会计电算化系统的安全性分析

会计电算化系统的安全性分析会计电算化系统的安全性分析 摘 要 进入20世纪90年代以来 随着IT技术特别是以Internet为代表的网络技 术的发展和应用 计算机在会计核算和会计管理中广泛运用 已由简单的数值计 算发展到全面的数值核算 进一步发展到具有人工智能的会计信息管理系统阶 段 电子信息技术促进了会计电算化的快速发展 这些变革无疑给企业带来了巨 大的效益 但同时会计电算化系统的安全问题日益突出 本文分析了影响会计电 算化系统安全问题的因素 并对其进行比较深入的剖析 最后提出了会计电算化 系统安全问题的防范对策 关键词 会计电算化 安全 分析 对策 会计电算化是以电子计算机为主的当代电子技术和信息技术应用到会计实 务的简称 是由电子计算机代替人工 实现记账 算账 报账 查账以及部分 需由人脑完成的会计信息 数据 的统计 分析 判断乃至提供决策的过程 基于它本身的特点 与原始的账本相比 具有运算速度快 存储容量大 高度 数据共享 检索查询速度快捷 制作报表容易 数据分析准确等特点 它的使 用可以节约大量人力 物力和时间 一 会计电算化进展及意义 我国财务信息化工作从上世纪80年代初期开始到如今已经走过了20多年的 风雨历程 财务信息化已经形成了政府大力支持 企事业单位积极参与 厂商 竞争有序的格局 财务信息化的普及使企事业单位财务工作的质量和效率迈上 了新台阶 加入WTO后 我国企事业单位对财务信息要求越来越高 已经从财务 电算化的核算型阶段向信息化 管理型阶段转型 随着会计电算化的发展 会 计电算化系统的安全问题日益突出 并越来越被广大会计电算化工作者所重视 随着会计电算化由会计核算型阶段 向信息化 管理型阶段转型 会计信息处 理技术与企事业单位管理活动日益紧密结合 会计数据处理由单纯地以 处理 为中心转化为对 信息 的高质量和实时高效的追求 而因特网的出现和日益 普及 标志着会计电算化新的一场革命的到来 与此同时 会计电算化系统的 安全问题也日益突出 会计电算化系统的安全性是指电算化系统保持正常稳定 运行 系统数据信息保持安全和完整 会计工作的电算化给会计工作带来了高 效率 但同时也带来了难以避免的安全问题 比如计算机中的大量信息储存在 一个靠电力维持的系统中 如果没有预防措施 一旦停电 损失无法估量 如 果电脑中的关键硬件存储设备失效 必然会丢失大量信息数据 如果人为地故 意修改软件中的某个计算公式 计算的结果将大相径庭 提供的信息将严重失 真 因此 构建 维护一个安全稳定的会计电算化系统越来越被广大会计电算 化工作者所重视 因为只有构建在安全稳定的平台上的会计电算化系统才能实 现我们对信息高质量和实时高效的追求 二 当前会计电算化系统存在的安全性问题 一 计算机本身的故障和操作失误所引起的重要数据信息丢失或出错 计算机本身的故障从技术因素分析 可分为硬件和软件两个方面 就硬件 方面影响系统安全性的因素主要有电源失效 硬件失灵 外存储器损坏等 电 源失效时所有的计算机将停止工作 系统停止运行 数据得不到及时保存 硬 件可能会受到损伤 硬件失灵时数据将得不到正确的或完整的处理 很容易造 成不可挽回的损失 如计算机硬盘的损坏而又没有数据备份的情况下造成数据 丢失 外部环境如操作时停电或处于磁场环境磁盘被磁化造成数据丢失也导致 了安全性问题的出现 软件是控制电算化系统运行的神经中枢 主要包括操作 系统及会计系统 对于操作系统而言 要求操作系统不但能够支撑会计系统的 运行 而且还要求其稳定 