第 5 章 我国企业会计信息系统的安全对策
本章以上述分析为基础,在分析会计信息系统遭遇的安全问题及其原因后,有针对性地提出了符合全国大型企业共同应对的措施以及针对不同类型企业各自的改进措施。
5.1 共性对策
对于各类企业会计信息系统所面临的共性问题及其产生的原因,我们主要从下述四方面对其进行分析。
5.1.1 硬件系统
我们打算从硬件设备的购买、安装以及维护管理三方面对企业网络会计信息系统中的硬件系统提出一些建议。
企业在选择有线通信还是无线通信、以及选择调制调解器、路由器、服务器等线路、设备时,应充分考虑企业会计信息的传输量、通信线路的占用时间以及租用或购置的费用,还要考虑企业已有设备的接口情况,为企业选用优质且合适的网络硬件设备。网络系统下工作站的选择,企业一方面要从内部网络系统本身的要求出发,另一方面也要根据企业财务软件的选择来确定采用有盘工作站还是无盘工作站。在工作站选择稳妥的基础上,企业还应选择稳定性好、内存较大、运行速度较快的计算机来为整个系统进行正常工作运转。
硬件到达企业后,应由专门的计算机管理员进行安装,以及网络布线时,管理员应注意尽量避免电磁干扰或人为的损坏,而非专业人员不应该擅自拆装硬件设备,硬件设备安装完成后,首先应由管理员进行试运行,运行成功后,企业会计部门的操作人员方可根据一定的操作方式进行操作,如启动计算机应开外部电源,再开机;或当计算机处于工作状态时,操作人员不可随意拔插各种外部设备,也不应经常插拔网络电缆线的接头,不要经常移动计算机等。
对于硬件设备的后期维护,企业应建立合理的硬件管理制度,首先,应确保硬件设备运行的温度、湿度、电池干扰等基本环境要求,且对于安全级别较高的会计系统,应限制工作人员出入,无关人员不得进入机房进行操作;其次,在此基础上,应制定一套应急措施,如在突发断电、火灾、水侵等情况下的紧急应对措施,如企业可对财务上面的机器采取双电源管理,一旦突发断电情况,另一交流电源或不间断电源会支持计算机进行数据备份或输出;最后,防止操作人员对设备的恶意损坏,企业应分清各操作人员的责任,令其使用、管理好自己职责范围内的设备,不得无故使用他人的设备,若多人使用一台设备,则要实行登记制度,记录各人的操作运行记录。
5.1.2 软件系统
我们打算从数据库系统、会计软件的操作以及运行维护管理等方面对软件系统提出些建议和措施。
由于企业中会计信息通常都来自于企业的数据库系统中,因而企业应重点控制网络数据库系统。对于数据库系统可能出现的操作人员对数据库的非授权访问以及操作人员对数据库系统的误操作或恶意破坏等安全威胁,企业可以采取以下措施:
1、企业可利用代理服务器作为中间机构来隔离客户和数据库服务器的联系,这样客户便不能直接访问数据库或直接对数据库中的数据进行修改、删除,保证了会计信息的安全、完整,具体而言,企业可以采用三层式客户机/服务器的模式来组建企业的内部网;
2、采用较为成熟的大型网络数据库产品并合理定义应用子模式,子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集,通过它可以分别定义面向用户操作的用户界面,做到特定数据面向特定用户开放;在使用财务软件过程中,会计人员必须依据真实、完整的原始凭证,且经过严格的审批后,方可将原始数据录入系统,原始凭证是会计人员编制记账凭证、生产会计账簿、产生会计报表的基础,因此,企业必须保证原始数据录入的准确性;若数据录入员对其所输入的数据存在疑问时,不应擅自揣测或篡改数据,应及时与相关人员进行核对,确认数据无误后才可录入数据,以确保会计数据的准确无误;若发现录入的数据有误后,由于网络环境下会计数据的修改是不留痕迹的,因此,数据录入员应严格按照相关规定对数据进行更正修改。会计软件的修改功能确实给企业带来了极大的便利,但同时也会威胁会计数据的安全,因此企业应在会计软件的修改功能上加以一定的限制,如对于基础数据(如会计科目、代码等)的修改权限只授予系统维护员。
