會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)及其防范

會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)及其防范摘要：近年來，隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，會(huì)計(jì)信息系統(tǒng)的發(fā)展已經(jīng)離不開網(wǎng)絡(luò)的推動(dòng)作用。在網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)幫助企業(yè)實(shí)現(xiàn)財(cái)務(wù)與業(yè)務(wù)的協(xié)同運(yùn)作，報(bào)表、報(bào)賬、查賬、審計(jì)等遠(yuǎn)程處理，影響了財(cái)務(wù)信息的獲取途徑和利用方式。網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的普及，向人們提供了高質(zhì)量的信息服務(wù)。但不可否認(rèn)的是，因?yàn)榛ヂ?lián)網(wǎng)的開放性及系統(tǒng)本身的不穩(wěn)定性等特點(diǎn)，產(chǎn)生了許多安全隱患。論文在會(huì)計(jì)信息系統(tǒng)安全的理論基礎(chǔ)上，結(jié)合系統(tǒng)的基本情況以及在我國的發(fā)展過程，比較細(xì)致地分析了目前我國會(huì)計(jì)信息系統(tǒng)安全方面存在的問題，包括計(jì)算機(jī)病毒、黑客的攻擊，系統(tǒng)內(nèi)部數(shù)據(jù)信息泄露，內(nèi)部控制失去作用，系統(tǒng)操作風(fēng)險(xiǎn)等。在此基礎(chǔ)對會(huì)計(jì)信息系統(tǒng)出現(xiàn)的安全風(fēng)險(xiǎn)進(jìn)行成因分析，結(jié)合企業(yè)實(shí)例，從外部環(huán)境和內(nèi)部控制不力的角度分別說明情況。最后針對這些因素提出相應(yīng)的風(fēng)險(xiǎn)防控措施：一方面從外部加強(qiáng)硬件管理，同時(shí)防范病毒、黑客入侵；另一方面加強(qiáng)內(nèi)部控制，包括業(yè)務(wù)流程控制、權(quán)限等級控制以及系統(tǒng)操作人員控制等。關(guān)鍵詞：網(wǎng)絡(luò)；會(huì)計(jì)信息系統(tǒng)；會(huì)計(jì)信息系統(tǒng)安全；風(fēng)險(xiǎn)防范一、緒論（一）課題研究背景隨著科學(xué)技術(shù)的飛速進(jìn)步，互聯(lián)網(wǎng)的蓬勃發(fā)展，會(huì)計(jì)行業(yè)發(fā)生了顯著的變化，信息化是會(huì)計(jì)發(fā)展的必然趨勢。與傳統(tǒng)的會(huì)計(jì)系統(tǒng)相比，現(xiàn)代會(huì)計(jì)信息系統(tǒng)的優(yōu)勢十分明顯。雖然會(huì)計(jì)信息系統(tǒng)帶給企業(yè)許多的便利，但它也是一把雙刃劍。由于互聯(lián)網(wǎng)的開放性以及自身特性，會(huì)計(jì)信息系統(tǒng)正面臨著越來越大的安全風(fēng)險(xiǎn)，復(fù)雜的情況加大了處理問題的難度。信息系統(tǒng)安全受到了組織內(nèi)外的嚴(yán)重威脅，造成不可估量的損失。這些威脅一方面來自信息系統(tǒng)內(nèi)部，由人為操作、企業(yè)管理失當(dāng)?shù)仍蛟斐?；另一方面來自信息系統(tǒng)外部，主要包括計(jì)算機(jī)病毒感染和黑客非法入侵等。（二）課題研究意義安全風(fēng)險(xiǎn)的危害主要表現(xiàn)在降低了系統(tǒng)自我保護(hù)的能力，可能導(dǎo)致系統(tǒng)運(yùn)行受阻，從而造成重要信息失真、失竊，引起重大損失。所以，我們急需清醒意識到會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)，積極研究防范措施。會(huì)計(jì)工作正在信息技術(shù)的發(fā)展下發(fā)生著巨大的變革，會(huì)計(jì)信息化以及時(shí)性、高效性、準(zhǔn)確性等優(yōu)勢廣泛被政府、企業(yè)和非盈利組織的從業(yè)人員所接受，會(huì)計(jì)信息系統(tǒng)改變了會(huì)計(jì)信息的收集、存儲、加工、輸出等處理方式，對會(huì)計(jì)的發(fā)展產(chǎn)生了深遠(yuǎn)影響。與此同時(shí)，網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)正在對企業(yè)造成嚴(yán)重的危害。