的多因素集合式1的可用度，先判斷式1中指標之間的相互關系，再采用條件概率計算式1，得到：

P[F|W∩N]=P[F∩W|N/P[W|N]]

(式2)

其中，F表示會計系統在(t,t+dt]期間失效，W表示在時刻t之前正常，N表示起始時刻完好，P表示概率分布值。將得到的概率值大于0.5的指標保留下來，整合得到的風險指標如表1所示。

表1 風險指標

使用表1中的各項風險指標，計算各指標的評價權重，依照得到的權重值結果，調整評估順序，實現會計信息系統安全風險評估。

(二)計算指標評價權重

在計算會計信息系統中的指標評價權重前，應確定系統中存在的不易定量因素[6]。當風險因素過多時，評估出的結果不準確，所以在計算指標評價權重時，要構造一個判斷矩陣，而構建矩陣前，利用層次分析法評估表1中各類型風險指標的相對重要程度，評價集的比例標度為1到9，按照評價集給出的含義構建一個判斷矩陣，使用的標度評價集如下表2所示。

表2 比例標度評價集

續 表

分析表2的評價集，假設同一類型的風險因素為一個風險層，比較某層n個因素C1,C2,...,Cn，對另外一個風險層中的某個因素的影響假定為O，每次取兩個因素Ci和Cj，用aij表示Ci和Cj對O的影響之比，形成的比較矩陣A為：

(式3)

其中，A=(aij)n×n,aij>0,aji=1/aij，i,j=1,2,...,n。此時式3是一個正互反矩陣，利用這個正互反矩陣，將矩陣A的最大特征根記作λ，特征根的特征向量作為權向量ω，則得到：

Aω=λω

(式4)

由式4可知，矩陣A的特征根和特征向量連續依賴于矩陣的因素aij，所以，當aij符合指標一致性時，可以計算出各個指標的權重值，聯立式3與式4，得到指標權重值[7-8]。規定計算得到的權重值大的為最重要的評估指標，利用得到的安全評估指標實現會計信息系統的安全評估。

(三)實現安全風險評估

在實現安全風險評估前，將“大智移云”時代會計信息系統中存在著的一些無法計算權重值的指標篩選出來。無法計算權重值的指標，常指安全風險中的潛在威脅[9]，這些威脅包括蓄意或是偶然的因素，通常表現在人、系統、環境和自然等方面[10]。針對這些方面，嚴格排查網絡攻擊、惡意代碼傳播、郵件炸彈、非授權訪問等故意操作，避免誤操作、維護錯誤等失誤，以保證在進行安全評估時不受這些無法計算其權值因素的干擾[11]。此外，信息系統中的威脅還常存在于系統、網絡或服務的本身上，不定時排查承載會計信息系統的計算機中可能存在的軟硬件風險以及介質老化等問題，將安全評估方法“計算化”。使用的判斷標準如圖2的安全風險類型關系所示。

圖2 安全風險類型關系

由圖2可知，按照4種不同的類型篩選出無法計算出權重值的安全風險后，確定最終的指標，計算指標的權重值，依照指標權重值的大小，實現對會計信息系統安全風險的評估。

二、評估實驗

(一)實驗準備

表3為實驗準備信息安全系統開發及運行環境。利用表3來運行“大智移云”時代會計信息系統。會計信息系統安全風險評估界面如圖3所示。通過該界面，得到可識別的風險指標數量，采用文獻[4]方法、文獻[5]方法和“大智移云”時代會計信息系統安全風險評估方法，對風險指標數量進行對比分析。

表3 信息安全系統運行環境

圖3 會計信息系統安全風險評估界面

(二)實驗結果分析

統計3種風險評估方法，得到的風險指標數量結果如表4所示。

表4 三種評估方法評估指標數量對比

由表4實驗數量結果可知：與表1得到的風險指標相比，文獻[4]方法可以評估出網絡安全風險中的指標數量為3，操作風險中的指標數量為2，法律及聲譽風險和業務風險中的指標數量為3，業務風險中的指標數量為2，比本文方法可評估的指標數量全部都少1個；文獻[5]方法可以評估4種風險指標，網絡安全風險中的指標數量為2，操作風險中的指標數量為1，法律及聲譽風險中的指標數量為2，業務風險中的指標數量為1，比本文方法可評估的指標數量全部都少2個。

三、結語

網絡信息化技術的不斷發展，雖然使社會更進步，但也威脅著各種信息的安全，因此，大力做好信息安全工作是網絡信息領域中的重要任務。“大智移云”時代會計信息系統安全風險評估方法，可以有效確定風險評估的指標，計算各指標的權重值，依照計算出的權重值實現會計信息系統安全風險評估。實驗結果表明，本文提出的安全風險評估方法可以評估的指標最多，更適合在會計信息系統中實際應用。