影響會計信息安全的因素及對策分析

精品文檔-下載后可編輯影響會計信息安全的因素及對策分析隨著我國會計信息化工作的不斷推進(jìn)，會計信息化正逐步從簡單的電算化應(yīng)用向深層次的網(wǎng)絡(luò)化應(yīng)用演變，由于互聯(lián)網(wǎng)技術(shù)的開放性，使得網(wǎng)絡(luò)會計的發(fā)展必然會受到會計信息安全的制約，國家信息化領(lǐng)導(dǎo)小組在第三次信息化會議中，也將信息安全作為重點問題加以討論，因此，如何保證會計信息的安全，將成為會計信息化發(fā)展的一個重要課題。

一、會計信息安全的概念和目標(biāo)

1．會計信息安全的概念

目前，我國對會計信息安全還沒有統(tǒng)一的定義。國際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。因此，會計信息的安全是指會計信息具有完整性、可用性、保密性和可靠性的狀態(tài)，它來自于會計數(shù)據(jù)的完整和會計數(shù)據(jù)的安全。

會計數(shù)據(jù)的完整是指與損壞和丟失會計數(shù)據(jù)的相對狀態(tài)，它通常指會計數(shù)據(jù)表明的會計信息是可靠的、可用的。會計數(shù)據(jù)的不安全是指會計數(shù)據(jù)被有意竊取或損壞的狀態(tài)。

基于網(wǎng)絡(luò)的會計數(shù)據(jù)安全來自于網(wǎng)絡(luò)的安全。根據(jù)國家計算機安全規(guī)范，計算機的安全大致包括三類：（1）實體安全，包括機房、線路、主機等；（2）網(wǎng)絡(luò)與信息安全，包括網(wǎng)絡(luò)的暢通、準(zhǔn)確以及網(wǎng)上信息的安全；（3）應(yīng)用安全，包括程序開發(fā)運行、I／O、數(shù)據(jù)庫等的安全。

2．會計信息安全的目標(biāo)

國際會計師聯(lián)合會在《信息安全管理》（1998）中提出，信息安全的目標(biāo)是“保護(hù)依靠信息、信息系統(tǒng)和傳送信息的人、通信設(shè)施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足下面3條準(zhǔn)則時可以認(rèn)為達(dá)到了信息安全的目標(biāo)：數(shù)據(jù)和信息只透露給有權(quán)知道該數(shù)據(jù)和信息的人（機密性）；數(shù)據(jù)和信息保護(hù)不受未經(jīng)授權(quán)的修改（完整性）；信息系統(tǒng)在需要時可用和有用（可用性）。

二、影響會計信息安全的主要因素

影響會計信息的安全因素既有內(nèi)部因素，也有外部因素，主要表現(xiàn)在以下幾個方面：

1．內(nèi)部因素

（1）人為因素，人的因素在保障會計信息安全過程中起主導(dǎo)作用，會計信息系統(tǒng)操作人員出于主觀故意篡改數(shù)據(jù)或不按操作程序操作，均會直接影響會計信息的真實性和可靠性、可用性；

（2）硬件故障，硬件故障包括I/O控制器、內(nèi)存、硬盤以及其他計算機部件，但引起會計數(shù)據(jù)丟失的主要問題是存儲會計數(shù)據(jù)載體的磁盤物理性損毀所產(chǎn)生的；

（3）電源故障，包括計算機內(nèi)部供電與外部供電，當(dāng)系統(tǒng)突然失去供電，易失性存儲器中的數(shù)據(jù)將會丟失，從而威脅會計信息的安全；

（4）網(wǎng)絡(luò)故障，由于網(wǎng)絡(luò)的原因，使得會計數(shù)據(jù)不能正確保存，造成會計信息的丟失；

（5）軟件系統(tǒng)，會計信息系統(tǒng)的運行軟件由于程序本身設(shè)計存在的問題，或者對數(shù)據(jù)校驗考慮不周，都將影響到會計數(shù)據(jù)的完整性；

（6）操作系統(tǒng)漏洞，操作系統(tǒng)作為會計信息系統(tǒng)的運行平臺，本身也存在一定的漏洞，極易受到攻擊，從而導(dǎo)致會計信息的毀損；

（7）身份認(rèn)證和管理，身份認(rèn)證是構(gòu)建企業(yè)會計信息安全體系的基礎(chǔ)，目的是為了保證會計信息系統(tǒng)中的數(shù)據(jù)只能被授權(quán)的人合理訪問，常用的身份認(rèn)證方式主要有用戶名/密碼方式、IC卡認(rèn)證、動態(tài)口令、USBKey認(rèn)證、生物識別技術(shù)。目前，我國會計信息系統(tǒng)應(yīng)用商業(yè)軟件在身份認(rèn)證管理上主要采用用戶名/密碼方式，這種方式過于簡單，在密碼驗證過程很容易被木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲，安全性極差。會計信息操作員在設(shè)置密碼時，為了方便記憶，往往用“123”、“111111”、“666666”、“888888”或是生日號碼、電話號碼作為操作員密碼，甚至將密碼設(shè)置為空值，極易破譯。一些企業(yè)對身份認(rèn)證疏于管理，會計信息系統(tǒng)管理員在員工已調(diào)離本企業(yè)后，依然在很長的一段時間內(nèi)保留著該員工的賬號，留下了安全隱患。