如何保護(hù)會(huì)計(jì)信息系統(tǒng)的安全性，較好地防范可能出現(xiàn)的風(fēng)險(xiǎn)，是本文探討的問題。（三）文獻(xiàn)綜述隨著我國目前"互聯(lián)網(wǎng)+";的新型發(fā)展模式，在互聯(lián)網(wǎng)推動(dòng)傳統(tǒng)經(jīng)濟(jì)模式轉(zhuǎn)變的大環(huán)境下，會(huì)計(jì)信息安全方面的研究受到越來越多人的重視。近年來，許多專家學(xué)者在著作中分享了相關(guān)的研究成果。下面通過對一些文獻(xiàn)資料的分析得出想要的信息，為本課題研究做鋪墊。楊周南(2004)認(rèn)為，在網(wǎng)絡(luò)發(fā)展迅速的大環(huán)境下，會(huì)計(jì)信息系統(tǒng)需要針對目標(biāo)客戶的特定要求來制定服務(wù)。建設(shè)現(xiàn)代化的會(huì)計(jì)信息系統(tǒng)一定要建立在滿足企業(yè)管理需要的基礎(chǔ)上，充分使用現(xiàn)代化技術(shù)對會(huì)計(jì)信息進(jìn)行充分處理。因此，我們必須對會(huì)計(jì)信息系統(tǒng)的安全問題有清醒認(rèn)識。方水明(2012)認(rèn)為，會(huì)計(jì)信息系統(tǒng)存在的風(fēng)險(xiǎn)包括：第一，會(huì)計(jì)流程變化引起錯(cuò)誤的連續(xù)性；第二，會(huì)計(jì)人員職能的變化以及信息數(shù)據(jù)的高度集中；第三，會(huì)計(jì)檔案保管過程中數(shù)據(jù)容易失真、失效；第四，未經(jīng)授權(quán)的應(yīng)用軟件操作；第五，應(yīng)用軟件系統(tǒng)缺乏鑒別能力；第六，意外因素例如火災(zāi)、水災(zāi)、地震等自然災(zāi)害，計(jì)算機(jī)硬件系統(tǒng)的故障，網(wǎng)絡(luò)黑客的攻擊，計(jì)算機(jī)病毒等。就會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的防范措施來探討，褚學(xué)軍(2010)認(rèn)為，做好防范策略首先要在軟件功能上安裝必要的防控設(shè)施，包括常規(guī)的殺毒軟件、隔離黑客的防火墻，并增加必要的限制功能。我們一定要堅(jiān)持使用正版的軟件，定時(shí)對計(jì)算機(jī)進(jìn)行安全檢查，備份磁盤的數(shù)據(jù)和軟件，要讀取硬盤數(shù)據(jù)應(yīng)處于寫保護(hù)狀態(tài)。其次要建立健全管理制度，實(shí)行分級授權(quán)管理，建立內(nèi)部牽制制度和系統(tǒng)運(yùn)行記錄控制。最后在硬件功能上施加必要的控制措施，一是硬件的配備，二是硬件設(shè)備控制管理。主要的研究內(nèi)容及方法本文章由五部分組成。第一部分，緒論。概述論文的研究目的、研究意義及課題相關(guān)文獻(xiàn)綜述，明確論文的主要研究內(nèi)容和研究思路。第二部分，會(huì)計(jì)信息系統(tǒng)安全的理論基礎(chǔ)。主要介紹會(huì)計(jì)信息系統(tǒng)的概念、特點(diǎn)和發(fā)展過程。然后簡要介紹會(huì)計(jì)信息系統(tǒng)安全有關(guān)知識，為如何防范安全風(fēng)險(xiǎn)提供基礎(chǔ)。第三部分，會(huì)計(jì)信息系統(tǒng)存在的安全風(fēng)險(xiǎn)。指出當(dāng)前網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的現(xiàn)狀，以及具體存在的安全風(fēng)險(xiǎn)。第四部分，會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)分析。結(jié)合恒信鞋材有限公司的實(shí)際案例對會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的成因進(jìn)行分析。從多個(gè)方面對風(fēng)險(xiǎn)成因進(jìn)行詳細(xì)的論述。第五部分，防控會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的對策建議。根據(jù)以上的分析和案例實(shí)證的結(jié)論，提出具有針對性的會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)防范建議。本文在研究方法上運(yùn)用了案例分析法，以恒信鞋材有限公司為例分析企業(yè)存在會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)及其形成的原因，并提出具有可操作性的會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)防范措施，研究完善風(fēng)險(xiǎn)防范的建議。