潘中建

摘 要：隨著科學(xué)技術(shù)的發(fā)展，網(wǎng)絡(luò)信息技術(shù)得到前所未有的發(fā)展與普及，計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展改變了人們傳統(tǒng)的工作與生活方式，會(huì)計(jì)信息系統(tǒng)就是其中典型的例子，然而，會(huì)計(jì)信息系統(tǒng)在給會(huì)計(jì)工作帶來許多便利的同時(shí)，也面臨許多安全隱患。首先對(duì)會(huì)計(jì)信息系統(tǒng)的安全現(xiàn)狀進(jìn)行了介紹，然后又論述了目前會(huì)計(jì)信息系統(tǒng)所面臨的安全問題，最后對(duì)此提出了相關(guān)應(yīng)對(duì)策略。

關(guān)鍵詞：大數(shù)據(jù);會(huì)計(jì)信息;系統(tǒng)安全對(duì)策

1 概述

隨著互聯(lián)網(wǎng)（Internet）的迅猛發(fā)展與現(xiàn)代信息技術(shù)革命的不斷深入，財(cái)務(wù)人員通過使用網(wǎng)絡(luò)就可以使用會(huì)計(jì)信息系統(tǒng)，會(huì)計(jì)核算質(zhì)量提高，同時(shí)也提高了工作效率。大數(shù)據(jù)時(shí)代已經(jīng)來臨，它將在眾多領(lǐng)域掀起變革的巨浪。但我們要冷靜的看到，大數(shù)據(jù)的核心在于為客戶挖掘數(shù)據(jù)中蘊(yùn)藏的價(jià)值，而不是軟硬件的堆砌。隨著大數(shù)據(jù)時(shí)代的來臨，現(xiàn)行的會(huì)計(jì)信息系統(tǒng)存在的安全問題也逐漸顯露，為了保障會(huì)計(jì)信息系統(tǒng)功能的實(shí)現(xiàn)及其加工、處理、傳輸?shù)臄?shù)據(jù)信息真實(shí)可靠、不受侵害，必須建立相應(yīng)的安全機(jī)制。

1.1 會(huì)計(jì)信息系統(tǒng)含義

會(huì)計(jì)信息系統(tǒng)指通過計(jì)算機(jī)對(duì)會(huì)計(jì)數(shù)據(jù)的采集、存儲(chǔ)、處理幫助企業(yè)進(jìn)行管理、決策的一種輔助管理軟件。會(huì)計(jì)信息系統(tǒng)初期指會(huì)計(jì)電算化軟件，主要進(jìn)行會(huì)計(jì)核算工作。隨著集成技術(shù)的提高，軟件功能逐漸向ERP管理方向發(fā)展，增加了人力資源系統(tǒng)、供應(yīng)鏈管理系統(tǒng)等。與此同時(shí)，在技術(shù)方面和管理方面的不安全因素也隨之出現(xiàn)。如果不能很好地解決這些問題，勢(shì)必會(huì)給企業(yè)帶來不同程度的損失，阻礙會(huì)計(jì)信息化發(fā)展進(jìn)程。

1.2 會(huì)計(jì)信息系統(tǒng)的特點(diǎn)

1.2.1 綜合性

綜合性主要是體現(xiàn)在會(huì)計(jì)系統(tǒng)需要收集很多方面的信息包括客戶、企業(yè)本身以及經(jīng)銷商等等，并且是要從多個(gè)方面對(duì)這些信息進(jìn)行記錄的。

1.2.2 一體化

會(huì)計(jì)信息系統(tǒng)以后不會(huì)是單獨(dú)的一個(gè)系統(tǒng)。通常來說一個(gè)會(huì)計(jì)信息系統(tǒng)只需要具有財(cái)務(wù)報(bào)表的功能就可以了，但是未來的會(huì)計(jì)信息系統(tǒng)將會(huì)囊括整個(gè)企業(yè)的內(nèi)部系統(tǒng)。因?yàn)闀?huì)計(jì)信息的收集都需要從各個(gè)系統(tǒng)之中進(jìn)行提取。而且從今以后信息質(zhì)量的要求會(huì)越來越高，會(huì)計(jì)系統(tǒng)的主要工作就是提供準(zhǔn)確可靠地財(cái)務(wù)信息，并且在通過網(wǎng)絡(luò)提供這些信息的同時(shí)還要保證這些信息的安全，并且要通過這些準(zhǔn)確的會(huì)計(jì)信息進(jìn)行相應(yīng)的內(nèi)部控制，并適當(dāng)做出調(diào)整。

