摘  要：網(wǎng)絡(luò)會計是基于互聯(lián)網(wǎng)技術(shù)的現(xiàn)代會計模式，互聯(lián)網(wǎng)的時空無限性和技術(shù)開放性潛存著安全隱患，會計信息有可能被截取或篡改。發(fā)展網(wǎng)絡(luò)會計必須解決兩個問題：一是提高網(wǎng)絡(luò)安全意識，樹立新的信息安全理念，尋求安全解決方案；二是采用有效的安全密鑰技術(shù)，實施必要的防火墻措施，建立適應(yīng)網(wǎng)絡(luò)會計系統(tǒng)的控制機制。

　　有人說，網(wǎng)絡(luò)會計的安全問題是咽喉中的“惡性腫瘤”，盡管腸胃消化功能很好，可營養(yǎng)豐富的食物無法下咽，也只能通過“導(dǎo)管”維持生命。通俗的比喻，淺顯地道出了一個業(yè)界人士最為關(guān)心的問題：網(wǎng)絡(luò)會計發(fā)展的瓶頸-安全問題，更折射出業(yè)界人士的心愿：網(wǎng)絡(luò)會計發(fā)展的明天-摘除“惡性腫瘤”。

　　一、互聯(lián)網(wǎng)絡(luò)安全：令人擔憂的網(wǎng)絡(luò)會計依托的平臺

　　眾所周知，國際互聯(lián)網(wǎng)絡(luò)是一個由數(shù)以萬計的不同規(guī)模的網(wǎng)絡(luò)，通過自愿原則并共同遵守某種協(xié)議（如TCP/IP協(xié)議）互相連接起來的全球性的計算機網(wǎng)絡(luò)，而網(wǎng)絡(luò)會計則是以國際互聯(lián)網(wǎng)絡(luò)為平臺，對會計主體發(fā)生的經(jīng)濟活動引起的會計要素的增減變動進行核算和監(jiān)督，以求達到管理經(jīng)濟活動，提高經(jīng)濟效益，實現(xiàn)會計目標的現(xiàn)代會計模式。

　　國際互聯(lián)網(wǎng)絡(luò)時空的無限性和技術(shù)的開放性，為實現(xiàn)工作場地虛擬化，資料記錄無紙化，數(shù)據(jù)傳遞遠程化，信息交流數(shù)字化提供了廣闊的空間，在當今時代已經(jīng)顯現(xiàn)出無比的優(yōu)越性，但也使一些不法分子常常有機可乘，從而使用戶比以往更有可能暴露有價值的企業(yè)信息、關(guān)鍵性的商業(yè)應(yīng)用以及公司客戶的各類私人保密信息。惡意的襲擊會侵入網(wǎng)絡(luò)會計站點，進行各種可能的破壞，如制造和傳播破壞性病毒或讓服務(wù)器拒絕服務(wù)等。這些攻擊可引起服務(wù)崩潰，保密信息暴露，從而最終導(dǎo)致公眾信心的喪失，網(wǎng)絡(luò)會計實施的瓦解。

　　據(jù)媒體報道，去年4月21日，反病毒專家截獲了一種專門盜取某網(wǎng)上銀行用戶名和密碼的木馬病毒，這種病毒會在用戶計算機中創(chuàng)建可執(zhí)行文件、掛鉤和發(fā)信模塊文件，并修改注冊表。一個普普通通的木馬病毒，在重重安全技術(shù)防范的網(wǎng)上銀行系統(tǒng)中，竟能繞過 Microsoft安全控件和網(wǎng)上銀行的CA（Certificates Authorities ）證書，輕而易舉地竊取用戶的賬號和密碼？正當人們懷疑的時候，事隔一天，4月23日，江民反病毒專家在采取了嚴密的防范措施后，當場運行了截獲的病毒樣本進行試驗，結(jié)果表明病毒成功地截獲了銀行卡號及密碼并向外發(fā)送，令人難以置信的事情卻實實在在發(fā)生了。有關(guān)數(shù)據(jù)顯示，目前我國網(wǎng)上銀行用戶有近千萬，每年僅通過網(wǎng)上銀行流通的資金超千億，而利用多種安全認證技術(shù)的網(wǎng)上銀行系統(tǒng)，在一個小小的木馬病毒面前如此不堪一擊，就如存有千億元的銀行大門，只需輕輕一推就完全敞開，如何保障千萬用戶的千億資金安全？

