劉永清

摘要：電子信息技術(shù)應(yīng)用范圍不斷拓展，網(wǎng)絡(luò)會(huì)計(jì)電算化也隨之進(jìn)入了高速發(fā)展時(shí)代?，F(xiàn)階段會(huì)計(jì)電算化已初步完成了由手工操作模式向網(wǎng)絡(luò)操作模式的轉(zhuǎn)換，但是仍然存在較多的問(wèn)題。根據(jù)網(wǎng)絡(luò)會(huì)計(jì)電算化安全問(wèn)題，對(duì)網(wǎng)絡(luò)會(huì)計(jì)電算化安全管理策略進(jìn)行了簡(jiǎn)單的分析。

關(guān)鍵詞：網(wǎng)絡(luò)會(huì)計(jì) 電算化 安全

中圖分類(lèi)號(hào)：F232 ?文獻(xiàn)標(biāo)識(shí)碼：A ?文章編號(hào)：1009-5349（2019）16-0057-02

網(wǎng)絡(luò)的開(kāi)放性、共享性特征使會(huì)計(jì)電算化系統(tǒng)存在極大的信息風(fēng)險(xiǎn)，如網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部?jī)?chǔ)存介質(zhì)安全隱患、軟件的可變性、網(wǎng)絡(luò)通信傳導(dǎo)脆弱性等。為保證企業(yè)財(cái)務(wù)會(huì)計(jì)信息安全，對(duì)軟件開(kāi)發(fā)中網(wǎng)絡(luò)會(huì)計(jì)電算化安全問(wèn)題及解決策略進(jìn)行深入研究與分析具有非常重要的意義。

一、網(wǎng)絡(luò)會(huì)計(jì)電算化安全風(fēng)險(xiǎn)

1.從業(yè)人員主觀風(fēng)險(xiǎn)

會(huì)計(jì)電算化系統(tǒng)最終操作人員為會(huì)計(jì)工作人員。這種情況下，會(huì)計(jì)工作人員的責(zé)任心、綜合素質(zhì)就直接影響了最終財(cái)務(wù)數(shù)據(jù)錄入的正確性;加上經(jīng)濟(jì)利益誘惑的存在，會(huì)計(jì)工作人員可能做出竊取商業(yè)秘密或破壞會(huì)計(jì)電算化系統(tǒng)內(nèi)部數(shù)據(jù)的行為，最終對(duì)企業(yè)發(fā)展造成嚴(yán)重的影響。[1]

2.計(jì)算機(jī)病毒風(fēng)險(xiǎn)

社會(huì)科技的進(jìn)步，促使企業(yè)間實(shí)現(xiàn)了實(shí)時(shí)信息交互。而網(wǎng)絡(luò)環(huán)境的開(kāi)放性，也加劇了會(huì)計(jì)電算化系統(tǒng)集中管理難度。再加上計(jì)算機(jī)病毒的存在，會(huì)計(jì)電算化系統(tǒng)內(nèi)數(shù)據(jù)具有較大的被修改、被復(fù)制、被刪除的風(fēng)險(xiǎn)，對(duì)會(huì)計(jì)電算化系統(tǒng)穩(wěn)定運(yùn)行造成了極大的威脅。

3.網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部風(fēng)險(xiǎn)

會(huì)計(jì)電算化系統(tǒng)主要由硬件設(shè)備、操作規(guī)程、數(shù)據(jù)、軟件等多個(gè)部分組成。而軟件的可變性、儲(chǔ)存介質(zhì)安全隱患的存在及信息的可讀取性，導(dǎo)致會(huì)計(jì)電算化系統(tǒng)內(nèi)部出現(xiàn)了較大的安全隱患。

