论网络环境下会计信息系统的安全性控制

南京审计大学成人高等教育毕业论文题目：论网络环境下会计信息系统的安全性控制学生：班级：学号：专业：指导教师：函授站：二O年月日论网络环境下会计信息系统的安全性控制摘要在网络会计中，信息的载体已从纸介质转变为比特流，其安全问题是最核心和最关键的问题。首先，网络会计信息系统所依托的工nternet/Intranet体系使用的是开放式的TCP/IP协议，它以广播的形式进行传播，存在着搭截侦听、口令试探和窃取、身份假冒、篡改和伪造信息、抵赖及恶意破坏等安全隐患。其次，网络会计信息系统全面支持电子商务，电子商务涉及到许多电子单据的传送、电子货币的转移等，也是很容易受到不法攻击的环节。再次，网络会计信息系统的分布式操作使得网络攻击可以从多个地方进行，而对于企业内部使用者来讲，如果使用权限划分不当，内部控制不严，也容易造成信息滥用和向外流失。最后，推行网络会计信息系统后，财务管理和业务管理实现了一体化，企业的经营管理活动几乎完全依赖于网络系统，如果企业对网络的管理和维护水平不高或疏于管理监控导致网络系统瘫痪将严重影响企业的整体运作。网络会计所面临的外部和内部侵害，使得我们必须采取切实可行的安全对策。当前，无论是用户还是系统提供商，在解决计算机会计信息系统的安全问题时总是从技术的角度出发，过度地把计算机系统的安全性、可靠性寄托在计算机及网络硬件产品和技术上，而忽视了管理制度、管理体制的建设，更缺乏系统、深入的研究。实际上，计算机系统安全与否，主要取决于使用和接近计算机的人，管理比技术更重要。本文主要从管理制度和技术两个方面研究建立网络环境下会计信息系统的安全机制。关键词：网络环境；会计信息系统；安全性；控制目录引言 引言随着网络信息技术的发展，企业的生产经营活动发生了巨大的变化。近些年来，互联网的飞速发展，企业逐步开展了电子商务业务，利用网络进行交易已成为不可替代的发展趋势。企业会计同样也发生了巨大的变化，网络环境下，会计目标、会计职能、会计操作手段以及会计监督都在朝着适应新型网络经济的方向变革和发展。而同时随着网络的发展，会计信息的使用者也变得更加广泛，会计的操作手段以及监督方式都更加先进，基于这种情况，网络会计应运而生。网络会计的出现首先改变了会计的操作方式，即会计由手工操作阶段转变成了计算机操作，而财务软件的出现，改变了手工方式下财务与业务相分离的状态，实现了财务业务一体化的管理、协调；其次，网络环境下，管理者可以随时随地的通过网络会计信息系统了解企业的业务及财务运作情况，能更好、更及时地对企业的经营活动进行全方位的管理，同时也有利于管理者对财务的控制和监督，同时也便于财务主管就其发生的问题快速地作出反应，及时安排相关解决措施；最后，在网络环境下，企业的会计信息不再像手工会计下会计信息所呈现出的信息孤岛形式，其会计信息系统与内部、外部均紧密相连成一个整体，信息使用者可以通过网络获取其所需的会计信息。因此，网络技术的发展给企业会计带来了巨大的便利。但在网络环境给会计带来巨大便利的同时，也给会计信息系统带来了一些不可避免地安全威胁。首先，由于互联网/企业内部网络使用的是TCP/IP协议，该协议具备的开放性，容易使企业会计信息系统遭遇窃取密码、伪造用户身份、非法修改或删除会计信息、黑客的非法入侵以及病毒的入侵等威胁。其次，会计信息在传递的过程中，由于网络本身的不稳定性及存在的不安全因素等，容易使会计信息失真或者被窃取；最后，由于内部操作人员可能发生的操作失误或恶意操作等情况，可能会导致企业会计信息系统的硬件、软件或网络系统等发生故障，引起会计数据的丢失，给企业造成不可估量的后果。因此，研究网络环境下会计信息系统的安全与对策分析问题是必要的。1网络环境下会计信息系统安全性控制概述1.1网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。到2019年，这一数据有望触及1557.4亿美元（约合人民币9695.1亿元）。