朱益鋒

（江蘇省泰州引江河管理處，江蘇 泰州 225300）

隨著會(huì)計(jì)電算化飛速發(fā)展，財(cái)務(wù)管理軟件在企業(yè)財(cái)務(wù)管理中也發(fā)揮著日益重要的作用，但這同時(shí)也帶來了一個(gè)新的課題：如何有效地確保會(huì)計(jì)信息的安全性？如何在充分利用信息技術(shù)的同時(shí)，有效地規(guī)避因利用計(jì)算機(jī)信息系統(tǒng)而帶來的風(fēng)險(xiǎn)？

1 財(cái)務(wù)管理軟件的風(fēng)險(xiǎn)分析

1.1 “硬”風(fēng)險(xiǎn)

（1）計(jì)算機(jī)及輔助設(shè)備等硬件的損壞風(fēng)險(xiǎn)。計(jì)算機(jī)及輔助設(shè)備主要包括各類計(jì)算機(jī)設(shè)備（服務(wù)器、工作站）、通訊設(shè)備（網(wǎng)卡、國(guó)庫集中支付系統(tǒng)撥號(hào)所用modem、HUB等）和傳輸媒介（電纜、光釬、微波、電磁波）。地震、水災(zāi)、雷電、高溫、高濕、塵埃、靜電、強(qiáng)磁場(chǎng)、電磁波和微波等，都有可能對(duì)硬件設(shè)備造成破壞，進(jìn)而導(dǎo)致信息和服務(wù)的中斷。

（2）會(huì)計(jì)軟件開發(fā)設(shè)計(jì)方面的風(fēng)險(xiǎn)。有些會(huì)計(jì)軟件對(duì)數(shù)據(jù)庫未采取任何的保護(hù)措施，或采取的措施比較薄弱，甚至能通過相應(yīng)的數(shù)據(jù)庫管理系統(tǒng)打開文件，并對(duì)文件中的數(shù)據(jù)直接進(jìn)行增加、刪除及修改等操作。這些都給系統(tǒng)管理和財(cái)務(wù)核算的安全留下了重大隱患。

（3）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[1]。在財(cái)務(wù)管理軟件實(shí)際應(yīng)用過程中，有部分操作人員不重視網(wǎng)絡(luò)安全管理，接入互聯(lián)網(wǎng)時(shí)不安裝防火墻，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)出現(xiàn)安全漏洞時(shí)不及時(shí)升級(jí)等，這些都會(huì)給財(cái)務(wù)管理軟件帶來安全風(fēng)險(xiǎn)。

（4）會(huì)計(jì)檔案保存風(fēng)險(xiǎn)。隨著財(cái)務(wù)管理軟件的廣泛使用，會(huì)計(jì)檔案的保存介質(zhì)已經(jīng)由傳統(tǒng)的紙張過渡到磁介質(zhì)或光電介質(zhì)，如磁帶、光盤、移動(dòng)硬盤等等。這些介質(zhì)的存儲(chǔ)風(fēng)險(xiǎn)（如無法讀取等）也是財(cái)務(wù)管理軟件風(fēng)險(xiǎn)的組成部分。

1.2 “軟”風(fēng)險(xiǎn)

（1）計(jì)算機(jī)病毒引起的風(fēng)險(xiǎn)。計(jì)算機(jī)病毒侵入的途徑主要有以下幾種：1）從存儲(chǔ)介質(zhì)侵入。這種侵入主要以光盤、U盤、移動(dòng)硬盤及軟盤等存儲(chǔ)介質(zhì)作為媒介進(jìn)行傳輸。特別是在與互聯(lián)網(wǎng)物理隔離的內(nèi)網(wǎng)上，這種侵入方式占了大多數(shù)。2）從網(wǎng)絡(luò)侵入。無論是用戶在網(wǎng)上瀏覽新聞，還是收發(fā)電子郵件、下載軟件，都很容易使計(jì)算機(jī)染上病毒，帶來安全隱患。

（2）軟件功能濫用引發(fā)的風(fēng)險(xiǎn)。不少軟件開發(fā)公司為方便用戶糾正財(cái)務(wù)管理軟件核算中的差錯(cuò)，在會(huì)計(jì)核算軟件中設(shè)置了“取消復(fù)核”、“取消記賬”、“取消結(jié)賬”等功能。如果軟件功能使用不當(dāng)，很有可能導(dǎo)致單位整個(gè)財(cái)務(wù)系統(tǒng)的混亂。

