24周年

財稅實務 高薪就業(yè) 學歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.41 蘋果版本:8.7.40

開發(fā)者:北京正保會計科技有限公司

應用涉及權限:查看權限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

試論會計網絡化系統(tǒng)的安全風險和防范策略

來源: 中國會計電算化 王海林 編輯: 2003/11/25 09:33:14  字體:
  任何一個信息系統(tǒng)無論其安全控制功能多么完善,運行環(huán)境多么安全,都存在著安全風險。但是,每一個系統(tǒng)的安全,風險的大小又由于系統(tǒng)控制功能和運行環(huán)境的不同而不同,所以,如何提高系統(tǒng)的安全程度,降低安全風險成了系統(tǒng)設計者和系統(tǒng)用戶都關心和考慮的問題。

  一、會計信息系統(tǒng)安全風險的形式

  會計信息系統(tǒng)的安全是指系統(tǒng)保持正常穩(wěn)定運行狀態(tài)的能力。會計信息系統(tǒng)的安全風險是指由于人為的或非人為的因素使得會計信息系統(tǒng)保護安全的能力減弱,從而造成系統(tǒng)的信息失真、失竊,企業(yè)資金財產損失,系統(tǒng)硬件、軟件無法正常運行等結果發(fā)生的可能性。保護系統(tǒng)的安全就是保護系統(tǒng)免遭破壞或遭到損害后系統(tǒng)能夠較容易再生、會計信息系統(tǒng)的安全風險主要表現(xiàn)在幾方面:

  1、會計信息失真。會計信息的真實、完整、準確是對會計信息處理的基本要求,由于會計信息是企業(yè)生產經營活動的綜合、全面的反映,企業(yè)的各個職能部門幾乎都不同程度的需要、利用會計信息,因此,會計信息的質量不僅僅關系到會計信息系統(tǒng),還影響企業(yè)管理的其他子系統(tǒng)乃至企業(yè)的整個管理決策。一旦會計信息系統(tǒng)的安全受到侵害,最直接的影響就是會計數(shù)據(jù)錯誤、數(shù)據(jù)丟失或被篡改使會計信息失真,從而不同程序地影響會計信息的使用者進行有關決策。

  2、企業(yè)資產損失。利用非法手段侵吞企業(yè)資財是會計信息系統(tǒng)安全風險的主要形式之一。其手段主要有:未經許可非法侵入他人計算機設施、通過網絡散布病毒等有害程序、非法轉移電子資金及盜窈銀行存款等。比如,深圳一家證券公司的經理利用工作之便,通過電腦盜走了某證券部門的200多萬元保證金;廣東省某市中國銀行在一宗信用卡犯罪案件中損失了近干億元等等,造成了極大的資財損失。隨著犯罪技術的日趨多樣化、復雜化,信息系統(tǒng)犯罪更加隱蔽,更加難以發(fā)現(xiàn),涉及的金額也從最初的幾千元發(fā)展到幾萬元,甚至上億元,安全風險損失越來越大,后果越來越嚴重。

  3、企業(yè)重要信息泄露。信息技術高速發(fā)展的今天,信息在企業(yè)的經營管理中變得尤為重要,成為企業(yè)的一項重要資本,甚至決定了企業(yè)在激烈的市場競爭中的成敗。因此利用高技術手段竊取企業(yè)機密是當今計算機犯罪的主要目的之一,也是構成系統(tǒng)安全風險的重要形式。比如:竊取企業(yè)重要的會計信息并泄露給競爭對手以達到某種非法目的等,常常會對企業(yè)造成無法估量的損失。

  4、系統(tǒng)無法正常運行。無論是無法避免的自然災害,還是出于非法目的而輸入破壞性程序、操作者有意、無意的操作造成硬件設施的損害、計算機病毒的破壞等都有可能使會計信息系統(tǒng)的軟件、硬件無法正常工作,甚至系統(tǒng)癱瘓,造成巨大損失。

  二、影響會計信息系統(tǒng)安全風險的因素

  影響網絡化會計信息系統(tǒng)安全風險的因素可以從硬件系統(tǒng)、軟件系統(tǒng)、會計數(shù)據(jù)三個方面考慮:

 ?。ㄒ唬┯绊懹布到y(tǒng)安全的因素

  1、不正確的操作。計算機系統(tǒng)的操作人員對硬件設備的不正確操作可以引起系統(tǒng)的損壞,從而危害系統(tǒng)的安全。不正確的操作主要是指操作人員不按規(guī)定的程序使用硬件設備,例如不按順序開機、關機,有可能燒毀計算機的硬盤,從而造成數(shù)據(jù)的全部丟失。

