會計信息化管理中數(shù)據(jù)安全的風(fēng)險與防范

會計信息化管理中數(shù)據(jù)安全的風(fēng)險與防范［摘要］在會計信息化管理中，數(shù)據(jù)安全無疑是重中之重。本文結(jié)合當(dāng)前會計信息化管理工作中的各種現(xiàn)象，詳細(xì)分析了影響會計信息化管理中數(shù)據(jù)安全的因素，并提出了相應(yīng)的防范措施，具有較強(qiáng)的針對性和可操作性。［關(guān)鍵字］會計信息化數(shù)據(jù)安全風(fēng)險防范會計信息系統(tǒng)的安全是指系統(tǒng)保持正常穩(wěn)定運(yùn)行狀態(tài)的能力。會計電算化發(fā)展的必然趨勢是網(wǎng)絡(luò)會計，會計信息系統(tǒng)建立在網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上，并且成為電子商務(wù)的重要組成部分。在這種情況下，會計信息系統(tǒng)的安全風(fēng)險比以往大大提高。由于人為的或非人為的因素使得會計信息系統(tǒng)保護(hù)安全的能力減弱，從而造成系統(tǒng)的信息失真，企業(yè)資金財產(chǎn)損失，系統(tǒng)硬件、軟件無法正常運(yùn)行等結(jié)果的發(fā)生。本文將著重分析會計信息系統(tǒng)中數(shù)據(jù)安全的風(fēng)險及其防范對策。1信息系統(tǒng)中數(shù)據(jù)安全風(fēng)險概述數(shù)據(jù)安全是指防止信息系統(tǒng)中的數(shù)據(jù)被故意的或偶然的泄漏、破壞、更改，保證信息使用完整、有效、合法。數(shù)據(jù)安全的破壞主要表現(xiàn)在以下幾個方面：1.1數(shù)據(jù)可用性遭到破壞數(shù)據(jù)的可用性是指用戶的應(yīng)用程序能夠利用相應(yīng)的數(shù)據(jù)進(jìn)行正確的處理。計算機(jī)程序與數(shù)據(jù)文件之間都有約定的存放磁盤、文件夾、文件名的關(guān)系，如果將數(shù)據(jù)文件的名稱或路徑進(jìn)行了改變，對于它的處理程序來說，這個數(shù)據(jù)文件就變成了不可用，因為它不能找到要處理的文件。另一種情況是在數(shù)據(jù)文件中加入一些錯誤的或應(yīng)用程序不能識別的信息代碼，導(dǎo)致程序不能正常運(yùn)行或得到錯誤的結(jié)果。1.2對數(shù)據(jù)完整性的破壞數(shù)據(jù)的完整性包括信息數(shù)據(jù)的數(shù)量、正確與否、排列順序等幾個方面。任何一個方面遭破壞，均會破壞數(shù)據(jù)的完整性。數(shù)據(jù)完整性的破壞可能來自多個方面，人為因素，設(shè)備因素，自然因素及計算機(jī)病毒等。1.3對數(shù)據(jù)保密性的破壞對保密性的破壞一般包括非法訪問、信息泄漏、非法拷貝、盜竊以及非法監(jiān)視、監(jiān)聽等方面。非法訪問指盜用別人的口令或密碼等對超出自己權(quán)限的信息進(jìn)行訪問、查詢、瀏覽。信息泄漏包括人為泄漏和設(shè)備、通信線路的泄漏。2影響會計信息系統(tǒng)中數(shù)據(jù)安全的主要因素2.1操作人員的誤操作部分人員實際操作水平不高，所產(chǎn)生的誤刪除、誤格式化、誤更改，不正當(dāng)開、關(guān)機(jī)，使用U盤等存儲設(shè)備方法不當(dāng)，操作員或其他人員不按操作規(guī)程或非法操作系統(tǒng)，改變計算機(jī)系統(tǒng)的執(zhí)行路徑，從而破壞了數(shù)據(jù)的安全性，造成數(shù)據(jù)的丟失、損壞、數(shù)據(jù)不能正常調(diào)用。2.2安全意識淡薄，防范意識不強(qiáng)主要表現(xiàn)是：對會計系統(tǒng)專用計算機(jī)的舊設(shè)備處理不當(dāng)，如淘汰的舊機(jī)器、磁盤、硬盤等未進(jìn)行適當(dāng)?shù)募夹g(shù)處理隨意放置。