解決會(huì)計(jì)信息安全問(wèn)題的對(duì)策分析

1、    解決會(huì)計(jì)信息安全問(wèn)題的對(duì)策分析    馬維芳郭天罡摘要：目前，我國(guó)對(duì)會(huì)計(jì)信息安全還沒(méi)有統(tǒng)一的定義。國(guó)際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。因此，會(huì)計(jì)信息的安全是指會(huì)計(jì)信息具有完整性、可用性、保密性和可靠性的狀態(tài)，它來(lái)自于會(huì)計(jì)數(shù)據(jù)的完整和會(huì)計(jì)數(shù)據(jù)的安全。如何保證會(huì)計(jì)信息的安全，將成為會(huì)計(jì)信息化發(fā)展的一個(gè)重要課題。關(guān)鍵詞：會(huì)計(jì)信息安全 影響 因素 對(duì)策0 引言隨著我國(guó)會(huì)計(jì)信息化工作的不斷推進(jìn)，會(huì)計(jì)信息化正逐步從簡(jiǎn)單的電算化應(yīng)用向深層次的網(wǎng)絡(luò)化應(yīng)用演變，由于互聯(lián)網(wǎng)技術(shù)的開(kāi)放性，使得網(wǎng)絡(luò)會(huì)計(jì)的發(fā)展必然會(huì)受到會(huì)計(jì)信息安全的制

2、約，國(guó)家信息化領(lǐng)導(dǎo)小組在第三次信息化會(huì)議中，也將信息安全作為重點(diǎn)問(wèn)題加以討論。會(huì)計(jì)信息系統(tǒng)的特點(diǎn)之一就是連續(xù)、系統(tǒng)、全面、綜合地對(duì)企業(yè)的經(jīng)濟(jì)業(yè)務(wù)進(jìn)行反映，這使得集計(jì)算機(jī)及通訊技術(shù)為一體的會(huì)計(jì)信息系統(tǒng)的安全顯得格外重要。因此，必須對(duì)系統(tǒng)的安全進(jìn)行分析研究，建立起必要的內(nèi)部、外部安全制度，以抵抗來(lái)自系統(tǒng)內(nèi)外的對(duì)系統(tǒng)硬件、軟件的各種干擾和破壞。只有嚴(yán)格的安全措施，才能保障會(huì)計(jì)信息系統(tǒng)實(shí)現(xiàn)連續(xù)而全面地進(jìn)行業(yè)務(wù)處理。1 會(huì)計(jì)信息安全的影響因素1.1 可靠硬件資源配備 可靠硬件資源配備，其重點(diǎn)在于配備。硬件要針對(duì)會(huì)計(jì)信息系統(tǒng)的特性來(lái)配備，會(huì)計(jì)信息系統(tǒng)有以下幾種特性：保密性、連續(xù)性、歷史性。從保密性的角度看

3、：在網(wǎng)絡(luò)上應(yīng)配置具有較強(qiáng)功能的防火墻設(shè)備。如添加專用防火墻服務(wù)器，給數(shù)據(jù)加密的專用設(shè)備或黑盒，具有加密算法和多數(shù)位加密的路由（routers）等。從連續(xù)性及歷史性的角度來(lái)看，應(yīng)有足夠的保證系統(tǒng)數(shù)據(jù)安全存儲(chǔ)的配置，如在服務(wù)器上配置雙硬盤作鏡像處理，在硬盤出故障時(shí)保證系統(tǒng)能充分的備份。當(dāng)系統(tǒng)數(shù)據(jù)一旦丟失時(shí)，便可即將其現(xiàn)行的及歷史的數(shù)據(jù)進(jìn)行恢復(fù)處理，恢復(fù)至遭破壞前的狀態(tài)。1.2 具有后繼支持的軟件 在這里著重探討應(yīng)用軟件，它包括會(huì)計(jì)信息管理軟件，防病毒軟件和附加在網(wǎng)絡(luò)設(shè)備的一些軟件（如網(wǎng)絡(luò)協(xié)議、壓縮、加密算法等）。對(duì)于會(huì)計(jì)軟件，其后繼支持主要在于具有升級(jí)能力和處理突發(fā)事件能力。這些能力當(dāng)然應(yīng)由軟件制

