1、原文网络环境下会计信息安全问题研究 网络环境下会计信息安全问题研究 摘要一、 网络环境下会计信息系统存在的安全性问题(一)网络系统的安全性问题在信息化飞速发展的今天,计算机网络得到了广泛应用,但随着计算机网络技术的发展,随着网络之间的信息传输量的急剧增长,网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能够更加可靠地运行,不受外来入侵者干扰和破坏。所以解决好网络的安全性和可靠性问题,是保证网络正常运行的前提和保障。不同行业的各个机构和部门,在受益于网络加快其业务运作速度的同时,其上网过程中的的数据也潜在地遭到了不同程度的破坏和攻击。攻击者不仅可以窃取网络上的
2、信息、窃取用户的口令、数据库等信息;甚至还可以篡改和删除数据库的内容,伪造用户身份,否认自己的签名,摧毁网络节点,释放计算机病毒等等。这致使网络用户自身的利益和数据的安全性受到了相当严重的威胁。由此足以让我们看到,不论是无意中的错误操作还是有意的攻击,都将会给系统带来难以估量的损失。因此,计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,无论是在会计信息行业还是在其他各个行业中,都要具有全方位的网络安全措施,这样才能确保网络信息的安全性、保密性和完整性。(二)会计信息系统的安全问题会计信息系统是一项融现代信息技术、计算机网络技术和会计理论及实务于一体的学科和系统工程,是基于现代信
3、息技术平台并且融物流资金流、信息流与业务流于一体,反映会计与现代信息技术相结合的高度数字多元化、实时化、个性化、动态化的会计信息系统,是在新的会计思想的指导下进行会计业务流程重组,并在这一系列过程中建立起以集成与互动为特征的现代会计信息系统。在会计信息化条件下,会计信息系统逐步呈现出了开放性、动态性、复杂性、高度集成性等一系列新的特点。但是,与此同时,这也使会计信息系统的脆弱性加大,面临的威胁逐渐增多。首先,软件因素导致的会计信息系统的安全隐患。软件是会计信息系统正常和安全运行的灵魂所在,软件本身的正确完整是会计信息系统得以正常和安全运行的前提条件。对数据的安全保密性弱是我国会计软件目前存在的
4、安全隐患之一,许多软件在开发过程中,只注重软件的功能性,而不注重其安全性,从而使得会计软件的设计总是存在不同种类的漏洞;有些财务软件是对现有单机版、局域网络版财务软件和硬件系统的一种升级,但是这些网络财务软件不一定能够兼容以前的版本和其他财务类型的软件。由于数据格式不同、数据接口不同、数据库被加密等种种类型的原因,以前的财务信息可能不能被及时录入网络财务系统。且对于若干年前保存的会计档案更可能会不兼容,从而使得原有财务信息在新的网络财务系统中无险。其次,会计从业人员计算机知识的缺乏同样导致了会计信息系统的安全隐患。在会计信息化条件下,对于会计信息的采集除了键盘和鼠标这种传统的方式外,还可以通过
5、语音输入、条码阅读、电子邮件、网上下载等多种方式,而且会计信息的输出除了传统的屏幕查询和打印外,也可以通过文件传输、电子邮件、多媒体等方式来进行,凡此种种的新型方式都对会计从业人员的个人能力提出了更高的要求。如果企业在没有复合型、高层次的会计人员的前提下,盲目的推行会计信息化,这无疑将使会计信息系统面临更大的风险。然而,我国的现实情况是一般会计人员业务经验丰富,而计算机专业知识和网络知识却很匮乏,难以胜任利用计算机和互联网处理会计业务的工作,从而导致会计工作人员的操作不够规范和严密,对软件运行过程中出现的故障不能及时解决,对于计算机网络问题更是无从下手,进而使系统不能够正常的运行,导致重要的会
6、计信息丢失。这将给会计的信息安全带来重大的安全隐患,致使会计档案面临失效的巨大风险。此外,网络系统下道德因素同样导致了导致的安全隐患。网络会计信息的无纸化,缺少了手工操作时的内部控制所能依赖的书面审计线索,再加上计算机的自动高效使工作人员的数量不断减少,各种手续都被合并到一起由计算机统一执行,从而不能像手工方式那样相互牵制,构成了内控隐患,所以网络安全的最大风险来自于组织内部。一些研究网络信息安全的调查人员发现,大部分的非法闯入者是企业雇员。在企业中,计算机维护员、程序员、网络操作员、信息系统管理员都有各种机会把威胁引入信息系统。他们常常通过在会计系统中输入虚构的交易,或与非雇员人员合作,转移