可靠 适用 并能不断升级 完善 对于会计系统 而言 主要指所用的软件要适应企业的实际情况 质量有保证 例如小到运行 不快 大到数据不准 丢失 系统突然崩溃等安全性问题的出现 由于会计人员计算机应用和操作知识缺乏导致人为操作错误 这些情况的 出现导致了会计信息数据的失真 进而影响到企业的经营管理 预测和决策 其中会计人员人为操作不当造成差错是会计电算化系统遇到的最为普遍的问题 究其原因 一是会计操作人员缺乏责任心 工作敷衍了事 二是业务知识欠缺 操作不熟练 三是内部制度坚持不严 没有按照规定的流程逐步进行业务操作 二 会计电算化系统和计算机网络系统本身安全性缺陷带来的问题 会计软件存在缺陷 会计软件的质量是会计电算化工作的物质基础 目前 会计电算化系统的软件还存在一些问题 例如 许多软件缺乏操作日志记录功 能 对操作人 操作时间和操作内容没有具体记录 客观上增加了迫究责任的 难度和产生风险的机率 数据库缺乏必要的加密措施 可以很方便的从外部打 开修改 随着远程通讯技术的发展 会计信息的网上实时处理成为可能 业务 事项可以在远离企业的某个终端机上瞬间完成数据处理工作 原先应由会计人 员处理的有关业务事项 现在可能由其他业务人员在终端机上一次完成 原先 应由几个部门按预定的步骤完成的业务事项 现在可能集中在一个部门甚至一 个人完成 这使得会计核算舞弊现象时有发生 各核算模块缺乏衔接 总账 固定资产 工资等模块数据不能顺利地相互传递 以实现自动转账 相互查询 等功能 无法充分发挥计算机在数据处理上的先进性 网络技术的不完善 在网络经济的电子商务环境下 企业在网上的财务活 动日益增多 财务信息的传递完全借助于网络来进行 由于网络技术的不完善 财务信息被截取 篡改或泄露成为不可避免的问题 网络输送中的不通畅 特 别是网络黑客非法侵人网络用户或程序 捕获信息或通过窃取系统合法用户口 令 密码 以此合法登陆 实现非法目的 窃取重要商业秘密 给企业造成不 可估量的损失 三 三 会计电算化系统的建立提高了控制舞弊 犯罪的难度 采用电算化后 由于功能和知识度集中 导致职责的集中 原手工操作下 不宜合并的岗位 采用电算化后可以合并 会计人员大大减少 一身多职 越俎代包 现象严重 再加上安全意识淡漠 对实行电算化后新的组织机构和 岗位之间的相互制约 相互监督和相互控制机制大大减弱 随着计算机使用范围的扩大 利用计算机进行的贪污 舞弊 诈骗等犯罪 活动也有所增加 由于储存在计算机磁性媒介上的数据容易被篡改 有时甚至 能不留痕迹地篡改 数据库技术的提高使数据高度集中 未经授权的人员有可 能通过计算机和网络浏览全部数据文件 复制 伪造 销毁企业重要的数据 计算机犯罪具有很大的隐蔽性和危害性 发现计算机舞弊和犯罪的难度较之手 工会计系统更大 计算机舞弊和犯罪造成的危害和损失也可能更大 四 计算机病毒的侵袭与黑客的攻击严重影响会计电算化信息系统安全性 计算机技术在很大程度上促进了科学技术和生产力的发展 给人们生活带 来了较大的方便 信息技术给人们带来便利的同时 病毒和黑客作为不速之客 不期而至 层出不穷且破坏性越来越强的病毒给计算机系统带来了巨大的破坏 和潜在的威胁 计算机病毒具有传染性 非授权运行性 隐蔽性 破坏性 潜 伏性 可触发性等特点 会出现使计算机磁盘空间减少 信息破坏 计算机运 行速度变慢 占用系统资源 死机 蓝屏等现像 病毒常常通过磁盘 光盘特 别是互联网攻击计算机的硬件和软件系统 威胁着会计电算化信息系统的安全 网络黑客是互联网飞速发展的产物 