二、網(wǎng)絡(luò)會(huì)計(jì)電算化安全管理策略

1.加強(qiáng)會(huì)計(jì)工作人員管理

在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的背景下，對(duì)會(huì)計(jì)電算化工作也提出了更高的要求。一方面，企業(yè)應(yīng)將會(huì)計(jì)電算化財(cái)務(wù)工作人員綜合素質(zhì)培養(yǎng)作為重要工作，在定期培訓(xùn)的基礎(chǔ)上，制定更加嚴(yán)格的管理規(guī)程。[2]同時(shí)為保證內(nèi)部財(cái)務(wù)工作人員可適應(yīng)新時(shí)代工作要求，企業(yè)應(yīng)將操作誤差控制作為階段工作核心，實(shí)施審計(jì)輪換制度。從根本上解決因?qū)徲?jì)獨(dú)立性過(guò)高導(dǎo)致的財(cái)務(wù)主觀風(fēng)險(xiǎn)。另一方面，企業(yè)可建立注冊(cè)會(huì)計(jì)師懲處制度。結(jié)合崗位責(zé)任制度的細(xì)化設(shè)置，全面控制會(huì)計(jì)電算化系統(tǒng)內(nèi)部注冊(cè)會(huì)計(jì)師違規(guī)、違法或者其他不良行為，為會(huì)計(jì)電算化系統(tǒng)穩(wěn)定運(yùn)行營(yíng)造良好的環(huán)境。

2.優(yōu)化病毒防控體系

木馬是現(xiàn)階段會(huì)計(jì)電算化系統(tǒng)運(yùn)行過(guò)程中出現(xiàn)頻率較高的計(jì)算機(jī)病毒，其大多隱藏在常規(guī)計(jì)算機(jī)軟件中，具有用戶(hù)信息竊取、用戶(hù)行為監(jiān)控、計(jì)算機(jī)攻擊、計(jì)算機(jī)操控等風(fēng)險(xiǎn)。因此，針對(duì)木馬病毒植入導(dǎo)致的會(huì)計(jì)電算化系統(tǒng)風(fēng)險(xiǎn)，可在會(huì)計(jì)電算化系統(tǒng)內(nèi)部設(shè)置木馬病毒實(shí)時(shí)監(jiān)控模塊，利用啟發(fā)式掃描技術(shù)，在特征代碼提取前的一段時(shí)間，檢測(cè)具有破壞作用的惡意軟件，達(dá)到事前預(yù)防木馬病毒的目的。

在實(shí)際運(yùn)行過(guò)程中，基于行為特征分析的木馬檢測(cè)模型主要包括木馬病毒規(guī)則庫(kù)、惡意軟件行為特征采集、軟件行為特征分析、木馬病毒處理幾個(gè)模塊。

首先，木馬病毒規(guī)則庫(kù)主要是根據(jù)已發(fā)現(xiàn)木馬特征碼，結(jié)合木馬病毒特征行為，構(gòu)建集關(guān)鍵字特征庫(kù)、行為字特征庫(kù)為一體的木馬病毒規(guī)則庫(kù)。

其次，軟件行為特征采集主要是利用數(shù)據(jù)挖掘、分析技術(shù)，以會(huì)計(jì)電算化系統(tǒng)進(jìn)程、啟動(dòng)項(xiàng)目、網(wǎng)絡(luò)端口、文件操作及系統(tǒng)服務(wù)為要點(diǎn)，對(duì)相關(guān)模塊行為信息進(jìn)行采集。

