梁保如

【摘 要】在現(xiàn)代科技高速發(fā)展，信息技術(shù)廣泛應(yīng)用的今天，在給人類帶來方便快捷的信息服務(wù)的同時(shí)，由于其信息的交互性、資源的共享性和傳遞的網(wǎng)絡(luò)性等特點(diǎn)，也帶來了諸多安全隱患，會(huì)計(jì)網(wǎng)絡(luò)系統(tǒng)的安全面臨巨大的風(fēng)險(xiǎn)所以要使會(huì)計(jì)信息系統(tǒng)安全，就必須建立信息系統(tǒng)的安全是信息安全的基本保障。

【關(guān)鍵詞】網(wǎng)絡(luò)系統(tǒng)；會(huì)計(jì)信息；風(fēng)險(xiǎn)防范

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全是指系統(tǒng)保持正常穩(wěn)定運(yùn)行狀態(tài)的能力。在現(xiàn)代科技高速發(fā)展，信息技術(shù)廣泛應(yīng)用的今天，在給人類帶來方便快捷的信息服務(wù)的同時(shí)，由于其信息的交互性、資源的共享性和傳遞的網(wǎng)絡(luò)性等特點(diǎn)，也帶來了諸多安全隱患，會(huì)計(jì)網(wǎng)絡(luò)系統(tǒng)的安全面臨巨大的風(fēng)險(xiǎn)所以要使會(huì)計(jì)信息系統(tǒng)安全，就必須建立信息系統(tǒng)的安全是信息安全的基本保障。

一、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)所面臨的主要安全風(fēng)險(xiǎn)

信息系統(tǒng)是指基于計(jì)算機(jī)的系統(tǒng)，是人、規(guī)程、數(shù)據(jù)庫、硬件和軟件等各種設(shè)備、工具的有機(jī)集合，它突出的是計(jì)算機(jī)、網(wǎng)絡(luò)通信、信息處理等技術(shù)的應(yīng)用。會(huì)計(jì)信息系統(tǒng)作為信息系統(tǒng)的一個(gè)應(yīng)用類型，是一個(gè)有著較為嚴(yán)密的安全防范措施的人機(jī)系統(tǒng)，但是由于系統(tǒng)軟硬件方面的漏洞和內(nèi)部控制方面的局限性也難免存在安全隱患。

（一）會(huì)計(jì)信息的失真風(fēng)險(xiǎn)

財(cái)務(wù)系統(tǒng)數(shù)據(jù)的真實(shí)性是指錄入到財(cái)務(wù)系統(tǒng)中的數(shù)據(jù)應(yīng)該真實(shí)地反映一個(gè)企業(yè)的財(cái)務(wù)狀況。由于會(huì)計(jì)環(huán)境的網(wǎng)絡(luò)化，會(huì)計(jì)信息失真的形式更為隱蔽。這里指的會(huì)計(jì)信息的失真主要指客觀上，財(cái)務(wù)人員的誤操作可能會(huì)將不實(shí)信息錄入到系統(tǒng)中形成的；主觀上，財(cái)務(wù)人員有機(jī)會(huì)偽造、修改和銷毀企業(yè)重要的數(shù)據(jù)；存儲(chǔ)上，數(shù)字化會(huì)計(jì)信息系統(tǒng)的信息在不當(dāng)條件下保存（受熱、受潮）容易損壞丟失。

（二）會(huì)計(jì)信息系統(tǒng)本身的不成熟

軟件設(shè)計(jì)中因疏忽而留下安全漏洞，導(dǎo)致軟件在使用過程中過于脆弱，易受到外來攻擊破壞等，甚至?xí)拐５碾娮佑涃~都無法實(shí)施，導(dǎo)致會(huì)計(jì)數(shù)據(jù)出現(xiàn)偏差，從而會(huì)給會(huì)計(jì)工作帶來很大的安全風(fēng)險(xiǎn)。

（三）網(wǎng)絡(luò)系統(tǒng)的安全性

網(wǎng)絡(luò)是一把雙刃劍，它使企業(yè)在利用Internet提高工作效率的同時(shí)，在網(wǎng)絡(luò)傳輸中又存在黑客，病毒，木馬入侵，造成非法訪問、信息泄露、非法拷貝、盜竊以及非法監(jiān)視、監(jiān)聽等風(fēng)險(xiǎn)。近年來由于沒有安裝防病毒軟件或及時(shí)進(jìn)行系統(tǒng)安全補(bǔ)丁升級(jí)，以及網(wǎng)絡(luò)黑客入侵造成企業(yè)信息的丟失，甚至系統(tǒng)癱瘓的例子可以說數(shù)不勝數(shù)。

（四）數(shù)據(jù)中心的安全風(fēng)險(xiǎn)

