“大智移云”时代会计信息系统安全风险评估方法研究

程 苗

(安徽三联学院 教务处，合肥230601)

“大智移云”是将大数据、智能化、移动互联网和云计算综合在一起，是彼此相互关联并解决问题的一项技术[1]。云计算技术的应用不仅是处理手段，而且在连接到互联网络中还会产生很多信息数据，此时的大数据技术就可以将不同类型的数据归类[2]。随着互联网的不断发展，传统的“手记式”记录会计信息的方式已经被专业的现代化会计系统所代替。这种现代化的会计系统，会将原本封闭的会计信息带入到开放的互联网络中[3]。这些变化不仅为企业的运营带来便利，还能提高会计工作的效率。但是，所有的新事物都具有两面性，现代化会计系统同时也给企业带来了威胁，开放的互联网环境致使会计信息遭受着巨大的安全风险。因此，研究会计信息系统安全评估方法是非常有意义的。

杨云雪等提出了一种基于企业经济损失的漏洞危险性评估方法，即使用贝叶斯攻击图模型，结合企业网络系统环境变化进行动态安全风险评估，并通过案例研究说明了提出的动态安全风险评估方法的具体计算过程，使用仿真实验说明了提出的方法更加切合被评估网络或信息系统遭受攻击的真实情况，评估结果更加客观准确[4]。邹凯等提出了智慧城市信息安全风险评估模型构建方法，即从智慧城市信息安全的5个层次和风险评估的4个主要因素出发，构建智慧城市信息安全风险指标框架，对智慧城市实例进行Ward系统聚类形成分类属性，选择C4.5算法的决策树方法建立风险评估模型，并验证模型的科学性[5]。但是，以上两种方法在实际评估时，可以评估的安全风险指标较少。

针对以上问题，本文提出“大智移云”时代会计信息系统安全风险评估方法。该方法可以保障信息系统及其承载的信息和服务的安全性，能避免组织机构因会计信息系统发生危险而带来不必要的损失。

一、会计信息系统安全风险评估方法

(一)确定安全风险指标

确定“大智移云”时代会计信息安全危险指标前，分析系统中的云端以及客户端的结构(见图1)。

图1 云端及客户端结构

由图1可知，云端以及客户端主要分为5个层次，确定5个层次的多个因素集合为U，设V表示多种评估构成的集合，得到：

(式1)

其中，ui={ui1,ui2,...,uin},(i=1,2,...,n)，使用模糊算法计算5个层次中的多因素集合式1的可用度，先判断式1中指标之间的相互关系，再采用条件概率计算式1，得到：

P[F|W∩N]=P[F∩W|N/P[W|N]]

(式2)

其中，F表示会计系统在(t,t+dt]期间失效，W表示在时刻t之前正常，N表示起始时刻完好，P表示概率分布值。将得到的概率值大于0.5的指标保留下来，整合得到的风险指标如表1所示。

表1 风险指标

使用表1中的各项风险指标，计算各指标的评价权重，依照得到的权重值结果，调整评估顺序，实现会计信息系统安全风险评估。

(二)计算指标评价权重

在计算会计信息系统中的指标评价权重前，应确定系统中存在的不易定量因素[6]。当风险因素过多时，评估出的结果不准确，所以在计算指标评价权重时，要构造一个判断矩阵，而构建矩阵前，利用层次分析法评估表1中各类型风险指标的相对重要程度，评价集的比例标度为1到9，按照评价集给出的含义构建一个判断矩阵，使用的标度评价集如下表2所示。

表2 比例标度评价集

续 表

分析表2的评价集，假设同一类型的风险因素为一个风险层，比较某层n个因素C1,C2,...,Cn，对另外一个风险层中的某个因素的影响假定为O，每次取两个因素Ci和Cj，用aij表示Ci和Cj对O的影响之比，形成的比较矩阵A为：

(式3)

其中，A=(aij)n×n,aij>0,aji=1/aij，i,j=1,2,...,n。此时式3是一个正互反矩阵，利用这个正互反矩阵，将矩阵A的最大特征根记作λ，特征根的特征向量作为权向量ω，则得到：

Aω=λω

(式4)

由式4可知，矩阵A的特征根和特征向量连续依赖于矩阵的因素aij，所以，当aij符合指标一致性时，可以计算出各个指标的权重值，联立式3与式4，得到指标权重值[7-8]。规定计算得到的权重值大的为最重要的评估指标，利用得到的安全评估指标实现会计信息系统的安全评估。

(三)实现安全风险评估

在实现安全风险评估前，将“大智移云”时代会计信息系统中存在着的一些无法计算权重值的指标筛选出来。无法计算权重值的指标，常指安全风险中的潜在威胁[9]，这些威胁包括蓄意或是偶然的因素，通常表现在人、系统、环境和自然等方面[10]。针对这些方面，严格排查网络攻击、恶意代码传播、邮件炸弹、非授权访问等故意操作，避免误操作、维护错误等失误，以保证在进行安全评估时不受这些无法计算其权值因素的干扰[11]。此外，信息系统中的威胁还常存在于系统、网络或服务的本身上，不定时排查承载会计信息系统的计算机中可能存在的软硬件风险以及介质老化等问题，将安全评估方法“计算化”。使用的判断标准如图2的安全风险类型关系所示。

图2 安全风险类型关系

由图2可知，按照4种不同的类型筛选出无法计算出权重值的安全风险后，确定最终的指标，计算指标的权重值，依照指标权重值的大小，实现对会计信息系统安全风险的评估。

二、评估实验

(一)实验准备

表3为实验准备信息安全系统开发及运行环境。利用表3来运行“大智移云”时代会计信息系统。会计信息系统安全风险评估界面如图3所示。通过该界面，得到可识别的风险指标数量，采用文献[4]方法、文献[5]方法和“大智移云”时代会计信息系统安全风险评估方法，对风险指标数量进行对比分析。

表3 信息安全系统运行环境

图3 会计信息系统安全风险评估界面

(二)实验结果分析

统计3种风险评估方法，得到的风险指标数量结果如表4所示。

表4 三种评估方法评估指标数量对比

由表4实验数量结果可知：与表1得到的风险指标相比，文献[4]方法可以评估出网络安全风险中的指标数量为3，操作风险中的指标数量为2，法律及声誉风险和业务风险中的指标数量为3，业务风险中的指标数量为2，比本文方法可评估的指标数量全部都少1个；文献[5]方法可以评估4种风险指标，网络安全风险中的指标数量为2，操作风险中的指标数量为1，法律及声誉风险中的指标数量为2，业务风险中的指标数量为1，比本文方法可评估的指标数量全部都少2个。

三、结语

网络信息化技术的不断发展，虽然使社会更进步，但也威胁着各种信息的安全，因此，大力做好信息安全工作是网络信息领域中的重要任务。“大智移云”时代会计信息系统安全风险评估方法，可以有效确定风险评估的指标，计算各指标的权重值，依照计算出的权重值实现会计信息系统安全风险评估。实验结果表明，本文提出的安全风险评估方法可以评估的指标最多，更适合在会计信息系统中实际应用。