对于会计软件系统运行的安全管理,企业必须建立较为完善的安全运行管理制度,并进行严格的运行管理,才能保障系统的正常运行。我们就如何对系统进行安全运行的管理提出了以下两点意见:
第一,对会计信息系统的运行日志进行保管与审计。系统日志应对系统任何时候发生的运行信息及用户的操作都能进行详细地记录,企业可派专人负责管理该运行日志,通过对该日志的审查,即可发现操作员的详细的操作信息,对其中由于失误或故意进行的违规操作,可按照其对系统造成的危害损失程度,进行相关的惩罚。
第二,对信息系统进行必要的维护。如系统维护人员应及时对现有软件进行更新升级以弥补系统漏洞,定期检查和维护软件系统、数据库系统等。在系统的运行与维护过程中系统维护员应高度重视计算机病毒的防范及采取相应的防范技术和措施。
5.1.3 网络系统
对于网络系统遭遇的故障,我们打算从网络信息安全技术和网络信息安全管理两方面提出一些建议。
网络信息安全技术通常包括访问控制、入侵检测技术、漏洞扫描技术、防火墙技术等等,下面我们具体分析这几种技术:
1、访问控制访问控制通常是指按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。管理员通常使用访问控制功能来控制用户对服务器、目录、文件等的访问。访问控制实现的用途主要包括:防止非法的主体进入受保护的网络资源;允许合法用户访问受保护的网络资源;防止合法的用户对受保护的网络资源进行非授权的访问。
2、入侵检测入侵检测是指通过对行为、安全日志、审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯出的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,它通过对网络系统中的诸多关键点收集信息并对其进行分析,监控该网络系统中是否存在违反安全管理或是否存在非法入侵行为,它是一种主动防御技术。当系统接收到与正常行为产生的日志信息有明显差异时,系统就会判定其为入侵行为发生,此时,响应系统会记录入侵发生的时间,以屏幕显示、电子邮件等形式通知管理人员攻击成功的可能性以及严重程度并做出相应响应。当企业发生严重的入侵时,可以切断网络连接,截断攻击者和目标主机之间的连接,避免系统受到进一步的侵害。
3、漏洞扫描漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。漏洞扫描技术主要是通过远程检测目标主机 TCP /IP 不同端口的服务,记录目标给予的应答,将其应答搜集到的信息,与系统的漏洞库匹配,如果满足匹配条件,则认为系统存在安全漏洞。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。因此,安全扫描也是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。
4、防火墙所谓防火墙控制技术是指在被保护企业内部网和外部网络之间设置的一种用于对两者加以隔离的软件,从而为一个企业的内部网络提供抵抗外部侵袭和干扰的能力,保证企业会计信息系统的安全。防火墙的主要作用即是在企业内部网与外部环境之间建立了一种隔离“屏障”,它可以阻止某些未授权的用户进入会计信息系统,进而减少了企业中会计数据从内部网流向企业外部的可能,从而保证了会计数据的安全性与保密性。
我们这里所说的网络信息安全管理通常包括邮件系统安全管理、信息查询安全管理。
1、邮件系统安全管理
目前网络电子数据交换的主要方式之一就是邮件系统,但同时它也是黑客攻击或病毒入侵的主要载体,因此,邮件系统成为了系统安全防范的重点内容。针对邮件系统的安全管理,企业应将邮件系统限定在外部访问区域的服务器和工作站上,而不是直接将邮件系统接入信息系统所有的服务器和工作站中,如:数据库等系统的核心部位,应与邮件系统相隔离,以防止依附于邮件系统上的病毒对数据库系统的破坏。
