隨著我國會計信息化工作的不斷推進����,會計信息化正逐步從簡單的電算化應(yīng)用向深層次的網(wǎng)絡(luò)化應(yīng)用演變����,由于互聯(lián)網(wǎng)技術(shù)的開放性,使得網(wǎng)絡(luò)會計的發(fā)展必然會受到會計信息安全的制約���,國家信息化領(lǐng)導(dǎo)小組在第三次信息化會議中���,也將信息安全作為重點問題加以討論�,因此�,如何保證會計信息的安全,將成為會計信息化發(fā)展的一個重要課題����。
一、會計信息安全的概念和目標(biāo)
1.會計信息安全的概念
目前�����,我國對會計信息安全還沒有統(tǒng)一的定義�����。國際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性�����、可用性�、保密性和可靠性”�����。因此����,會計信息的安全是指會計信息具有完整性��、可用性��、保密性和可靠性的狀態(tài)��,它來自于會計數(shù)據(jù)的完整和會計數(shù)據(jù)的安全����。
會計數(shù)據(jù)的完整是指與損壞和丟失會計數(shù)據(jù)的相對狀態(tài)����,它通常指會計數(shù)據(jù)表明的會計信息是可靠的、可用的�。會計數(shù)據(jù)的不安全是指會計數(shù)據(jù)被有意竊取或損壞的狀態(tài)。
基于網(wǎng)絡(luò)的會計數(shù)據(jù)安全來自于網(wǎng)絡(luò)的安全����。根據(jù)國家計算機安全規(guī)范,計算機的安全大致包括三類:(1)實體安全�,包括機房、線路�����、主機等;(2)網(wǎng)絡(luò)與信息安全���,包括網(wǎng)絡(luò)的暢通��、準(zhǔn)確以及網(wǎng)上信息的安全�;(3)應(yīng)用安全��,包括程序開發(fā)運行���、I/O��、數(shù)據(jù)庫等的安全。
2.會計信息安全的目標(biāo)
國際會計師聯(lián)合會在《信息安全管理》(1998)中提出�����,信息安全的目標(biāo)是“保護依靠信息�����、信息系統(tǒng)和傳送信息的人��、通信設(shè)施的利益不因為信息機密性�����、完整性和可用性的故障而遭受損失”。任何組織在滿足下面3條準(zhǔn)則時可以認(rèn)為達到了信息安全的目標(biāo):數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人(機密性)�;數(shù)據(jù)和信息保護不受未經(jīng)授權(quán)的修改(完整性);信息系統(tǒng)在需要時可用和有用(可用性)�����。
二���、影響會計信息安全的主要因素
影響會計信息的安全因素既有內(nèi)部因素�����,也有外部因素���,主要表現(xiàn)在以下幾個方面:
1.內(nèi)部因素
(1)人為因素��,人的因素在保障會計信息安全過程中起主導(dǎo)作用��,會計信息系統(tǒng)操作人員出于主觀故意篡改數(shù)據(jù)或不按操作程序操作�,均會直接影響會計信息的真實性和可靠性、可用性���;
����。2)硬件故障,硬件故障包括I/O控制器����、內(nèi)存、硬盤以及其他計算機部件��,但引起會計數(shù)據(jù)丟失的主要問題是存儲會計數(shù)據(jù)載體的磁盤物理性損毀所產(chǎn)生的��;
�����。3)電源故障�,包括計算機內(nèi)部供電與外部供電��,當(dāng)系統(tǒng)突然失去供電���,易失性存儲器中的數(shù)據(jù)將會丟失�,從而威脅會計信息的安全�����;
(4)網(wǎng)絡(luò)故障���,由于網(wǎng)絡(luò)的原因����,使得會計數(shù)據(jù)不能正確保存�����,造成會計信息的丟失�;
