網絡會計信息安全評析
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網絡會計信息安全評析范文,希望能給你帶來靈感和參考,敬請閱讀。
(一)會計系統存在被攻擊、竊取的風險信息系統最容易受到的是病毒與黑客攻擊,都會對計算機或信息系統構成安全威脅目前,金融、零售等信息化高度集中的行業很容易遭受到黑客攻擊;政府、軍隊、教育科研等機構也成為黑客攻擊的重要對象;會計信息系統,由于涉及到機構的核心機密,更容易受到攻擊。據瑞星估算,僅2010年,針對涉密網絡的攻擊就高達10萬次以上,主要來源于美、日、韓等國。一般來講,經濟發達地區受攻擊的比例會更高。網絡環境下,財務信息將面臨被竊取的風險。一方面,許多機構沒有成熟的安全管理機制,甚至僅依靠瀏覽器或Web服務器中的SSL安全協議;另一方面,目前的操作系統主要由國外研制,企業很難判斷其中是否存在后門或缺陷,極可能導致財務信息外泄。此外,大型企業的會計信息系統數據主要集中在服務器上,如果服務器管理人員不小心泄露密碼,甚至內外勾結,則所有財務信息都可能被竊取。
(二)會計數據真實、完整、可靠性面臨考驗會計數據有可能會失真,主要有數據篡改和數據偽造兩種形式。數據篡改是指入侵者從網上將信息截獲,按照數據的格式和規律,修改數據信息,然后發送給目的地,數據篡改破壞了數據的完整性。數據偽造則是指入侵者偽裝成“商家”或“合法用戶”,給對方發送郵件、訂單等虛假信息,從而竊取個人密碼或商業信息。會計數據一旦失真,企業將面臨巨大的安全隱患。網絡環境下,會計檔案的存儲介質不再是以前的紙質文檔,而變成了電子數據。電子數據存儲,極大提高了存儲效率,也為管理數據帶了便利,但有其天然缺陷。當存儲介質遇到劇烈振動,或突然遇到停電、火災等情況時,很可能導致存儲的數據失效。當被非法修改時,有可能沒有任何痕跡;此外,當網絡會計信息系統升級的時候,可能不兼容以前的版本,或者數據格式、數據接口等發生了變化,使得以前的信息不能進入當前的會計信息系統,都有可能導致會計檔案失效。信息化會計與傳統會計存在很大差別,很多企業由于未能及時建立與信息化方式匹配的內部控制機制,容易導致內部控制失效。如操作人員錄入了不正確的字段、使用了無效的代碼、或從財務的紙質憑證轉錄了數據等,都可能影響數據質量,如果缺乏相應的監督檢查機制很可能導致內部控制失效。此外,由于網絡環境下的會計信息系統數據集中存放于數據庫,信息交叉程度提高,依靠帳薄及憑證相互核對錯誤的機制可能也會失效,傳統會計中某些職工分權、相互牽制和約束的機制可能失去作用,信息管理人員或專業人員舞弊會給企業帶來不可估量的損失,也是會計信息化面臨的破壞力最大的隱患。如有些數據庫管理員通過篡改數據獲取不當利益,網絡會計信息系統可能連痕跡都沒留下。
二、網絡會計信息系統安全問題原因分析
(一)網絡系統的開放性和共享性網絡系統的重要特點是開放性和共享性,使網上信息安全存在先天不足,可能會帶來一些安全問題。一方面,由于互聯網的開放性,網絡上所有用戶均可共享信息資源,給一些非法訪問者提供了可趁之機。另一方面,互聯網上的數據往往是沒有加密的,這使得用戶密碼及其他重要數據可能在傳輸過程中被監聽和竊取。此外,在諸多信息系統中實行了分級權限管理,某些部門的操作人員被賦予了太高的權限,可以接觸到整個企業的財務會計系統,增加了財務信息被盜的風險。
(二)硬件設備配置不合理網絡信息系統中硬件的配置非常重要,尤其是網絡服務器及路由器等設備,對網絡安全有很大的影響。如果選擇了不合理的服務器型號,不僅網絡可能不順暢,網絡的穩定性及擴充性也會受到影響;如果選用的路由器緩沖區過小,則在網絡延時過程中,可能會流失數據包;如果路由器緩沖區過大,則可能會增加網絡延時,這些都會導致網絡不安全。