  2、人為的有意破壞。有意破壞系統(tǒng)硬件設備者可能是系統(tǒng)內部操作人員,也可能是系統(tǒng)外部人員。破壞者出于某種目的(如發(fā)泄私憤或謀取不法利益)而破壞計算機硬件,致使系統(tǒng)運行中斷或毀滅。這種破壞行為可能是以暴力的方式破壞計算機設備,也可能通過盜窈等手段破壞計算機系統(tǒng),例如竊走存有數(shù)據(jù)的磁帶或磁盤;或者計算機病毒的發(fā)作造成硬件損壞等。

  3、不可預測的災害。不可預測的災害雖然發(fā)生的概率非常小、但對信息系統(tǒng)的破壞性極大,所以必須引起足夠的重視,例如火災或元件的突然損壞,可能造成整個系統(tǒng)的毀滅、

  (二)軟件系統(tǒng)的不安全因素

  l、操作人員的有意破壞計算機系統(tǒng)的操作人員可以通過對程序作非法改動來篡改程序文件,或者利用非法操作即操作員或其他人不按操作規(guī)程或不經允許上機操作,改變計算機的運行路徑等手段修改系統(tǒng)軟件,從而破壞軟件系統(tǒng)安全。

  2、計算機病毒計算機病毒實際上是一段小程序,它具有自我復制功能,常駐留于內存、磁盤的引導扇區(qū)或磁盤文件,在計算機系統(tǒng)之間傳播,常常在某個特定的時刻破壞計算機內的程序、數(shù)據(jù)甚至硬件。據(jù)統(tǒng)計,全世界發(fā)現(xiàn)的各種計算機病毒已經超過了24000種,并且正以每月300一500種的速度瘋狂增長。目前出現(xiàn)了一種叫CIH的惡性病毒,是由臺灣某大學畢業(yè)生所設計,由于能直接攻擊、破壞硬件系統(tǒng),主要傳染windows95/98可執(zhí)行程序,極大的威脅著系統(tǒng)安全。以前計算機病毒主要靠磁盤或光盤傳播,但在網絡化系統(tǒng)中,計算機病毒升始通過網絡來傳播,時下有一種“梅利沙”病毒,隱藏在word文件中,通過電子郵件傳播、破壞電子郵件服務器。由于病毒的隱蔽性強、傳播范圍廣、破壞力大等特點,對遠程網絡會計信息傳輸?shù)陌踩珮嫵闪藰O大的威脅。查殺病毒已成為系統(tǒng)安全保護的一個重要內容。

  3、網絡黑客黑客是指非授權侵入網絡的用戶或程序。黑客最常用的詭計有以下幾種:第一,捕獲,許多程序能夠使破壞者捕獲到個人信息、,尤其是口令。第二,查卡,這種程序是“捕獲”程序的一部分,它主要捕獲信用卡密碼。第三、即時消息轟炸,利用即時消息功能,黑客可以采用多種程序,以極快的速度用無數(shù)的消息“轟炸”某個特定用戶。第四,電了郵件轟炸,用數(shù)百條消息、填塞某人的E一mail信箱,是一種確實可靠的在線襲擾的方法。第五,違反業(yè)務條款,這種詭計相當于在網上陷害某人,有些程序可使這種欺騙活動看起來就好象是某個用戶向黑客發(fā)送了一條攻擊性的E一mail消息。第六,病毒和“特洛伊木馬”,這些程序看起來像一種合法的程序,但是它靜靜地記錄著用戶輸人的每個口令,然后把它們發(fā)送給黑客的Internet信箱,從而通過盜竊系統(tǒng)合法用戶的口令,然后以此口令合法登陸系統(tǒng)實現(xiàn)非法目的。

 ?。ㄈ嫈?shù)據(jù)的不安全因素

  1、操作人員篡改程序和數(shù)據(jù)文件。通過對程序作非法改動,導致會計數(shù)據(jù)的不真實、不可靠、不準確或以此達到某種非法目的,如,轉移單位資金到指定的個人賬戶等。

  2、有權和無權用戶的非法操作。主要是操作員或其他人員不按操作規(guī)程或非法操作系統(tǒng),改變計算機系統(tǒng)的執(zhí)行路徑從而破壞數(shù)據(jù)的安全。

  3、竊取或篡改商業(yè)秘密、非法轉移電子資金和數(shù)據(jù)泄密等。對會計數(shù)據(jù)的泄密主要是指系統(tǒng)的用戶或數(shù)據(jù)保管人員把本企業(yè)會計信息通過磁盤、磁帶、光盤或網絡等介質透露給競爭對手;竊取或篡改商業(yè)秘密是系統(tǒng)非法轉移用戶利用不正常手段獲取企業(yè)重要機密的行為。借助高技術設備和系統(tǒng)的通訊設施非法轉移資金對會計數(shù)據(jù)的安全保護構成很大威脅。