(5)軟件系統(tǒng)��,會計信息系統(tǒng)的運行軟件由于程序本身設(shè)計存在的問題����,或者對數(shù)據(jù)校驗考慮不周,都將影響到會計數(shù)據(jù)的完整性�;
(6)操作系統(tǒng)漏洞�,操作系統(tǒng)作為會計信息系統(tǒng)的運行平臺,本身也存在一定的漏洞�,極易受到攻擊�,從而導(dǎo)致會計信息的毀損��;
����。7)身份認(rèn)證和管理,身份認(rèn)證是構(gòu)建企業(yè)會計信息安全體系的基礎(chǔ)�����,目的是為了保證會計信息系統(tǒng)中的數(shù)據(jù)只能被授權(quán)的人合理訪問�,常用的身份認(rèn)證方式主要有用戶名/密碼方式、IC卡認(rèn)證���、動態(tài)口令��、USB Key認(rèn)證���、生物識別技術(shù)���。目前�,我國會計信息系統(tǒng)應(yīng)用商業(yè)軟件在身份認(rèn)證管理上主要采用用戶名/密碼方式�����,這種方式過于簡單,在密碼驗證過程很容易被木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲���,安全性極差��。會計信息操作員在設(shè)置密碼時����,為了方便記憶�,往往用“123”、“111111”���、“666666”��、“888888”或是生日號碼�、電話號碼作為操作員密碼�����,甚至將密碼設(shè)置為空值����,極易破譯�����。一些企業(yè)對身份認(rèn)證疏于管理���,會計信息系統(tǒng)管理員在員工已調(diào)離本企業(yè)后,依然在很長的一段時間內(nèi)保留著該員工的賬號����,留下了安全隱患。
2.外部因素
�����。1)病毒��,據(jù)2001年調(diào)查��,我國約73%的計算機用戶曾感染病毒����,2003年上半年這一比例升至83%,其中��,感染3次以上的用戶高達59%�,而且病毒的破壞性較大,被病毒破壞全部數(shù)據(jù)的占14%����,破壞部分?jǐn)?shù)據(jù)的占57%,因此�����,病毒將造成會計信息丟失或毀壞��,對企業(yè)會計信息安全的影響是重大的��;
�。2)意外事故,雖然出現(xiàn)的機率相對其他因素較小�,但是一旦發(fā)生,就會對會計信息系統(tǒng)造成災(zāi)難性損失��,例如火災(zāi)��、水災(zāi)�、工業(yè)事故、蓄意破壞等����。
三�、解決會計信息安全的主要對策
在國家信息化領(lǐng)導(dǎo)小組第三次會議《關(guān)于加強信息安全保障工作的意見》中���,提出了關(guān)于信息安全的主導(dǎo)思想:“堅持積極防御�����、綜合防范的方針����,在全面提高信息安全防護能力的同時�,重點保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系���,建立信息安全的有效機制和應(yīng)急處理機制”��。因此���,要解決企業(yè)會計信息化的安全問題,應(yīng)在堅持安全等級�����、成本效益、預(yù)防為主等原則的基礎(chǔ)上����,重點放在預(yù)防和應(yīng)急處理兩個方面���。
1.預(yù)防
���。1)操作人員的定期培訓(xùn),包括操作人員的職業(yè)道德教育和安全技能培訓(xùn)��,影響會計信息安全的因素處于不斷變化的形勢下�,會計信息的安全保障知識也需要不斷更新;
�����。2)制度建設(shè)�,建立一套完善的會計信息安全管理制度是保障會計信息安全的基礎(chǔ),會計信息安全管理制度至少包括會計信息系統(tǒng)的開發(fā)或選購制度�、會計信息系統(tǒng)的維護制度、計算機機房管理制度��、會計數(shù)據(jù)訪問權(quán)限設(shè)定����、會計信息的備份制度�、會計信息載體檔案管理制度��、用戶權(quán)限授權(quán)管理制度����、會計信息員的崗位責(zé)任制度、會計信息員的操作規(guī)程�、會計信息安全日常評估制度、會計信息安全審計制度�����、應(yīng)急處理制度等�����;
