网络会计信息系统的安全技术研究

　　【摘要】网络会计是基于互联网技术的现代会计模式，INTERNET技术的开放性和时空的无限性使得网络潜存着安全隐患，因而网络会计信息的技术安全问题成了困扰网络会计发展的主要问题。本文通过分析网络会计信息系统中可能存在的技术风险和面临的信息安全问题，提出网络会计信息安全的技术防范对策及安全解决方案，以建立适应网络会计系统的安全技术机制。
　　
　　网络会计信息系统是指构建于互联网及其技术基础上的新一代会计信息系统，通过Internet和Intranet将企业各职能部门、总部与异地分支机构、合作伙伴、社会管理部门以及其他所有社会组织或个体紧密联结，使会计信息的采集、传递、存储、加工、检索、输出、呈报等活动可在全球范围内进行。而且Internet时空的无限性和技术的开放性，使得网络会计超越了时空障碍，实现了会计工作场地虚拟化，资料记录无纸化，数据传递远程化，信息交换数字化，极大地拓展了企业会计核算和管理职能的作用，实现了企业财务与业务、供应链合作企业、社会管理部门之间的协同，大幅提高财务核算和管理效能，有效降低全社会会计信息交流与获取的成本。
　　但是，网络会计与传统会计相比，其风险更高，更容易出现信息泄密，或遭受系统攻击。不法分子乘机窃取有价值的企业信息及公司客户的各类私人保密信息；恶意地袭击网络会计站点，进行各种可能的破坏，如制造和传播破坏性病毒或让服务器拒绝服务等，这些攻击会引起服务崩溃，信息暴露，从而使企业蒙受巨大的经济损失。因此，采取有效的防护措施，保证网络会计信息系统正确、可靠、连续地运行，是网络时代保护企业利益安全的重要方面。
　　网络会计信息系统的安全可以从人和技术两大因素来研究。人的理论、业务、管理水平属于内部控制的研究范畴，技术因素是指通过各种管理、技术的控制措施，使系统硬件、软件及其中的数据资源受到保护，不会因其偶然或恶意的行为和事件而使会计信息系统遭到破坏、更改、泄露，保证其连续、可靠、正常地运行。
　　
　　一、导致网络会计信息系统出现安全问题的因素分析
　　
　　网络会计信息系统是一种内联网结构的系统。所谓企业内联网（Intranet），是指企业应用互联网的技术和标准，如TCP／IP通信协议、WWW技术规范等建立的企业内部信息管理和交换平台。企业内联网通过互联网，为企业与客户、供应商之间，企业与银行、税务、审计等各部门之间建立开放、公布、实时的双向多媒体信息交流环境，使企业会计与业务一体化处理和实时监控。然而，由于互联网／内联网系统的分布式、开放性等特点，系统的安全性问题更加突出。导致网络会计信息系统出现安全问题的因素主要体现在以下几方面：
　　
　　(一)网络会计信息系统软硬件技术存在的漏洞
　　现代操作系统、数据库系统和应用软件的规模日趋庞大、功能日趋复杂。因而，在软件开发过程中，必然存在设计漏洞，甚至故意留下后门(Backdoor)，这为外部攻击提供了可趁之机。如有些“间谍软件”能够在用户不知情的情况下秘密进行安装，并悄悄把截获的一些机密信息发送给第三者，还有一些“广告软件”能够在硬盘上安营扎寨，发作时会不断弹出广告，将浏览器引导至某些特定网页，以此盗取用户的活动信息。据IT业界和美国国家安全部共同成立的“国家互联网安全联盟”的估计，目前互联网上流行的间谍软件和广告软件大概有数万个之多。
　　自然或人为灾害如机房火灾能使计算机、通信设备、软件、数据彻底摧毁，造成不可估量的损失。如果受到水浸，电缆和电器电子设备会因绝缘性能下降而烧毁。雷击产生的强电流，是烧毁电子设备或器件的常见原因等。 作为网络核心的TCP／IP协议设计时完全没有考虑商业公共网下必须的安全机制，通信线路2d05df1b4213879aa0e579f7009a99aa39da1e1ac0be17f6d586bab1aa08f6d4和设备若屏蔽不善，将存在严重的电磁泄露，攻击者可通过辐射感应接收窃取企业的机密信息；在传输过程中，数据以明文方式传递，其机密性、完整性、真实性都存在严重的安全隐患。
　　