其中，到2019年，全球无线网络安全市场规模将达到155.5亿美元（约合人民币969.3亿元），年复合增长率约12.94%。从行业来看，航空航天、国防等领域仍将是网络安全市场的主要推动力量。从地区收益来看，北美地区将是最大的市场。同时，亚太地区、中东和非洲地区有望在一定的时机呈现更大的增长速度。报告中指出，云服务的快速普及、无线通讯、公共事业行业的网络犯罪增加以及严格的政府监管措施出台都是这一市场发展的主要因素。因此，今后批准的网络安全解决方案将不断增加以防范和打击专业对手创造的先进和复杂的威胁。此外，由于网络犯罪逐渐增长导致智力及金融资产的损失，并可能损害国家的基础设施和经济，因此云服务提供商和垂直行业，如能源，石油和天然气等都将加大网络安全解决方案的投入。1.2信息安全信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。信息安全学科可分为狭义安全与广义安全两个层次，狭义的安全是建立在以密码论为基础的计算机安全领域，早期中国信息安全专业通常以此为基准，辅以计算机技术、通信网络技术与编程等方面的内容；广义的信息安全是一门综合性学科，从传统的计算机安全到信息安全，不但是名称的变更也是对安全发展的延伸，安全不再是单纯的技术问题，而是将管理、技术、法律等问题相结合的产物。本专业培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。1.3会计信息安全国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。因此，会计信息的安全是指会计信息具有完整性、可用性、保密性和可靠性的状态，它来自于会计数据的完整和会计数据的安全。会计数据的完整是指与损坏和丢失会计数据的相对状态，它通常指会计数据表明的会计信息是可靠的、可用的。会计数据的不安全是指会计数据被有意窃取或损坏的状态。国际会计师联合会在《信息安全管理》中提出，信息安全的目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”，任何组织在满足下面3条准则时可以认为达到了信息安全的目标：数据和信息只透露给有权知道该数据和信息的人（机密性）；数据和信息保护不受未经授权的修改（完整性）；信息系统在需要时可用和有用（可用性）。1.4网络会计信息系统的信息安全会计信息依托于会计信息系统而存在，因而我们有必要首先了解会计信息的安全。薛云奎，饶艳超认为会计信息系统的安全以信息安全为最终目标。因此，研究网络会计信息系统安全的最终目的是保障会计信息的安全。网络会计主要依靠数据自动处理功能，在这种情况下，系统发生微小的干扰或差错，都会造成严重的后果。首先，网络环境下，各计算机通过网络连接在一起，系统间的会计数据流动性增加，因此，网络中数据在传输过程中容易被窃取、修改或删除，而发生这些案件时，管理员很难发现；其次，网络环境下，计算机病毒的传播渠道更加多样化、快捷化，因此，会计信息系统更易受到病毒的感染；最后，信息通过载体得以传输和使用，因此，信息与载体是不可分割的，网络环境下，信息的载体由纸介质过渡到了磁介质，电子档案通过磁介质进行存储，因此，保存磁介质的高标准大大提高了电子档案保存的风险。2网络环境下会计信息系统存在的安全问题分析2.1硬件系统的配置和管理不规范计算机硬件是计算机系统中作为实体的部件的统称，也是整个网络会计信息系统的物质基础。如果硬件系统配置不合理或者管理不规范，工作可能无法进行，甚至可能造成整个机器瘫痪，从而给企业带来巨大的损失。在硬件系统中，导致网络会计信息系统出现安全问题的原因主要包括如下两点：（1）网络会计系统硬件配置不合理。第一，应该配置适用的文件服务器，若文件服务器选型不周，可能使得网络不畅通，进而影响到网络的稳定性和扩充性，因此我们要从网络应用的需求出发对文件服务器给予一定的重视。第二，网卡和工作站的选择应该注重质量，不应选择劣质产品，导致网络连接失败等。