丁怡清

摘 要：當(dāng)前，會計(jì)信息系統(tǒng)面臨著很多風(fēng)險和挑戰(zhàn)，對其進(jìn)行風(fēng)險分析和風(fēng)險防范是當(dāng)前急需解決的問題。根據(jù)會計(jì)信息系統(tǒng)的特點(diǎn)，對會計(jì)信息系統(tǒng)安全進(jìn)行分析，并提出會計(jì)信息系統(tǒng)安全性管理的具體防范措施。

關(guān)鍵詞：會計(jì)信息系統(tǒng)；安全；內(nèi)部控制；技術(shù)

中圖分類號：F232 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-291X（2015）09-0150-02

一、會計(jì)信息系統(tǒng)安全

（一）會計(jì)信息系統(tǒng)內(nèi)部控制目標(biāo)

要達(dá)到會計(jì)信息系統(tǒng)內(nèi)部控制的目標(biāo)，首先，要保證它的合法性。合法性可以通過兩個方面來解釋：一是會計(jì)信息系統(tǒng)必須符合當(dāng)前的會計(jì)法規(guī)以及它的相關(guān)的各種國家規(guī)定的經(jīng)濟(jì)制度；二是會計(jì)信息系統(tǒng)所處理的具體業(yè)務(wù)必須符合整個企業(yè)所規(guī)定的各種章程。其次，就是要保證整個會計(jì)信息系統(tǒng)的安全性。會計(jì)信息系統(tǒng)在投入使用之前，要先對它進(jìn)行硬件、軟件以及他的數(shù)據(jù)的安全性進(jìn)行一種考量。只有整個系統(tǒng)的安全性得以保障，會計(jì)信息系統(tǒng)才能有效的運(yùn)行。最后，要保證系統(tǒng)處理數(shù)據(jù)的真實(shí)性及準(zhǔn)確性。在系統(tǒng)運(yùn)行在系統(tǒng)設(shè)計(jì)的過程中，要對其嵌套一些程序，比如授權(quán)控制程序、數(shù)據(jù)處理程序、防止修改程序以及在采購過程中對預(yù)算的控制程序等。只有這些程序在運(yùn)行之前被設(shè)計(jì)好，只有在有效的組織管理控制制度下對輸入的數(shù)據(jù)進(jìn)行嚴(yán)格把關(guān)，才能確保整個數(shù)據(jù)輸入的真實(shí)性和準(zhǔn)確性。

（二）我國信息系統(tǒng)安全現(xiàn)狀

要實(shí)現(xiàn)企業(yè)信息化必須建設(shè)安全的信息系統(tǒng)。目前我國的信息系統(tǒng)還處于很落后的一個位置。（1）我國的安全防范意識非常弱。于大多數(shù)企業(yè)而言，信息系統(tǒng)防護(hù)只是采用一些很低端的一些網(wǎng)管產(chǎn)品，比如說，保密通信、防火墻、安全路由器。即便，一些企業(yè)采用安全檢測，也都是“已知攻擊”的檢測，并且這種檢驗(yàn)并沒有大范圍的普及。（2）系統(tǒng)的安全級別低。我國信息系統(tǒng)以及安全產(chǎn)品的級別普遍偏低，按照其安全級別可以發(fā)劃分為加密和鑒別技術(shù)、數(shù)據(jù)備份、病毒防范。但是在這些所使用的硬件軟件中大多數(shù)都是從外國進(jìn)口而來的，國產(chǎn)的比例十分的低，特別是對計(jì)算機(jī)主機(jī)有重要影響力的各種數(shù)據(jù)庫及訪問中心，少有是國產(chǎn)專用的。（3）信息系統(tǒng)的安全建設(shè)與管理不規(guī)范。對于信息系統(tǒng)安全的不規(guī)范可以由以下四個方面來闡釋：國家的相關(guān)的法律法規(guī)并沒有很健全，在對整個信息系統(tǒng)的建設(shè)方面缺乏統(tǒng)一性的指導(dǎo)；企業(yè)的安全規(guī)劃缺乏策略性的指導(dǎo)，目前很多企業(yè)的防范意識較弱，甚至建設(shè)之初就缺乏整體策略上的指導(dǎo)；在各個層面上均存在很多漏洞；應(yīng)用層安全功能規(guī)范缺乏安全性的設(shè)計(jì)，比如目前大多數(shù)的企業(yè)，他們在設(shè)計(jì)之初思路就不清晰，重復(fù)的去開發(fā)且開發(fā)不完善，甚至缺乏一些很必要的功能，比如訪問控制功能。這些功能的缺失會導(dǎo)致不能形成一個公共的安全平臺、信息交換混亂等弊端。（4）未建立安全管理體系。企業(yè)的內(nèi)部缺乏一些安全的監(jiān)察機(jī)制，一些部門沒有明確地建立起一種協(xié)調(diào)和制約關(guān)系。有些安全管理機(jī)構(gòu)有名無實(shí)，即便存在一些安全管理組織，也不履行職責(zé)，有法也不依，制度不落實(shí)，缺少專門從事這方面的人員。

