□文/鐘駿華齊雨雯（.東北財(cái)經(jīng)大學(xué)；.大連財(cái)經(jīng)學(xué)院 遼寧·大連）

會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)及其防范

□文/鐘駿華1齊雨雯2
（1.東北財(cái)經(jīng)大學(xué)；2.大連財(cái)經(jīng)學(xué)院 遼寧·大連）

本文首先從會(huì)計(jì)信息失真、企業(yè)資產(chǎn)損失、企業(yè)重要信息泄露、系統(tǒng)無(wú)法正常運(yùn)行等四個(gè)方面，闡述會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的形式，然后從硬件系統(tǒng)、軟件系統(tǒng)、會(huì)計(jì)操作員等方面，分析影響會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的因素，最后提出會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)防范措施。

會(huì)計(jì)信息系統(tǒng)；安全風(fēng)險(xiǎn)；防范措施

原標(biāo)題：論會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)和防范措施

收錄日期：2014年10月13日

如何提高會(huì)計(jì)信息系統(tǒng)的安全程度、降低安全風(fēng)險(xiǎn)，是系統(tǒng)設(shè)計(jì)者、企業(yè)管理者和系統(tǒng)用戶都關(guān)心和考慮的一個(gè)重要問(wèn)題。所以，針對(duì)會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)，施加必要的防范措施是每個(gè)企業(yè)所必須做的事，這樣才能使企業(yè)利益達(dá)到最大化。由此可見(jiàn)，會(huì)計(jì)信息系統(tǒng)在企業(yè)經(jīng)營(yíng)實(shí)踐中的經(jīng)濟(jì)作用越來(lái)越明顯。

一、會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的表現(xiàn)形式

會(huì)計(jì)信息系統(tǒng)的安全是指系統(tǒng)保持正常穩(wěn)定運(yùn)行狀態(tài)的能力。會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)是指由于人為的或非人為的因素使得會(huì)計(jì)信息系統(tǒng)保護(hù)安全的能力減弱，從而造成系統(tǒng)的信息失真、失竊，企業(yè)資金財(cái)產(chǎn)損失，系統(tǒng)硬件、軟件無(wú)法正常運(yùn)行等結(jié)果發(fā)生的可能性。保護(hù)系統(tǒng)的安全就是保護(hù)系統(tǒng)免遭破壞或遭到損害后系統(tǒng)能夠較容易再生，會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)主要表現(xiàn)在以下幾個(gè)方面：

（一）企業(yè)資產(chǎn)損失。利用非法手段侵吞企業(yè)資財(cái)是會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的主要形式之一。其手段主要有：未經(jīng)許可非法侵入他人計(jì)算機(jī)設(shè)施、通過(guò)網(wǎng)絡(luò)散布病毒等有害程序、非法轉(zhuǎn)移電子資金及盜竊銀行存款等。隨著犯罪技術(shù)的日趨多樣化、復(fù)雜化，信息系統(tǒng)犯罪更加隱蔽，更加難以發(fā)現(xiàn)，涉及的金額也從最初的幾千元發(fā)展到幾萬(wàn)元，甚至上億元，安全風(fēng)險(xiǎn)損失越來(lái)越大，后果也隨之越來(lái)越嚴(yán)重。

（二）企業(yè)重要信息泄露。在信息技術(shù)高速發(fā)展的今天，信息在企業(yè)的經(jīng)營(yíng)管理中變得越來(lái)越重要，成為企業(yè)的一項(xiàng)重要資本，甚至決定了企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中的成敗。網(wǎng)絡(luò)的普及讓信息的獲取、共享和傳播更加方便，同時(shí)也增加了重要信息泄密的風(fēng)險(xiǎn)。因此，利用高技術(shù)手段竊取企業(yè)重要機(jī)密成為了當(dāng)今計(jì)算機(jī)犯罪的主要目的之一，也是構(gòu)成系統(tǒng)安全風(fēng)險(xiǎn)的重要形式。比如：竊取企業(yè)重要的會(huì)計(jì)信息并泄露給競(jìng)爭(zhēng)對(duì)手以達(dá)到某種非法目的等，常常會(huì)對(duì)企業(yè)造成無(wú)法估量的損失。

