会计信息化管理中数据安全的风险与防范定稿版

会计信息化管理中数据安全的风险与防范会计信息化管理中数据安全的风险与防范 摘要摘要 在会计信息化管理中 数据安全无疑是重中之重 本文结合当前会计信息 化管理工作中的存在的问题 详细分析了影响会计信息化管理中数据安全的因 素 并提出了相应的防范措施 具有较强的针对性和可操作性 会计信息系统的安全是指系统保持正常稳定运行状态的能力 会计电算化发展的必然 趋势是网络会计 会计信息系统建立在网络环境的基础上 并且成为电子商务的重要组成部 分 在这种情况下 会计信息系统的安全风险比以往大大提高 由于人为的或非人为的因 素使得会计信息系统保护安全的能力减弱 从而造成系统硬件 软件无法正常运行 系统的 信息失真 企业资金财产损失 本文将着重分析会计信息系统中数据安全的风险及其防范 对策 1 信息系统中数据安全风险概述信息系统中数据安全风险概述 数据安全是指防止信息系统中的数据被故意地或偶然地泄露 破坏 更改 保证信息 使用完整 有效 合法 数据安全的破坏主要表现在以下几个方面 1 1 数据可用性遭到破坏数据可用性遭到破坏 数据的可用性是指用户的应用程序能够利用相应的数据进行正确的处理 计算机程序 与数据文件之间都有约定的存放磁盘 文件夹 文件名的关系 如果改变数据文件的名称 或路径 对于它的处理程序来说 这个数据文件就变成了不可用 因为处理程序不能找到要 处理的文件 另一种情况是在数据文件中加入一些错误的或应用程序不能识别的信息代码 导致程序不能正常运行或得到错误的结果 1 2 数据完整性的破坏数据完整性的破坏 数据的完整性包括信息数据的数量 正确与否 排列顺序等几个方面 任何一个方面 遭破坏 均会破坏数据的完整性 数据完整性的破坏可能来自多个方面 包括人为因素 设 备因素 自然因素及计算机病毒等 1 3 数据保密性的破坏数据保密性的破坏 对保密性的破坏一般包括非法访问 信息泄露 非法拷贝 盗窃以及非法监视 监听 等方面 非法访问指盗用别人的口令或密码等对超出自己权限的信息进行访问 查询 浏 览 信息泄露包括人为泄露和设备 通信线路的泄露 2 影响会计信息系统中数据安全的主要因素影响会计信息系统中数据安全的主要因素 2 1 操作人员的误操作操作人员的误操作 由于部分人员实际操作水平不高所产生的误删除 误格式化 误更改 不正当开 关 机 使用 U 盘等存储设备方法不当 操作员或其他人员不按操作规程或非法操作系统 改变 计算机系统的执行路径 从而破坏了数据的安全改 泄露机密等安全风险 如何有效地防 范这些安全隐患 是推广 XBRL 面临的重要问题 2 2 安全意识淡薄安全意识淡薄 防范意识不强防范意识不强 主要表现在 对会计系统专用计算机的旧设备处理不当 如淘汰的旧机器 磁盘 硬盘 等未进行适当的技术处理随意放置 不法分子从已废弃的旧设备中 很容易找到重要的数 据 甚至从已删除 已格式化的磁盘中也可轻而易举地提取到重要的财务数据和商业信息 造成信息泄露 操作人员短时间离开计算机时 不正常退出财会管理系统 不关机 没有采 取浏览防范措施 则未经授权的人员可轻易地操作系统 浏览 修改数据 操作人员通过电 子邮件传递重要数据信息 如卡号 密码 个别管理人员使用带有重要财会数据的计算机上 网聊天等 不知不觉之中给网络黑客窃取信息提供了方便 2 3 安全管理措施不完善安全管理措施不完善 缺乏与会计信息化管理相适应的监督机缺乏与会计信息化管理相适应的监督机 制制 操作人员可越权篡改程序和数据文件 通过对程序非法改动 导致会计数据不真实 不 可靠 不准确或以此达到某种非法目的 如转移单位资金到指定的个人账户 窃取或篡改商 业秘密 非法转移电子资金和数据泄密等 系统的一般用户或数据保管人员能够轻易地把 本企业会计信息通过磁盘 光盘或网络透露给竞争对手 2 4 数据库管理系统的脆弱性数据库管理系统的脆弱性 我国的会计电算化软件通常是以数据库管理系统为基础经过二次开发完成的 一些重 要的会计数据及资料均以数据库文件的形式存放 存储的数据易于修改 删除和替代 此 外 开发数据库管理系统的基本出发点是为了共享数据 而这又带来了访问控制中的不安全 因素 在对数据进行访问时一般采用的是密码或身份验证机制 这些很容易被盗窃 破译或 冒充 2 5 存储系统的脆弱性存储系统的脆弱性 存储系统的脆弱性表现在如下几个方面 1 硬盘既有动力装置 又有电子电路及磁介 质 