會計電算化環(huán)境下企業(yè)內(nèi)部安全防范及內(nèi)控管理

1、會計電算化環(huán)境下企業(yè)內(nèi)部安全防范及內(nèi)控管理        摘要:隨著機以及計算機在部門內(nèi)部的廣泛應用和不斷延伸,計算機安全的重要性越來越引起人們的關(guān)注。近年來,全球信息高速公路的建設(shè)、和的,給會計行業(yè)帶來了巨大的推動和沖擊,會計電算化也從早期的單機電算化發(fā)展到如今的網(wǎng)絡(luò)會計,但是網(wǎng)絡(luò)同時也給會計帶來了許多新的挑戰(zhàn),如何利用計算機更好地開展工作,確保網(wǎng)絡(luò)環(huán)境下會計工作正常有序地運行,日益成為會計行業(yè)所面臨的重要問題。文章就會計電算化的安全防范及內(nèi)控管理方面進行了探討。關(guān)鍵詞:會計電算化內(nèi)控管理安全防范 會計電算化的安

2、全問題無非產(chǎn)生自以下兩個方面:一是技術(shù)上的安全漏洞,二是管理上的安全隱患。只有堵住計算機技術(shù)方面的安全漏洞,并嚴格計算機的內(nèi)控管理,才能從根本上防范會計電算化犯罪事件的發(fā)生。一、會計電算化技術(shù)上的安全問題計算機技術(shù)上的安全主要包括以下幾個方面。1.物理安全。計算機的物理安全是指用一些裝置和應用程序來保護計算機硬件和存儲介質(zhì)的安全。主要是防范計算機設(shè)備受損的危險和計算機設(shè)備及存儲介質(zhì)被盜的危險。在會計電算化中,許多重要的數(shù)據(jù)都存儲在電腦存儲設(shè)備中,一旦受損或被盜,后果不堪設(shè)想,因此,磁盤、磁帶等設(shè)備要嚴格保管,并注意數(shù)據(jù)的多重備份。除存儲設(shè)備外,其他設(shè)備也是十分重要的,如通訊線路的安全、電源的安

3、全(特別注意不能在電源上插入電腦以外的設(shè)備)等。2.操作系統(tǒng)的安全。操作系統(tǒng)是電腦中最基本、最重要的軟件,不同的操作系統(tǒng)提供的安全能力也不同。如操作系統(tǒng),許多用戶共用一臺電腦的所有資源,文件可以相互修改,容易產(chǎn)生安全問題。而大多數(shù)的操作系統(tǒng)如:、就不允許一個用戶未經(jīng)授權(quán)修改或刪除另一用戶的文件。在會計電算化中,就必須注意操作系統(tǒng)的安全,根據(jù)不同信息的安全性使用相應操作系統(tǒng)。操作系統(tǒng)的安全性還表現(xiàn)在操作系統(tǒng)的,操作系統(tǒng)本身的程序錯誤可能會被不良用心的人利用,因此必須關(guān)注最新消息,及時下載補丁程序修復。3.網(wǎng)絡(luò)互聯(lián)的安全。由于信息共享的需要,內(nèi)部計算機之間的網(wǎng)絡(luò)互聯(lián)日益普遍,企業(yè)更是越來越多地通過

4、互聯(lián)網(wǎng)為客戶提供信息披露服務(wù),而在黑客入侵事件屢見不鮮的今天,企業(yè)對網(wǎng)絡(luò)互聯(lián)的安全尤為關(guān)注。資源共享與信息安全歷來是一對矛盾,如何面對網(wǎng)絡(luò)互聯(lián)所帶來的安全問題已是企業(yè)在會計網(wǎng)絡(luò)化過程中所面臨的一個重要課題。計算機的入侵破壞活動要么是非法獲得計算機的訪問權(quán)限而進入系統(tǒng)的,要么是利用網(wǎng)絡(luò)通信上的漏洞,竊取或更改信息而得逞的,因此網(wǎng)絡(luò)互聯(lián)的安全必須從訪問控制的管理和通信安全的管理(如加密、認證)兩方面著手。4.程序的安全。程序安全除了系統(tǒng)程序的安全、通訊軟件的安全外,還包括應用軟件的安全,特別是所運行的各類應用軟件,由于開發(fā)商不同、維護人員不同,有可能存在邏輯陷阱、時間炸彈或系統(tǒng)后門,都有可能損害到

