基本介紹
- 中文名:會計信息安全
- 定義:把信息安全定義為“信息的完整性
- 來自於:會計數據的完整和會計數據的安全
- 通常指:會計數據表明的會計信息是可靠的
簡介,目標,影響因素,內部因素,外部因素,解決對策,預防,應急處理,安全管理,存儲介質的選擇,
簡介
會計信息安全(2)網路與信息安全,包括網路的暢通、準確以及網上信息的安全;
(3)套用安全,包括程式開發運行、I/O、資料庫等的安全。
目標
國際會計師聯合會在《信息安全管理》中提出,信息安全的目標是“保護依靠信息、信息系統和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失 ”,任何組織在滿足下面3條準則時可以認為達到了信息安全的目標:數據和信息只透露給有權知道該數據和信息的人(機密性);數據和信息保護不受未經授權的修改(完整性);信息系統在需要時可用和有用(可用性)。
會計信息安全
會計信息安全影響因素
影響會計信息的安全因素既有內部因素,也有外部因素,主要表現在以下幾個方面:
內部因素
(1)人為因素,人的因素在保障會計信息安全過程中起主導作用,會計信息系統操作人員出於主觀故意篡改數據或不按操作程式操作,均會直接影響會計信息的真實性和可靠性、可用性;
會計信息安全
會計信息安全(3)電源故障,包括計算機內部供電與外部供電,當系統突然失去供電,易失性存儲器中的數據將會丟失,從而威脅會計信息的安全;
(6)作業系統漏洞,作業系統作為會計信息系統的運行平台,本身也存在一定的漏洞,極易受到攻擊,從而導致會計信息的毀損;
(7)身份認證和管理,身份認證是構建企業會計信息安全體系的基礎,目的是為了保證會計信息系統中的數據只能被授權的人合理訪問,常用的身份認證方式主要有用戶名/密碼方式、IC卡認證、動態口令、USB Key認證、生物識別技術。我國會計信息系統套用商業軟體在身份認證管理上主要採用用戶名/密碼方式,這種方式過於簡單,在密碼驗證過程很容易被木馬程式或網路中的監聽設備截獲,安全性極差。會計信息操作員在設定密碼時,為了方便記憶,往往用“123”、“111111”、“666666”、 “888888”或是生日號碼、電話號碼作為操作員密碼,甚至將密碼設定為空值,極易破譯。一些企業對身份認證疏於管理,會計信息系統管理員在員工已調離本企業後,依然在很長的一段時間內保留著該員工的賬號,留下了安全隱患。
外部因素
(1)病毒,據2001年調查,我國約73%的計算機用戶曾感染病毒,2003年上半年這一比例升至83%,其中,感染3次以上的用戶高達59%,而且病毒的破壞性較大,被病毒破壞全部數據的占14%,破壞部分數據的占57%,因此,病毒將造成會計信息丟失或毀壞,對企業會計信息安全的影響是重大的;
(2)意外事故,雖然出現的機率相對其他因素較小,但是一旦發生,就會對會計信息系統造成災難性損失,例如火災、水災、工業事故、蓄意破壞等。
解決對策
在國家信息化領導小組第三次會議《關於加強信息安全保障工作的意見》中,提出了關於信息安全的主導思想:“堅持積極防禦、綜合防範的方針,在全面提高信息安全防護能力的同時,重點保障基礎網路和重要系統的安全。完善信息安全監控體系,建立信息安全的有效機制和應急處理機制”。因此,要解決企業會計信息化的安全問題,應在堅持安全等級、成本效益、預防為主等原則的基礎上,重點放在預防和應急處理兩個方面。
預防
(1)操作人員的定期培訓,包括操作人員的職業道德教育和安全技能培訓,影響會計信息安全的因素處於不斷變化的形勢下,會計信息的安全保障知識也需要不斷更新;
(2)制度建設,建立一套完善的會計信息安全管理制度是保障會計信息安全的基礎,會計信息安全管理制度至少包括會計信息系統的開發或選購制度、會計信息系統的維護制度、計算機機房管理制度、會計數據訪問許可權設定、會計信息的備份制度、會計信息載體檔案管理制度、用戶許可權授權管理制度、會計信息員的崗位責任制度、會計信息員的操作規程、會計信息安全日常評估制度、會計信息安全審計制度、應急處理制度等;
應急處理
會計信息系統在運行時,總會遇到各種各樣的安全威脅,因此,當系統信息受到損害時,如何及時、快速保障系統恢復運行就顯得十分必要。會計信息系統災難恢復計畫就是為了確保當企業會計信息受到損害時可以進行安全地恢復工作,其基本步驟包括:
第二、數據備份的維護,數據備份不但包括會計數據的備份,還應包括會計信息系統運行環境參數的備份,日常數據備份是會計信息安全的保障,要將數據備份資料存放在安全的地方,當會計數據發生毀損或丟失時,可以通過數據備份得到及時的恢復;