举例说明，假设我们选择的路由器的缓冲区过小，那么备份操作就难以实施，数据包就可能丢失；如果选择的路由器的缓冲区过大，那么信息流量可能被储存在缓冲区内，而造成延时或者会话超时。也就是说缓冲区太大或者太小都会对网络服务质量产生影响，因此应该使用缓冲区比较适中的路由器。（2）网络会计信息系统硬件系统管理不合理。例如，企业对机房温度和湿度都有要求，一般情况下，机房温度应控制在10-25摄氏度，机房湿度应该在40%到60%之间，如果机房相关温度和湿度达不到标准，可能使得硬件系统被毁，甚至发生更加严重的后果。2.2软件系统的开发和使用不科学软件系统是指计算机系统中程序和相关文件的统称，可以指挥计算机进行工作。如果软件系统开发不合理或者使用不当，会降低软件运行的效率和效果，轻则会出现极易受到攻击的安全漏洞，重则会使得日常工作无法完成导致系统瘫痪。具体而言，引起软件系统的安全性问题的原因如下：（1）软件系统的不合理开发。有些企业从软件开发阶段，会计软件就存在问题，因为软件系统开发人员并非会计人员，系统设计不到位，与实际操作情况相脱节。另外，更多的软件系统将精力放在会计功能的增加和财务制度的遵守上，而没有考虑会计信息系统的关键点，也就是数据的保密和真实完整等。因此，要设计出高质量的软件，就将安全性纳入设计环节。如果软件系统开发不合理，导致死机或经常非法中断，对网络会计信息系统的安全性势必造成影响。（2）软件系统的不正确使用。每个企业应该清楚自己适合的软件系统，根据自己的规模和业务范围选择，同时根据具体操作细则正确的使用软件系统。例如，为会计信息系统提供数据支持的数据库系统可以分为两类，包括桌面数据库系统和服务器数据库系统，其中服务器数据库系统有SQLserver,Oracle,Sybase和Informix等，主要适合大型企业；桌面数据库主要有FoxPro,Access,Retrieve和Paradox等，主要为中小型企业所使用。不同的会计软件对应着不同的数据库系统，有些数据库系统自身含有安全措施，可以起到防止数据篡改和窃取机密信息的作用，因此，企业可按自身业务量大不和会计软件的要求，选择安全性比较强的数据库系统。2.3缺乏网络会计人才在网络会计信息系统中，要求相关人员即要有会计专业知识，又要有信息技术知识，一般的企业，在会计人员上岗之前都要经过专业的信息技术培训，但是，在实际的培训过程中，相关人员掌握的信息技术与实际要求水平还存在差距，同时，随着科学技术的进步，有许多信息技术都发生了改变，这就要求相关人员掌握动态的信息技术专业知识，不断充实自己。是实务中，企业有两种现象，一方面，许多年龄较大的会计人员对会计业务比较熟悉，但对计算机了解有限，不能熟练掌握网络会计信息系统的操作。另一发面，年轻人则相反，他们往往掌握了熟练的网络信息技术，但是会计经验并不多。另外，我国会计软件开发早期主要以计算机人员为主，他们对会计、审计、财务管理方面的知识了解较少，直到开发后期才将计算机人员和会计人员相结合为开发力量。在这种情况下，会计人员只对开发后期的会计软件了解很多，对前期开发并不了解，因此不能完全解决会计软件在使用过程中出现的问题，而且能够同时承担软件开发和会计核算工作的人并不多，不能满足实际需要，我国一些高校虽开设会计信息化专业，但数量不多，培养的人才也不足以满足整个社会的需要。3网络环境下会计信息系统的安全性控制对策3.1加强网络硬件系统的配置和管理硬件系统是软件系统运行的基础，所以合理配置和管理硬件系统对网络会计办公系统来说非常重要，本节重要从硬件系统的配置和管理两个方面进行讨论。（1）硬件系统的配置①选择输入设备。输入设备的选择，既要根据系统的需要，也要根据使者的习惯和系统经费的限制。首先要了解输入设备的功能，然后才能作恰当的选择。上述各种设备用得最多的还是键盘显示器复合输入装置，这套装置的价格适中，又比较方便。显示器相当于一个缓冲装置，可以让输入者在显示器上看到输入内容正确后再输入下一个数据。②高速调制解调器的选择。