（三）系統(tǒng)無(wú)法正常運(yùn)行。網(wǎng)絡(luò)會(huì)計(jì)主要依靠自動(dòng)數(shù)據(jù)處理功能，而這種功能又很集中，自然或人為的微小差錯(cuò)和干擾，都會(huì)造成嚴(yán)重后果。無(wú)論是無(wú)法避免的自然災(zāi)害，或者是出于非法目的而輸入破壞性程序、操作者有意、無(wú)意的操作造成硬件設(shè)施的損害、計(jì)算機(jī)病毒的破壞等都有可能使會(huì)計(jì)信息系統(tǒng)的軟件、硬件無(wú)法正常工作，甚至系統(tǒng)癱瘓，造成巨大損失，給企業(yè)帶來(lái)很多不便。

二、影響會(huì)計(jì)信息系統(tǒng)安全的因素

影響會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)的因素大致可以分為以下三個(gè)方面：硬件系統(tǒng)安全、軟件系統(tǒng)安全以及會(huì)計(jì)操作人員的因素。

（一）硬件系統(tǒng)安全因素

1、不正確操作。計(jì)算機(jī)系統(tǒng)的操作人員對(duì)硬件設(shè)備的不正確操作可能會(huì)引起系統(tǒng)的損壞，從而進(jìn)一步危害系統(tǒng)的安全。不正確的操作主要是指操作人員不按規(guī)定的程序流程使用硬件設(shè)備，例如不按順序開(kāi)機(jī)、關(guān)機(jī)，有可能燒毀計(jì)算機(jī)的硬盤，從而造成數(shù)據(jù)的泄露甚至導(dǎo)致數(shù)據(jù)的全部丟失。

2、人為因素。人的因素在保障會(huì)計(jì)信息安全過(guò)程中起著主導(dǎo)作用，會(huì)計(jì)信息系統(tǒng)操作人員出于主觀故意篡改數(shù)據(jù)或不按操作程序操作，均會(huì)直接影響會(huì)計(jì)信息的真實(shí)性和可靠性、可用性；有意破壞系統(tǒng)硬件設(shè)備者可能是系統(tǒng)內(nèi)部操作人員，也可能是系統(tǒng)外部人員。破壞者出于某種目的，例如發(fā)泄私憤或謀取不法利益，等等，從而破壞計(jì)算機(jī)硬件，致使系統(tǒng)運(yùn)行中斷或毀滅。這種破壞行為可能是以暴力的方式破壞計(jì)算機(jī)設(shè)備，也可能通過(guò)盜竊等手段破壞計(jì)算機(jī)系統(tǒng)，例如竊走存有數(shù)據(jù)的磁帶或磁盤，或者利用計(jì)算機(jī)病毒的發(fā)作造成硬件損壞等。

3、不可預(yù)測(cè)的災(zāi)難。不可預(yù)測(cè)的災(zāi)難雖然發(fā)生的概率非常小，但不意味這不可能發(fā)生，一旦發(fā)生對(duì)信息系統(tǒng)的破壞性極大，所以必須引起足夠的重視，例如火災(zāi)或某些元件的損壞，可能造成整個(gè)系統(tǒng)的崩潰。

（二）軟件系統(tǒng)安全因素

1、計(jì)算機(jī)病毒。計(jì)算機(jī)病毒實(shí)際上是一段小程序，它具有自我復(fù)制功能，常駐留于內(nèi)存、磁盤的引導(dǎo)扇區(qū)或磁盤文件，在計(jì)算機(jī)系統(tǒng)之間傳播，常常在某個(gè)特定的時(shí)刻破壞計(jì)算機(jī)內(nèi)的程序、數(shù)據(jù)甚至硬件。據(jù)統(tǒng)計(jì)，全世界發(fā)現(xiàn)的各種計(jì)算機(jī)病毒已經(jīng)超過(guò)了24，000種，并且正以每月300～500種的速度瘋狂的增長(zhǎng)。由于病毒的隱蔽性強(qiáng)、傳播范圍廣、破壞力大等特點(diǎn)，對(duì)遠(yuǎn)程網(wǎng)絡(luò)會(huì)計(jì)信息傳輸?shù)陌踩珮?gòu)成了非常大的威脅。查殺病毒已成為系統(tǒng)安全保護(hù)的一個(gè)重要的也是必不可少的內(nèi)容。