是一个已经成为被人们普遍关注的特殊群 体 网络黑客造成的危害在当今信息社会已经发展成为一个不容忽视的现象 黑客无孔不入的入侵手段 有意或无意的对社会造成了不同程度的伤害 具有 深刻的的反社会性 已逐渐成为网络的一大公害 黑客借助于互联网 通过计 算机操作系统的漏洞 窃取用户重要的信息 或者攻击破坏计算机软件和硬件 系统 是威胁会计电算化信息系统的另一杀手 三 三 会计电算化系统的安全防范对策会计电算化系统的安全防范对策 目前在中国尚未建立统一的计算机安全管理的组织体系 会计电算化信息 系统的建设在安全设计方面缺乏总体考虑和统一规划部署 各企业大都根据自 己的理解进行规划建设 技术要求不规范 现行的计算机安全法规亦不能为会 计电算化信息系统的安全管理提供完整配套的法律依据 一 建立健全会计电算化系统内部管理制度 由于电子商务 网上交易 无纸化交易等的推行 每一项交易发生时 有 关该项交易的有关信息由业务人员直接输入计算机 并由计算机自动记录 原 先使用的每项交易必备的各种凭证 单据被部分地取消了 原来在核算过程中 进行的各种必要的核对 审核等工作有相当一部分变为由计算机自动完成了 因此 电算化会计系统的内部控制的重点为对人 机控制为主 企业应建立健 全会计电算化内部岗位责任制 会计电算化操作管理制度 计算机硬件 软件 和数据管理制度 电算化会计档案管理制度等内容管理制度 保证会计电算化 工作的顺利进行 1 建立健全岗位责任制 要明确各个工作岗位的职责范围 明确会计电算化主 管人员 操作人员 审核人员 维护人员 数据分析人员的工作职责和工作要 求 企业应根据内部控制制度的要求和本单位的实际情况 对会计电算化工作 岗位进行调整 2 建立健全会计电算化操作管理制度 要明确计算机操作人员对会计软件的 工作权限 要严格管理操作密码 杜绝未授权人员使用软件 操作人员要严格 按照顺序进行操作 杜绝非法操作 3 建立健全计算机硬件 软件和数据管理制度 要防止对数据的非法修改和 删除 对磁性介质存放的数据要双份备份 有条件的企业可进行光盘刻录备份 要对计算机定期进行杀毒 制定严格的计算机病毒防治措施 坚决杜绝外来软 盘的使用 一旦发现因使用外来软盘而导致病毒传入 应立即采取严厉手段进 行处罚 4 建立电算化会计档案管理制度 在会计信息系统中应设计和使用适当的文档 和记录 以确保交易和事件的记录 比如 文档或记录中的项目应当按次序实 现编号 项目应能够被使用者方便地使用和理解 表格应提供特定的栏目以指 明必要的授权和责任确认 文档和记录作为存储信息的物质媒介 根据控制的 需要有着各种不同的格式和内容 如销售订单 出库单 付款单 采购订单 入库单 验收单 收款单等等 其存储介质可能表现为传统的纸质文档 也可 以是磁盘 光盘等用计算机读写的磁性或光学介质 电算化并不排斥纸质文档 和记录 二 建立必要防护措施为了保证会计信息的真实 完整和安全 除了建立健 全会计电算化内部管理制度以外 还要建立必要的防护措施 1 在会计软件中增加安全功能 会计电算化系统软件各层数据处理应层层设 防 在软件功能上增加必要的提示功能 检验功能和限制功能 要防止操作失 误造成数据破坏 操作人员进入系统要设置口令和密码 以防无关人员非法进 人 系统各模块也要设置相应的口令 并对系统操作人员进行授权 防止无权 人员的操作 在系统中应建立起 操作日志 记录所有人员对系统所做的操 作 包括操作的时间 操作人员姓名 操作内容等 这样一旦出现问题 可以 依据 操作日志 所提供的线索 