我們一般把財(cái)務(wù)系統(tǒng)的主機(jī)放置在數(shù)據(jù)中心，那么數(shù)據(jù)中心的物理安全就成了風(fēng)險(xiǎn)的又一來源。數(shù)據(jù)中心的消防設(shè)施，冗余電源及門禁控制是我們必須要重視的防范財(cái)務(wù)風(fēng)險(xiǎn)的一大內(nèi)容。很多單位對(duì)這一方面不是很重視，數(shù)據(jù)中心沒有統(tǒng)一的門禁控制，對(duì)進(jìn)出數(shù)據(jù)中心的人員也沒有限制，敏感財(cái)務(wù)數(shù)據(jù)很容易從數(shù)據(jù)中心被竊取出來，對(duì)企業(yè)造成損害。

（五）會(huì)計(jì)人才缺乏

會(huì)計(jì)從業(yè)人員應(yīng)當(dāng)熟悉計(jì)算機(jī)網(wǎng)絡(luò)和網(wǎng)絡(luò)信息，掌握網(wǎng)絡(luò)會(huì)計(jì)常見故障的排除方法及相應(yīng)的維護(hù)措施，了解有關(guān)電子商務(wù)知識(shí)和國際電子交易的法律法規(guī)，精通會(huì)計(jì)知識(shí)，這就要求網(wǎng)絡(luò)會(huì)計(jì)人員既是一名出色的計(jì)算機(jī)操作員，又是一名高水準(zhǔn)的會(huì)計(jì)人員并能熟練掌握各種網(wǎng)絡(luò)財(cái)務(wù)軟件的操作。目前，這種復(fù)合型人才在我國還非常缺乏。

二、防范網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的措施

通過上述的網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)分析，我們可以知道在現(xiàn)有的技術(shù)條件下要完全杜絕風(fēng)險(xiǎn)是不可能的。為了保證會(huì)計(jì)信息系統(tǒng)安全穩(wěn)定地運(yùn)行，我們應(yīng)當(dāng)制定必要的安全防范策略，改進(jìn)、加強(qiáng)計(jì)算機(jī)平臺(tái)的設(shè)計(jì)和管理，把網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)降到最低，使會(huì)計(jì)信息系統(tǒng)的技術(shù)風(fēng)險(xiǎn)防范能力不斷提高到一個(gè)新的水平。我們主要從以下幾方面入手來改進(jìn)現(xiàn)有的網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)。

（一）完善內(nèi)部管理，制定完善的管理制度

1.加強(qiáng)系統(tǒng)內(nèi)部控制，實(shí)行用戶分級(jí)授權(quán)管理，建立崗位責(zé)任制

通過計(jì)算機(jī)舞弊、盜取、偽造會(huì)計(jì)數(shù)據(jù)的大多是財(cái)務(wù)人員的工作職責(zé)分工不清造成的。要保證會(huì)計(jì)數(shù)據(jù)的安全，首先就要完善相關(guān)人員職能控制制度，明確分工規(guī)定每個(gè)崗位的職責(zé)。企業(yè)應(yīng)將這些崗位予以分離，特別是系統(tǒng)操作人員、管理人員和維護(hù)人員這三類不相容職務(wù)一定要相互分離，互不兼任。在各崗位之間建立起相互聯(lián)系、相互監(jiān)督、相互牽制的關(guān)系。

將財(cái)務(wù)軟件信息系統(tǒng)進(jìn)行分級(jí)管理，對(duì)各種數(shù)據(jù)的讀、寫、修改權(quán)限進(jìn)行嚴(yán)格限制，把各項(xiàng)業(yè)務(wù)的授權(quán)、執(zhí)行、記錄以及資產(chǎn)保管等職能授予不同崗位的用戶，并賦予不同的操作權(quán)限，拒絕其他非授權(quán)用戶的訪問。會(huì)計(jì)信息系統(tǒng)是企業(yè)的關(guān)鍵系統(tǒng)，各類賬號(hào)的增加減少應(yīng)當(dāng)記錄在案，新增賬號(hào)應(yīng)該有相應(yīng)的審批流程。人員變動(dòng)以后，賬號(hào)要及時(shí)調(diào)整。同時(shí)應(yīng)加強(qiáng)對(duì)財(cái)務(wù)人員工作規(guī)范的教育，例如上機(jī)人員操作完畢后，必須及時(shí)退出系統(tǒng)，以防他人利用自己的身份進(jìn)入系統(tǒng)。

2.定期審核，完善內(nèi)部審計(jì)制度

引進(jìn)定期的審核制度，對(duì)財(cái)務(wù)系統(tǒng)的各類人員職責(zé)進(jìn)行審計(jì)，內(nèi)部審計(jì)是強(qiáng)化內(nèi)部控制制度的一項(xiàng)基本措施。內(nèi)部審計(jì)部門不僅應(yīng)審核日常會(huì)計(jì)賬目，以保證網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的正常運(yùn)行，還應(yīng)對(duì)內(nèi)部控制體系進(jìn)行系統(tǒng)的檢查，對(duì)企業(yè)內(nèi)部控制體系的有效性進(jìn)行評(píng)估，并提出改進(jìn)建議。

