网络会计信息系统安全问题与对策

　　所谓网络会计，是指在互联网环境下对各种交易和事项进行确认、计量和披露的会计活动。它是建立在网络环境基础上的会计信息系统，是电子商务的重要组成部分；它将帮助企业实现财务与业务的协同远程报表、报账、查账、审计等远程处理，事中动态会计核算与在线财务管理，支持电子单据与电子货币，改变财务信息的获取与利用方式。

　　网络会计信息系统的安全是指系统保持正常稳定运行状态的能力。即在网络环境下对各种交易和事项进行确认、计量和批漏的活动，以及财务数据处理的各个环节，也就是说既包括操作这个系统的人和作为系统处理对象的那些数据，也包括系统所处的那个环境。所以，网络会计信息系统的安全建设是全方位的系统工程。会计信息系统如同金库中的资金，信息安全是会计信息系统安全的核心，确保信息的生存性、完整性、可用性和保密性是会计信息系统的中心任务。信息系统是为承载、传输、处理、保存、输入、输出、查询信息提供服务的基础，信息系统的安全是信息安全的基本保障。

　　会计信息系统安全的主要目标是防止非法侵入和篡改计算机系统数据，维护会计数据的完整性和可用性，保持系统持续正常运行，不因系统问题导致非计划间断营业。会计信息系统安全的主要任务是保障信息与其密切相关信息的信息系统的生存性、完整性、可用性和保密性。

　　网络会计信息系统的安全风险主要表现

　　会计信息系统是一种特殊的信息系统，它除了一般信息系统的安全特征外，还具有自身的一些安全特点。会计信息系统的安全风险是指由于人为的或非人为的因素使会计信息系统保护安全的能力的减弱，从而产生系统的信息失真、失窃，使单位的财产遭受损失，系统的硬件、软件无法正常运行等结果发生的可能性。会计信息系统的安全风险主要表现在以下几个方面：

　　（1）会计信息的真实性、可靠性。开放性的网络会计环境下，存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象，但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。由于缺乏有效的确认标识，信息接受方有理由怀疑所获取财务数据的真实性；同样，作为信息发送方，也有类似的担心，即传递的信息能否被接受方正确识别并下载。

　　（2）企业重要的数据泄密。在信息技术高速发展的今天，信息在企业的经营管理中变得尤为重要，它已经成为企业的一项重要资本，甚至决定了企业的激烈的市场竞争中的成败，企业的财务数据属重大商业机密，在网络传递过程中，有可能被竞争对手非法截取，导致造成不可估量的损失。因此，保证财务数据的安全亦不容忽视。

　　（3）会计信息是否被篡改。会计信息在网上传递过程中，随时可能被网络黑客或竞争对手非法截取并恶意篡改，同时，病毒也会影响信息的安全性和真实性，这些都是亟待解决的问题。

　　（4）计算机硬件的安全性。网络会计主要依靠自动数据处理功能，而这种功能又很集中，自然或人为的微小差错和干扰，都会造成严重后果。影响计算机硬件安全的因素有①自然因素，如火灾、水灾、灰尘老鼠等都会对计算机硬件造成损坏，严重的造成系统故障乃至崩溃。②管理因素，如安全管理不力，使得计算机被盗，或光盘，磁盘等磁介质载体档案的保管不善，造成信息丢失或泄露等。

　　（5）网络系统的安全性。网络是一把双刃剑，它使企业在利用Internet网寻找潜在贸易伙伴、完成网上交易的同时，也将自己暴露于风险之中。这些风险来自于：①泄密。未授权人员非法侵入企业信息系统，窃取企业的商业机密，从而侵吞企业财产或出卖商业机密换取钱财。②恶意攻击。网络黑客的蓄意破坏或者病毒的感染，将可能使整个系统陷于瘫痪。

　　网络会计信息系统安全应考虑的一般原则

　　（1）需求、风险、代价平衡分析的原则任何网络的绝对安全都是难以达到的，也不一定是必要的。对一个网络要进行实际的研究，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后确定本系统的安全策略。