4、作者或系統(tǒng)管理者負(fù)責(zé)實(shí)現(xiàn)。由于操作平臺(tái)的更新，如dos更新成window平臺(tái)，單機(jī)系統(tǒng)更新成網(wǎng)絡(luò)系統(tǒng)，會(huì)計(jì)軟件勢(shì)必作相應(yīng)的升級(jí)，才能保證整個(gè)系統(tǒng)暢通運(yùn)行。另外系統(tǒng)中的數(shù)據(jù)遭病毒的破壞或遇上千年蟲(chóng)之類的問(wèn)題，也需靠軟件的后繼支持來(lái)解決。1.3 安全的運(yùn)行環(huán)境 環(huán)境的設(shè)計(jì)，應(yīng)建立在系統(tǒng)分析的基礎(chǔ)上。要明確系統(tǒng)內(nèi)外部界限、數(shù)據(jù)流經(jīng)的環(huán)節(jié)及出入口。安全的環(huán)境設(shè)計(jì)分為兩個(gè)部分。一部分為系統(tǒng)所處幾何空間的設(shè)計(jì)。第二部分為計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的設(shè)計(jì)。從布局上，考慮到會(huì)計(jì)信息系統(tǒng)應(yīng)相對(duì)獨(dú)立于機(jī)構(gòu)內(nèi)的其他系統(tǒng)，以減少數(shù)據(jù)泄露和病毒感染的機(jī)會(huì)，在局域網(wǎng)上，對(duì)于機(jī)構(gòu)內(nèi)的一些端口，也應(yīng)設(shè)置權(quán)限，什么情況下可改寫，什么情況下

5、不能改定應(yīng)有所控制。對(duì)于遠(yuǎn)程通訊或廣域網(wǎng)上，都必須設(shè)置可靠的加密關(guān)口和防火墻。對(duì)會(huì)計(jì)信息系統(tǒng)而言，數(shù)據(jù)在漫長(zhǎng)的線路上傳輸，確實(shí)是一件令人擔(dān)心的事。若鋪設(shè)一條專用的光纖，對(duì)安全而言當(dāng)然是較理想的，但其費(fèi)用實(shí)在太高，若廣泛使用，企業(yè)難以承受。1.4 具有良好素質(zhì)的員工 關(guān)于會(huì)計(jì)信息系統(tǒng)的安全問(wèn)題除了前面所提及的方面，工作人員的素質(zhì)是一個(gè)不容忽視的問(wèn)題。未經(jīng)有效的業(yè)務(wù)訓(xùn)練和不具備良好職業(yè)道德的員工本身，對(duì)系統(tǒng)的安全是一種威脅。無(wú)論系統(tǒng)有多完備的防護(hù)措施，也難以抵御其帶來(lái)的負(fù)面影響。眾所周知防火墻可以用來(lái)保護(hù)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)，對(duì)數(shù)據(jù)進(jìn)行加密可以保護(hù)信息免受無(wú)關(guān)人員竊取，數(shù)字簽名技術(shù)能確定收到的信件是否有人

6、偽造等等。對(duì)于外來(lái)攻擊者，他們可以通過(guò)各種各樣的方式與渠道，如文檔的存放、草稿的處置、甚至垃圾堆、碎紙機(jī)中的材料、閑談的內(nèi)容等等來(lái)得到他們想要的目標(biāo)信息，而不需要太高級(jí)的手法。若員工們?cè)谶@方面有所警惕，便可杜絕不少漏洞。2 解決會(huì)計(jì)信息安全的主要對(duì)策要解決企業(yè)會(huì)計(jì)信息化的安全問(wèn)題，應(yīng)在堅(jiān)持安全等級(jí)、成本效益、預(yù)防為主等原則的基礎(chǔ)上，重點(diǎn)放在預(yù)防和應(yīng)急處理兩個(gè)方面。2.1 預(yù)防 操作人員的定期培訓(xùn)，包括操作人員的職業(yè)道德教育和安全技能培訓(xùn)，影響會(huì)計(jì)信息安全的因素處于不斷變化的形勢(shì)下，會(huì)計(jì)信息的安全保障知識(shí)也需要不斷更新；制度建設(shè)，建立一套完善的會(huì)計(jì)信息安全管理制度是保障會(huì)計(jì)信息安全的基礎(chǔ)，會(huì)計(jì)信