二、會(huì)計(jì)信息系統(tǒng)安全的理論基礎(chǔ)（一）會(huì)計(jì)信息系統(tǒng)的理論基礎(chǔ)會(huì)計(jì)信息系統(tǒng)的基本概念會(huì)計(jì)信息可以如實(shí)反映出企業(yè)的生產(chǎn)經(jīng)營狀況，同時(shí)起到良好的監(jiān)督作用。會(huì)計(jì)信息系統(tǒng)是以計(jì)算機(jī)為主要對象，對會(huì)計(jì)數(shù)據(jù)進(jìn)行采集、存儲和處理，提供會(huì)計(jì)管理、分析與決策相關(guān)的會(huì)計(jì)信息的系統(tǒng)。它的實(shí)質(zhì)是將一個(gè)會(huì)計(jì)數(shù)據(jù)轉(zhuǎn)化為會(huì)計(jì)信息的系統(tǒng)，是企業(yè)管理信息系統(tǒng)的關(guān)鍵組成部分。會(huì)計(jì)信息系統(tǒng)通常由計(jì)算機(jī)硬件、計(jì)算機(jī)軟件、運(yùn)行規(guī)程和會(huì)計(jì)人員四部分組成。系統(tǒng)每天要處理成千上萬的數(shù)據(jù)，對準(zhǔn)確度的要求性很高，在數(shù)據(jù)處理、加工的過程均有明確的規(guī)定，保證了工作的效率。企業(yè)一般都有成熟的會(huì)計(jì)信息系統(tǒng)操作流程，比較常見的如下圖1-3所示。會(huì)計(jì)信息系統(tǒng)在我國的發(fā)展過程我國最早的會(huì)計(jì)信息系統(tǒng)出現(xiàn)在20世紀(jì)80年代。當(dāng)時(shí)一批企業(yè)結(jié)合實(shí)際需要自行開發(fā)研制了會(huì)計(jì)軟件，但因?yàn)榧夹g(shù)不成熟軟件存在很大的局限性。直到用友、金蝶等專業(yè)研發(fā)的公司成立，情況才有所改變。隨著時(shí)代的進(jìn)步，企業(yè)對會(huì)計(jì)軟件的需求日益增長，傳統(tǒng)財(cái)務(wù)軟件開始受到?jīng)_擊。因?yàn)樵趥鹘y(tǒng)會(huì)計(jì)信息系統(tǒng)里，信息是不流通的，只能在會(huì)計(jì)部門內(nèi)部使用。于是ERP這類集成化軟件開始在企業(yè)間興起，ERP環(huán)境下形成的會(huì)計(jì)信息系統(tǒng)不但能完成基本的業(yè)務(wù)，還能幫助企業(yè)合理配置資源、完善企業(yè)管理。（二）會(huì)計(jì)信息系統(tǒng)安全的理論基礎(chǔ)會(huì)計(jì)信息系統(tǒng)的安全指的是系統(tǒng)維持正常穩(wěn)定運(yùn)行狀態(tài)的能力。企業(yè)要想保持穩(wěn)定、具備足夠的競爭力，必須確保會(huì)計(jì)信息系統(tǒng)的安全。在互聯(lián)網(wǎng)高速發(fā)展的背景下，系統(tǒng)安全容易受到威脅。復(fù)雜多變的網(wǎng)絡(luò)環(huán)境造成了潛在的安全隱患，同時(shí)還增加了企業(yè)的管理難度。網(wǎng)絡(luò)環(huán)境每時(shí)每刻都在發(fā)生著變化。由于其開放性，迫使會(huì)計(jì)信息系統(tǒng)的管理范圍擴(kuò)大，加重管理負(fù)擔(dān)，降低了工作的效率。此外，系統(tǒng)數(shù)據(jù)操作的失誤會(huì)迅速擴(kuò)散，難以在短時(shí)間內(nèi)被發(fā)現(xiàn)，使會(huì)計(jì)信息失真。軟件質(zhì)量、會(huì)計(jì)人員的技術(shù)水平也會(huì)對系統(tǒng)安全造成影響。會(huì)計(jì)信息系統(tǒng)的安全應(yīng)該受到足夠的重視。三、會(huì)計(jì)信息系統(tǒng)存在的安全風(fēng)險(xiǎn)（一）會(huì)計(jì)信息系統(tǒng)的安全現(xiàn)狀系統(tǒng)在企業(yè)內(nèi)部呈獨(dú)立態(tài)勢，信息流通受阻電算化事業(yè)在我國的起步較晚，部分單位電算化僅被視為一種手工核算的替代方式。企業(yè)對建立成熟的電算化體系顯示存在認(rèn)知上的不足，這樣的情況使現(xiàn)有的會(huì)計(jì)信息不能被企業(yè)及時(shí)有效地利用。會(huì)計(jì)軟件存在局限性目前我國市場上充斥著相當(dāng)多數(shù)量的會(huì)計(jì)軟件，在質(zhì)量上卻令人擔(dān)憂。各大會(huì)計(jì)軟件開發(fā)公司為了突出自己的會(huì)計(jì)軟件開發(fā)模式和特點(diǎn)，導(dǎo)致大部分會(huì)計(jì)軟件數(shù)據(jù)保密性、安全性不過關(guān)和兼容性差等方面的問題，給企業(yè)財(cái)務(wù)數(shù)據(jù)的保存和備份都造成了極大的安全隱患。