2、網(wǎng)絡(luò)黑客，也就是指非授權(quán)侵入網(wǎng)絡(luò)的用戶或程序。黑客最常用的詭計(jì)有以下幾種：（1）捕獲，許多程序能夠使破壞者捕獲到一些個(gè)人信息，尤其是口令；（2）查卡，這種程序是“捕獲”程序的一部分，它主要捕獲信用卡密碼；（3）即時(shí)消息轟炸，利用即時(shí)消息功能，黑客可以采用多種程序，以極快的速度用大量的消息“轟炸”某個(gè)特定用戶；（4）電子郵件轟炸，用數(shù)百條消息、以填塞某人的E-mail信箱，是一種確實(shí)可行的在線襲擾的方法；（5）違反業(yè)務(wù)條款，這種詭計(jì)相當(dāng)于在網(wǎng)上陷害某人，有些程序可使這種欺騙活動(dòng)看起來(lái)就好像是某個(gè)用戶向黑客發(fā)送了一條攻擊性的E-mail消息；（6）病毒和“特洛伊木馬”，這些程序看起來(lái)像一種合法的程序，但是它靜靜地記錄著用戶輸入的每個(gè)口令，然后把它們發(fā)送給黑客的網(wǎng)絡(luò)信箱，從而通過(guò)盜竊系統(tǒng)合法用戶的口令，然后以此口令合法登錄系統(tǒng)以實(shí)現(xiàn)非法目的。

（三）會(huì)計(jì)操作人員的安全因素

1、操作人員篡改程序和數(shù)據(jù)文件。通過(guò)對(duì)程序做非法的改動(dòng)，導(dǎo)致會(huì)計(jì)數(shù)據(jù)的不真實(shí)、不可靠、不準(zhǔn)確或以此達(dá)到某種非法目的，例如轉(zhuǎn)移單位資金到指定的個(gè)人賬戶。

2、有權(quán)和無(wú)權(quán)用戶的非法操作。主要是操作員或其他人員不按照操作規(guī)程或非法操作系統(tǒng)，改變計(jì)算機(jī)系統(tǒng)的執(zhí)行路徑從而破壞數(shù)據(jù)的安全。

3、竊取或篡改商業(yè)秘密、非法轉(zhuǎn)移電子資金和數(shù)據(jù)泄密等。對(duì)會(huì)計(jì)數(shù)據(jù)的泄密主要是針對(duì)系統(tǒng)的用戶或數(shù)據(jù)保管人員把本企業(yè)會(huì)計(jì)信息通過(guò)磁盤、磁帶、光盤或網(wǎng)絡(luò)等介質(zhì)透露給競(jìng)爭(zhēng)對(duì)手；竊取或篡改商業(yè)秘密是系統(tǒng)非法轉(zhuǎn)移用戶利用不正常手段獲取企業(yè)重要機(jī)密的行為。借助高技術(shù)設(shè)備和系統(tǒng)的通訊設(shè)施非法轉(zhuǎn)移資金對(duì)會(huì)計(jì)數(shù)據(jù)的安全保護(hù)構(gòu)成很大威脅。

除此之外，操作人員通過(guò)非法修改、銷毀輸出信息等損壞計(jì)算機(jī)系統(tǒng)的方式達(dá)到掩蓋舞弊行為和獲取私人利益的目的，也是構(gòu)成系統(tǒng)安全風(fēng)險(xiǎn)的一個(gè)重要因素。

三、會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)防范措施

隨著會(huì)計(jì)信息系統(tǒng)在企業(yè)經(jīng)營(yíng)管理中的廣泛應(yīng)用，一些傳統(tǒng)的核對(duì)、計(jì)算、存儲(chǔ)等內(nèi)部會(huì)計(jì)控制方式都被會(huì)計(jì)信息系統(tǒng)逐漸的替代，企業(yè)內(nèi)部會(huì)計(jì)信息的處理發(fā)生了根本的變化，但會(huì)計(jì)信息系統(tǒng)給企業(yè)帶來(lái)便利的同時(shí)也帶來(lái)了風(fēng)險(xiǎn)，為了保證會(huì)計(jì)信息系統(tǒng)的正常，有序工作，其安全風(fēng)險(xiǎn)的防范措施顯得尤為重要，既然已經(jīng)對(duì)會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)因素進(jìn)行了三大方面的分析，那么就分別對(duì)每一個(gè)方面闡述一下相對(duì)應(yīng)的防范措施。