　　隨著計算機互聯(lián)網(wǎng)絡(luò)技術(shù)的提高，網(wǎng)絡(luò)帶寬影響網(wǎng)絡(luò)傳輸速度的問題應(yīng)該說已基本解決，寬帶接入為實現(xiàn)網(wǎng)絡(luò)會計提供了在線操作的保證，但寬帶接入的背后卻隱藏了無限的殺機，有人曾斷言，寬帶將電腦接入了高危地區(qū)，斷言雖說有點危言聳聽，但網(wǎng)絡(luò)用戶面臨的安全問題卻是客觀存在的。據(jù)IT界業(yè)內(nèi)人士介紹，近來有些“間諜軟件”能夠在用戶不知情的情況下偷偷進行安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機密信息發(fā)送給第三者，還有一些“廣告軟件”能夠在硬盤上安營扎寨，發(fā)作時會不斷彈出廣告，將瀏覽器引導(dǎo)至某些特定網(wǎng)頁，以此盜取用戶的活動信息。據(jù)IT業(yè)界和美國國土安全部共同成立的“國家互聯(lián)網(wǎng)安全聯(lián)盟”的估計，90%使用寬帶接入的用戶至少會被一個間諜軟件或廣告軟件所感染，并導(dǎo)致一系列不良后果。專家預(yù)計，目前互聯(lián)網(wǎng)上流行的間諜軟件和廣告軟件大概有數(shù)萬個之多。

　　美國計算機安全研究中心SANS Institute 曾經(jīng)專門研究過沒有任何保護措施的計算機在互聯(lián)網(wǎng)上的“存活時間”，結(jié)果表明，2003年平均存活時間為近1小時，2004年卻不足20分鐘。

　　如此脆弱的互聯(lián)網(wǎng)絡(luò)確實讓人擔憂，以互聯(lián)網(wǎng)為平臺的網(wǎng)絡(luò)會計更讓人擔憂，會計信息能保證不會丟失嗎？商業(yè)機密能保證不會被竊取嗎？

　　二、安全防范意識：網(wǎng)絡(luò)會計發(fā)展必須淌過的河

　　網(wǎng)絡(luò)會計的信息安全問題是困擾網(wǎng)絡(luò)會計發(fā)展的核心問題。在傳統(tǒng)的手工操作方式下，會計信息的安全性有著嚴密的措施加以保證，在會計電算化方式下，由于大多是單機用戶或財務(wù)局域網(wǎng)或企業(yè)局域網(wǎng)，一般未接入國際互聯(lián)網(wǎng)絡(luò)，再加上安全密鑰的設(shè)置等，其安全性相對來說是有保障的，而在網(wǎng)絡(luò)會計方式下，其依托的操作平臺就是國際互聯(lián)網(wǎng)絡(luò)，如何淌過會計信息安全這條河，對網(wǎng)絡(luò)會計今后的發(fā)展起著舉足輕重的作用。筆者認為，首要的是要強化網(wǎng)絡(luò)安全防范意識，正如國際安全巨頭賽門鐵克（symantec）公司中國區(qū)執(zhí)行總裁鄭裕慶分析的，防止網(wǎng)絡(luò)威脅“惟一的方法是主動預(yù)防，即部署整體的網(wǎng)絡(luò)安全解決方案，而不是簡單的反病毒解決方案�！�

