【网络会计信息系统安全分析及策略6400字（论文）】

网络会计信息系统安全分析及策略摘要：网络会计信息系统,是指建立在网络环境基础上的会计信息系统,即在互联网环境下对各种交易中的会计事项进行确认、计量和披露的会计活动。本文立足于会计信息系统在企业运用中存在的安全性和完整性问题，指出当前我国网络会计信息系统存在的安全隐患，分别从应用风险、软件风险以及网络风险三个方面对网络会计信息系统的风险进行分析。并根据这些风险，提出了具有针对性和使用性的系统安全管理策略，其具体包括：建立会计信息系统的应用控制、软件安全控制以及技术控制。关键词：网络会计信息系统；安全风险；安全管理目录TOC\o"1-3"\h\u306561.引言 .引言企业会计信息系统是以电子计算机为主的当代电子技术和信息技术应用到会计实务中的简称。会计信息系统实现了会计信息、数据处理的自动化，使得传统的手工会计信息系统发展演变成为今天的会计信息系统。会计信息系统是会计发展史上的一次重大革命，是会计发展的需要，同时也对会计工作提出的要求，特别是如何加强网络会计信息系统的安全与完整，更是成为会计理论和实务界关注的焦点[1]。2.会计信息系统的发展历史会计信息系统（AccountingInformationSystem，简称AIS）是指一种基于计算机并将会计数据转换为信息的系统，这种系统利用信息技术通过采集、存储和处理会计信息，来完成会计的核算任务，同时为进行会计的管理、分析和决策提供必要的辅助信息[2]。根据会计信息系统中信息技术的影响程度不同，可将会计信息系统划分为四种模式：手工会计信息系统、电算化会计信息系统、准现代会计信息系统、现代会计信息系统。2.1手工会计信息系统这种信息系统产生于15世纪。该系统核心包括会计恒等式、会计循环表、会计科目表以及分录和账簿，而且一直延续至今。如图1所示，这种系统中，人们可以通过纸张来采集和存储业务数据，并提供相关的信息给信息的使用者。那些用来记录业务活动的所有原始凭证将被传送到会计部门，经过会计的验证、汇总操作，然后编制记账凭证，并将记账凭证从会计部门送到总账部门中过入总账[3]。非正式信息系统非正式信息系统环境会计信息系统用户图1手工会计信息系统2.2电算化会计信息系统将电子计算机应用于原先的手工会计信息系统即成为电算化会计信息系统。电算化会计信息系统一般可分为电算化会计核算、电算化会计管理、电算化会计决策支持三个子系统。分别用于会计的事后核算、事中控制、事前决策[4]。2.3准现代会计信息系统从20世纪60年代末发展至今的准现代会计信息系统，由于采用了事项会计的思想，进而克服了电算化会计的弊端，但实际仍然围绕着会计科目表、分录等核心，应用了数据库会计的理论模型，建立起了储存分解的、强大的以及多计量属性数据的准现代会计信息系统，这样数据就可以根据最切合于每一个用户需求的具体形式进行组织。但其不便之处大致有两点：一是主要按传统会计模式的数据逻辑模型组织数据，利用数据库技术对数据进行更多的分类操作；二是只描述与复式记账会计体系有关的数据，也就未能用先进的数据结构描述会计处理的对象本身[5]。2.4现代会计信息系统随着数据库和网络技术的快速发展，REAL模式已经成为了在理论上最完善、研究得最系统，且变革力度最大、研究成果最多的一种创新型模式，这将可能是未来会计信息系统的一种主流模式。该模式的核心是集成，集成业务处理、信息处理、实时控制和管理决策。从详细记录最原始的经济业务事件开始，而不是从记录人工加工后的会计分录开始，其基本要素也不是科目、分录、账簿。由于其充分利用信息技术的发展并克服了电算化会计信息系统的弊端，所以称其为现代会计信息系统。3.网络会计信息系统的风险任何计算机系统都存在着由于操作失误，软件、网络本身出现故障导致系统资料丢失甚至瘫痪的风险。并且，在互联网/内联网结构的会计信息系统中，由于其分布式、开放性、远程实时处理的特点，系统的一致性、可控性降低，一旦出现故障，影响面更广，资料的一致性保障更难，系统恢复处理的成本很高。网络环境下会计信息系统的流程图如图2所示。图2网络会计信息系统流程图基于以上流程图，在本节中，主要对其存在的风险进行详细分析。3.1应用风险信息技术环境下，会计信息系统数据处理的过程分为输入、处理和输出三个部分，相应的风险也来源于这三个方面，只是在不同的系统结构下，控制的重点会有所不同，由此导致的主要风险来源也不同。3.1.1数据输入信息技术环境下由于会计信息系统的数据处理自动化的特点，数据输入处于十分重要的地位。如果输入的资料失真，输出的资料经过处理之后会和企业真实会计信息相差很远。在现阶段计算机自动化处理的过程中，它不能判断资料的逻辑错误，不像在手工处理环境中那样，每一步骤都有人来监督和检查，可以找出各方面的错误。因此，资料的输入过程如果缺乏相应审批、授权以及核对、检查的步骤，发生错误和舞弊的可能性是非常大的。