　　(二) 网络会计信息系统相关人员的道德风险
　　网络安全的最大风险仍然来自于组织内部人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。因此，内部控制已从会计机构内部扩展到对整个企业内部人员的控制。
　　网络会计信息系统的关联方也存在着道德风险。网络对会计最直接的影响体现在财务报告由纸质向网络形式的迅速转移，越来越多的企业通过政府指定网站或者自己的门户站点，强制或自愿披露会计信息，以更好地满足社会各方对企业会计信息的需求。网络会计信息系统和社会部门的关联，又引入了新的安全风险。如企业的关税方既包括客户、供应商、合作伙伴、软件供应商或开发商，也包括银行、保险、税务、审计等社会部门。企业与这些关联方存在着特殊的业务和数据交换关系，有部分企业与关联方之间采用专用增值网（VAN）实现电子数据交换（EDI）任务，也有的关联方与企业建立统一的外联网（Extranet）。在外联网内，企业之间通过互联网进行松散型的数据查询、数据交换、服务技术等。因此，无论从业务联系还是从网络联系上看，外联网范围内的企业存在着一种特殊的关系。这种特殊关系使相互间道德风险的发生成为可能。
　　由于互联网没有国界和时空的限制，来自社会上的道德风险几乎不可避免。社会不法分子对企业内联网的非法入侵和破坏，包括来自网上的信息截收、仿冒、窃听，黑客入侵，病毒破坏等是目前媒体报道最多的风险类型。据报道，反病毒专家截获了一种专门盗取某网上银行用户名和密码的木马病毒，这种病毒竟能绕过Microsoft安全控件和网上银行的CA证书，会在用户计算机中创建可执行文件、修改注册表，轻易地窃取用户的账号和密码。
　　
　　二、提高网络会计信息系统的安全性技术措施
　　
　　网络会计信息系统安全包含系统实体安全和系统数据安全两部分。系统实体安全是保护软、硬件安全，保障系统各部件机能正常，系统正常运行。系统数据安全包括静态存储和动态传输的安全。静态存储指网络中存储在中央数据库和各分布式数据库中数据的安全；动态传输是在通信过程中，保证数据的完整性、保密性、有效性和真实性。因此，网络会计信息系统的安全技术包括：
　　·会计数据的防护技术，包括会计数据的处理和人员的素质的提高；
　　·网络会计系统的保护技术，包括数据备份、异地存储和远程控制数据加密算法和数字签名技术等。
　　
　　（一）会计数据的防护技术
　　首先确立网络会计核算前提，建立科学合理的网络财务会计理论体系，完善会计公认原则。采用科学合理的会计核算方法，利用网络的实时性，将历史信息变为现行信息、定期固定信息变为随时可选信息。确立网络财务报告的基本框架，利用网络开展远程审计、实施实时多方监督，大大减少主观因素的影响；同时，管理人员也可以随时多方调用会计信息，进行监督，提高监督的有效性。
　　从人员素质来看：一方面通过教育，提高财会人员的思想认识，提高安全防范意识和职业道德水准，严格执行各项规章制度；另一方面要加强专业知识的学习和培训，不断提高财会人员的计算机网络和安全防范手段应用水平，在对网上会计信息进行有效过滤的同时，注意保护本企业的会计信息，防止非法访问和恶意攻击。
　　
　　（二）网络会计系统的保护技术
　　国际安全巨头赛门铁克（symantec）公司中国区执行总裁郑裕庆曾说：“防止网络威胁惟一的方法是主动预防，即部署整体的网络安全解决方案，而不是简单的反病毒解决方案。”
　　1.高效的计算机网络系统应具有容灾、容错技术
　　
　　容灾系统的关键在于数据同步复制技术。当网络系统在遭遇自然灾害、战争、电力中断、设备故障等不可抗拒的灾难和意外时，一方面能够实施充分的数据备份方案来使保证系统数据的完整性和可用性，使系统能迅速恢复正常运行；另外，可以采用额外的硬件、软件、电源部件或错误处理模块作为系统的后援，在系统硬件发生故障时，自动切换至备份硬件。常用的技术手段有磁盘镜像、RAID、双机热备份、额外的通信设备和线路。
　　2.及时下载和安装系统补丁，堵住操作系统、数据库管理系统和网络服务软件的漏洞
