程 苗

(安徽三聯(lián)學(xué)院 教務(wù)處，合肥230601)

“大智移云”是將大數(shù)據(jù)、智能化、移動互聯(lián)網(wǎng)和云計算綜合在一起，是彼此相互關(guān)聯(lián)并解決問題的一項技術(shù)[1]。云計算技術(shù)的應(yīng)用不僅是處理手段，而且在連接到互聯(lián)網(wǎng)絡(luò)中還會產(chǎn)生很多信息數(shù)據(jù)，此時的大數(shù)據(jù)技術(shù)就可以將不同類型的數(shù)據(jù)歸類[2]。隨著互聯(lián)網(wǎng)的不斷發(fā)展，傳統(tǒng)的“手記式”記錄會計信息的方式已經(jīng)被專業(yè)的現(xiàn)代化會計系統(tǒng)所代替。這種現(xiàn)代化的會計系統(tǒng)，會將原本封閉的會計信息帶入到開放的互聯(lián)網(wǎng)絡(luò)中[3]。這些變化不僅為企業(yè)的運營帶來便利，還能提高會計工作的效率。但是，所有的新事物都具有兩面性，現(xiàn)代化會計系統(tǒng)同時也給企業(yè)帶來了威脅，開放的互聯(lián)網(wǎng)環(huán)境致使會計信息遭受著巨大的安全風(fēng)險。因此，研究會計信息系統(tǒng)安全評估方法是非常有意義的。

楊云雪等提出了一種基于企業(yè)經(jīng)濟損失的漏洞危險性評估方法，即使用貝葉斯攻擊圖模型，結(jié)合企業(yè)網(wǎng)絡(luò)系統(tǒng)環(huán)境變化進(jìn)行動態(tài)安全風(fēng)險評估，并通過案例研究說明了提出的動態(tài)安全風(fēng)險評估方法的具體計算過程，使用仿真實驗說明了提出的方法更加切合被評估網(wǎng)絡(luò)或信息系統(tǒng)遭受攻擊的真實情況，評估結(jié)果更加客觀準(zhǔn)確[4]。鄒凱等提出了智慧城市信息安全風(fēng)險評估模型構(gòu)建方法，即從智慧城市信息安全的5個層次和風(fēng)險評估的4個主要因素出發(fā)，構(gòu)建智慧城市信息安全風(fēng)險指標(biāo)框架，對智慧城市實例進(jìn)行Ward系統(tǒng)聚類形成分類屬性，選擇C4.5算法的決策樹方法建立風(fēng)險評估模型，并驗證模型的科學(xué)性[5]。但是，以上兩種方法在實際評估時，可以評估的安全風(fēng)險指標(biāo)較少。

針對以上問題，本文提出“大智移云”時代會計信息系統(tǒng)安全風(fēng)險評估方法。該方法可以保障信息系統(tǒng)及其承載的信息和服務(wù)的安全性，能避免組織機構(gòu)因會計信息系統(tǒng)發(fā)生危險而帶來不必要的損失。

一、會計信息系統(tǒng)安全風(fēng)險評估方法

(一)確定安全風(fēng)險指標(biāo)

確定“大智移云”時代會計信息安全危險指標(biāo)前，分析系統(tǒng)中的云端以及客戶端的結(jié)構(gòu)(見圖1)。

圖1 云端及客戶端結(jié)構(gòu)

由圖1可知，云端以及客戶端主要分為5個層次，確定5個層次的多個因素集合為U，設(shè)V表示多種評估構(gòu)成的集合，得到：

(式1)

其中，ui={ui1,ui2,...,uin},(i=1,2,...,n)，使用模糊算法計算5個層次中的多因素集合式1的可用度，先判斷式1中指標(biāo)之間的相互關(guān)系，再采用條件概率計算式1，得到：

P[F|W∩N]=P[F∩W|N/P[W|N]]

(式2)

其中，F(xiàn)表示會計系統(tǒng)在(t,t+dt]期間失效，W表示在時刻t之前正常，N表示起始時刻完好，P表示概率分布值。將得到的概率值大于0.5的指標(biāo)保留下來，整合得到的風(fēng)險指標(biāo)如表1所示。

表1 風(fēng)險指標(biāo)

使用表1中的各項風(fēng)險指標(biāo)，計算各指標(biāo)的評價權(quán)重，依照得到的權(quán)重值結(jié)果，調(diào)整評估順序，實現(xiàn)會計信息系統(tǒng)安全風(fēng)險評估。

(二)計算指標(biāo)評價權(quán)重

在計算會計信息系統(tǒng)中的指標(biāo)評價權(quán)重前，應(yīng)確定系統(tǒng)中存在的不易定量因素[6]。當(dāng)風(fēng)險因素過多時，評估出的結(jié)果不準(zhǔn)確，所以在計算指標(biāo)評價權(quán)重時，要構(gòu)造一個判斷矩陣，而構(gòu)建矩陣前，利用層次分析法評估表1中各類型風(fēng)險指標(biāo)的相對重要程度，評價集的比例標(biāo)度為1到9，按照評價集給出的含義構(gòu)建一個判斷矩陣，使用的標(biāo)度評價集如下表2所示。

表2 比例標(biāo)度評價集

續(xù) 表

分析表2的評價集，假設(shè)同一類型的風(fēng)險因素為一個風(fēng)險層，比較某層n個因素C1,C2,...,Cn，對另外一個風(fēng)險層中的某個因素的影響假定為O，每次取兩個因素Ci和Cj，用aij表示Ci和Cj對O的影響之比，形成的比較矩陣A為：