7、息安全管理制度至少包括會(huì)計(jì)信息系統(tǒng)的開(kāi)發(fā)或選購(gòu)制度、會(huì)計(jì)信息系統(tǒng)的維護(hù)制度、計(jì)算機(jī)機(jī)房管理制度、會(huì)計(jì)數(shù)據(jù)訪問(wèn)權(quán)限設(shè)定、會(huì)計(jì)信息的備份制度、會(huì)計(jì)信息載體檔案管理制度、用戶權(quán)限授權(quán)管理制度、會(huì)計(jì)信息員的崗位責(zé)任制度、會(huì)計(jì)信息員的操作規(guī)程、會(huì)計(jì)信息安全日常評(píng)估制度、會(huì)計(jì)信息安全審計(jì)制度、應(yīng)急處理制度等；后備供電系統(tǒng)，為防止突然斷電所引起的數(shù)據(jù)丟失，應(yīng)配置后備供電系統(tǒng)，以保證數(shù)據(jù)的完整、安全；修補(bǔ)系統(tǒng)漏洞，操作系統(tǒng)本身存在的漏洞極容易引起黑客的攻擊，從而導(dǎo)致系統(tǒng)的崩潰和數(shù)據(jù)的丟失，因此要及時(shí)修補(bǔ)系統(tǒng)漏洞；鏡像技術(shù)，將數(shù)據(jù)原樣從一臺(tái)設(shè)備上復(fù)制到另一臺(tái)設(shè)備上，可以采用磁盤鏡像或磁盤雙聯(lián)，以保證會(huì)計(jì)數(shù)據(jù)的安

8、全；數(shù)據(jù)加密技術(shù)，通過(guò)數(shù)據(jù)加密技術(shù)，可以在一定程度上提高數(shù)據(jù)傳輸?shù)陌踩裕ＷC傳輸數(shù)據(jù)的完整性；數(shù)據(jù)備份，通常指數(shù)據(jù)保存一個(gè)相對(duì)較短的時(shí)間，主要目的是為了恢復(fù)由于某些原因損毀或丟失了的數(shù)據(jù)，在日常操作中，會(huì)計(jì)數(shù)據(jù)盡可能做到每天備份，或設(shè)置自動(dòng)備份；數(shù)據(jù)歸檔，通常指會(huì)計(jì)數(shù)據(jù)的永久性保存，應(yīng)該實(shí)行紙質(zhì)檔案和電子檔案同步保管的方式；構(gòu)筑防火墻，防火墻具有很好的保護(hù)作用，是保護(hù)企業(yè)網(wǎng)絡(luò)會(huì)計(jì)信息安全的主要機(jī)制，它能對(duì)流經(jīng)的網(wǎng)絡(luò)通信進(jìn)行掃描，過(guò)濾掉一些攻擊，在具體操作中，可以將防火墻配置成許多不同保護(hù)級(jí)別。2.2 應(yīng)急處理 會(huì)計(jì)信息系統(tǒng)在運(yùn)行時(shí)，總會(huì)遇到各種各樣的安全威脅，因此，當(dāng)系統(tǒng)信息受到損害時(shí)，如何及時(shí)、快速保障系統(tǒng)恢復(fù)運(yùn)行就顯得十分必要。會(huì)計(jì)信息系統(tǒng)災(zāi)難恢復(fù)計(jì)劃就是為了確保當(dāng)企業(yè)會(huì)計(jì)信息受到損害時(shí)可以進(jìn)行安全地恢復(fù)工作，其基本步驟包括：第一、制定災(zāi)難恢復(fù)計(jì)劃，其內(nèi)容至少包含風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、應(yīng)用程序優(yōu)先級(jí)別、恢復(fù)需求、結(jié)果記錄等；第二、數(shù)據(jù)備份的維護(hù)，數(shù)據(jù)備份不但包括會(huì)計(jì)數(shù)據(jù)的備份，還應(yīng)包括會(huì)計(jì)信息系統(tǒng)運(yùn)行環(huán)境參數(shù)的備份，日常數(shù)據(jù)備份是會(huì)計(jì)信息安全的保障，要將數(shù)據(jù)備份資料存放在安全的地方，當(dāng)會(huì)計(jì)數(shù)據(jù)發(fā)生毀損或丟失時(shí)，可以通過(guò)數(shù)據(jù)備份得到及時(shí)的恢復(fù)；第三、執(zhí)行災(zāi)難恢復(fù)計(jì)劃，當(dāng)會(huì)計(jì)信息系統(tǒng)發(fā)生災(zāi)難時(shí)，必須嚴(yán)格按照災(zāi)難恢復(fù)計(jì)劃操作，并對(duì)結(jié)果加以記錄，以期不斷修改和完善災(zāi)難