�����。3)后備供電系統(tǒng)��,為防止突然斷電所引起的數(shù)據(jù)丟失���,應(yīng)配置后備供電系統(tǒng)���,以保證數(shù)據(jù)的完整����、安全����;
���。4)修補系統(tǒng)漏洞�����,操作系統(tǒng)本身存在的漏洞極容易引起黑客的攻擊,從而導(dǎo)致系統(tǒng)的崩潰和數(shù)據(jù)的丟失��,因此要及時修補系統(tǒng)漏洞���;
�。5)鏡像技術(shù)�,將數(shù)據(jù)原樣從一臺設(shè)備上復(fù)制到另一臺設(shè)備上��,可以采用磁盤鏡像或磁盤雙聯(lián)��,以保證會計數(shù)據(jù)的安全�;
�����。6)數(shù)據(jù)加密技術(shù)���,通過數(shù)據(jù)加密技術(shù)�,可以在一定程度上提高數(shù)據(jù)傳輸?shù)陌踩�����,保證傳輸數(shù)據(jù)的完整性����;
����。7)數(shù)據(jù)備份,通常指數(shù)據(jù)保存一個相對較短的時間����,主要目的是為了恢復(fù)由于某些原因損毀或丟失了的數(shù)據(jù)�����,在日常操作中�,會計數(shù)據(jù)盡可能做到每天備份,或設(shè)置自動備份�����;
(8)數(shù)據(jù)歸檔�,通常指會計數(shù)據(jù)的永久性保存,應(yīng)該實行紙質(zhì)檔案和電子檔案同步保管的方式���;
�。9)構(gòu)筑防火墻�����,防火墻具有很好的保護作用�����,是保護企業(yè)網(wǎng)絡(luò)會計信息安全的主要機制,它能對流經(jīng)的網(wǎng)絡(luò)通信進行掃描�,過濾掉一些攻擊,在具體操作中�����,可以將防火墻配置成許多不同保護級別����。
2.應(yīng)急處理
會計信息系統(tǒng)在運行時,總會遇到各種各樣的安全威脅���,因此��,當(dāng)系統(tǒng)信息受到損害時,如何及時�、快速保障系統(tǒng)恢復(fù)運行就顯得十分必要。會計信息系統(tǒng)災(zāi)難恢復(fù)計劃就是為了確保當(dāng)企業(yè)會計信息受到損害時可以進行安全地恢復(fù)工作�����,其基本步驟包括:第一、制定災(zāi)難恢復(fù)計劃���,其內(nèi)容至少包含風(fēng)險分析����、風(fēng)險評估�、應(yīng)用程序優(yōu)先級別、恢復(fù)需求��、結(jié)果記錄等�;第二、數(shù)據(jù)備份的維護�,數(shù)據(jù)備份不但包括會計數(shù)據(jù)的備份,還應(yīng)包括會計信息系統(tǒng)運行環(huán)境參數(shù)的備份����,日常數(shù)據(jù)備份是會計信息安全的保障,要將數(shù)據(jù)備份資料存放在安全的地方����,當(dāng)會計數(shù)據(jù)發(fā)生毀損或丟失時���,可以通過數(shù)據(jù)備份得到及時的恢復(fù)��;第三�、執(zhí)行災(zāi)難恢復(fù)計劃,當(dāng)會計信息系統(tǒng)發(fā)生災(zāi)難時���,必須嚴(yán)格按照災(zāi)難恢復(fù)計劃操作���,并對結(jié)果加以記錄,以期不斷修改和完善災(zāi)難恢復(fù)計劃�����,保證會計信息的安全�。總之��,21世紀(jì)是一個在知識經(jīng)濟條件下信息技術(shù)高度發(fā)展的世紀(jì)���,信息技術(shù)的迅速發(fā)展��,推動了會計信息化的高速發(fā)展�,而在這個過程中��,會計信息的安全將成為會計信息化發(fā)展的“瓶頸”�����。因此,確保會計信息的安全是實施和完善會計信息化的必經(jīng)之路����。