在通信线路质量不断得到改善的时候高速调制解调器的应用会越来越普遍。在通信线路允许的范围内，应尽量使用高速调制解调器，这可以带来三个好处。第一，可以强化整个系统的安全程度，高速调制解调器一般适用于企业内外之间频繁传输会计信息的公司，对于一般的企业因为高速调制解调器比较昂贵而较少使用。第二，高速调制解调器可以用较少的线路时间快速地传送大量的会计信息并且可以节省通信的开支。第三，工作的效率和效果得到提高，系统的整体性能也更加完善。③网络互连设备的选择。网络互联设备包括网桥、中继器、路由器等。其中网桥位于在数据链路层，可以使得许多个子网连接在一起并且网络的跨越距离更加延长化。中继器工作位于通信协议的最低端，它不需要进行初始设置，可以起到连接网段的作用和强化电信号，并对局域网的电缆有伸展的效果。路由器处于在网络层中，可以起到连接网络的作用，主要针对具有相关或不相关的拓扑结构和协议类型的网络，并且连接后的网络仍然在实质上独立。④网络服务器的选择。优质的网络服务器能够承载多用户的网络操作系统从面对共享资源进行有效管理；运行速度也要与CPU和内存等相匹配；能迅速响应多个终端的同时请求；要与不同产品能兼容。（2）硬件系统的管理为了让网络会计信息系统的硬件安全运行，可以采用以下措施：①保证机房的环境达到相关标准；②设备间应采用UPS不间断电源，防止停电造成网络通信中断；③将重要数据采用远程备份；④机房必须安装报警系统，并有相应的补救措施和应急机制，能在发生事故时迅速恢复系统；⑤防辐射和电磁波干扰，防止电磁辐射后被接受且系统资源被剖析，安装加密卡或完成部分固化的软件保密算法；⑥机房全天都应安排管理员值班，对进入机房的人员进行登记，防止非机房人员随便进入机房，以免造成不必要的损失。3.2科学开发和使用软件系统网络会计信息系统依赖的软件系统主要是操作系统、数据库系统。这三者的关系紧密相依，操作系统是整个软件系统的基础，它支持数据库系统和网络会计信息系统的运行，数据库系统依托于操作系统，同时又为会计信息系统提供必要的数据支持。3.2.1操作系统的规范使用和开发（1）加快我国自主操作系统的开发一般而言，我国企业的网络会计信息系统基本都是使用Windows系列操作系统和UNIX操作系统，这对我国的会计信息的安全构成战略影响。UNIX系统以学术起源并且不断完善，具有开放性的特质，在网络功能和稳定性等方面具有较强的能力，但系统内核和源程序在网路上面己公开，UNIX系统的弱点也已经被人所知晓。相较而言Windows系列操作系统的内核和源程序都未公开，不容易被攻击。据世界上一些网络专家的传言，每个W工NDOWS系列操作系统上都有暗门，可以使MICROSOFT公司在需要时进入任何终端的系统中。即使未经证实，但是，商场就是不见硝烟的战场，如果我国一直采用国外的而不独立自主的研发自己的操作系统，会对我国的信息安全产生严重的战略影响。所以由国家信息产业部牵头，联合多个政府部门及企业自主研发我国自己的操作系统，并对内核和源程序保密，将是在新时期的国家信息安全战略的根本任务。（2）规范现有操作系统的正确使用管理员在实务中要按时扫描操作系统的漏洞并对这些漏洞或隐患进行修补，同时还需要在以下几个方面进行防范以确保操作系统的正常运行：①对用户账号和密码进行管理，将各账号的访问权限进行限定，及时更换系统管理员的登入密码，并且备份对账号数据库。②对操作系统运行的委托信任关系进行严格控制。③审计系统和安全日志要正确设置和利用，并且定期检查系统运行状态，及时发现隐患并正确地解决它。④下载系统补丁并适时更新。⑤定期对系统管理员等高级权限的账号进行适当清理，进行适当的授权和审批，并对高级权限用户的登入情况和操作情况跟踪和审计。⑥关闭多余的系统程序和进程，减小被攻击的概率。⑦对服务器的IP地址和DNS域名系统进行严格管理，任何单位和个人的IP地址和域名都必须报信息安全中心审核备案和批准，并且不得擅自修改。442数据库系统的合理开发与管理（1）数据库系统的开发原则在开发和设计为网络会计信息系统提供支持的数据库系统的时候，要保证以下几个方面：①稳定性：数据库系统的稳定性是系统实现网络安全的重要原则。