二、信息安全技術(shù)

（一）防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的第一道保障。要想保障網(wǎng)絡(luò)的安全，首先要做的就是進(jìn)行防火墻的安裝。防火墻就是被設(shè)置在保護(hù)各個網(wǎng)絡(luò)比如說公共網(wǎng)絡(luò)和其他網(wǎng)絡(luò)包括他們的邊界，并對這些網(wǎng)絡(luò)中所通過的信息進(jìn)行一種舍棄、阻斷或者是通過的軟件、硬件系統(tǒng)。防火墻通常具有如下特性：（1）所有信息的傳遞必須通過防火墻；（2）只有在安全范圍內(nèi)的信息，防火墻才允許通過；（3）防火墻本身是具有阻攔功能的。

防火墻是具有保護(hù)網(wǎng)絡(luò)防止黑客入侵等功能的基礎(chǔ)設(shè)施，它是對不同的網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)管理之間信息必須要經(jīng)過的一個切口。企業(yè)可以通過對出入信息流的監(jiān)測達(dá)到對外部網(wǎng)絡(luò)的屏蔽功能。

（二）入侵檢測技術(shù)

入侵檢測系統(tǒng)（簡稱IDS）是面對網(wǎng)絡(luò)入侵檢驗(yàn)的安全監(jiān)測系統(tǒng)，是網(wǎng)絡(luò)安全的第二道防線，是作為一種基礎(chǔ)設(shè)備的補(bǔ)充。他處在某些關(guān)鍵的節(jié)點(diǎn)，對這些關(guān)鍵節(jié)點(diǎn)的信息進(jìn)行收集，以發(fā)現(xiàn)系統(tǒng)是否有遭到非法入侵或者是不恰當(dāng)?shù)奈词跈?quán)操作。通過對這些入侵企圖的檢測、識別、隔離和對異常行為的統(tǒng)計(jì)，達(dá)到系統(tǒng)管理員對系統(tǒng)有效評估的目的。

（三）漏洞掃描技術(shù)

漏洞掃描技術(shù)就是對整個信息網(wǎng)絡(luò)進(jìn)行檢查發(fā)現(xiàn)漏洞的技術(shù)。它是除防火墻、入侵檢測技術(shù)之外的又一安全技術(shù)。不管攻擊者從外部還是內(nèi)部，他們都是利用該網(wǎng)絡(luò)中存在的一些漏洞。因此這種掃描技術(shù)就是在黑客入侵或者是網(wǎng)絡(luò)系統(tǒng)癱瘓之前的預(yù)防性技術(shù)。

（四）數(shù)字簽名技術(shù)

數(shù)字簽名技術(shù)就是在原有的數(shù)據(jù)上附加一種數(shù)據(jù)，使接受者能夠通過對這些附加數(shù)據(jù)的辨認(rèn)達(dá)到對其原有數(shù)據(jù)的完整性和來源的準(zhǔn)確確認(rèn)。

（五）數(shù)字加密技術(shù)

數(shù)字加密技術(shù)，就是將原有信息通過一系列加密規(guī)則的轉(zhuǎn)換，將其變成無意義的數(shù)據(jù)，而接收方再根據(jù)相對應(yīng)的規(guī)則，將其重新轉(zhuǎn)換為原先的數(shù)據(jù)明文。數(shù)字加密技術(shù)，降低了數(shù)據(jù)在傳遞的過程中，遭到泄露的風(fēng)險。

三、會計(jì)信息系統(tǒng)存在的安全問題

（一）信息系統(tǒng)共有的安全問題

1.信息系統(tǒng)的權(quán)限

授權(quán)控制是一種非常常見的對信息達(dá)到很好的內(nèi)部控制的手段。通常情況在傳統(tǒng)的經(jīng)濟(jì)業(yè)務(wù)流程中，從會計(jì)信息的錄入、登賬、明細(xì)表，匯總表到形成最終的報表，總會有擁有不同權(quán)限的人來對每個環(huán)節(jié)進(jìn)行各種簽字以及蓋章。這種簽字和蓋章在會計(jì)信息系統(tǒng)里面，是通過操作口令的形式表現(xiàn)出來的，而一旦操作口令被竊取，會對整個信息系統(tǒng)造成很大的危害。所以相關(guān)人員必須保證操作口令的保密性。

2.原始數(shù)據(jù)輸入準(zhǔn)確性

在會計(jì)信息系統(tǒng)里，所有的原始數(shù)據(jù)都是靠人工輸入的，只要一步出錯，明細(xì)賬、總賬都會連鎖出錯。因?yàn)橛?jì)算機(jī)只能按照預(yù)先編入的程序、指令執(zhí)行，不能夠識別。所以一定要在最初始輸入的時候不能出錯，以確保原始數(shù)據(jù)輸入的準(zhǔn)確性。endprint

