浅析网络环境下会计信息系统安全控制的实现

胡玉可

[摘要]在网络环境下，会计信息处理表现为适时、便捷和无纸化，这一方面大大加快了会计信息流通的效率；另一方面，网络环境下的会计信息处理容易导致非客观性，网上犯罪时有发生，所以。在建立网络环境下的会计信息系统时，应完善法律控制、健全环境控制、加强组织控制，以确保会计信息系统安全的实现。

[关键词]网络环境；会计信息系统；安全控制

一、完善法制环境，是会计信息系统安全实现的根本保证

为了对付日益猖獗的计算机犯罪，保护会计信息使用者的权益，国家应制定并实施计算机安全及数据保护法律法规，从宏观上加强对会计信息系统的控制。如英国政府分别于1984年和1990年颁布实施了《计算机滥用法》(《The Com-puter Misuse Act》)和《数据保护法》(《The Data Protection Act》)，为计算机信息系统提供了一个良好的社会环境。法律是由国家权力机关制定的，依照国家权威性来保证执行，并协调各方面的利益，对社会政治、经济的发展起到规范和制约的作用，任何组织、任何个人都不可能超越法律所赋予的权限。为了实现会计信息系统的安全控制：首先，必须有法可依。完善的法律法规是一项工作得以顺利开展的保证。我国在计算机信息安全管理方面立法较早，从1986年的4月开始，我国相继制定并颁布了《中华人民共和国信息系统安全保护条例》、《计算机系统安全规范》、《计算机病毒控制规定》等系列法律，并在《刑法》、《刑事诉讼法》、《民法》、《民事诉讼法》、《经济合同法》等相关法律中写入了计算机犯罪的有关内容，这有力地打击了计算机犯罪、病毒的猖撅传播。但是，我国目前还没有专门的会计信息系统安全法律法规。只有建立和健全有关会计信息系统的相应法律法规，且应立足于我国国情前提下参照国际有关示范的原则，制定出一套规范的、符合我国国情的网络环境下会计信息系统方面的法律法规，才能使我国的会计信息系统真正走上健康发展的轨道。其次，必须有法必依。应该说新中国经过半个多世纪的不懈努力，法制化建设迈出了坚实而有力的步伐，已制定、修改、补充和完善了几千个法规，我国的法律法规体系基本构建起来，但由于法制观念淡薄。可能不知法，也可能知法犯法，所以，应该坚持不懈地开展宣传，让计算机安全法律深入到相关行为人中去，使他们懂法知法，从而依法，有法必依。

二、健全环境控制，是会计信息系统安全实现的前提条件

随着网上电子商务的发展，各类业务不断增多，会计数据更加复杂，会计信息的处理量将大大增加，如何使会计信息系统向网络智能化发展，是网络环境下会计信息系统对计算机运行环境提出的新要求。为了实现网络环境下会计信息系统的安全：首先，健全“硬”环境安全控制。这种安全控制是对系统硬件的控制，属于一种预防性的控制。它包括计算机机房的安全控制、机房设备的保护、安全供电系统的安装等。也就是说，对于环境的安全要求具有专用的计算机机房，并且计算机机房能够保持规定的温度、湿度，能防止静电、电磁干扰、具有良好的采光照明及噪声控制设计等。同时，计算机机房还应具有防火、防水、防其他自然灾害的设施。除此之外，为保证网络环境下会计信息系统可靠安全地运行，还必须有一个良好的供电系统，有专门供应计算机设备的稳压电源及其他动力用电的供配电系统。其次，健全“软”环境一系统关联方和企业内部人员道德控制。通过“防火墙”可以控制非法者的入侵。但对于合法者一关联方非法入侵的防范却是无能为力的。关联方从战略上讲是同盟者，是合法用户，它可以穿越“防火墙”进入企业的内联网。如果关联方的某些工作人员缺乏职业道德和社会道德，恶意破坏会计信息系统，以谋取私利，那么，企业内联网看似“固若金汤”，实则“岌岌可危”。因此，要加强管理，防止合法者的非法活动。其主要措施有：(1)选择信用好的合作伙伴，这样可以减少产生风险的概率；(2)内部审计人员要加强对关联方进入系统后的监控，及时发现问题，及时控制。对于那些有意破坏的关联方要提出警告，如果情节严重者可终止与他们的合作，并公示于众。企业内部人员道德控制制度对于会计信息系统的安全性是至关重要的。因为内部人员熟悉系统结构与功能，了解系统管理的方法，一旦破坏了系统，那后果不堪设想，因此，要对内部人员的道德加以控制。

