信息時代會計電算化系統安全管理研究(六)

有人說，網絡會計的安全問題是咽喉中的“惡性腫瘤”，盡管腸胃消化功能很好，可營養豐富的食物無法下咽，也只能通過“導管”維持生命。通俗的比喻，淺顯地道出了一個業界人士最為關心的問題:網絡會計發展的瓶頸一安全問題，更折射出業界人士的心愿:網絡會計發展的明天-摘除“悲性腫瘤”。

 國際互聯網絡時空的無限性和技術的開放性，為實現工作場地虛擬化，資料記錄無紙化，數據傳遞遠程化，信息交流數字化提供了廣闊的空間，在當今時代已經顯現出無比的優越性，但也使一些不法分子常常有機可乘，從而使用戶比以往更有可能暴露有價值的企業信息、關鍵性的商業應用以及公司客戶的各類私人保密信息。惡意的襲擊會侵入網絡會計站點，進行各種可能的破壞，如制造和傳播破壞性病毒或讓服務器拒絕服務等。這些攻擊可引起服務，崩潰，保密信息暴露，從而最終導致公眾信心的喪失，

五、電算化會計系統安全風險產生的因素分析及對策

（一）電算化會計系統的安全風險存在表現及原因分析

我國電算化會計系統的安全風險存在表現及原因分析有以下幾點: (1) 人為因素，舞弊造假。在電算化會計系統中，有些系統內部工作人員竊取口令、文件，用來作弊。或非法轉移資金、掩蓋各種舞弊行為泄露商業秘密等。(2) 會計軟件自身缺乏安全性與保密性。不少單位由于各方面原因，電算化會計系統的開發模式是選擇購買通用的電算化會計系統，由于通用使得一些非法用戶可以很方便的從外部打開數據庫，對數據進行違法操作，造成企業的嚴重損失。還有一些會計軟件缺乏“操作日志”記錄功能，客觀上增加了追究責任的難度和產生風險的幾率。(3) 會計人員缺乏風險防范意識。電腦無與倫比的運算速度改變了會計信息的形成過程，但由于部分會計人員對計算機風險缺乏了解，思想上不夠重視，許多單位也忽視安全防范教育。(4)會計信息嚴重失真。不少單位非電算化會計人員隨意操作、至使系統軟硬件故障等，導致會計數據錯誤、丟失或被算改。在網絡環境下，數據容易被截取、盜用，甚至被篡改。同時，由于審計取證難度大，同時加大了會計信息失真的風險。(5) 病毒侵襲造成計算機系統無法正常運行，當前，計算機病毒防不勝防，在網絡環境下，一臺計算機染上病毒，能夠導致網絡中其他計算機也感染病毒，它可以通過軟盤、U盤等途徑進行傳播，還可以通過網絡環境和電子郵件進行傳播。有些黑客為了獲得商業利益或其他利益而入侵單位的電算化會計系統，盜取機密資料、文件、數據等，從而獲得非法利益。

（二）電算化會計系統的安全防范對策問題

1.從內控制度抓起建立健全電算化會計系統的內部控制制度

（1）對一般工作.上控制:對-般工作上控制- -定要避免兼職，因為組織與管理控制的基本目的是減少發生錯誤及舞弊行為的可能性。在會計電算化系統中，不相容的職務要相互分離，互不兼任，同時還應定期輪換，以減少利用計算機舞弊的可能性:業務處理部門與用戶部門的職責要嚴格分離，除了執行業務記錄的職能外，不能負責業務的批準和執行，也不能保管除計算機系統以外的任何資產。

 （2）對應用過程的控制有以下幾點: ①關于輸入控制:經審批的業務數據能準確、完整地輸入系統，被系統發現并拒絕的錯誤數據，能經恰當的改正后重新輸入系統。所有業務數據輸入前必須經過恰當的審批手續，只有經審批的數據才能輸入系統。所以輸入操作是保證系統數據正確的關鍵環節，要有嚴格控制;會計軟件必須具備必要的防范會計數據輸入差錯的功能。②關于處理控制:處理過程的現場控制應該將前個過程的數據處理結果進行現場檢索，經過系統核對、驗證無誤，確認該處理過程正確無誤后才可以進入本次處理;業務時序控制是會計數據處理過程中，一個處理過程的運行結果取決于若干個相關條件過程的完成:數據備份及可恢復控制是將機內會計數據進行備份，是過程控制的一個重要內容，是一-種防止數據丟失的防范措施。③關于輸出控制:在賬簿無誤的情況下再進行輸出報表等，這便是時序控制:根據賬簿、報表之間的鉤稽關系，設置控制程序對輸出的數據進行核對，是數據稽核控制授權輸出控制就是只有經過批準的人才能執行輸出操作企業單位的會計信息。

2.切實加強病毒的防范和控制

對于計算機病毒應采用防、查、殺"相結合的方式，堅決防止計算機病毒的傳播，一定 將病毒對系統的潛在破壞性減到最少。防范工作應從這幾方面進行:必須使用正版軟件。由于購買的盜版軟件從非正規渠道，則可能攜帶病毒，要提高對計算機異常現象的警覺。發現計算機有奇怪的現象的出現可能意味著計算機感染了病毒、計算機中存在有問題的軟件或出現了硬件故障;及時升級反病毒軟件。定期備份數據。數據一-定 要至少每周備份一次，通常要進行異地備份;對外來軟盤要進行防病毒檢查專機專用，決不打開來歷不明的郵件。

3.計算機無比方面的風險防范計算機舞弊可以從以下幾方面加以防范:

（1）加強預防計算機犯罪的法律建設。一方面建立針對計算機犯罪活動的法律，即明確利用或針對計算機進行哪些活動屬于違法行為，以及對這些行為的懲制方法;另一方面建立計算機系統本身的保護法律，即明確計算機系統中那些東西或那些方面受何種法律保護。