不同財(cái)務(wù)軟件的數(shù)據(jù)接口、使用方法還可能存在差異，給報(bào)表匯總、數(shù)據(jù)查詢、數(shù)據(jù)傳輸帶來了困難。缺少復(fù)合型會(huì)計(jì)人才許多會(huì)計(jì)人員工作經(jīng)驗(yàn)豐富，但上機(jī)操作能力薄弱，處理問題的能力也有限。當(dāng)會(huì)計(jì)信息系統(tǒng)出現(xiàn)異常情況或者需要維護(hù)時(shí)，會(huì)計(jì)人員往往沒有良好的應(yīng)對辦法。除了掌握扎實(shí)的計(jì)算機(jī)知識，當(dāng)代復(fù)合型會(huì)計(jì)人才還應(yīng)當(dāng)具備學(xué)習(xí)及創(chuàng)新能力、職業(yè)判斷能力和風(fēng)險(xiǎn)防范意識。相關(guān)法律法規(guī)不完善近年來，財(cái)政部頒布了《會(huì)計(jì)電算化管理辦法》等規(guī)章制度，以及有關(guān)會(huì)計(jì)軟件開發(fā)、管理的相關(guān)規(guī)定，這些都在很大程度上促進(jìn)了會(huì)計(jì)信息系統(tǒng)的健康發(fā)展。但是在系統(tǒng)建設(shè)和風(fēng)險(xiǎn)防范上，相關(guān)法規(guī)依然存在滯后性。(二)會(huì)計(jì)信息系統(tǒng)存在的安全風(fēng)險(xiǎn)互聯(lián)網(wǎng)在方便了企業(yè)的同時(shí)，其開放性也為會(huì)計(jì)信息系統(tǒng)埋下了隱患。系統(tǒng)面臨的風(fēng)險(xiǎn)主要有以下幾種。系統(tǒng)可能感染計(jì)算機(jī)病毒據(jù)不完全統(tǒng)計(jì)，全球范圍內(nèi)的計(jì)算機(jī)病毒種類總數(shù)在三萬種以上，而且這個(gè)數(shù)字還在以每月大約五百種的速度迅速增加。病毒由于自身傳播快、范圍廣、破壞大的特點(diǎn)，嚴(yán)重威害到信息安全。系統(tǒng)可能遭受網(wǎng)絡(luò)黑客攻擊來自國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)的數(shù)據(jù)顯示，中國遭受境內(nèi)外網(wǎng)絡(luò)黑客攻擊的情況日趨嚴(yán)重。經(jīng)抽樣監(jiān)測發(fā)現(xiàn)，2013年1月1日至2月28日不足60天的時(shí)間里，6747臺木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制了中國境內(nèi)190萬余臺主機(jī)；其中位于美國的2194臺控制服務(wù)器控制了中國境內(nèi)128.7萬臺主機(jī)，境外黑客已經(jīng)對我國的信息安全構(gòu)成了巨大的威脅。系統(tǒng)信息數(shù)據(jù)可能被竊取網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)依托的是TCP/IP協(xié)議,由于其開放性，運(yùn)行過程中的任何信息都存在被盜的風(fēng)險(xiǎn)。利用不正當(dāng)手段，非法人員甚至可以在對信息內(nèi)容一無所知的情況下推理出有用的信息。在如今的信息化社會(huì)中，財(cái)務(wù)信息在企業(yè)運(yùn)營過程中占有舉足輕重的地位，決定了企業(yè)與競爭對手角逐的成敗?；ヂ?lián)網(wǎng)讓信息的獲得、利用和傳播更加便利，同時(shí)也將企業(yè)的信息曝露在了風(fēng)險(xiǎn)中，企業(yè)的財(cái)務(wù)信息甚至其核心商業(yè)機(jī)密都存在著泄漏的安全隱患。系統(tǒng)可能無法正常運(yùn)行網(wǎng)絡(luò)會(huì)計(jì)的工作對自動(dòng)數(shù)據(jù)處理功能的要求很高。它的特點(diǎn)是集中性，系統(tǒng)運(yùn)行中的任何失誤都會(huì)產(chǎn)生不可估量的后果。無論是難以避免的自然災(zāi)害，還是人為對系統(tǒng)的故意破壞，都會(huì)影響到系統(tǒng)軟件和硬件的正常工作，嚴(yán)重的可能導(dǎo)致系統(tǒng)癱瘓，帶來許多不便。系統(tǒng)可能存在操作上的風(fēng)險(xiǎn)現(xiàn)在的企業(yè)普遍缺少高素質(zhì)網(wǎng)絡(luò)會(huì)計(jì)人才，若財(cái)會(huì)人員在系統(tǒng)操作中存在失誤，又不能及時(shí)發(fā)現(xiàn)問題并處理問題，一個(gè)看似不起眼的錯(cuò)誤將會(huì)造成連鎖反應(yīng)，嚴(yán)重影響了會(huì)計(jì)信息系統(tǒng)的工作效率。