　　首先，恶意代码是一种具有破坏力的程序，它通常附着在另一段正常程序之上，随同寄生程序一同被运行，通过盗窃、修改、删除被染计算机的数据而威胁系统的安全。防范恶意代码首先须修补系统漏洞，及时升级和打补丁。其次，安装性能优良的杀毒和防黑软件，定期升级病毒库，定期整机扫描杀毒。再次，加强对网络使用的控制，如禁止访问有安全风险的站点，不下载安装未经认证的程序，不打开不明邮件附件等。
　　3.实施防火墙可有效提升企业内部网络的安全
　　防火墙是架构在本地网络与外界网络之间的通信控制设施，可以正确划分资源保护和开放的边界，据此定义访问控制表，对双向的访问数据流实施逐一检查，允许符合企业安全政策的访问，拦截可能危害企业网络安全的访问，从而对企业内部网上敏感数据资源或服务加以保护。
　　4.密钥技术是网络会计发展的关键环节，既可解决静态会计信息被非授权访问或篡改的问题，又能解决动态会计信息在传输中被截取的问题
　　在网络上发送财务信息之前，采用有效的安全密钥技术将客户端和服务器之间传输的所有数据都进行加密处理，将明文切换为杂乱无章的密文，接收方须经解密后才能阅读到原始信息内容。加密和解密都在密钥的控制下方能正确完成。虽然网络黑客或其他恶意攻击者可以通过窃听截获数据报文，但由于没有解密所需的密钥，无法恢复明文而不能读懂乱码背后的真实信息。CA认证中心及数字证书为解决身份真实性问题提供了有效的技术机制。CA通过数字证书，统一分配公有信息，授予用户可以合法使用的公、私钥对，实施网络交易安全。
　　5.访问控制、入侵检测和应急响应机制可以预防大多数的不安全事件，阻止安全威胁
　　访问控制分为三层，入网访问控制、权限访问控制和属性访问控制。入网访问控制对任一试图进入系统的用户进行基于账号+口令的身份验证，控制其是否有权接入。保持该项控制有效的关键在于合理设置、保护用户口令。权限访问控制为每一用户分配合理、适当的访问权限，明确界定用户对包括目录、文件和设备在内的系统资源拥有的权限，如读、写、建立、删除、更改等。属性访问控制是面向系统资源设置属性，进一步控制用户对文件或设备等资源的访问，使所有用户都不可超越属性所指定的权限范围来操作资源。
　　网络安全是个动态的改进过程，将防护、检测和响应综合成一循环体，才是更完整的安全策略。在网络会计信息系统内安装适当的入侵检测系统IDS，通过对用户行为、系统资源状态变更的监视，可及时发现入侵事件和系统新的威胁、弱点，识别防火墙等防护设施不能识别的攻击，向系统管理员发出安全警告。一旦检测到入侵事件，立即启动紧急响应和恢复处理机制，响应机制明确规定应对入侵的程序和措施，如切断网络链接、记录事件、报警、恢复系统等。
　　通过采用安全的数据通信协议，采用安全性强的数据加密算法、实现数据保密等，建立有效的计算机病毒防范体系、网络漏洞监测和攻击防范系统，建立计算机安全应急机制，使用安全的财务软件平台等先进技术，从而确保会计信息的安全。
　　
　　三、结束语
　　
　　网络会计信息系统是建立在计算机网络技术和安全技术等信息技术基础之上的，会计信息是在遵循一定的信息交换协议，以足够的安全技术为保障，以一定的计算机硬件为支撑，在相应的软件管理下，在网络中流通、存储和处理，并最终以人们需要的形式变现出来。
　　提高网络安全防范意识，树立全新的信息安全理念，寻求最佳的安全解决方案，避免因网络安全防范失误而造成不必要的损失。首先，强化网络安全防范意识，实行网络会计信息安全预警报告制度。会计主管部门应尽快建立一套完善的网络会计信息安全预警报告制度，依托国家反计算机入侵和防病毒研究中心及各大杀毒软件公司雄厚的实力，及时发布网络会计信息安全问题及计算机病毒疫情，从而切实有效地防范网络会计信息安全事件。其次，要增强用户的网络安全意识，切实做好网络会计信息安全防范工作。针对用户安全意识薄弱，对网络安全重视不够，安全措施不落实的现状，开展多层次、多方位的信息网络安全宣传和培训，并加大网络安全防范措施检查的力度，真正提高用户的网络安全意识和防范能力。