2 會(huì)計(jì)信息系統(tǒng)安全現(xiàn)狀

2.1 安全防范意識(shí)弱

很多的企業(yè)在進(jìn)行網(wǎng)絡(luò)會(huì)計(jì)的管理的時(shí)候，基本上都沒有考慮到網(wǎng)絡(luò)安全帶來的問題，他們這個(gè)方面的安全意識(shí)十分淡薄，大部分的企業(yè)由于沒有出現(xiàn)過重大的安全事故所以基本都沒有一定的監(jiān)控和防護(hù)措施，有些企業(yè)雖然有這種措施，但是不夠全面，很難有良好的監(jiān)測(cè)效果。

2.2 信息系統(tǒng)的安全建設(shè)與系統(tǒng)不規(guī)范的管理

從宏觀的層次來說，國(guó)家中政府并沒有出臺(tái)一系列的法律法規(guī)對(duì)網(wǎng)絡(luò)的安全問題進(jìn)行完善和管理。所以在法律方面這是一片空白，導(dǎo)致了很多的漏洞的出現(xiàn)。然后是有關(guān)的網(wǎng)絡(luò)安全部門并沒有考慮到企業(yè)的網(wǎng)絡(luò)信息安全的問題，沒有頒布一些指導(dǎo)性的文件對(duì)企業(yè)進(jìn)行指導(dǎo)和幫助，并且企業(yè)自身也沒有引起足夠的重視，安全意識(shí)沒有得到提升，自身沒有做好防范和規(guī)范的工作。再者，一個(gè)計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)是由多個(gè)層次組成的，每個(gè)層次之中都具有自身的安全隱患，所以沒有辦法進(jìn)行統(tǒng)一的管理。最后對(duì)于企業(yè)自身來說沒有加入一定的安全設(shè)計(jì)和措施，在對(duì)信息進(jìn)行使用和傳輸?shù)臅r(shí)候都比較隨意，沒有加密的程序，并且一些企業(yè)的內(nèi)部系統(tǒng)十分混亂，甚至出現(xiàn)了多個(gè)系統(tǒng)，導(dǎo)致了信息的冗余。

2.3 未建立安全管理體系

一個(gè)全面的信息安全管理體系的建立對(duì)于企業(yè)的信息安全管理是十分重要的，很多企業(yè)并沒有建立這種體系，也有很多的企業(yè)就算建立了這種體系但是也沒有按照這個(gè)體系去嚴(yán)格地執(zhí)行，也有很大一部分的企業(yè)根本沒有認(rèn)識(shí)到這個(gè)問題的嚴(yán)重性，并沒有設(shè)立專門負(fù)責(zé)信息安全的人員，或者一些信息安全的人員自身的素質(zhì)不夠?qū)I(yè)，不能夠建立一套完善全面的信息安全管理體系。

3 會(huì)計(jì)信息系統(tǒng)安全問題

3.1 財(cái)務(wù)信息可能被竊取

企業(yè)關(guān)于財(cái)務(wù)的情況以及經(jīng)營(yíng)的成果是能夠通過財(cái)務(wù)信息得知的，因此不可以將企業(yè)機(jī)密的財(cái)務(wù)信息進(jìn)行泄密、損壞或者遺失。企業(yè)的規(guī)模越大，其采購范圍也就越大，這樣也就會(huì)有更大的網(wǎng)上采購，因此會(huì)使犯罪分子有機(jī)可乘，在這樣的因特網(wǎng)環(huán)境下，要想保證企業(yè)財(cái)務(wù)信息的安全就會(huì)更加棘手。