2．外部因素

（1）病毒，據(jù)2022年調(diào)查，我國約73%的計算機用戶曾感染病毒，2022年上半年這一比例升至83%，其中，感染3次以上的用戶高達(dá)59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%，因此，病毒將造成會計信息丟失或毀壞，對企業(yè)會計信息安全的影響是重大的；

（2）意外事故，雖然出現(xiàn)的機率相對其他因素較小，但是一旦發(fā)生，就會對會計信息系統(tǒng)造成災(zāi)難性損失，例如火災(zāi)、水災(zāi)、工業(yè)事故、蓄意破壞等。

三、解決會計信息安全的主要對策

在國家信息化領(lǐng)導(dǎo)小組第三次會議《關(guān)于加強信息安全保障工作的意見》中，提出了關(guān)于信息安全的主導(dǎo)思想：“堅持積極防御、綜合防范的方針，在全面提高信息安全防護(hù)能力的同時，重點保障基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)的安全。完善信息安全監(jiān)控體系，建立信息安全的有效機制和應(yīng)急處理機制”。因此，要解決企業(yè)會計信息化的安全問題，應(yīng)在堅持安全等級、成本效益、預(yù)防為主等原則的基礎(chǔ)上，重點放在預(yù)防和應(yīng)急處理兩個方面。

1．預(yù)防

（1）操作人員的定期培訓(xùn)，包括操作人員的職業(yè)道德教育和安全技能培訓(xùn)，影響會計信息安全的因素處于不斷變化的形勢下，會計信息的安全保障知識也需要不斷更新；

（2）制度建設(shè)，建立一套完善的會計信息安全管理制度是保障會計信息安全的基礎(chǔ)，會計信息安全管理制度至少包括會計信息系統(tǒng)的開發(fā)或選購制度、會計信息系統(tǒng)的維護(hù)制度、計算機機房管理制度、會計數(shù)據(jù)訪問權(quán)限設(shè)定、會計信息的備份制度、會計信息載體檔案管理制度、用戶權(quán)限授權(quán)管理制度、會計信息員的崗位責(zé)任制度、會計信息員的操作規(guī)程、會計信息安全日常評估制度、會計信息安全審計制度、應(yīng)急處理制度等；

（3）后備供電系統(tǒng)，為防止突然斷電所引起的數(shù)據(jù)丟失，應(yīng)配置后備供電系統(tǒng)，以保證數(shù)據(jù)的完整、安全；

（4）修補系統(tǒng)漏洞，操作系統(tǒng)本身存在的漏洞極容易引起黑客的攻擊，從而導(dǎo)致系統(tǒng)的崩潰和數(shù)據(jù)的丟失，因此要及時修補系統(tǒng)漏洞；

（5）鏡像技術(shù)，將數(shù)據(jù)原樣從一臺設(shè)備上復(fù)制到另一臺設(shè)備上，可以采用磁盤鏡像或磁盤雙聯(lián)，以保證會計數(shù)據(jù)的安全；

（6）數(shù)據(jù)加密技術(shù)，通過數(shù)據(jù)加密技術(shù)，可以在一定程度上提高數(shù)據(jù)傳輸?shù)陌踩裕ＷC傳輸數(shù)據(jù)的完整性；

（7）數(shù)據(jù)備份，通常指數(shù)據(jù)保存一個相對較短的時間，主要目的是為了恢復(fù)由于某些原因損毀或丟失了的數(shù)據(jù)，在日常操作中，會計數(shù)據(jù)盡可能做到每天備份，或設(shè)置自動備份；

（8）數(shù)據(jù)歸檔，通常指會計數(shù)據(jù)的永久性保存，應(yīng)該實行紙質(zhì)檔案和電子檔案同步保管的方式；

（9）構(gòu)筑防火墻，防火墻具有很好的保護(hù)作用，是保護(hù)企業(yè)網(wǎng)絡(luò)會計信息安全的主要機制，它能對流經(jīng)的網(wǎng)絡(luò)通信進(jìn)行掃描，過濾掉一些攻擊，在具體操作中，可以將防火墻配置成許多不同保護(hù)級別。

2．應(yīng)急處理

會計信息系統(tǒng)在運行時，總會遇到各種各樣的安全威脅，因此，當(dāng)系統(tǒng)信息受到損害時，如何及時、快速保障系統(tǒng)恢復(fù)運行就顯得十分必要。會計信息系統(tǒng)災(zāi)難恢復(fù)計劃就是為了確保當(dāng)企業(yè)會計信息受到損害時可以進(jìn)行安全地恢復(fù)工作，其基本步驟包括：第一、制定災(zāi)難恢復(fù)計劃，其內(nèi)容至少包含風(fēng)險分析、風(fēng)險評估、應(yīng)用程序優(yōu)先級別、恢復(fù)需求、結(jié)果記錄等；第二、數(shù)據(jù)備份的維護(hù)，數(shù)據(jù)備份不但包括會計數(shù)據(jù)的備份，還應(yīng)包括會計信息系統(tǒng)運行環(huán)境參數(shù)的備份，日常數(shù)據(jù)備份是會計信息安全的保障，要將數(shù)據(jù)備份資料存放在安全的地方，當(dāng)會計數(shù)據(jù)發(fā)生毀損或丟失時，可以通過數(shù)據(jù)備份得到及時的恢復(fù)；第三、執(zhí)行災(zāi)難恢復(fù)計劃，當(dāng)會計信息系統(tǒng)發(fā)生災(zāi)難時，必須嚴(yán)