3.1.2数据处理数据处理过程中，可能存在资料未被处理、资料错误处理和资料重复处理以及处理之中没有留下处理的痕迹等情况。例如，由于系统故障，资料没有经过某一个必要的处理步骤而直接进入下一轮的处理；或者同一个资料以不同的统计方法统计结果不同；或者由于缺乏控制同一资料反复处理，无故增加业务量；或者处理之后在系统中没有留下审计线索，给日后的审计带来困难、给舞弊者带来方便。3.1.3资料输出在实施网络财务报告的模式下，相应的风险表现在没有验证结果的正确性和结果没有及时送达或者无权的人获得了相关的会计信息。这种情况存在很大的风险，外部用户可能有意无意间获得了企业的秘密信息，造成企业无形的损失。3.2软件风险会计信息系统的不同建立方式存在着不同的风险，总的来说，软件方面的风险主要有以下一些情况：第一，程序设计阶段如果没有职责分离，企业中实际参与操作的财务人员参加程序设计会导致软件的运行存在安全隐患。第二，在系统开发的各个阶段缺乏必要的授权、监督和软件质量管理标准，导致软件的质量不高。第三，系统开发各个阶段文档不健全，导致后期维护成本过高；或者不能及时地对阶段性文档进行审阅和批准，导致项目不能继续进行。第四，在新旧系统转换的过程中，当前系统无法对原有系统的资料进行转换，导致原有资料不可用，影响项目的进行。第五，软件系统模块存在故障，不能提供资料所列的标准功能。第六，程序设计人员没有相关经验会导致设计出的程序质量低，在运行的时候经常会出现问题[6]。3.3网络风险网络是一把双刃剑，在利用网络的快捷性、方便性以及多元性的同时，也将自己暴露于潜在风险之中。计算机病毒已成为网络安全的最大隐患。日前，网络上存在的计算机病毒有几万种，并且还在迅速增加，它们无孔小入，令人防不胜防，稍不注意病毒就会乘机而入，给网络造成严重破坏。网络黑客的蓄意破坏和恶意攻击，也可能使整个系统陷于瘫痪。未授权人员非法侵入信息系统，窃取机密，造成不可收拾的后果。4.网络会计信息系统安全管理策略4.1建立会计信息系统的应用控制应用控制和具体的应用系统有关，是为确保数据处理完整、正确而实施的控制。可以将应用控制分为以下三点：4.1.1数据采集控制电子商务环境下的会计数据采集分为手工采集和自动采集。手工采集方式下的控制：第一，原始单据审核控制。原始单据的审核实际上是对数据合法性的认定，财务人员应根据审核无误的单证输入有关业务数据，既不能重复，也不能遗漏，更不能擅自修改。确保输入系统的数据均被批准是输入控制的首要任务。第二，输入正确性控制。数据输入到计算机中后，在送入计算机处理之前要对数据进行人工目测核对，看输入的数据和原始单据有什么差异；然后，利用嵌入到计算机中校验程序进行检验。第三，数据输入完整性控制。在数据输入时，对一批处理的业务单证，以某种特征为基础(如凭证张数、金额)计算总数，输入该批业务之后，由计算机程序自动计算该批总数，二者予以核对，判断该批业务是否全部输入到计算机。第四，错误纠正控制。对于输入到系统中的错误数据应提供改正和重新输入的机会，并且对改错与重新输入也要实施控制，要保留修改痕迹[7]。自动采集方式下的控制：第一，网上公证控制。利用网络的实时传递功能实现原始交易凭证的三方监控。比如，每一家企业都在互联网认证机构申请数字签名和私有密钥，当交易发生时，交易双方将单据或有关证明均传到认证机构，由认证机构核对确认，进行数字签名并予以加密，然后将已加密凭证和未加密凭证同时转发给双方，这样就完成了一笔交易双方认可并经互联网认证机构公证的交易。在这种交易中，交易一方因无法获得另一方的数字签名和私有密钥，很难伪造或篡改交易凭证。主管人员或审计人员一旦对某笔业务产生怀疑，只需将加密凭证提交客户和认证机构解密，将其结果与未加密的凭证对照，问题便迎刃而解。第二，电子单据审查控制。对于取得的电子单据要进行审查，审查电子单据的签名、电子单据的合法与正确性等，以便为进一步的处理打下基础。4.1.2数据处理控制处理控制是为了保证数据处理的正确性、完整性而实施的控制，这种控制是通过预先编好的计算机程序实现的。常用的控制措施有：处理权限控制。应用程序中应设计处理权限授权功能，控制只有经过授权批准的人员才能执行处理操作。参照检测控制。利用某些数据处理结果应当与另一组数据处理结果相等，或具有其他对应关系而对数据处理的正确性实施控制。合理性检验控制。由计算机程序为数据处理结果确定一个合理的范围，如果数据处理结果溢出范围，则系统应自动报警，通知有关人员，以便查明原因。业务时序控制。在应用系统处理业务的过程中，许多处理都是有顺序关系的，违反顺序的处理应该通过预先设置的检查发现。审计跟踪控制。在数据处理过程中，应当产生必要的审计跟踪，以便对各项交易进行追踪审查。对于系统成功处理的交易应记录在交易日志中，交给适当的用户核对与系统的输入是否一致；未能成功处理的交易应记录在错误文件中，交给适当的用户纠正错误并重新提交。