会计信息化管理中数据安全的风险与防范定稿版

会计信息化管理中数据安全的风险与防范

摘要

在会计信息化管理中, 数据安全无疑是重中之重。本文结合当前会计信息化管理工作中的存在的问题, 详细分析了影响会计信息化管理中数据安全的因素, 并提出了相应的防范措施, 具有较强的针对性和可操作性。

会计信息系统的安全是指系统保持正常稳定运行状态的能力。会计电算化发展的必然趋势是网络会计, 会计信息系统建立在网络环境的基础上, 并且成为电子商务的重要组成部分。在这种情况下, 会计信息系统的安全风险比以往大大提高。由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱, 从而造成系统硬件、软件无法正常运行, 系统的信息失真, 企业资金财产损失。本文将着重分析会计信息系统中数据安全的风险及其防范对策。

1 信息系统中数据安全风险概述

数据安全是指防止信息系统中的数据被故意地或偶然地泄露、破坏、更改, 保证信息使用完整、有效、合法。数据安全的破坏主要表现在以下几个方面:

1. 1 数据可用性遭到破坏

数据的可用性是指用户的应用程序能够利用相应的数据进行正确的处理。计算机程序与数据文件之间都有约定的存放磁盘、文件夹、文件名的关系, 如果改变数据文件的名称或路径, 对于它的处理程序来说, 这个数据文件就变成了不可用, 因为处理程序不能找到要处理的文件。另一种情况是在数据文件中加入一些错误的或应用程序不能识别的信息代码, 导致程序不能正常运行或得到错误的结果。

1. 2 数据完整性的破坏

数据的完整性包括信息数据的数量、正确与否、排列顺序等几个方面。任何一个方面遭破坏, 均会破坏数据的完整性。数据完整性的破坏可能来自多个方面, 包括人为因素、设备因素、自然因素及计算机病毒等。

1. 3 数据保密性的破坏

对保密性的破坏一般包括非法访问、信息泄露、非法拷贝、盗窃以及非法监视、监听等方面。非法访问指盗用别人的口令或密码等对超出自己权限的信息进行访问、查询、浏览。信息泄露包括人为泄露和设备、通信线路的泄露。

2 影响会计信息系统中数据安全的主要因素

2. 1 操作人员的误操作

由于部分人员实际操作水平不高所产生的误删除、误格式化、误更改, 不正当开、关机, 使用U盘等存储设备方法不当, 操作员或其他人员不按操作规程或非法操作系统, 改变计算机系统的执行路径, 从而破坏了数据的安全改、泄露机密等安全风险。如何有效地防范这些安全隐患,是推广XBRL面临的重要问题。

2. 2 安全意识淡薄, 防范意识不强

主要表现在: 对会计系统专用计算机的旧设备处理不当, 如淘汰的旧机器、磁盘、硬盘

等未进行适当的技术处理随意放置。不法分子从已废弃的旧设备中, 很容易找到重要的数据, 甚至从已删除、已格式化的磁盘中也可轻而易举地提取到重要的财务数据和商业信息, 造成信息泄露。操作人员短时间离开计算机时, 不正常退出财会管理系统、不关机, 没有采取浏览防范措施, 则未经授权的人员可轻易地操作系统, 浏览、修改数据。操作人员通过电子邮件传递重要数据信息, 如卡号、密码, 个别管理人员使用带有重要财会数据的计算机上网聊天等, 不知不觉之中给网络黑客窃取信息提供了方便。

2. 3 安全管理措施不完善, 缺乏与会计信息化管理相适应的监督机制

操作人员可越权篡改程序和数据文件, 通过对程序非法改动, 导致会计数据不真实、不可靠、不准确或以此达到某种非法目的, 如转移单位资金到指定的个人账户, 窃取或篡改商业秘密、非法转移电子资金和数据泄密等。系统的一般用户或数据保管人员能够轻易地把本企业会计信息通过磁盘、光盘或网络透露给竞争对手。

2. 4 数据库管理系统的脆弱性

我国的会计电算化软件通常是以数据库管理系统为基础经过二次开发完成的, 一些重要的会计数据及资料均以数据库文件的形式存放, 存储的数据易于修改、删除和替代。此外, 开发数据库管理系统的基本出发点是为了共享数据, 而这又带来了访问控制中的不安全因素, 在对数据进行访问时一般采用的是密码或身份验证机制, 这些很容易被盗窃、破译或冒充。

2. 5 存储系统的脆弱性

存储系统的脆弱性表现在如下几个方面: (1) 硬盘既有动力装置, 又有电子电路及磁介质, 任何一部分出现故障均导致硬盘不能使用, 造成硬盘内大量的数据丢失。(2)软盘、U盘等移动存储设备易损坏。它们的长期保存对环境要求高, 保存不妥, 便会发生霉变现象, 导致数据不能读出。光盘片极易遭到物理损伤( 折叠、划痕、破碎等) , 从而丢失其内程序和数据。(3) 各种存储媒体的存储量大, 体积小, 一旦被盗窃或损坏, 损失巨大。(4) 存储在各媒体中的数据很容易被拷贝而不留任何痕迹。一台远程终端上的用户, 可以利用一些技术手段, 通过计算机网络访问系统中的数据, 并进行拷贝、删除和破坏。

