我国会计电算化发展的时间不长,会计信息系统的发展主要着眼于如何实现手工算到电算的过程。在实践中,90年代以前会计电算化主要是以单机为主,90年代以来,特别是近几年局域网、广域网、internet的发展,集各种网络数据通讯、多种计算机系统及不同数据处理为一体的网络环境下的会计信息系统是大势所趋。如今的会计信息系统不仅本身的功能在不断地发展,正从单一的会计核算型,迈向管理型、决策型及智能型等综合化、集成化,还加强了企业内部部门间的数据交换及与企业外部相关部门的联系交换。在这样一个开放共享体系中,任何对新条件下的会计信息系统实施有效的防范措施,都是会计信息系统赖以发展的必要条件。
会计信息系统的特点之一就是连续、系统、全面、综合地对企业的经济业务进行反映,这使得集计算机及通讯技术为一体的会计信息系统的安全显得格外重要。因此,必须对系统的安全进行分析研究,建立起必要的内部、外部安全制度,以抵抗来自系统内外的对系统硬件、软件的各种干扰和破坏。只有严格的安全措施,才能保障会计信息系统实现连续而全面地进行业务处理。
限于篇幅在此不作安全系统实现的讨论,仅就系统的安全需求进行分析,这是安全系统实现不可缺少的一个环节。根据会计信息系统的特点,对其安全可分为五方面来讨论,即可靠的硬件资源配备、具有后继支持的软件、周密的运行环境设计、具有良好素质的员工以及完善的管理机制等。
一、 可靠硬件资源配备
可靠硬件资源配备,其重点在于配备。WwW.11665.COM对于硬件资源,保证质量的前提下,按性能价格比进行选择。并不是要求价格越高越好,功能越多越好,因为有些功能在系统中用不上,有了也没用。
硬件要针对会计信息系统的特性来配备,会计信息系统有以下几种特性:保密性、连续性、历史性。从保密性的角度看:在网络上应配置具有较强功能的防火墙设备。如添加专用防火墙服务器,给数据加密的专用设备或黑盒,具有加密算法和多数位加密的路由(routers)等。从连续性及历史性的角度来看,应有足够的保证系统数据安全存储的配置,如在服务器上配置双硬盘作镜像处理,在硬盘出故障时保证系统能充分的备份。当系统数据一旦丢失时,便可即将其现行的及历史的数据进行恢复处理,恢复至遭破坏前的状态。
二、 具有后继支持的软件
在这里着重探讨应用软件,它包括会计信息管理软件,防病毒软件和附加在网络设备的一些软件(如网络协议、压缩、加密算法等)。
对于会计软件,其后继支持主要在于具有升级能力和处理突发事件能力。这些能力当然应由软件制作者或系统管理者负责实现。由于操作平台的更新,如dos更新成window平台,单机系统更新成网络系统,会计软件势必作相应的升级,才能保证整个系统畅通运行。另外系统中的数据遭病毒的破坏或遇上千年虫之类的问题,也需靠软件的后继支持来解决。
对防病毒软件,俗话说“道高一尺,魔高一丈”。一般来讲,总是有某种病毒后,才产生消除该病毒的软件。因此在系统中,应不断地升级防病毒软件或采用新的防病毒软件来御防病毒的侵害。升级或采用新的软件便是防病毒的后续支持。
至于附属在网络设备上的软件,所需的后继支持,在于能满足不断完善的网络系统和数据压缩,加密算法的改动或更新。例如:各种路由所适应的网络协议或隧道协议。因为在创建安全隧道方面,存在着众多的遂道协议,如:ipsec,pptp以及l2tp等,然而并非所有的产品都能够支持这些协议。另外,某些针对这些协议的标准仍在制定过程中。其中带宽也在不断地调整加宽。因此,当你选择某些产品时,一定得向供应商索取后续支持的承诺。压缩加密算法的改动,更新更是不可避免。一般来说,有加密,就有解密。世界各地的黑客的存在就说明了这个问题。例如:各种控制符加上大小写的字母,共有95个字符,若此95个字符组成的密码,在p ii的机器上只需运行一天便可解开。因此,要想我们的系统安全,不仅要尽量加长密码而且还要经常更新。
三、 安全的运行环境
环境的设计,应建立在系统分析的基础上。要明确系统内外部界限、数据流经的环节及出入口。安全的环境设计分为两个部分。一部分为系统所处几何空间的设计。如:某人办公桌的位置安排,在哪设置防盗门,在机房设置缓冲间等。第二部分为计算机网络环境的设计。如:保密隧道、操作权限、系统监控。
从布局上,考虑到会计信息系统应相对独立于机构内的其他系统,以减少数据泄露和病毒感染的机会,在局域网上,对于机构内的一些端口,也应设置权限,什么情况下可改写,什么情况下不能改定应有所控制。对于远程通讯或广域网上,都必须设置可靠的加密关口和防火墙。对会计信息系统而言,数据在漫长的线路上传输,确实是一件令人担心的事。若铺设一条专用的光纤,对安全而言当然是较理想的,但其费用实在太高,若广泛使用,企业难以承受。
四、具有良好素质的员工
关于会计信息系统的安全问题除了前面所提及的方面,工作人员的素质是一个不容忽视的问题。未经有效的业务训练和不具备良好职业道德的员工本身,对系统的安全是一种威胁。无论系统有多完备的防护措施,也难以抵御其带来的负面影响。
众所周知防火墙可以用来保护机构内部网络,对数据进行加密可以保护信息免受无关人员窃取,数字签名技术能确定收到的信件是否有人伪造等等。是不是有了这些安全技术或措施,我们的系统就安全了呢?许许多多的案例已经作了否定的回答。对于外来攻击者,他们可以通过各种各样的方式与渠道,如文档的存放、草稿的处置、甚至垃圾堆、碎纸机中的材料、闲谈的内容等等来得到他们想要的目标信息,而不需要太高级的手法。若员工们在这方面有所警惕,便可杜绝不少漏洞。
许多系统被攻破是因为它们过分依赖用户创建的口令,由于不便于记忆,人们通常不会选择保密性很强的口令,如用某些名词的英文单词或拼音字母头、用诸如生日等日期作为口令,当这个口令被用作加密系统的密钥时,比起随机生成的密钥,它们更易于被破解。另外,出于某些原因,有的员工会把自己的口令告诉同事;不仔细检查收到邮件的电子证书;安装系统软件时,贪图方便不改变软件的缺省安装值(尤其是windows 9x/nt 用户)等都存在很多的安全隐患。
这表明了,看一个系统是否安全,我们不应该只看它采用了多么先进的设施,更应该注意员工日常工作行为的规范。观察近几年在internet上发生的攻击,可以看出这样的威胁依然存在。所以说我们的员工不管是普通财会人员还是系统管理员,都应该接受所用系统在安全方面的教育,全面提高自身业务素质,学会选择好的口令,管理好口令记录表,保持警惕,掌握处理系统的突发紧急情况以及如何安全升级系统等技术。
五、完善的管理机制
国外资料显示,解决安全问题的技术控制与存在非技术性的控制相比,更应该考虑的是非技术控制,其中管理的控制占58%,法律、法规、职工道德体系占有10%,物理占20%,技术安全占12%。
通过对组织结构、人员配置、规章制度的制定,使系统内不相关职务得到恰当的分离,实施有效的内部控制措施,避免人员滥用授权,及对系统监管不利。
在复杂多变的会计信息系统中,只有充分了解其安全需求并配合有效的安全控制,才有可能构造出安全的系统。在安全系统的基础上,我国的会计电算化事业方能得到蓬勃发展。