同時(shí)系統(tǒng)操作人員的安全防范意識也很薄弱，對從互聯(lián)網(wǎng)上下載的信息、數(shù)據(jù)來源在沒有確保安全的情況下隨意使用，這也給會(huì)計(jì)信息系統(tǒng)埋下了安全隱患。企業(yè)要想進(jìn)行全方位、深層次的會(huì)計(jì)信息化,必須立足于培養(yǎng)熟練運(yùn)用計(jì)算機(jī)的高素質(zhì)會(huì)計(jì)人才。四、會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)成因分析（一）會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)實(shí)例恒信鞋材有限公司情況概述恒信鞋材有限公司是南通市一家經(jīng)營鞋材的企業(yè)，2008年成立開始就引入了會(huì)計(jì)電算化核算，同時(shí)根據(jù)實(shí)際需要保留手工賬。經(jīng)過幾年的運(yùn)營，公司徹底告別了手工賬，實(shí)行會(huì)計(jì)電算化工作。公司內(nèi)部建立了局域網(wǎng)，使用會(huì)計(jì)軟件進(jìn)行賬務(wù)處理程序，并將軟件運(yùn)用于工資系統(tǒng)的管理等方面，取得較好的成效。2013年以后，隨著公司規(guī)模的擴(kuò)大，公司財(cái)務(wù)部門對會(huì)計(jì)信息系統(tǒng)進(jìn)行了升級。在原有系統(tǒng)的基礎(chǔ)上，對外接入互聯(lián)網(wǎng)中，實(shí)現(xiàn)了會(huì)計(jì)記賬、查賬、審計(jì)等項(xiàng)目的遠(yuǎn)程處理。在這樣的情況下，恒信鞋材有限公司的會(huì)計(jì)信息系統(tǒng)出現(xiàn)了一些風(fēng)險(xiǎn)問題，比較明顯的有受到黑客攻擊、財(cái)務(wù)信息泄露和系統(tǒng)無法正常運(yùn)作。（二）會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)成因分析以恒信鞋材有限公司為例系統(tǒng)平臺的不安全性（1）計(jì)算機(jī)硬件系統(tǒng)的不安全性通過對恒信鞋材有限公司的實(shí)地調(diào)查發(fā)現(xiàn)，公司的機(jī)房缺乏有效管理，也沒有保潔人員定期打掃，計(jì)算機(jī)硬件系統(tǒng)存在安全隱患。計(jì)算機(jī)硬件是指構(gòu)成計(jì)算機(jī)的各種物理設(shè)備，包含計(jì)算機(jī)的主機(jī)和外部設(shè)備兩部分。計(jì)算機(jī)的硬件系統(tǒng)由五個(gè)部分組成，分別是輸入設(shè)備、輸出設(shè)備、存儲器、運(yùn)算器和控制器。硬件系統(tǒng)故障是導(dǎo)致網(wǎng)絡(luò)會(huì)計(jì)信息硬件系統(tǒng)不安全的直接原因。一旦設(shè)備出現(xiàn)問題，比較輕的情況是系統(tǒng)反應(yīng)遲鈍、中斷系統(tǒng)工作，嚴(yán)重的話整個(gè)會(huì)計(jì)信息系統(tǒng)會(huì)因此癱瘓，造成不可估量的損失。震動(dòng)、靜電、灰塵、潮氣、高溫等因素都會(huì)造成硬件系統(tǒng)的不安全性。計(jì)算機(jī)軟件系統(tǒng)的不安全性計(jì)算機(jī)軟件一般分成系統(tǒng)軟件和應(yīng)用軟件兩大類。系統(tǒng)軟件指的就是各類操作系統(tǒng)，例如WindowsXP/7/8/9,Linux，蘋果系統(tǒng)；應(yīng)用軟件是用于解決各種針對性很強(qiáng)的實(shí)際問題的程序，例如office、各種殺毒軟件等。恒信鞋材有限公司的電腦使用的是Microsoft的XP系統(tǒng)，這款較為老舊的操作系統(tǒng)存在著許多安全漏洞。此外，公司未能及時(shí)對使用的用友會(huì)計(jì)軟件進(jìn)行升級，安裝新的安全補(bǔ)丁，這給了黑客趁虛而入的機(jī)會(huì)，對企業(yè)造成潛在的危害。網(wǎng)絡(luò)環(huán)境的不安全性恒信鞋材有限公司網(wǎng)絡(luò)環(huán)境的不安全性主要體現(xiàn)在了計(jì)算機(jī)病毒和網(wǎng)絡(luò)黑客攻擊兩個(gè)方面，上文中已提及了二者的巨大危害。計(jì)算機(jī)病毒在1994年頒布的《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中的定義是：編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠進(jìn)行自我復(fù)制的一組計(jì)算機(jī)指令或代碼。