(式3)

其中，A=(aij)n×n,aij>0,aji=1/aij，i,j=1,2,...,n。此時式3是一個正互反矩陣，利用這個正互反矩陣，將矩陣A的最大特征根記作λ，特征根的特征向量作為權(quán)向量ω，則得到：

Aω=λω

(式4)

由式4可知，矩陣A的特征根和特征向量連續(xù)依賴于矩陣的因素aij，所以，當(dāng)aij符合指標(biāo)一致性時，可以計算出各個指標(biāo)的權(quán)重值，聯(lián)立式3與式4，得到指標(biāo)權(quán)重值[7-8]。規(guī)定計算得到的權(quán)重值大的為最重要的評估指標(biāo)，利用得到的安全評估指標(biāo)實現(xiàn)會計信息系統(tǒng)的安全評估。

(三)實現(xiàn)安全風(fēng)險評估

在實現(xiàn)安全風(fēng)險評估前，將“大智移云”時代會計信息系統(tǒng)中存在著的一些無法計算權(quán)重值的指標(biāo)篩選出來。無法計算權(quán)重值的指標(biāo)，常指安全風(fēng)險中的潛在威脅[9]，這些威脅包括蓄意或是偶然的因素，通常表現(xiàn)在人、系統(tǒng)、環(huán)境和自然等方面[10]。針對這些方面，嚴(yán)格排查網(wǎng)絡(luò)攻擊、惡意代碼傳播、郵件炸彈、非授權(quán)訪問等故意操作，避免誤操作、維護(hù)錯誤等失誤，以保證在進(jìn)行安全評估時不受這些無法計算其權(quán)值因素的干擾[11]。此外，信息系統(tǒng)中的威脅還常存在于系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的本身上，不定時排查承載會計信息系統(tǒng)的計算機中可能存在的軟硬件風(fēng)險以及介質(zhì)老化等問題，將安全評估方法“計算化”。使用的判斷標(biāo)準(zhǔn)如圖2的安全風(fēng)險類型關(guān)系所示。

圖2 安全風(fēng)險類型關(guān)系

由圖2可知，按照4種不同的類型篩選出無法計算出權(quán)重值的安全風(fēng)險后，確定最終的指標(biāo)，計算指標(biāo)的權(quán)重值，依照指標(biāo)權(quán)重值的大小，實現(xiàn)對會計信息系統(tǒng)安全風(fēng)險的評估。

二、評估實驗

(一)實驗準(zhǔn)備

表3為實驗準(zhǔn)備信息安全系統(tǒng)開發(fā)及運行環(huán)境。利用表3來運行“大智移云”時代會計信息系統(tǒng)。會計信息系統(tǒng)安全風(fēng)險評估界面如圖3所示。通過該界面，得到可識別的風(fēng)險指標(biāo)數(shù)量，采用文獻(xiàn)[4]方法、文獻(xiàn)[5]方法和“大智移云”時代會計信息系統(tǒng)安全風(fēng)險評估方法，對風(fēng)險指標(biāo)數(shù)量進(jìn)行對比分析。

表3 信息安全系統(tǒng)運行環(huán)境

圖3 會計信息系統(tǒng)安全風(fēng)險評估界面

(二)實驗結(jié)果分析

統(tǒng)計3種風(fēng)險評估方法，得到的風(fēng)險指標(biāo)數(shù)量結(jié)果如表4所示。

表4 三種評估方法評估指標(biāo)數(shù)量對比

由表4實驗數(shù)量結(jié)果可知：與表1得到的風(fēng)險指標(biāo)相比，文獻(xiàn)[4]方法可以評估出網(wǎng)絡(luò)安全風(fēng)險中的指標(biāo)數(shù)量為3，操作風(fēng)險中的指標(biāo)數(shù)量為2，法律及聲譽風(fēng)險和業(yè)務(wù)風(fēng)險中的指標(biāo)數(shù)量為3，業(yè)務(wù)風(fēng)險中的指標(biāo)數(shù)量為2，比本文方法可評估的指標(biāo)數(shù)量全部都少1個；文獻(xiàn)[5]方法可以評估4種風(fēng)險指標(biāo)，網(wǎng)絡(luò)安全風(fēng)險中的指標(biāo)數(shù)量為2，操作風(fēng)險中的指標(biāo)數(shù)量為1，法律及聲譽風(fēng)險中的指標(biāo)數(shù)量為2，業(yè)務(wù)風(fēng)險中的指標(biāo)數(shù)量為1，比本文方法可評估的指標(biāo)數(shù)量全部都少2個。

三、結(jié)語

網(wǎng)絡(luò)信息化技術(shù)的不斷發(fā)展，雖然使社會更進(jìn)步，但也威脅著各種信息的安全，因此，大力做好信息安全工作是網(wǎng)絡(luò)信息領(lǐng)域中的重要任務(wù)?！按笾且圃啤睍r代會計信息系統(tǒng)安全風(fēng)險評估方法，可以有效確定風(fēng)險評估的指標(biāo)，計算各指標(biāo)的權(quán)重值，依照計算出的權(quán)重值實現(xiàn)會計信息系統(tǒng)安全風(fēng)險評估。實驗結(jié)果表明，本文提出的安全風(fēng)險評估方法可以評估的指標(biāo)最多，更適合在會計信息系統(tǒng)中實際應(yīng)用。