張寶麗

摘要：信息和網(wǎng)絡安全已經(jīng)日益成為關(guān)系到網(wǎng)絡會計信息系統(tǒng)正常運行的隱患。本文在闡述網(wǎng)絡會計信息系統(tǒng)概念和特點的基礎(chǔ)上，論述了系統(tǒng)容易受到的安全威脅以及解決方案，包括系統(tǒng)安全配置和策略的具體實施。

關(guān)鍵詞：網(wǎng)絡會計信息系統(tǒng)；信息安全；策略

一、引言

隨著信息技術(shù)和網(wǎng)絡的發(fā)展，會計系統(tǒng)漸漸脫離了人工操作和單機版本，形成了網(wǎng)絡會計信息系統(tǒng)。網(wǎng)絡會計信息系統(tǒng)可以基于因特網(wǎng)或者企業(yè)內(nèi)部局域網(wǎng)，把企業(yè)或部門的總部和異地分部門相互連接成一個整體。這樣的網(wǎng)絡模式可以使得會計信息的使用與傳輸范圍大大擴展，實現(xiàn)了實時辦公、遠程操作和無紙化辦公，大大提高了會計系統(tǒng)的工作效率。節(jié)約了企業(yè)成本，增強了企業(yè)競爭力。但是網(wǎng)絡是一把雙刃劍，網(wǎng)絡安全已經(jīng)日益成為關(guān)系到用戶數(shù)據(jù)完整性和可用性的一大隱患。在一個缺乏安全保障的網(wǎng)絡上運行會計信息系統(tǒng)。將容易出現(xiàn)信息被非法訪問、篡改或攻擊的現(xiàn)象。這樣的事件會使企業(yè)機密泄露、數(shù)據(jù)丟失或破壞，從而蒙受經(jīng)濟損失，所以，會計信息系統(tǒng)的網(wǎng)絡信息數(shù)據(jù)安全，是其正確、可靠運行的重要保障。

二、基于網(wǎng)絡的會計信息系統(tǒng)

(一)網(wǎng)絡會計信息系統(tǒng)的概念

網(wǎng)絡會計信息系統(tǒng)以計算機網(wǎng)絡為運行平臺，而會計系統(tǒng)所處理和存儲的數(shù)據(jù)都是以一定的格式存放在計算機網(wǎng)絡中的?；诰W(wǎng)絡的會計系統(tǒng)更有利于企業(yè)或者部門把會計信息與業(yè)務信息更好地結(jié)合起來，從而對報表、審計等的操作可以遠程、在線進行。網(wǎng)絡會計信息系統(tǒng)為財務信息的獲取、存儲、分析和利用提供了一種新的模式。

(二)網(wǎng)絡會計信息系統(tǒng)的特點

與傳統(tǒng)的會計工作相比，網(wǎng)絡會計信息系統(tǒng)實現(xiàn)了業(yè)務和財務的一體化管理，具有許多新的特點和優(yōu)勢。在這樣的系統(tǒng)中，會計核算和財務管理都是動態(tài)、實時、在線的，單據(jù)和貨幣的結(jié)算都以電子化的方式處理，從而實現(xiàn)了管理的數(shù)字化和信息化，在范圍和效率上都區(qū)別于傳統(tǒng)的會計管理模式。在范圍上。網(wǎng)絡的支持使會計信息的分析與管理突破了地域限制。不再局限于一個地理位景或者一個單一的部門，而是從企業(yè)的總部擴展到企業(yè)的各個部門以及分公司。在效率上。由于會計核算變得具有實時性，遠程報表、報賬、查賬、審計等處理工作將大大簡化，使會計核算的能力與效果都提高到一個新的層次。網(wǎng)絡會計信息系統(tǒng)可以實現(xiàn)會計信息的在線反饋，網(wǎng)絡平臺提供了方便快捷的溝通方式。可以對數(shù)據(jù)進行實時分析與分布式處理，提高了整體的工作效率。

三、網(wǎng)絡會計信息系統(tǒng)的安全威脅

會計工作對信息化的依賴程度越來越高，信息化已成為提高工作效率不可或缺的手段，會計系統(tǒng)中包含內(nèi)部機密數(shù)據(jù)，當其在網(wǎng)上應用時，如果數(shù)據(jù)被非法竊取，將會導致重要信息的泄漏，造成不良影響。具體說來，會計系統(tǒng)面臨的安全隱患主要來自兩個方面：黑客攻擊和會計系統(tǒng)數(shù)據(jù)庫本身的安全漏洞。