計(jì)算機(jī)病毒并非醫(yī)學(xué)原理里面解釋的'病毒";，它是后天生成的。它可以潛伏在計(jì)算機(jī)的程序中，滿足一定的條件就能夠被激活，通過修改、拷貝等方式進(jìn)入并感染其他程序，破壞計(jì)算機(jī)內(nèi)部資源，對用戶造成很大的危害。網(wǎng)絡(luò)黑客的攻擊方式有兩種，分別是非破壞性攻擊和破壞性攻擊。前者的目的是為了擾亂系統(tǒng)正常運(yùn)作；后者則是通過入侵目標(biāo)系統(tǒng)盜取所需要的保密信息和資料，破壞系統(tǒng)數(shù)據(jù)。黑客的主要攻擊手段包括后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽、密碼破解等。系統(tǒng)內(nèi)部管理制度的不安全性企業(yè)利用會(huì)計(jì)信息系統(tǒng)替代了傳統(tǒng)意義的手工核算，大大減輕了從業(yè)人員的負(fù)擔(dān)。與此同時(shí)，企業(yè)管理者在思想觀念上未能及時(shí)轉(zhuǎn)變，嚴(yán)謹(jǐn)、科學(xué)的管理往往只能停留在表面。內(nèi)部控制作為企業(yè)管理的一項(xiàng)關(guān)鍵工作，在很大程度上取決于管理人員的意志。在開放式的網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)能夠歸納合并若干個(gè)工作項(xiàng)目，在此過程中會(huì)計(jì)信息系統(tǒng)容易產(chǎn)生安全隱患。在系統(tǒng)內(nèi)部分工不明確，而會(huì)計(jì)崗位之間又不能形成相互監(jiān)督的背景下，會(huì)計(jì)信息系統(tǒng)的管理人員可能會(huì)濫用職權(quán)，蓄意徇私舞弊。一旦出現(xiàn)這樣的問題，內(nèi)部控制就不能按部就班地進(jìn)行下去。系統(tǒng)操作人員職業(yè)素質(zhì)的不安全性會(huì)計(jì)人員在操作過程中存在著計(jì)算機(jī)知識薄弱造成的錯(cuò)誤，同時(shí)也不排除為了達(dá)到不正當(dāng)目的進(jìn)行非法操作的可能性。一些缺乏職業(yè)道德的會(huì)計(jì)人員通過修改程序數(shù)據(jù)、越級操作等方式侵入會(huì)計(jì)信息系統(tǒng)，對會(huì)計(jì)信息進(jìn)行篡改、泄密和破壞，以此獲取私利。近年來企業(yè)會(huì)計(jì)泄密的案例層出不窮，低素質(zhì)的操作人員已成為構(gòu)成會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的重要因素。五、防控會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的對策建議這部分主要從外部控制和內(nèi)部控制兩個(gè)角度提出一些會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)防控的對策建議。(一)外部控制硬件控制為了防范來自會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)，必須要結(jié)合企業(yè)自身特點(diǎn)，設(shè)計(jì)適合企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)，選擇優(yōu)質(zhì)的硬件。企業(yè)應(yīng)規(guī)范硬件操作的流程并注意硬件的維護(hù)：計(jì)算機(jī)啟動(dòng)時(shí)，要先打開顯示器再打開主機(jī)，關(guān)閉計(jì)算機(jī)時(shí)應(yīng)先關(guān)閉主機(jī)再關(guān)閉顯示器；計(jì)算機(jī)主機(jī)的安放應(yīng)保持平穩(wěn)，不得頻繁移動(dòng)；不要在計(jì)算機(jī)工作的時(shí)候拔插外部設(shè)備；定期對計(jì)算機(jī)進(jìn)行除塵，過多的灰塵會(huì)對電路工作造成影響，從而出現(xiàn)故障；定期檢查計(jì)算機(jī)的端口和接線處，防止松動(dòng)，如有異物要及時(shí)清理，以免影響計(jì)算機(jī)正常工作。在做好日常硬件控制的前提下，也要做好硬件系統(tǒng)遭遇突發(fā)事故時(shí)的應(yīng)急措施。如果設(shè)備突然斷電或者停止工作，系統(tǒng)應(yīng)該有數(shù)據(jù)備份還原的功能。后備電源也是硬件系統(tǒng)必需的，在長時(shí)間斷電的情況下后備電源可以維持系統(tǒng)暫時(shí)性的正常運(yùn)作，已解燃眉之急。同時(shí)，因?yàn)橄到y(tǒng)操作人員的分工職責(zé)不同，所使用的硬件設(shè)備也有所不同。