2、网上信息查询安全管理
目前大部分企业都提供了能供社会大众查询会计信息的功能,但这类业务应只限于提供查询和检索功能,而不能提供修改或删除等功能,且该部分功能应只限在外部访问区域上,以防止任何用户穿过访问区直接进入到企业内部会计信息系统内进行非授权方式下的查询、修改等。
5.1.4 数据及人员管理
在数据和人员管理方面,我们主要从制度角度出发对会计档案及会计人员进行约束。
(一)会计档案管理制度
首先,在信息系统投入使用后,与系统程序、软件相关的资料均应作为档案来保管,企业应安排特定的职工保管档案,企业未经授权用户不得接触档案,企业工作人员申请调用档案时,需经相关人员批准后方可借出,且正常情况下,档案的原件不得借出。
其次,系统正常运行后,应及时的对其中的会计数据进行备份,以防在系统出现意外情况时能快速的恢复这些会计数据。可行的一种方法即是每日对数据库文件进行备份,备份的保存期为三天,若这期间数据库出现问题,则可用备份的数据进行恢复,每月终了将被备份的数据备份到磁盘等磁介质上,以此来完成对企业会计系统数据的备份。
最后,对于重要的文件必须要严格限制无权用户、有权用户非正常时间等的不正常接触安全,以确保文件的安全。具体我们可以将一些重要的文件定义为只读文件,或采用数据加密的方式对其进行处理,数据加密主要为防止重要文件在传输过程中被恶意窃取而采取的措施,这样未经授权即数据在未解密的情况下便不能查询或使用该文件。
(二)人员管理制度
在一个健全的组织机构中,必须具有明确的授权审批制度和内部人员牵制制度,以规范各级部门人员的职责和权限,形成管理清晰,权责明确的健全完善的会计系统人员管理制度。
1、建立严格的授权审批制度
授权审批制度即是对各职能部门的权限进行一定的划分,如,采购部门或销售部门在进行超过某一限度金额的交易时必须上报上级主管部门,并经批准后才可继续进行交易。
在网络会计信息系统下,用户一般通过身份验证进入系统,系统会根据用户的角色分类赋予其相应的权限。通常系统中的用户会被定义为不同的等级,每个等级都有与其职位相对应的操作权限。一般情况下,用户会有下面三种不同的分类:
(1)超级用户。其拥有对整个会计系统的管理权限,并可以授予其他用户相应的权利,也可以对其权利进行一定的更正。
(2)区域用户。经过超级用户的授权,可以对系统中特定区域的对象履行特定的管理权限。
(3)普通用户。经过区域用户的授权,可以对特定对象履行特定的管理权限。
2、建立严格的人员内部牵制制度
企业应明确会计信息系统内所有岗位职责的范围,并同时做到不相容职务的分离,各岗位之间要有一定的内部牵制作为对系统安全的保障。不相容职责相分离即是指对于不相容的职务必须由两人或两人以上的人员负责,不能只由一人负责,这样有利于人员的相互分工、相互监督。在网络环境下,企业管理层应在原手工记账模式的基础上重新认定,如系统维护员或系统管理员不得通过计算机处理会计业务,会计人员不得进行计算机系统的维护或管理系统进行数据备份时必须同时由操作人员和系统管理员共同批准。
同时,企业也可建立相关的内部牵制制度,即操作岗与监督审查岗相互牵制,如发生某项业务时,企业应进行多方备份,当会计人员进行账务处理时,其数据也被同步记录在监控人员的机器上,由监控人员进行即时或定期审查,若发现数据不一致,报告内部审计人员对数据进行查证,这样加强了对业务处理操作的监管力度,实现了有效牵制。
5.2 个性对策
针对前述分析各类企业会计信息系统安全面临的个性问题及其原因后,我们针对国有企业与非国有企业、上市企业与非上市企业、农业企业与非农业企业分别提出了相关改进措施。
5.2.1 国有企业与非国有企业差异的对策
针对国有企业中会计信息系统安全问题不同存在的原因,我们同样提出了相关的解决对策。