第三、執行災難恢復計畫,當會計信息系統發生災難時,必須嚴格按照災難恢復計畫操作,並對結果加以記錄,以期不斷修改和完善災難恢復計畫,保證會計信息的安全。
總之,21世紀是一個在知識經濟條件下信息技術高度發展的世紀,信息技術的迅速發展,推動了會計信息化的高速發展,而在這個過程中,會計信息的安全將成為會計信息化發展的“瓶頸”。因此,確保會計信息的安全是實施和完善會計信息化的必經之路。
安全管理
確保會計信息化檔案的完整性。計算機技術的高速發展,使許多軟體和硬體設備更新換代。會計信息化檔案在保存的同時,應當對相關的計算機軟體也進行備份保存。在必要的情況下,還應對硬體設備進行封存以備日後使用。在備份數據方面,應當保證定期備份數據的持續性,除了備份數據之外,還應收集計算機系統的型號、存儲空間大小、外部設備的配套類型;計算機作業系統、網路作業系統以及漢字作業系統;財務軟體的程式語言,資料庫系統類型;財務軟體的系統名稱、版本號;財務軟體的銷售公司名稱、地址、電話與聯繫人以及相關軟體系統的配套說明書及使用手冊等。防止檔案數據被篡改及泄密。要建立健全企業內部控制制度、嚴格許可權分級、加強會計信息系統檔案的安全管理。主要包括:會計信息系統的操作授權管理;加強檔案的借閱修改手續管理;建立健全會計信息系統檔案的操作日誌。通過操作日誌管理,檔案管理人員可以掌握借閱人員對檔案的使用情況,監督和控制非法操作;根據會計信息化檔案的載體特性,採取一定的物理保護措施並採用AB備份法進行備份;對傳輸、存檔的會計信息化檔案要進行一定的加密;有條件的單位可以考慮適當運用第三方軟體。計算機病毒。隨著計算機技術的普及,計算機病毒也日益呈現多樣化、免殺化、智慧型化、高破壞性的特點。據數據顯示:我國計算機病毒感染率正在逐年升高,傳播介質也更加突出了多樣性的特點,但防毒軟體的查殺率卻明顯地下降。病毒呈現出“免殺性”。由此可見,作為存放和處理會計信息化數據的計算機及伺服器應當有專人管理,採取物理上隔絕,財務信息只接人財務系統內部區域網路與公共網際網路,並定期用最新的病毒庫查殺病毒。同時還要嚴格禁止在相關的計算機上使用移動存儲介質,嚴格病毒查殺和人工檢查,防止財務系統專用的計算機感染病毒。
存儲介質的選擇
會計信息化檔案保存所使用的存儲介質,要在保證存儲數據穩定安全的前提下,儘可能降低存儲成本,並選擇使用更加方便的介質。一方面,現代計算機常用的外存儲設備為硬碟,因其存儲量大、擦寫方便等優點,被各種計算機設備作為外存儲器使用,但硬碟是磁性介質,對使用和保存環境要求較高,因此硬碟只適合作為計算機組成部分使用。同時。硬碟的單位存儲量成本較高,不適宜做長期和大批量的數據保存。另一方面,光碟作為一種光存儲介質,其存儲容量大,DVD光碟甚至可達4GB到8GB,而且造價低廉、存儲時間長、保存方便、對環境要求低,因此對數據的存儲一般應以光碟存儲為主,並採用AB備份法,對檔案數據進行備份。在儲存光碟時應當通過內環進行固定和架空存放,並定期對光碟進行複製備份。財務軟體版本的統一。在財務軟體的選擇上,不僅要看軟體的功能,還要看軟體的開發者是否具有可靠的信譽、足夠強的資本和能力。此外,還應注意會計信息化檔案與對應的財務軟體版本的一致性。同時,會計信息化檔案不同於通常的會計電算化檔案,其還包含通過會計數據進行運算和處理而得出的參考信息以及企業運行和決策的信息等,因此在對會計信息化進行存檔的時候,應注意這些信息與會計數據的對應關係。電子檔案數據的日常處理。常見的財務軟體為了保證軟體的處理速度與效率。都會採用大型商業資料庫作為電子檔案存儲的數據源。該類大型商業資料庫一般都有較為強大的數據處理能力,但如果僅靠財務軟體的數據管理功能,會使資料庫不能發揮其原有的設計效率從而產生數據處理瓶頸,嚴重的情況下可能會導致已經分離存儲的檔案讀取困難和軟體運行速度變慢,甚至出現數據錯誤,對會計信息化檔案的保存造成很大的影響。因此,企業應當指定熟悉資料庫管理的人員專門負責資料庫伺服器的管理和維護,定期對資料庫進行備份和最佳化。除了對正在使用的資料庫進行維護外,還應按期對已經備份存檔的檔案數據進行檢查和核對,以便及時解決發現的問題。會計軟體的相關設備與環境。版本較低的軟體也不能在新的計算機上進行安裝和運行。這就造成了許多軟體和數據雖然進行了備份,但在以後進行恢復讀取的時候卻無法還原出備份時的軟硬體環境,給恢復工作造成麻煩。因此,如果檔案需要存儲的時間較長,應在計算機軟體和硬體更換的時候做好記錄,並將淘汰替換下的軟硬體和相關說明文檔一併存檔。
