影響會計信息安全的因素及對策分析

影響會計信息安全的因素及對策分析隨著我國會計信息化工作的不斷推進，會計信息化正逐步從簡單的電算化應用向深層次的網絡化應用演變，由于互聯(lián)網技術的開放性，使得網絡會計的發(fā)展必然會受到會計信息安全的制約，國家信息化領導小組在第三次信息化會議中，也將信息安全作為重點問題加以討論，因此，如何保證會計信息的安全，將成為會計信息化發(fā)展的一個重要課題。一、會計信息安全的概念和目標1.會計信息安全的概念目前，我國對會計信息安全還沒有統(tǒng)一的定義。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。因此，會計信息的安全是指會計信息具有完整性、可用性、保密性和可靠性的狀態(tài)，它來自于會計數據的完整和會計數據的安全。會計數據的完整是指與損壞和丟失會計數據的相對狀態(tài)，它通常指會計數據表明的會計信息是可靠的、可用的。會計數據的不安全是指會計數據被有意竊取或損壞的狀態(tài)?；诰W絡的會計數據安全來自于網絡的安全。根據國家計算機安全規(guī)范，計算機的安全大致包括三類：（1）實體安全，包括機房、線路、主機等；（2）網絡與信息安全，包括網絡的暢通、準確以及網上信息的安全；（3）應用安全，包括程序開發(fā)運行、I／O、數據庫等的安全。2.會計信息安全的目標國際會計師聯(lián)合會在《信息安全管理》（1998）中提出，信息安全的目標是“保護依靠信息、信息系統(tǒng)和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足下面3條準則時可以認為達到了信息安全的目標：數據和信息只透露給有權知道該數據和信息的人（機密性）；數據和信息保護不受未經授權的修改（完整性）；信息系統(tǒng)在需要時可用和有用（可用性）。二、影響會計信息安全的主要因素影響會計信息的安全因素既有內部因素，也有外部因素，主要表現在以下幾個方面：1.內部因素（1）人為因素，人的因素在保障會計信息安全過程中起主導作用，會計信息系統(tǒng)操作人員出于主觀故意篡改數據或不按操作程序操作，均會直接影響會計信息的真實性和可靠性、可用性；（2）硬件故障，硬件故障包括I/O控制器、內存、硬盤以及其他計算機部件，但引起會計數據丟失的主要問題是存儲會計數據載體的磁盤物理性損毀所產生的；（3）電源故障，包括計算機內部供電與外部供電，當系統(tǒng)突然失去供電，易失性存儲器中的數據將會丟失，從而威脅會計信息的安全；（4）網絡故障，由于網絡的原因，使得會計數據不能正確保存，造成會計信息的丟失；（5）軟件系統(tǒng)，會計信息系統(tǒng)的運行軟件由于程序本身設計存在的問題，或者對數據校驗考慮不周，都將影響到會計數據的完整性；（6）操作系統(tǒng)漏洞，操作系統(tǒng)作為會計信息系統(tǒng)的運行平臺，本身也存在一定的漏洞，極易受到攻擊，從而導致會計信息的毀損；（7）身份認證和管理，身份認證是構建企業(yè)會計信息安全體系的基礎，目的是為了保證會計信息系統(tǒng)中的數據只能被授權的人合理訪問，常用的身份認證方式主要有用戶名/密碼方式、IC卡認證、動態(tài)口令、USBKey認證、生物識別技術。目前，我國會計信息系統(tǒng)應用商業(yè)軟件在身份認證管理上主要采用用戶名/密碼方式，這種方式過于簡單，在密碼驗證過程很容易被木馬程序或網絡中的監(jiān)聽設備截獲，安全性極差。會計信息操作員在設置密碼時，為了方便記憶，往往用“123”、“111111”、“666666”、“888888”或是生日號碼、電話號碼作為操作員密碼，甚至將密碼設置為空值，極易破譯。一些企業(yè)對身份認證疏于管理，會計信息系統(tǒng)管理員在員工已調離本企業(yè)后，依然在很長的一段時間內保留著該員工的賬號，留下了安全隱患。2.外部因素（1）病毒，據2001年調查，我國約73%的計算機用戶曾感染病毒，2003年上半年這一比例升至83%，其中，感染3次以上的用戶高達59%，而且病毒的破壞性較大，被病毒破壞全部數據的占14%，破壞部分數據的占57%，因此，病毒將造成會計信息丟失或毀壞，對企業(yè)會計信息安全的影響是重大的；（2）意外事故，雖然出現的機率相對其他因素較小，但是一旦發(fā)生，就會對會計信息系統(tǒng)造成災難性損失，例如火災、水災、工業(yè)事故、蓄意破壞等。三、解決會計信息安全的主要對策在國家信息化領導小組第三次會議《關于加強信息安全保障工作的意見》中，提出了關于信息安全的主導思想：“堅持積極防御、綜合防范的方針，在全面提高信息安全防護能力的同時，重點保障基礎網絡和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系，建立信息安全的有效機制和應急處理機制”。因此，要解決企業(yè)會計信息化的安全問題，應在堅持安全等級、成本效益、預防為主等原則的基礎上，重點放在預防和應急處理兩個方面。1.預防（1）操作人員的定期培訓，包括操作人員的職業(yè)道德教育和安全技能培訓，影響會計信息安全的因素處于不斷變化的形勢下，會計信息的安全保障知識也需要不斷更新；（2）制度建設，建立一套完善的會計信息安全管理制度是保障會計信息安全的基礎，會計信息安全管理制度至少包括會計信息系統(tǒng)的開發(fā)或選購制度、會計信息系統(tǒng)的維護制度、計算機機房管理制度、會計數據訪問權限設定、會計信息的備份制度、會計信息載體檔案管理制度、用戶權限授權管理制度、會計信息員的崗位責任制度、會計信息員的操作規(guī)程、會計信息安全日常評估制度、會計信息安全審計制度、應急處理制度等；（3）后備供電系統(tǒng)，為防止突然斷電所引起的數據丟失，應配置后備供電系統(tǒng)，以保證數據的完整、安全；（4）修補系統(tǒng)漏洞，操作系統(tǒng)本身存在的漏洞極容易引起黑客的攻擊，從而導致系統(tǒng)的崩潰和數據的丟失，因此要及時修補系統(tǒng)漏洞；（5）鏡像技術，將數據原樣從一臺設備上復制到另一臺設備上，可以采用磁盤鏡像或磁盤雙聯(lián)，以保證會計數據的安全；（6）數據加密技術，通過數據加密技術，可以在一定程度上提高數據傳輸的安全性，保證傳輸數據的完