7、资产并据为己有,从而形成了欺诈性的财务报告。另外,对公司不满的雇员,尤其是已被解雇的雇员,亦有可能是电脑系统恶意破坏的罪犯。在许多高度竞争的行业中,对竞争对手定量和定性信息的挖掘从未停止过。在信息化条件下,大量的信息资料通过因特网加以传送,这些信息很容易在传送途中被拦截或或者被盗取。比如,在被计算机处理的信息中,有很大比例的信息是通过电信或电缆传输的。一些信息也许仅仅从一个房间传送到另一个房间,而另一些信息可能通过因特网在不同的国家之间传送。这些路线都很容易受到搭线窃听者的袭击,它们甚至可以被一些廉价的安装设备驱动程序在不留痕迹和线索的情况下被窃取和破坏。尽管各大企业每年用于网络安全的年费用支
8、出很多,但黑客们对于互连网站的成功攻击仍然是有增无减,恶意破坏的实施方式更是层出不穷:有比较古老的方法如“逻辑炸弹”,另外还有表面正常的特洛伊木马,以及与特洛伊木马相似,但可以将自身传递给其它程序的一种电脑病毒程序。在实际中,电脑病毒已经相当普遍,多数电脑每年至少遭受一次电脑病毒的攻击。(三)会计信息的安全问题随着我国会计信息化工作的不断推进,会计信息化正逐步从简单的电算化应用向深层次的网络化应用演变,由于互联网技术的开放性,使得网络会计的发展必然会受到会计信息安全的制约。会计信息的安全是指会计信息具有完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全。会计数据的完整
9、是指与损坏和丢失会计数据的相对状态,它通常指会计数据表明的会计信息是可靠的、可用的。会计数据的不安全是指会计数据被有意窃取或损坏的状态。因此,要解决企业会计信息化的安全问题,应该在坚持安全等级成本效益预防为主等原则的基础上,重点放在预防和应急处理两个方面。会计信息安全面临着诸多因素的影响,这些因素可以划为内部因素和外部因素两大类。内部因素主要包括人为因素、硬件故障、电源故障、网络故障、软件系统、操作系统漏洞等。人的因素在保障会计信息安全过程中起主导作用,会计信息系统操作人员出于主观故意篡改数据或不按操作程序操作,均会直接影响会计信息的真实性和可靠性、可用性;硬件故障包括I/O控制器、内存、硬盘
10、以及其他计算机部件,但引起会计数据丢失的主要问题是存储会计数据载体的磁盘物理性损毁所产生的;电源故障包括计算机内部供电与外部供电,当系统突然失去供电,易失性存储器中的数据将会丢失,从而威胁会计信息的安全;由于网络故障的原因,使得会计数据不能正确保存,造成会计信息的丢失;会计信息系统的运行软件由于程序本身设计存在的问题,或者对数据校验考虑不周,都将影响到会计数据的完整性;操作系统作为会计信息系统的运行平台,本身也存在一定的漏洞,极易受到攻击,从而导致会计信息的损坏。外部因素主要包括网络病毒、意外事故等,病毒将造成会计信息丢失或这毁坏,对企业会计信息安全的影响是重大的,虽然意外事故出现的机率相对其
11、他因素较小,但是一旦发生,就会对会计信息系统造成灾难性损失,例如火灾、水灾、工业事故、蓄意破坏等。二、 网络环境对会计信息系统内部控制的影响(一)网络的开放性使得计算机会计信息系统很难避免非法侵扰网络环境的开放性,使会计信息受侵扰风险加剧。从信息的取得渠道看,其来源具有多样性有可能导致审计线索紊乱;从信息传递的方式看,大量信息通过网络通讯线路传输,有可能遭受非法渠道的拦截、窃取和篡改;从信息的存储形式看,信息基本上以电子数据的形式存储,肉眼很难辨认,很容易被修改、删除、隐匿、转移和伪造,并且不会留下任何留的痕迹。网络系统的开放性和动态性更是加大了审计取证的难度,同时加剧了会计信息失真的风险。(