（一）在硬件功能上施加必要的控制

1、提示功能。增加必要的提示功能如軟件執(zhí)行備份時(shí)，存儲(chǔ)介質(zhì)上無(wú)存儲(chǔ)空間、備份介質(zhì)未正確插入和安裝；執(zhí)行打印時(shí)未連接打印機(jī)或未打開(kāi)打印機(jī)電源；用戶輸入數(shù)據(jù)時(shí)輸入了與系統(tǒng)當(dāng)前數(shù)據(jù)項(xiàng)不符的數(shù)據(jù)或未按要求輸入等等，此時(shí)系統(tǒng)應(yīng)給予必要的提示，并自動(dòng)中斷程序的執(zhí)行。

2、保護(hù)功能。增加必要的保護(hù)功能以防止在突然斷電、程序運(yùn)行中用戶的突然干擾等偶發(fā)事故造成的系統(tǒng)故障，如軟件執(zhí)行結(jié)賬時(shí)用戶干預(yù)等發(fā)生時(shí)，能自動(dòng)保護(hù)好原有的數(shù)據(jù)文件，防止數(shù)據(jù)破壞或丟失、同時(shí)對(duì)重要數(shù)據(jù)系統(tǒng)可增加退出系統(tǒng)時(shí)的強(qiáng)行備份功能，用戶再次登錄到系統(tǒng)時(shí)自動(dòng)把備份數(shù)據(jù)與機(jī)內(nèi)數(shù)據(jù)比較對(duì)照，及時(shí)發(fā)現(xiàn)數(shù)據(jù)文件的改變。

3、上機(jī)操作控制和系統(tǒng)運(yùn)行記錄控制。（1）建立嚴(yán)格的硬件操作規(guī)程。安裝計(jì)算機(jī)硬件系統(tǒng)時(shí)，必須按照一定的順序進(jìn)行；啟動(dòng)計(jì)算機(jī)時(shí)，要按照先開(kāi)外設(shè)再開(kāi)主機(jī)、關(guān)機(jī)時(shí)先關(guān)主機(jī)再關(guān)外設(shè)；計(jì)算機(jī)處于工作（加電）狀態(tài)時(shí)、不得拔插各種外部設(shè)備；計(jì)算機(jī)進(jìn)行軟盤讀寫操作時(shí)，不得強(qiáng)行將軟盤取出；網(wǎng)絡(luò)的布線要避免電磁干擾或人為的損壞，不要隨意插拔網(wǎng)絡(luò)纜線的接頭，也不要經(jīng)常移動(dòng)計(jì)算機(jī)等；（2）制定操作員訪問(wèn)系統(tǒng)的標(biāo)準(zhǔn)操作規(guī)程、明確規(guī)定各個(gè)操作員進(jìn)人系統(tǒng)后執(zhí)行程序的順序、各硬件設(shè)備的使用要求、數(shù)據(jù)文件和程序文件的使用要求以及處理系統(tǒng)偶發(fā)事故的操作要求，如設(shè)備突然斷電的處理、設(shè)備的重新啟動(dòng)要求等，同時(shí)也要制定數(shù)據(jù)文件的處置標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)文件的名稱、保留時(shí)間、存放地點(diǎn)、文件重建等事項(xiàng)做出規(guī)定，以便統(tǒng)一管理；（3）通過(guò)設(shè)置軟件功能、利用系統(tǒng)提供的功能或人工控制記錄等措施對(duì)各用戶操作系統(tǒng)的所有活動(dòng)予以相應(yīng)的記錄，并定期由系統(tǒng)主管進(jìn)行監(jiān)察和檢驗(yàn)以便及時(shí)了解非法用戶和有權(quán)用戶越權(quán)使用系統(tǒng)的情況。

4、建立健全硬件管理制度和損害補(bǔ)救措施。建立健全設(shè)備管理制度，確保硬件設(shè)備的運(yùn)行環(huán)境、電源、溫度、濕度、靜電、塵土、電磁干