任何一部分出现故障均导致硬盘不能使用 造成硬盘内大量的数据丢失 2 软盘 U 盘等移动存储设备易损坏 它们的长期保存对环境要求高 保存不妥 便会发生霉变现象 导致数据不能读出 光盘片极易遭到物理损伤 折叠 划痕 破碎等 从而丢失其内程序 和数据 3 各种存储媒体的存储量大 体积小 一旦被盗窃或损坏 损失巨大 4 存储 在各媒体中的数据很容易被拷贝而不留任何痕迹 一台远程终端上的用户 可以利用一些 技术手段 通过计算机网络访问系统中的数据 并进行拷贝 删除和破坏 2 6 设备及通信线路的信息泄露设备及通信线路的信息泄露 主要指电磁辐射泄漏 搭线侦听 废弃物 被认为已损坏或被更新淘汰的设备 利用 几个方面 电磁辐射泄漏 主要是指计算机 通信线路及其设备在工作时所产生的电磁辐 射 利用专门的接收设备就可以在一定的范围内接收到这些辐射信息 从而造成信息泄露 2 7 病毒 黑客的攻击病毒 黑客的攻击 伴随着计算机网络的广泛应用 计算机病毒 流氓软件泛滥 网络钓鱼 黑客攻击 事件频频发生 这都给会计信息系统的安全带来了极大的危害 计算机病毒发作时 将抢占 系统资源 干扰系统的运行 严重影响计算机网络的速度 并可直接破坏计算机内的重要数 据和系统的正常运行 计算机黑客则是采取非法手段进行信息的截获和窃取 甚至是非法 入侵计算机系统 取得系统的使用权 对数据进行恶意的删除 修改和复制等 3 防范会计信息化管理中数据安全风险的对策和措施防范会计信息化管理中数据安全风险的对策和措施 3 1 在软件功能上施加必要的控制措施在软件功能上施加必要的控制措施 3 1 1 采用先进的身份验证技术采用先进的身份验证技术 目前 最常用的身份验证技术是密码 但随着解密技术的发展和提高 密码的安全性 尤其是数字 字母密码 已经很不安全 非常容易被破解 所以 密码的安全性已经受到严重 挑战事实上 可以用汉字 字母 数字及其他任何电脑可以识别的符号集合组成编码 或者 用特定的一句话组成的编码作为密码的标志 就可使密码破解异常困难 随着图形技术的 发展 还可以考虑采用指纹 照片等任意的特殊图形作为密钥 或者用手写体作为密钥 操 作人员身份的验证应贯穿网络操作的全过程 包括数据的录入 数据的修改 数据的保存 数据的发送 数据的传输 数据的接收 数据的调用 数据的查阅 数据的处理 数据的 输出等各种环节 每个过程都要有严格的身份识别 以确保操作人员合法 3 1 2 提高软件操作的友好性能提高软件操作的友好性能 如软件执行备份时 存储介质上无存储空间 备份介质未正确插入和安装 执行打印时 未连接打印机或未打开打印机电源 用户输入数据时输入了与系统当前数据项不符的数据 或未按要求输入等 系统应给予必要的提示 并引导用户正确操作 3 1 3 增加必要的保护功能增加必要的保护功能 在突然断电 死机等偶发事故发生时 能自动保护好原有的数据文件 防止数据破坏或 丢失 对重要数据系统可增加退出系统时的强行备份功能 用户再次进入系统时自动把备份 数据与机内数据比较对照 及时发现数据文件的改变 3 1 4 增加必要的检验功能增加必要的检验功能 1 设计适应会计信息化账务处理的核算组织程序 任何由原始凭证人工编制的记账 凭证都应进行严格的审核 复核 在网络系统中 输入工作通常由多人共同分担 凭证数据 的输入可以采用一组人员输入 换人复核 或者采用两组人员两次输入 输入的数据分别存 放在两个暂存文件中 然后由计算机对两个数据文件中的记录逐条进行比较 对于存在差 异的记录进行对照显示或打印 便于找出错误 进行修改 只有完全相同时 系统才把录入 的数据作为正式的凭证数据存储 未经校验的数据系统应作上标记 不允许进入记账凭证 文件 2 对输入系统的数据 代码等都要进行检验 如输入记账凭证时 要经过日期合法 性 会计科目合法性 凭证类合法性 对应科目的合法性 金额借 贷平等校验 3 根据会 计核算的要求和网络系统的特点 系统应对输入的同类记账凭证 原始凭证自动按日或月 分类顺序编号 并且可对多个用户同时访问同一个数据文件时 锁定和控制相关用户的操作 避免多个用户 同时操作易引起的凭证断号 重号和串号 而且便于分清责任 达到会计控制的目的 3 1 5 增加必要的限制功能增加必要的限制功能 1 对未记账的凭证 一经修改 必须进行复核 只有正确之后系统才对修改结果予以 确认 2 对已经记账的凭证 系统不提供直接修改账目的功能 只能通过编制记账凭证 对错误的凭证进行冲正或补充登记 