如今的會計信息系統不僅本身的功能在不斷地發展,正從單一的會計核算型,邁向管理型、決策型及智能型等綜合化、集成化,還加強了企業內部部門間的數據交換及與企業外部相關部門的聯系交換。在這樣一個開放共享體系中,任何對新條件下的會計信息系統實施有效的防范措施,都是會計信息系統賴以發展的必要條件。
會計信息系統的特點之一就是連續、系統、全面、綜合地對企業的經濟業務進行反映,這使得集計算機及通訊技術為一體的會計信息系統的安全顯得格外重要。因此,必須對系統的安全進行分析研究,建立起必要的內部、外部安全制度,以抵抗來自系統內外的對系統硬件、軟件的各種干擾和破壞。只有嚴格的安全措施,才能保障會計信息系統實現連續而全面地進行業務處理。
限于篇幅在此不作安全系統實現的討論,僅就系統的安全需求進行分析,這是安全系統實現不可缺少的一個環節。根據會計信息系統的特點,對其安全可分為五方面來討論,即可靠的硬件資源配備、具有后繼支持的軟件、周密的運行環境設計、具有良好素質的員工以及完善的管理機制等。
一、 可靠硬件資源配備
可靠硬件資源配備,其重點在于配備。對于硬件資源,保證質量的前提下,按性能價格比進行選擇。并不是要求價格越高越好,功能越多越好,因為有些功能在系統中用不上,有了也沒用。
硬件要針對會計信息系統的特性來配備,會計信息系統有以下幾種特性:保密性、連續性、歷史性。從保密性的角度看:在網絡上應配置具有較強功能的防火墻設備。如添加專用防火墻服務器,給數據加密的專用設備或黑盒,具有加密算法和多數位加密的路由(ROUTERS)等。從連續性及歷史性的角度來看,應有足夠的保證系統數據安全存儲的配置,如在服務器上配置雙硬盤作鏡像處理,在硬盤出故障時保證系統能充分的備份。當系統數據一旦丟失時,便可即將其現行的及歷史的數據進行恢復處理,恢復至遭破壞前的狀態。
二、 具有后繼支持的軟件
在這里著重探討應用軟件,它包括會計信息管理軟件,防病毒軟件和附加在網絡設備的一些軟件(如網絡協議、壓縮、加密算法等)。
對于會計軟件,其后繼支持主要在于具有升級能力和處理突發事件能力。這些能力當然應由軟件制作者或系統管理者負責實現。由于操作平臺的更新,如DOS更新成WINDOW平臺,單機系統更新成網絡系統,會計軟件勢必作相應的升級,才能保證整個系統暢通運行。另外系統中的數據遭病毒的破壞或遇上千年蟲之類的問題,也需靠軟件的后繼支持來解決。
對防病毒軟件,俗話說“道高一尺,魔高一丈”。一般來講,總是有某種病毒后,才產生消除該病毒的軟件。因此在系統中,應不斷地升級防病毒軟件或采用新的防病毒軟件來御防病毒的侵害。升級或采用新的軟件便是防病毒的后續支持。
至于附屬在網絡設備上的軟件,所需的后繼支持,在于能滿足不斷完善的網絡系統和數據壓縮,加密算法的改動或更新。例如:各種路由所適應的網絡協議或隧道協議。因為在創建安全隧道方面,存在著眾多的遂道協議,如:IPSEC,PPTP以及L2TP等,然而并非所有的產品都能夠支持這些協議。另外,某些針對這些協議的標準仍在制定過程中。其中帶寬也在不斷地調整加寬。因此,當你選擇某些產品時,一定得向供應商索取后續支持的承諾。壓縮加密算法的改動,更新更是不可避免。一般來說,有加密,就有解密。世界各地的黑客的存在就說明了這個問題。例如:各種控制符加上大小寫的字母,共有95個字符,若此95個字符組成的密碼,在P II的機器上只需運行一天便可解開。因此,要想我們的系統安全,不僅要盡量加長密碼而且還要經常更新。
三、 安全的運行環境
環境的設計,應建立在系統分析的基礎上。要明確系統內外部界限、數據流經的環節及出入口。安全的環境設計分為兩個部分。一部分為系統所處幾何空間的設計。如:某人辦公桌的位置安排,在哪設置防盜門,在機房設置緩沖間等。第二部分為計算機網絡環境的設計。如:保密隧道、操作權限、系統監控。
從布局上,考慮到會計信息系統應相對獨立于機構內的其他系統,以減少數據泄露和病毒感染的機會,在局域網上,對于機構內的一些端口,也應設置權限,什么情況下可改寫,什么情況下不能改定應有所控制。對于遠程通訊或廣域網上,都必須設置可靠的加密關口和防火墻。對會計信息系統而言,數據在漫長的線路上傳輸,確實是一件令人擔心的事。若鋪設一條專用的光纖,對安全而言當然是較理想的,但其費用實在太高,若廣泛使用,企業難以承受。
四、具有良好素質的員工
關于會計信息系統的安全問題除了前面所提及的方面,工作人員的素質是一個不容忽視的問題。未經有效的業務訓練和不具備良好職業道德的員工本身,對系統的安全是一種威脅。無論系統有多完備的防護措施,也難以抵御其帶來的負面影響。
眾所周知防火墻可以用來保護機構內部網絡,對數據進行加密可以保護信息免受無關人員竊取,數字簽名技術能確定收到的信件是否有人偽造等等。是不是有了這些安全技術或措施,我們的系統就安全了呢?許許多多的案例已經作了否定的回答。對于外來攻擊者,他們可以通過各種各樣的方式與渠道,如文檔的存放、草稿的處置、甚至垃圾堆、碎紙機中的材料、閑談的內容等等來得到他們想要的目標信息,而不需要太高級的手法。若員工們在這方面有所警惕,便可杜絕不少漏洞。
許多系統被攻破是因為它們過分依賴用戶創建的口令,由于不便于記憶,人們通常不會選擇保密性很強的口令,如用某些名詞的英文單詞或拼音字母頭、用諸如生日等日期作為口令,當這個口令被用作加密系統的密鑰時,比起隨機生成的密鑰,它們更易于被破解。另外,出于某些原因,有的員工會把自己的口令告訴同事;不仔細檢查收到郵件的電子證書;安裝系統軟件時,貪圖方便不改變軟件的缺省安裝值(尤其是Windows 9X/NT 用戶)等都存在很多的安全隱患。
這表明了,看一個系統是否安全,我們不應該只看它采用了多么先進的設施,更應該注意員工日常工作行為的規范。觀察近幾年在Internet上發生的攻擊,可以看出這樣的威脅依然存在。所以說我們的員工不管是普通財會人員還是系統管理員,都應該接受所用系統在安全方面的教育,全面提高自身業務素質,學會選擇好的口令,管理好口令記錄表,保持警惕,掌握處理系統的突發緊急情況以及如何安全升級系統等技術。
五、完善的管理機制
國外資料顯示,解決安全問題的技術控制與存在非技術性的控制相比,更應該考慮的是非技術控制,其中管理的控制占58%,法律、法規、職工道德體系占有10%,物理占20%,技術安全占12%。
通過對組織結構、人員配置、規章制度的制定,使系統內不相關職務得到恰當的分離,實施有效的內部控制措施,避免人員濫用授權,及對系統監管不利。
在復雜多變的會計信息系統中,只有充分了解其安全需求并配合有效的安全控制,才有可能構造出安全的系統。在安全系統的基礎上,我國的會計電算化事業方能得到蓬勃發展。
