摘　要：文章分析了網(wǎng)絡(luò)會計信息系統(tǒng)面臨的風(fēng)險因素和網(wǎng)絡(luò)會計信息系統(tǒng)應(yīng)強化的安全風(fēng)險防范策略，指出應(yīng)盡快建立和完善電子商務(wù)與王聯(lián)網(wǎng)法規(guī)，為網(wǎng)絡(luò)會計信息系統(tǒng)提供良好的社會環(huán)境和網(wǎng)絡(luò)環(huán)境。
　　關(guān)鍵詞：網(wǎng)絡(luò)會計信息系統(tǒng)　風(fēng)險因素　安全防范
　　中圖分類號：F233　文獻(xiàn)標(biāo)識碼：A
　　文章編號：1004—4914(2010)09-150-02
　　
　　網(wǎng)絡(luò)會計信息系統(tǒng)是基于互聯(lián)網(wǎng)和信息技術(shù)，以財務(wù)管理為核心，融業(yè)務(wù)管理與財務(wù)管理于一體，能夠提供互聯(lián)網(wǎng)環(huán)境下遠(yuǎn)程會計處理方式、集團財務(wù)管理模式的各項功能，實現(xiàn)各種遠(yuǎn)程操作、事中動態(tài)核算、在線財務(wù)管理的一種財務(wù)管理系統(tǒng)。它是電子商務(wù)的重要組成部分；它具有高效、動態(tài)管理，多功能模塊集成，全面監(jiān)控、實時反饋以及系統(tǒng)可移植性高，維護成本節(jié)約等特點；它的應(yīng)用使得財務(wù)管理超越了時空障礙，極大地拓展了企業(yè)會計核算和管理職能的作用。同時，與封閉式單機和局域網(wǎng)會計信息系統(tǒng)相比，系統(tǒng)面臨的各種風(fēng)險更高，更容易出現(xiàn)因信息泄密或遭受攻擊從而導(dǎo)致業(yè)務(wù)中斷、癱瘓，使企業(yè)蒙受巨大經(jīng)濟損失。
　　
　　一、網(wǎng)絡(luò)會計信息系統(tǒng)面臨的風(fēng)險因素
　　
　　網(wǎng)絡(luò)會計信息系統(tǒng)的安全風(fēng)險是指由于客觀或人為的因素使會計信息系統(tǒng)保護安全的能力減弱，從而產(chǎn)生會計信息失真、失竊，使企業(yè)的商業(yè)機密信息泄露從而造成重大資產(chǎn)損失，以及系統(tǒng)的硬件、軟件無法正常運行等災(zāi)害結(jié)果發(fā)生的可能性。其具有難以預(yù)見性、隱蔽性和災(zāi)難性等特點。
　　1.會計信息采集過程中所面臨的風(fēng)險。
　　首先，系統(tǒng)內(nèi)部控制風(fēng)險。在互聯(lián)網(wǎng)環(huán)境下，會計信息采集能夠?qū)⒃S多不相容工作自動合并完成，很容易形成內(nèi)部控制隱患。系統(tǒng)管理員、數(shù)據(jù)錄入員、數(shù)據(jù)管理員和專職會計員等崗位分工不清是造成安全隱患的重要原因。如果不能有效地定義和實施會計崗位的分工和相互監(jiān)督，操作人員就可以越權(quán)篡改程序和數(shù)據(jù)文件，導(dǎo)致系統(tǒng)采集的會計信息不真實可靠，以此達(dá)到某種非法目的，從而造成重大資產(chǎn)損失。
　　其次，系統(tǒng)相關(guān)人員職業(yè)素質(zhì)和道德風(fēng)險。系統(tǒng)內(nèi)部人員在會計信息輸入過程中，對交易或事項的虛構(gòu)或篡改；在信息加工過程中，會計人員職業(yè)判斷的失誤或操作誤差、數(shù)據(jù)輸出錯誤等方面的風(fēng)險。隨著企業(yè)信息化水平的提升，會計信息系統(tǒng)日益與企業(yè)管理信息系統(tǒng)的其他子系統(tǒng)緊密集成，除了會計人員，企業(yè)其他部門人員可能會進(jìn)入或接觸會計信息系統(tǒng)，這為其他內(nèi)部人員濫用、越權(quán)訪問提供了可能。另外，網(wǎng)絡(luò)會計信息系統(tǒng)的研發(fā)人員或系統(tǒng)實施人員利用工作的職業(yè)便利，掌握了系統(tǒng)密碼，為私自違法篡改財務(wù)數(shù)據(jù)提供了可能。
