会计信息系统的安全性考量

丁怡清

摘 要：当前，会计信息系统面临着很多风险和挑战，对其进行风险分析和风险防范是当前急需解决的问题。根据会计信息系统的特点，对会计信息系统安全进行分析，并提出会计信息系统安全性管理的具体防范措施。

关键词：会计信息系统；安全；内部控制；技术

中图分类号：F232 文献标志码：A 文章编号：1673-291X（2015）09-0150-02

一、会计信息系统安全

（一）会计信息系统内部控制目标

要达到会计信息系统内部控制的目标，首先，要保证它的合法性。合法性可以通过两个方面来解释：一是会计信息系统必须符合当前的会计法规以及它的相关的各种国家规定的经济制度；二是会计信息系统所处理的具体业务必须符合整个企业所规定的各种章程。其次，就是要保证整个会计信息系统的安全性。会计信息系统在投入使用之前，要先对它进行硬件、软件以及他的数据的安全性进行一种考量。只有整个系统的安全性得以保障，会计信息系统才能有效的运行。最后，要保证系统处理数据的真实性及准确性。在系统运行在系统设计的过程中，要对其嵌套一些程序，比如授权控制程序、数据处理程序、防止修改程序以及在采购过程中对预算的控制程序等。只有这些程序在运行之前被设计好，只有在有效的组织管理控制制度下对输入的数据进行严格把关，才能确保整个数据输入的真实性和准确性。

（二）我国信息系统安全现状

要实现企业信息化必须建设安全的信息系统。目前我国的信息系统还处于很落后的一个位置。（1）我国的安全防范意识非常弱。于大多数企业而言，信息系统防护只是采用一些很低端的一些网管产品，比如说，保密通信、防火墙、安全路由器。即便，一些企业采用安全检测，也都是“已知攻击”的检测，并且这种检验并没有大范围的普及。（2）系统的安全级别低。我国信息系统以及安全产品的级别普遍偏低，按照其安全级别可以发划分为加密和鉴别技术、数据备份、病毒防范。但是在这些所使用的硬件软件中大多数都是从外国进口而来的，国产的比例十分的低，特别是对计算机主机有重要影响力的各种数据库及访问中心，少有是国产专用的。（3）信息系统的安全建设与管理不规范。对于信息系统安全的不规范可以由以下四个方面来阐释：国家的相关的法律法规并没有很健全，在对整个信息系统的建设方面缺乏统一性的指导；企业的安全规划缺乏策略性的指导，目前很多企业的防范意识较弱，甚至建设之初就缺乏整体策略上的指导；在各个层面上均存在很多漏洞；应用层安全功能规范缺乏安全性的设计，比如目前大多数的企业，他们在设计之初思路就不清晰，重复的去开发且开发不完善，甚至缺乏一些很必要的功能，比如访问控制功能。这些功能的缺失会导致不能形成一个公共的安全平台、信息交换混乱等弊端。（4）未建立安全管理体系。企业的内部缺乏一些安全的监察机制，一些部门没有明确地建立起一种协调和制约关系。有些安全管理机构有名无实，即便存在一些安全管理组织，也不履行职责，有法也不依，制度不落实，缺少专门从事这方面的人员。

二、信息安全技术

（一）防火墙技术

防火墙是网络安全的第一道保障。要想保障网络的安全，首先要做的就是进行防火墙的安装。防火墙就是被设置在保护各个网络比如说公共网络和其他网络包括他们的边界，并对这些网络中所通过的信息进行一种舍弃、阻断或者是通过的软件、硬件系统。防火墙通常具有如下特性：（1）所有信息的传递必须通过防火墙；（2）只有在安全范围内的信息，防火墙才允许通过；（3）防火墙本身是具有阻拦功能的。

防火墙是具有保护网络防止黑客入侵等功能的基础设施，它是对不同的网络进行网络管理之间信息必须要经过的一个切口。企业可以通过对出入信息流的监测达到对外部网络的屏蔽功能。

（二）入侵检测技术

入侵检测系统（简称IDS）是面对网络入侵检验的安全监测系统，是网络安全的第二道防线，是作为一种基础设备的补充。他处在某些关键的节点，对这些关键节点的信息进行收集，以发现系统是否有遭到非法入侵或者是不恰当的未授权操作。通过对这些入侵企图的检测、识别、隔离和对异常行为的统计，达到系统管理员对系统有效评估的目的。

