王佳寧

網(wǎng)絡(luò)會計的安全包括會計（財務(wù)）數(shù)據(jù)處理的各個環(huán)節(jié)，也就是說，既包括操作這個系統(tǒng)的人和作為系統(tǒng)處理對象的那些數(shù)據(jù)，也包括系統(tǒng)所處的那個環(huán)境。由于種種原因，目前會計信息系統(tǒng)的計算機(jī)安全管理工作還不能適應(yīng)業(yè)務(wù)（特別是電子商務(wù)）發(fā)展與創(chuàng)新的要求，在許多方面還存在著薄弱環(huán)節(jié)。如技術(shù)風(fēng)險防范意識有待提高，技術(shù)風(fēng)險監(jiān)管機(jī)制有待完善，安全技術(shù)防護(hù)體系需進(jìn)一步加強(qiáng)，計算機(jī)安全投入需要增加，安全系統(tǒng)的規(guī)劃與建設(shè)需要做到與電子化項目建設(shè)同步設(shè)計、同步開發(fā)、同步到位，等等。所以，網(wǎng)絡(luò)會計的安全建設(shè)是全方位的系統(tǒng)工程。

一、會計信息系統(tǒng)安全的基本概念

從某種意義來說，會計信息系統(tǒng)如同電子金庫，會計信息系統(tǒng)中的數(shù)據(jù)如同金庫中的資金。信息（數(shù)據(jù)）安全是會計信息系統(tǒng)安全的核心，確保信息的生存性、完整性、可用性和保密性是會計信息系統(tǒng)的中心任務(wù)。信息系統(tǒng)是為承載、傳輸、處理、保存、輸入、輸出、查詢信息提供服務(wù)的基質(zhì)，信息系統(tǒng)安全是信息安全的基本保障。會計信息系統(tǒng)安全的最主要目標(biāo)是防止非法侵入和篡改計算機(jī)系統(tǒng)數(shù)據(jù)，維護(hù)會計數(shù)據(jù)的完整性和可用性，保持系統(tǒng)持續(xù)正常運(yùn)行，不因系統(tǒng)問題導(dǎo)致非計劃間斷營業(yè)。會計信息系統(tǒng)安全的主要任務(wù)是保障信息和與其密切相關(guān)的信息系統(tǒng)的生存性、完整性、可用性和保密性。生存性是指會計信息系統(tǒng)在遇到攻擊的情況下，仍保持正常、持續(xù)運(yùn)行的性能特征。它又可以細(xì)分為多樣性、分布性、備份性、恢復(fù)性、可控性等。

二、網(wǎng)絡(luò)會計安全問題

1.企業(yè)資產(chǎn)損失

利用非法手段侵吞企業(yè)資財是會計信息系統(tǒng)安全風(fēng)險的主要形式之一。其手段主要有未經(jīng)許可非法侵入他人計算機(jī)設(shè)施、通過網(wǎng)絡(luò)散布病毒等有害程序、非法轉(zhuǎn)移電子資金及盜竊銀行存款等。隨著犯罪技術(shù)日趨多樣化、復(fù)雜化，信息系統(tǒng)犯罪更加隱蔽，更加難以發(fā)現(xiàn)，涉及的金額也從最初的幾千元發(fā)展到幾萬元，甚至上億元，安全風(fēng)險損失越來越大，后果越來越嚴(yán)重。

2.企業(yè)重要信息泄露

利用高技術(shù)手段竊取企業(yè)機(jī)密是當(dāng)今計算機(jī)犯罪的主要目的之一，也是構(gòu)成系統(tǒng)安全風(fēng)險的重要形式。比如：竊取企業(yè)重要的會計信息并泄露給企業(yè)的競爭對手以達(dá)到某種非法目的等，常常會對企業(yè)造成無法估量的損失。

3.系統(tǒng)無法正常運(yùn)行

隨著計算機(jī)技術(shù)的不斷發(fā)展，計算機(jī)硬件系統(tǒng)的價格越來越低，硬件的性能越來越高。由于使用和維護(hù)本系統(tǒng)只需要一臺或者幾臺較高配置的計算機(jī)作為系統(tǒng)服務(wù)器，其他的瀏覽器客戶端使用中等配置的計算機(jī)就可以。而且本系統(tǒng)不需要在瀏覽器客戶端安裝任何插件，只需要一個會計網(wǎng)絡(luò)連接設(shè)備接入局域網(wǎng)就可以。因此本系統(tǒng)在經(jīng)濟(jì)層面上是可行的。適用于網(wǎng)絡(luò)會計局域網(wǎng)環(huán)境，可連接用戶數(shù)有限，當(dāng)用戶數(shù)量增多時，性能會明顯下降，客戶端都要安裝應(yīng)用程序，系統(tǒng)擴(kuò)展維護(hù)復(fù)雜，代碼可重用性差。

三、網(wǎng)絡(luò)會計安全策略

安全策略是信息系統(tǒng)安全在觀念、環(huán)境、威脅、目標(biāo)、需求、結(jié)構(gòu)、服務(wù)和過程管理上的總體概念集合，是安全基本方法中的外層安全循環(huán)體系。會計信息系統(tǒng)安全最主要的目標(biāo)是防止非法侵入和篡改會計信息系統(tǒng)數(shù)據(jù)，維護(hù)財務(wù)數(shù)據(jù)的完整性、可用性。各項信息安全決策均以實現(xiàn)該目標(biāo)為核心。在信息系統(tǒng)安全建設(shè)的技術(shù)決策方面，針對安全威脅從宏觀上規(guī)劃好會計信息安全系統(tǒng)，明確會計信息系統(tǒng)的安全目標(biāo)、安全需求和安全結(jié)構(gòu)。針對安全結(jié)構(gòu)，盡可能地找出系統(tǒng)的安全漏洞，確定安全防護(hù)和檢測的對象、內(nèi)容、工具、負(fù)責(zé)人員，選定防護(hù)、檢測、反應(yīng)的功能和時間性指標(biāo)，制定和修改安全服務(wù)的過程。在計算機(jī)安全管理決策方面，要強(qiáng)化安全意識，探索建立有效的管理體制；設(shè)立相應(yīng)的常規(guī)機(jī)構(gòu)；明確相關(guān)部門和有關(guān)人員的責(zé)任，敦促其履行職能；完善規(guī)章制度，制定用戶使用安全系統(tǒng)的規(guī)則，特別要完善和落實計算機(jī)安全管理制度；建立健全的防范、檢測、化解、評估、預(yù)警機(jī)制，強(qiáng)化安全評估。在會計信息系統(tǒng)安全建設(shè)總體思路方面，新老系統(tǒng)安全建設(shè)的策略應(yīng)有區(qū)別：過去開發(fā)的老系統(tǒng)，應(yīng)用軟件基本上是在C2級及其以下安全級環(huán)境上開發(fā)的，如果要將應(yīng)用軟件移植到B1級及其以上安全級的環(huán)境上，應(yīng)用軟件修改量太大，難以實現(xiàn)。策略上是將安全防護(hù)的重點放到網(wǎng)絡(luò)上，加強(qiáng)網(wǎng)絡(luò)和系統(tǒng)安全的檢測、管理、監(jiān)控和處理。新系統(tǒng)的安全建設(shè)，要根據(jù)安全需求，盡可能選擇合適的安全級別操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和安全測試、監(jiān)控設(shè)施。