1、企业单位内会计信息化安全问题的探讨摘 要:计算机在我国较早进入会计领域,在企业单位内部,承载重要会计数据信息的计算机虽然被隔绝与互联网,但是近年来,来自企业单位的安全风险已经越来越严重,在我国已经出现了多起内部员工篡改会计信息而引发的会计安全风险。 关键词:会计 信息安全 企业单位 计算机系统 保密性 完整性 安全策略 随着我国计算机应用范围的不断扩大,计算机应用时间的逐年增长,计算机已经变成了人们日常的工作、学习、娱乐、生活的必备之物,我国的全民计算机热潮已经使得计算机知识快速地融入到了寻常百姓之中。计算机知识的普及程度越高,相对而言,计算机的安全风险问题就越是严重,我国现在正处于国外发达国
2、家已经经历过的一个全民计算机知识大普及,同时黑客与各类计算机相关的犯罪的巅峰期。随着计算机犯罪力度的不断加大,计算机犯罪已经达到了无孔不入的程度,以前经常被黑客们忽视的企业单位会计系统现在也已经被某些黑客纳入到了“工作范畴” 。因此,企业单位的会计信息化也已经变得不再安全了。企业单位的会计信息化的正常运行是机关工作正常进行的根本保证,也是机关进行各项事业与执行国家法律法规的重要的保障,因此,机关的会计信息化安全极为重要。在计算机犯罪日趋猖獗的今天,即使是企业单位也绝对不能掉以轻心,必须在眼光盯紧外部的同时也要将审视目光扫向机关的内部。在机关的内部筑构一个针对非常入侵可以报警、针对非法篡改数据可
3、以在系统级予以拒绝、针对恶意连接服务器予以记录 IP 并报警的较为安全、较为完善的内部安全机制。这里要给机关的内部安全部门提供的一个建议就是尽量不要使用微软的操作系统作为服务器,这样就可以减少至少百分之八十的黑客户的攻击,此外,在数据的表间进行完整性验证,关键的数据必须三表同写方能确认其写入有效,否则予以拒绝。这样就可以避免黑客在已经入侵服务器的情况下在数据库中试图对会计系统表进行的篡改。此外,与使用 UNIX 系统做服务、进行数据完整性验证同等重要的就是必须对服务器进行专人看管,并且,看管的人员不得与会计人员产生过多的联系,会计人员不得将密码随意泄露给计算机管理人员,同时计算机管理人员也不得
4、获知除系统密码以外的任何密码,包括数据库的密码、财务数据表的写入密码等。这样就可以基本保证企业单位的信息化的安全。下面就更深入地针对安全方面进行较为详细的探讨。 一、企业单位会计信息系统中的数据安全风险总结 企业单位的数据安全风险即指针对企业单位敏感数据所进行的非法的入侵、篡改、破坏等。这些非法的手段不但破坏了企业单位的数据安全,而且使得企业单位的计算机的数据完整性受到了严重的破坏,因此,这些入侵对于机关而言是灾难性的。下面就对破坏的情况加以详述: 1.对财务数据完整性的破坏。黑客或人为因素以及客观因素针对财务系统中的任何一个数据的篡改势必将破坏整个财务的帐务系统数据的完整性。不仅会造成财务数
5、据难以平衡,而且还将造成机关资金、资产、有价证券、商业机密等的重大损失。数据完整性的破坏可能来自多个方面,包括人为因素、设备因素、自然因素及计算机病毒等。 2.对财务数据保密性的破坏。在政府企业单位财务数据保密性的破坏一般包括非法访问、信息泄露、非法拷贝、盗窃以及非法监视、监听等方面。非法访问指盗用别人的口令或密码等对超出自己权限的信息进行访问、查询、浏览。信息泄露包括人为泄露和设备、通信线路的泄露。3.对财务数据可用性的破坏。数据的可用性是指用户的应用程序能够利用相应的数据进行正确的处理。计算机程序与数据文件之间都有约定的存放磁盘、文件夹、文件名的关系,如果改变数据文件的名称或路径,对于它的
6、处理程序来说,这个数据文件就变成了不可用,因为处理程序不能找到要处理的文件。另一种情况是在数据文件中加入一些错误的或应用程序不能识别的信息代码,导致程序不能正常运行或得到错误的结果。 二、企业单位会计信息化安全风险归纳 在这里我们所说的会计信息化安全风险,是指针对企业单位会计信息化的特殊性所产生的相关风险,其重点包括: 1.内控风险。主要指企业单位人员对会计数据的非法访问。篡改、泄密和破坏等方面的风险。网络安全的最大风险仍然来自于组织内部,据统计,大部分的非法闯入者来自于内部人员。因此,内部控制仍然是企业单位会计信息系统控制的基础。 2.网络信息安全风险。首先,黑客危害。其次,计算机病毒猖獗,
7、病毒制造者的技术日益超,手段越来越凶狠,破坏力越来越大。再次,还有网络软件自身的 BUG 程后门程序、通信线路不稳定等因素也为网络系统的安全带来隐患。 3.企业单位的会计信息化未能与企业信息化有机结合。实现会计信息化的主要目的是实现财务、业务、生产一体化,实现物流、信息流、资金流的统一性,这就要求财务信息和业务信息一体化,但从我国目前大部分集团公司的实际情况看,还有一部分由于管理意识不到位,资金短缺、人员缺乏等原因使财务软件大多只在财务部门使用,使得财务、业务数据不能共享,不仅造成横向上不能与银行、税务等部门信息共享,纵向上不能与客户、供应商及时沟通,而且与集团内部各部门也没有很好的连接。 4
8、.企业缺乏复合型会计信息化人才。集团公司会计信息化是现代会计和信息技术相结合的产物,对相应的会计人员、管理人员的素质要求大大提高,不仅要求他们要具有较高的会计业务处理技能和管理能力,而且还要精通计算机网络知识、计算机的基本维护技能以及解决实际工作中各种问题的能力。 三、企业单位会计信息的安全策略 由于机关单位的工作特殊性,要想有效的控制会计信息安全要做到以下几点: 首先,采用有效安全技术,网络财务软件应采用两层加密技术。为防止非法用户窃取机密信息和非授权用户越权操作数据,在系统的客户端和服务器之间传输的所有数据都进行两层加密。第一层加密采用标准SSL 协议,该协议能够有效地防破译、防篡改、防重
9、发;第二层加密采用私有的加密协议,该协议不公开、不采用公开算法并且有非常高的加密强度。 其次,是制定和实施安全管理措施。机关单位内部应按照会计信息化的要求按责、权、利相结合的原则,建立健全和实施会计岗位责任制度、安全日志制度等。 最后,完善内控。企业单位会计信息化的起点是网络化,传统会计系统的内部控制机制与手段已不适应网络环境,网络环境下会计信息系统必须针对网络的特点,建立适应网络系统的控制体系及相应的岗位责任制和内部控制制度。 四、结束语 企业单位会计信息化是开放的现代会计信息系统,它全面运用现代信息技术,通过网络系统,使业务处理高度自动化。信息高度共享,能够进行主动和实时报告会计信息。它不仅仅是会计信息技术的变革,更代表一种适应现代信息技术环境的会计思想。但其安全问题也因此而凸显了出来。 参考文献: 1李捷.如何建立会计信息系统J.会计研究,2004. 2乔鹏,杨宝刚.会计信息系统审计M.北京科学出版社,2006. 3甄阜铭.网络环境下会计信息系统内部控制的探讨J.财会通讯,2007. 4王文杰.机关单位内部控制和会计信息质量J.商场现代化,2005.
