——影響會(huì)計(jì)從業(yè)人員的IT技術(shù)演進(jìn)分析之三

　　隨著國(guó)際互聯(lián)網(wǎng)的廣泛應(yīng)用，電子商務(wù)的興起，數(shù)據(jù)和信息的安全問(wèn)題日益突出，怎樣保護(hù)對(duì)企業(yè)具有重要意義的數(shù)據(jù)和信息，已成為企業(yè)不可忽視的一個(gè)問(wèn)題。在本次“影響中國(guó)會(huì)計(jì)從業(yè)人員的十大IT技術(shù)”評(píng)選結(jié)果中，數(shù)據(jù)和信息的安全與控制以較高得分名列第三，這充分說(shuō)明會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題已經(jīng)得到了中國(guó)會(huì)計(jì)人員的高度重視。 

　　信息安全涉及到信息的保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、可控性（Controllability）。保密性要求對(duì)抗對(duì)手的被動(dòng)攻擊，保證信息不泄漏給未經(jīng)授權(quán)的人；完整性要求對(duì)抗對(duì)手的主動(dòng)攻擊，防止信息被未經(jīng)授權(quán)的篡改；可用性要求保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用；可控性要求對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。 

　　要使信息安全保障系統(tǒng)具有足夠的保障能力，就必須具有完善的安全服務(wù)和控制機(jī)制，如身份鑒別、訪問(wèn)控制、密碼加密、完整性校驗(yàn)、防止否認(rèn)、審計(jì)管理、有用控制和應(yīng)急備份等，使信息系統(tǒng)的攻擊者“進(jìn)不去、竊不走、看不懂、改不了、打不亂、賴不了、跑不掉”， 建立起有效的安全屏障。 

　　信息技術(shù)日益廣泛和深入的應(yīng)用，提高了會(huì)計(jì)工作的效率和效益；但由于信息技術(shù)本身的特殊性，會(huì)計(jì)信息化進(jìn)程也帶來(lái)了巨大的信息安全風(fēng)險(xiǎn)。如會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)和信息安全得不到保障，將可能會(huì)導(dǎo)致會(huì)計(jì)信息的失真、企業(yè)資產(chǎn)的損失、企業(yè)重要信息的泄露以及系統(tǒng)無(wú)法正常運(yùn)行。為全面控制會(huì)計(jì)數(shù)據(jù)/信息的安全，會(huì)計(jì)人員需要改變傳統(tǒng)的安全保密觀念，根據(jù)信息安全技術(shù)的要求，在會(huì)計(jì)信息系統(tǒng)的分析設(shè)計(jì)、開發(fā)、運(yùn)行和維護(hù)工作中充分考慮信息安全需求，將信息安全控制落實(shí)到會(huì)計(jì)工作的每個(gè)環(huán)節(jié)。可以借鑒的措施有：“雙口令管理”、“數(shù)據(jù)雙備份”、“重要數(shù)據(jù)分布式存儲(chǔ)”以及“建立審計(jì)線索制”等。 

　　學(xué)習(xí)數(shù)據(jù)和信息安全與控制技術(shù)必須學(xué)會(huì)制定安全策略，一套好的安全策略應(yīng)該包括最終用戶和系統(tǒng)管理員兩個(gè)方面。在最終用戶方面，應(yīng)了解員工可以利用計(jì)算機(jī)設(shè)備和應(yīng)用軟件做什么，包括： 

　　● 數(shù)據(jù)和應(yīng)用所有權(quán): 幫助用戶理解他們能夠使用哪些應(yīng)用和數(shù)據(jù)，哪些應(yīng)用和數(shù)據(jù)是他們可以和其他人共享的。 

　　● 硬件的使用: 加強(qiáng)企業(yè)內(nèi)正在執(zhí)行的指導(dǎo)方針，規(guī)定對(duì)于工作站，筆記本電腦和手持式設(shè)備的正確操作。 

　　● 互聯(lián)網(wǎng)的使用: 明確互聯(lián)網(wǎng)、用戶組、即時(shí)信息、和電子郵件的正確使用方式。 

　　從系統(tǒng)管理員的角度，應(yīng)該學(xué)習(xí)： 

　　● 賬戶管理: 了解密碼配置，以及在需要的時(shí)候，如何切斷某個(gè)特定用戶的使用權(quán)限。 

　　● 補(bǔ)丁管理: 了解對(duì)發(fā)布補(bǔ)丁消息的正確反應(yīng)，以及如何進(jìn)行補(bǔ)丁監(jiān)控和定期的維護(hù)。 

　　● 事件報(bào)告制度: 不是所有的緊急事件都是同樣的重要，所以策略里必須包括一個(gè)計(jì)劃，規(guī)定每個(gè)緊急事件應(yīng)該通報(bào)哪些人。 

　　● 數(shù)據(jù)備份策略: 了解信息系統(tǒng)的數(shù)據(jù)備份需求，制定完備的備份策略。 

　　● 災(zāi)難恢復(fù)策略: 了解當(dāng)災(zāi)難發(fā)生時(shí)應(yīng)怎樣以最快的速度使系統(tǒng)恢復(fù)正常運(yùn)轉(zhuǎn)。