　　據(jù)國家863反計算機入侵和防病毒研究中心對2004年網(wǎng)絡(luò)安全狀況調(diào)查資料顯示，近年來，用戶對網(wǎng)絡(luò)信息安全管理工作的重視程度普遍提高，在被調(diào)查用戶中，80%的配有專職或兼職安全管理員，12%的建立了安全組織，2%的聘請了信息安全服務(wù)企業(yè)提供專業(yè)化的安全服務(wù)，但被調(diào)查用戶也普遍反映安全觀念薄弱等問題。另據(jù)3721在全國范圍內(nèi)發(fā)起的“全民體檢周”公益活動在線檢測結(jié)果顯示，很多用戶第一次感覺到網(wǎng)絡(luò)安全隱患竟然距離自己如此之近，這從反面折射出網(wǎng)絡(luò)用戶安全意識普遍薄弱的問題。其主要表現(xiàn)在：一是用戶對網(wǎng)絡(luò)安全防范解決方案上存在技術(shù)盲區(qū)，面對網(wǎng)絡(luò)黑客攻擊方式的多樣化、突發(fā)性和隱蔽性的特點，不少用戶不知道采取怎樣的措施才能有效地保護自己的信息安全；二是用戶對網(wǎng)絡(luò)安全防范解決方案上存在認識誤區(qū)，比如有人認為網(wǎng)絡(luò)安全防范可以通過殺毒產(chǎn)品實現(xiàn)，把查殺病毒與防御黑客入侵割裂開來，忽視了網(wǎng)絡(luò)病毒的變化趨勢，更有甚者，有的用戶認為安裝了殺毒軟件后就萬事大吉了，沒有及時對殺毒軟件進行升級。

　　提高網(wǎng)絡(luò)安全防范意識，樹立全新的信息安全理念，尋求最佳的安全解決方案，避免因網(wǎng)絡(luò)安全防范失誤而可能造成的不必要損失，對于網(wǎng)絡(luò)會計來講，就顯得尤其突出。其一，要從宏觀上強化網(wǎng)絡(luò)安全防范意識，實行網(wǎng)絡(luò)會計信息安全預(yù)警報告制度。網(wǎng)絡(luò)會計的運行平臺是國際互聯(lián)網(wǎng)絡(luò)，而且大多數(shù)服務(wù)器和客戶端都以Microsoft Windows系統(tǒng)作為操作系統(tǒng)，加上計算機病毒或黑客軟件等破壞程序多數(shù)是利用操作系統(tǒng)或應(yīng)用軟件的安全漏洞傳播，這為實行預(yù)警報告制度提供了非常有利的條件。因此，會計主管部門應(yīng)盡快建立一套完善的網(wǎng)絡(luò)會計信息安全預(yù)警報告制度，依托國家反計算機入侵和防病毒研究中心及各大殺毒軟件公司雄厚的實力，及時發(fā)布網(wǎng)絡(luò)會計信息安全問題及計算機病毒疫情，從而切實有效地防范網(wǎng)絡(luò)會計信息安全事件。其二，要增強用戶的網(wǎng)絡(luò)安全意識，切實做好網(wǎng)絡(luò)會計信息安全防范工作。要針對用戶安全意識薄弱，對網(wǎng)絡(luò)安全重視不夠，安全措施不落實的現(xiàn)狀，開展多層次、多方位的信息網(wǎng)絡(luò)安全宣傳和培訓，并加大網(wǎng)絡(luò)安全防范措施檢查的力度，真正提高用戶的網(wǎng)絡(luò)安全意識和防范能力。

　　三、安全密鑰技術(shù)：網(wǎng)絡(luò)會計發(fā)展必須爬過的坡

　　網(wǎng)絡(luò)會計數(shù)據(jù)的傳輸是通過國際互聯(lián)網(wǎng)絡(luò)進行的，會計信息的處理和存儲等工作都集中在網(wǎng)絡(luò)系統(tǒng)之內(nèi)，這就有可能被一些非法入侵者截取，或被一些別有用心者篡改。因此，密鑰技術(shù)是網(wǎng)絡(luò)會計發(fā)展的關(guān)鍵環(huán)節(jié)。試想，如果網(wǎng)絡(luò)會計的密鑰技術(shù)存在漏洞或隱患，信息的機密性何以保證？數(shù)據(jù)的安全性從何談起？網(wǎng)絡(luò)會計的安全鑰密技術(shù)是網(wǎng)絡(luò)會計發(fā)展必須爬過的坡。