　　2.會計信息處理過程中所面臨的風(fēng)險。系統(tǒng)運行過程中的軟、硬件技術(shù)缺陷風(fēng)險?，F(xiàn)代操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用軟件規(guī)模日益龐大、功能日趨復(fù)雜，軟件中必然存在設(shè)計錯誤和漏洞。軟件質(zhì)量缺陷為外部互聯(lián)網(wǎng)攻擊提供了可趁之機。另外，微電子設(shè)備精密而復(fù)雜，也極易發(fā)生故障，如硬盤故障、內(nèi)存芯片老化、線路截斷等。
　　3.會計信息存儲過程中所面臨的風(fēng)險。
　　首先，數(shù)據(jù)中心的物理安全風(fēng)險。一般的信息數(shù)據(jù)服務(wù)器放置在專門的信息中心來管理，信息中心的物理安全就成了安全風(fēng)險的叉一來源。信息中心的消防設(shè)施，冗余電源以及門禁控制是我們必須重視的安全風(fēng)險。很多企業(yè)對這一方而不是很重視，信息中心沒有統(tǒng)一的門禁控制，對進(jìn)入信息中心的人員也沒有限制，敏感的財務(wù)信息數(shù)據(jù)很容易從信息中心被竊取出來，造成對企業(yè)的損害。
　　其次，系統(tǒng)數(shù)據(jù)檔案的管理和備份不當(dāng)也是一個重大的安全隱患。由于信息數(shù)據(jù)備份策略和方法不科學(xué)，很可能造成備份資料失去時效性，或由于信息數(shù)據(jù)備份介質(zhì)保存的客觀條件不合適，導(dǎo)致數(shù)據(jù)備份介質(zhì)失效，造成企業(yè)不可挽回的資產(chǎn)損失。
　　最后，來自互聯(lián)網(wǎng)的惡意攻擊風(fēng)險。互聯(lián)網(wǎng)上的黑客惡意攻擊愈演愈烈，已成為影響系統(tǒng)安全的重要因素。黑客攻擊往往針對系統(tǒng)的技術(shù)或管理漏洞發(fā)起，通過掃描、惡意入侵、病毒或木馬、欺騙、服務(wù)中斷、竊聽、篡改、假冒等方式攻擊系統(tǒng)實體安全，從而造成系統(tǒng)癱瘓以及重要會計信息丟失或泄露。
　　
　　二、網(wǎng)絡(luò)會計信息系統(tǒng)應(yīng)強化的安全風(fēng)險防范策略
　　
　　1.強化內(nèi)部管理，制定完善的內(nèi)部管理制度。
　　(1)加強系統(tǒng)內(nèi)部控制，實行用戶分級授權(quán)管理，建立崗位責(zé)任制。要保證會計數(shù)據(jù)的安全，首先就要完善相關(guān)人員職能控制制度，明確分工，規(guī)定每一個崗位的職責(zé)。企業(yè)應(yīng)將這些崗位予以分離，特別是系統(tǒng)操作人員、管理人員和維護人員這三類不相容職務(wù)一定要相互分離，互不兼任。在各崗位之間建立起相互聯(lián)系、相互監(jiān)督、相互牽制的關(guān)系。
　　在系統(tǒng)中進(jìn)行分級管理，對各種數(shù)據(jù)的讀、寫、修改權(quán)限進(jìn)行嚴(yán)格限制，把各項業(yè)務(wù)的授權(quán)、執(zhí)行、記錄以及資產(chǎn)保管等職能授予不同崗位的用戶，并賦予不同的操作權(quán)限，拒絕其他非授權(quán)用戶的訪問。
