會計信息安全
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
目前,我國對會計信息安全還沒有統一的定義。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。因此,會計信息的安全是指會計信息具有完整性、可用性、保密性和可靠性的狀態,它來自於會計數據的完整和會計數據的安全。
會計數據的完整是指與損壞和丟失會計數據的相對狀態,它通常指會計數據表明的會計信息是可靠的、可用的。會計數據的不安全是指會計數據被有意竊取或損壞的狀態。
基於網路的會計數據安全來自於網路的安全。根據國家電腦安全規範,電腦的安全大致包括三類:
(1)實體安全,包括機房、線路、主機等;
(2)網路與信息安全,包括網路的暢通、準確以及網上信息的安全;
(3)應用安全,包括程式開發運行、I/O、資料庫等的安全。
國際會計師聯合會在《信息安全管理》中提出,信息安全的目標是“保護依靠信息、信息系統和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足下麵3條準則時可以認為達到了信息安全的目標:數據和信息只透露給有權知道該數據和信息的人(機密性);數據和信息保護不受未經授權的修改(完整性);信息系統在需要時可用和有用(可用性)。
影響會計信息的安全因素既有內部因素,也有外部因素,主要表現在以下幾個方面:
1.內部因素
(1)人為因素,人的因素在保障會計信息安全過程中起主導作用,會計信息系統操作人員出於主觀故意篡改數據或不按操作程式操作,均會直接影響會計信息的真實性和可靠性、可用性;
(2)硬體故障,硬體故障包括I/O控制器、記憶體、硬碟以及其他電腦部件,但引起會計數據丟失的主要問題是存儲會計數據載體的磁碟物理性損毀所產生的;
(3)電源故障,包括電腦內部供電與外部供電,當系統突然失去供電,易失性存儲器中的數據將會丟失,從而威脅會計信息的安全;
(4)網路故障,由於網路的原因,使得會計數據不能正確保存,造成會計信息的丟失;
(5)軟體系統,會計信息系統的運行軟體由於程式本身設計存在的問題,或者對數據校驗考慮不周,都將影響到會計數據的完整性;
(6)操作系統漏洞,操作系統作為會計信息系統的運行平臺,本身也存在一定的漏洞,極易受到攻擊,從而導致會計信息的毀損;
(7)身份認證和管理,身份認證是構建企業會計信息安全體系的基礎,目的是為了保證會計信息系統中的數據只能被授權的人合理訪問,常用的身份認證方式主要有用戶名/密碼方式、IC卡認證、動態口令、USB Key認證、生物識別技術。目前,我國會計信息系統應用商業軟體在身份認證管理上主要採用用戶名/密碼方式,這種方式過於簡單,在密碼驗證過程很容易被木馬程式或網路中的監聽設備截獲,安全性極差。會計信息操作員在設置密碼時,為了方便記憶,往往用“123”、“111111”、“666666”、 “888888”或是生日號碼、電話號碼作為操作員密碼,甚至將密碼設置為空值,極易破譯。一些企業對身份認證疏於管理,會計信息系統管理員在員工已調離本企業後,依然在很長的一段時間內保留著該員工的賬號,留下了安全隱患。
2.外部因素
(1)病毒,據2001年調查,我國約73%的電腦用戶曾感染病毒,2003年上半年這一比例升至83%,其中,感染3次以上的用戶高達59%,而且病毒的破壞性較大,被病毒破壞全部數據的占14%,破壞部分數據的占57%,因此,病毒將造成會計信息丟失或毀壞,對企業會計信息安全的影響是重大的;
(2)意外事故,雖然出現的機率相對其他因素較小,但是一旦發生,就會對會計信息系統造成災難性損失,例如火災、水災、工業事故、蓄意破壞等。
在國家信息化領導小組第三次會議《關於加強信息安全保障工作的意見》中,提出了關於信息安全的主導思想:“堅持積極防禦、綜合防範的方針,在全面提高信息安全防護能力的同時,重點保障基礎網路和重要系統的安全。完善信息安全監控體系,建立信息安全的有效機制和應急處理機制”。因此,要解決企業會計信息化的安全問題,應在堅持安全等級、成本效益、預防為主等原則的基礎上,重點放在預防和應急處理兩個方面。
1.預防
(1)操作人員的定期培訓,包括操作人員的職業道德教育和安全技能培訓,影響會計信息安全的因素處於不斷變化的形勢下,會計信息的安全保障知識也需要不斷更新;
(2)制度建設,建立一套完善的會計信息安全管理制度是保障會計信息安全的基礎,會計信息安全管理制度至少包括會計信息系統的開發或選購制度、會計信息系統的維護制度、電腦機房管理制度、會計數據訪問許可權設定、會計信息的備份制度、會計信息載體檔案管理制度、用戶許可權授權管理制度、會計信息員的崗位責任制度、會計信息員的操作規程、會計信息安全日常評估制度、會計信息安全審計制度、應急處理制度等;
(3)後備供電系統,為防止突然斷電所引起的數據丟失,應配置後備供電系統,以保證數據的完整、安全;
(4)修補系統漏洞,操作系統本身存在的漏洞極容易引起黑客的攻擊,從而導致系統的崩潰和數據的丟失,因此要及時修補系統漏洞;
(5)鏡像技術,將數據原樣從一臺設備上複製到另一臺設備上,可以採用磁碟鏡像或磁碟雙聯,以保證會計數據的安全;
(6)數據加密技術,通過數據加密技術,可以在一定程度上提高數據傳輸的安全性,保證傳輸數據的完整性;
(7)數據備份,通常指數據保存一個相對較短的時間,主要目的是為了恢復由於某些原因損毀或丟失了的數據,在日常操作中,會計數據儘可能做到每天備份,或設置自動備份;
(8)數據歸檔,通常指會計數據的永久性保存,應該實行紙質檔案和電子檔案同步保管的方式;
(9)構築防火牆,防火牆具有很好的保護作用,是保護企業網路會計信息安全的主要機制,它能對流經的網路通信進行掃描,過濾掉一些攻擊,在具體操作中,可以將防火牆配置成許多不同保護級別。
2.應急處理
會計信息系統在運行時,總會遇到各種各樣的安全威脅,因此,當系統信息受到損害時,如何及時、快速保障系統恢復運行就顯得十分必要。會計信息系統災難恢復計劃就是為了確保當企業會計信息受到損害時可以進行安全地恢復工作,其基本步驟包括:
第一、制定災難恢復計劃,其內容至少包含風險分析、風險評估、應用程式優先順序別、恢復需求、結果記錄等;
第二、數據備份的維護,數據備份不但包括會計數據的備份,還應包括會計信息系統運行環境參數的備份,日常數據備份是會計信息安全的保障,要將數據備份資料存放在安全的地方,當會計數據發生毀損或丟失時,可以通過數據備份得到及時的恢復;
第三、執行災難恢復計劃,當會計信息系統發生災難時,必須嚴格按照災難恢復計劃操作,並對結果加以記錄,以期不斷修改和完善災難恢復計劃,保證會計信息的安全。
總之,21世紀是一個在知識經濟條件下信息技術高度發展的世紀,信息技術的迅速發展,推動了會計信息化的高速發展,而在這個過程中,會計信息的安全將成為會計信息化發展的“瓶頸”。因此,確保會計信息的安全是實施和完善會計信息化的必經之路。