12、二)电子商务的普及,将给内部控制带来前所未有的挑战电子商务给企业带来了无限生机,它作为企业一种全新的经营和贸易方式,可以降低企业的经营成本、进行有效沟通、促进销售改善企业的经营效率及业绩。然而,电子商务的交易流程与以往大不相同,交易无纸化、货币电子化、技术复杂化、审计线索的改变或者消失,也给企业会计信息系统的内部控制带来新的挑战。随着互联网的迅猛发展,网上交易愈加普遍,电子商务将逐步普及。电子商务一方面极大地提高了商务活动的效率,为企业带来了无限的生机,另一方面也给计算机会计信息系统的内部控制带来了新的挑战。基于电子商务的单据电子化、货币电子化、网上银行和网上结算化等等,虽然可加快资金周转速度
13、,但给计算机会计信息系统带来的风险将是空前的,这将给网络计算机会计信息系统的内部控制带来极大的困难和前所未有的挑战,计算机会计信息系统的内部控制体系也因此将会发生深刻的变化。(三)内部控制的范围扩大,加大了计算机会计信息系统的控制难度在网络环境下,由于互联网系统具有开放性、共享性、分散性的特点,会计数据的处理方式突破原有的封闭性系统环境,以及系统建立的运行的复杂性,要求内部控制的范围逐步扩大,并延伸到整个网络系统。如对网络系统开发过程的控制、系统权限的控制、系统安全的控制、计算机病毒的防治、数据编码的控制以及对调用和修改程序的控制等,因而极大地加大了内部控制的困难程度。(四)内部控制的程序化,
14、加大了计算机会计信息系统的控制风险在网络环境下,计算机会计信息系统的优劣在很大程度上取决于会计信息系统中运行的应用程序的质量。一旦这些应用程序中存在严重的漏洞或受到恶意的损坏,便会严重危害到系统的安全。毕竟会计人员掌握的计算机专业知识有限,很难及时发现这些漏洞,这也因之加大了计算机会计信息系统的控制风险。 三、 网络环境下发生会计信息安全问题的原因分析(一)物理风险物理风险主要包括计算机网络系统硬件的选用不合适,致使网络功能的发挥受阻碍;网络工作环境、电源等不符合要求,因而直接影响到网络的可靠性;网络操作系统和会计软件的安装和维护不善;网络管理制度不健全、不完善等。任何计算机系统都存在着由于硬
15、件、软件、网络本身出现故障、操作失误等因素,导致系统数据丢失、甚至致使系统瘫痪的风险。(二)会计信息保密性和完整性破坏风险网络安全的最大风险仍然来自于组织内部,会计信息保密性和完整性破坏风险主要指企业内部的人员对会计数据的非法访问、窃取、泄密和更改等方面的风险。因此,内部控制仍然是基于互联网会计信息系统控制的基础。由于互联网结构本身的特殊性,现在其内部控制的范围远远超出了以往计算机系统的范畴,已从会计机构内部逐步扩展到对整个企业内部人员的控制。(三)系统运行风险由于计算机会计信息系统是在网络环境下进行运行的,系统对外敞开开,面临着一定风险,系统的运行随时可能遭到干扰甚至破坏,例如人为因素通过计
16、算机病毒致使网络瘫痪、切断或阻塞网络通信、导致非法占用网络资源以及非人为因素导致的灾害事故、系统故障等,从而影响计算机会计信息系统的正常运行和工作。(四)网络环境的开放性加剧了会计信息失真的风险网络技术在财务软件中的应用对计算机会计信息系统的影响将是革命性的。但网络环境具有开放性的特点,这就给会计信息系统的内部控制带来了许多新问题。如在网络环境下,信息来源的多样性,有可能导致审计线索紊乱;大量会计信息通过网络通讯线路传输,有可能被非法拦截、窃取甚至篡改;网络计算机会计信息系统遭受“病毒”人侵或“黑客”攻击的可能性更大,等等。总之,网络环境的开放性和动态性,加剧了会计信息失真的风险,加大了计算机
17、会计内部控制的难度。四、 网络环境下保障会计信息安全的对策(一)加快立法工作法律政策层面上,应尽快建立和完善电子商务法规,以规范网上交易的购销、支付及核算行为;借鉴国外有关研究成果和实践经验,制定符合我国国情的网络会计信息管理、财务报告披露的法规、准则,具体规定企业网上披露的义务与责任、网络会计信息质量标准要求、监管机构及其权责等,政府应当尽快建立和完善电子商务法规、完善相关法律,把网络财务安全纳入法制化轨道。网络会计的安全问题实质就是法律问题,需要有一套完整的包括各国相关法律在内的国际法律体系。我国在计算机信息安全管理方面立法较早,但是目前还没有专门的网络会计安全法律。因此,应尽快参照国际有