　　盡管網(wǎng)絡(luò)會計目前還沒有一個實質(zhì)性的發(fā)展，但會計電算化已經(jīng)有了一個長足的進步。就安全密鑰技術(shù)來看，會計電算化實施過程中暴露出來的一些問題，對實施網(wǎng)絡(luò)會計是有借鑒作用的。目前使用的會計電算化軟件主要包括單機版和網(wǎng)絡(luò)版兩大類，由用戶根據(jù)其經(jīng)營規(guī)模的大小、會計崗位的設(shè)置等情況選擇，單機版僅在單臺計算機上使用，網(wǎng)絡(luò)版則在財務(wù)局域網(wǎng)或企業(yè)局域網(wǎng)內(nèi)運行，但一般情況下都不與國際互聯(lián)網(wǎng)絡(luò)鏈接。由此，會計信息在傳輸過程中被“局外人” 截取的可能性就小了，可“局內(nèi)人” 非授權(quán)訪問或篡改會計信息的案例卻時有發(fā)生，盡管是個案，卻也暴露出了電算化會計在安全密鑰技術(shù)方面存在的問題。筆者就此曾作過專門調(diào)查，歸納起來大致有以下幾種情況：一是加密的密碼或口令過于簡單，僅2-3個至多4-5個字符，這種密碼或口令就如同紙做的門，是防得住大盜還是防得住小偷呢？二是加密的密碼或口令過于統(tǒng)一，包括開機密碼、進入系統(tǒng)密碼、授權(quán)口令、屏保密碼等都使用相同的字符，這就如同設(shè)了三道門，加了三把鎖，卻使用同一把鑰匙去開啟這三把鎖，這第二道門和第三道門還有什么作用呢？三是加密的密碼或口令過于有規(guī)律，如序列碼12345、重復(fù)碼66666、電話手機碼138510、顯示器碼 Legend、鍵盤碼PHILIPS等等，這對經(jīng)驗老道的高手來說，一猜九個準；四是淡化密碼或口令的作用，開機進入系統(tǒng)后長時間離開，既不退出系統(tǒng)，也不加設(shè)屏保，如入無人之境；五是會計電算軟件本身存在不足，軟件商在開發(fā)軟件時片面迎合用戶心理，密鑰模塊設(shè)置過于單一。

　　網(wǎng)絡(luò)會計的安全密鑰技術(shù)相對于會計電算化來說，既要解決靜態(tài)會計信息被非授權(quán)訪問或篡改的問題，又要解決動態(tài)會計信息在傳輸中被截取的問題。筆者認為，應(yīng)著重解決三個問題：其一，采用有效的安全密鑰技術(shù)。為了防止非法入侵者竊取會計信息和非授權(quán)者越權(quán)操作數(shù)據(jù)，必須將客戶端和服務(wù)器之間傳輸?shù)乃�有�?shù)據(jù)都進行加密。專家們建議，至少應(yīng)兩層加密，第一層采用標準SSL協(xié)議，以有效地防止破譯和篡改等，第二層采用私有加密協(xié)議，以有效地防止越權(quán)操作。其二，實施必要的防火墻措施。防火墻是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法或技術(shù)，它保護著內(nèi)部網(wǎng)絡(luò)敏感的數(shù)據(jù)不被偷竊和破壞，并記錄內(nèi)外通訊的有關(guān)狀態(tài)信息。通過防火墻技術(shù)，執(zhí)行安全管理措施。其三，建立適應(yīng)網(wǎng)絡(luò)會計系統(tǒng)的控制機制。網(wǎng)絡(luò)會計不同于傳統(tǒng)的手工操作會計，也不同于電算化會計，就控制機制而言，要綜合考慮手工會計及電算化會計下有效的控制機制，還要兼顧網(wǎng)絡(luò)會計的自身特點，建立適應(yīng)網(wǎng)絡(luò)會計系統(tǒng)的控制機制，如調(diào)用會計信息必須登錄戶名、使用方式以及使用結(jié)果；更正會計數(shù)據(jù)必須留下“痕跡”以備查考；要設(shè)置非法用戶登錄或口令錯誤超限次數(shù)，并自動鎖定終端，凍結(jié)用戶標識；系統(tǒng)要能夠自動識別有效的終端入口，以防非法“物理”接入，等等。

　　“所有的網(wǎng)絡(luò)都有問題，無論你采取多少預(yù)防措施都不管用�！北M管福特-倫德吉爾網(wǎng)絡(luò)公司的商業(yè)智能經(jīng)理約翰 .P.蘇利文的話有點聳人聽聞，但安全意識的淡薄、防火墻技術(shù)上的不足、殺毒軟件使用上存在的誤區(qū)、操作不當產(chǎn)生死機丟失數(shù)據(jù)等警示人們：網(wǎng)絡(luò)會計必須在一個安全的環(huán)境中才能發(fā)展和壯大。