再次，軟件行為特征分析主要是以木馬規(guī)則庫(kù)為依據(jù)，通過(guò)軟件行為特征匹配，可確定木馬病毒信息。反之則需利用閾值判別算法對(duì)其進(jìn)行進(jìn)一步分析。閾值判別算法主要是通過(guò)預(yù)先設(shè)定木馬程序的閾值，對(duì)會(huì)計(jì)電算化系統(tǒng)軟件行為特征采集數(shù)據(jù)、木馬病毒規(guī)則庫(kù)進(jìn)行比對(duì)分析。針對(duì)不匹配的數(shù)據(jù)，對(duì)木馬程序預(yù)先設(shè)定閾值與行為特征數(shù)據(jù)進(jìn)行比對(duì)分析。即設(shè)定可疑軟件行為出現(xiàn)次數(shù)為m，則可疑軟件特征值為xq（q=1，2，3，……，m），可疑特征值權(quán)重值為ai（i=1，2，……，m）。[3]經(jīng)權(quán)重值計(jì)算、樣本均值計(jì)算、比較值計(jì)算、閾值比較等過(guò)程，可得出木馬病毒程序。其中權(quán)重值計(jì)算需要采用指數(shù)平均數(shù)指標(biāo)法，針對(duì)與樣本數(shù)值相關(guān)的計(jì)算結(jié)果進(jìn)行逐步推導(dǎo)分解，最終可得出相關(guān)樣本數(shù)值權(quán)重。若假定樣本數(shù)為m，則平滑洗漱為2/（1-m），設(shè)b=2/（1-m），則可得出截至當(dāng)前樣本數(shù)均值。通過(guò)對(duì)均值逐一展開(kāi)，可得出可疑特征值樣本權(quán)重計(jì)算公式為：bq=（1-b）m-1*b。

最后，根據(jù)軟件行為特征分析結(jié)果，可將軟件類(lèi)別劃分為可疑、危險(xiǎn)。對(duì)于行為類(lèi)別為危險(xiǎn)的軟件行為，可直接將其刪除;而對(duì)于行為類(lèi)別為可疑的會(huì)計(jì)電算化系統(tǒng)，可進(jìn)行人工處理。并出具會(huì)計(jì)電算化系統(tǒng)監(jiān)測(cè)報(bào)告。

3.完善會(huì)計(jì)電算化系統(tǒng)內(nèi)部管理體系

針對(duì)現(xiàn)階段會(huì)計(jì)電算化系統(tǒng)運(yùn)行階段存在的軟件風(fēng)險(xiǎn)或儲(chǔ)存介質(zhì)安全風(fēng)險(xiǎn)，相關(guān)企業(yè)可利用身分認(rèn)證技術(shù)，在靜態(tài)密碼（用戶(hù)名+密碼）簡(jiǎn)便認(rèn)證方式實(shí)施的基礎(chǔ)上，利用USBKey內(nèi)置CPU加密、解密及數(shù)字簽名功能，設(shè)置以USBKey為基礎(chǔ)的數(shù)字證書(shū)身分認(rèn)證方案，實(shí)現(xiàn)客戶(hù)端、服務(wù)器端相互認(rèn)證及雙對(duì)話(huà)密匙分配。在這個(gè)基礎(chǔ)上，利用USBKey雙因子認(rèn)證功能，可對(duì)會(huì)計(jì)電算化系統(tǒng)設(shè)置USBKey、PIN碼雙重登陸模式，可有效避免PIN碼被破解或者USBKey被盜用導(dǎo)致的會(huì)計(jì)電算化系統(tǒng)內(nèi)部管理風(fēng)險(xiǎn)。

在實(shí)際運(yùn)行過(guò)程中，基于USBKey的會(huì)計(jì)電算化系統(tǒng)內(nèi)部控制體系主要包括客戶(hù)端、服務(wù)器兩個(gè)模塊。[4]

首先，為服務(wù)器對(duì)客戶(hù)端進(jìn)行身分認(rèn)證，在PIN碼輸入正確的基礎(chǔ)上，用戶(hù)在會(huì)計(jì)電算化系統(tǒng)客戶(hù)端可讀取USBKey私匙，隨后調(diào)用USBKey，在獲得隨機(jī)數(shù)后使用證書(shū)密匙，以隨機(jī)數(shù)+服務(wù)器身分的模式，獲得簽名信息。并將簽名信息、隨機(jī)數(shù)同時(shí)發(fā)送到服務(wù)器。