擾、輻射等，例如計(jì)算機(jī)系統(tǒng)要求配置穩(wěn)壓電源，不間斷電源（UPS），有時(shí)還需要配置備份電源，以便在長(zhǎng)時(shí)間斷電的情況下啟用備份電源來(lái)保證設(shè)備的正常運(yùn)行；另一方面，各系統(tǒng)操作人員應(yīng)分清責(zé)任，各自管理和使用自己職責(zé)范圍內(nèi)的硬件設(shè)備，不得越權(quán)使用，禁止非計(jì)算機(jī)操作人員擅自的使用計(jì)算機(jī)系統(tǒng)進(jìn)行操作，以免不當(dāng)?shù)牟僮鲹p壞硬件設(shè)備。如果有多個(gè)用戶使用同一臺(tái)設(shè)備的情況，要進(jìn)行嚴(yán)格的登記，并記錄運(yùn)行的情況。

（二）在軟件功能上施加必要的控制措施

1、必要的檢驗(yàn)功能。設(shè)計(jì)適應(yīng)電算化賬務(wù)處理的核算組織程序。任何由原始憑證人工編制的記賬憑證都應(yīng)進(jìn)行嚴(yán)格的審核以及復(fù)核。在網(wǎng)絡(luò)環(huán)境系統(tǒng)中，輸入的工作量由多人共同來(lái)分擔(dān)，憑證數(shù)據(jù)的輸入可以采用一組人員輸入，換人復(fù)核；或者采用兩組人員分別進(jìn)行兩次的輸入，輸入的數(shù)據(jù)分別存放在兩個(gè)暫存文件中，然后由計(jì)算機(jī)對(duì)兩個(gè)數(shù)據(jù)文件中的記錄來(lái)逐條進(jìn)行比較。對(duì)于存在差異的記錄進(jìn)行對(duì)照顯示或打印，以便于找出錯(cuò)誤，進(jìn)行修改。只有完全相同的情況下，系統(tǒng)才把錄入的數(shù)據(jù)作為正式的憑證數(shù)據(jù)存儲(chǔ)。未經(jīng)校驗(yàn)的數(shù)據(jù)系統(tǒng)應(yīng)作上標(biāo)記，不允許進(jìn)入記賬憑證文件。

2、加強(qiáng)輸入數(shù)據(jù)檢驗(yàn)。對(duì)輸入系統(tǒng)的數(shù)據(jù)、代碼等都要進(jìn)行檢驗(yàn)。如：輸入記賬憑證時(shí)、每張憑證都要經(jīng)過(guò)日期合法性、會(huì)計(jì)科目合法性、憑證類合法性、對(duì)應(yīng)科目的合法性、金額借、貸平等校驗(yàn)。對(duì)于那些不符合要求的數(shù)據(jù)系統(tǒng)不予通過(guò)。根據(jù)會(huì)計(jì)核算的要求和網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)、系統(tǒng)對(duì)輸入的同類記賬憑證、原始憑證自動(dòng)按日或月分類順序編號(hào)，并且對(duì)多個(gè)用戶同時(shí)訪問(wèn)同一個(gè)數(shù)據(jù)文件時(shí)各用戶操作的記錄進(jìn)行鎖定，拒絕其他用戶的訪問(wèn)。這樣可以盡量避免多個(gè)用戶同時(shí)操作易引起的憑證斷號(hào)、重號(hào)和串號(hào)，而且使于分清責(zé)任，達(dá)到會(huì)計(jì)控制的目的。

3、建立嚴(yán)格的檔案管理制度。（1）系統(tǒng)投入使用之后，原系統(tǒng)的所有程序文件、軟、硬件技術(shù)資料應(yīng)作為檔案進(jìn)行妥善的保管，并應(yīng)由專人負(fù)責(zé)，同時(shí)嚴(yán)格限制無(wú)權(quán)用戶、有權(quán)用戶在非正常時(shí)間等對(duì)程序的不正常接觸；在檔案調(diào)用時(shí)也必須經(jīng)系統(tǒng)主管和程序保管共同的批準(zhǔn)，并對(duì)使用人、程序名稱、調(diào)出時(shí)間、使用原因和目的以及歸還時(shí)間等進(jìn)行詳細(xì)的登記和記錄，以便日后核查。（2）所有會(huì)計(jì)數(shù)據(jù)文件應(yīng)做檔案保管并嚴(yán)格限制無(wú)權(quán)用戶、有權(quán)用戶非正常時(shí)間等的不正常接觸；建立必要的應(yīng)急措施，如數(shù)據(jù)文件的定期備份、備份數(shù)據(jù)的存放地點(diǎn)、存放條件要求、系統(tǒng)數(shù)據(jù)文件損壞后的再生規(guī)則等，從管理上嚴(yán)格把關(guān)，以降低軟件系統(tǒng)因素的風(fēng)險(xiǎn)。