  另外操作人員通過非法修改、銷毀輸出信息等損壞計算機系統(tǒng)的方式達到掩蓋舞弊行為和獲取私人利益的目的,也是構成系統(tǒng)安全風險的一個因素。

  三、會計信息系統(tǒng)安全風險的防范策略

  (一)在軟件功能上施加必要的控制措施來保護會計數(shù)據(jù)的安全

  1、增加必要的提示功能如軟件執(zhí)行備份時,存儲介質上無存儲空間、備份介質未正確插人和安裝;執(zhí)行打印時未連接打印機或未打開打印機電源;用戶輸入數(shù)據(jù)時輸入了與系統(tǒng)當前數(shù)據(jù)項不符的數(shù)據(jù)或未按要求輸人等等,此時系統(tǒng)應給予必要的提示,并自動中斷程序的執(zhí)行。

  2、增加必要的保護功能在突然斷電、程序運行中用戶的突然干擾等偶發(fā)事故,如軟件執(zhí)行結帳時用戶干預等發(fā)生時,能自動保護好原有的數(shù)據(jù)文件,防止數(shù)據(jù)破壞或丟失、同時對重要數(shù)據(jù)系統(tǒng)可增加退出系統(tǒng)時的強行備份功能,用戶再次進人系統(tǒng)時自動把備份數(shù)據(jù)與機內數(shù)據(jù)比較對照,及時發(fā)現(xiàn)數(shù)據(jù)文件的改變。

  3、必要的檢驗功能

 ?。?)設計適應電算化帳務處理的核算組織程序。任何由原始憑證人工編制的記帳憑證都應進行嚴格的審核、復核。在網絡環(huán)境系統(tǒng)中,輸人的工作量由多人共同分擔,憑證數(shù)據(jù)的輸人可以采用一組人員輸入,換人復核;或者采用兩組人員兩次輸人,輸人的數(shù)據(jù)分別存放在兩個暫存文件中,然后由計算機對兩個數(shù)據(jù)文件中的記錄逐條進行比較。對于存在差異的記錄進行對照顯示或打印,便于找出錯誤,進行修改。只有完全相同,系統(tǒng)才把錄入的數(shù)據(jù)作為正式的憑證數(shù)據(jù)存貯。未經校驗的數(shù)據(jù)系統(tǒng)應作上標記,不允許進人記帳憑證文件。

 ?。?)對輸人系統(tǒng)的數(shù)據(jù)、代碼等都要進行檢驗。如:輸人記帳憑證時、每張憑證都要經過曰期合法性、會計科目合法性、憑證類合法性、對應科目的合法性、金額借、貸平等校驗。對于不符合要求的數(shù)據(jù)系統(tǒng)不予通過。根據(jù)會計核算的要求和網絡系統(tǒng)的特點、系統(tǒng)對輸人的同類記帳憑證、原始憑證自動按日或月分類順序編號,并且對多個用戶同時訪問同一個數(shù)據(jù)文件時各用戶操作的記錄進行鎖定,拒絕其它用戶的訪問。這樣可以避免多個用戶同時操作易引起的憑證斷號、重號和串號,而且使于分清責任,達到會計控制的目的。

  4、增加必要的限制功能

 ?。╨)修改限制。修改功能可以方便用戶,提高系統(tǒng)的實用性,但同時也增加了系統(tǒng)的不安全因索。因此在帳務處理中有必要對修改功能加以限制:①對末記帳的憑證,一經修改,必須進行復核,只有正確之后系統(tǒng)才對修改結果予以確認;②對已經記帳的憑證系統(tǒng)不提供直接修改帳目的功能。只能通過編制記帳憑證,對錯誤的憑證進行沖正或補充登記;對修改過的憑證,系統(tǒng)予以標識,保留更改痕跡,并可以打印輸出以作核查依據(jù);③輸出的財務報表,其數(shù)據(jù)由系統(tǒng)自動按照用戶定義的格式和數(shù)據(jù)來源的公式生成、不提供對數(shù)據(jù)的修改功能;④基礎數(shù)據(jù),如:科目庫、代碼庫等的修改權限只授予系統(tǒng)維護員。

  (2)處理數(shù)據(jù)的一次性限制。在帳務處理中、期末結帳,一旦執(zhí)行,系統(tǒng)應予以標識,如果系統(tǒng)的某些設置(比如會計期間)未變,則不能再執(zhí)行第二次。