不法分子從已廢棄的舊設(shè)備中，很容易找到重要的數(shù)據(jù)，甚至已刪除、已格式化的磁盤中也可輕而易舉的提取到重要的財務(wù)數(shù)據(jù)和商業(yè)信息，造成信息泄露。操作人員的短時間離開計算機(jī)時，不正常退出財會管理系統(tǒng)、不關(guān)機(jī)，沒有瀏覽防范措施，未經(jīng)授權(quán)的人員可輕易的操作系統(tǒng)，瀏覽、修改數(shù)據(jù)。操作人員通過電子郵件傳遞重要數(shù)據(jù)信息，如卡號、密碼，個別管理人員使用帶有重要財會數(shù)據(jù)的計算機(jī)上網(wǎng)聊天等，不知不覺之中給網(wǎng)絡(luò)黑客竊取信息提供了方便。2.3安全管理措施不完善，缺乏與會計信息化管理相適應(yīng)的監(jiān)督機(jī)制例如，操作人員可越權(quán)篡改程序和數(shù)據(jù)文件，通過對程序非法改動，導(dǎo)致會計數(shù)據(jù)的不真實、不可靠、不準(zhǔn)確或以此達(dá)到某種非法目的，如，轉(zhuǎn)移單位資金到指定的個人賬戶，竊取或篡改商業(yè)秘密、非法轉(zhuǎn)移電子資金和數(shù)據(jù)泄密等。系統(tǒng)的一般用戶或數(shù)據(jù)保管人員能夠輕易地把本企業(yè)會計信息通過磁盤、光盤或網(wǎng)絡(luò)等介質(zhì)透露給競爭對于。2.4數(shù)據(jù)庫管理系統(tǒng)的脆弱性我國的會計電算化軟件通常是以數(shù)據(jù)庫管理系統(tǒng)為基礎(chǔ)經(jīng)過二次開發(fā)完成的，一些重要的會計數(shù)據(jù)及資料均以數(shù)據(jù)庫文件的形式存放，存儲的數(shù)據(jù)易于修改、刪除和替代。此外，開發(fā)數(shù)據(jù)庫管理系統(tǒng)的基本出發(fā)點是為了共享數(shù)據(jù)，而這又帶來了訪問控制中的不安全因素，在對數(shù)據(jù)進(jìn)行訪問時一般采用的是密碼或身份驗證機(jī)制，這些很容易被盜竊、破譯或冒充。2.5存儲系統(tǒng)的脆弱性它的脆弱性表現(xiàn)在如下幾個方面：①硬盤既有動力裝置，又有電子電路及磁介質(zhì)，任何一部分出現(xiàn)故障均導(dǎo)致硬盤不能使用，丟失其內(nèi)大量的數(shù)據(jù)。②軟盤、U盤等移動存儲設(shè)備易損壞。它們的長期保存對環(huán)境要求高，保存不妥，便會發(fā)生霉變現(xiàn)象，導(dǎo)致數(shù)據(jù)不能讀出。光盤片極易遭到物理損傷（折迭、劃痕、破碎等），從而丟失其內(nèi)程序和數(shù)據(jù)。③各種存儲媒體的存儲量大，體積小，一旦被盜竊或損壞，損失巨大。④存儲在各媒體中的數(shù)據(jù)很容易被拷貝而不留任何痕跡。一臺遠(yuǎn)程終端上的用戶，可以通過計算機(jī)網(wǎng)絡(luò)連接到你的計算機(jī)上，利用一些技術(shù)手段，訪問到你系統(tǒng)中的數(shù)據(jù)，并進(jìn)行拷貝、刪除和破壞。2.6設(shè)備及通信線路的信息泄漏主要指電磁輻射泄漏、搭線偵聽、廢棄物（被認(rèn)為已損壞或被更新淘汰的設(shè)備）利用幾個方面。電磁輻射泄漏，主要是指計算機(jī)、通信線路及其設(shè)備在工作時所產(chǎn)生的電磁輻射，利用專門的接收設(shè)備就可以在一定的范圍內(nèi)接收到這些輻射信息，從而造成信息泄露。2.7病毒、黑客的攻擊伴隨著計算機(jī)網(wǎng)絡(luò)廣泛應(yīng)用，計算機(jī)病毒、流氓軟件泛濫，“網(wǎng)絡(luò)釣魚”、黑客攻擊事件頻頻發(fā)生，這都給會計信息系統(tǒng)的安全帶來了極大的危害。