3.2 網(wǎng)絡(luò)信息系統(tǒng)受到網(wǎng)絡(luò)病毒和黑客的攻擊

互聯(lián)網(wǎng)是一個(gè)開放的系統(tǒng)，使用者能夠從中自由的共享網(wǎng)絡(luò)資源，這使人們的生活更加方便，但是也會(huì)給一部分有著不純目的的網(wǎng)絡(luò)瀏覽者給予機(jī)會(huì)。電腦病毒是一種有著非常強(qiáng)的自我復(fù)制能力的電腦程序，電腦病毒會(huì)使電腦中正常的程序遭到損壞，對(duì)里面保存的信息數(shù)據(jù)或者保存途徑造成損壞，導(dǎo)致無法正常使用計(jì)算器。電腦病毒進(jìn)入電腦的途徑非常多，例如，從存儲(chǔ)的介質(zhì)進(jìn)入，U盤、移動(dòng)硬盤、網(wǎng)盤之間的相互復(fù)制、關(guān)聯(lián)會(huì)使有著病毒的存儲(chǔ)介質(zhì)之間相互傳遞;還有就是通過互聯(lián)網(wǎng)的方式進(jìn)入，人們通過網(wǎng)頁下載的文件有可能帶有病毒，在下載之后病毒就會(huì)快速進(jìn)行傳播，損壞計(jì)算器的硬件系統(tǒng)。

3.3 企業(yè)缺乏網(wǎng)絡(luò)會(huì)計(jì)人才

網(wǎng)絡(luò)會(huì)計(jì)信息操作是一門專業(yè)性很強(qiáng)的工作，需要操作人員具有很高的專業(yè)素質(zhì)。而當(dāng)前我國(guó)網(wǎng)絡(luò)技術(shù)相關(guān)人才短缺，對(duì)于一些網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全問題不能及時(shí)的去發(fā)現(xiàn)、挖掘，即使能拿發(fā)現(xiàn)存在相關(guān)問題，也不一定具備解決相關(guān)問題的能力。

4 會(huì)計(jì)信息系統(tǒng)安全問題防范對(duì)策

4.1 建立備份與容錯(cuò)恢復(fù)機(jī)制

4.1.1 建立容錯(cuò)機(jī)制，預(yù)防系統(tǒng)故障

容錯(cuò)技術(shù)指的是一個(gè)冗余部分接替該部分，使得系統(tǒng)繼續(xù)運(yùn)行而不至于出現(xiàn)中斷，主要用于工程設(shè)計(jì)中。當(dāng)然，容錯(cuò)不等于無限度寬容，更不等于可以胡來。當(dāng)系統(tǒng)中出現(xiàn)了數(shù)據(jù)、文件損壞或丟失時(shí)，系統(tǒng)能夠自動(dòng)將這些損壞或丟失的文件和數(shù)據(jù)恢復(fù)到發(fā)生事故以前的狀態(tài)，使系統(tǒng)能夠連續(xù)正常運(yùn)行的一種技術(shù)。

4.1.2 數(shù)據(jù)備份與恢復(fù)

數(shù)據(jù)備份與恢復(fù)是將通過定期備份將會(huì)計(jì)數(shù)據(jù)在物理上分散保存，即使硬件系統(tǒng)遭受毀滅性打擊，也可在最短時(shí)間內(nèi)恢復(fù)軟件系統(tǒng)正常運(yùn)行的一種方法。會(huì)計(jì)資料要定期進(jìn)行備份，嚴(yán)格執(zhí)行資料的備份制度，通過建立安全恢復(fù)防控機(jī)制，一旦出現(xiàn)數(shù)據(jù)丟失的情況，系統(tǒng)也可以通過數(shù)據(jù)的恢復(fù)確保系統(tǒng)的安全運(yùn)行。

4.2 設(shè)置系統(tǒng)進(jìn)入關(guān)卡，控制威脅

設(shè)置多層次的系統(tǒng)進(jìn)入關(guān)卡，同時(shí)對(duì)于數(shù)據(jù)范圍權(quán)限進(jìn)行嚴(yán)格的控制，避免非法訪問，可以有效解決在系統(tǒng)管理中經(jīng)常出現(xiàn)的安全問題。