 ?。ǘ┙⒈匾墓芾碇贫?br>
  l、實行用戶權限分級授權管理,建立起網絡化環(huán)境下會計信息系統(tǒng)的崗位責任制

  按照網絡化會計系統(tǒng)業(yè)務的需求設定各會計上機操作崗位,明確崗位職責和權限,并通過為每個用戶進行系統(tǒng)功能的授權落實其責任和權限。結合密碼管理措施,使各個用戶進人系統(tǒng)時必須輸人自己的用戶號和口令,進人系統(tǒng)之后也只能執(zhí)行自己權限范圍內的功能,防止非法操作。同時做到不相容職務的分離;比如:系統(tǒng)的維護人員和系統(tǒng)管理員不得上機處理日常會計業(yè)務;會計業(yè)務處理人員不能進行系統(tǒng)維護,會計軟件保管人員不能由上述人員兼任等等。

  同時防止單用戶系統(tǒng)中利用數(shù)據(jù)庫管理系統(tǒng)篡改數(shù)據(jù)文件;網絡系統(tǒng)中要對會計系統(tǒng)的所有數(shù)據(jù)文件按照如下的使用權限;只讀數(shù)據(jù)、修改數(shù)據(jù)行、增加數(shù)據(jù)行、建立數(shù)據(jù)文件的索引文件、刪除數(shù)據(jù)行、修改數(shù)據(jù)文件結構等進行授權、并且視需要進行權限的收回。

  2、建立嚴格的內部牽制制度

  對系統(tǒng)的所有崗位要職責范圍清楚、同時做到不相容職務的分離,各崗位之間要有一定的內部牽,制作保障。如:軟件維護后,必須經過維護人員、內審人員和用戶的共同測試和簽章才能正式投人使用系統(tǒng)數(shù)據(jù)輸人人員不能兼做審核;系統(tǒng)的維護人員和系統(tǒng)管理員不得上機處理日常會計業(yè)務,系統(tǒng)進行備份數(shù)據(jù)恢復時必須由具體操作員和主管共同批準等。

  3、建立必要的上機操作控制和系統(tǒng)運行記錄控制

  (l)建立嚴格的硬件操作規(guī)程。安裝計算機硬件系統(tǒng)時,必須按照一定的順序進行;啟動計算機時,要按照先開外設再開主機、關機時先關主機再關外設;計算機處于工作(加電)狀態(tài)時、不得拔插各種外部設備;計算機進行軟盤讀寫操作時,不得強行將軟盤取出;網絡的布線要避免電磁干擾或人為的損壞,不要隨意插拔網絡纜線的接頭,也不要經常移動計算機等。

  (2)制定操作員訪問系統(tǒng)的標準操作規(guī)程、明確規(guī)定各個操作員進人系統(tǒng)后執(zhí)行程序的順序、各硬件設備的使用要求、數(shù)據(jù)文件和程序文件的使用要求以及處理系統(tǒng)偶發(fā)事故的操作要求,如設備突然斷電的處理、設備的重新啟動要求等、同時要制定數(shù)據(jù)文件的處置標準,對數(shù)據(jù)文件的名稱、保留時間、存放地點、文件重建等事項做出規(guī)定,以便統(tǒng)一管理。

 ?。?)通過設置軟件功能、利用系統(tǒng)提供的功能或人工控制記錄等措施對各用戶操作系統(tǒng)的所有活動予以記錄,并定期由系統(tǒng)主管進行監(jiān)察和檢驗及時了解非法用戶和有權用戶越權使用系統(tǒng)的情況。

  4、建立嚴格的硬件管理制度和損害補救措施

  比如采用磁盤雙工和磁盤鏡像可以在一塊硬盤失效時,由另一塊硬盤替換工作;雙機熱備份可以在一臺計算機(服務器)失效時,由備用的計算機接替繼續(xù)工作。

  建立健全設備管理制度,確保硬件設備的運行環(huán)境、電源、溫度、濕度、靜電、塵土、電磁干擾、輻射等,例如計算機系統(tǒng)要求配置穩(wěn)壓電源,不間斷電源(UPS),有時還需要配置備份電源,以便在長時間斷電的情況下啟用備份電源來保證設備的正常運行。

  其次,各系統(tǒng)操作人員應分清責任,各自管理和使用自己職責范圍內的硬件設備,不得越權使用、禁止非計算機操作人員使用計算機系統(tǒng),以免不當?shù)牟僮鲹p壞硬件設備。多個用戶使用同一臺設備的,要進行嚴格的登記,并記錄運行情況。