备份及恢复控制。在会计信息系统运行过程中，偶尔也会出现因意外情况而中断处理的情况，如果此时正在对文件进行更新处理，数据的完整性将会受到破坏。因此，应当做一些必要的备份，一旦处理过程发生意外中断，可恢复到处理前的状态，并再次进行处理，从而保证数据处理的正确性。4.1.3数据输出控制输出控制主要是保证输出信息的正确性，并且要保证输出信息只能提供给经过授权的使用者。输出控制主要包括：输出数据的正确性控制。在IT环境下，特别是在集成环境中，数据的输出有财务软件的保证，一般不会出现错误，但是还是可以多种控制手段进行控制，如：合计数控制、抽样统计控制、数据稽核控制等。输出权限控制。信息系统的输出方式有屏幕显示、打印输出和电子版本输出（磁盘输出）。对于这三种方式都要设立相应的权限控制，这种权限控制可以与软件集成，只有特定的、经过授权的用户才可以执行输出操作，而且不同权限的人应该只能输出相应权限的内容。输出资料分发控制。资料输出后，可能要分给需要会计资料的人，资料只能分发给有权接受资料的人，此时，可以采用组织控制的方法和利用登记制度加强控制。4.2软件安全控制软件安全控制包括选择、安装和运行安全可靠的操作系统和数据库管理系统，严格按照操作规程运行软件，对系统软件和应用软件都进行妥善、安全地保管，建立安全备份措施。具体分为以下两个方面：4.2.1操作安全控制第一，用户定义。明确规定每个用户的安全级别和身份标识，并分别定义具体的访问对象。第二，日志审计制度。对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录，并对日志文件定期进行安全检查和评估。第三，存取控制。对系统资源进行分类管理，并根据用户级别，限制系统资源的共享和流动。第四，特权管理。特权管理是使系统由若干个系统管理员和操作员共同管理系统，使其具有完成其任务的最少特权，并相互制约，以提高系统安全可靠性。4.2.2数据库控制第一，子模式定义。子模式是指全部数据资源中面向某一特定用户或应用项目的一个数据子集。第二，数据资源访问授权制度。根据定义的子模式，明确每一具体的用户对数据资源访问的范围和内容，并进一步规定对数据库的查阅、修改、删除、插入等操作权限。第三，数据备份和恢复制度。网络环境下的数据备份和恢复远比成批集中式处理环境下要复杂。为保证系统恢复的有效性和一致性，除了要建立数据备份文件之外，还要建立两个文件：一是业务日志文件；二是检查点文件。数据恢复时，系统可根据备份文件、业务日志文件、检查点文件，把系统恢复到最近的作业点状态。4.3技术控制会计信息系统在电子商务的大环境下必须很好地结合一些安全技术措施才能有效的控制风险的发生。构成安全机制的主要技术有：防火墙技术、数字签名技术、身份认证（CA）技术等。4.3.1防火墙技术防火墙是在内部网与外部网之间实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。防火墙是一个由软件和硬件设备组合而成的，在内部网和外部网之间的界面上构成的保护屏障。所有的内部网和外部网之间的连接都必须经过该保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而使内部网络和外部网络在一定意义下隔离，防止非法入侵、非法使用系统资源，执行安全管理措施，记录所有可疑事件。4.3.2数字签名实现电子签名的技术手段有很多种，当前，普遍使用的是数字签名技术，数字签名是目前电子商务中技术最成熟，应用最广泛的一种电子签名方法。ISO对数字签名时这样定义的：数字签名是指附加在数据单元上的一些数据，或者对数据单元所做的密码交换，这种数据或交换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人(如接收者)伪造。通俗点讲，数字签名是指信息的发送者通过某种签名方法产生的别人无法伪造的一段“特殊报文”，该“特殊报文”就是签名，表明信息是由声称的发送方所发送的，且具有唯一性，他人不可仿造。4.3.3身份认证身份认证是实现网络安全的重要机制之一，在安全的网络通信中，涉及的通信各方倡议某种形式的身份认证机制来验证彼此的身份，即验证其身份与他所宣称的是一致的，以确保通信的安全。身份认证的基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者像指纹、声音、视网膜这样的生理特征。总结会计信息系统安全管理是时代发展的必要结果，现代会计信息系统对会计工作具有革命性的影响。由于笔者学术水平的有限，还有很多关于会计信息化发展趋势的问题没有展开深入讨论，但愿本文的一些观点能祈祷抛砖引玉的作用。我们要正确评判网络会计信息系统的发展趋势，抓住IT时代发展，建立会计信息系统应用控制，实行软件安全控制以及技术控制，以期待会计信息系统向着