4.2.1 會(huì)計(jì)信息系統(tǒng)硬件設(shè)備隔離機(jī)制

會(huì)計(jì)信息系統(tǒng)所安裝在的硬件服務(wù)器設(shè)備需要單據(jù)存放在單獨(dú)的機(jī)房中，服務(wù)器上避免安全其他軟件，服務(wù)器終端設(shè)備的訪問需要進(jìn)行授權(quán)，避免受到惡意破壞或者病毒入侵。安裝的其他軟件一旦感染病毒，將可能導(dǎo)致會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)被竊取、系統(tǒng)癱瘓等情況。同時(shí)服務(wù)器上需要安裝殺毒軟件、防火墻對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)的保護(hù)。

4.2.2 會(huì)計(jì)信息系統(tǒng)進(jìn)入控制

會(huì)計(jì)信息系統(tǒng)進(jìn)入控制指通過啟動(dòng)瀏覽器，訪問會(huì)計(jì)信息系統(tǒng)主頁，輸入進(jìn)過授權(quán)的賬號(hào)和密碼，系統(tǒng)對(duì)用戶進(jìn)行鑒別后才可以使用系統(tǒng)。系統(tǒng)可以記錄使用者的IP地址、使用的時(shí)間及使用的內(nèi)容，對(duì)用戶的訪問行為進(jìn)行及時(shí)的監(jiān)控，從而保護(hù)系統(tǒng)防止數(shù)據(jù)丟失破壞的情況的發(fā)生。對(duì)離職的員工需要及時(shí)注銷其賬號(hào)訪問權(quán)限。

4.2.3 會(huì)計(jì)信息系統(tǒng)文檔進(jìn)入控制

避免對(duì)數(shù)據(jù)和程序文檔在沒有經(jīng)過授權(quán)的情況下進(jìn)行訪問和更改。針對(duì)打開以及修改文檔，建議創(chuàng)建一種信息管理系統(tǒng)對(duì)用戶的進(jìn)入進(jìn)行授權(quán)控制。利用信息管理系統(tǒng)的用戶管理及權(quán)限分配設(shè)置，使用戶在自身的權(quán)限范圍內(nèi)使用系統(tǒng)資源及功能，確保系統(tǒng)的正常安全運(yùn)行。要將職責(zé)進(jìn)行明確分離，用戶權(quán)限設(shè)置可設(shè)置系統(tǒng)管理員的用戶權(quán)限，進(jìn)而由系統(tǒng)管理員分配各用戶的使用權(quán)限，逐級(jí)分配、分級(jí)授權(quán)，防止越權(quán)訪問系統(tǒng)信息。只有在特殊必要的時(shí)候，才允許由相關(guān)安全部門打開這些帶有密碼的文檔。數(shù)據(jù)和程序文檔要求使用數(shù)字簽名，按照一定時(shí)間規(guī)律對(duì)其做檢查，檢查其相關(guān)數(shù)據(jù)和程序的一致性。

4.2.4 網(wǎng)民訪問控制

網(wǎng)民在網(wǎng)上的操作基本就是信息、文件的發(fā)送、相關(guān)資料的查看等，互聯(lián)網(wǎng)是一個(gè)開放的系統(tǒng)，使用者可以在網(wǎng)上做自己想做的事情，并且無法受到管控，因此企業(yè)需要對(duì)網(wǎng)頁的訪問做合理的控制。實(shí)際操作可以按照以下三點(diǎn)實(shí)行：首先，對(duì)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的網(wǎng)頁設(shè)置登入口令，要求所有登錄者提供真實(shí)有效的個(gè)人信息;其次，對(duì)網(wǎng)絡(luò)資源的屬性、訪問權(quán)限進(jìn)行設(shè)置，將管理員與游客的身份進(jìn)行區(qū)分，要求不同身份能夠得夠查閱的信息也是不一致的，對(duì)相關(guān)操作做一定的權(quán)限;最后，實(shí)時(shí)觀察網(wǎng)絡(luò)的運(yùn)行情況，一旦發(fā)現(xiàn)問題需要立馬解決。