3.數(shù)據(jù)庫安全問題

數(shù)據(jù)庫安全對企業(yè)有著至關(guān)重要的意義。高層需要通過它來進(jìn)行決策；管理層需要他們的數(shù)據(jù)來進(jìn)行管理；政府部門需要真實(shí)的會計(jì)信息實(shí)現(xiàn)對企業(yè)的監(jiān)管；投資者則通過這些信息來決定是否投資。對于一個企業(yè)來說，一旦數(shù)據(jù)庫的安全受到威脅，將會產(chǎn)生非常嚴(yán)重的后果。

4.控制舞弊的難度加大

隨著計(jì)算機(jī)的普及，利用計(jì)算機(jī)技術(shù)進(jìn)行循私枉法、貪污舞弊的情況，越來越嚴(yán)重。一些人利用計(jì)算機(jī)對數(shù)據(jù)進(jìn)行竊取并造假。而電子計(jì)算機(jī)系統(tǒng)和手工記賬會計(jì)系統(tǒng)相比，它的操作更具有隱蔽性，造成的危害更為嚴(yán)重。

（二）會計(jì)信息系統(tǒng)特有的安全問題

1.直觀審計(jì)線索的缺失

審計(jì)線索對審計(jì)工作來講極其重要。在手工記賬的過程中，每一環(huán)節(jié)，都有一定的數(shù)據(jù)可考。然而利用計(jì)算機(jī)記賬，只有在初始的階段會有原始的錄入，其他過程中信息以磁盤為載體，審計(jì)線索容易中斷，而且容易被篡改，且不易被發(fā)現(xiàn)。

2.會計(jì)信息易于偽造

在手工會計(jì)體系，紙質(zhì)是固定的，即便被修改也很容易被查處出來，但是如果通過會計(jì)信息系統(tǒng)就很容易被篡改而且不留痕跡。這些非法篡改會對整個會計(jì)信息甚至整個公司造成非常嚴(yán)重的后果。

四、構(gòu)建會計(jì)信息系統(tǒng)安全控制框架

（一）會計(jì)信息系統(tǒng)安全技術(shù)體系

從會計(jì)信息系統(tǒng)安全技術(shù)角度來說，主要可以分為上文所描述的三個方面：一是系統(tǒng)的內(nèi)部控制，二是系統(tǒng)防止外部入侵，三是數(shù)據(jù)庫的安全性問題。

（二）會計(jì)信息系統(tǒng)組織機(jī)構(gòu)控制

組織機(jī)構(gòu)控制就是在整個企業(yè)機(jī)構(gòu)在設(shè)計(jì)的過程中對這些人的職責(zé)、權(quán)限進(jìn)行一個非常明細(xì)的劃分。在實(shí)現(xiàn)計(jì)算機(jī)會計(jì)信息系統(tǒng)后，要實(shí)現(xiàn)內(nèi)部控制就必須以科學(xué)的組織機(jī)構(gòu)劃分為基礎(chǔ)。

（三）會計(jì)信息系統(tǒng)安全管理制度

任何一個會計(jì)信息系統(tǒng)的正常運(yùn)行都必須在一定的管理制度的指導(dǎo)下。只有非常成熟的管理制度，才能使企業(yè)的日?；顒拥玫酵昝烙行У倪\(yùn)行。會計(jì)信息系統(tǒng)安全的管理機(jī)構(gòu)應(yīng)該制定相應(yīng)的安全等級，根據(jù)不同的安全等級，確定他們不同的工作內(nèi)容和工作形式。

五、結(jié)語

會計(jì)信息系統(tǒng)在企業(yè)得到了廣泛的運(yùn)用，但是會計(jì)信息系統(tǒng)的安全性，仍然沒有得到企業(yè)應(yīng)有的重視。作為現(xiàn)在企業(yè)，應(yīng)加強(qiáng)對會計(jì)信息系統(tǒng)安全性的重視，加強(qiáng)對數(shù)據(jù)庫的保護(hù)，完善相關(guān)的會計(jì)信息系統(tǒng)管理制度，加強(qiáng)內(nèi)部控制，開發(fā)新的技術(shù)，只有這樣才能為企業(yè)的健康發(fā)展、效益的穩(wěn)健提升解除后顧之憂。

參考文獻(xiàn)：

[1] 沈浩鵬.網(wǎng)絡(luò)會計(jì)信息系統(tǒng)構(gòu)造與實(shí)施問題的研究[D].天津：天津工業(yè)大學(xué)，2006.

[2] 孫立輝.網(wǎng)絡(luò)環(huán)境下的會計(jì)信息系統(tǒng)審計(jì)[D].北京：財(cái)政部財(cái)政科學(xué)研究所，2004.

[責(zé)任編輯 陳鳳雪]endprint