所謂網(wǎng)絡(luò)會計(jì),是指在互聯(lián)網(wǎng)環(huán)境下對各種交易和事項(xiàng)進(jìn)行確認(rèn)����、計(jì)量和披露的會計(jì)活動。它是建立在網(wǎng)絡(luò)環(huán)境基礎(chǔ)上的會計(jì)信息系統(tǒng)����,是電子商務(wù)的重要組成部分;它將幫助企業(yè)實(shí)現(xiàn)財(cái)務(wù)與業(yè)務(wù)的協(xié)同遠(yuǎn)程報(bào)表�、報(bào)賬、查賬���、審計(jì)等遠(yuǎn)程處理�,事中動態(tài)會計(jì)核算與在線財(cái)務(wù)管理�,支持電子單據(jù)與電子貨幣,改變財(cái)務(wù)信息的獲取與利用方式�����。
網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全是指系統(tǒng)保持正常穩(wěn)定運(yùn)行狀態(tài)的能力。即在網(wǎng)絡(luò)環(huán)境下對各種交易和事項(xiàng)進(jìn)行確認(rèn)�、計(jì)量和批漏的活動,以及財(cái)務(wù)數(shù)據(jù)處理的各個環(huán)節(jié)��,也就是說既包括操作這個系統(tǒng)的人和作為系統(tǒng)處理對象的那些數(shù)據(jù)���,也包括系統(tǒng)所處的那個環(huán)境���。所以,網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全建設(shè)是全方位的系統(tǒng)工程��。會計(jì)信息系統(tǒng)如同金庫中的資金����,信息安全是會計(jì)信息系統(tǒng)安全的核心�����,確保信息的生存性�����、完整性�、可用性和保密性是會計(jì)信息系統(tǒng)的中心任務(wù)。信息系統(tǒng)是為承載、傳輸�����、處理�、保存、輸入��、輸出�����、查詢信息提供服務(wù)的基礎(chǔ)����,信息系統(tǒng)的安全是信息安全的基本保障。
會計(jì)信息系統(tǒng)安全的主要目標(biāo)是防止非法侵入和篡改計(jì)算機(jī)系統(tǒng)數(shù)據(jù)���,維護(hù)會計(jì)數(shù)據(jù)的完整性和可用性����,保持系統(tǒng)持續(xù)正常運(yùn)行����,不因系統(tǒng)問題導(dǎo)致非計(jì)劃間斷營業(yè)。會計(jì)信息系統(tǒng)安全的主要任務(wù)是保障信息與其密切相關(guān)信息的信息系統(tǒng)的生存性、完整性�����、可用性和保密性�。
網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)主要表現(xiàn)
會計(jì)信息系統(tǒng)是一種特殊的信息系統(tǒng),它除了一般信息系統(tǒng)的安全特征外����,還具有自身的一些安全特點(diǎn)。會計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)是指由于人為的或非人為的因素使會計(jì)信息系統(tǒng)保護(hù)安全的能力的減弱�,從而產(chǎn)生系統(tǒng)的信息失真、失竊�����,使單位的財(cái)產(chǎn)遭受損失�,系統(tǒng)的硬件�����、軟件無法正常運(yùn)行等結(jié)果發(fā)生的可能性���。會計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)主要表現(xiàn)在以下幾個方面:
��。1)會計(jì)信息的真實(shí)性����、可靠性。開放性的網(wǎng)絡(luò)會計(jì)環(huán)境下���,存在信息失真的風(fēng)險(xiǎn)��。盡管信息傳遞的無紙化可以有效避免一些由于人為原因而導(dǎo)致會計(jì)失真的現(xiàn)象����,但仍不能排除電子憑證���、電子賬簿可能被隨意修改而不留痕跡的行為���。傳統(tǒng)的依靠鑒章確保憑證有效性和明確經(jīng)濟(jì)責(zé)任的手段不復(fù)存在。由于缺乏有效的確認(rèn)標(biāo)識���,信息接受方有理由懷疑所獲取財(cái)務(wù)數(shù)據(jù)的真實(shí)性��;同樣���,作為信息發(fā)送方�����,也有類似的擔(dān)心�,即傳遞的信息能否被接受方正確識別并下載��。
����。2)企業(yè)重要的數(shù)據(jù)泄密。在信息技術(shù)高速發(fā)展的今天���,信息在企業(yè)的經(jīng)營管理中變得尤為重要���,它已經(jīng)成為企業(yè)的一項(xiàng)重要資本,甚至決定了企業(yè)的激烈的市場競爭中的成敗����,企業(yè)的財(cái)務(wù)數(shù)據(jù)屬重大商業(yè)機(jī)密���,在網(wǎng)絡(luò)傳遞過程中�����,有可能被競爭對手非法截取��,導(dǎo)致造成不可估量的損失��。因此��,保證財(cái)務(wù)數(shù)據(jù)的安全亦不容忽視��。
