网络环境下会计信息安全风险

【摘要】在计算机网络技术不断发展的同时，传统的会计科学在会计电算化的基础上又带来了一场新的变革——网络会计，网络会计是会计发展过程中一次质的飞跃，其网络性决定了信息安全是网络会计取得成功的关键。通过对会计信息风险进行检查分析得出会计信息面临多方面的威胁，从计算机软、硬件、网络、管理与应用等五个方面分析了现行网络会计发展中存在的安全风险问题。
【关键词】网络会计；信息安全；风险分析
引言
近几年来，随着信息技术的迅速发展，计算机网络系统的应用普及到社会的各行各业，建立在计算机网络上的各类经济信息管理系统也得到广泛运用。特别是由于经济信息量的猛增，财务会计信息的需求也越来越大，为满足大量的会计信息需求，会计信息也不可避免要借助网络来传递和共享，使得电算会计面临又一次变改，网络会计成为必然。但由于计算机及其网络本身固有的脆弱性，给信息管理系统的安全带来了潜在的危险，这种安全表现在计算机病毒严重威胁，以及利用计算机进行以窃取金钱和物资为目的的犯罪活动，在很多企事业单位财务会计信息泄密问题频频发生，这使现代财务信息系统的安全面临十分严峻的形势。面对关系企业财经重要信息的数据，怎样确保其安全稳定是值得思考和分析的问题。

1.会计信息安全风险分析概述

1.1 会计信息安全概念

国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。作为一种特殊的新信息，我国对会计信息安全还没有统一的定义。更多的资料认为，会计信息的安全是指会计信息具有完整性、可用性、保密性和可靠性的状态，它来自于会计数据的完整和会计数据的安全。
会计数据的完整是指与损坏和丢失会计数据的相对状态，它通常指会计数据表明的会计信息是可靠的、可用的。而会计数据的安全是指会计数据在载体介质上不会被窃取或损坏的状态。
网络会计的信息安全其核心是网络的安全。根据国家计算机安全规范，计算机的安全大致包括三类：（1）实体安全，包括机房、线路、主机等；（2）网络与信息安全，包括网络的畅通、准确以及网上信息的安全；（3）应用安全，包括程序开发运行、I/O、数据库等的安全，因此在网络会计信息中，网络安全是第一位。

1.2 风险分析

风险通常是指由于当事者主观上不能控制的一些因素的影响，使得实际结果与当事者的事先估计有较大的背离而带来可能的经济损失。这些背离产生的原因，一方面当事者对有关因素和未来情况缺乏足够情报而无法作出精确估计，另一方面是由于考虑的因素不够全面而造成预期效果与实际效果之间的差异。进行风险分析，有助于确定有关因素的变化对决策的影响程度，有助于确定方案对某一特定因素变动的敏感性。若一种因素在一定范围内发生变化，但对决策没有引起很大影响，则所采取的决策对这种因素是不敏感的；若一个因素的大小稍有变化就会引起投资决策的较大变动，则决策对这一因素便是高度敏感的。了解在给定条件下的风险对这些因素的敏感程度，有助于正确地作出决策。
风险分析是找出行动方案的不确定性（主观上无法控制）因素，分析其环境状况和对方案的敏感程度；估计有关数据，包括行动方案的费用，在不同情况下得到的收益以及不确定性因素各种机遇的概率，计算各种风险情况下的经济效应；作出正确判断，等等。

2.会计信息风险分析

目前，在研究现有基于网络的会计信息系统和信息安全理论的基础上，提出网络环境下会计信息的安全策略会计信息风险管理对策，对网络环境下会计信息安全的研究可以丰富和拓展现有会计信息安全理论方面的研究很多。那么在现行网络环境下会计信息安全到底存在哪些风险，这些风险又是怎样产生的呢？这是本文研究的主要问题。
按照会计信息安全事故类型将风险分为两大类，即基于计算机介质本身的风险以及会计信息的特殊性的风险。具体讲基于计算机介质本身的风险指计算机硬件及软件风险、网络使用风险、计算机病毒三类，会计信息特殊的风险指计算机犯罪、应用和管理风险两类，下面将具体进行分析。

2.1 管理风险

当前，我国虽然也建立了一定的计算机安全管理制度，但尚未形成一套完整的安全体系，但一直以来会计电算化信息系统的建设的安全设计方面很多就缺乏总体考虑和统一规划部署，各会计使用单位根据自己的理解进行规划建设，技术要求不规范，随着网络技术的不断向前推进，网络环境的会计信息就更谈不上安全管理体系，因此风险问题也就越加严重，具体来来讲从两个方面来分析。
2.