②可扩展性：在网络环境发生变化的同时，安全产品必须随着需求不断进行更新和替换，数据库系统的必须具备可扩展性。③高效性：数据库系统必须实时高效的管理各类安全事件，最大限度的保证数据有效。（2）数据库系统的规范控制由于所有重要数据都保存在网络会计办公系统的数据库中，所以必须要针对数据库的安全性、完整性以及数据备份等方面采取强有力的全面保护措施。在网络会计信息系统中非授权访问，系统故障以及人为损坏是数据库系统的安全威胁的几个主要方面。而我们针对上述几个问题应当及时采取相应的一些措施：（1）为实现数据一致性设立代理服务器将客户与数据库所在服务器隔离；（2）采用较为成熟的产品，并通过合理定义的应用子模式，使其做到特定用户只能访问特定数据；（3）对重要数据进行备份，并建立全面的及时数据恢复和灾难补救制度。针对上述措施，目前最为关注的数据备份和数据容灾这两项措施。数据备份是指将所有数据以特定的方式在远程网络设备上面保存，以防止因特殊原因造成的数据库中的数据丢失和损毁。而数据容灾是基于数据备份的一系列针对因数据库不能正常运行造成的安全事件采取的应急计划，它更像是一项工程。3.3建立网络会计人才培养机制现代企业的发展主要依靠科学技术与人力资源，网络环境下会计信息系统所采取的一切操作都是由人来执行的，所以越来越多的企业开始接受“以人为本”的观点来解决相关的安全问题。我们要建立网络会计信息系统的安全防范体系，首先要加强对员工素质的培养和提高，员工作为企业最重要的一项资源，注重员工的素质培养，特别是企业管理层的培养必须马上提上日程。只有整个企业的人员都能熟练掌握当今的信息技术，企业的网络会计办公系统才能和整体的企业管理信息系统有机的相互融合，才能真正地使整个企业的运行速度和效果得到大大的提高，企业才能在残酷的商业竞争中不被淘汰。图4-6所示为人员道德素质和专业胜任能力结构图，通过以下五个方面可以强化相关人员的道德素质和专业胜任能力。（1）对企业的人力资源制度进行严格规范和强化管理，采取严格的用人制度并制定相关的人才激励政策。对重要岗位的人员配制选拔，不仅要从专业素养方面考察，更要考察其道德方面的素质，为了避免亲密关系应该建立定期岗位轮换制度等。（2）要实行在职员工培训常态化，使之适应不同的岗位要求，真正提高在职员工的业务和道德素养。（3）加强在职员工的职业操守水平，使之形成良好的职业操守和工作态度，并对企业的各项制度自觉遵守和执行，从而形成以自我约束为重要内容的内部会计操作控制制度，并依据企业自身特点设立严格的在职会计人员职业道德规范体系。要加大违反职业道德规范和其他相关制度的行为的处罚力度，采取适当的原则，并可以在全公司范围内通报批评，这样可有效约束在职人员的工作行为，从而降低各类舞弊和失误行为发生的可能性。（4）制定会计在职人员的继续教育制度，提高会计在职人员的专业胜任能力。目前，网络信息化环境对会计从业人员的素质要求也越来越高，企业需要培养一批掌握计算机知识和会计知识的复合型人才。在当今这个信息爆炸的时代，会计从业人员要不断提高自身专业素质以适应信息时代对人才的要求。而企业也应根据自身发展需要，制定员工的相应培训计划，开展员工素质拓展训练和鼓励会计人员终身教育，使会计从业人员的素质不断提高，同时企业应该积极引进优秀人才，开展与各大专院校的技术合作，形成一支从开发到操作一条龙的技术型会计人才队伍。（5）我们将职业道德建设的整体目标，按计划进行分解并逐步实现，从而达到预期目标。企业需要研究网络时代下的会计在职人员的职业道德建设，制定相关的制度和管理手段配合实施，同时要制定网络会计办公系统的管理目标，并对完成情况定期进行对比考核，从而依据考核结果对相关人员进行奖惩和反馈改进，不断提升企业员工的控制意识和行为，应当注意的是，企业领导层在内部控制中将起到决定性的作用。理论上来说，任何制度都有它的局限性，企业内部控制也不例外。比如企业领导层的混