对有关人员进行检查 2 建立预防病毒和黑客的安全措施 主要应建立预防病毒和黑客的安全措施 加强对计算机病毒的预防 检测及杀毒工作 对电脑病毒的防范要做到三点 不使用盗版软件 读取软盘中的数据时应使软盘处于写保护状态 经常对电脑 进行软盘和硬盘的病毒检测 对网络黑客的防范 应设置防火墙 使用人侵检 测软件 及时检测黑客人侵与否 并将黑客阻挡在内部网络之外 不打开和阅 读来历不明的电子邮件等 3 对操作密码实行双人控制 将所设密码分两部分 一部分由财会主管人员掌 握 另一部分由操作人员掌握 只有两者同时兼有密码后 方能进入操作 达到 相互监控 防止舞弊行为发生 应注意的是 口令或密码只能在相对的时间和 范围内有效 从理论上说 没有破解不了的密码 因此应采取一些有效措 施来防止密码被破解 如设置的口令或密码尽力复杂一点 避免以任何书面形 式保存密码 要定期更换密码等 三 充分发挥检查监控和交流反馈机制的作用 查错防弊是审计工作的一项重要职能审计 对会计电算化系统的安全可以 体现在两个方面 一是在审计过程中直接查出会计电算化系统安全隐患 二是 审核和评估内部控制系统的弱点 提醒被审计单位改善内部控制制度 通过完 善内部控制系统来预防 查出和处理会计电算化系统安全问题 例如 实施会 计责任检查和执行情况复查 由授权人 或由授权人委托的人 记录人和资产 监管人在适当的日期将资产的帐面记录与实物进行比较 对二者之间的差异进 行调查与纠正 还要定期或不定期地对经营管理行为的记录和效果进行合法性 与合理性评估 由于现代审计是以内部控制基础上进行抽样审计 加之计算机 审计水平的限制 因此预防作用远比直接作用更大 四 谨慎选择好财务软件 企业在实行电算化时 必须结合企业自身的特点和国家的有关规定选择适 合的财务软件 目前我国已经颁布的有关国家标准和规范主要有财政部1994年 颁布执行的 会计电算化管理办法 会计核算软件基本功能规范 会 计电算化工作规范 商品化会计核算软件评审规则 等 各地也颁布各种 地方标准 如上海市财政局颁布的 上海市会计电算化实施办法 等地方性标 准 五 加快会计电算化系统的法制化建设 目前虽然我国已颁布了一些法律法规 如会计法 企业会计准则等 但与 会计电算化信息系统相关的法律法规尚不健全 因此制定专门的会计电算化系 统的法规非常重要 会计电算化系统的法制建设 可从两个方面着手 1 建立针对性的会计电算化系统犯罪活动的法律 明确规定哪些行为属于会 计电算化系统舞弊行为及其惩处方法 2 建立会计电算化系统本身的保护法律 明确会计电算化系统中哪些东西方 面受法律保护 硬件 软件 数据 及受何种保护 六 增强会计电算化系统操作人员的安全意识 电脑是人操纵的 增强操作人员的安全意识是预防案件发生的首要前提 因此企业应在对职工进行定期的计算机 通讯和网络理论知识业务培训的同时 注重会计人员职业道德建设 要求员工提高业务素质和职业道德 自觉遵守各 种规章制度的操作规程 防止工作中出现不必要失误 四 四 总结总结 当前 无论是会计电算化用户还是系统供应商 在考虑计算机信息系统的 安全问题时总是从技术的角度出发 过度地把计算机系统的安全性 可靠性寄 托在网络硬件产品和技术上 而忽视了管理制度 管理体制的建设 更缺乏对 系统深入的研究 实际上 计算机系统的安全与否 主要取决于使用和接近计 算机的人 管理比技术更重要 网络会计电算化系统安全管理的重点应该立足 于研究计算机安全管理机制建设与制度创新 为网络会计电算化系统的安全管 理提供理论