（三）在會(huì)計(jì)操作人員上施加必要的控制措施

1、增加必要的限制功能。修改限制，修改功能可以方便用戶，提高系統(tǒng)的實(shí)用性，但同時(shí)也增加了系統(tǒng)的不安全因素。因此，在賬務(wù)處理中有必要對(duì)修改功能加以限制：（1）對(duì)未記賬的憑證，一經(jīng)修改，必須進(jìn)行復(fù)核，只有正確之后系統(tǒng)才對(duì)修改結(jié)果予以確認(rèn)；（2）對(duì)已經(jīng)記賬的憑證系統(tǒng)不提供直接修改賬目的功能，只能通過(guò)編制記賬憑證，對(duì)錯(cuò)誤的憑證進(jìn)行沖正或補(bǔ)充登記；（3）對(duì)修改過(guò)的憑證，系統(tǒng)予以標(biāo)識(shí)，保留更改痕跡，并可以打印輸出以作核查依據(jù)；（4）輸出的財(cái)務(wù)報(bào)表，其數(shù)據(jù)由系統(tǒng)自動(dòng)按照用戶定義的格式和數(shù)據(jù)來(lái)源的公式生成、不提供對(duì)數(shù)據(jù)的修改功能；（5）基礎(chǔ)數(shù)據(jù)，如：科目庫(kù)、代碼庫(kù)等的修改權(quán)限只授予系統(tǒng)維護(hù)員。

2、處理數(shù)據(jù)的一次性限制。在賬務(wù)處理中、期末結(jié)賬，一旦執(zhí)行，系統(tǒng)應(yīng)予以標(biāo)識(shí)，如果系統(tǒng)的某些設(shè)置（比如會(huì)計(jì)期間）未改變，則不能再執(zhí)行第二次。

3、實(shí)行用戶權(quán)限分級(jí)授權(quán)管理。實(shí)行用戶權(quán)限分級(jí)授權(quán)管理，建立起網(wǎng)絡(luò)化環(huán)境下會(huì)計(jì)信息系統(tǒng)的崗位責(zé)任制。按照網(wǎng)絡(luò)化會(huì)計(jì)系統(tǒng)業(yè)務(wù)的需求設(shè)定各會(huì)計(jì)上機(jī)操作崗位，明確崗位職責(zé)和權(quán)限，并通過(guò)為每個(gè)用戶進(jìn)行系統(tǒng)功能的授權(quán)落實(shí)其責(zé)任和權(quán)限。結(jié)合密碼管理措施，使各個(gè)用戶進(jìn)入系統(tǒng)時(shí)必須輸入自己的用戶號(hào)和口令，進(jìn)入系統(tǒng)之后也只能執(zhí)行自己權(quán)限范圍內(nèi)的功能，防止非法操作。

4、建立預(yù)防病毒的安全措施。堅(jiān)持使用正版的軟件，不要使用盜版或者來(lái)歷不明的軟件；經(jīng)常性的備份磁盤的數(shù)據(jù)和軟件；在不能確定計(jì)算機(jī)是否帶有病毒的情況下，要讀取軟盤的數(shù)據(jù)必須使軟盤處于寫保護(hù)狀態(tài)；不要打開(kāi)和閱讀來(lái)歷不明的電子郵件；經(jīng)常對(duì)計(jì)算機(jī)硬盤和軟盤進(jìn)行病毒檢測(cè)。