(三)軟件系統不合理主要包括兩個方面:一是軟件系統規劃不合理,開發的系統本身存在缺陷;二是軟件開發工具選擇不合理。(1)軟件系統的不合理規劃與開發。在規劃過程中,系統分析人員沒有與會計工作人員及相關用戶充分溝通,從而系統的需求分析可能并不能完全反映真實要求。基于這種規劃開發的會計信息系統,可能會引起一系列不安全的后果。另外,用戶自行開發軟件數據常常無法與購買的財務軟件數據交流,從而造成資源浪費。(2)軟件開發工具的不合理使用。以數據庫工具為例,SQLserver、Oracle、Sybase等主要適用于大型系統;Acess、FoxPro等則主要適用于小型系統。值得注意的是,各類數據庫工具的安全機制有所不同,所以必須根據系統的規模大小及安全性要求合理選擇數據庫工具。
(四)制度建設不健全網絡環境中,會計系統往往要和業務系統,如采購系統、銷售系統、存貨管理系統等相關聯,實現信息共享,提高會計系統的自動化處理程度。為了讓信息安全共享,必須建立內部控制制度,分配角色并賦予權限。此外,股東、銀行、稅務等機構也可能通過網絡與企業的財務會計系統連接,也需要建立相應的內部控制制度。
(五)人員風險人員風險主要分為勝任能力風險及道德風險。勝任能力要求從業人員既要熟練掌握國家會計準則及會計制度,掌握相應的信息技術,而且要具備較強的學習能力。道德風險,則要求財務人員面對誘惑時,能夠堅守職業操守。
三、網絡會計信息系統安全管理的策略
(一)安全管理的目標對于會計信息系統來說,信息安全主要是要保證信息的保密性、完整性、可用性、真實性、可控制性、可審查性、不可抵賴性等。數據保密性是指數據在網絡上傳輸的時候不被非法竊取,或者雖然被竊取但竊取者不能破解其真正意義;數據完整性是指數據的精確性和可靠性,指數據在傳輸過程中不被增加、刪除、修改內容;可用性是指對于合法用戶的正常使用,要保證能夠實現而不被拒絕;真實性是指鑒別數據來源,消除非法數據源,確保進入系統的數據是真實可靠的;可控制性是指數據的輸入、輸出、處理過程是可以控制的;可審查性是指對數據的任何訪問與操作(增加、刪除、修改)均被紀錄下來,便于“信息”追蹤或審查;不可抵賴性是指隨所有用戶的操作進行紀錄并存檔,防止用戶否認已作過的操作。
(二)安全管理的基本思想為了保證會計信息系統的安全,在規劃系統時候要全面考慮,按照“全網安全”的思想,實現多層面控制。(圖1)是基于該思想的安全體系框架。可以看出,該架構主要由三部分組成:技術體系、組織體系、管理體系。(1)技術體系:技術體系安全架構主要是為系統安全提供技術保障,包括安全技術和技術管理這兩大部分。安全技術又分為網絡環境安全及信息環境安全兩部分。網絡環境安全主要指物理安全和環境安全。為防范物理安全問題而導致會計信息安全隱患,要將計算機及相關設施受到物理保護,免于被破壞、丟失等;信息環境安全主要是指系統安全和信息安全。技術管理又分為三大部分:符合ISO標準的技術管理,從安全服務、體系規范、實施細則、安全評估幾個側面分別對會計信息系統安全進行管理;審計監測方面進行技術管理,會計信息系統實時的狀態監測、非法入侵時的監控;實施策略方面進行技術管理,財務系統的安全策略、密鑰管理。(2)組織體系:組織體系主要為系統安全提供組織人員保障。從機構設置、崗位設置、人事設置三方面進行構建。(3)管理體系:管理體系主要為系統安全提供制度保障。從國家法律立法、企業規章制度、企業業務培訓三方面對系統安全給予保障。
(三)安全管理的整體解決方案基于的“全網安全”思想,可以從如下方面對網絡會計系統進行整體安全保護:平臺安全、硬件安全、軟件安全、安全管理制度、人力資源素質。(圖2)是基于該思想的網絡會計信息系統安全問題整體解決方案。