操作人員應(yīng)按照規(guī)定管理好自己使用的硬件設(shè)備，未經(jīng)上級管理人員許可不得使用他人的設(shè)備，以免出現(xiàn)問題。計(jì)算機(jī)病毒預(yù)防措施使用正版的軟件，堅(jiān)決抵制盜版；不瀏覽安全性沒有保障的網(wǎng)站；關(guān)閉多余端口，使電腦處于合理使用范圍之內(nèi)；經(jīng)常查殺計(jì)算機(jī)內(nèi)的病毒和木馬，確保系統(tǒng)安全。網(wǎng)絡(luò)黑客攻擊預(yù)防措施設(shè)置防火墻，過濾不安全的服務(wù)。防火墻能對進(jìn)出的所有信息做出有效的辨別，這樣很容易將黑客拒之門外。對重要信息進(jìn)行加密。上傳重要的信息資料之前，對其加密能有效預(yù)防黑客攻擊。雖然加密過程視具體情況可能會(huì)很復(fù)雜，需要適當(dāng)改變當(dāng)前的網(wǎng)絡(luò)環(huán)境，但提升了信息的安全性。加大網(wǎng)絡(luò)設(shè)備的管理力度，其中路由器占比較重要的位置。企業(yè)可以通過路由器來限制網(wǎng)絡(luò)外部的非法訪問，這一點(diǎn)與防火墻類似。不過與防火墻相比路由器還存在著-些漏洞，識別上容易出現(xiàn)偏差，這就需要相關(guān)人員加強(qiáng)管理，規(guī)避風(fēng)險(xiǎn)。會(huì)計(jì)信息管理控制企業(yè)一定要養(yǎng)成經(jīng)常備份會(huì)計(jì)信息的習(xí)慣，以免意外發(fā)生。此外還應(yīng)該做好異地保管工作，保證信息的安全完整。(二)內(nèi)部控制財(cái)政部于2001年6月22日出臺《內(nèi)部會(huì)計(jì)控制規(guī)范基本規(guī)范(試行)》和《內(nèi)部會(huì)計(jì)控制規(guī)范貨幣資金(試行)》，作為《會(huì)計(jì)法》的配套規(guī)章，對內(nèi)部控制做出具體指導(dǎo)。在會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)中，有很大一部分來自于內(nèi)部控制的缺失。企業(yè)必須把建設(shè)內(nèi)部控制制度放在企業(yè)戰(zhàn)略的突出位置完善與之對應(yīng)的具體措施。業(yè)務(wù)流程控制會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的很多方面表現(xiàn)在業(yè)務(wù)層面，我們可以通過畫出大概的業(yè)務(wù)流程圖來分析每一個(gè)具體的環(huán)節(jié)。顯示問題最多的環(huán)節(jié)即需要著重進(jìn)行內(nèi)部控制的對象；問題較少的業(yè)務(wù)環(huán)節(jié)可以進(jìn)行宏觀上的控制，不必面面俱到。業(yè)務(wù)流程控制使得企業(yè)在管理上突出中心、點(diǎn)面結(jié)合，具有科學(xué)性，同時(shí)提高了管理效率，發(fā)揮出最佳的控制效果。會(huì)計(jì)核算控制核算是會(huì)計(jì)的基本職能，會(huì)計(jì)核算控制是會(huì)計(jì)信息系統(tǒng)內(nèi)部控制不可缺少的一環(huán)。電算化環(huán)境下企業(yè)必須嚴(yán)格遵守賬務(wù)處理程序，按照規(guī)定進(jìn)行復(fù)核，保證數(shù)據(jù)的準(zhǔn)確性、真實(shí)性、完整性。同時(shí)企業(yè)應(yīng)該認(rèn)真做好會(huì)計(jì)數(shù)據(jù)備份工作，方便核查。從會(huì)計(jì)核算開始，維持整個(gè)系統(tǒng)正常運(yùn)轉(zhuǎn)。會(huì)計(jì)核算控制必須引起企業(yè)的足夠重視。系統(tǒng)開發(fā)、建立和維護(hù)控制系統(tǒng)開發(fā)控制具體包括：系統(tǒng)開發(fā)前分析該項(xiàng)目是否可行、是否存在技術(shù)上的困難；收集開發(fā)需要的相關(guān)信息資料；開發(fā)過程的人員調(diào)整分配。系統(tǒng)建立控制包括：資源的合理配置；對系統(tǒng)內(nèi)下載的軟件進(jìn)行全面檢查，修補(bǔ)軟件的安全漏洞等。系統(tǒng)的維護(hù)控制主要包括日常對系統(tǒng)硬軟件進(jìn)行的安裝、更新、備份等方面的工作，目的在于保障系統(tǒng)正常運(yùn)行。系統(tǒng)維護(hù)控制就是針對這些工作而實(shí)施的控制。崗位權(quán)限控制會(huì)計(jì)信息系統(tǒng)應(yīng)建立嚴(yán)格的等級控制制度。企業(yè)會(huì)計(jì)人員的崗位不同，責(zé)任不同，所對應(yīng)的系統(tǒng)操作權(quán)限也不相同。