其次，會(huì)計(jì)電算化系統(tǒng)客戶(hù)端對(duì)服務(wù)器的身分認(rèn)證主要是在服務(wù)器接收到客戶(hù)端發(fā)送的簽名信息后，對(duì)簽名信息進(jìn)行驗(yàn)證。簽名信息確認(rèn)無(wú)誤后，服務(wù)器會(huì)產(chǎn)生隨機(jī)數(shù)，利用服務(wù)器端證書(shū)密匙，以隨機(jī)數(shù)+會(huì)計(jì)電算化系統(tǒng)客戶(hù)端身份的模式，生成另外的簽名信息，并將所生成的簽名信息及服務(wù)器端生成的隨機(jī)數(shù)、客戶(hù)端生成的隨機(jī)數(shù)發(fā)送給會(huì)計(jì)電算化系統(tǒng)客戶(hù)端。

最后，在會(huì)計(jì)電算化系統(tǒng)客戶(hù)端、服務(wù)器信息相互認(rèn)證之后，需要對(duì)身分認(rèn)證過(guò)程進(jìn)行抗重放攻擊，即針對(duì)攻擊者發(fā)送目的機(jī)器已接收完畢的數(shù)據(jù)包對(duì)會(huì)計(jì)電算化系統(tǒng)運(yùn)行穩(wěn)定行造成影響。在會(huì)計(jì)電算化系統(tǒng)客戶(hù)端接收到服務(wù)器發(fā)送簽名信息后，可對(duì)簽名信息進(jìn)行驗(yàn)證。隨后對(duì)發(fā)送的兩個(gè)隨機(jī)數(shù)進(jìn)行對(duì)比，若接收的兩個(gè)隨機(jī)數(shù)相同，則可使用證書(shū)密匙，對(duì)后一個(gè)隨機(jī)數(shù)生成簽名信息，并將所生成的簽名信息與后一個(gè)隨機(jī)數(shù)同時(shí)發(fā)送給服務(wù)器。服務(wù)器接收到會(huì)計(jì)電算化系統(tǒng)客戶(hù)端發(fā)送的簽名信息及隨機(jī)數(shù)后。需要對(duì)隨機(jī)數(shù)前后信息對(duì)比，待兩個(gè)隨機(jī)數(shù)據(jù)信息一致后，則確定身分認(rèn)證成功。

三、結(jié)語(yǔ)

綜上所述，會(huì)計(jì)電算化系統(tǒng)是現(xiàn)代化生產(chǎn)、技術(shù)革命結(jié)合的新產(chǎn)物。會(huì)計(jì)電算化系統(tǒng)的合理應(yīng)用，不僅可以降低財(cái)務(wù)會(huì)計(jì)工作人員的工作強(qiáng)度，而且可以提高財(cái)務(wù)會(huì)計(jì)信息傳播速度。因此，針對(duì)會(huì)計(jì)電算化系統(tǒng)運(yùn)行階段出現(xiàn)的安全風(fēng)險(xiǎn)，相關(guān)技術(shù)人員應(yīng)從人員、信息系統(tǒng)內(nèi)部、病毒管理等模塊，進(jìn)行全面網(wǎng)絡(luò)安全管制平臺(tái)的設(shè)置，保證會(huì)計(jì)電算化系統(tǒng)安全、穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1]傅一旺.解決網(wǎng)絡(luò)會(huì)計(jì)電算化安全問(wèn)題的對(duì)策[J].農(nóng)村經(jīng)濟(jì)與科技，2016，27（17）：136-137.

[2]孔媛.企業(yè)會(huì)計(jì)電算化系統(tǒng)的網(wǎng)絡(luò)化和安全性[J].中國(guó)新通信，2016，18（9）：287.

[3]陳羽舒.網(wǎng)絡(luò)會(huì)計(jì)電算化安全問(wèn)題及對(duì)策探索[J].產(chǎn)業(yè)與科技論壇，2018（1）：205-206.

[4]鄭曉敏.網(wǎng)絡(luò)會(huì)計(jì)電算化的信息安全風(fēng)險(xiǎn)分析及防范策略[J].納稅，2017（7）：38.

責(zé)任編輯：楊國(guó)棟