5、安全。二、會計電算化管理上的安全問題 針對計算機技術(shù)的安全問題,企業(yè)必須在管理上注意加強防范,建立有效的計算機管理體制。下面著重討論三方面的管理:1.口令管理?？诹罟芾硎欠乐褂嬎銠C的非法入侵最基本也是最重要的要求。遺憾的是,在企業(yè)中普遍存在對口令管理不重視的情況,很多電腦系統(tǒng)未設(shè)置口令保護,甚至連有些會計系統(tǒng)的主機,也未設(shè)置超級用戶口令。這是非常嚴重的系統(tǒng)安全隱患,好多操作員口令也是十分簡單脆弱的,有些操作員還把口令寫在電腦的周圍,這樣的口令形同虛設(shè),達不到安全防范的目的。一個安全性高的口令必須有足夠的長度,一般在8位以上,最好是字母和數(shù)字混合使用,而且不要使用字典中的單詞,否則很容易被密碼破

6、譯程序解開?？诹钸€必須經(jīng)常更換,這樣安全性也會大為增加。2.物理設(shè)備的管理。針對計算機物理安全的內(nèi)容,企業(yè)必須嚴格計算機物理設(shè)備的管理。(1)存儲設(shè)備管理。企業(yè)計算機的存儲設(shè)備記錄著重要的業(yè)務(wù)數(shù)據(jù)和賬務(wù)數(shù)據(jù),一旦丟失或損壞,后果不堪設(shè)想,因此必須對存儲設(shè)備進行登記管理、嚴格保存、數(shù)據(jù)分散備份。磁盤、磁帶等應按業(yè)務(wù)、時間分類有序地保存,一些重要的數(shù)據(jù)還應在不同的地點進行雙重備份。(2)網(wǎng)絡(luò)設(shè)備管理。網(wǎng)絡(luò)設(shè)備的管理包括網(wǎng)絡(luò)通訊線路的保護和監(jiān)控、網(wǎng)絡(luò)通訊設(shè)備的管理,網(wǎng)絡(luò)接口設(shè)備如集線器、機柜的管理和保護措施。(3)電源設(shè)備管理。計算機中普遍應用不間斷電源,以保證計算機的工作不受突然斷電的影響,保障了

7、計算機數(shù)據(jù)和服務(wù)的不間斷性。計算機電源應與市電嚴格區(qū)分,不得用于非電腦設(shè)備的供電,否則容易燒毀,造成損失。(4)其他設(shè)備管理。除了上述幾種設(shè)備,其他的計算機設(shè)備的管理也是十分重要的,應建立健全電腦設(shè)備的登記管理工作。1         3.人員管理。安全的保障是與操作人員的安全素質(zhì)、安全知識、技術(shù)水平密不可分的,重視對人員的管理才能保證計算機的安全。(1)系統(tǒng)管理員的安全培訓。系統(tǒng)管理員擔負著系統(tǒng)維護和安全監(jiān)督的責任,因此系統(tǒng)管理員的安全培訓工作十分重要,只有系統(tǒng)管理員的安全意識提高,系統(tǒng)管理員的技術(shù)水平增強,對系

8、統(tǒng)了然于胸,才能有效地對付各類非法入侵和維護系統(tǒng)的正常運行。(2)操作人員的安全。普通的業(yè)務(wù)操作人員的安全教育也很重要,人人都應重視計算機的安全,嚴格按照計算機系統(tǒng)的操作規(guī)程工作,計算機的安全才有保證。(3)機房實行出入登記制度或卡房門管理。機房作為重要的機要場所,放置著許多重要的電腦設(shè)備如系統(tǒng)服務(wù)器、通信設(shè)備、局域網(wǎng)接線機柜等,因此要有一套嚴格的機房管理制度,并實行出入登記制度或卡房門管理制度,以保障的機房的安全。三、常見計算機攻擊技術(shù)分析古人云:知己知彼,百戰(zhàn)不殆。我們必須了解計算機入侵的攻擊技術(shù),才能更好地防范計算機犯罪。有人認為,內(nèi)部人員技術(shù)水平太高了,就有可能發(fā)生內(nèi)部作案事件,其實這

9、是十分片面的。我們看到,大部分的內(nèi)部作案事件實際上并不是利用很高的技術(shù),而是利用內(nèi)部管理上的漏洞得逞的,只要加強管理控制(當然包括技術(shù)上的如密碼的控制),就可大大減少內(nèi)部作案的情況。而在網(wǎng)絡(luò)化的當今,外部作案才是防不勝防,只有內(nèi)部技術(shù)人員的水平提高了,才能在防范電腦安全方面走在前面。實際上,大多數(shù)的電腦攻擊者并非天才,他們大都利用一些別人使用過的并在安全領(lǐng)域廣為人知的技術(shù)和工具,如、到各類實用短小的網(wǎng)絡(luò)監(jiān)聽工具。在互聯(lián)網(wǎng)上,這些工具比比皆是。下面列舉分析一些常見的計算機攻擊行為。1.口令攻擊?？诹罟羰亲钪苯拥娜肭址绞健．斢脩粑丛O(shè)置口令或是十分簡單的口令時,就大大增加了攻擊的成功率。在內(nèi)部經(jīng)常