1、针对国有企业监督不严的情况,企业经营者与相关监督人员可以通过对企业会计信息系统中线路、设备等硬件系统进行定期检查,并对设备的老化损耗程度进行一定的记录,如在检查中发现问题,应及时向设备维护部门报告,及时进行维修,将硬件系统可能发生的故障比率缩小到一定的范围内。具体我们可以通过下列方式来加以改进:
(1)与经营者建立有效的委托代理关系,转变监督方式提高监督效率由于国有企业的经营者是国家通过委托代理进行指聘的,经营者的利益亦是通过委托代理契约实现的,由于激励约束机制的不完善,使得经营者往往以自身利益而不是以企业为目的进行运营,经营者的疏于管理我们可以通过建立有效的激励约束机制,优化委托代理合同,使经营者主动对企业的运行管理负责。
政府对国有企业的监督应逐渐从行政性监督为主向行政性监督与产权约束相结合方式转变,由以往的实物型监督为主向实物与价值监督相结合的方式转换。
(2)国有企业加大对会计信息系统安全的重视由于国有企业硬件系统发生故障的比率接近 50%,因此,企业应适当加大对信息系统安全方面的投入比重,企业领导应将安全放在重要的地位上加以强调,因为我们知道,会计信息系统的硬件系统出现故障,会直接导致系统的无法正常运行,而会计信息亦有可能发生毁损,会计信息的安全问题轻则会导致企业数据的丢失,重则会导致外界个人或企业获知信息背后的商业机密,给企业造成无法弥补的损失。
2、针对国有企业与非国有企业软件系统故障方面存在的问题和原因,我们打算从下列几个方面对其进行改进:
(1)加强非国有企业防病毒软件的使用众所周知,由于计算机病毒具有自我复制和传播的特点,因此病毒会给企业会计信息系统带来巨大的影响,如一些木马病毒主要以窃取用户隐私、机密文件或其登陆账号密码信息,对于会计信息系统而言,这些信息一旦泄露,即意味着会计信息、商业秘密出现泄露的可能,会给企业带来不可估量的损失。因此,企业尤其是非国有企业应加强防病毒软件的使用,具体来说,企业可以根据自身的客观情况去选择适合本企业的防病毒软件,如 360、诺顿防病毒软件等。
(2)严格实施身份认证/身份识别非国有企业身份认证/识别这方面较国有企业相比仍存在一定的差异,因此,非国有企业应加强对软件操作人员身份的认证/识别,信息系统主管可按照一定的划分标准将各操作人员按照部门、角色的不同确定各操作人员的身份登录账号,各操作人员保管好与自己相关的密码,且操作人员在登录计算机身份验证系统进入操作页面操作之时,若有情况需要临时离开或完成操作任务后,必须退出系统,以防其他人员进行恶意操作。
(3)加强定期检测的力度定期对企业财务软件系统的检测,可以及时发现相关软件存在的漏洞或版本过低等问题,以方便系统维护员进行漏洞修复或版本更新升级。相比于国有企业,非国有企业更应加强定期检测的力度,企业可组织专门人员定期(如十天)对企业会计信息系统的相关软件部分进行检测,如有问题,应及时解决。
3、针对国有企业数据与人员管理方面故障比率较非国有企业故障比率较低的问题,我们从下面几个方面提出改进措施:
(1)非国有企业加强对会计数据的监督针对国有企业三位一体的会计监督模式,一般情况下,非国有企业只存在单位内部监督以及社会审计监督,因此我们应格外重视这两方面的监督。一方面,非国有企业可组织单位内部审计机构及其人员利用内部审计的优势,即其能更经常、及时并能从企业的根本利益出发去实施审计活动,从而更能从会计数据的准确、安全角度出发加强对会计资料的监督。另一方面,非国有企业应充分利用社会审计的独立性(即中介机构如会计师事务所独立于被审计单位)以及专业性定期对企业内部财务信息等进行监督。(2)加快完善非国有企业内部授权制度通过上述分析,我们知道,非国有企业内部操作人员在非经授权情况接触到会计数据的可能性高于国有企业,若内部操作人员易接触到企业会计信息,则其很容易受利益诱惑或受他人驱使去篡改、删除或泄露会计数据,这会对企业造成巨大的影响,因此,非国有企业应加强对企业内部授权制度的完善。