3.加強(qiáng)財(cái)務(wù)人員的職業(yè)道德教育和計(jì)算機(jī)安全培訓(xùn)

財(cái)務(wù)人員的道德教育也是防范網(wǎng)絡(luò)會(huì)計(jì)風(fēng)險(xiǎn)的重要一環(huán)。為提高會(huì)計(jì)人員的專業(yè)素質(zhì)和道德素養(yǎng)和計(jì)算機(jī)安全防范技能，要加強(qiáng)對(duì)會(huì)計(jì)人員的后續(xù)教育，通過會(huì)計(jì)和計(jì)算機(jī)安全培訓(xùn)使財(cái)會(huì)人員不斷汲取新知識(shí)，不僅掌握現(xiàn)代網(wǎng)絡(luò)技術(shù)，而且充分認(rèn)識(shí)到會(huì)計(jì)人員的職業(yè)道德的重要性，自覺抵制各種誘惑，切實(shí)遵守各項(xiàng)規(guī)章制度。

4.完善財(cái)務(wù)檔案管理

在選擇存放環(huán)境時(shí)應(yīng)注意充分滿足其防火、防水、防潮、防塵、防磁、恒溫等技術(shù)條件。鑒于企業(yè)財(cái)務(wù)信息的重要性，必須對(duì)財(cái)務(wù)數(shù)據(jù)進(jìn)行備份。除了每天的磁帶備份外，定期的磁帶恢復(fù)也是很重要的。定期檢查、復(fù)制，根據(jù)需要一般可以每季度作一次歸檔備份和周備份的恢復(fù)測(cè)試，確保磁帶內(nèi)容的可用性。

（二）網(wǎng)絡(luò)安全防范措施

1、會(huì)計(jì)數(shù)據(jù)加密安全控制

普通的保密技術(shù)能夠滿足一般系統(tǒng)的應(yīng)用要求，只是通過密碼技術(shù)對(duì)信息加密，是安全的手段。信息加密的核心是密鑰，密鑰是用來對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。根據(jù)密鑰的不同，可將加密技術(shù)分為對(duì)稱加密體制、非對(duì)稱加密體制和不可逆加密體制三種。對(duì)一般數(shù)據(jù)庫來說是較為有效的，但是對(duì)會(huì)計(jì)信息系統(tǒng)來說，僅靠普通的保密技術(shù)是難以確保會(huì)計(jì)數(shù)據(jù)安全的。為了防止其他用戶對(duì)會(huì)計(jì)數(shù)據(jù)的非法竊取或篡改，為防止非法用戶竊取機(jī)密信息和非授權(quán)用戶越權(quán)操作數(shù)據(jù)，在系統(tǒng)的客戶端和服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)都進(jìn)行雙層加密。兩層加密確保了會(huì)計(jì)信息的傳輸安全，從而保證會(huì)計(jì)信息的安全性。

2、防火墻

防火墻是保護(hù)可信網(wǎng)絡(luò)、防止黑客通過非可信網(wǎng)絡(luò)入侵，提供網(wǎng)絡(luò)安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻有包過濾、應(yīng)用層網(wǎng)關(guān)、電路網(wǎng)關(guān)和混合型防火墻等類型。利用防火墻對(duì)雙向的訪問數(shù)據(jù)流實(shí)施逐一檢查，允許符合企業(yè)安全政策的訪問，攔截可能危害企業(yè)網(wǎng)絡(luò)安全的訪問，從而對(duì)企業(yè)內(nèi)部網(wǎng)上敏感數(shù)據(jù)資源或服務(wù)加以保護(hù)。防火墻雖然能抵御網(wǎng)絡(luò)外部安全威脅，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，就要依靠基于網(wǎng)絡(luò)的實(shí)時(shí)入侵監(jiān)測(cè)技術(shù)。

3.數(shù)據(jù)中心的安全管理

數(shù)據(jù)中心的安全管理主要指數(shù)據(jù)中心的物理環(huán)境管理，特別要加強(qiáng)數(shù)據(jù)中心的門禁管理，只有經(jīng)授權(quán)的相關(guān)人員才可以進(jìn)入機(jī)房。數(shù)據(jù)中心的供配電系統(tǒng)要求能保證對(duì)機(jī)房?jī)?nèi)的主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備等的電源供應(yīng)在任何情況下都不會(huì)間斷，做到無單點(diǎn)失效和平穩(wěn)可靠。

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)在運(yùn)作中存在著一定的風(fēng)險(xiǎn)，如果處理不當(dāng)，會(huì)對(duì)企業(yè)的正常運(yùn)行造成不利的影響。但與傳統(tǒng)會(huì)計(jì)相比它的優(yōu)勢(shì)是顯而易見的，我們只要重視目前存在的問題，加強(qiáng)企業(yè)管理和內(nèi)部控制，改進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)的安全性，最大限度地發(fā)揮它的優(yōu)勢(shì)，網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)將會(huì)得到更廣泛地應(yīng)用，更好地為經(jīng)濟(jì)建設(shè)服務(wù)。