1.1 管理人员自身素质风险

作为任何一名财务管理人员来讲，基本的财经制度、会计基本职业道德均能牢记，但他们在实际工作中，恰恰本身又是一个不容忽视的问题，由于各行各业的会计工作人员中，素质上的差异对系统的安全是一种威胁。无论系统本身有多完备的防护措施，这都是防不胜防的问题，也是会计信息安全中的最大的风险。
一方面，外来攻击者一般通过各种方式和各种渠道可以取得会计信息，如信息文档的存放、稿件的处理流程等环节中。攻击者不需花费一点气力，也不必用太高明的手法就可以取得其所需要的会计信息。如果管理人员在各方面都加紧防范，就可以杜绝不少漏洞。另一方面，还有许多系统遭人为入侵的主要原因是因为它们过份依赖用户的口令。由于口令不便于记忆，用户通常选择跟自己有关的数字为，使保密性通常比较低。有部分管理人员为求方便，将自己的口令告诉他人，使口令失去了保密工作的重要的意义。再一方面，有的管理人员或其它人员不按操作规程或不经合法授权就上机操作，不经易地改变了计算机执行路径，也会对会计信息安全造成的一定的危害。
2.

1.2 非授权访问

大部分会计信息系统都有口令来防止非授权人士非法访问系统。但是事实上，口令在防止非授权访问这方面起到的作用却并不是很显著。这是因为，有时，有些用户有时可能为求工作中的方便，把口令告知其他工作人员，请其代操作，有些计算机信息系统用户求其方便，将口令简单化或写在明显的地方。这些做法和行为使口令的作用降低。非

摘自：写毕业论文经典的网站www.udooo.com

授权的访问会导致信息系统内部的信息被修改或被删除。从内部人员道德风险和会计信息安全系统非授权访问两个方面可以看出应用与管理风险集中表现为单位对安全意识的重视程度和会计信息系统操作管理制度的完善程度。

2.2 计算机犯罪

2.1 攻击

在这个开放的网络环境中，从理论上讲任何信息都有被访问的可能性，除非这些信息在物理上断开与网络的连接。因此，网络环境下的会计信息系统很可能遇到非法访问、、木马的攻击。这种攻击可能来自于系统外部，也可能来自系统内部。这种攻击也可能是有意图的、带有目的的，也可能是无意识的、无目的的。不管怎样，这种攻击的发生能造成会计数据和会计信息的巨大损失。

2.2 信息窃取风险

由于网络会计数据以网络为主要传播渠道。因此会计数据在网络传递的过程中面临着被恶意截取、篡改、删除的风险。这些涉及到的信息安全问题有网络传递安全、信息加密、身份认证等问题。信息，特别是会计信息是单位的重要资本，甚至决定了信息使用者在激烈的市场竞争中的成败。因此，信息管理也成为企业经营管理的一个重要方面。利用高端信息技术手段窃取企业内部经营机密是计算机犯罪的重要目的之一，也构成了企业管理信息系统的主要风险。未采用任何加密设施的数据信息在网络上以明文形式传递。入侵者在数据包经过的网关或路由器上可以自由截获传递的信息，在不完善的网络中非法修改、销毁输出报表、将输出报表送给公司竞争对手，利用终端窃取输出的机密信息等手段来达到作案的目的[4]。

2.3 计算机硬件及软件风险

2.3.1 硬件系统风险

硬件系统风险一方面来自计算机硬件自身的功能失效的可能，另一方面也来自计算机硬件所处的环境。计算机硬件可能受到零件性能的限制，影响零件的寿命。计算机网络系统硬件选配不当会带来很大的安全隐患，例如，网络工作环境不合要求，就直接影响了网络的可靠性，甚至破坏设备使网络功能受阻，工作

源于：论文格式标准www.udooo.com

不稳定，影响网络扩充性等。网络安装不规范，同样会使网络运行不稳定。当然，自然灾害是对计算机硬件破坏力最大的风险。计算机硬件风险会造成会计工作信息化的重大混乱，使全部或部分电子化的会计数据及信息永久损失或损毁。

2.3.2 软件系统风险

会计信息系统在操作系统软件及会计应用软件的支持下才能够正常运转[5]。从目前的情况来看，我国多数会计软件的数据安全保密性较弱，可以说目前数据完全保密性好的会计软件很少。现代操作系统、数据库系统和应用软件的规模日趋庞大、功能日趋复杂，因而在软件开发过程中，由于人为、软件测试与实际应用等原因，使软件的设计错误、漏洞在所难免。硬件、软件的这些缺陷都给网络会计信息带来不安全因素。如果会计信息系统受到安全的侵害，直接影响会计数据准确性、真实性、完整性，进而影响会计信息使用者的决策。