(1)平臺安全。保證網絡辦公平臺安全,是網絡會計系統中最重要的部分。本方案中采用三種技術保證平臺安全:防火墻、虛擬專用網(VPN)、入侵檢測技術。防火墻充當屏障作用,合理使用防火墻能保護企業會計信息安全有效。主要作用在網絡入口處檢查網絡通訊,過濾不安全服務,防止非法用戶進入內部網絡;限定用戶訪問特殊網站;對內外部網絡進行有效隔離。所有外部網絡的訪問請求都要通過防火墻檢查,使得企業內部網的會計信息系統相當安全。當然,企業會計信息系統應保持相對封閉狀態,不能連接與業務無關的終端,更不能連接互聯網,僅能與業務相關部門實現資源共享。VPN(VirtualPrivateNetwrok)是利用公共網絡資源形成企業專用網,它融合了防火墻和Ipsec隧道加密技術的優點,可以為整個集團內部通信提供安全的信息傳輸通道,還可以簡化網絡管理、節約成本。VPN有隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術四項核心技術,為網絡安全提供了一定保障。入侵檢測是指通過對行為、審計數據、安全日志或其它網絡上可獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖。入侵檢測技術是為了彌補防火墻的不足,主動檢測來自系統外部的入侵、監視防火墻內部的異常行為。實時監控是會計信息系統必備的措施。通過建立操作日志,對日常會計活動中進行全程跟蹤,對大額的、異常的經濟業務單獨列示,詳細反映,及時提醒。
(2)硬件安全。硬件系統安全,會計信息系統的正常運行必須要有良好的硬件設備,從硬件系統的配置和管理兩方面提出保證。配置方面,選用合適的輸入輸出設備、調制解調器(MODEM)、路由器等互聯設備、及適當的網絡服務器。同時,硬件設備必須有過硬的質量和性能,并且數據安裝雙硬盤,數據雙重備份;管理方面,制定機房相關設備的定期檢查制度,做好機房防火、防塵、防水、防盜及恒溫等保障措施,使用UPS電源(防止停電導致信息中斷),重要數據遠程備份,安裝機房報警系統等。
(3)軟件安全。操作系統是整個信息系統安全的基礎。一方面,要盡量選擇擁有自主知識產權的操作系統,減少“暗門”等對系統安全的影響。目前,我國計算機所使用的操作系統基本上是舶來品,因為缺少自主的技術,會計信息資料網絡安全性較低,不能滿足會計信息所要求達到的保密程度,對高水平的國產化軟件有著迫切的需求;另一方面,會計信息從業人員要注意對操作系統的正確使用,如實時掃描漏洞并進行修補,對帳號、密碼及權限進行管理,紀錄安全日志并進行審計,下載補丁等,都可以提高操作系統的安全性。數據庫軟件,會計信息系統的核心就是存儲在數據庫中的數據,這是一切應用的基礎,故需要對數據的安全性、完整性、保密性等方面采取保護措施。在開發數據庫軟件時,要考慮數據庫系統的穩定性、可擴展性和高效性,以及安全性。各種外部數據信息導入之前,必須要經過病毒檢測程序,同時對財務數據的導出,必須嚴格控制,防止信息外泄。對財務軟件系統的修改維護必須報經相當領導批準同意。數據備份和數據容災是保護數據庫的重要措施,數據備份是指在遠程網絡設備上保存數據,防止數據的丟失和損壞;數據容災是指在異地建立兩套或多套功能相同的IT系統,相互進行狀態監視和功能切換,當一處系統因意外停止工作時,整個應用系統可以切換到另一處,使系統功能可以繼續正常工作。
(4)安全管理制度。包括應用控制、數據控制、訪問控制、安全管理體系、內部審計五個方面。應用控制是指在會計信息系統中,應用控制指的是對具體的數據處理活動進行控制,包括數據的輸入、輸出和處理控制。數據輸入時,會計信息系統要能達到糾正數據合理性、重復輸入校驗、邏輯關系測試等工作。網絡環境下,會計資料的輸入由多人承擔,可設置不同的復核方式,由系統對存在差異的數據進行比較。多用戶同時進行操作時,系統自動生成連續的憑證號,使數據有效清晰。嚴格限制財務數據的修改權限,對修改數據的操作,應提供可打印備查界面。電子數據發放及接收都有認證機構提供的記錄清單,以保證雙方權益。數據控制又稱數據保護,可分為安全性控制、完整性控制、并發控制和恢復。安全性控制主要是為了防止數據泄密和破壞,主要措施是授權和收回授權。對企業前內部人員,一定要及時收回授權;完整性控制是為了保證數據的正確性和相容性。數據通信傳輸過程中保證數據的完整,如果有被篡改的情況,接收方能通過軟件及時檢測出來。數據輸入能否正確進入系統,與數據庫軟件的輸入方式、數據格式及相關數據導入兼容轉換有著很大關系。