（3）不法分子造假引發(fā)的安全性風(fēng)險(xiǎn)。目前流行財(cái)務(wù)管理軟件所使用的數(shù)據(jù)庫本身都提供查詢修改功能，給會(huì)計(jì)數(shù)據(jù)的安全性、保密性帶來了非常大的風(fēng)險(xiǎn)。

（4）少數(shù)會(huì)計(jì)人員的素質(zhì)問題引發(fā)的風(fēng)險(xiǎn)。財(cái)務(wù)管理軟件的廣泛使用就要求會(huì)計(jì)人員針對(duì)出現(xiàn)的不同問題能夠進(jìn)行相關(guān)的操作，而現(xiàn)在有少部分會(huì)計(jì)人員專業(yè)知識(shí)薄弱、計(jì)算機(jī)水平有限、管理能力較低，這是財(cái)務(wù)管理軟件發(fā)展中所面臨的最大風(fēng)險(xiǎn)。

2 財(cái)務(wù)管理軟件存在風(fēng)險(xiǎn)可能帶來的影響

2.1 授權(quán)批準(zhǔn)控制下降

在手工會(huì)計(jì)環(huán)境下，對(duì)不同的控制環(huán)節(jié)可以有不同權(quán)力授予，無論哪個(gè)環(huán)節(jié)，在具體授權(quán)時(shí)，都可以先認(rèn)真研究，準(zhǔn)確掌握，這樣既能保證經(jīng)營(yíng)決策有效運(yùn)作，管理制度有效貫徹，又能保證權(quán)力制衡得以落實(shí)；而在財(cái)務(wù)管理軟件中，授權(quán)批準(zhǔn)僅憑一個(gè)密碼授權(quán)，如果不法分子以非法手段獲取密碼，就會(huì)造成內(nèi)部控制失控。

2.2 職務(wù)分離不規(guī)范

在手工會(huì)計(jì)環(huán)境下，我們可以做到每項(xiàng)經(jīng)濟(jì)業(yè)務(wù)都經(jīng)過兩個(gè)或兩個(gè)以上的部門或人員的處理，這樣就使得單個(gè)人或部門的工作必須與其他人或部門的工作相一致或相聯(lián)系，并受其監(jiān)督和制約；而在財(cái)務(wù)管理軟件中，由一個(gè)程序模塊來執(zhí)行，他們的失誤或者故意破壞將可能導(dǎo)致單位的整個(gè)信息系統(tǒng)崩潰或業(yè)務(wù)中斷，給單位帶來不可估量的損失。

2.3 業(yè)務(wù)記錄效力降低

在手工會(huì)計(jì)環(huán)境下，業(yè)務(wù)記錄的載體是紙質(zhì)，而在財(cái)務(wù)管理軟件下，載體由紙質(zhì)變成了數(shù)據(jù)庫記錄和操作日志等磁質(zhì)記錄。員工在紙質(zhì)憑證上的簽字可以證明其確實(shí)對(duì)該項(xiàng)業(yè)務(wù)進(jìn)行了授權(quán)或確認(rèn)，但是磁質(zhì)交易記錄上的操作員信息的法律效力卻受到系統(tǒng)的完整性和安全性的影響。

3 防范風(fēng)險(xiǎn)的對(duì)策建議

3.1 硬件損壞風(fēng)險(xiǎn)防范

首先要建立良好的運(yùn)作環(huán)境，將服務(wù)器放在適當(dāng)位置，必須要將包括承重、空調(diào)、UPS、供配電、溫濕度、消防、防雷、防靜電等安全問題考慮周全，以防止自然災(zāi)害帶來的損失。

3.2 會(huì)計(jì)軟件開發(fā)設(shè)計(jì)風(fēng)險(xiǎn)防范[2]

要加大軟件的開發(fā)力度，深入研究國(guó)內(nèi)外優(yōu)秀的財(cái)務(wù)管理軟件，應(yīng)在信息系統(tǒng)中設(shè)置文件修改檢查機(jī)制，同時(shí)采取安全性較好的數(shù)據(jù)庫管理系統(tǒng)和操作系統(tǒng)開發(fā)平臺(tái)，充分利用數(shù)據(jù)庫系統(tǒng)本身提供的安全措施對(duì)數(shù)據(jù)加以保護(hù)。