(一)黑客攻擊

黑客常常借助破譯工具對密碼進行分析。從而得到對密文進行解密的方式。為了達到竊取重要敏感數(shù)據(jù)的目的，黑客對會計系統(tǒng)采取的攻擊方式有：竊聽、重發(fā)攻擊、迂回攻擊、假冒攻擊、越權(quán)攻擊等。

(二)系統(tǒng)漏洞

系統(tǒng)漏洞來源于會計系統(tǒng)本身存在的安全風險。如果一款會計系統(tǒng)管理軟件未及時打上補丁，就會使其安全性能變得十分脆弱。此外，在許多安全設置選項中假如總用系統(tǒng)默認的配置，也會形成漏洞。從而給破壞者提供了威脅系統(tǒng)正常使用的機會。網(wǎng)絡入侵者可以通過系統(tǒng)的安全漏洞，通過執(zhí)行系統(tǒng)的相關(guān)指令得到系統(tǒng)的控制權(quán)限。這種行為會對會計系統(tǒng)的數(shù)據(jù)安全造成極大威脅。

目前的信息安全形勢比較嚴峻，信息安全事件頻頻發(fā)生、安全威脅越來越嚴重、系統(tǒng)自身脆弱性越來越多。在這種情況下，迫切需要建立一套與信息化發(fā)展相適應的安全保障體系，來加強網(wǎng)絡會計信息系統(tǒng)安全保障的力度。

四、網(wǎng)絡會計信息系統(tǒng)的安全配置

網(wǎng)絡會計信息系統(tǒng)安全應從初始階段做好規(guī)劃，考慮相應的物理隔離措施，遵循系統(tǒng)獨立成網(wǎng)的原則，遵循不同的系統(tǒng)不直接相聯(lián)。不同安全級別的系統(tǒng)不直接相聯(lián)的原則。對于不同部門間的網(wǎng)絡會計信息分系統(tǒng)，可以通過專用網(wǎng)絡實現(xiàn)聯(lián)接。信息管理類系統(tǒng)網(wǎng)絡與互聯(lián)網(wǎng)、外部網(wǎng)絡應采用防火墻及入侵檢測系統(tǒng)，以保障系統(tǒng)的高度安全性。這樣，就可以加大系統(tǒng)的安全，保證生產(chǎn)、管理各項工作正常有序進行。

(一)物理隔離

網(wǎng)絡會計信息系統(tǒng)應該遵循獨立成網(wǎng)的原則。不同的系統(tǒng)安全需求級別也不同。因此不能直接相聯(lián)。即使是與企業(yè)生產(chǎn)運營直接相關(guān)的信息系統(tǒng)，一般也不能直接相聯(lián)。如有必要聯(lián)結(jié)，必須采用防火墻及入侵檢測系統(tǒng)，以保證各個系統(tǒng)的安全。對于相同類型的會計分系統(tǒng)，可以通過專用局域網(wǎng)實現(xiàn)互聯(lián)，這樣可以滿足安全性、高速率、可靠性的要求。因為它們對安全的要求高，不允許出現(xiàn)安全問題。

(二)網(wǎng)絡安全設置

在網(wǎng)絡會計信息系統(tǒng)與Internet的邊界應安裝防火墻裝置，實施相應的安全策略控制。另外，如果對外網(wǎng)提供信息查詢等，就要在訪問關(guān)鍵服務器進行一定的控制?？梢园褜ν夤_服務器作為一個專門的子網(wǎng)，設置防火墻來控制訪問。盡管配置了防火墻，但還有漏洞，如：防火墻敞開的后門可能被入侵者尋找到、防火墻內(nèi)可能也存在入侵者等，彌補的措施是采用入侵檢測系統(tǒng)來提供實時的防護手段。網(wǎng)絡會計信息系統(tǒng)系統(tǒng)中威脅最大的安全問題是病毒，建立全方位的病毒防范系統(tǒng)是網(wǎng)絡系統(tǒng)安全建設的重要方面。