2.4 网络使用风险

随着计算机技术的不断发展，计算机网络已被各行各业广泛应用。各个孤立的计算机系统通过网络连为一体，只要在网络覆盖的地方，人们都可以访问到已经连入到网络的计算机，加上网络漏洞和计算机软件漏洞不断被人利用，使得网络安全威胁日益严重。

2.4.1 局域网与互联网风险

无论是局域网，还是互联网，网络是一个开放的环境，在这个环境中一切信息在理论上都是可以被访问到的。互联网供应公司或单位以外的第三者均可以获得有关部门的内部讯息。而局域网则是单位内部的网络，单位内的每一个工作人员都可能使用到。因此无论在单位内或外，第三者有意或无意的攻击网络，都可令部门蒙受到金钱或信誉上的损失。

2.4.2 电子网络交易风险

电子商务网络理财带来新的风险，网络电子交易写卖双方均存在信息安全威胁，这种风险在企业显得尤为严重。这些威胁包括系统中心安全威胁、竞争者威胁、商业机密的安全威胁、检测冒的威胁、虚检测订单、机密性数据丧失等威胁[6]。的袭击、安全媒体的拦截，潜在的不道德事件，客户欺诈等风险，令信息技术安全受到不同层次的威胁。而企业往往由于低效的监测系统、信息技术运用政策的失败、对信息技术环境的变化缺乏及时的反应等情况，被迫重新定义传统的目标和文化去被动适应这种“非持续”环境。
因此基于Internet/Intranet的电子商务理财必须从技术上对整个信息系统的各个层次(通信平台、网络平台、系统平台、应用平台)都要采取安全防范措施和规则，建立综合的多层次安全防范体系，应用防火墙技术、数据加密技术、身份认证技术等的网络安全技术[5][7]。

2.5 病毒破坏

病毒通常主要以两种方式传播。第一种就是通过扫描与本机相连的网络，然后自我复制到对端的计算机，这通常也是最有效的病毒传播机制。然而，这种传播机制需要更高的编程技巧。更常用的方式是读取电子邮件通讯薄，病毒把自己发送给所有联系人。编写这样的程序更容易，这也是为什么这种方法更常见的原因。通过投递一个下载的方法就更简单了，如果病毒利用这种方法传播，与其说是病毒制造者水平高，还不如说是用户太粗心了。通过网页下载打开一个文件来传播病毒应该不是常用的方法，这根本不需要任何编程技巧。不管什么方法，只要病毒进了家门，它就要做些坏事了，同时只要病毒进入了系统，它就会同其他合法程序一样为所欲为了。这就意味着病毒可以在后台删除一些文件，改变一下系统设置，从而危害系统。虽然在非网络环境下会计信息安全也面临这些风险，但因为没有网络环境，这些风险对会计信息安全不能构成主要威胁。非网络环境下的会计信息安全的主要风险还是来自于人与计算机的互动，数据的存储和保护。

3.结束语

由于信息技术的不断发展，网路会计信息的安全风险问题具有动态性，在实际的工作中还会不断的出现许多新的问题，网络会计信息安全问题的动态性决定了这种信息没有绝对的安全。常言道，知己知彼，百战不怠，只有全面认知网络会计信息安全，把可能出现的问题分析到位，可能出现的漏洞防范到位，才能有效地防范和控制可能存在的风险。只有不断地深化研究，找到解决网络会计运行实践中出现新问题的方法对策，以适应网络经济发展的新要求，从而最大限度地发挥网络会计的优势，使其发展成为当代会计学中最有潜力、最具活力的新领域。这也是现代计算机网络工作者值得深入研究的课题。
参考文献：
韩超,张红,张静.网络会计信息安全问题与对策研究[J].中国集体经济,2009(4):171-172.
谷增军.基于模糊综合评判的安全风险评估模型及应用[J].财会通讯, 2010(22):35-36.
[3]金荣新,余勇.影响会计信息安全的因素及对策分析[J].中国总会计师,2006(06):66-68.
[4]郑庆良,杨莹.网络会计信息系统安全风险及其防范[J].财会通讯, 2006(12):45-46.
[5]丁玉芳.电子商务环境下会计信息的安全管理[J].财会研究,2004(12):14-15.
[6]谷增军.会计信息系统安全风险评估初探——基于层次分析模型与实例[J].武汉:财会通讯,2010(12):100-101.
[7]吕学典.正视会计信息安全风险,制定会计信息安全标准[J].中国管理信息化(综合版),2006(10):32-33.
项目基金：铜仁学院启动基金支持项目（编号：TS1111）。
作者简介：饶正婵（1976—），女，硕士研究生在读，讲师，研究方向：信息安全、数据挖掘。