��。3)會計(jì)信息是否被篡改�。會計(jì)信息在網(wǎng)上傳遞過程中,隨時可能被網(wǎng)絡(luò)黑客或競爭對手非法截取并惡意篡改���,同時����,病毒也會影響信息的安全性和真實(shí)性��,這些都是亟待解決的問題��。
�。4)計(jì)算機(jī)硬件的安全性。網(wǎng)絡(luò)會計(jì)主要依靠自動數(shù)據(jù)處理功能�����,而這種功能又很集中,自然或人為的微小差錯和干擾�,都會造成嚴(yán)重后果。影響計(jì)算機(jī)硬件安全的因素有①自然因素��,如火災(zāi)��、水災(zāi)���、灰塵老鼠等都會對計(jì)算機(jī)硬件造成損壞�,嚴(yán)重的造成系統(tǒng)故障乃至崩潰��。②管理因素�,如安全管理不力,使得計(jì)算機(jī)被盜����,或光盤,磁盤等磁介質(zhì)載體檔案的保管不善����,造成信息丟失或泄露等���。
��。5)網(wǎng)絡(luò)系統(tǒng)的安全性����。網(wǎng)絡(luò)是一把雙刃劍,它使企業(yè)在利用Internet網(wǎng)尋找潛在貿(mào)易伙伴��、完成網(wǎng)上交易的同時�����,也將自己暴露于風(fēng)險(xiǎn)之中�。這些風(fēng)險(xiǎn)來自于:①泄密。未授權(quán)人員非法侵入企業(yè)信息系統(tǒng)��,竊取企業(yè)的商業(yè)機(jī)密�����,從而侵吞企業(yè)財(cái)產(chǎn)或出賣商業(yè)機(jī)密換取錢財(cái)����。②惡意攻擊。網(wǎng)絡(luò)黑客的蓄意破壞或者病毒的感染����,將可能使整個系統(tǒng)陷于癱瘓��。
網(wǎng)絡(luò)會計(jì)信息系統(tǒng)安全應(yīng)考慮的一般原則
����。1)需求�����、風(fēng)險(xiǎn)��、代價(jià)平衡分析的原則任何網(wǎng)絡(luò)的絕對安全都是難以達(dá)到的���,也不一定是必要的���。對一個網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究,并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析����,然后確定本系統(tǒng)的安全策略。
���。2) 綜合性�����、整體性原則
應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)���、方法、分析網(wǎng)絡(luò)的安全及具體的措施�����。安全措施包括:行政法律手段��、各種管理制度(人員審查���、工作流等)以及專業(yè)技術(shù)措施����。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果�。總之��,不同的安全措施的代價(jià)�����、效果對不同的網(wǎng)絡(luò)并不完全相同,根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)安全體系結(jié)構(gòu)��。
�。3) 一致性原則
一致性原則是指網(wǎng)絡(luò)安全問題應(yīng)存在于整個網(wǎng)絡(luò)的工作周期,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致���,安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)及實(shí)施計(jì)劃��、網(wǎng)絡(luò)驗(yàn)證�����、驗(yàn)收�����、運(yùn)行等���,都要有安全的內(nèi)容及措施。實(shí)際上�����,在網(wǎng)絡(luò)建設(shè)的初期就應(yīng)該考慮網(wǎng)絡(luò)安全對策,比等網(wǎng)絡(luò)建設(shè)好后再考慮安全措施不但較容易����,且成本也大大的降低。
����。4) 易操作性原則
首先���,安全措施需要人去完成��,如果措施過于復(fù)雜�,對人的要求過高�����,本身就降低了安全性�����,如密鑰管理就有類似的問題�,其次,措施的采用不能影響系統(tǒng)的正常運(yùn)行�����。
(5) 加強(qiáng)薄弱環(huán)節(jié)原則
對網(wǎng)絡(luò)會計(jì)信息系統(tǒng)的安全問題����,符合“木桶理論”,即整個系統(tǒng)是否安全并不取決于最安全的地方而是取決于最不安全的地方�。
網(wǎng)絡(luò)會計(jì)信息系統(tǒng)安全幾項(xiàng)措施