  5、建立嚴格的檔案管理制度

  首先,系統(tǒng)投人使用之后,原系統(tǒng)的所有程序文件、軟、硬件技術資料應作為檔案進行保管,并應由專人負責,同時嚴格限制無權用戶、有權用戶非正常時間等對程序的不正常接觸;在檔案調用時也必須經系統(tǒng)主管和程序保管共同批準,并對使用人、程序名稱、調出時間、使用原因和目的以及歸還時間等進行詳細的登記,以便曰后核查。

  其次,所有會計數(shù)據(jù)文件應做檔案保管并嚴格限制無權用戶、有權用戶非正常時間等的不正常接觸;建立一定的應急措施,如數(shù)據(jù)文件的定期備份、備份數(shù)據(jù)的存放地點、存放條件要求、系統(tǒng)數(shù)據(jù)文件損壞后的再生規(guī)則等,從管理上嚴把關。

  6、建立預防病毒的安全措施

 ?。?)堅持使用正版的軟件,不要使用盜版或來歷不明的軟件。

 ?。?)定時備份磁盤的數(shù)據(jù)和軟件。

 ?。?)在不能確定計算機、是否帶有病毒的情況下,要讀取軟盤的數(shù)據(jù)應使軟盤處于寫保護狀態(tài)。

 ?。?)不要打開和閱讀來歷不明的電子郵件。

  (5)經常對計算機硬盤和軟盤進行病毒檢測。

  7、建立對黑客的防護措施

  (1)設置防火墻,使用入侵檢測軟件。入侵檢測軟件可以檢測非法入侵的黑客,并將它拒之內部網絡之外。

 ?。?)抓好網內主機的管理。用戶名和密碼管理永遠是系統(tǒng)安全管理中最重要的環(huán)節(jié)之一,對網絡的任何攻擊,都不可能沒有合法的用戶名和密碼(后臺網絡應用程序開后門例外)。但目前絕大部分系統(tǒng)管理員只注重對特權用戶的管理,而忽視對普通用戶的管理。主要表現(xiàn)在設置用戶時圖省事方便,胡亂設置用戶的權限、組別和文件權限,為非法用戶竊取信息和破壞系統(tǒng)留下了空隙。

 ?。?)設置好的網絡環(huán)境。網上訪問的常用工具有網絡操作命令,對它們的使用必須加以限制。但這樣做會使網外的一切訪問都被拒絕,即使是合法訪問也不例外。這種閉關自守的做法不值得提倡,因為這樣會使本網和網外隔絕開,也會給自己帶來不便。應該盡量做到有條件的限制(允許)網上訪問。

  (4)加強對重要資料的保密。重要資料主要包括路由器、連接調制解調器的電腦號碼及所用的通信軟件的種類、網內的用戶名等,這些資料都應采取一些保密措施,防止隨意擴散。如可向電信部門申請通信專用的電話號碼不刊登、不供查詢等。由于公共的或普通郵電交換設備的介入,信息通過它們后可能被篡改或泄露。

 ?。?)加強對重要網絡設備的管理。路由器在網絡安全計劃中是很重要的一環(huán)、現(xiàn)在大多數(shù)路由器已具備防火墻的一些功能,如禁止telnet的訪問、禁止非法的網段訪問等。通過網絡路由器進行正確的存取過濾是限制外部訪問簡單而有效的手段。有條件的地方還可設置網關機,將本網和其他網隔離,網關機上不存放任何業(yè)務數(shù)據(jù),刪除除系統(tǒng)正常運行所必須的用戶外所有的用戶,也能增強網絡的安全性。

  安全風險是會計信息系統(tǒng)能否正常運行的重要因素,筆者認為,除了上述種種措施之外,還必須提高企業(yè)領導對信息系統(tǒng)安全風險的認識,提高系統(tǒng)使用人員的業(yè)務素質和思想修養(yǎng),使其能夠自覺遵守各種規(guī)章制度和操作規(guī)程,減少實際工作中的差錯、提高系統(tǒng)安全意識和保護系統(tǒng)安全的自覺性,培養(yǎng)知識結構全面的網絡系統(tǒng)管理人員,不僅精通網絡系統(tǒng)技術,還能夠站在更高的視角上觀察問題,思考問題,及時發(fā)現(xiàn)系統(tǒng)的安全風險隱患并及時排除,這對減少系統(tǒng)安全風險是至關重要的。

實務學習指南

回到頂部
折疊
網站地圖

Copyright © 2000 - odtgfuq.cn All Rights Reserved. 北京正保會計科技有限公司 版權所有

京B2-20200959 京ICP備20012371號-7 出版物經營許可證 京公網安備 11010802044457號