　　會計信息系統(tǒng)是企業(yè)的關(guān)鍵系統(tǒng)，各類賬號的增加或減少應(yīng)當(dāng)記錄在案，新增賬號應(yīng)該有相應(yīng)的審批流程。人員變動以后，賬號要及時調(diào)整。同時應(yīng)加強對財務(wù)人員工作規(guī)范教育，例如：上機人員操作完畢后，必須及時退出系統(tǒng)，以防他人利用自己的身份進(jìn)入系統(tǒng)。
　　(2)定期審核，完善內(nèi)部審計制度。引進(jìn)定期的審核制度，對財務(wù)系統(tǒng)的各類人員職責(zé)進(jìn)行審計。內(nèi)部審計部門是強化內(nèi)部控制制度的一項基本措施。內(nèi)部審計部門不僅應(yīng)審核日常會計賬目，以保證網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)的正常運行，還應(yīng)對內(nèi)部控制體系進(jìn)行系統(tǒng)的檢查，對企業(yè)內(nèi)部控制體系的有效性進(jìn)行評估，并提出改進(jìn)建議。運用會計手段，建立完善的電子對賬系統(tǒng)，及時檢查總賬、明細(xì)賬、銀行日記賬和記賬憑證金額是否一致；運用審計手段，在網(wǎng)絡(luò)會計軟件內(nèi)設(shè)置審計監(jiān)督程序，用來收集審計資料并加以保存，記錄程序和數(shù)據(jù)的異常操作，及時發(fā)現(xiàn)刪除、修改數(shù)據(jù)的行為。
　　2.采取多種技術(shù)措施，強化網(wǎng)絡(luò)運行平臺安全。
　　(1)具備高效的容災(zāi)和容錯技術(shù)。容災(zāi)包括數(shù)據(jù)容災(zāi)和應(yīng)用容災(zāi)。前者通過設(shè)計并實施充分的數(shù)據(jù)備份方案來保證，如本地或異地保存的磁帶、磁盤、光盤冷備份，異地?zé)醾浞輸?shù)據(jù)中心，活動互援備份。后者在數(shù)據(jù)容災(zāi)的基礎(chǔ)上，異地建立一套完整的備份系統(tǒng)。當(dāng)災(zāi)難破壞主系統(tǒng)時，遠(yuǎn)程備份系統(tǒng)迅速接管業(yè)務(wù)，提供不間斷的應(yīng)用服務(wù)。容災(zāi)系統(tǒng)的關(guān)鍵在于數(shù)據(jù)同步復(fù)制技術(shù)。
　　容錯系統(tǒng)包含額外的硬件、軟件、電源部件或錯誤處理模塊作為系統(tǒng)的后援，防止因各種故障、錯誤導(dǎo)致系統(tǒng)運行中斷。如在系統(tǒng)里增設(shè)內(nèi)存、CPU、磁盤存儲設(shè)備的冗余，通過特別設(shè)計的自檢查、診斷功能模塊，在系統(tǒng)硬件發(fā)生故障時，自動切換至備份硬件。常用的技術(shù)手段有雙磁盤鏡像技術(shù)、雙機熱備份等。
　　(2)及時下載和安裝補丁程序，消除網(wǎng)絡(luò)安全漏洞。防止黑客攻擊首先要及時下載和安裝系統(tǒng)補丁，堵住操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)服務(wù)軟件的漏洞。其次要熟悉黑客攻擊的原理和一般過程，采取相應(yīng)的防范措施，保護網(wǎng)絡(luò)安全。如關(guān)閉不需要的端口，關(guān)閉FTP匿名訪問、WEB服務(wù)器的文件夾瀏覽，在路由器前組織TCP攔截對付拒絕服務(wù)攻擊，嚴(yán)格程序數(shù)組邊界檢查，防止緩沖區(qū)溢出攻擊，拋棄以IP地址為基礎(chǔ)的信任策略，不允許使用R類遠(yuǎn)程調(diào)用命令等。另外，還應(yīng)及時升級補丁程序和修補系統(tǒng)漏洞，并且安裝性能優(yōu)良的殺毒和防黑軟件，定期升級病毒庫，定期整機掃描殺毒。此外，還應(yīng)加強對網(wǎng)絡(luò)使用的控制以減少感染病毒的機會，如禁止訪問有安全風(fēng)險的站點，不下載和安裝未經(jīng)認(rèn)證的程序和外掛，不打開不明郵件的附件等。