10、使用的操作系統(tǒng)中,用戶的口令以加密的形式存在放在/或者是/文件中,非法用戶可能利用匿名或趁操作員離開工作臺之機獲取密碼文件,然后使用一些口令分析程序進行破譯。實際上,系統(tǒng)加密所用的函數(shù)是基于數(shù)據(jù)加密標準()的,從數(shù)學原理上可以保證從加密的密文得到加密前的明文是不可能的或非常困難的。但是,用戶常常選擇一些容易猜測的口令,從而給入侵者開了方便之門,破譯者把常用的單詞和數(shù)字組合作為一個字典文件,然后對字典文件進行加密并與密文對照,從而獲得用戶口令,因此一個好的口令是十分重要的。上述兩個存放口令的文件是攻擊者的首要目標,早期的版本口令密文就放在/中,而該文件對所有用戶都是可讀的,危險性較大,新版的一般

11、把口令密文放在/中,該文件對普通用戶是不可讀寫的,安全性有所提高,但應注意系統(tǒng)管理員的口令安全?？诹钇平獾牧硪环N方法是網(wǎng)絡(luò)監(jiān)聽,在下文中將有敘述。在企業(yè)內(nèi)部,容易發(fā)生口令疏忽的地方有:主機操作員(包括系統(tǒng)管理員)的口令未設(shè)或不牢固、路由設(shè)備如路由器未更改初始密碼、業(yè)務(wù)系統(tǒng)的單一密碼多人保管制度、對外部參與維護的電腦公司人員所掌握的口令缺乏管理等。對付口令攻擊的防范措施:設(shè)置好的口令、限制口令文件的讀取權(quán)限、通訊加密、不定時更換口令,當然最重要的是加強用戶的口令管理意識對經(jīng)常的檢查制度。2.程序攻擊。程序攻擊就是利用不良的程序或系統(tǒng)程序的錯誤進行的攻擊。下面列舉一些常用的程序攻擊行為。(1)病毒

12、和蠕蟲。我們對病毒都已經(jīng)并不陌生,從早期的大麻病毒、雨點病毒、黑色星期五病毒到大名鼎鼎的病毒、美麗殺手病毒,各類的病毒層出不窮,給計算機系統(tǒng)造成了極大的破壞。病毒其實是一些程序,它常常修改計算機中的另一些正常程序,并把自己復制到其他程序的代碼中,通過修改其他程序的執(zhí)行流程,以實現(xiàn)自己的隱藏、復制、傳播和發(fā)作。病毒一般分為引導型病毒、文件型病毒和宏病毒(實際上就是一種特殊的文件型病毒)?，F(xiàn)有的病毒絕大多數(shù)都是和操作系統(tǒng)下的病毒,這與與對用戶權(quán)限和系統(tǒng)資源的管理較薄弱有關(guān)。對付病毒最有效的辦法就是對所有外來程序進行檢測、定時查毒、安裝防毒程序、加強軟件管理等。蠕蟲與病毒不同,它是一種可以在網(wǎng)絡(luò)上不

13、同主機之間傳播而不修改目標主機上的其他程序的一類程序,它不一定破壞任何軟件和硬件,但其通過在計算機網(wǎng)絡(luò)之間的不斷傳播和擴張而嚴重消耗系統(tǒng)資源和帶寬,使系統(tǒng)不勝負荷甚至崩潰。最有名的蠕蟲當屬1988年由莫里斯釋放的蠕蟲。(2)特洛伊木馬技術(shù)。特洛伊木馬程序是指那些表面上執(zhí)行正常指令,而實際上隱藏著一些破壞性的指令,當不小心讓這種程序進入系統(tǒng),就有可能給系統(tǒng)帶來危害。特洛伊木馬程序常常在用戶不知情的情況下拷貝文件或竊取密碼。在系統(tǒng)中,制造一個特洛伊馬木程序,即更換常用的一些系統(tǒng)程序和命令,是很容易的事。因此對這類威脅,我們要做好防范工作,首先離開電腦終端時應及時退出注冊,系統(tǒng)管理員應定時掃描分析。此外還應了解一些對付特洛伊木馬的方法,如數(shù)字簽名技術(shù)、工具等。(3)利用處理程序錯誤的攻擊。這種攻擊是利用處理程序中存在的錯誤進行的攻擊,由于這類攻擊大都可以通過網(wǎng)絡(luò)發(fā)動,給系統(tǒng)安全造成了較大的危害。目前在網(wǎng)上已有一些補丁程序用來對付這類攻擊,安裝一個防火墻也可以有效地防止這類攻擊。3.緩沖區(qū)溢出。在許多操作系統(tǒng)和應用軟件中,都普遍存在一種非常危險