18、关示范法的原则,完善我国相关法律中的有关互联网的安全与刑罚规定,从而为网络会计信息系统提供一个良好的社会环境,并使我国网络会计信息的管理真正走上健康发展的法制化轨道。 (二)健全内部控制建立健全内部保障机制是确保网络会计信息安全、防范和化解网络会计信息系统风险的重要手段和有效途径。其重点在于完善网络会计内部控制制度。主要包括网络会计组织控制制度、网络会计开发和维护控制制度、网络会计数据访问权限控制和重要网络会计数据备份制度、网络会计信息应用控制制度、包括网络会计信息输入、输出和处理控制制度、网络会计信息日常管理制度等。此外,需要加强人员教育培训,企业必须有计划、有步骤、有针对性地组织开展现有会
19、计人员的继续教育和培训工作。主要是改善会计人员的知识结构、提高会计人员的计算机应用水平、特别是计算机网络技术的应用水平、提高会计人员安全防范意识和职业道德水准。同时应当开展实施多方监督,主要包括网络会计信息安全控制目标审核、安全漏洞评估、安全控制措施检验和安全性测试等方面的监督等。(三)从技术上,提高网络系统的安全性和保密性首先,所有接入互联网的计算机都应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软件升级,以确保计算机不会受到已发现病毒的攻击。其次,确保物理网络安全,防范因为物理介质、信号辐射等造成的安全风险,采用网络安全控制技术、采用防火墙等设备对网络安全进行防护。另外,制
20、订系统安全技术措施,使用漏洞扫描软件扫描系统漏洞,制订系统补丁的管理制度,确定系统补丁的安装、更新、发布措施并及时堵住系统漏洞。(四)网络会计信息安全控制措施以网络技术为基础,结合会计需要,确保网络安全有效地传递信息。采用系统加密管理、形成网上公证由第三方牵制的安全机制、建立严格的数据存贮措施、建立 “审计线索制”、 强化内部控制、积极完善和实施各项法律法规等多种措施,保证数据的安全并有效地监控系统的运行状况、防止系统被侵犯,同时有效地减轻由于内部人员道德风险、系统资源风险和计算机病毒所造成的危害,为网络会计信息系统提供一个良好的社会环境。(五)系统软件安全控制措施及开发在网络环境下,企业的业
21、务流程和组织结构发生了很大变化。因此,系统开发过程的同时也是企业再造的过程,必须把新的会计控制功能全面融入到新的系统中。然而在现阶段的电算化会计信息系统中此类控制如同虚设,由于目前大多数企业采用商品化软件,系统的开发是由开发商来研制的,对于企业而言,整个应用系统是一个“黑洞”,根本无法进行开发控制,因此维护也只能借助于或者说依赖于开发商。网络会计信息系统则不然,由于强调个性化、体现企业文化,大多数企业将采用自行研制的软件,由此而来,必然要加以控制。系统软件维护控制也是控制的重点,因为网络系统具有个性化的特征,除“量身定做”软件外,还要求各企业在遵守行业协议的前提下,其应用软件可随时加以更新,进
22、行维护。(六)加强人才培养,培养一大批复合型的会计人才目前在我国既懂得网络信息技术又具备商务经营管理知识,且精通会计知识的复合型人才还非常缺乏。要适应网络会计发展的需要,国家必须注重这类人才的培养和开发,这是信息时代保证企业乃至国家在激烈的市场竞争的制胜的关键所在。网络会计的实施需要大批既熟谙计算机网络知识和财会知识,又同时掌握商务知识和法律法规的人才,财会人员在会计方法选择、会计信息披露、网络技术、会计职业规范和道德规范等等各方面应遵守和选择的问题,网络的发展需要“复合型”人才,既要求他们精通计算机网络知识、基本的故障排除方法以及计算机的基本维护技能,又要求他们具有很深的会计理论功底和娴熟的
23、会计业务技能。所以在教育领域应加强复合型人才的培养,促进网络化进程。社会的进步和企业的发展归根结底都需要高素质的人来完成,没有高素质的人才网络会计就成了无本之木、无源之水。五、 网络会计的发展前景参考文献1黄梯云, 管理信息系统。北京:高等教育出版社,20052王棣华、杜晋贤,浅析会计信息化与企业内部控制。会计之友:上旬刊 20083艾文国、王亚鸣。企业会计信息化内部控制问题研究。中国管理信息化,20084黄莉娟,会计信息系统内部控制分析。合作经济与科技,20095王棣华、李攀。信息化会计系统对企业内部控制的影响及其完善。福建财会管理干部学院学报,20106李晓丽。会计信息化下的企业内部控制问题探讨。金融经济:理论版,2010致 谢