我國很多企業有結合自身特色的會計信息系統,為提高會計信息系統的管理層次,還需將財務信息系統與企業其他管理信息進行有機結合。同時,各不同的財務軟件之數據交換,制定統一并規范的標準。并發控制是確保在多個事務同時存取數據庫中同一數據時不破壞數據庫的統一性。恢復這是指數據庫系統發生故障后,能夠自動恢復到正常的機制。訪問控制是保證網絡安全最重要的核心策略之一,主要任務是保證網絡資源不被非法使用和訪問。訪問控制涉及的技術比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。會計計信息數據的訪問僅限于經過授權的用戶,并且層層加密,禁止處理未經授權的業務。對關鍵財務信息資源,授權范圍應盡可能小。按照網絡環境下會計信息系統的需要,設定各級崗位責任及權限,防止非法操作;對不相容的職務要注意分離,不同崗位之間設定一定的制約機制。如系統管理員不能從事日常會計處理業務,記帳憑證一定要復核員復核才能生成帳簿。安全管理體系,嚴格完善的法律、法規與規章制度是網絡環境下會計信息安全的制度保證。我國目前還沒有專門的網絡會計信息安全的法律法規,暫時還不能滿足現有信息安全的需求。因而應逐步制定出符合我國國情的網絡會計法律體系,規范網絡交通購銷支付以及核算行為,為網絡會計的發展提供良好的法制環境。另一方面,企業自身也應建立安全管理部門,制定安全管理制度對操作人員實行安全技能培訓。使會計信息系統從開發、用戶管理、業務操作、數據存儲、檔案管理等各方面都有章可循。內部審計是指審計人員要熟悉企業會計信息系統的運行機制,不僅要對數據的輸入、輸出結果進行審查,而且也要對各種規章制度進行審查,確保符合當前會計準則和會計制度。對關鍵崗位人員,必須進行嚴格的審查和監督,以防止泄密或對外被篡改的數據或信息。企業應定期及不定期實行安全審計,及時發現系統及用戶存在的異常行為。網絡環境下也可積極推進遠程審計工作,以審計分析軟件進行輔助分析判斷,通過網絡遠程審計及時發現問題,公布審計報告,及時糾正錯誤作法,促進企業會計信息的真實性、完整。
(5)人力資源素質。通過對從業人員思想道德建設,加強員工的職業操守水平,樹立職業道德情感,來提高判斷是非的能力,使之自覺遵守企業關于信息系統安全的各種規定。選拔會計信息化從業人員時,要進行專業素養考察,使其具備相應的專業能力。同時,建立嚴格的繼續教育及培訓制度,提高從業人員勝任能力。加大對現有財務人員的培養力度,盡量培養復合型人才。對于因客觀條件的限制,現有企業財務人員不能解決的會計信息系統安全隱患,應咨詢相應的企業信息安全機構,得出解決方案,通過逐步改進,提高財務人員的安全技能。
(四)構建整體解決方案中應該注意的問題在構建會計信息系統安全問題整體解決方案中,必須注意以下問題。
(1)進行成本/效益分析。構建信息系統安全解決方案需要消耗大量企業資源,故在實施前必須作成本效益分析,才能保證信息安全構建的進展順利。成本/效益分析有利于企業內部統一認識,共同推進信息系統的建設與維護。
(2)全局觀原則。站在系統工程的角度,對信息系統安全的具體措施錯進行詳細分析。一般情況下,可以采取的安全措施包括:專業技術措施、行政措施和各項管理制度。其中專業技術措施包括認證識別、存取控制、加密技術防火墻等;管理制度包括所有工作流程處理、系統維護等方面。一個周全的安全管理方案應該是由多種方法綜合起來發揮作用的。
(3)一貫性原則。對網絡安全的防范應該貫穿會計信息系統的整個生命周期,采取的安全措施必須與存在的問題對應。會計信息系統的規劃、設計、系統實現等都需要相應的安全制度和措施。一般來講,系統的安全是從規劃開始的,而不是建設完成后才考慮的。
(4)方便易用。系統所采用的安全措施應該盡量簡單易用,便于操作。無論定義多少安全措施,最終需要人來執行,如果安全措施過于復雜,操作人員失誤及舞弊的概率就會加大。同時,如果安全控制過于復雜,可能會影響會計信息系統的運行功能。
(5)適應性原則。當網絡環境、數據庫環境或者用戶的安全需求變化時,安全架構要能夠適應這種變化,并能夠進行相應的修改。