对修改过的凭证 系统予以标识 保留更改痕迹 并可 以打印输出以作核查依据 3 输出的财务报表 其数据由系统自动按照用户定义的格式和 数据来源的公式生成 不提供对数据的修改功能 4 基础数据如科目库 代码库等的修改 权限只授予系统维护员 3 2 建立必要的管理制度建立必要的管理制度 3 2 1 实行用户权限分级授权管理实行用户权限分级授权管理 建立起网络环境下会计信息系建立起网络环境下会计信息系 统的岗位责任制统的岗位责任制 按照网络化会计系统业务的需求设定各会计上机操作岗位 明确岗位职责和权限 并通 过为每个用户进行系统功能的授权落实其责任和权限 结合密码管理措施 使各个用户进 入系统之后只能执行自己权限范围内的功能 防止非法操作 同时做到不相容职务的分离 比如系统的维护人员和系统管理员不得上机处理日常会计业务 会计业务处理人员不能进 行系统维护 会计软件保管人员不能由上述人员兼任等等 3 2 2 建立严格的内部牵制制度建立严格的内部牵制制度 对系统的所有岗位职责范围清楚 各岗位之间要有一定的内部牵制作保障 如 软件维 护后 必须经过维护人员 操作员等共同测试和签章才能正式投入使用 系统数据输入人员 不能兼做审核 系统进行备份数据恢复时必须由具体操作员和主管共同批准等 3 2 3 建立必要的操作规程和系统运行记录机制建立必要的操作规程和系统运行记录机制 1 制定严格的操作规程 如计算机处于工作状态时 不得拔插各种外部设备 计算机 进行软盘 U 盘读写操作时 不得强行将盘取出 网络的布线要避免电磁干扰或人为的损坏 不要随意插拔网络缆线的接头 也不要经常移动计算机等 2 制定操作员访问系统的标准 操作规程 明确规定各个操作员进入系统后执行程序的顺序 各硬件设备的使用要求 数 据文件和程序文件的使用要求 以及处理系统偶发事故的操作规程等 同时要制定数据文 件的处置标准 对数据文件的名称 保留时间 存放地点 文件重建等事项作出规定 以便 统一管理 通过设置软件或人工控制记录等措施 对各用户操作系统的所有活动予以记 录 并定期由系统主管进行监察和检验 及时了解非法用户和合法用户越权使用系统的情况 3 2 4 建立严格的档案管理制度建立严格的档案管理制度 系统投入使用之后 原系统的所有程序文件 数据文件 以及软 硬件技术资料应作为 档案进行保管 并应由专人负责 同时严格限制无权用户 有权用户非正常时间等对程序的 不正常接触 在档案调用时也必须经系统主管和程序保管员共同批准 并对使用人 程序名 称 调出时间 使用原因和目的 以及归还时间等进行详细的登记 以便日后核查 应采取 一定的应急措施 如数据文件的定期备份 备份数据的存放地点 存放条件要求 系统数 据文件损坏后的再生规则等 3 2 5 建立严格的人员更替交接制度建立严格的人员更替交接制度 对于各种原因产生的操作人员 系统管理维护人员变动 更换 应严格按照交接制度 进行工作任务的移交 并及时更改相关人员系统登录的用户名 密码等重要信息 防范调离 人员的非法登录和内部人员的越权使用 3 2 6 采取措施预防病毒采取措施预防病毒 加强网络安全的防范加强网络安全的防范 坚持使用正版的软件 定时备份磁盘的数据和软件 预防病毒的软件要及时升级 并定 时对计算机硬盘和软盘进行病毒检测 此外可采取以下措施 加强网络安全防范 1 设置 防火墙 使用入侵检测软件 2 抓好网内主机的管理 用户名和密码管理永远是系统安全 管理中最重要的环节之一 但目前绝大部分系统管理员只注重对特权用户的管理 而忽视对 普通用户的管理 主要表现在设置用户时图省事方便 随意设置用户的权限 组别和文件 权限 为非法用户窃取信息和破坏系统留下了空隙 3 设置好的网络环境 尽量做到有限 制的 允许 网上访问 4 加强对网络重要资料的保密 主要包括路由器及所用的通信软 件的种类 网内的用户名等 这些资料都应采取一些保密措施 防止随意扩散 5 加强对 重要网络设备的管理和安全设置 路由器在网络安全计划中是很重要的一环 现在大多数 路由器已具备防火墙的一些功能 如禁止 telnet 的访问 禁止非法网段的访问等 通过网 络路由器进行正确的存取过滤是限制外部访问简单而有效的手段 设置网关 加强内网和 外网的隔离 网关机上不存放任何业务数据 删除除系统正常运行所必须的用户之外的所有 用户 3 3 加强信息系统硬件设施的安全防范加强信息系统硬件设施的安全防范 要保障信息系统安全可靠地运行 就必