2. 6 设备及通信线路的信息泄露

主要指电磁辐射泄漏、搭线侦听、废弃物( 被认为已损坏或被更新淘汰的设备) 利用几个方面。电磁辐射泄漏, 主要是指计算机、通信线路及其设备在工作时所产生的电磁辐射, 利用专门的接收设备就可以在一定的范围内接收到这些辐射信息, 从而造成信息泄露。

2. 7 病毒、黑客的攻击

伴随着计算机网络的广泛应用, 计算机病毒、流氓软件泛滥, “网络钓鱼”、黑客攻击事件频频发生, 这都给会计信息系统的安全带来了极大的危害。计算机病毒发作时,将抢占系统资源, 干扰系统的运行, 严重影响计算机网络的速度, 并可直接破坏计算机内的重要数据和系统的正常运行。计算机黑客则是采取非法手段进行信息的截获和窃取, 甚至是非法入侵计算机系统, 取得系统的使用权, 对数据进行恶意的删除、修改和复制等。

3 防范会计信息化管理中数据安全风险的对策和措施

3. 1 在软件功能上施加必要的控制措施

3. 1. 1 采用先进的身份验证技术

目前, 最常用的身份验证技术是密码, 但随着解密技术的发展和提高, 密码的安全性, 尤其是数字、字母密码,已经很不安全, 非常容易被破解, 所以, 密码的安全性已经受到严重挑战事实上, 可以用汉字、字母、数字及其他任何电脑可以识别的符号集合组成编码, 或者用特定的一句话组成的编码作为密码的标志, 就可使密码破解异常困难。随着图形技术的发展, 还可以考虑采用指纹、照片等任意的特殊图形作为密钥, 或者用手写体作为密钥。操作人员身份的验证应贯穿网络操作的全过程, 包括数据的录入、数据的修改、数据的保存、数据的发送、数据的传输、数据的接收、数据的调用、数据的查阅、数据的处理、数据的输出等各种环节, 每个过程都要有严格的身份识别, 以确保操作人员合法。

3. 1. 2 提高软件操作的友好性能

如软件执行备份时, 存储介质上无存储空间、备份介质未正确插入和安装; 执行打印时未连接打印机或未打开打印机电源; 用户输入数据时输入了与系统当前数据项不符的数据或未按要求输入等, 系统应给予必要的提示, 并引导用户正确操作。

3. 1. 3 增加必要的保护功能

在突然断电、死机等偶发事故发生时, 能自动保护好原有的数据文件, 防止数据破坏或丢失, 对重要数据系统可增加退出系统时的强行备份功能, 用户再次进入系统时自动把备份数据与机内数据比较对照, 及时发现数据文件的改变。

3. 1. 4 增加必要的检验功能

(1) 设计适应会计信息化账务处理的核算组织程序。任何由原始凭证人工编制的记账凭证都应进行严格的审核、复核。在网络系统中, 输入工作通常由多人共同分担,凭证数据的输入可以采用一组人员输入, 换人复核; 或者采用两组人员两次输入, 输入的数据分别存放在两个暂存文件中, 然后由计算机对两个数据文件中的记录逐条进行比较。对于存在差异的记录进行对照显示或打印, 便于找出错误, 进行修改。只有完全相同时, 系统才把录入的数据作为正式的凭证数据存储。未经校验的数据系统应作上标记, 不允许进入记账凭证文件。(2) 对输入系统的数据、代码等都要进行检验。如输入记账凭证时, 要经过日期合法性, 会计科目合法性, 凭证类合法性, 对应科目的合法性,金额借、贷平等校验。(3) 根据会计核算的要求和网络系统的特点, 系统应对输入的同类记账凭证、原始凭证自动按日或月分类顺序编号, 并且可对多个用户同时访问同一个数据文件时, 锁定和控制相关用户的操作, 避免多个用户同时操作易引起的凭证断号、重号和串号, 而且便于分清责任, 达到会计控制的目的。

3. 1. 5 增加必要的限制功能

(1) 对未记账的凭证, 一经修改, 必须进行复核, 只有正确之后系统才对修改结果予以确认; (2) 对已经记账的凭证, 系统不提供直接修改账目的功能。只能通过编制记账凭证, 对错误的凭证进行冲正或补充登记; 对修改过的凭证, 系统予以标识, 保留更改痕迹, 并可以打印输出以作核查依据; (3) 输出的财务报表, 其数据由系统自动按照用户定义的格式和数据来源的公式生成, 不提供对数据的修改功能; (4) 基础数据如科目库、代码库等的修改权限只授予系统维护员。

3. 2 建立必要的管理制度