　　(3)建立健全系統(tǒng)訪問控制權(quán)限設(shè)器。訪問控制通常有三層：一是入網(wǎng)訪問控制，對任何試圖進(jìn)入系統(tǒng)的用戶進(jìn)行基于賬號加密碼的身份驗證。合理設(shè)置并保護用戶密碼，密碼長度應(yīng)大于六位字符，其中字母、數(shù)字和其他字符應(yīng)混合使用，避免使用英文單詞或用戶個人信息(如姓名、生日、電話、身份證號碼等)；強制定期更改密碼。啟用賬戶鎖定，防止非法猜測密碼，控制用戶訪問時間、站點和次數(shù)。二是權(quán)限訪問控制，為每一用戶分配合理適當(dāng)?shù)脑L問權(quán)限，明確界定用戶對包括目錄、文件和設(shè)備在內(nèi)的系統(tǒng)資源擁有的權(quán)限，如讀、寫、建立、刪除、更改等。三是屬性訪問控制，面向系統(tǒng)資源設(shè)置屬性，進(jìn)一步控制用戶對文件或設(shè)備等資源的訪問，使所有用戶都不得超越屬性所指定的權(quán)限范圍操作系統(tǒng)。
　　(4)安裝硬件防火墻系統(tǒng)，確保網(wǎng)絡(luò)傳輸安全。防火墻是架構(gòu)在本地網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)之間的通信控制設(shè)施，對雙向的訪問數(shù)據(jù)流實施逐一檢查，允許符合企業(yè)安全政策的訪問，攔截可能危害企業(yè)網(wǎng)絡(luò)安全的訪問。它能隔離外部互聯(lián)網(wǎng)的安全風(fēng)險，防止其向內(nèi)蔓延，也能對內(nèi)外網(wǎng)間的訪問、通信進(jìn)行安全審查。防火墻應(yīng)用時需對企業(yè)內(nèi)網(wǎng)的主機、服務(wù)、資源進(jìn)行詳盡的敏感度和保護必要性分析，正確劃分資源保護和開放的邊界，據(jù)此定義訪問權(quán)限控制表。
　　(5)建立健全入侵檢測和應(yīng)急響應(yīng)機制。對于利用新發(fā)現(xiàn)的系統(tǒng)漏洞、新攻擊手段的入侵事件，將防護、檢測和響應(yīng)綜合成一循環(huán)體，才是更完整的安全策略。在網(wǎng)絡(luò)會計信息系統(tǒng)內(nèi)安裝入侵檢測系統(tǒng)，通過對用戶行為、系統(tǒng)資源狀態(tài)變更的監(jiān)視，可及時發(fā)現(xiàn)入侵事件和系統(tǒng)新的威脅、弱點，識別防火墻等防護設(shè)施不能識別的攻擊(如來自企業(yè)內(nèi)部的攻擊)，向系統(tǒng)管理員發(fā)出安全警報，并迅速切斷遭受攻擊的網(wǎng)絡(luò)連接，記錄事件日志。
　　3.加強信息中心的安全管理，確保信息數(shù)據(jù)安全。信息中心的安全管理主要指信息中心的防火、防水、防潮、防塵、防磁、恒溫等物理環(huán)境管理。同時特別要加強信息中心的門禁管理，只有經(jīng)授權(quán)的相關(guān)人員才允許進(jìn)入機房。信息中心供配電系統(tǒng)要求能保證對機房內(nèi)的主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備等的電源供應(yīng)，在任何情況下都不能間斷，做到無單點失效和平穩(wěn)可靠。