通過加強(qiáng)會計(jì)信息系統(tǒng)的安全建設(shè)與管理,提高會計(jì)信息系統(tǒng)安全的防護(hù)和反應(yīng)綜合能力�����,使系統(tǒng)能夠抵御各種威脅���,有效保護(hù)企業(yè)資產(chǎn)�����,提供會計(jì)的完整服務(wù)�����。在會計(jì)信息系統(tǒng)建設(shè)過程中��,必須克服“重建設(shè)輕安全��、重技術(shù)輕管理�、重使用輕維護(hù)”的思想。應(yīng)逐步建立以“檢查與管理����、保密與防護(hù)、檢測與防治���、測評與服務(wù)” 為基本架構(gòu)的安全管理和技術(shù)系統(tǒng)����。通過管理和技術(shù)兩種手段���,使會計(jì)信息系統(tǒng)的技術(shù)風(fēng)險(xiǎn)防范能力不斷提高到一個新的水平。為了更好地利用網(wǎng)絡(luò)會計(jì)帶來的優(yōu)勢�,保證信息數(shù)據(jù)質(zhì)量和安全,應(yīng)從以下幾方面入手��,以網(wǎng)絡(luò)技術(shù)為基礎(chǔ)���,結(jié)合會計(jì)需要�����,確保網(wǎng)絡(luò)安全有效地傳遞信息�。
(1)系統(tǒng)加密管理�。在會計(jì)信息系統(tǒng)中,對一些需嚴(yán)格控制操作的環(huán)節(jié)�����,設(shè)上“雙口令”�,只有“雙口令”同時到位才能進(jìn)行該操作����!半p口令”由分管該權(quán)限的兩個人各自按照規(guī)定設(shè)置,不得告知他人���。對“雙口令”進(jìn)行“并鑰”處理后���,方可執(zhí)行相應(yīng)的操作。這樣不僅加強(qiáng)了控制管理����,保證了數(shù)據(jù)安全����,而且也保護(hù)了相關(guān)的人員�����,便于分清各自的責(zé)任�����。
�����。2)形成網(wǎng)上公證由第三方牽制的安全機(jī)制����。網(wǎng)絡(luò)環(huán)境下原始憑證用數(shù)字方式進(jìn)行存儲,應(yīng)利用網(wǎng)絡(luò)所特有的實(shí)時傳輸功能和日益豐富的互聯(lián)網(wǎng)服務(wù)項(xiàng)目���,實(shí)現(xiàn)原始交易憑證的第三方監(jiān)控(即網(wǎng)上公證)����。
(3)建立嚴(yán)格的數(shù)據(jù)存貯措施���。為了提高系統(tǒng)數(shù)據(jù)的安全性和在意外情況下的“自救能力”����,應(yīng)建立雙備份����,備份后的兩份數(shù)據(jù)應(yīng)由不同的人員持有,并設(shè)有相應(yīng)的口令�����,一份進(jìn)行加密存貯��,由監(jiān)管人員持有��;另一份是非加密的�,由具體操作人員使用。對一些重要的數(shù)據(jù)���,可采用分布存貯�����。所謂分布存貯����,是指對數(shù)據(jù)文件采用一定的算法,將數(shù)據(jù)串分到兩個或兩個以上的新串中��,組成新的兩個或多個文件���,并存在不同的物理存貯設(shè)備中�,甚至是異地設(shè)備中����。
(4)建立 “審計(jì)線索制”���。為了有效地監(jiān)控系統(tǒng)運(yùn)行狀況���,防止系統(tǒng)被侵犯��,會計(jì)電算化系統(tǒng)中應(yīng)設(shè)置一個系統(tǒng)安全性檢查程序���,檢查系統(tǒng)的各種設(shè)置是否和上次運(yùn)行結(jié)束時狀態(tài)一致�����。若有差異�����,應(yīng)立即起用秘密保存的系統(tǒng)恢復(fù)。為此���,程序中需設(shè)置一個歷史文件,該文件能夠自動記錄當(dāng)天所有的操作過程,對所有的操作進(jìn)行監(jiān)管記錄,從而確保所有操作活動都留下痕跡�����,便于以后追索���。
�。5)強(qiáng)化內(nèi)部控制�����。完善的內(nèi)部控制可有效地減輕由于內(nèi)部人員道德風(fēng)險(xiǎn)、系統(tǒng)資源風(fēng)險(xiǎn)和計(jì)算機(jī)病毒所造成的危害����。但就目前的電算化會計(jì)信息系統(tǒng)實(shí)施內(nèi)部控制的情況來看����,許多企業(yè)對內(nèi)部控制認(rèn)識不足,控制措施不力�,致使應(yīng)用系統(tǒng)中安全隱患較多。在網(wǎng)絡(luò)環(huán)境下���,由于其開放性���,它的系統(tǒng)風(fēng)險(xiǎn)比目前的電算化會計(jì)系統(tǒng)更大�����,因此尤其需要加強(qiáng)內(nèi)部控制�。
(6)完善和積極實(shí)施法律法規(guī)���。國家應(yīng)盡快建立和完善電子商務(wù)法規(guī)�����,以規(guī)范網(wǎng)上交易的購銷、支付及核算行為��;借鑒國外有關(guān)研究成果和實(shí)踐經(jīng)驗(yàn),制定符合我國國情的網(wǎng)絡(luò)會計(jì)信息管理����、財(cái)務(wù)報(bào)告披露的法規(guī)��、準(zhǔn)則�,具體規(guī)定企業(yè)網(wǎng)上披露的義務(wù)與責(zé)任���、網(wǎng)絡(luò)會計(jì)信息質(zhì)量標(biāo)準(zhǔn)要求����、監(jiān)管機(jī)構(gòu)及其權(quán)責(zé)等,為網(wǎng)絡(luò)會計(jì)信息系統(tǒng)提供一個良好的社會環(huán)境�。