計算機(jī)病毒發(fā)作時，將搶占系統(tǒng)資源、干擾系統(tǒng)的運(yùn)行、嚴(yán)重影響計算機(jī)網(wǎng)絡(luò)的速度，并可直接破壞計算機(jī)內(nèi)的重要數(shù)據(jù)和系統(tǒng)的正常運(yùn)行。計算機(jī)黑客則是采取非法的手段進(jìn)行信息的截獲和竊取，甚至是非法入侵計算機(jī)系統(tǒng)，取得系統(tǒng)的使用權(quán)，對數(shù)據(jù)進(jìn)行惡意的刪除、修改和復(fù)制等。3防范會計信息化管理中數(shù)據(jù)安全風(fēng)險的對策和措施3.1在軟件功能上施加必要的控制措施3.1.1采用先進(jìn)的身份驗證技術(shù)。目前，最常用的是密碼，但隨著解密技術(shù)的發(fā)展和提高，密碼的安全性，尤其是數(shù)字、字母密碼，已經(jīng)很不安全，非常容易被破解，所以，密碼的安全性已經(jīng)受到嚴(yán)重挑戰(zhàn)。事實上，可以用漢字、字母、數(shù)字及其他任何的電腦可以識別的符號集合組成編碼，或者用特定的一句話組成的編碼作為密碼的標(biāo)志，就可使密碼破解異常困難。隨著圖形技術(shù)的發(fā)展，還可以考慮采用指紋、照片等任意的特殊圖形作為密鑰，或者用于寫體作為密鑰。操作人員身份的驗證應(yīng)貫穿網(wǎng)絡(luò)操作的全過程，包括數(shù)據(jù)的錄入、數(shù)據(jù)的修改、數(shù)據(jù)的保存、數(shù)據(jù)的發(fā)送、數(shù)據(jù)的傳輸、數(shù)據(jù)的接收、數(shù)據(jù)的調(diào)用、數(shù)據(jù)的查閱、數(shù)據(jù)的處理、數(shù)據(jù)的輸出等各種環(huán)節(jié)，每個過程都要有嚴(yán)格的身份識別，以確保操作人員合法。3.1.2提高軟件操作的友好性能。如軟件執(zhí)行備份時，存儲介質(zhì)上無存儲空間、備份介質(zhì)未正確插入和安裝;執(zhí)行打印時未連接打印機(jī)或未打開打印機(jī)電源；用戶輸入數(shù)據(jù)時輸入了與系統(tǒng)當(dāng)前數(shù)據(jù)項不符的數(shù)據(jù)或未按要求輸入等等，系統(tǒng)應(yīng)給予必要的提示，并引導(dǎo)用戶正確操作。3.1.3增加必要的保護(hù)功能。在突然斷電、死機(jī)等偶發(fā)事故發(fā)生時，能自動保護(hù)好原有的數(shù)據(jù)文件，防止數(shù)據(jù)破壞或丟失，對重要數(shù)據(jù)系統(tǒng)可增加退出系統(tǒng)時的強(qiáng)行備份功能，用戶再次進(jìn)人系統(tǒng)時自動把備份數(shù)據(jù)與機(jī)內(nèi)數(shù)據(jù)比較對照，及時發(fā)現(xiàn)數(shù)據(jù)文件的改變。3.1.4增加必要的檢驗功能。①設(shè)計適應(yīng)會計信息化帳務(wù)處理的核算組織程序。任何由原始憑證人工編制的記帳憑證都應(yīng)進(jìn)行嚴(yán)格的審核、復(fù)核。在網(wǎng)絡(luò)系統(tǒng)中，輸入工作通常由多人共同分擔(dān)，憑證數(shù)據(jù)的輸入可以采用一組人員輸入，換人復(fù)核;或者采用兩組人員兩次輸入，輸入的數(shù)據(jù)分別存放在兩個暫存文件中，然后由計算機(jī)對兩個數(shù)據(jù)文件中的記錄逐條進(jìn)行比較。對于存在差異的記錄進(jìn)行對照顯示或打印，便于找出錯誤，進(jìn)行修改。只有完全相同，系統(tǒng)才把錄入的數(shù)據(jù)作為正式的憑證數(shù)據(jù)存貯。未經(jīng)校驗的數(shù)據(jù)系統(tǒng)應(yīng)作上標(biāo)記，不允許進(jìn)入記帳憑證文件。②對輸入系統(tǒng)的數(shù)據(jù)、代碼等都要進(jìn)行檢驗。如：輸入記帳憑證時，要經(jīng)過日期合法性