　　4.適時更新網(wǎng)絡(luò)會計信息系統(tǒng)的補丁程序。使其更具專業(yè)化、人性化和安全化。隨著程序的編輯語言(如jsP、vc++、DELPHI、POWERBULIDER)的不斷推陳出新，網(wǎng)絡(luò)應(yīng)用技術(shù)的日益完善，操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)(sQL 2000)和新型電腦硬件和輔助設(shè)備不斷更新?lián)Q代，以及企業(yè)網(wǎng)絡(luò)會計業(yè)務(wù)范圍的不斷延伸拓展，原先的網(wǎng)絡(luò)會計信息系統(tǒng)亦不能支持企業(yè)對安全性、易用性和專業(yè)性的需要。需適時更新升級其程序，使其更具會計專業(yè)化，操作人性化、數(shù)據(jù)安全化、努力滿足企業(yè)不斷增長的會計業(yè)務(wù)要求。
　　5.完善財務(wù)信息檔案及存儲介質(zhì)的管理。鑒于財務(wù)信息的重要性，日常必須對財務(wù)數(shù)據(jù)進(jìn)行備份。一般可用磁帶、光盤作為數(shù)據(jù)備份介質(zhì)。除了每天的數(shù)據(jù)備份外，定期的數(shù)據(jù)恢復(fù)也是很重要的。根據(jù)需要一般可以每季度作一次歸檔備份和周備份的數(shù)據(jù)恢復(fù)測試，確保備份內(nèi)容的可用性。對記賬憑證、總賬、現(xiàn)金日記賬和銀行存款日記賬等重要賬冊，都應(yīng)按照有關(guān)會計、稅務(wù)和審計等管理部門的要求及時打印輸出，并應(yīng)有專人妥善保管。另外，還應(yīng)加強系統(tǒng)檔案保管人員的權(quán)責(zé)管理，建立嚴(yán)格的借用、歸還手續(xù)制度，杜絕未經(jīng)授權(quán)的人員通過計算機和網(wǎng)絡(luò)瀏覽全部數(shù)據(jù)資料，復(fù)制、偽造、銷毀一些重要的會計數(shù)據(jù)信息。
　　6.堤高會計人員素質(zhì)，增強其安全風(fēng)險防范意識。針對會計人員的特點和企業(yè)工作要求，科學(xué)地確定培訓(xùn)內(nèi)容，更新會計人員的知識。把網(wǎng)絡(luò)知識和常用的辦公自動化軟件操作知識列入每年會計培訓(xùn)范圍之內(nèi)。通過抓好在職會計人員的知識更新，使其在實踐中不斷豐富自己的工作經(jīng)驗，提高會計人員的職業(yè)道德和思想修養(yǎng)，使其在嚴(yán)格遵守各種規(guī)章制度和操作規(guī)程的同時，自覺抵制各種誘惑，減少實際工作中的差錯。加強其對網(wǎng)絡(luò)和應(yīng)用軟件安全風(fēng)險的認(rèn)識和教育，提高會計人員安全意識和保護系統(tǒng)安全的自覺性。
　　7.完善相位的法律和行政法規(guī)，以保障網(wǎng)絡(luò)會計信息系統(tǒng)的安全性。國家應(yīng)盡快建立和完善電子商務(wù)和互聯(lián)網(wǎng)法規(guī)，規(guī)范網(wǎng)上交易的購銷、支付及核算行為，維護互聯(lián)網(wǎng)和信息系統(tǒng)的安全。借鑒國外有關(guān)研究成果和實踐經(jīng)驗，制定符合我國國情的網(wǎng)絡(luò)會計信息管理、財務(wù)報告披露的法規(guī)、準(zhǔn)則。具體規(guī)定企業(yè)網(wǎng)絡(luò)會計核算相關(guān)的會計工作規(guī)范，網(wǎng)上披露的義務(wù)與責(zé)任，網(wǎng)絡(luò)會計信息質(zhì)量標(biāo)準(zhǔn)要求，負(fù)責(zé)監(jiān)管機構(gòu)及其權(quán)責(zé)等方面的法律法規(guī)，為網(wǎng)絡(luò)會計信息系統(tǒng)提供一個良好的社會環(huán)境和網(wǎng)絡(luò)環(huán)境。
　　(責(zé)編：若