3.3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范

可以安裝防火墻，以保護(hù)內(nèi)網(wǎng)的財(cái)務(wù)管理軟件免受攻擊。對(duì)重要的會(huì)計(jì)機(jī)密，可以在軟件中采取數(shù)據(jù)加密技術(shù)，利用信息加密技術(shù)中的非對(duì)稱加密機(jī)制，實(shí)現(xiàn)共同保守會(huì)計(jì)數(shù)據(jù)秘密，使篡改者與偽造者難以達(dá)到其目的，保證了數(shù)據(jù)的安全，截獲的會(huì)計(jì)數(shù)據(jù)信息也就失去價(jià)值。

3.4 會(huì)計(jì)檔案保存風(fēng)險(xiǎn)防范

在財(cái)務(wù)管理軟件的環(huán)境下，會(huì)計(jì)數(shù)據(jù)的備份雙管齊下：既要進(jìn)行光盤、磁帶等光電介質(zhì)的數(shù)據(jù)備份，又要進(jìn)行傳統(tǒng)的打印輸出，保存紙質(zhì)備份。除此之外，還要制訂存檔被破壞的緊急預(yù)案，制訂出事件發(fā)生時(shí)的應(yīng)急措施和恢復(fù)手段。

3.5 計(jì)算機(jī)病毒風(fēng)險(xiǎn)防范

財(cái)務(wù)管理軟件的服務(wù)器、客戶機(jī)要和外網(wǎng)物理隔離，在條件許可的情況下，財(cái)務(wù)管理軟件組建內(nèi)網(wǎng)的設(shè)備(如計(jì)算機(jī)、路由器等)應(yīng)在財(cái)務(wù)部門內(nèi)部，以防止不法分子通過網(wǎng)絡(luò)侵入；對(duì)文件進(jìn)行定期備份，至少每周殺毒一次，不使用盜版軟件。

3.6 軟件功能濫用風(fēng)險(xiǎn)防范

建立嚴(yán)格的使用制度，包括財(cái)務(wù)管理軟件的開發(fā)或選購制度、財(cái)務(wù)管理軟件的維護(hù)制度、計(jì)算機(jī)機(jī)房管理制度、會(huì)計(jì)數(shù)據(jù)訪問權(quán)限設(shè)定、會(huì)計(jì)數(shù)據(jù)信息的備份制度、會(huì)計(jì)信息載體檔案管理制度、用戶權(quán)限授權(quán)管理制度、財(cái)務(wù)管理軟件操作員的崗位責(zé)任制度、財(cái)務(wù)管理軟件操作員的操作規(guī)程、會(huì)計(jì)信息安全日常評(píng)估制度、會(huì)計(jì)信息安全審計(jì)制度、應(yīng)急處理制度等。在財(cái)務(wù)管理軟件中設(shè)置相關(guān)的審查牽制機(jī)制，具體操作時(shí)應(yīng)由相關(guān)的操作人員提出申請(qǐng)，并由對(duì)應(yīng)的管理人員進(jìn)行審批，而且最好要有紙質(zhì)記錄并由相關(guān)人員進(jìn)行簽名確認(rèn)。

3.7 不法分子直接讀取數(shù)據(jù)庫造假引發(fā)的安全性風(fēng)險(xiǎn)防范

使用安全的密碼策略，要設(shè)置一個(gè)非常強(qiáng)壯的密碼；加強(qiáng)數(shù)據(jù)庫日志的記錄管理，定期查看SQL Server日志，檢查是否有可疑的登錄事件發(fā)生；做好日常數(shù)據(jù)備份，在發(fā)現(xiàn)問題或者出現(xiàn)意外情況時(shí)可以恢復(fù)由于某些原因損毀或丟失了的數(shù)據(jù)。

總之，我們應(yīng)該以人為本，樹立信息安全比天大的理念，再加上健全的制度、嚴(yán)密的責(zé)任體系，通過懲戒一些不嚴(yán)格遵守規(guī)章和以破壞與竊取為目的非法侵入財(cái)務(wù)管理軟件的人來震懾那些試圖危害財(cái)務(wù)管理軟件安全的人。這樣才能真正筑起一道信息安全的防火墻。

[1]孫亞軍,徐鵬.企業(yè)財(cái)務(wù)管理系統(tǒng)安全性的研究[J].經(jīng)濟(jì)技術(shù)協(xié)作信息,2010,(19):70.

[2]刑晶然.會(huì)計(jì)電算化系統(tǒng)的安全性淺析[J].中小企業(yè)管理與科技,2008,(11):239.