企業(yè)應(yīng)針對不同會(huì)計(jì)人員設(shè)置不同的進(jìn)入系統(tǒng)時(shí)的用戶名和密碼，以防越級操作。各會(huì)計(jì)人員應(yīng)明確責(zé)任，堅(jiān)守好自己的崗位，同時(shí)做好監(jiān)督工作。企業(yè)需要加強(qiáng)管理，這樣才能有效防范風(fēng)險(xiǎn)。不相容崗位控制不相容崗位是指由同一個(gè)人擔(dān)任，在發(fā)生錯(cuò)誤、舞弊行為的情況下可能進(jìn)行掩蓋的崗位。最典型的就是會(huì)計(jì)不能同時(shí)擔(dān)任出納。企業(yè)必須合理設(shè)置有關(guān)會(huì)計(jì)的工作崗位，確保每一項(xiàng)業(yè)務(wù)經(jīng)過至少兩人的處理，形成相互制衡。提高會(huì)計(jì)人員綜合素質(zhì)企業(yè)在會(huì)計(jì)信息系統(tǒng)方面制定的內(nèi)部控制措施，歸根到底面向的群體是會(huì)計(jì)人員。如果企業(yè)的會(huì)計(jì)團(tuán)隊(duì)沒有良好的專業(yè)素養(yǎng)和執(zhí)行力，所有的措施都只能成為一紙空談。專業(yè)化程度不斷提高的會(huì)計(jì)信息系統(tǒng)對會(huì)計(jì)人員的素質(zhì)也提出了嶄新的要求。會(huì)計(jì)人員在具備扎實(shí)的專業(yè)知識的同時(shí)，還要精通計(jì)算機(jī)的操作。企業(yè)可以通過定期組織會(huì)計(jì)人員培訓(xùn)、考核的方式來提高他們的業(yè)務(wù)水平。此外，企業(yè)會(huì)計(jì)人員在面臨外界的誘惑時(shí)能否保持清醒，堅(jiān)守自己的職業(yè)道德與企業(yè)會(huì)計(jì)信息系統(tǒng)安全與否息息相關(guān)。企業(yè)也應(yīng)該加強(qiáng)從業(yè)人員的道德教育，通過開展研討會(huì)、演講比賽等方式使職工受到教育和鼓舞。參考文獻(xiàn)【1】鄭慶良，楊瑩.網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)及其防范.財(cái)會(huì)通訊，2006(12):66-67【2】潘靖.網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)及防范措施.財(cái)會(huì)研究，2008(2):48-49【3】張建宗，高伯文，張茵網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)及防范措施.中國鄉(xiāng)鎮(zhèn)企業(yè)會(huì)計(jì)，2009(5):145-146【4】張翔.電子商務(wù)環(huán)境下會(huì)計(jì)信息系統(tǒng)安全研究.計(jì)算機(jī)安全，2006(12):37-40【5】王洪菲，李相林.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)安全研究.中國管理信息化，2015(8):14-15【6】劉潤龍.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)安全研究.中國商貿(mào)，2015(8):152-154【7】羅紅.網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全問題研究.財(cái)會(huì)通訊，2011(7):33-35朱海英.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)及對策.現(xiàn)代經(jīng)濟(jì)信息，2010(14):74-75梁星，王風(fēng)華.計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)及其防范.財(cái)會(huì)通訊，2008(3):90-91徐玄玄.會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)安全風(fēng)險(xiǎn)與防范.企業(yè)導(dǎo)報(bào)，2012(14):154-154焦燕.信息化條件下會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)防范探討.時(shí)代金融旬刊，2012(3):12-12紀(jì)緒財(cái)，褚學(xué)軍.提高網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全防范策略.經(jīng)濟(jì)師，2010(9):150-151張繼德，劉盼盼.會(huì)計(jì)信息系統(tǒng)安全性現(xiàn)狀及應(yīng)對策略探討.中國管理信