[摘 要] 会计信息系统对于企业有重要的意义,大多数企业都应用了会计信息系统。本文针对会计信息系统可能遇到的安全问题进行阐述,同时给出保证会计信息系统安全的策略,指出了运用系统安全风险评估的方法来帮助企业了解信息系统的风险,达到维护系统安全的目的。
[关键词] 会计信息系统;信息系统安全;风险评估
[中图分类号]F232[文献标识码]A[文章编号]1673-0194(2007)07-0013-02
一、引 言
会计信息系统使原有的会计操作流程得以在计算机上实现,在给人们带来了便利的同时,一个不容忽视的问题——会计信息系统安全问题随之出现,人们在享受会计信息系统带来的方便的同时也同样承担着安全风险。随着社会信息化程度的不断提高, 会计信息系统的安全问题日益突出。如何认识会计信息系统安全问题, 并找到有效的解决问题的途径, 无论是对社会还是对企业来说, 都具有重要的意义。
二、安全问题
会计信息系统的安全性是系统用户最为担心的问题,会计信息系统的安全风险主要表现在以下几个方面:
1. 计算机系统故障。所有的计算机系统都存在可能由于软件、硬件、网络本身出现故障而导致系统数据丢失甚至瘫痪的风险。
2. 会计信息数据失真。会计信息的质量直接影响到企业的经营管理决策。会计信息的真实、完整和准确是对会计信息的基本要求,一旦会计信息系统的安全受到损害,将引发会计数据的丢失或被篡改,致使信息失真。
3. 网络资金结算的安全问题。电子商务的开展使得企业在网上的财务活动日益增多,如网上销售、网上结算、网上订购等,买卖双方仅仅凭借双方的信誉进行交易活动,这样企业就存在财务结算的安全问题。
4. 道德因素带来的安全问题。首先,企业内部人员的道德因素。企业内部人员的舞弊行为或无意行为形成的对会计数据的非法使用可能造成企业重要信息的泄露。其次,计算机病毒或者网络恶性攻击造成系统无法正常运行。
以上4点都是构成企业会计系统安全风险的重要形式。为了保证会计信息系统安全稳定地运行,我们应当制定必要的安全防范策略, 以便让会计信息系统更好地发挥作用,为经济建设服务。
三、保证会计信息系统安全的策略
1. 建立健全会计信息系统管理制度。建立健全会计信息系统管理制度是确保会计核算操作安全,及时、准确提供会计信息的根本保证,是实现企业会计电算化的前提。
(1)建立输入控制制度, 为会计信息系统的安全提供基础保证。首先建立会计确认安全控制,通过第三方机构对原始凭证加以认可, 并通过动态数字签字对输入信息的可靠性加以确认, 保证数据的准确性;其次建立记账凭证的输入安全控制。从原始凭证电子化到记账凭证电子化要最大限度地减少人为的干预,确保电子记账凭证的准确性和可靠性。
(2)建立操作控制制度, 为会计信息系统的安全提供操作层面保证。建立操作权限安全控制,防止越权使用操作对系统带来的影响;建立严格的操作控制规范对会计信息系统的操作,保证即使系统本身由于开发存在的不足引发的系统异常的情况下仍然能保证系统继续运行。
(3)建立内部监督管理机制, 为会计信息系统的安全提供内部保障。建立相应的监督机制,监督相关使用人员行为,保证内部不出现危害会计信息系统的行为,从而确保系统的正常运行;建立相应的惩罚机制,对于出现问题的相关人员要严格按照惩罚条款进行处理,最大限度地确保内部不出现问题。这对于保证会计信息的真实可靠能起到一定的保障作用。
2. 建立必要的安全防护措施。为了保证会计信息的真实可靠,除了建立健全管理制度以外,还要建立必要的防护措施。一般来说, 保护措施可分为以下几个方面:
(1)指定有专业素质的数据管理人员进行数据库的维护,确保会计信息系统所依存的数据的安全完整,对会计数据进行保密,对使用信息系统的人员的权限合理控制,保证数据库管理系统的安全。
(2)安装有效的防火墙和病毒查杀软件,通过设置防火墙、采用身份识别系统等技术防护措施, 将非法用户拒之于网络之外,确保网络系统安全,防止重要信息在传输过程中被泄露,杀毒软件定期更新病毒库,对网络中的各计算机系统进行病毒扫描和查杀,防止病毒发作对会计信息系统及数据库系统造成破坏。
(3)会计信息系统本身应增加安全功能,确保系统不受外界侵犯或在遭受侵犯的同时具有一定的抵御能力。
(4)加强对会计信息系统使用人员的安全教育。系统使用人员特别是系统操作人员要树立安全意识,加强计算机、通讯和网络理论知识的学习,提高业务素质, 还要树立良好的职业道德,自觉遵守各种操作规章制度和操作规程,防止工作中出现不必要的失误。
(5)建立专门的信息管理部门,用于对企业的信息化建设进行指导、执行,同时对网络设施进行维护,保证网络畅通,为会计信息系统正常运行提供良好的网络环境,对会计信息系统所运行的计算机系统进行必要的维护,保证会计信息系统运行所依托的载体的正常运转。
3. 对会计信息系统安全风险进行评估。信息系统安全风险评估就是对信息安全风险进行识别、分析和评价,是信息系统安全防范体系的建设依据,风险评估的目的在于指出信息系统的风险所在、防范风险的代价、风险可能造成的损失,并最终依据后两者的比较制定信息安全保障体系,所以对会计信息系统进行安全风险评估尤为急迫。安全风险评估分如下几个过程:
(1)评估阶段。信息系统将接受评估工具的检测和调查,评估工具的好坏直接影响到评估的效果,要选择比较好的评估工具,如著名的 CRAMM 风险评估工具。被评估的对象包括网络架构、应用系统、运行与安全管理、人员、安全策略等,评估的结果将反映信息系统在各个方面的威胁和脆弱性。
(2)评估信息智能化处理阶段。需要对评估工具所得出的原始评估数据进行深入挖掘,一方面,这些数据复杂、多样,而且会不断增加,因此需要按照统一的标准进行管理;另一方面,这些数据内在的联系需要通过数据挖掘进行归纳分析和综合分析。
(3)解决方案与后续建设目标阶段。根据评估信息分析的结果,制订相应的建设目标与方案,其核心是把风险的价值与保护风险的价值进行比较。
风险评估可以采用传统的风险评估方法,如HAZOP方法,也可以采用基于神经网络和专家系统的评估方法或者运用层次分析方法进行风险评估。通过这些方法可以获得影响会计信息系统安全的各种攻击方式的权重,了解到影响系统安全的各个因素,针对各种攻击方式的权重有针对性地拟定相应的防护措施,从而达到有效的维护系统安全的目的,为今后会计信息系统的安全运行提供保证。
四、结束语
在复杂多变的会计信息系统中,只有充分了解其安全需求并配合有效的安全控制,才有可能构造出安全的系统。在安全系统的基础上, 我国的会计电算化事业才能得到蓬勃发展。
主要参考文献
[1] Redmill F,Chudleigh M,Catmur J.System Safety:HAZOP and Software HAZOP[J]. Computing & Control Engineering Journal,1999,10(4).
[2] 韩利,梅强,陆玉梅等. AHP—模糊综合评价方法的分析与研究[J]. 中国安全科学学报,2004,14(7):86-89.
[3] 巩家民. 浅议会计电算化信息系统的安全问题[J]. 集团经济研究,2005,10(14):146.
[4] 陈炼,文巨峰,韩冰青. 信息系统安全风险评估[J]. 计算机工程与应用,2006,42(4):145-148.