第 2 章 网络会计信息系统的安全理论
通过上述理论的分析,我们已大致了解了研究网络会计信息系统安全的必要性。在本章中,我们通过研究网络会计信息系统安全的内涵、存在的相关风险及其应对的安全策略来进一步深入了解网络会计信息系统。
2.1 网络会计信息系统的安全概述
对于网络会计信息系统的安全概述,我们主要从网络会计信息系统以及网络会计信息系统中的会计信息安全两方面进行阐述。
2.1.1 网络会计信息系统
网络环境下的会计信息系统,通过联机实时操作,主动获取和提供相关会计信息,实现多元化报告,并能准确、及时地为会计信息使用者的管理与决策活动提供其所需的会计信息。
(1)网络会计信息系统的组成。网络会计信息系统,主要由计算机硬件、软件、网络、操作人员、会计数据以及相关的运行规则组成。
(2)网络会计信息系统的特点。网络会计信息系统与传统的会计信息系统相比,其主要的特点有以下几方面:
①综合性。网络环境下会计信息系统需要从多角度去收集、记录所有与企业相关的业务发生的数据,网络环境下的会计信息应能全面反映企业的供产销等各环节,应成为参与管理者全面决策的综合信息。
②一体化。网络环境下,会计信息系统的各核算模块及财务决策模块都需融入到企业的各业务和管理信息系统中,因此,会计信息系统不再是一个相对独立的系统,从广义角度来说,其涵盖了企业其他的业务系统。
③实时化。网络会计信息系统既能帮助企业实现财务与业务的协同,同时也能实现记账、报账、查账的实时处理,实现事中动态会计核算与在线财务管理,改变财务信息的获取与应用方式。
2.1.2 网络会计信息系统的信息安全隐患
会计信息依托于会计信息系统而存在,因而我们有必要首先了解会计信息的安全。薛云奎,饶艳超(2008)认为会计信息系统的安全以信息安全为最终目标。因此,研究网络会计信息系统安全的最终目的是保障会计信息的安全。
网络会计主要依靠数据自动处理功能,在这种情况下,系统发生微小的干扰或差错,都会造成严重的后果。首先,网络环境下,各计算机通过网络连接在一起,系统间的会计数据流动性增加,因此,网络中数据在传输过程中容易被窃取、修改或删除,而发生这些案件时,管理员很难发现;其次,网络环境下,计算机病毒的传播渠道更加多样化、快捷化,因此,会计信息系统更易受到病毒的感染;最后,信息通过载体得以传输和使用,因此,信息与载体是不可分割的,网络环境下,信息的载体由纸介质过渡到了磁介质,电子档案通过磁介质进行存储,因此,保存磁介质的高标准大大提高了电子档案保存的风险。
2.2 网络会计信息系统的安全隐患
会计信息系统的安全是指系统保持正常稳定运行状态的能力。由于网络共享性和开放性的特征,网络系统的安全很容易受到威胁,网络系统在会计信息系统中的应用,使得网络会计信息系统的安全隐患更加突出。会计信息系统的安全性受到人为或非人为因素的影响而减弱,从而导致系统的信息失真,系统硬件、软件等无法正常运行,严重情况下会导致企业资产资金的严重损失。影响会计信息系统安全的隐患主要包括两个方面,即系统实体安全、信息和数据安全。
系统实体安全主要包括计算机硬件设备、线路、财务软件、系统程序等实体物质的安全,系统实体遭遇的安全威胁可能包括人为预谋的破坏以及非人为破坏两种。对于人为地有预谋的破坏活动,他们可能出于某些目的毁坏会计信息系统的硬件系统设施,也可能通过散播病毒程序或邮件轰炸等方式致使相关软件设施损毁,实体物质的损坏必然会导致相关会计数据的丢失、毁损,导致会计信息失真;非人为的破坏,如不可抗力的出现,尽管不可抗力出现的概率非常低,但若其发生,则会对网络会计信息系统的实体部件造成不可估量的损失,如火灾等。
信息和数据安全主要是指存储或传输中会计数据的安全。对于存储于各介质中的会计数据可能遭遇到的安全威胁主要来自于非授权人员对会计数据的非法获取、修改或删除;对于传输中的会计数据所遭遇的主要威胁是网络黑客的恶意侵入并对会计数据做出非法篡改、删除以及窃取,网络黑客主要通过网络对会计信息系统进行攻击,以达到其非法的目的。
2.3 网络会计信息系统的安全策略
网络环境下,企业会计信息系统主要的安全目标就是维护财务数据的完整性、可用性。
因此,网络信息系统安全策略亦应以维护数据的安全、完整、可用为目标,并结合各不同类型企业的自身特点制定其会计信息系统的安全策略。安全策略为保证信息系统的安全性提供了一个总体框架,同时也提出了管理系统安全性的方法,并规定了各部门要遵守的规范及应负的责任,为企业网络会计信息系统的安全提供了依据。对于安全策略,具体可以从技术体系和管理体系两个角度出发,其中技术体系主要为整个会计系统的物理安全和信息安全提供技术保障,防范物理安全即防范计算机相关设备的物理安全威胁,使其免于损坏、丢失等;防范信息安全即指维护系统中会计信息的安全、完整。管理体系主要包括从国家的法律法规、企业的规章制度以及企业内部相关培训三方面为企业网络会计信息系统的安全提供一些制度保障。
从技术体系来说,首先,企业可以通过选择适应整个系统配置的计算机硬件设备并进行相应的机房设备的管理机制;其次,企业需从操作系统、数据库系统以及财务软件这三方面分别进行相应的软件开发选择以及后期维护管理;最后,企业应采取一定的安全技术如防火墙技术、虚拟专用网、入侵检测技术等加强对企业网络的安全控制,以保障企业会计信息的安全、完整。
从管理体系来说,一方面,企业应制定与会计信息系统相关的规章制度,如具体的出入机房、操作人员的操作手册等;另一方面,企业应采取相关的培训来提高员工的职业操守水平,提高其专业胜任能力,加强对现有会计人员的培养力度,争取培养出有利于网络会计信息系统的复合型人才。