5.2.2 上市企业与非上市企业差异的对策
针对上市企业中会计信息系统安全问题存在的原因,我们同样提出了相关的解决对策。
1、全国所有大型上市企业遭遇硬件系统故障的概率大于非上市企业遇到硬件系统故障的概率的对策
(1)上市企业加大对会计信息系统安全的重视由于上市企业硬件系统发生故障的比率接近 50%,因此,企业应适当加大对信息系统安全方面的投入比重,企业领导应将安全放在重要的地位上加以强调,因为我们知道,会计信息系统的硬件系统出现故障,会直接导致系统的无法正常运行,而会计信息亦有可能发生毁损,会计信息的安全问题轻则会导致企业数据的丢失,重则会导致外界个人或企业获知信息背后的商业机密,给企业造成无法弥补的损失。
(2)加大上市企业对硬件系统的维护管理力度上市企业应按照企业自身规模的大小设置系统维护部门,一旦发现维护部门的人员已不能维持企业定期对硬件系统的检查、修理时,应及时招纳相应的计算机硬件系统的后期维护人员,不能为了节省开支,招纳较少的系统维护人员去负责较大规模企业的维护工作,这样可能会造成经济上的因小失大。
2、全国所有大型上市企业遭遇软件系统故障的概率大于非上市企业遭遇软件系统故障的概率的对策
(1)加强非上市企业防病毒软件的使用众所周知,由于计算机病毒具有自我复制和传播的特点,因此病毒会给企业会计信息系统带来巨大的影响,如一些木马病毒主要以窃取用户隐私、机密文件或其登陆账号密码信息,对于会计信息系统而言,这些信息一旦泄露,即意味着会计信息、商业秘密出现泄露的可能,会给企业带来不可估量的损失。因此,企业尤其是非上市企业应加强防病毒软件的使用,具体来说,企业可以根据自身的客观情况去选择适合本企业的防病毒软件,如 360、诺顿防病毒软件等。
(2)严格实施身份认证/身份识别非上市企业身份认证/识别这方面较上市企业相比有一定的差异,因此,非上市企业应加强对软件操作人员身份的认证/识别,信息系统主管可按照一定的划分标准将各操作人员按照部门、角色的不同确定各操作人员的身份登录账号,各操作人员保管好与自己相关的密码,且操作人员在登录计算机身份验证系统进入操作页面操作之时,若有情况需要临时离开或完成操作任务后,必须退出系统,以防其他人员进行恶意操作。
(3)加强定期检测的力度定期对企业财务软件系统的检测,可以及时发现相关软件存在的漏洞或版本过低等问题,以方便系统维护员进行漏洞修复或版本更新升级。相比于上市企业而言,非上市企业更应加强定期检测的力度,企业可组织专门人员定期(如十天)对企业会计信息系统的相关软件部分进行检测,如有问题,应及时解决。
3、全国所有大型上市企业遭遇数据及人员管理故障的概率小于非上市企业遇到数据及人员管理故障的概率的对策
(1)非上市企业加强对会计数据的监督由于非上市企业无需实施证监会部门对上市企业实施的会计监督,因此非上市企业应格外重视内部会计监督和社会中介机构的监督。一方面,非上市企业可组织单位内部审计机构及其人员利用内部审计的优势,即其能更经常、及时并能从企业的根本利益出发去实施审计活动,从而更能从会计数据的准确、安全角度出发加强对会计资料进行监督。另一方面,非上市企业应充分利用社会审计的独立性(即中介机构如会计师事务所独立于被审计单位)以及专业性定期对企业内部财务信息等进行监督。
(2)加快完善非上市企业内部授权制度通过上述分析,我们知道,非上市企业内部操作人员在非经授权情况接触到会计数据的可能性高于上市企业,若内部操作人员易接触到企业会计信息,则其很容易受利益诱惑或受他人驱使去篡改、删除或泄露会计数据,这会对企业造成巨大的影响,因此,非上市企业应加强对企业内部授权制度的完善。
5.2.3 农业企业与非农业企业差异的对策
针对农业企业中会计信息系统安全问题存在的原因,我们同样提出了相关的解决对策。