5、建立對(duì)黑客的防護(hù)措施。（1）設(shè)置防火墻，使用入侵檢測(cè)軟件。入侵檢測(cè)軟件可以檢測(cè)出非法入侵的黑客，并將它拒之內(nèi)部網(wǎng)絡(luò)之外；（2）抓好網(wǎng)內(nèi)主機(jī)的管理。用戶名和密碼管理永遠(yuǎn)是系統(tǒng)安全管理中最重要的環(huán)節(jié)之一，對(duì)網(wǎng)絡(luò)的任何攻擊，都不可能沒(méi)有合法的用戶名和密碼組合（后臺(tái)網(wǎng)絡(luò)應(yīng)用程序開(kāi)后門例外）。但目前絕大部分系統(tǒng)管理員只注重對(duì)特權(quán)用戶的管理，而往往忽視了對(duì)普通用戶的管理。主要表現(xiàn)在設(shè)置用戶時(shí)圖省事方便，胡亂設(shè)置用戶的權(quán)限、組別和文件權(quán)限，為非法用戶竊取信息和破壞系統(tǒng)留下了空隙；（3）設(shè)置好的網(wǎng)絡(luò)環(huán)境。網(wǎng)上訪問(wèn)的常用工具有網(wǎng)絡(luò)操作命令，對(duì)它們的使用必須加以限制。但這樣做會(huì)使網(wǎng)外的一切訪問(wèn)都被拒絕，即使是合法訪問(wèn)也不例外。這種閉關(guān)自守的做法不太值得提倡，因?yàn)檫@樣會(huì)使本網(wǎng)和網(wǎng)外完全的隔絕開(kāi)，也會(huì)給自己帶來(lái)諸多的不便與麻煩。應(yīng)該盡量做到有條件的限制，允許有效的、必要的網(wǎng)上訪問(wèn)；（4）加強(qiáng)對(duì)重要資料的保密。重要資料主要包括路由器、連接調(diào)制解調(diào)器的電腦號(hào)碼以及所用的通信軟件的種類、網(wǎng)內(nèi)的用戶名等，這些資料都應(yīng)采取一些必要的保密措施，防止資料隨意的擴(kuò)散。比如，向電信部門申請(qǐng)通信專用的電話號(hào)碼不刊登、不供查詢等。由于公共的或普通郵電交換設(shè)備的介入，信息通過(guò)它們后可能被篡改或泄露；（5）加強(qiáng)對(duì)重要網(wǎng)絡(luò)設(shè)備的管理。路由器在網(wǎng)絡(luò)安全計(jì)劃中是很重要的一環(huán)、現(xiàn)在大多數(shù)路由器已具備防火墻的一些功能，如禁止Internet的訪問(wèn)、禁止非法的網(wǎng)段訪問(wèn)等。通過(guò)網(wǎng)絡(luò)路由器進(jìn)行正確的存取過(guò)濾是限制外部訪問(wèn)簡(jiǎn)單而有效的手段。有條件的地方還可以設(shè)置網(wǎng)關(guān)機(jī)，將本網(wǎng)和其他網(wǎng)隔離，網(wǎng)關(guān)機(jī)上不存放任何業(yè)務(wù)數(shù)據(jù)，刪除除系統(tǒng)正常運(yùn)行所必需的用戶外所有的無(wú)關(guān)用戶，也能起到增強(qiáng)網(wǎng)絡(luò)的安全性的作用。

四、結(jié)論

總之，會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)一直以來(lái)都是企業(yè)管理者、系統(tǒng)設(shè)計(jì)者以及系統(tǒng)用戶所必須面臨的問(wèn)題。無(wú)論防范措施做得多么完善，也不可能做到?jīng)]有漏洞，更何況隨著信息技術(shù)的飛速發(fā)展，還會(huì)應(yīng)運(yùn)而生更多的安全問(wèn)題，想做到萬(wàn)無(wú)一失是不可能的，總會(huì)有百密一疏的時(shí)候。但是，企業(yè)相關(guān)人員能做到的是要將會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)降到最低，盡量使可能出現(xiàn)的損失最小化，使企業(yè)的利益最大化。這樣，只有科學(xué)、合理的運(yùn)用會(huì)計(jì)信息系統(tǒng)，才能使企業(yè)取得長(zhǎng)遠(yuǎn)的發(fā)展。

主要參考文獻(xiàn)：

［1］趙靜.電算化會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)防范問(wèn)題.財(cái)經(jīng)界（學(xué)術(shù)版），2013.6.

［2］董瀅.網(wǎng)絡(luò)環(huán)境下中小企業(yè)會(huì)計(jì)信息系統(tǒng)存在的安全問(wèn)題及防范對(duì)策.甘肅聯(lián)合大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2013.1.

［3］趙麗艷.淺談會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)及防范措施.中國(guó)電子商務(wù)，2014.11.

F23

A