(三)系統(tǒng)自身安全管理

要使整個網(wǎng)絡會計信息系統(tǒng)充分發(fā)揮作用，在重視各分系統(tǒng)間的網(wǎng)絡與數(shù)據(jù)交換安全的同時，也要注意每一個分系統(tǒng)內(nèi)自身的安全。對于一個網(wǎng)絡會計信息系統(tǒng)而言，有特定的使用人群與維護、管理人員。不同的人群。不能有相同的授權(quán)，所以，相應的身份檢查是非常必要的。可以采用用戶授權(quán)與認證的方式。網(wǎng)絡的權(quán)限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。根據(jù)訪問權(quán)限將用戶分為特權(quán)用戶(即系統(tǒng)管理員)、一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限、審計用戶，負責網(wǎng)絡的安全控制與資源使用情況的審計。用戶對網(wǎng)絡資源的訪問權(quán)限可以用一個訪問控制表來描述。

五、系統(tǒng)安全策略的具體實施

(一)身份認證的實施

身份認證是指被認證對象向系統(tǒng)出示自己身份證明的過程，通常是獲得系統(tǒng)服務所必須的第一道關(guān)卡。身份認證需要證實的是實體本身，而不是消息認證那樣證實其合法性、完整性。身份認證的過程一般會涉及兩方面的內(nèi)容：識別和驗證。識別，就是要對系統(tǒng)中的每個合法注冊的用戶具有識別能力，要保證識別的有效性，必須保證任意兩個不同的用戶都不能具有相同的標識符。驗證是指訪問者聲明自己的身份后，系統(tǒng)還必須對聲稱的身份進行驗證。標識符可以是非秘密的，而驗證信息必須是秘密的。身份認證與密碼技術(shù)密不可分。在實際認證過程中可采取如口令、密鑰、

智能卡或指紋等方法來驗證主體的身份。在廣義的網(wǎng)絡普遍采取CA(CertificateAuthority)，即證書授權(quán)。在網(wǎng)絡中，所有客戶的證書都由授權(quán)中心即CA中心分發(fā)，該證書內(nèi)含公開密鑰，每一個客戶都擁有一個屬于自己的私密密鑰對應于證書，同時公開密鑰加密信息必須用對應的私密密鑰來解密。數(shù)字簽名是公開密鑰加密技術(shù)的一類應用。主要有基于CA(CertificateAuthority)的身份認證機制、基于DCE/Kerberos的身份認證機制。

(二)防火墻的設置

防火墻是一種計算機硬件和軟件的組合，使不可信任的外界網(wǎng)絡與可信任的內(nèi)部網(wǎng)絡之間建立起一個安全網(wǎng)關(guān)，從而保護網(wǎng)絡會計信息系統(tǒng)內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻不是對每臺主機系統(tǒng)進行保護，而是對系統(tǒng)的訪問通過某一點，并且保護這一點，并盡可能地對外界屏蔽，保護網(wǎng)絡的信息和結(jié)構(gòu)。雖然防火墻技術(shù)實現(xiàn)了一些訪問控制功能，但仍有許多缺憾，它對計算機病毒在內(nèi)的數(shù)據(jù)的攻擊缺少很好的防范措施，降低了網(wǎng)絡的通信速率，并且也沒有從根本上解決整個網(wǎng)絡上傳輸信息的安全問題，一般來說，網(wǎng)絡會計信息系統(tǒng)中，在同Internet的連接中已經(jīng)設置了一道防火墻，但是該防火墻僅僅提供了系統(tǒng)同Internet連接之間的訪問控制，在一定程度上防止了Internet用戶對系統(tǒng)的危害。而在這樣的防火墻的保護下，整個網(wǎng)絡會計信息系統(tǒng)的內(nèi)部網(wǎng)絡用戶都可以毫無限制地訪問該系統(tǒng)的服務器群、數(shù)據(jù)庫服務器和數(shù)據(jù)庫處理服務器。這樣的防火墻保護顯然是無法達到該系統(tǒng)的安全要求的。

(三)加密技術(shù)的使用

對于網(wǎng)絡會計信息系統(tǒng)中產(chǎn)生的一些數(shù)據(jù)。尤其是涉及到財務和商業(yè)機密的數(shù)據(jù)。除去部門或者企業(yè)的核心管理人員之外，其他人員是不能隨意訪問的。存儲加密的目的是為了使反映出企業(yè)的敏感商業(yè)信息的會計數(shù)據(jù)在存儲期間，只能被特定的人群存取和訪問，從而保證數(shù)據(jù)存儲的保密性。數(shù)據(jù)庫系統(tǒng)的加密和普通的報文加密不同，后者的加密和解密都是按照從頭到尾的順序，以報文作為加密的最小單位；而前者則以字段為單位進行。由于這樣的特點，數(shù)據(jù)庫的加密以及解密的密鑰往往采用對稱密碼機制。