1、全国所有大型农业企业遭遇硬件系统故障的概率大于非农业企业遭遇软件系统故障的概率的对策加强农业企业领导对会计信息系统的重视程度。由于农业企业硬件系统发生故障的比率接近 50%,因此,企业领导应加强对会计信息化的重视程度,这可以通过适当加大对信息系统安全方面的投入,因为我们知道,会计信息系统的硬件系统出现故障,会直接导致系统的无法正常运行,而会计信息亦有可能发生毁损,会计信息的安全问题轻则会导致企业数据的丢失,重则会导致外界个人或企业获知信息背后的商业机密,给企业造成无法弥补的损失。
2、全国所有大型农业企业遭遇软件系统故障的概率大于非农业企业遭遇软件系统故障的概率的对策。。
(1)加强农业企业防病毒软件的使用众所周知,由于计算机病毒具有自我复制和传播的特点,因此病毒会给企业会计信息系统带来巨大的影响,如一些木马病毒主要以窃取用户隐私、机密文件或其登陆账号密码信息,对于会计信息系统而言,这些信息一旦泄露,即意味着会计信息、商业秘密出现泄露的可能,会给企业带来不可估量的损失。因此,企业尤其是农业企业应加强防病毒软件的使用,具体来说,企业可以根据自身的客观情况去选择适合本企业的防病毒软件,如 360、诺顿防病毒软件等。
(2)严格实施身份认证/身份识别农业企业身份认证/识别这方面较上市企业相比有一定的差异,因此,农业企业应加强对软件操作人员身份的认证/识别,信息系统主管可按照一定的划分标准将各操作人员按照部门、角色的不同确定各操作人员的身份登录账号,各操作人员保管好与自己相关的密码,且操作人员在登录计算机身份验证系统进入操作页面操作之时,若有情况需要临时离开或完成操作任务后,必须退出系统,以防其他人员进行恶意操作。
(3)加强定期检测的力度定期对企业财务软件系统的检测,可以及时发现相关软件存在的漏洞或版本过低等问题,以方便系统维护员进行漏洞修复或版本更新升级。相比于非农业企业而言,农业企业更应加强定期检测的力度,企业可组织专门人员定期(如十天)对企业会计信息系统的相关软件部分进行检测,如有问题,应及时解决。
(4)加强农业企业会计软件的通用性农业企业由于其自身的特殊性(如生产周期长、经营方式等),因此,在购买通用财务软件的基础上,企业应组织专门的计算机人才或与软件公司合作根据农业企业以及该企业自身的特点进行二次开发,设计出符合企业的个性化软件需求,如增加一些农业企业所需的会计科目这样能大大减少软件系统的故障,使其更好的为企业会计信息系统服务。
3、农业企业网络系统故障的比率大于非农业企业
针对上述原因的分析,我们已经得知,农业企业网络系统故障发生的比率大于非农业企业的主要原因即是部分农业企业的会计信息系统尚未安装防火墙、防入侵检测软件,这样,外部的黑客或其他非法操作人员便可登陆到企业内网中查看、修改或删除企业内网中重要的会计数据,给企业造成巨大的损失。因此,企业尤其是农业企业应根据自身情况选择适合企业的相关防火墙软件以及采取相应的防入侵检测技术。
4、农业企业数据及人员管理故障的比率大于非农业企业
(1)加强农业企业会计制度的建立,完善会计信息的监督
由于农业企业的特点,我们按其规模大小和农业活动所占比重的高低,将农业企业划分为以农业为主的股份有限公司、中小农业企业和家庭农场三种基本类型,由于缺乏农业会计方面的制度,因此我们认为,对于以农业为主的股份有限公司的财务总部可执行新企业会计制度;对于中小规模的农业企业,可以先执行小企业会计制度;对于家庭农场,考虑到农场经营者的会计知识的缺乏,对这部分经营者来说,可只要求他们对农业活动过程中的各种耗费和损失进行流水账式的记录和反映。农业企业的会计人员则需根据农业企业的不同类型进行不同的监督方式,以提高农业企业会计信息的准确、完整以及安全可靠性。
(2)加快完善农业企业内部授权制度
通过上述分析,我们知道,农业企业内部操作人员在非经授权情况下接触到会计数据的可能性高于非农业企业,若内部操作人员易接触到企业会计信息,则其很容易受利益诱惑或受他人驱使去篡改、删除或泄露会计数据,这会对企业造成巨大的影响,因此,农业企业应加强对企业内部授权制度的完善。