三、加强文档管理组织，是会计信息系统安全实现的必要条件

加强网络环境下会计信息系统文档的组织是一项重要的任务。它可在诊断网络问题时提供方便。随时更新的文档可以提供关于网络环境下会计信息系统应当如何运行，出现问题时应到哪里去寻找答案等信息。加强管理组织的文档应包括：(1)网络会计系统的拓扑结构，硬件的位置和布线的细节等；(2)服务器信息，包括每个服务器上的数据、备份计划和备份存放的地点；(3)关键的电话号码，包括供应商、销售商、合同商和其它一些有用的人；(4)所有服务协议的副本，包括联系人和电话号码；(5)记录所有问题和它们的症状、解决方法、日期、联系方法、过程和结果的一个列表等。

四、加强组织控制，是会计信息系统安全实现的必要基础

组织控制是一种统领性的控制，它可以全面分配和组织各种控制制度及具体措施。由于互联网的信息系统属于一种分布式处理结构，计算机服务功能站分布于企业内部各财务及业务应用部门，实行会计与业务协同处理，因而要使之彼此相互协调。组织控制为了实现这一目标，对企业中人与人之间的责、权、利的安排。组织制度主要包括企业组织结构的设计、职权的划分、岗位的设置、人事安排等制度。其目的在于营造良好的环境。加强组织控制，建立会计信息系统管理安全工作体系，建立网络环境下会计信息系统安全管理机制，是实现会计信息系统安全运行的，必要条件，实践和经验证明，抓企业会计信息系统安全、防止计算机犯罪。就必须要有一个专职管理和相应专业技术结合的体系，集中精力、专心致志地努力工作。具体来说：首先，加强部门设置与人员配置控制。在网络环境下，由于它的三层结构体系(企业内联网、企业外联网、互联网)，需设置相应机构确保系统内、外的信息沟通。设置的部门主要有：会计部门(负责会计信息输入、审核与输出)、业务部门(负责业务的交易与原始电子凭证的认证)、信息处理部门(负责对企业所有的信息进行处理并确保处理的正确性、安全性和及时性)、内部审计部门(监督企业整个业务过程与信息加工处理过程)等。只有建立一个严谨的组织体系，才能使网络环境下的会计信息系统有一个完善的运行机制，从而在组织上得到保障。其次是加强职责分离控制。组织制度的基本要求是做到职责分离，即业务处理与业务记录的分离、数据处理部门内部各岗位的职责分离。在网络环境下，交易基本是在网络系统中完成的，所以，一般会计业务的审批要限制在电子数据处理部门之外，电子数据处理部门无权审批业务和修改业务，所有的电子数据处理业务都必须经过授权管理，因此，电子数据处理部门的职责是负责业务的记录，并在此基础上对业务信息进行分析，为决策者提供有用的决策信息。网络环境下电子数据处理的特点之一是将所有的会计资料集中起来，统一处理，这使得某些本应分离的不相容的职责集中化了。因此，在电子处理部门内部。还应当进行正确的职责分工，从而使有关的人员在数据处理中难以越权，以避免舞弊、犯罪行为的发生和防止差错的出现，保证系统的可靠运行。一般来说，在电子处理部门内部应做到对系统分析、程序设计、系统操作、文档管理、网络管理和控制等六种职责加以分离。总之，加强人员安全管理，明确人员的岗位职责，加强计算机运行安全管理，坚持实行分权制约、有限授权原则。切实保证运行操作的有限性、可控性、可监督性以及可审计性：建立安全事件应急反应中心，加强对突发事件的处理：建立网络安全监控中心，加强对网络的安全监控与安全管理；建立病毒防范中心，加强对计算机病毒的防范与清除；加强风险管理，重点对计算机信息系统进行风险分析、风险评估、安全审计，做好防范措施的设计、认证和应急计划的制定工作，使得计算机信息系统受到的危害或损失降到最低程度。