　　（2） 综合性、整体性原则

　　应运用系统工程的观点、方法、分析网络的安全及具体的措施。安全措施包括：行政法律手段、各种管理制度（人员审查、工作流等）以及专业技术措施。一个较好的安全措施往往是多种方法适当综合的应用结果。总之，不同的安全措施的代价、效果对不同的网络并不完全相同，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。

　　（3） 一致性原则

　　一致性原则是指网络安全问题应存在于整个网络的工作周期，制定的安全体系结构必须与网络的安全需求相一致，安全的网络系统设计及实施计划、网络验证、验收、运行等，都要有安全的内容及措施。实际上，在网络建设的初期就应该考虑网络安全对策，比等网络建设好后再考虑安全措施不但较容易，且成本也大大的降低。

　　（4） 易操作性原则

　　首先，安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性，如密钥管理就有类似的问题，其次，措施的采用不能影响系统的正常运行。

　　（5） 加强薄弱环节原则

　　对网络会计信息系统的安全问题，符合“木桶理论”，即整个系统是否安全并不取决于最安全的地方而是取决于最不安全的地方。

　　网络会计信息系统安全几项措施

　　通过加强会计信息系统的安全建设与管理，提高会计信息系统安全的防护和反应综合能力，使系统能够抵御各种威胁，有效保护企业资产，提供会计的完整服务。在会计信息系统建设过程中，必须克服“重建设轻安全、重技术轻管理、重使用轻维护”的思想。应逐步建立以“检查与管理、保密与防护、检测与防治、测评与服务” 为基本架构的安全管理和技术系统。通过管理和技术两种手段，使会计信息系统的技术风险防范能力不断提高到一个新的水平。为了更好地利用网络会计带来的优势，保证信息数据质量和安全，应从以下几方面入手，以网络技术为基础，结合会计需要，确保网络安全有效地传递信息。

　　（1）系统加密管理。在会计信息系统中，对一些需严格控制操作的环节，设上“双口令”，只有“双口令”同时到位才能进行该操作。“双口令”由分管该权限的两个人各自按照规定设置，不得告知他人。对“双口令”进行“并钥”处理后，方可执行相应的操作。这样不仅加强了控制管理，保证了数据安全，而且也保护了相关的人员，便于分清各自的责任。

　　（2）形成网上公证由第三方牵制的安全机制。网络环境下原始凭证用数字方式进行存储，应利用网络所特有的实时传输功能和日益丰富的互联网服务项目，实现原始交易凭证的第三方监控（即网上公证）。

　　（3）建立严格的数据存贮措施。为了提高系统数据的安全性和在意外情况下的“自救能力”，应建立双备份，备份后的两份数据应由不同的人员持有，并设有相应的口令，一份进行加密存贮，由监管人员持有；另一份是非加密的，由具体操作人员使用。对一些重要的数据，可采用分布存贮。所谓分布存贮，是指对数据文件采用一定的算法，将数据串分到两个或两个以上的新串中，组成新的两个或多个文件，并存在不同的物理存贮设备中，甚至是异地设备中。

　　（4）建立 “审计线索制”。为了有效地监控系统运行状况，防止系统被侵犯，会计电算化系统中应设置一个系统安全性检查程序，检查系统的各种设置是否和上次运行结束时状态一致。若有差异，应立即起用秘密保存的系统恢复。为此，程序中需设置一个历史文件，该文件能够自动记录当天所有的操作过程，对所有的操作进行监管记录，从而确保所有操作活动都留下痕迹，便于以后追索。

　　（5）强化内部控制。完善的内部控制可有效地减轻由于内部人员道德风险、系统资源风险和计算机病毒所造成的危害。但就目前的电算化会计信息系统实施内部控制的情况来看，许多企业对内部控制认识不足，控制措施不力，致使应用系统中安全隐患较多。在网络环境下，由于其开放性，它的系统风险比目前的电算化会计系统更大，因此尤其需要加强内部控制。

　　（6）完善和积极实施法律法规。国家应尽快建立和完善电子商务法规，以规范网上交易的购销、支付及核算行为；借鉴国外有关研究成果和实践经验，制定符合我国国情的网络会计信息管理、财务报告披露的法规、准则，具体规定企业网上披露的义务与责任、网络会计信息质量标准要求、监管机构及其权责等，为网络会计信息系统提供一个良好的社会环境。