（三）漏洞扫描技术

漏洞扫描技术就是对整个信息网络进行检查发现漏洞的技术。它是除防火墙、入侵检测技术之外的又一安全技术。不管攻击者从外部还是内部，他们都是利用该网络中存在的一些漏洞。因此这种扫描技术就是在黑客入侵或者是网络系统瘫痪之前的预防性技术。

（四）数字签名技术

数字签名技术就是在原有的数据上附加一种数据，使接受者能够通过对这些附加数据的辨认达到对其原有数据的完整性和来源的准确确认。

（五）数字加密技术

数字加密技术，就是将原有信息通过一系列加密规则的转换，将其变成无意义的数据，而接收方再根据相对应的规则，将其重新转换为原先的数据明文。数字加密技术，降低了数据在传递的过程中，遭到泄露的风险。

三、会计信息系统存在的安全问题

（一）信息系统共有的安全问题

1.信息系统的权限

授权控制是一种非常常见的对信息达到很好的内部控制的手段。通常情况在传统的经济业务流程中，从会计信息的录入、登账、明细表，汇总表到形成最终的报表，总会有拥有不同权限的人来对每个环节进行各种签字以及盖章。这种签字和盖章在会计信息系统里面，是通过操作口令的形式表现出来的，而一旦操作口令被窃取，会对整个信息系统造成很大的危害。所以相关人员必须保证操作口令的保密性。

2.原始数据输入准确性

在会计信息系统里，所有的原始数据都是靠人工输入的，只要一步出错，明细账、总账都会连锁出错。因为计算机只能按照预先编入的程序、指令执行，不能够识别。所以一定要在最初始输入的时候不能出错，以确保原始数据输入的准确性。endprint

3.数据库安全问题

数据库安全对企业有着至关重要的意义。高层需要通过它来进行决策；管理层需要他们的数据来进行管理；政府部门需要真实的会计信息实现对企业的监管；投资者则通过这些信息来决定是否投资。对于一个企业来说，一旦数据库的安全受到威胁，将会产生非常严重的后果。

4.控制舞弊的难度加大

随着计算机的普及，利用计算机技术进行循私枉法、贪污舞弊的情况，越来越严重。一些人利用计算机对数据进行窃取并造假。而电子计算机系统和手工记账会计系统相比，它的操作更具有隐蔽性，造成的危害更为严重。

（二）会计信息系统特有的安全问题

1.直观审计线索的缺失

审计线索对审计工作来讲极其重要。在手工记账的过程中，每一环节，都有一定的数据可考。然而利用计算机记账，只有在初始的阶段会有原始的录入，其他过程中信息以磁盘为载体，审计线索容易中断，而且容易被篡改，且不易被发现。

2.会计信息易于伪造

在手工会计体系，纸质是固定的，即便被修改也很容易被查处出来，但是如果通过会计信息系统就很容易被篡改而且不留痕迹。这些非法篡改会对整个会计信息甚至整个公司造成非常严重的后果。

四、构建会计信息系统安全控制框架

（一）会计信息系统安全技术体系

从会计信息系统安全技术角度来说，主要可以分为上文所描述的三个方面：一是系统的内部控制，二是系统防止外部入侵，三是数据库的安全性问题。

（二）会计信息系统组织机构控制

组织机构控制就是在整个企业机构在设计的过程中对这些人的职责、权限进行一个非常明细的划分。在实现计算机会计信息系统后，要实现内部控制就必须以科学的组织机构划分为基础。

（三）会计信息系统安全管理制度

任何一个会计信息系统的正常运行都必须在一定的管理制度的指导下。只有非常成熟的管理制度，才能使企业的日常活动得到完美有效的运行。会计信息系统安全的管理机构应该制定相应的安全等级，根据不同的安全等级，确定他们不同的工作内容和工作形式。

五、结语

会计信息系统在企业得到了广泛的运用，但是会计信息系统的安全性，仍然没有得到企业应有的重视。作为现在企业，应加强对会计信息系统安全性的重视，加强对数据库的保护，完善相关的会计信息系统管理制度，加强内部控制，开发新的技术，只有这样才能为企业的健康发展、效益的稳健提升解除后顾之忧。

参考文献：

[1] 沈浩鹏.网络会计信息系统构造与实施问题的研究[D].天津：天津工业大学，2006.

[2] 孙立辉.网络环境下的会计信息系统审计[D].北京：财政部财政科学研究所，2004.

[责任编辑 陈凤雪]endprint