數(shù)據(jù)在傳輸過程中，很可能在不安全的通道上被截獲甚至篡改，從而對數(shù)據(jù)的安全、保密造成威脅。因此，數(shù)據(jù)傳輸同樣需要加密保護。網(wǎng)絡會計信息系統(tǒng)中的敏感數(shù)據(jù)在傳輸之前，要通過加密算法把所有的明文數(shù)據(jù)轉(zhuǎn)換為密文，此時即使破壞者截取了數(shù)據(jù)，由于不擁有密鑰，故無法破譯出完整的數(shù)據(jù)。在數(shù)據(jù)的接受端，再把密文恢復為原文，從而最大程度地防范數(shù)據(jù)在傳輸中的風險。

(四)數(shù)據(jù)存儲備份

對于網(wǎng)絡會計信息系統(tǒng)來講，最容易實現(xiàn)的備份方案是進行數(shù)據(jù)的網(wǎng)絡備份。網(wǎng)絡備份也是比較成熟的備份方案。在這種方式中，將一臺服務器作為連接備份媒介的設備，從而對網(wǎng)絡會計信息系統(tǒng)中所有終端、服務器、數(shù)據(jù)庫中關(guān)鍵數(shù)據(jù)與機密數(shù)據(jù)進行自動的備份。備份所需的控制信息通過IP網(wǎng)絡實時傳輸，而備份的數(shù)據(jù)信息流以SAN網(wǎng)絡或者IP網(wǎng)絡來傳遞。如果數(shù)據(jù)非常重要，也可以選擇在數(shù)據(jù)量相對比較大的服務器上均安裝備份設施，這些服務器由備份服務器統(tǒng)一管理調(diào)度，這樣的備份模式可以大大減輕由于數(shù)據(jù)備份而產(chǎn)生的網(wǎng)絡壓力和負載。數(shù)據(jù)備份所選用的媒介一般都是磁帶存儲媒體。比如磁帶機和磁帶庫等。如今的備份媒介已經(jīng)向磁盤技術(shù)發(fā)展，隨著許多存儲技術(shù)的成熟和商用化，大容量磁盤價格日漸降低。所以很多情況下都選擇磁盤存儲陣列為備份首選設備，對關(guān)鍵數(shù)據(jù)和機密數(shù)據(jù)進行歸檔處理。

作為備份操作的支持軟件也是不可或缺的一個組成部分。軟件主要實現(xiàn)自動備份的功能，對各種備份設備進行管理和維護，制定詳盡的備份策略，對備份系統(tǒng)實現(xiàn)檢測維護功能，并具有一定的安全管理功能，支持大多數(shù)網(wǎng)絡結(jié)構(gòu)，支持跨平臺數(shù)據(jù)備份模式，并能夠?qū)崿F(xiàn)數(shù)據(jù)庫的在線實時備份操作，大大減輕了維護人員的工作量。

六、結(jié)束語

信息安全問題是網(wǎng)絡應用系統(tǒng)最大的問題之一，尤其是對于存儲了許多機密數(shù)據(jù)和商業(yè)數(shù)據(jù)的網(wǎng)絡會計信息系統(tǒng)而言。針對信息安全技術(shù)的原則與策略，結(jié)合網(wǎng)絡會計信息系統(tǒng)的特點，可以構(gòu)建一個信息策略的基本框架，結(jié)合密碼管理、權(quán)限設定、防火墻設置以及數(shù)據(jù)備份等方式，將系統(tǒng)的安全風險降到最低。

主要參考文獻

[1]陳杰，黃正瑞網(wǎng)絡環(huán)境下會計系統(tǒng)的安全審計[J]審計研究，2000：32-35

[2]陳潔，朱傳軍網(wǎng)絡環(huán)境下財務預警系統(tǒng)的構(gòu)建[J]財會通訊，2003：22-24

[3]張小彬黑客分析與防范技術(shù)[M]，北京：清華大學出版社，1999：89-115

[4]王兵Internet防火墻與網(wǎng)絡安全[M]北京：機械工業(yè)出版社，2008：36-78