4.3 優(yōu)化內(nèi)部控制環(huán)境

想要讓安全控制系統(tǒng)有效的運(yùn)轉(zhuǎn)起來，就必須進(jìn)行內(nèi)部控制環(huán)境，它的作用是非常大的，不僅可以提供基礎(chǔ)結(jié)構(gòu)和規(guī)范，最重要的是還利于促進(jìn)組織中的控制意識(shí)的培養(yǎng)，它的最主要目的就是創(chuàng)造一個(gè)良好的氛圍，能夠基礎(chǔ)框架平臺(tái)需要實(shí)現(xiàn)的用戶數(shù)據(jù)的整合和功能權(quán)限模型的建立。通過用戶數(shù)據(jù)的整合實(shí)現(xiàn)單點(diǎn)登錄（Single Sign On），確保多個(gè)系統(tǒng)用戶驗(yàn)證信息的唯一性和正確性，最大范圍的減少多套身份驗(yàn)證信息的尷尬;實(shí)現(xiàn)統(tǒng)一的功能權(quán)限模型可以有效的進(jìn)行業(yè)務(wù)系統(tǒng)的兼容和歸并，實(shí)現(xiàn)統(tǒng)一的接入授權(quán)，使得每個(gè)用戶都可以擁有自己的管理和應(yīng)用視圖，專注于自己的業(yè)務(wù)處理。

在構(gòu)建統(tǒng)一平臺(tái)的基礎(chǔ)上要實(shí)現(xiàn)關(guān)鍵性數(shù)據(jù)的統(tǒng)一，需要從業(yè)務(wù)流程和業(yè)務(wù)數(shù)據(jù)出發(fā)，通過具體的分析和歸并，確立不同的業(yè)務(wù)數(shù)據(jù)的來源作為統(tǒng)一數(shù)據(jù)的標(biāo)準(zhǔn)，并制定統(tǒng)一的數(shù)據(jù)規(guī)范和格式標(biāo)準(zhǔn)。接入統(tǒng)一平臺(tái)的業(yè)務(wù)系統(tǒng)將遵循這一標(biāo)準(zhǔn)，業(yè)務(wù)系統(tǒng)將專注于自身業(yè)務(wù)的實(shí)現(xiàn)，某個(gè)業(yè)務(wù)系統(tǒng)相當(dāng)于是數(shù)據(jù)的加工流程，為基礎(chǔ)平臺(tái)提供符合數(shù)據(jù)規(guī)范的標(biāo)準(zhǔn)數(shù)據(jù)，作為其他業(yè)務(wù)系統(tǒng)的參考數(shù)據(jù)。

4.4 對(duì)網(wǎng)絡(luò)硬件擇優(yōu)而選

既要實(shí)現(xiàn)共享性的原則，又要保證數(shù)據(jù)在使用過程中其安全性、保密性等不被破壞，就要求我們應(yīng)該對(duì)硬件進(jìn)行嚴(yán)格地選擇。必須要從多個(gè)方面對(duì)硬件設(shè)施進(jìn)行綜合性的考慮，要考慮到其傳遞的速度、搜索的準(zhǔn)確性、花費(fèi)的成本等。

4.5 對(duì)網(wǎng)絡(luò)病毒的控制

對(duì)該系統(tǒng)的維護(hù)和檢測(cè)應(yīng)該更加重視起來，對(duì)網(wǎng)絡(luò)病毒的控制也要制定出一些相應(yīng)的措施。最有效的方法就是借助法律法規(guī)的手段來對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)，除此之外，還應(yīng)該對(duì)該方面的人員進(jìn)行相應(yīng)的培訓(xùn)，定期組織起來接受教育，并且進(jìn)行考核，試操作人員的專業(yè)水平也應(yīng)該與日俱增。同時(shí)還要提高人民的道德素質(zhì)，提倡文明、合法地上網(wǎng)。

參考文獻(xiàn)

[1]王培培.網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全對(duì)策研究[D].太原：山西財(cái)經(jīng)大學(xué)，2014.

[2]董瀅.網(wǎng)絡(luò)環(huán)境下中小企業(yè)會(huì)計(jì)信息系統(tǒng)存在的安全問題及防范對(duì)策[J].甘肅聯(lián)合大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2013.

[3]羅紅.網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全問題研究[J].財(cái)會(huì)通訊，2013.

[4]劉潤(rùn)龍.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)安全研究[J].中國(guó)商貿(mào)，2015.

[5]倪江陵.網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)不安全因素分析及對(duì)策研究[J].湖南科技學(xué)院學(xué)報(bào)，2015.